Conversamos con Erick Iriarte, abogado y miembro del equipo que diseñó la ley de protección de datos personales que hace muy poco aprobó el Parlamento Nacional. Mientras se espera la promulgación delpresidente García, conversamos sobre lo positivo de dicho dispositivo legal. Además respondió las dudas generadas en la nota previa sobre este tema.
José Miguel Silva @jomisilvamerino
Básicamente, Iriarte intenta aclarar algunas dudas planteadas ennuestra primera entrevista a Carlos Ferreyros, el doctor en Informática y profesor de la Universidad e Montpellier en Francia.
¿Por qué es importante tener una ley de protección de datos personales?
La ley de protección de dato le entrega a los usuarios la potestad y propiedad de sus propios datos. La idea es que el usuario sepa a quién le entrega sus datos, para qué se los entrega, cómo se van a usar, y facilitarle que tenga herramientas para que sus derechos no sean vulnerados. Que se pueda eliminar datos de una base de datos, que puedan corregirlos, pero que además el Estado vele porque no cualquiera pueda manipular sus datos. Esto permite el desarrollo de una serie de industrias con la gestión de datos personales, pero también el cumplimiento de tratados de libre comercio.
¿Antes de esto cómo se protegían los datos de las personas?
En realidad no había mayor protección. Fundamentalmente porque los instrumentos que teníamos constitucionales, a pesar de que mencionaban que se debía velar por la protección, vinieron relacionados con una acción que se llama “hábeas data”, que protegía el dato “ya distribuido”. Esta norma lo que hace es ser un mecanismo previo de “a quién se le entregan los datos”. Pasaba mucho por la autorregulación de las empresas, pero también porque los usuarios tuvieran un adecuado control de sus datos. A pesar de esto, “Wilson” estaba lleno de bases de datos, además tenías que los datos de una compañía podían ser pasados a otra, porque finalmente uno no suele leer un contrato al momento de firmarlo. En realidad no había un control de esto.
¿Quiénes participaron en la elaboración de esta ley?
Esto comenzó en la PCM, hace casi ocho años. Pasó una serie de debates, en su momento pasó al Ministerio de Justicia, entre idas y venidas, se debatió fundamentalmente con el sector público, en un inicio, pero con participación de la sociedad civil y del sector privado. Finalmente cuando se lleva con aportes de empresas de diverso orden, al poder legislativo, entra al parlamento y allí inician el debate. Es cuando se reciben aportes, llegan cartas, hasta el dictamen final. Este llegó al pleno, y allí se dan aportes de congresistas. Pero hubo apoyo de varios sectores, Indecopi, Reniec, del MTC, de Osiptel, etc. Fue una norma consensuada.
¿Qué opinión te genera la posición de Carlos Ferreyros sobre el dictamen aprobado?
Es importante que los medios de comunicación empiecen a tocar el tema. No era para ellos un tema relevante. La entrevista es valiosa por eso, pero creo que hay que ver la norma con muchísimo más optimismo, porque permite el desarrollo de la industria, local y extranjera, la gestión de datos personales. No se impide el desarrollo de industrias colaterales. Le devuelve al usuario una propiedad sobre sus datos y además una gestión adecuada, y sin crear un “Big Brother” o “Gran hermano gubernamental”, porque el Estado no tendrá los datos, sino que tendrá acceso a saber quiénes tienen las bases de datos y saber qué tipos de datos hay.
¿Pero si la autoridad (nacional de datos personales) está ligada a la PCM, no podría tener un manejo político?
Está ligada al Ministerio de Justicia, pero no somos el primer país que tiene una norma similar. En Argentina, está dentro del mismo Ministerio. En México, es la agencia federal de acceso a la información pública, que tiene una división que se dedica a la protección de datos personales. En Colombia es el ministerio de transportes y comunicaciones. En América Latina no se ha optado por entidades autónomas porque requerirían un rango constitucional, o que estén adscritas a alguien finalmente. Siempre el Estado velará por el tema. Diferente es el modelo europeo puro, que tiene entidades autónomas, pero también al final dependen del Poder Ejecutivo. No obstante, hubo un debate amplio sobre quién se haría cargo de esta Autoridad (nacional de datos personales).
