El viernes pasado entró en vigencia la llamada Ley de Protección de Datos Personales, la cual tiene como objetivo garantizar que la información de individuos que las empresas e instituciones públicas manejan sea adecuadamente utilizada. Todos los datos personales que identifican o hacen identificable a personas naturales están sujetos a la norma, y aquellas organizaciones que traten la información deberán contar con el consentimiento previo del titular de los datos y guardar confidencialidad sobre la misma.
A primera vista, la ley resulta pertinente. Después de todo, sin el cuidado adecuado los datos personales pueden ser utilizados para fines bastante menos inocuos que una que otra campaña comercial molesta. Sin embargo, la ley, tal y como está planteada, despierta cuestionamientos tanto desde el punto de vista económico como desde las libertades para acceder a información pública.
En primer lugar, respecto de su impacto sobre la competitividad de las empresas, la ley impone grandes restricciones a la posibilidad de contactar a una persona para ofrecer un servicio, ni siquiera para ofrecer un puesto de trabajo. Antes debe obtenerse su consentimiento, el cual debe tener una cantidad tal de información (finalidad, destinatarios de los datos, domicilio de la empresa, derechos que están enumerados en la ley, y un largo etcétera), que hace de esta una tarea extremadamente complicada.
La norma tampoco permite compartir los datos con ninguna empresa si no hay tal consentimiento, o si no se ha firmado un contrato con dicha empresa. Además, la más simple base de datos tiene que contar con complejos mecanismos de seguridad que la mayoría de empresas e instituciones públicas no cumple y tal vez no tenga los recursos para hacerlo. Todo ello sin considerar la burocrática faena de registrar las bases de datos, cuya utilidad –más allá de facilitar el trabajo de fiscalización– es un enigma. Paradójicamente, ese registro obliga a declarar la ubicación física de los bancos de datos, lo que no hace sino poner en riesgo la seguridad de las empresas que quieren protegerse de ataques informáticos y el robo de información.
En segundo lugar, con respecto a la restricción de acceso a información pública, la interpretación de la ley por parte de la Autoridad Nacional de Protección de Datos Personales (ANPDP), la entidad encargada de velar por el cumplimiento de la regulación adscrita al Ministerio de Justicia y Derechos Humanos, es preocupante. Por ejemplo, en el caso seguido contra DatosPeru.org, la autoridad dictaminó que la republicación de información aparecida en el diario oficial “El Peruano” de forma que sea más amigable para los usuarios iba en contra de la norma.
Así, en la resolución que sanciona a DatosPeru.org se puede leer: “debe tenerse en cuenta que ‘previamente’ la resolución publicada fue difundida en la sección de Normas Legales, tanto en la versión impresa como en la versión online, en el marco de las obligaciones legales, pero ello no faculta al reclamado [DatosPeru.org] a realizar un tratamiento de datos personales que resulta perjudicial para el reclamante y que no se justifica en el interés público. Es de advertir que el diario oficial ‘El Peruano’ no ha puesto a disposición de los usuarios la sección Normas Legales, mediante la indexación en los buscadores de Internet, como sí lo hizo el reclamado”. En otras palabras, mejorar la deficiente presentación de información pública que ofrece el gobierno es ilegal.
En términos generales, la norma impediría que se realicen diversas iniciativas vinculadas al periodismo de datos. Los proyectos que sistematizan y hacen más accesibles las bases de datos de instituciones estatales y que contienen información de dominio público estarían al margen de la ley. Por ejemplo, los programas para buscar de manera eficiente los antecedentes de los candidatos a cargos políticos estarían vetados: primero habría que pedirle permiso a los más de 11.000 candidatos que participan en las elecciones regionales y municipales, y a los más de 1.500 que aspiran al Congreso. La publicación del listado de personas espiadas por la DINI tampoco hubiese sido posible bajo esta norma.
Es cierto: la protección de datos personales es una tarea valiosa y cada vez más urgente en una sociedad que avanza velozmente a la era digital. La manera de hacerlo, sin embargo, no debe ser imponiendo costos desproporcionados a las empresas ni impidiendo el manejo de información pública. Después de todo, mantener fuera del dominio público aquello que legítimamente debe ser privado no debe facilitar a las instituciones del Estado a esconder lo que sí debe ser público.