El presente artículo les pertenece en co-autoría a Ana Lucía Taboada Cárdenas y Gabriela Guadalupe Bolaños Vainstein.
La Ley de Protección de Datos Personales, Ley No. 29733 (en adelante, “LPDP”), determina que su ámbito de aplicación es territorial; no obstante, recientemente se han emitido distintos pronunciamientos e iniciativas que, en línea con algunas tendencias internacionales, buscarían extender el ámbito de aplicación territorial de la LPDP fuera de la soberanía del estado peruano.
Dichas iniciativas a analizar son: (i) las precisiones y pronunciamientos de la Autoridad de Protección de Datos Personales (en adelante, “Autoridad”) sobre la inaplicación de la LPDP en caso exista una figura de “tránsito” y no se configure la utilización de “medios situados en el territorio nacional”, pues caso contrario la LPDP podría aplicar a un responsable del tratamiento que esté situado en el extranjero; y (ii) la propuesta de incorporar un “Representante” en sede nacional a través del Proyecto de Ley No. 7870/2020-PE, “Ley que crea la Autoridad Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales” (en adelante, “Proyecto de Ley”).
1. ¿Qué dice la regulación sobre la protección de datos personales?
En primer lugar, un dato personal es toda aquella información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados. Así, el tratamiento de los datos personales implica cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.
Teniendo ello en consideración, el artículo 3 de la LPDP dispone que el ámbito de su aplicación incluye a todos los datos personales contenidos o destinados a ser contenidos en bancos de datos personales de administración pública y de administración privada, cuyo tratamiento se realiza en el territorio nacional. Sin embargo, el artículo 5 del Reglamento de la LPDP, aprobado mediante Decreto Supremo No. 003-2013-JUS (en adelante, “Reglamento”), precisa, respecto al ámbito de aplicación territorial de la LPDP y su Reglamento, que estos serán aplicables solo si: (i) el tratamiento es efectuado por un encargado del tratamiento, con independencia de su ubicación, a nombre de un titular de banco de datos personales establecido en territorio peruano o de quien sea el responsable del tratamiento; (ii) el titular del banco de datos personales o quien resulte responsable del tratamiento no esté establecido en territorio peruano, pero le resulte aplicable la legislación peruana por disposición contractual o del derecho internacional; y, (iii) el titular del banco de datos personales o quien resulte responsable no esté establecido en territorio peruano, pero utiliza medios situados en dicho territorio, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento.
Es de mencionar que para otros ordenamientos, como el Reglamento UE 2016/679, Reglamento General de Protección de Datos Personales (en adelante, “RGPD”), estipula en su artículo 3.2 que sus disposiciones resultan aplicables a cualquier responsable del tratamiento fuera de la Unión Europea, siempre que (i) se ofrezcan productos o servicios a ciudadanos dentro de la Unión Europea -independientemente de si se requiere un pago-, o (ii) si se realiza seguimiento del comportamiento de los interesados en tanto estos tengan lugar dentro de la Unión Europea.
Así, dichas disposiciones generan que el RGPD extienda sus efectos jurídicos al exterior de la Unión Europea. Esto, a su vez, es lo que varios autores, como Bradford (2020), han catalogado como “el efecto Bruselas” de la Unión Europea sobre el resto de ordenamientos jurídicos en el mundo, pues Bradford (2021) ha revelado que tal efecto se produce de facto, en tanto la adopción de reglamentaciones al estilo de la Unión Europea por parte de gobiernos extranjeros puede ser el resultado de la presión ejercida por las empresas locales que ya cumplen las reglas y normas de la Unión Europea, consideradas altamente estrictas; por ello, las multinacionales optan por mantener las mismas normas en otros mercados, i.e. el RGPD, y así evitar el coste de cumplir con diferentes regímenes normativos en cada país que, por lo general, suelen ser más laxos. Ello generaría un segundo efecto de jure, pues la experiencia evidencia que las normas de la Unión Europea en múltiples ámbitos terminan siendo modelo referente gracias a su influencia política y económica.
Con este panorama, en los siguientes dos acápites se analizarán las recientes iniciativas de la Autoridad a efectos de determinar si se observa una tendencia o interés interpretativo por extender la aplicación de la LPDP y su Reglamento más allá del territorio nacional que coincidiría -al menos-, temporalmente con la tendencia descrita.
