La fricción entre la transparencia y la protección de datos personales en Perú
by Digital Rights LAC on julio 14, 2015
Durante los últimos meses se ha debatido mucho en Perú la forma en que las normas de protección de datos personales deben de interpretarse en el marco de las obligaciones de transparencia. En casos resueltos por dos instancias distintas se han discutido los límites de lo que puede y no puede hacerse con las bases de datos públicas. La respuesta a estas interrogantes puede impactar considerablemente en las nuevas formas de ejercer el periodismo y en los niveles de acceso a la información pública.
Por Miguel Morachimo*
Datos Perú y las normas legales
En octubre de 2014, la Autoridad de Protección de Datos Personales (APDP) resolvió dos reclamaciones interpuestas contra los administradores del sitio Datos Perú. El sitio, que operaba hacía varios años en Perú, prestaba entre otros el servicio de acceso y búsqueda de dispositivos legales dentro de los boletines oficiales del Estado. En otras palabras, copiaba y pegaba el íntegro del Boletín de Normas Legales publicado en el Diario Oficial todos los días, incluyendo normas legales y actos administrativos de publicidad obligatoria como nombramientos y sanciones. Dos de esas normas republicadas por Datos Perú correspondían con sanciones disciplinarias aplicadas contra los ciudadanos reclamantes y ese fue el origen de su reclamo.
En su decisión, la APDP determinó que el sitio había incumplido con la ley de protección de datos al no haber solicitado el consentimiento de dichas personas para incluir sus nombre dentro de una base de datos de normas legales y, posteriormente, haber ignorado sus solicitudes de cancelación. Aunque la misma información, incluyendo los nombres de los reclamantes, era accesible desde la página web del Boletín Oficial y también desde la página del Ministerio de Jusiticia, la APDP consideró que ello no autorizaba a cualquier tercero a republicar la información conteniendo datos personales. Es decir, la APDP determinó que la publicidad previa de un documento público no autorizaba su publicidad consecutiva en tanto contenga datos personales.
Equifax y el registro público de contribuyentes
Durante marzo de 2015, otro caso nos devolvió a la misma pregunta. Esta vez el Tribunal Constitucional (TC) resolvió una demanda de habeas data interpuesta por un ciudadano contra Equifax, operador de una central privada de riesgo crediticio en Perú, por haber incluido información que él no facilitó, incluyendo su domicilio. En sus descargos, Equifax explicó que el domicilio del demandante lo había obtenido a través de una búsqueda rutinaria en el registro público de contribuyentes que pone a disposición del público en general la autoridad tributaria peruana en su página web.
Para el TC, Equifax no estaba autorizada a usar ni incorporar dentro de su base de datos la información contenida en el registro de contribuyentes. Al sentar la regla de que las centrales de riesgo no podían recoger información de bases de datos públicas, también sentó el criterio de que solo podían hacerlo aquellos que estén expresamente autorizados para ello. Es decir, en un tono similar al de la decisión de la APDP, señaló que la publicidad previa de un dato personal en una base de datos pública no autorizaba a terceros a utilizar esa información sin autorización de sus titulares.
Una respuesta pero no una solución
La regla que subyace en ambas decisiones resulta clara: los documentos o bases de datos estatales accesibles al público que contienen datos personales no pueden ser reproducidos por terceros, salvo que estos terceros tengan una autorización especial del titular de los datos o se encuentren bajo un supuesto de excepción (ej. interés público). Este es el razonamiento que ha explicado el propio jefe de la APDP varias veces, incluyendo una entrevista reciente. Sin embargo, aunque este criterio puede sostenerse bajo una interpretación de las leyes de transparencia y datos personales, me deja un sabor amargo por varios motivos.
Existe un serio conflicto entre lo que intentamos proteger y la realidad. Es idealista proteger la privacidad solo cuando esta es vulnerada por privados. A través de sus decisiones, la APDP y el TC reconocen que la publicidad de ciertos datos personales puede afectar la privacidad de los ciudadanos. Sin embargo, en lugar de impedir esta afectación en su origen, se limitan a sancionar a los terceros que replican lo que ya hizo el Estado en primer lugar.
En ambos casos se trata de sanciones a privados que intentaron reproducir información publicada por el Estado en primer lugar y que hasta la fecha sigue siendo accesible a través de los servicios estatales. Entiendo perfectamente que legalmente no existe consentimiento para el tratamiento posterior por tercero. Sin embargo, ¿qué protegemos realmente aplicando ese criterio? Claramente, no la confidencialidad de dichos datos personales.
El segundo desencuentro se produce cuando se analiza esta regla respecto de las nuevas formas de acceder a la información pública. No es antojadizo que se publique el registro de contribuyentes o que este incluya el domicilio y la aptitud tributaria de cada uno. Tampoco resulta aleatorio que resoluciones que consignan nombramientos, sanciones disciplinarias o declaraciones juradas de funcionarios públicos aparezcan en el Boletín Oficial y sean archivadas en todas las bibliotecas y archivos del país. Esta información se distribuye como información pública porque constituye una memoria nacional, una garantía para las transacciones comerciales y registro inalterable de la vida del país.
Antes, solo podían acceder a él quienes tenían acceso físico a esos documentos y podían leerlos o recordarlos. Actualmente, la tecnología permite que bases de datos con millones de documentos de este tipo puedan ser consultadas en segundos. Es decir, la reutilización de la información previamente hecha pública por el Estado permite al común de los ciudadanos un ejercicio pleno de su derecho de acceso a la información pública.
Según el razonamiento que ensayan las decisiones comentadas, esta posibilidad quedaría vedada si es que no se elimina previamente toda referencia a datos personales de las bases de datos. Lo que en el caso de muchas bases de datos no solo significa una tarea titánica sino que implica sustraerles el contenido mismo. Si la información se publica con la intención de que cualquier pueda acceder a ella, ¿por qué solo puede ejercerse este derecho en los términos y bajo las plataformas que el Estado habilita?
Finalmente, esta regla solo parece compatible con una visión anacrónica de la tarea periodística. Según ella, es válido que un periodista de investigación acceda a numerosas bases de datos pero solo podrá publicar individualmente aquellos datos de interés público como parte de su historia o artículo. Sin embargo, ¿qué pasa con los proyectos de periodismo de datos en los que también se publican bases de datos enteras a través de visualizaciones o tablas? En Perú tenemos funcionando desde hace varios meses una página web que permite consultar los registros de visitantes a distintas oficinas públicas, tomando datos directamente de los registros publicados por las propias entidades. Bajo la solución propuesta, esta actividad que también es en sí misma una forma de investigación periodística resultaría ilegal por no contar con el consentimiento de las personas cuyos nombres están siendo mostrados.
Lo que queda claro es que la solución propuesta en estas decisiones necesita ser conciliada con la realidad. Necesitamos establecer reglas claras que resguarden los datos personales y que les sean aplicables al Estado y a los privados. Estas reglas no pueden ignorar la realidad de cómo nos relacionamos con la tecnología ni de cómo la usamos para ejercer derechos tanto civiles como económicos. Reconocer que este problema existe es el primer paso para empezar a solucionarlo.
*Miguel Morachimo es abogado y Director de la ONG Hiperderecho. E-mail: miguel@hiperderecho.org
Imagen: (CC ND-NC) Felipe Morin