En los últimos días hemos sido testigos, a través de las noticias, sobre la presunta vulneración de datos privados que habría tenido una oficina de la Presidencia del Consejo de Ministros y, producto de una vulneración a sus mecanismos de seguridad -como lo queremos imaginar- la información de miles de ciudadanos se comenzó a vender a través de redes sociales. ¿Esto acarrea alguna responsabilidad legal?
Según La República, el 29 de abril y 13 de mayo del presente año, la Asociación de Bancos del Perú «ASBANC» informó sobre la filtración y comercialización de ciertos datos personales de miles de ciudadanos a la Presidencia del Consejo de Ministros «PCM». Es más, el 17 de mayo, ASBANC remitió una carta formal a la PCM informando sobre la fuga de datos que se estaba produciendo. Para variar, como bien lo indica El Comercio, la PCM no habría atendido a la comunicación de ASBANC hasta el 19 de mayo de 2022, actuación que no solo es grave, sino negligente.
En las semanas previas a la emisión de la presente nota, la denuncia ha ido escalando; ello, por más que como lo informó ASBANC a El Comercio no se pondría en riesgo la información privada y confidencial de los clientes respecto a sus tarjetas, transferencias, entre otros.
Precisamente, la Autoridad Nacional de Protección de Datos del Ministerio de Justicia y Derechos Humanos, inició el 20 de mayo del presente año una investigación de oficio para evaluar la magnitud de la fuga de información y hallar a los responsables de su difusión y obtención. Dependiendo de ello, se evaluaría iniciar procedimientos administrativos sancionadores.
La acción tardía del gobierno a lo comunicado por ASBANC no es lo más preocupante, sino, la gravedad de la filtración pues, como indica Gestión y Perulegal, la información filtrada va desde nombres y apellidos, direcciones, documentos de identidad, datos familiares, bienes, huellas digitales y otros. Al respecto, -y para que quede claro- no es lo mismo una fuga de información por consecuencia de una acción cibernética delictiva a una que haya tenido, como punto de partida, la facilidad de entrega de un(os) funcionario(s) público(s).
Fuente: Torres y Lara abogados
Contextualizando el asunto y atendiendo a la materia que nos convoca, la implicancia y sanción legal de quienes se vean involucrados es grave. Las responsabilidades que se podrán asumir van desde el lado penal hasta el administrativo. Sin dejar de lado la responsabilidad política, la cual se asumiría por las cabezas de las principales entidades del Estado que están involucradas, empezando por la PCM.
Para empezar, el numeral 6, artículo 2 de la Constitución Política del Perú dispone lo siguiente:
Toda persona tiene derecho:
A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.
Constitución Política del Perú
Así, nuestros datos personales, aquella información completamente privada, es parte de nuestra intimidad personal y su protección es un deber constitucional. Es más, como lo indica el numeral 5 del artículo 2 de la Constitución, tan importante es la intimidad personal que, ante una solicitud de información de las entidades públicas, no se podrá brindar aquella información que afecte la intimidad personal.
Dentro de la normativa especial que protege los datos personales, se encuentra la Ley Nº 29733, Ley de protección de datos personales «Ley» y su Reglamento, aprobado mediante Decreto Supremo Nº 003-2013-JUS «Reglamento». Revisando las normas mencionadas, de arranque, se establece que todo dato personal que sea administrado deberá ser autorizado por su titular, hecho que en este caso se estaría vulnerando por la filtración y comercialización de los datos a terceros no autorizados.
Por tanto, es claro que tanto constitucional como legalmente, hay una afectación a todos los ciudadanos cuyos datos se han filtrado. ¿Cuál sería la sanción ante esta actuación negligente y, por no decirlo menos, delictiva? Fundamentalmente, nos encontraríamos ante dos grandes infracciones, administrativa y penal.
Fuente: Freepik
En materia administrativa, el artículo 132 del Reglamento dispone como una infracción muy grave, el dar tratamiento a los datos personales contraviniendo las obligaciones contenidas en la Ley y su Reglamento, cuando con ello se impida o se atente contra el ejercicio de otros derechos fundamentales; asimismo, el recopilar datos personales mediante medios fraudulentos, desleales o ilícitos. En ambos casos, la sanción es una multa que va desde las 50 UIT hasta 100 UIT. Así, la multa máxima equivale a S/460 mil.
En materia penal, el artículo 154-A del Código Penal indica claramente que el que comercializa o vende información privada -datos personales- sobre una persona natural será reprimido con pena privativa de libertad no menor de 2 ni mayor de 5 años.
Cabe indicar que, dichas infracciones, se ejercerán sin perjuicio de que se puedan generar otras infracciones en materia disciplinaria, para los funcionarios que correspondan, política y civil, en materia de indemnizaciones.
Finalmente, esperemos que se sancione ejemplarmente a los involucrados y se tome con mucha más responsabilidad y seriedad el manejo de los datos personales. Sobre todo por el lado de las entidades públicas, de las cuales uno confía, en tanto deberían ser las primeras en respetar las normas y disposiciones que aprueban (al menos, se espera que así sea).
Edición: Camila Chirinos.