"Bajo la Ley de Protección de Datos Personales una empresa no podría compartir un registro con la imagen de otra persona (los violadores) sin su consentimiento o sin mandato de una autoridad". (Foto: Getty)
"Bajo la Ley de Protección de Datos Personales una empresa no podría compartir un registro con la imagen de otra persona (los violadores) sin su consentimiento o sin mandato de una autoridad". (Foto: Getty)
Andrés Calderón

Jefe del Departamento de Derecho de la Universidad del Pacífico

No me refiero a no poder navegar por Internet desde el teléfono móvil, sino a perder información. , más específicamente.

La semana pasada, dos sucesos importantes ocurrieron en el país vinculados con datos personales y empresas muy conocidas: el por un lado, y y Plaza Norte, por el otro.

La Autoridad Nacional de Protección de Datos Personales (órgano del Ministerio de Justicia) difundió públicamente que había iniciado un procedimiento sancionador en contra del BCP debido a un ataque informático que sufrió hace un año y que supuso la filtración pública (en la ‘deep web’) de datos de identificación de miles (quizá millones) de clientes como sus nombres, direcciones, correos, números de tarjetas, cuentas bancarias y saldos. Según informó el BCP, no se sustrajeron claves ni se produjo robo de dinero.

Quizá lo más importante del comunicado del BCP es que este incidente ocurrió en el 2018, y que en su oportunidad informaron a sus clientes afectados y también lo reportaron a la propia autoridad. Entonces, ¿por qué iniciaron un procedimiento sancionador un año después?

La autoridad no ha aclarado esto. Traté de indagar cuál es la infracción específica que han imputado al banco, pero desde la autoridad me respondieron que esa información era reservada. Pero si el procedimiento sancionador es reservado, entonces ¿por qué difundieron el comunicado informando acerca de su inicio?

Una fuente del BCP me comunicó que la imputación era por la misma fuga de información. Pero, a decir verdad, ninguna persona o empresa está completamente inmune a un hackeo o un ciberataque. En tal sentido, se puede atribuir responsabilidad a una empresa por no tomar medidas preventivas para aminorar el riesgo de una filtración de información pero no exigirle una infalibilidad imposible.

Sobre el segundo caso, una joven fan de BTS fue drogada, violada, golpeada y luego abandonada semidesnuda en el centro comercial Plaza Norte. Sus atacantes la citaron con engaños a un local de la cafetería Starbucks. Por eso, los familiares de la víctima pidieron acceder a las cámaras de videovigilancia de ambos locales.

En las redes sociales se generó un reclamo masivo porque las compañías no entregaban las grabaciones. Starbucks dijo que el mismo día de la solicitud permitieron a la familia de la víctima ver las cámaras de seguridad y al día siguiente sí les entregaron una copia, luego de que la policía se los solicitase. Me comuniqué con Starbucks para averiguar sus razones y, luego de cierto recelo inicial, me informaron que ellos mismos recomendaron a la familia hacer el pedido a la policía porque, de lo contrario, no hubieran podido entregar el video.

Es cierto, bajo la una empresa no podría compartir un registro con la imagen de otra persona (los violadores) sin su consentimiento o sin mandato de una autoridad. Así de absurdo.

La sensación que me deja mi somera indagación de estos casos es una: desconfianza. Las empresas y las personas podrían colaborar entre sí de forma más rápida para mitigar los daños derivados de una fuga de datos personales o para obtener las imágenes que les permitan encontrar justicia, pero no tienen certeza de cómo proceder. Si informan a la autoridad acerca de una brecha de información, puede que las sancionen un año después. Si comparten las imágenes de unos presuntos delincuentes, podrían enfrentar procedimientos sancionadores en su contra.

Las leyes deberían otorgar seguridad a las personas. Ninguna norma o interpretación de ellas debería generar que las personas actúen con desconfianza entre sí y en contra del sentido común.