#ElPerúQueQueremos

“La protección de los datos personales vs el interés público”.

El entrevistado, el abogado José Álvaro Quiroga León, es un funcionario del ministerio de Justicia y en dicha calidad, es jefe de la Autoridad Nacional de Protección de Datos Personales (ANPDP). La ley peruana encargó al ministerio de Justicia ejercer dicha función.

Publicado: 2015-06-04

La entrevista -grabada por ambas partes- estuvo inicialmente pensada para ser más breve dados los requerimientos formales de un blog. En ese sentido, algunas respuestas se han resumido escogiendo las ideas centrales del entrevistado. Lo mismo con las preguntas. No obstante, la intención de poner las luces sobre el criterio del funcionario para identificar y resolver conflictos entre la protección de los datos personales y el interés público, obligaron a brindarle al documento un espacio inusual. Queda por lo tanto en la esfera del lector ponderar la forma y el fondo de esta entrevista, cuyos temas, lejos de agotarse en ésta, se mantienen abiertos a la discusión.


Javier Casas

Abogado especializado en libertades informativas. Suma Ciudadana. @javiercasas


Fotografía: http://fotografia.congreso.gob.pe/ (vía @otorongo_pics)


Empecemos por delimitar el contexto de la conversación: el ámbito de protección de los datos personales se reduce en ciertos casos, como por ejemplo el de los funcionarios públicos o el de los personajes públicos, notorios, etc…
Yo no lo plantearía en términos de que el derecho se reduce o no porque ningún derecho fundamental puede servir para minimizar o eliminar a otro. Los derechos tienen su contorno delimitado en sus límites con otros derechos. Los derechos fundamentales tienen que coexistir y sus límites de moldearán de acuerdo con cada caso concreto. En cada caso habrá que evaluar las cosas en juego, si es relevante para el público, las necesidades del Estado, la transparencia, etc. Ahora bien, en el campo de la información pública, yo me remito a la Constitución que dice que todos tenemos derecho a acceder a la información en poder del Estado, y probablemente allí viene la confusión; confundir información en poder del Estado con información pública toda.
Hay excepciones.
No son igual. La información en poder del Estado es una cosa y la información pública es otra cosa. La presunción de máxima publicidad dice que toda la información en poder del Estado se presume de acceso público, con algunas excepciones. La primera y de rango constitucional es la información personal. Desde la Constitución podemos decir que es información pública la que está en poder del Estado, pero no la personal. Y la Ley de Transparencia y Acceso a la Información Pública dice exactamente lo mismo. No puede ejercerse el derecho de acceso a información pública respecto de la información personal que pueda afectar la privacidad de una persona o de su familia.
Es decir, los datos personales no se rigen por la Ley de Transparencia y Acceso a la Información Pública (además).
La Ley de Protección de Datos Personales no regula información pública. No se ocupa, no tiene un sólo artículo sobre información pública, ni para alentarla ni para restringirla. La Constitución y la Ley de Transparencia y Acceso a la Información Pública excluyen de esa categoría a los datos personales. Entonces, si partimos de la premisa que los datos personales son información pública que no se entrega, estamos partiendo de una premisa que desde el punto de vista de la Constitución y de la ley de transparencia es equivocada.
Pero algún dato personal es de acceso público.
Siempre hay un espacio. Habrá algún tipo de información personal cuya publicación no afecta la privacidad y esa es accesible. Pero el asunto no queda allí, porque los datos personales en poder de las entidades públicas, es decir, del Estado -aún los datos sensibles- pueden ser tratados, y la entrega es una forma de tratamiento, en la forma que lo disponga una ley que atienda al interés público. ¿Qué ley puede ser esa? Por ejemplo la Ley de Transparencia y Acceso a la Información Pública. Entonces, no es que están cerradas las puertas, pero hay que partir del concepto adecuado. La información privada no es información pública. Puede ser entregada si es que una ley autoriza su entrega cuando está en poder del Estado.
Entonces, cuando usted se refiere a información privada, se está refiriendo a datos personales en general, incluso aquellos que están en poder del Estado y son de acceso público. Por ejemplo, la información pública de las declaraciones juradas patrimoniales de los funcionarios públicos.
