La protección integral de los datos personales en el Perú a propósito de la implementación del registro “Gracias No Insista"

Imagen: 

Situémonos por un momento en nuestro país a mediados de los años ochenta. ¿Cuáles eran los medios tradicionales de envío de publicidad en dicha década? Sin duda los medios impresos y audiovisuales eran los que dominaban la escena publicitaria local. Así, no era extraño que un fin de semana encontremos debajo de las puertas de nuestras casas publicidad contenida en catálogos o volantes que bien podíamos revisar o desechar con rapidez. El telemarketing y el uso de las llamadas telefónicas como modalidad de marketing directo no eran un tema cotidiano, básicamente dados los elevados costos de acceso a una línea telefónica, además de aquellos involucrados en la construcción manual de una base de datos respetable que reduzca la inversión de recursos en la búsqueda de información relativa a potenciales clientes.

Estimado lector, le damos la bienvenida a los años noventa. El avance tecnológico y el desarrollo de la denominada ‘sociedad de la información’ (aunque no entendemos bien a que se refiere el término) comienzan a ser referentes comunes. Luego de la privatización de la empresa estatal de telefonía, los costos de acceso a una línea telefónica se vieron reducidos de manera considerable. Además, la novedad ya no fue sólo el teléfono fijo sino el móvil. La apertura del mercado local y el acceso a modernos dispositivos de procesamiento de datos se convirtieron en activos indispensables para toda tarea que implique el tratamiento de información a muy bajo costo.

Llegamos al siglo XXI y el nuevo medio “de moda” es Internet, un espacio virtual de intercambio y acceso desmedido a impensables cantidades de información la cual fluye de un extremo a otro de la red a la que nuestros computadores están permanentemente conectados. Recibimos constantemente información conocida y desconocida, solicitada y no solicitada no sólo a través del teléfono fijo y medios impresos sino además a través de llamadas al celular, Ipod, Blackberry, correo electrónico, mensajes de texto, Hi5, Facebook y Twitter veinticuatro horas al día, los trescientos sesenta y cinco días del año. Comenzamos a entender a que se refería ese término ‘sociedad de la información’ y algunos expertos ya nos hablan de “minería de datos” y “spam”, términos cuya sofisticación y tecnicismo nos impresiona.

Lo cierto es que, a través de cualquiera de los dispositivos antes mencionados, compartimos constantemente nuestra información personal con terceros, la misma que, de manera muy rápida y sencilla, pasará a formar parte de alguna base de datos. Incluso si no contamos con acceso a dispositivos de alta tecnología, cada vez que abrimos una cuenta bancaria o llenamos un formulario en el supermercado, estamos poniendo a disposición nuestros datos personales. Probablemente dicha información personal sirva para una mejor gestión del servicio al cliente o quizás como materia prima para el desarrollo de estrategias de marketing directo por parte de la empresa, no lo sabemos.

En este punto quizás se pregunte, pero entonces ¿cuál es el problema?

Si alguna vez fue despertado a media noche por un mensaje de texto ofreciéndole publicidad de servicios médicos, si alguna vez salía apurado al trabajo y entró una llamada “urgente” del banco pero finalmente era el ofrecimiento de un nuevo “servicio exclusivo”, si de pronto se entera que toda su historia clínica se encuentra publicada en una base de datos que fue adquirida a un módico precio en la avenida Wilson, entonces usted entenderá cual es el problema y probablemente se anime a terminar de leer el presente artículo.

La respuesta legal

Nuestro país tuvo el primer acercamiento a la regulación específica de la materia bajo comentario con la promulgación de la Ley 28493, Ley que regula el uso del correo electrónico comercial no solicitado (SPAM), y su Reglamento, aprobado mediante Decreto Supremo No. 031-2005-MTC, los mismos que, acorde con la tendencia internacional, buscan sancionar a quien incumpla con determinados parámetros para el envío de publicidad comercial no solicitada a través del correo electrónico. Sin embargo, y pese a figurar en versiones anteriores del proyecto final, no se reguló ningún aspecto relativo a un tema anterior, es decir, a la recojo y tratamiento de datos personales que finalmente constituyen los insumos principales de las bases de datos utilizadas por “spammers” y que hacen posible que la publicidad electrónica no solicitada se concrete.

El segundo intento por regular una problemática similar es el tema que nos convoca. Siguiendo nuevamente la tendencia internacional, el 16 de septiembre de 2009 entró en vigencia la Directiva No. 005-2009/COD-INDECOPI, Directiva de operación y funcionamiento del registro de números telefónicos y direcciones de correo electrónico excluidos de ser destinatarios de publicidad masiva que implementa el Registro “Gracias… No Insista” a cargo del INDECOPI (la “Directiva”). En líneas generales, dicha Directiva dispone que todas las empresas que empleen call centers, sistemas de llamado telefónico, envío de mensajes de texto a celular o correos electrónicos masivos para promocionar sus productos o servicios, o presten servicios de telemarketing, deberán excluir de su lista de destinatarios aquellos números telefónicos y direcciones de correo electrónico que se encuentren en el referido registro. Finalmente, el incumplimiento por parte de cualquier empresa de la normativa supone una infracción a las normas de protección al consumidor, cuyas sanciones van desde una amonestación a una multa de 300 UITs. Si bien la Directiva presenta una iniciativa muy interesante que probablemente, como ha ocurrido en otras jurisdicciones, frene el uso abusivo del telemarketing, la protección expresa a los datos personales aún sigue siendo tímida y tangencial.

Más allá de los detalles de implementación de la Directiva consideramos importante someter a discusión la necesidad de un marco normativo que tutele, de manera integral, los datos personales en nuestro país en el contexto tecnológico antes reseñado. Si bien contamos con regulación constitucional y algunas disposiciones a nivel sectorial que otorgan protección al secreto de las telecomunicaciones y al secreto bancario[1] , no existe, más allá de los dispositivos antes mencionados, una norma que regule integral y consistentemente el tema y que regule principios básicos del tratamiento de datos personales.

No olvidemos que en el año 2002, mediante Resolución Ministerial No. 094-2002-JUS, se constituyó una Comisión Especial liderada por el Ministerio de Justicia encargada de proponer un proyecto de Ley de Protección de Datos Personales. El proyecto de ley en línea con la regulación europea sobre la materia, se elaboró y fue publicado en el año 2004 para comentarios. Sin embargo dicho proyecto nunca vio la luz. Es más el enlace dentro de la página web del Ministerio de Justicia parece confirmar lo anterior. Más aún, en todo el debate sobre el nuevo Código de Consumo, tampoco hemos visto ninguna mención a la protección de los datos personales, aspecto que sí se encuentra recogido en la legislación comparada y que regula, en particular, la forma en que éstos deben ser recogidos y tratados. Tal es el caso de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal española, la misma que crea una autoridad de protección de datos personales encargada de supervisar su cumplimiento.

Si bien la solución absoluta a los diversos retos que nos impone el avance tecnológico no se encuentra en la emisión de una norma, consideramos válido poner a discusión el tema con la finalidad de alcanzar una regulación razonable,  moderada y consistente que, cuando menos, se enmarque dentro de una cultura local de respeto a la intimidad y la privacidad.

[1] Artículo 2 inciso 5 (secreto bancario) e inciso 10 (secreto de las telecomunicaciones) de la Constitución Política del Perú de 1993.