¿Cuáles eran las posibilidades?
La Oficina Nacional de Gobierno EIectrónico, que depende de la PCM, Indecopi, Reniec también, que vela por datos, o que fuera una entidad autónoma. Con las normas que tenemos de restricción de nuevas autoridades, sino que más bien se promueve la fusión de las mismas, era muy difícil. Pero aquí la norma no crea la autoridad dentro del Minjus, sino que establece que se creará una autoridad que esté adscrita a él en las circunstancias existentes. Si luego se establece que deba ser independiente, luego se hará. Pero no se podía estar en un debate constitucional primero, dejando de lado una ley de este tipo.
¿Falta la promulgación aún, hay voluntad política?
Hubo una demora en la salida desde el Parlamento, sabemos que no ha sido observada y solo está a la espera de que se promulgue. Sí la hay, ha sido interesante ver que en el congreso hubo 72 votos a favor y ninguno en contra. Se entendió la necesidad política de una herramienta de este tipo, en una sociedad de la información como la actual, en donde es sumamente importante para la población tener su identidad.
¿Cómo quedan aquí las centrales de riesgo?
Ferreyros decía que no había una mayor mención a ellas en la norma. De hecho, no tenía porqué haberla. Esto es una norma sobre protección de datos personales en todos los ámbitos, no es especial. De hecho en el Perú ya hay una ley de centrales de riesgo financiero. Lo que sí dice esta norma, es que cuando esté ya la ley de protección de datos personales promulgada, todas la áreas de la sociedad se deberán adecuar a esta iniciativa.
¿Qué hace la ley de la que hablamos para evitar la mercantilización (venta) de datos?
Lo que hace la norma es precisamente prohibir la mercantilización de los datos, sin la autorización de los individuos. Si yo autorizo que otros puedan gestionar mis datos, si yo doy ese permiso, es mi libertad. Lo que permite la ley es que tú tengas libertad de eso, no que simplemente agarren tus datos de la guía telefónica y los pasen de un lugar a otro.
¿Si se promulga la ley en cuánto tiempo se podrá ejecutar la misma?
La ley tiene ejecución inmediata. Deberá crearse la autoridad y generarse el reglamento. Se espera que este último esté en un par de meses, sobre todo por el interés político que hay detrás y por los tratados de libre comercio, pero además en el desarrollo de la industria del internet y de los call center. Esperemos que el reglamento no demore mucho, sobre todo porque hay mucho desarrollo de industria y creación de empleo.
¿Cómo va a cambiar la vida diaria de las personas con este mecanismo legal?
Va a ser algo bastante transparente. No es que vas a tener que crear grandes instrumentos. En las páginas web probablemente colocarán los términos de condiciones una clausula referencial que autorizan los datos personales. En otros ámbitos, si te llaman por teléfono, por ejemplo, primero tu debiste autorizar que esa institución tenga tus datos. Cuando vas a firmar un contrato con un banco deberás firmar una cláusula en donde dice que estás entregando tus datos personales. No habrá una maraña de abogados detrás, sino simplemente pequeños datos y pequeñas cosas que harán que la vida del ciudadano sea muchísimo mejor.
¿Cómo manejaron la diferencia entre interés personal e interés nacional?
Se habla de los datos sensibles y de los datos personales. Los primeros son los ligados a la religión, a la filiación política, tu tendencia sexual, tus datos biométricos, es decir que solo te incumben a ti. Los datos públicos, por su parte, que aparece en bases públicas como Reniec, y otra cosa son los datos de interés nacional, cuánto ganan los funcionarios, por ejemplo. Hay normas sobre transparencia y acceso. Esta no es una norma contra la transparencia. En ese esquema se debe de entender esto, de modo que cuando alguien vaya a requerir un dato personal, perfecto si el dato es de libre acceso, lo tendrá. No se trata de impedir los accesos, se trata de que para poder acceder a esas bases de datos, el dato debió haber sido autorizado.
FUENTE: www.larepublica.pe