Novedades en el acceso a la información pública y la protección de datos personales
El Gobierno acaba de publicar el Decreto Legislativo 1353, con el objeto de crear la Autoridad Nacional de Transparencia y Acceso a la Información Pública; y, fortalecer el Régimen de Protección de Datos Personales, entre otros.
A.- Las novedades en el acceso a la información pública
Más que la existencia de una nueva autoridad, lo que resulta positivo es el énfasis que pone el Poder Ejecutivo en lograr la mayor disponibilidad posible, por parte de los ciudadanos y de las empresas, de la información pública en manos del Estado. El acceso a esta información resulta valiosa pues, en muchos casos, permite mejorar el ejercicio de los derechos ciudadanos y facilitar el desarrollo de la actividad empresarial. Mejora asimismo la legitimidad de la actividad pública, afianza la rendición de cuentas y contribuye con la buena gobernanza en todos los niveles (central, regional y local).
Así, este nuevo Decreto Legislativo, entrega a esta nueva autoridad, entre otras, las funciones de “supervisar el cumplimiento de las normas en materia de transparencia y acceso a la información pública” y “fomentar la cultura de transparencia y acceso a la información pública”[1].
Esto último resulta de la mayor importancia. Sin una verdadera cultura de disponibilidad y acceso a la información pública, que integre no sólo a ciudadanos sino también a los funcionarios y servidores públicos, no lograremos el objetivo deseado, que es la mayor transparencia posible en la información pública que detenta el Estado. Y no se trata solamente de sanciones, como las que prevé este decreto sobre los funcionarios y servidores públicos, sino además de colocar incentivos de ascenso y promoción que consideren para el avance en la carrera pública, entre otros criterios, el debido y oportuno del suministro de información pública a los ciudadanos y las empresas.
Para afianzar los mayores estándares de transparencia y acceso a la información pública, este nuevo Decreto Legislativo contempla la creación de un Tribunal que será la última instancia administrativa en la materia. Estará a cargo de asegurar el derecho a acceder a la información pública a nivel nacional. Este Tribunal autónomo se encargara de resolver, entre otras, las apelaciones contra las denegatorias de entrega de información pública, lo que incluye a los Gobiernos Regionales y Locales, donde afianzar una cultura de disponibilidad y acceso sobre la información pública presenta importantes retos.
Resolviendo estas apelaciones, este Tribunal podrá ordenar a una entidad que entregue la información que solicitó el ciudadano o la empresa, según corresponda. Naturalmente, este Tribunal tiene a cargo la responsabilidad de evitar la entrega de información secreta (de contenido militar o de inteligencia), reservada (por concernir al orden interno, a negociaciones o relaciones internacionales o financieras que, de revelarse, podrían generar afectaciones al interés general) y confidencial (por diferentes razones tales como secreto bancario, información que forma parte del proceso deliberativo de las entidades públicas o de sus estrategias legales que, de conocerse prematuramente, afectarían sus decisiones previstas, entre otras). La regla general es que toda la información en manos del Estado es pública, salvo que califique en una de estas categorías excepcionales (de interpretación restrictiva), lo que las apartan de dicha regla general. Una de las tareas clave de este Tribunal es delinear un entendimiento homogéneo y estándar a nivel nacional en esta materia.
B.- Las novedades en la protección de datos personales
El fortalecimiento del Régimen de Protección de Datos Personales no aparenta haber generado un drástico cambio de orientación regulatoria. Recordemos que la Ley de Protección de Datos Personales tiene por objeto garantizar el derecho fundamental a la protección de estos datos, con el fin constitucional de “que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar”. Ello no ha cambiado y, entre otros, exige a las empresas que aseguren un adecuado tratamiento de los datos personales de sus clientes, proveedores, trabajadores y otras personas vinculadas a su actividad.
Sin embargo, los ajustes realizados en las definiciones contenidas en la Ley de Protección de Datos Personales (mediante el reciente Decreto Legislativo 1353) y la colocación a nivel legal de determinados criterios que venía aplicando la Autoridad Nacional de Protección de Datos Personales, tales como las características de las relación entre el titular del banco de datos y el encargado de su tratamiento, o algunos adicionales supuestos en los que no se requiere el consentimiento del titular de datos personales para el tratamiento de estos, entre otros, obliga a las empresas a confirmar si sus bancos de datos personales y el tratamiento que les dan a estos se ajustan estrictamente a las nuevas precisiones legales.
Llama la atención que las infracciones que están expresamente identificadas y tipificadas en la misma Ley, una vez que entre en vigencia el Decreto Legislativo 1353[2], serán remitidas a su identificación y tipificación como leves, graves y muy graves mediante reglamento. En nuestra opinión, siempre será más garantista para las personas y las empresas que las conductas sancionables, incluidas aquellas en materia de protección de datos personales, se determinen por un instrumento con valor de Ley y no por vía reglamentaria.
De otro lado, este nuevo Decreto Legislativo determina que los incumplimientos de las empresas, en relación con la regulación de la protección de los datos personales de sus clientes, proveedores, trabajadores y otras personas vinculadas a su actividad, se consideran como infracciones de responsabilidad objetiva. Es decir, no será relevante para verificar una infracción (aun cuando sí para la graduación de la sanción) la conciencia y voluntad de incumplir esta regulación. A la autoridad simplemente le bastará verificar el incumplimiento de una obligación a cargo de la empresa[3], pudiendo imponerle sanciones de hasta 100 UIT.
Ello obliga a las empresas a ser aún más cuidadosas en el cumplimiento de esta regulación, cuyas exigencias implican entre otros: i) contar con el consentimiento previo, informado, expreso e inequívoco[4] del titular de los datos personales, como regla general para su tratamiento[5], salvo las excepciones previstas por la Ley; y, ii) asegurar que los bancos de datos personales y su tratamiento cuenten con los estándares que garanticen su seguridad y eviten su alteración, pérdida, tratamiento o acceso no autorizado, en especial cuando el tratamiento de datos sea encargado a terceros, quienes asumen las mismas obligaciones que el titular del banco de datos[6].
Si las empresas se han adecuado oportunamente al tratamiento de los datos personales de sus clientes, proveedores, trabajadores y otras personas vinculadas a su actividad, conforme a la Ley vigente, les corresponde confirmar si están alineadas con los recientes ajustes regulatorios. Si no están adecuadas, resulta urgente que realicen su adecuación.
[1] Cfr. Artículo 4 del Decreto Legislativo 1353.
[2] Entra en vigencia al día siguiente de la publicación de su Reglamento y del instrumento que modifique el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos.
[3] Esta determinación resulta distinta de la regla general recientemente aprobada sobre la Ley del Procedimiento Administrativo General (numeral 10, articulo 230), mediante el Decreto Legislativo 1272, en lo concerniente a la determinación del procedimiento sancionador y la responsabilidad de las personas y empresas.
[4] Cfr. Artículo 13, numeral 5, de la Ley de Protección de Datos Personales – Ley 29733.
[5] “Tratamiento de datos personales. Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales”. Cita textual del numeral 19 del artículo 2 de la Ley de Protección de Datos Personales – Ley 29733, una vez que entren en vigencia las modificaciones determinadas por el Decreto Legislativo 1353 bajo comentario.
[6] Cfr. Artículo 16 de la Ley de Protección de Datos Personales – Ley 29733.
Nota: gracias a los señores Raul Alosilla y Juan Luis Sandoval por sus valiosos comentarios.