No resulta extraño que, ante el desarrollo de una determinada conducta por parte de un administrado, diversas autoridades busquen atribuirse competencia sancionatoria, alegando que cada una tutela un bien jurídico distinto e independiente. Esta problemática se aprecia con claridad en los distintos casos que podrían ser evaluados simultáneamente por la Autoridad Nacional de Protección de Datos Personales (ANPDP), encargada de proteger los datos personales de las personas naturales, y el Indecopi, encargado de proteger los derechos de los consumidores, en su mayoría, personas naturales.
Por ejemplo, si una empresa le envía a un consumidor (persona natural) comunicaciones publicitarias (por ejemplo, vía correo electrónico o mensaje de texto), pese a que este no brindó su consentimiento, aquella podría encontrarse expuesta a dos sanciones. De un lado, la ANPDP la podría sancionar debido a la indebida utilización de los datos personales del titular (por ejemplo, correo electrónico y número celular). De otro lado, el Indecopi la podría sancionar debido a que constituye un método comercial agresivo enviar publicidad a un consumidor que no consintió expresamente dicha situación. En el primer escenario se buscaría tutelar el derecho que tiene toda persona a determinar cómo se utilizan sus datos personales, mientras que en el segundo se buscaría tutelar la tranquilidad del consumidor.
MIRA: Gobierno extiende vigencia del trabajo remoto en el sector público y privado hasta fin del 2021
Lo mismo podría suceder si una empresa es objeto de una brecha de seguridad, permitiendo que terceros accedan indebidamente a datos personales de un cliente, o si por error la empresa envía la información de un cliente a un tercero. Al respecto, la ANPDP podría pretender sancionar a la empresa, alegando el incumplimiento en la implementación de las medidas de seguridad o el incumplimiento de su deber de confidencialidad, respectivamente. A su turno, Indecopi podría pretender sancionarla, alegando una infracción al deber de idoneidad, ya sea bajo el entendido que el consumidor razonablemente esperaría que se adopten las medidas necesarias para proteger su información o que su información nunca sería enviada por error a un tercero. Los supuestos que pueden presentarse en la práctica son innumerables, pues basta que la conducta involucre el tratamiento de datos personales y a un consumidor.
¿Cuál es la consecuencia de esta situación? De un lado, la imposición de multas simultáneas desde regímenes sancionadores bastante diferentes. En efecto, el Indecopi puede imponer multas de hasta 450 UIT (US$535.135), mientras que la ANPDP de hasta 100 UIT (US$118.919). Ello, sin perjuicio de las medidas correctivas que podría ordenar cada autoridad por su cuenta. De otro lado, la posibilidad de fallos contradictorios por parte de autoridades que están evaluando los mismos hechos.
¿Qué se puede hacer? En primer lugar, delimitar adecuadamente las conductas que cada entidad estará a cargo de sancionar. Ello pues si bien la ley de protección de datos personales incluye una disposición referida a la competencia del Indecopi (Sétima Disposición Complementaria Final), ésta no ha resultado lo suficientemente clara, existiendo incluso opiniones discrepantes al interior del propio Indecopi sobre cómo interpretarla.
En segundo lugar, sin perjuicio de lo señalado en el punto anterior, será importante que las autoridades involucradas se mantengan en activa coordinación en aquellos casos donde puedan superponerse sus competencias sancionatorias.
En tercer lugar, consideramos conveniente que los administrados revisen detalladamente la formulación de cargos realizada por cada entidad, a efectos de evitar que se inicien procedimientos en los que exista -en el fondo- identidad de sujetos, hechos y fundamentos.
Contenido sugerido
Contenido GEC