2. El dilema de los medios situados en territorio nacional y los fines de tránsito
Como se mencionó, el artículo 5.4 de la LPDP determina que la LPDP y su Reglamento es de aplicación al tratamiento de datos personales cuando “[e]l titular del banco de datos personales o quien resulte responsable no esté establecido en territorio peruano, pero utilice medios situados en dicho territorio, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento [subrayado añadido]”. Al respecto, la Autoridad ha desarrollado una serie de criterios, considerados en algunos casos contradictorios, respecto a la figura de tránsito y a los medios ubicados en el territorio nacional, como se detalla a continuación:
Inicialmente, en la Opinión Consultiva No. 625-2015-JUS/DGPDP, se indicó que “las acciones con fines de tránsito corresponden únicamente a supuestos de circulación temporal de la información sin el propósito de realizar tratamientos concretos”, e.g., las redes de telecomunicaciones (ejes, centrales, cables) que forman parte del soporte de la plataforma de Internet y por las cuales pasan los contenidos desde el punto de expedición hasta el punto de destino.
Seguidamente, la Opinión Consultiva No. 56-2020-JUS/DGTAIPD reiteró que “aplicará la LPDP y su reglamento cuando se utilicen medios situados en territorio nacional con fines de tratamiento” y que ello sucedía, por ejemplo, cuando un motor de búsqueda realiza una operación técnica como visitar páginas web ubicadas en servidores web peruanos, registra e indexa información extraída utilizando medios situados en territorio peruano.
Así, dicha Opinión destacó que una forma de identificar si una página web utiliza medios situados en el Perú es verificando si su contenido está dirigido a personas ubicadas en el territorio nacional, como cuando, una página web extranjera muestra publicidad dirigida al Perú, tiene una sede en el territorio nacional, o cuenta con servidores en Perú. No obstante, en caso una página web extranjera no se encuentre inmersa en alguno de los escenarios anteriores, entonces la LPDP y su Reglamento no serán aplicables, así la misma tuviese un buzón de contacto que permita que personas ubicadas en diversos territorios puedan remitir alguna consulta.
Por otro lado, en la Resolución Directoral N° 975-2020-JUS/DGTAIPD-DPDP se determinó que la actividad de la plataforma Facebook no califica como “tránsito” en tanto sí utiliza medios ubicados en Perú que implican un tratamiento de datos personales en los siguientes casos: (i) cuando usuarios peruanos se registran en la plataforma para acceder a los servicios se recopilan datos personales en territorio peruano -a través de las redes de telecomunicaciones y los equipos terminales con acceso a Internet-, que son transmitidos y almacenados en los servidores de Facebook para subsiguientes tratamientos en el extranjero; (ii) la organización realizada a datos personales con fines de segmentación (identificando grupos homogéneos) y perfilamiento de la información de los usuarios para fines comerciales; (iii) la transferencia de los datos personales que se podría realizar a empresas del grupo Facebook para facilitar, respaldar e integrar sus actividades y mejorar sus servicios; y, (iv) el uso de los datos personales para la presentación personalizada de anuncios, ofertas y otro contenido patrocinado a los usuarios peruanos, i.e. publicidad dirigida.
En la Resolución previa, la Autoridad determina que la actividad de dicha empresa no califica como una figura de tránsito, pues el solo “registro” de usuarios en sede nacional en su plataforma web para acceder a servicios (que a su vez recopilan datos) a través de las “redes de telecomunicaciones y los equipos terminales con acceso a Internet” ya implican un tratamiento de datos personales en sede nacional en el cual es aplicable la LPDP. Al respecto, si bien se genera un precedente interpretativo que aterriza aún más lo señalado en opiniones consultivas previas, la Autoridad no llega a desarrollar expresamente cuándo se configura un supuesto de fines de mero tránsito, lo cual deja un espacio vacío legal sobre los fines de tránsito y que conlleva a un escenario de incertidumbre para los administrados.
3. Las propuestas legislativas para ampliar los efectos extraterritoriales de la LPDP
El 10 de junio de 2021, se presentó el Proyecto de Ley No. 7870/2020-PE, Ley que crea la Autoridad Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, que pretende incorporar la figura del representante, definida por el propuesto artículo 2.8 de la LPDP, como una “[p]ersona natural o jurídica domiciliada en territorio peruano que es designada de manera expresa por el responsable, titular o el encargado del tratamiento conforme a lo establecido en el artículo 28”.
