Los sujetos pasivos u obligados por el derecho a la protección de

datos personales o autodeterminación informativa. VII. Las facultades del derecho a la protección de datos personales o autodeterminación informa- tiva. VIII. Reconocimiento constitucional y regulación del derecho a la autodeterminación informativa en el Perú.

Introducción

No cabe duda de que el desarrollo incontenible de las tecnologías de la infor- mación y de las comunicaciones ha reportado grandes beneficios para la socie- dad. La posibilidad de conocer con un considerable grado de certidumbre y rapi- dez, aspectos que dan cuenta de la solvencia económica de nuestros potenciales contratantes, es sin duda un elemento que redunda a favor del tráfico económico y que nos permite reducir los riesgos que acompañan la mayoría de las operacio- nes contractuales de contenido patrimonial. Desde el punto de vista de las activi- dades a cargo del Estado, tareas como la recaudación tributaria, la gestión de la sanidad y de la seguridad social, así como la investigación y prevención del deli- to, entre muchas otras, pueden desarrollarse con mayor eficacia y predictibilidad a partir del empleo de archivos informatizados en donde se registra y procesa un

caudal considerable de información referida a personas determinadas1_.

* Abogada. Miembro ordinaria de la Asociación Peruana de Derecho Constitucional. Ha sido profesora de Derecho Constitucional en la Pontificia Universidad Católica del Perú.

1 El presente trabajo toma como base el estudio que publicamos en la revista Ius et Veritas (N° 37, pp. 260-276) titulado “El derecho fundamental a la protección de datos personales: aportes para su

Pero también resultan indiscutibles los riesgos que conlleva el uso descon- trolado de la informática, por su potencialidad para convertirse en instrumento

de control e injerencia en la vida ajena2_{. El conocimiento y uso de la informa-}

ción personal puede hacer posible la adopción de decisiones que afectan los derechos fundamentales de sus titulares, quienes quedarían en una situación de virtual indefensión frente a ello, si no se les reconoce la facultad de controlar la gestión de sus datos personales.

La preocupación que acabamos de plantear no es nueva. Desde su desarro- llo inicial, a partir de la década de los sesenta, la informática reveló su capa- cidad de procesar, relacionar y transmitir información a gran velocidad y ello motivó la búsqueda de soluciones dirigidas a conciliar el uso necesario de esta

herramienta, con el respeto a los derechos fundamentales3_{. Desde esta perspecti-}

va, se ha señalado que el derecho a la protección de datos personales constituye

“una reacción de defensa frente al avance de la informática”4_{, que busca que las}

personas “recuperen” el control sobre sus datos personales5_.

La sentencia del Tribunal Constitucional Federal Alemán sobre la Ley de Censo de 1982, dictada el 15 de diciembre del año siguiente, tuvo un impacto significativo en la comprensión y desarrollo del derecho a controlar y disponer de la información personal registrada en archivos o bancos de datos. Así, sobre la base del derecho general de la personalidad, el Tribunal sostuvo que el dere- cho a la autodeterminación informativa conlleva:

“(...) libertad de decisión, de control, supone además que el individuo tenga la posibilidad de acceder a sus datos personales, que pueda, no solo tener desarrollo en el Perú”; y el artículo “El proceso de hábeas data”, con el cual participamos en la obra colectiva Estudios y jurisprudencia del Código Procesal Constitucional. Análisis de los procesos cons- titucionales y jurisprudencia artículo por artículo, coordinada por el profesor Luis Castillo Córdova, (2009, pp. 193-245).

PÉREZ LUÑO, Enrique Antonio. “Informática y libertad. Comentario al artículo 18.4 de la Constitu- ción Española”. En: Revista de Estudios Políticos (Nueva época). N° 24, noviembre-diciembre de 1981, p. 36.

2 MURILLO DE LA CUEVA, Pablo Lucas. Perspectivas del derecho a la autodeterminación informati-

va. En: Revista de Internet, Derecho y Política (Monográfico: “III Congreso Internet, Derecho y Política

(IDP). Nuevas perspectivas”). N° 5, 2007, p. 21. Disponible en: <http: //www.uoc.edu/idp/5/dt/esp/ lucas.pdf> [Fecha de consulta: 25/11/2009].

