Vacíos y deficiencias de la Ley de Protección de Datos Personales.
Introducción
La Resolución Directoral N.° 074-2014-JUS/DGPDP constituye un precedente relevante para comprender cómo la Autoridad Nacional de Protección de Datos Personales interpreta y aplica los principios rectores del derecho fundamental a la protección de datos en el entorno digital. El caso evidencia la fragilidad normativa frente a nuevas formas de tratamiento de datos personales y revela la necesidad de actualizar el marco regulatorio peruano para garantizar una tutela efectiva.
1. Identificación del problema y criterio jurisprudencial aplicado
El objeto de controversia consistió en determinar si la publicación, en el portal “datosperu.org”, de la Resolución Ministerial N.° 0446-2002-IN/PNP –documento que contenía datos personales del reclamante– vulneró el derecho fundamental previsto en el numeral 6 del artículo 2 de la Constitución. La Autoridad Nacional de Protección de Datos Personales estableció que, al contener información que identifica y hace identificable al reclamante, la difusión del documento constituía tratamiento de datos personales y requería consentimiento expreso.
Asimismo, determinó su competencia al verificar que el propio sitio web consignaba una dirección ubicada en territorio peruano a través de su cuenta de Facebook. El procedimiento fue iniciado mediante notificación por publicación en el Diario Oficial El Peruano, ante la inexistencia de un domicilio físico válido. Finalmente, se concluyó que el portal vulneró los principios de consentimiento, proporcionalidad y calidad, al difundir datos personales sin autorización, permitir su indexación en buscadores y mantener información desactualizada pese a que la resolución ministerial había sido dejada sin efecto.
2. Comentarios críticos sobre la jurisprudencia analizada
La resolución contiene avances interpretativos respecto a los principios de calidad, consentimiento e información. Sin embargo, también revela deficiencias procedimentales que podrían conllevar a la nulidad del acto administrativo conforme al numeral 10.1 del artículo 10 de la Ley del Procedimiento Administrativo General. Entre los aspectos cuestionables destaca la irregularidad en la notificación y la interpretación extensiva de la competencia territorial de la APDP, lo que evidencia un vacío regulatorio respecto a los sujetos que operan bancos de datos en entornos digitales sin domicilio conocido.
3. Falencias en el debido procedimiento administrativo
La notificación electrónica realizada por la autoridad vulneró el artículo 20.1.2 de la Ley N.° 27444, dado que este medio solo es válido cuando el administrado lo autoriza expresamente. Además, la notificación dirigida a la “dirección” consignada en la página de Facebook del portal no satisface el concepto jurídico de domicilio, entendido como el asiento legal de la persona. En consecuencia, al tratarse de una empresa sin domicilio conocido, correspondía aplicar la notificación por publicación prevista en el artículo 23.1.2 de la LPAG.
En cuanto a la competencia, la APDP reconoció que el tratamiento de datos se efectuaba desde el extranjero y que el responsable no se encontraba ubicado en el Perú. No obstante, asumió competencia basándose únicamente en una dirección declarada en redes sociales, criterio que se aparta de la exigencia legal de territorialidad o de utilización de medios situados en el país. Ello implica un riesgo de nulidad por falta de competencia material.
4. Vacíos normativos en la Ley de Protección de Datos Personales
El caso evidencia insuficiencias en la regulación del tratamiento de datos personales, ya que la Ley N.° 29733 y su reglamento no contemplan adecuadamente las particularidades del entorno digital. El procedimiento de fiscalización realizado por la APDP carece de una regulación específica que establezca facultades, límites y garantías para los administrados. Esta ausencia genera inseguridad jurídica e incrementa el riesgo de vulneración al debido procedimiento.
Asimismo, la normativa no establece reglas especiales de notificación para empresas que administran bancos de datos sin domicilio físico en el Perú, pese a que este es un escenario recurrente en el ámbito digital. La implementación de notificaciones vía correo electrónico o mediante la página web institucional de la APDP permitiría garantizar eficacia y celeridad, adaptándose a la naturaleza del servicio digital.
5. Necesidad de precisar el ámbito de aplicación y fortalecer la responsabilidad de intermediarios digitales
El reglamento de la ley vincula el ámbito de aplicación a la domiciliación del titular del banco de datos o a la ubicación de los medios utilizados. Este criterio resulta insuficiente, ya que muchas vulneraciones se originan en entidades sin presencia física en el país. Es indispensable incorporar reglas de presunción de domicilio basadas en la utilización de información proveniente de fuentes peruanas, semejante al criterio de territorialidad empleado en materia tributaria para gravar rentas de sujetos no domiciliados.
Por otro lado, la ley no prevé responsabilidad solidaria de los buscadores de internet, a pesar de que estos ordenan, indexan y ponen a disposición información que puede contener datos personales sin consentimiento. Dado que son empresas con presencia internacional, su participación resulta determinante para garantizar la eficacia de las medidas de protección.
Servicio profesional
Reserva tu asesoría: https://bbabogadosycontadores.youcanbook.me
Nota legal de autoría
Este artículo es de autoría de la Dra. Mery Bahamonde Quinteros, abogada por la Pontificia Universidad Católica del Perú, Máster en Derecho Tributario y Política Fiscal por la Universidad de Lima. Esta obra se encuentra protegida por normas de propiedad intelectual. Su reproducción total o parcial sin autorización previa está prohibida.