No obstante, en el artículo 28.11[1] del Proyecto de Ley se dispone expresamente que será necesario contar con un representante en caso el responsable, titular o el encargado del tratamiento no se encuentre establecido en territorio peruano, pero utilice medios situados en dicho territorio y realice tratamiento de datos en el contexto peruano de una oferta de bienes o servicios en el que los titulares de datos residan en el país. De ese modo, la obligación de contar con un representante no sería aplicable a los fines de tránsito. Sin embargo, como se expuso en el acápite 2, la Autoridad no ha definido expresamente o, al menos interpretado con claridad suficiente, qué supuestos sí configuran un “fin de tránsito”; lo que podría conllevar a que las empresas extranjeras, ante la falta de claridad de la Autoridad, cuenten con la obligación implícita de optar por un representante en el territorio nacional.
Dicho escenario resulta gravoso, considerando además que la obligación de contar con un representante contraviene tratados internacionales suscritos por el Perú, como el Tratado de Libre Comercio con Estados Unidos, cuyo contenido indica en su artículo 11.5º, que ninguna parte deberá obligar a mantener representación o ser residente en su territorio como condición para el suministro transfronterizo de un servicio. Además, los tratados internacionales, conforme al artículo 200.4° de la Constitución[2], poseen rango de ley conforme a lo reconocido por el Tribunal Constitucional al disponer que “los tratados son fuente normativa, no porque se produzcan internamente, sino porque la Constitución así lo dispone”[3].
En conclusión, podemos verificar que la Autoridad viene desarrollando una serie de criterios sobre el ámbito de aplicación territorial de la LPDP y su Reglamento dejando vacíos legales contenidos en ambos cuerpos normativos, lo cual podría dar lugar a posibles arbitrariedades en la interpretación sobre la aplicación del ámbito territorial. Así, si bien se prevé reglamentariamente la figura de los “fines de tránsito”; esta no goza de definición por la misma vía y los criterios interpretativos de la Autoridad no han logrado determinar sus implicancias y efectos jurídicos. Igualmente, el querer introducir la figura del “Representante” dentro de la legislación peruana ocasionaría aún mayor incertidumbre al introducir mayores obligaciones legales aplicables sin tener la claridad necesaria sobre cuándo se configura un escenario de mero tránsito. Sin perjuicio de ello, la Autoridad cuenta la posibilidad de generar aclaraciones y motivar adecuadamente los criterios desarrollados hasta la fecha y, específicamente, definir expresamente cuándo nos encontramos frente a un supuesto con fines de tránsito, así como cuestionar si resulta positivo continuar extendiendo el ámbito de aplicación de la LPDP y su Reglamento que, en principio, se define por el criterio de territorialidad.
*Las opiniones expresadas en este artículo son del autor y no reflejan necesariamente el punto de vista de los administradores del blog The Crypto Legal ni de la asociación Lawgic Tec
[1] Proyecto de Ley No. 78/70/2020-PE
Artículo 28. Obligaciones
El responsable, titular y el encargado de tratamiento de datos personales, según sea el caso, tienen las siguientes obligaciones:
- “Designar a un representante, cuando no se encuentre establecido en territorio peruano, pero utilice medios situados en dicho territorio y realice tratamiento de datos en el contexto peruano de una oferta de bienes o servicios cuyos titulares residen en el país; o, cuando las preferencias, actitudes o comportamientos de los titulares de datos sean materia de análisis para perfilamiento o fines similares. Para estos efectos, la Autoridad emite la directiva o lineamiento correspondiente”.
[2] Constitución Política del Perú
Artículo 200.- Acciones de Garantía Constitucional
Son garantías constitucionales:
- La Acción de Inconstitucionalidad, que procede contra las normas que tienen rango de ley: leyes, decretos legislativos, decretos de urgencia, tratados, reglamentos del Congreso, normas regionales de carácter general y ordenanzas municipales que contravengan la Constitución en la forma o en el fondo.
[3]STC Exp. 00047-2004-AI/TC, fundamentos jurídicos 18 al 22. Recuperado de: https://www.tc.gob.pe/jurisprudencia/2006/00047-2004-AI.html.