3 SERRANO PÉREZ, María Mercedes. El derecho fundamental a la protección de datos. Derecho espa-

ñol y comparado. Civitas, Madrid, 2003, pp. 18 y 19.

4 EKMEKDJIAN, Miguel Ángel y PIZZOLO, Calogero. Hábeas data. El derecho a la intimidad frente a

la revolución informática. Depalma, Buenos Aires, p. 21.

5 MESSÍA DE LA CERDA BALLESTEROS, Jesús Alberto. “El consentimiento y el derecho a la pro- tección de datos de carácter personal”. En: Nuevas Políticas Públicas: Anuario multidisciplinar para la

conocimiento de que otros procesan informaciones relativas a su persona, sino también someter el uso de estas a un control, ya que, de lo contrario, se limitará su uso de decidir por autodeterminación”.

En el caso español, aunque la Constitución de 1978 ha reconocido este de- recho, una concepción más acabada del mismo se puede encontrar en la decisión del Tribunal Constitucional del 30 de noviembre del año 2000, en donde lo defi- nió en los siguientes términos:

“Consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de dispo- sición y control sobre los datos personales, (...) se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o

usos posibles, por un tercero, sea el estado o un particular”6_.

Este derecho se encuentra consagrado en la Constitución peruana de 1993, aunque de manera insuficiente, como más tarde tendremos ocasión de comentar, y se ha previsto como mecanismo jurisdiccional para su protección al proceso constitucional de hábeas data. Pese a su condición de derecho fundamental y su creciente importancia, en vista de la presencia de la informática en casi todos los ámbitos de nuestras vidas, no contamos en la actualidad con una norma que de- sarrolle y regule su ejercicio. Si bien en algunos sectores existen disposiciones que tienen por objeto la protección de los datos personales, estos representan esfuerzos aislados y aplicables al tratamiento de información personal en situa- ciones puntuales. Entre estas normas encontramos la Ley N° 27489, que regula la actividad de las centrales privadas de información de riesgo (Cepirs), donde se incluyen los principios que deben orientar el acopio y el uso de los datos de carácter patrimonial, así como los derechos que asisten a los titulares de dicha información. También podemos citar la Ley N° 28943, a través de la cual se ha normado el uso del correo electrónico comercial no solicitado, estableciendo las condiciones que deben cumplir estas comunicaciones para considerarse legíti- mas, así como los derechos de los usuarios y las obligaciones de los respectivos proveedores.

Pero también existen sectores del ordenamiento nacional en donde el re- gistro y uso de datos personales se produce sin que exista un marco normati- vo adecuado para viabilizar a los afectados el control y vigilancia sobre su uso, pues es frecuente que la normativa que los rige se limite a establecer la reserva

de cierta información y prohibir que sea proporcionada a terceros7_{. Sin embar-}

go, como veremos seguidamente, el derecho a la protección de datos personales se encuentra integrado por distintas facultades y requiere para su eficacia de un conjunto de normas que establezcan principios, deberes y procedimientos que

garanticen a toda persona el control sobre los datos que le conciernen8_{. Por esta}

razón, si bien constituye un avance su reconocimiento a nivel constitucional y contar con un mecanismo jurisdiccional para su protección, existe una tarea pen- diente de regular su ejercicio para que su eficacia quede asegurada.

Por otro lado, la creación del Registro de deudores alimentarios morosos, a través de la Ley N° 28970, en donde se inscribe el incumplimiento de las obligaciones alimentarias, y el reciente anuncio desde el Ministerio de Justicia, sobre la creación de un registro de funcionarios públicos procesados por delitos contra el Estado, pone en evidencia que, aunque el registro de ciertos datos y su eventual puesta a disposición del público puede servir a finalidades legítimas, es necesario que los afectados se encuentren en condiciones de vigilar el uso de

la información referida a su persona que ha sido registrada por mandato legal9_.

Lo contrario, importa una situación de indefensión que desconoce un derecho al que la Constitución le confiere carácter fundamental.

