LEY DE PROTECCIÓN DE DATOS PERSONALES

“La Ley nos obliga a colocar cláusulas en los puntos de captación de datos personales”

El abogado especialista en tecnologías de la información y expositor del Diplomado en Marketing Digital Estratégico, Oscar Montezuma, explica los aspectos más relevantes de la Ley de Datos Personales.

El 8 de mayo regirá en el Perú de forma definitiva la legislación sobre Protección de Datos Personales. Conversamos con Oscar Montezuma, abogado experto en tecnologías de la información y comunicaciones, sobre los principales aspectos de la regulación de esta ley.

Oscar Montezuma

Desde hace un buen tiempo se habla de la Ley de Protección de Datos Personales. ¿Por qué recién entra vigor?

En realidad, el 2011 entró en vigencia; sin embargo, en el 2013 se dio el reglamento y este definió un plazo de adecuación. La etapa final vence este mes. La idea es que a partir del 8 de mayo empiecen inspecciones fuertes por parte de las autoridades, verificando que las empresas se hayan alineado a la Ley.

Pero ya se estaba aplicando una regulación.

Sí, a través de dos leyes. Una es la ley anti spam, que regula específicamente el envío de publicidad a través de correos electrónicos, y señala que estos deben cumplir con precisión una serie de pautas para ser legalmente válidos. Por otro lado, está “Gracias, no insistas” de Indecopi, en donde el usuario se puede registrar y decir que no quiere que lo llamen o que le envíen información.

En síntesis, ¿qué considera la Ley de Protección de Datos Personales?

La Ley viene a decir que si no tienes el permiso expreso de la persona dueña de los datos con los cuales cuentas, no los puedes utilizar. Sin embargo, es posible utilizar información agregada que no identifique personas naturales.

Para ser precisos, ¿a qué llamamos “datos personales”?

La definición es muy amplia. Es toda aquella información que permite identificar efectiva o potencialmente a una persona natural, por ejemplo, el DNI, el número de teléfono, la dirección, el perfil en redes sociales.

Hay tipos de datos personales, la norma incluso contempla una categoría llamada “datos sensibles”, que son aquellos que además de identificar a la persona, involucran una parte muy privada de ella, por ejemplo, religión y orientación política. Para este tipo de datos se requiere un nivel de permiso más alto.

¿Cómo afecta esta ley al desarrollo del marketing en plataformas digitales?

Primero, las estrategias basadas en mailing tendrán que ser más cuidadosas. Segundo, recordemos que para obtener información de nuestro público objetivo, capturamos información que el usuario va dejando cuando navega en Internet a través de una serie de mecanismos, como los cookies. Ahora, en cada punto de captación se debe colocar una cláusula en la cual le informes a la persona qué harás con esos datos y ella debe aceptarlo o rechazarlo.

¿Existe alguna excepción?

Sí. Una de ellas es la que expresa que no va a ser necesario el permiso cuando se requiera para la ejecución de un contrato. Por ejemplo, si eres una empresa de telecomunicaciones, no vas a necesitar permiso para cobrar porque para ejecutar ese contrato, tienes que usar esos datos.

¿Y en el caso del telemarketing?

Si la empresa no tiene ninguna relación comercial con el usuario, necesita el permiso previo y expreso en el cual la persona autorice a usar su información.

La Ley se heredó del modelo europeo. ¿Crees que debería haberse adecuado al contexto peruano?

Este tipo de normas nacieron en un contexto histórico particular de Europa, caracterizado por gobiernos que utilizaron los datos personales para actos nefastos; por ello, allí la protección es muy fuerte. Nuestra realidad es distinta, no podemos simplemente copiar el modelo. Es cierto que en nuestro país se necesita cuidar la privacidad, sin embargo, pienso que es necesario examinar la Ley e introducir algunas flexibilidades.

¿Cómo cuáles?  

Por ejemplo, considerar las situaciones donde el consentimiento es tácito.

¿Se ha tenido en cuenta en la Ley la protección que deben brindar las empresas a los datos personales de sus clientes?

Así es, la norma considera una serie de medidas no solo legales, sino también técnicas, que exigen que las empresas tengan un control adecuado de claves.

¿La Ley de Protección de Datos está vinculada a la Ley de Delitos Informáticos?

Hay un artículo en la Ley de Delitos Informáticos donde se manifiesta que aquel que comercializa y vende bases de datos está sujeto a sanción penal, o sea, puede ir a la cárcel.