Esa es información que tiene un tratamiento que incluye el tratamiento publicación. Publicar o no publicar es un tratamiento. Ser información pública o privada atiende a la naturaleza de la información. Entonces uno puede tener información pública escondida y sigue siendo información pública, igual puedes tener información privada que se publica. Pero no por estar publicada deja de ser información privada. Es información privada publicada porque el tratamiento ‘publicar’ está autorizado.
En ese sentido la privacidad no es una restricción para el acceso a la información.
No tiene por qué serlo, y en todo caso, si es una restricción, no es una restricción establecida en la Ley de Protección de Datos Personales, sino en la Constitución y en la propia Ley de Transparencia y Acceso a la Información Pública.
El art. 13.6 de la Ley de Protección de Datos Personales señala que el tratamiento de un dato personal sensible (información médica, política, económica, etc.) puede darse sin consentimiento del titular cuando es autorizado por una ley cuya motivación sea el interés público. ¿Cómo la Autoridad Nacional de Protección de Datos Personales entiende este planteamiento?
Lo entendemos como una forma de atender a la preocupación de que el interés público prevalezca sobre la privacidad cuando corresponde que sea así. Y los niveles de cuidado alrededor de eso son que eso no lo decide ni la Autoridad, ni el ciudadano ni una autoridad intermedia, lo decide el Poder Legislativo. El Poder Legislativo interpreta cuál es el interés público y dice: esto sí se debe tratar así.
Pero si partimos del supuesto de que los datos personales no están considerados dentro de la información pública, entonces la Ley de Transparencia y Acceso a la Información Pública no sería una ley de interés público aplicable a los datos personales para su publicidad.
Al contrario. Por ejemplo, cuando se nos ha preguntado por los ingresos de los funcionarios públicos, sobre la base de que son información sensible de acuerdo con la Ley de Protección de Datos Personales, lo que hemos dicho es que el supuesto del artículo 13.6 calza perfectamente porque existe una ley de alto interés público, que es la Ley de Transparencia, que dice que los ingresos que provienen del Estado son información pública.
En el caso de la prensa, la norma autoritativa no podría ser una ley. Sería la Constitución, la libertad de prensa, de expresión y de información.
Sí. Pero aquí estamos cambiando de un escenario en donde una ley autoriza cierto tratamiento, como podría ser el tratamiento de la información vinculada con los ingresos de los funcionarios públicos, a un derecho del mismo rango que el derecho a la protección de los datos personales, y del mismo rango que el derecho a la transparencia, y es que todos tenemos derecho a estar debidamente informados. Si el trabajo de la prensa está sostenido en el interés público, nunca se ha detenido ni tiene por qué detenerse en normas de privacidad.
Nunca podría ser detenido (por exigencias exógenas) porque no hay censura previa.
A lo que voy es que si una norma dijera que una información no es accesible porque es privada, ¿eso detendría a un periodista de meterse en información privada cuando ésta tiene relevancia? No, porque el interés público justifica esa intromisión. Y eso no proviene de la ley sino de la Constitución, del derecho a estar informados y a la libertad de prensa.
Otro asunto relevante es el tratamiento masivo de datos personales con la finalidad de informar al público, por ejemplo, por periodistas. Estas bases de datos normalmente se crean o procesan en ambiente de reserva, hasta que se publica una historia. ¿Si la ANPDP constata su existencia podría obligar a los administradores (personas/medios) a registrarlas de acuerdo con la ley?
Primero habría que constatar qué tratamiento se le da a esa base de datos. Si es para realizar una investigación periodística, yo pensaría incluso que esa base de datos forma parte del derecho que tiene a no revelar sus fuentes. Pero si esa base de datos se utiliza para otras cosas, tratamientos distintos no justificados por el trabajo periodístico que por su naturaleza debe ser confidencial, sí tendría que declararla (ante la ANPDP) y hacerse cargo de las responsabilidades de darle un tratamiento distinto.
Podríamos fijar una regla según la cual las bases de datos personales que tienen como finalidad trabajo periodístico (revelar información de interés público) no deben registrarse ante la ANPDP obligatoriamente.
