Se empieza a darse cuenta de que las aplicaciones gratuitas que instalamos en nuestras computadoras, laptops, celulares y otros dispositivos no son, en realidad, tan gratuitas, pues las estamos pagando con nuestros datos. La pregunta a hacerse es ¿cuánto valen nuestros datos? Casi ninguno de nosotros leemos las condiciones de uso o la política de privacidad y le damos alegremente al check de aceptar. Es verdad, es farragoso y cansado leer todos esos documentos, pero deberíamos ser más conscientes de qué implicaciones puede comportar el no hacerlo. Casos como el de Facebook nos obligan a reflexionar sobre qué se está haciendo con nuestra información.
En nuestro país, en julio del 2011, se publicó la Ley N° 29733, Ley de Protección de Datos Personales que en su artículo 1 dice: “La presente Ley tiene el objeto de garantizar el derecho fundamental a la protección de los datos personales, previsto en el artículo 2 numeral 6 de la Constitución Política del Perú, a través de su adecuado tratamiento, en un marco de respeto de los demás derechos fundamentales que en ella se reconocen”, es decir, obedece a un mandato constitucional.
En primer lugar, remarcar que la norma solo se aplica a los datos personales, siendo estos: “toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados” (artículo 2 de la Ley N° 29733), pero hay que remarcar además que la ley especifica que dichos datos han de estar contenidos en un banco de datos personales: “Conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso” (artículo 2 de la Ley N° 29733). Veamos en qué van a cambiar nuestros procesos.
Antes de la Ley de Protección de Datos Personales las organizaciones solo se preocupaban de recabar información, independientemente de la fuente y del medio utilizado, no se preocupaban de si el titular de ese dato era sabedor o no. A partir de la entrada en vigor de la ley debemos armar procedimientos para que antes de recabar ese dato, informemos a la persona interesada para que nos dé permiso, es decir, consentimiento, para poder tratar esa información y le tendremos que explicar qué vamos a hacer con dicha información, si vamos a darla a terceros, etcétera, en definitiva, la finalidad. La legislación para ello nos obliga a inscribir esos bancos de datos indicando qué tipo de datos –no el dato en sí– vamos a tratar y el uso que recibirá. Las sanciones llegan hasta las 100 UIT.
Otro de los procedimientos a seguir al respecto es que cualquier ciudadano podrá dirigirse a nuestra empresa y pedir sobre el tipo de información que se tiene de él, de dónde se obtuvo y qué se hace con ella. La empresa deberá contestarle tanto si existe o no la información.
Los plazos para este ejercicio de derechos por parte del titular del dato se conocen como Derechos ARCO, siendo el acrónimo de Acceso, Rectificación, Cancelación y Oposición. La respuesta para el derecho de acceso ha de ser de 20 días hábiles, siendo solo de 10 días para el resto de los derechos. Para ello, la ley obliga a que en el momento de recoger la información sea indicado al titular adónde podrá dirigirse. Además, establece las medidas de seguridad para proteger la información de la que, no lo olvidemos, somos solo custodios, no propietarios.
Podemos ver, además, que tendremos que afrontar una serie de cambios legales y organizativos, adecuando nuestros formularios y la forma de recoger la información, contratación de personal, contratos con terceros prestadores de servicios, etcétera. Asímismo, se deberá acometer una revisión de nuestros sistemas y files para que en todo el ciclo de vida podamos garantizar la debida seguridad de los mismos.
No olvidemos que la ley aplica tanto a los bancos de datos automatizados como a los no automatizados. Como personas que trabajamos en una empresa hagámonos una sola pregunta: ¿cómo me gustaría que trataran mis datos personales? Si somos capaces de responder a esta pregunta, vamos a ver que el cambio y el nuevo reto que se avecina va a ser mucho más fácil de acometer. ◗