TEXTO PAGINA: 26
El Peruano Jueves 30 de octubre de 2014 536276 Cuando la LPDP desarrolla el concepto de tratamiento emplea los términos: “automatizado o no automatizado”. La APDP considera que difundir información en un sitio web implica, conforme con los procedimientos técnicos e informáticos actuales, publicar dicha página en un servidor, así como realizar las operaciones necesarias para que resulte accesible a los usuarios de internet. Estas operaciones se efectúan, al menos en parte, de manera automatizada; por lo que la conducta que consiste en identifi car a una persona por diversos tipos de información relativa, por ejemplo a sus condiciones de trabajo, afi ciones, información sindical, ideología política, o como en el presente caso, mediante una resolución administrativa, constituye un tratamiento total o parcialmente automatizado de datos personales. 15. Análisis del cuarto aspecto, el tratamiento de datos personales sin consentimiento del titular constituye una afectación al derecho fundamental a la protección de datos personales, en su aspecto conocido como “autodeterminación informativa”. Es decir, para el tratamiento de datos personales debe mediar el consentimiento de su titular o, en su defecto, debe acreditarse que el tratamiento se realiza en el marco de las excepciones previstas en la LPDP y su Reglamento4, ya que la necesidad de consentimiento es la regla general. En el presente caso, la resolución publicada no constituye información general de hechos públicamente relevantes y de “interés general”, por cuanto el afectado no desarrolla actividad pública. El derecho a la información de los usuarios de internet está plenamente justifi cado cuando se refi ere a asuntos públicos que sean de interés general, ya sea por las materias que traten o por las personas que en ellas intervengan; de lo contrario, no se justifi ca que se afecte la privacidad de un ciudadano. Debe tenerse en cuenta que “previamente” la resolución publicada fue difundida en la sección de Normas Legales5, tanto en la versión impresa como en la versión online, en el marco de las obligaciones legales, pero ello, no faculta al reclamado a realizar un tratamiento de datos personales que resulta perjudicial para el reclamante y que no se justifi ca en el interés público. Es de advertir que el diario ofi cial El Peruano no ha puesto a disposición de los usuarios la sección “Normas Legales”, mediante la indexación6 en los buscadores de internet, como sí lo hizo el reclamado. Por otro lado, el numeral 6 del artículo 17 del Reglamento de la LPDP dispone que los repertorios de jurisprudencia debidamente anonimizados son considerados como fuentes accesibles al público7 y pueden ser consultados por cualquier persona. En el presente caso, la resolución publicada no se encuentra anonimizada. Desde esta perspectiva, la resolución publicada que continúa alojada en el sitio web “http://www.datosperu.org/” del reclamado a disposición de los usuarios de internet sin la previa anonimización8 de los datos personales del reclamante constituye una vulneración del derecho fundamental a la protección de los datos personales. A mayor abundamiento, se deja constancia que el reclamado no acreditó que: (i) los datos personales provengan de fuentes accesibles al público (porque aun considerándola jurisprudencia, no está anonimizada), (ii) exista una ley que ampare el tratamiento, y (iii) exista una relación contractual entre el titular de los datos personales y el responsable del tratamiento que haga necesario el tratamiento para la ejecución del contrato; por lo que la APDP considera que se ha transgredido el principio de consentimiento, de manera que el reclamante tiene derecho al cese del tratamiento. El tratamiento de datos personales debe ser veraz, exacto y, en la medida de lo posible, actualizado, necesario, pertinente y adecuado respecto de la fi nalidad para la que fueron recopilados. Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la fi nalidad del tratamiento9. Asimismo, todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la fi nalidad para la que estos hubiesen sido recopilados10. El responsable del tratamiento de datos personales debe encontrarse en la capacidad de detectar que existen datos personales anacrónicos o incorrectos y actualizarlos de ofi cio en cuanto tenga conocimiento de la inexactitud y siempre que posea los documentos necesarios que justifi quen la actualización. El reclamado mantiene a la fecha en su sitio web “http://www.datosperu.org/” la resolución publicada donde obran los datos personales del reclamante, a pesar que con resolución posterior (puesta a disposición del reclamado en el presente procedimiento trilateral) se acreditó que la resolución publicada quedó sin 4 Artículo 14 de la LPDP. Limitaciones al consentimiento para el tratamiento de datos personales: “No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos: 1. Cuando los datos personales se recopilen o transfi eran para el ejercicio de las funciones de las entidades públicas en el ámbito de sus competencias. 2. Cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público. 3. Cuando se trate de datos personales relativos a la solvencia patrimonial y de crédito, conforme a ley. 4. Cuando medie norma para la promoción de la competencia en los mercados regulados emitida en ejercicio de la función normativa por los organismos reguladores a que se refi ere la Ley 27332, Ley Marco de los Organismos Reguladores de la Inversión Privada en los Servicios Públicos, o la que haga sus veces, siempre que la información brindada no sea utilizada en perjuicio de la privacidad del usuario. 5. Cuando los datos personales sean necesarios para la ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científi ca o profesional del titular y sean necesarios para su desarrollo o cumplimiento. 6. Cuando se trate de datos personales relativos a la salud y sea necesario, en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho tratamiento sea realizado en establecimientos de salud o por profesionales en ciencias de la salud, observando el secreto profesional; o cuando medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones deben ser califi cadas como tales por el Ministerio de Salud; o para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados. 7. Cuando el tratamiento sea efectuado por organismos sin fi nes de lucro cuya fi nalidad sea política, religiosa o sindical y se refi era a los datos personales recopilados de sus respectivos miembros, los que deben guardar relación con el propósito a que se circunscriben sus actividades, no pudiendo ser transferidos sin consentimiento de aquellos. 8. Cuando se hubiera aplicado un procedimiento de anonimización o disociación. 9. Cuando el tratamiento de los datos personales sea necesario para salvaguardar intereses legítimos del titular de datos personales por parte del titular de datos personales o por el encargado de datos personales. 10. Otros establecidos por ley, o por el reglamento otorgado de conformidad con la presente Ley”. 5 El diario ofi cial El Peruano, cuenta con tres cuerpos de publicación regular: Informativo, Boletín Ofi cial; y Normas Legales. 6 Indexar: ordenar una serie de datos o informaciones de acuerdo a un criterio común a todos ellos, para facilitar su consulta y análisis. 7 Artículo 17 del Reglamento de la LPDP. Fuentes accesibles al público: “Para los efectos del artículo 2, inciso 9) de la Ley, se considerarán fuentes accesibles al público, con independencia de que el acceso requiera contraprestación, las siguientes: 1. Los medios de comunicación electrónica, óptica y de otra tecnología, siempre que el lugar en el que se encuentren los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general. 2. Las guías telefónicas, independientemente del soporte en el que estén a disposición y en los términos de su regulación específi ca. 3. Los diarios y revistas independientemente del soporte en el que estén a disposición y en los términos de su regulación específi ca. 4. Los medios de comunicación social. 5. Las listas de personas pertenecientes a grupos profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección postal, número telefónico, número de fax, dirección de correo electrónico y aquellos que establezcan su pertenencia al grupo. En el caso de colegios profesionales, podrán indicarse además los siguientes datos de sus miembros: número de colegiatura, fecha de incorporación y situación gremial en relación al ejercicio profesional. 6. Los repertorios de jurisprudencia, debidamente anonimizados. 7. Los Registros Públicos administrados por la Superintendencia Nacional de Registros Públicos - SUNARP, así como todo otro registro o banco de datos califi cado como público conforme a ley. 8. Las entidades de la Administración Pública, en relación a la información que deba ser entregada en aplicación de la Ley Nº 27806, Ley de Transparencia y Acceso a la Información Pública. Lo dispuesto en el numeral precedente no quiere decir que todo dato personal contenido en información administrada por las entidades sujetas a la Ley de Transparencia y Acceso a la Información Pública sea considerado información pública accesible. La evaluación del acceso a datos personales en posesión de entidades de administración pública se hará atendiendo a las circunstancias de cada caso concreto. El tratamiento de los datos personales obtenidos a través de fuentes de acceso público deberá respetar los principios establecidos en la Ley y en el presente reglamento”. 8 Artículo 2 de la LPDP. Defi niciones: “Procedimiento de anonimización.- Tratamiento de datos personales que impide la identifi cación o que no hace identifi cable al titular de estos. El procedimiento es irreversible”. 9 Artículo 8 de la LPDP. Principio de calidad. 10 Artículo 7 de la LPDP. Principio de proporcionalidad.