La ley no las exceptúa. Pero por una interpretación finalista, si la razón de ser de un banco de datos es que sea conocida su existencia, pero una de las condiciones de un banco de datos de un periodista es que sea confidencial para que el asunto funcione, y porque está trabajando para cuestiones de interés público, si ambas finalidades se contradicen hay que compatibilizarlas. Lo que se ganaría haciendo pública la existencia de ese banco de datos anula un bien del mismo nivel o mayor que es un trabajo periodístico, siempre en la medida que esté encaminado a cosas de relevancia pública.
Ante el caso de una persona que se considera afectada por un trabajo periodístico y pide la intervención de la ANPDP para examinar una base de datos personales que lo sostiene, la Autoridad mantendría el criterio de no intervención?
Ante el ejercicio del derecho de petición hay que dar una respuesta. Y la respuesta puede ser complicada si uno se mueve dentro de un mundo maniqueo, en donde todo se resuelve por la protección de datos y sólo se puede intervenir desde el punto de vista de la protección de datos personales, pero eso no es así. Si lo que se denuncia es un tratamiento de datos que no está cubierto por el ejercicio razonable de la prensa por supuesto que habrá que sancionar.
Concluida la construcción y el aprovechamiento de una base de datos personales cuya finalidad es de interés público, si el siguiente acto es publicarla podría ser un tratamiento que excedería el ejercicio de la libertad de prensa o del derecho de información?
Se trata de otro tratamiento, y debemos preguntarnos para qué lo haces, cual es la finalidad. Y quien haga ese tratamiento distinto debe hacerse cargo de las responsabilidades que pueda acarrear ese otro tratamiento. No estamos diciendo que no se haga otros tratamientos, sino que quien los haga debe hacerse responsable de sus consecuencias. El acceso a datos personales de fuente pública no significa que uno puede hacer con esa información lo que le de la gana. El acceso a datos personales de fuente pública es una exoneración al consentimiento para acceder y luego uno se hace cargo por todo lo que haga con esa información.
Finalmente, un criterio de la ANPDP es que el tratamiento de nombres de personas que ejercen cargos en personas jurídicas no incumbe a la Ley de Protección de Datos Personales por ser un dato de la persona jurídica. Pero al mismo tiempo la ANPDP borra esos nombres en su correspondencia pública con otras personas jurídicas. ¿Cual es la explicación?
Hay niveles. Cuando una persona natural pone su nombre porque es la persona de contacto de una persona jurídica, pública o privada, allí no hay tratamiento de datos personales de una persona natural. Hay tratamiento de datos personales de una persona jurídica. En el caso de las consultas que llegan y las que nosotros publicamos, el que nosotros publiquemos información anonimizada no significa que uno no pueda conocer quien lo hizo. Lo que estamos haciendo es una versión publicable. Pero si alguien me pide el original de esa solicitud y es un funcionario público o el representante de una persona jurídica, yo se la voy a entregar. Pero hay una gran diferencia entre hacer una versión publicable tachando, y que eso signifique que yo estoy escondiendo a la persona. Lo que hacemos es simplemente no publicar alegremente datos personales. Pero no los escondemos. No es lo mismo ‘no publicar’ que esconder. Yo puedo no publicar pero si me lo piden lo entrego. Esa es una noción absolutamente clara para quienes trabajamos en protección de datos personales pero difícil de comprender por otras personas. Yo puedo dar acceso individual pero negar acceso masivo porque estoy protegiendo la privacidad.
Pero entonces, la anonimización de la correspondencia que publica la ANPDP es algo así como una liberalidad de la entidad, una decisión propia.
Probablemente seamos la única entidad pública que tiene claro cómo proteger los datos personales. Si me preguntan si otras entidades deberían anonimizar las cosas que sacan cuando hay datos personales, sí deberían anonimizarla. ¿Qué se consigue haciendo pública la persona que ha hecho la consulta?
En el caso de la administración pública corresponde con una regla de transparencia.
Pero no se está escondiendo qué entidad es la que ha hecho la pregunta. Nosotros no estamos escondiendo nada. Sólo estamos evitando que se conozca, en la versión publicada, el nombre de una persona natural.

Escrito por


Publicado en

javier casas

Just another Lamula.pe weblog