7 Este es el caso del artículo 25 de la Ley General de Salud, Ley N° 26842, en la que se señala que la infor- mación relativa al acto médico es reservada. Del mismo modo, tratándose de las entidades que ejercen funciones públicas la Ley de Transparencia y Acceso a la Información Pública, siguiendo el mandato contenido en el inciso 5 del artículo 2 de la Constitución, señala en su artículo 17 que el derecho de acceso a la información pública no podrá ser ejercido respecto de “5. (…) los datos personales cuya publicidad constituya una invasión de la intimidad personal y familiar”. Recomendamos la lectura de la revisión normativa efectuada por: ZAMUDIO SALINAS, María de Lourdes. “Situación de la protec- ción normativa de los datos personales en el Perú”. En: Datospersonales.org. La revista de la Agencia de Protección de Datos de la Comunidad de Madrid. N° 26, 2007. Disponible en: <http://www.madrid. org/cs/Satellite?c=CM_Revista_FP&esArtículo=true&pagename=RevistaDatosPersonales%2FPage% 2Fhome_RDP&idRevistaElegida=1142336172584&language=es&cid=1142340685271&siteName=R evistaDatosPersonales>. [Fecha de consulta: 02/12/2009].

8 En efecto, como ha señalado Pablo Lucas Murillo, la técnica de protección de datos se encuentra inte- grada por “un conjunto de derechos subjetivos, deberes, procedimientos, instituciones y reglas objeti- vas”: El derecho a la autodeterminación informativa. Tecnos, Madrid, 1990, p. 174.

9 De acuerdo con el artículo 1 de la Ley citada son objeto de inscripción las personas que “adeuden tres (3) cuotas, sucesivas o no, de sus obligaciones alimentarias establecidas en sentencias consentidas o ejecutoriadas, o acuerdos conciliatorios con calidad de cosa juzgada”, así como las personas que incumplan con el pago de las pensiones “devengadas durante el proceso judicial de alimentos si no las cancelan en un periodo de tres (3) meses desde que son exigibles”.

En el presente estudio abordaremos algunos de los elementos esenciales para la comprensión del derecho fundamental a la protección de datos perso- nales. Nuestro trabajo se inicia con una breve pero necesaria distinción entre el derecho objeto de estudio y el derecho a la intimidad personal, luego de lo cual ensayaremos una definición de dato personal y de lo que supone su tratamiento. Posteriormente, se desarrollará el concepto del consentimiento y su significado en el contexto del manejo y gestión de los datos personales, así como los dere- chos que asisten a los titulares de dicha información para controlar su uso. Fi- nalmente, ingresaremos al análisis de su tratamiento en la Constitución peruana de 1993, su desarrollo en la jurisprudencia del Tribunal Constitucional y en el Código Procesal Constitucional.

I. La necesaria distinción entre el derecho a la intimidad y la protección de datos personales

Aunque en sus inicios el derecho a la protección de datos personales o au- todeterminación informativa, fue considerado una faceta positiva del derecho a la intimidad, a la cual se le adscribió la función tutelar a las personas ante la

“agresión tecnológica de su intimidad”10_{, su desarrollo ha terminado por asentar}

su entendimiento como un derecho autónomo.

La evolución a la que hacemos referencia se puede apreciar en la jurispru- dencia del Tribunal Constitucional español que inicialmente concibió al derecho reconocido en el artículo 18.4 de la Constitución española como un nuevo ám- bito del derecho a la intimidad, para, posteriormente, a partir de la expedición de la STC 292/2000 antes citada, distinguir el contenido y objeto de cada uno de dichos atributos. De este modo “lo que antes era considerado un contenido “positivo”, y no meramente negativo o excluyente, de un derecho a la intimidad ampliado a nuevos supuestos de infracción, por causa de la informática, es ahora

un contenido diferenciado de un derecho autónomo”11_.

En lo que nos concierne, debe anotarse que el inciso 2 del artículo 11 de la Convención Americana de Derechos Humanos o Pacto de San José de Costa Rica señala que: “2. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, 10 PÉREZ LUÑO, Enrique Antonio. “Informática y libertad. Comentario al artículo 18.4 de la Constitu-

ción Española”. En: Revista de Estudios Políticos (Nueva época). N° 24, noviembre-diciembre de 1981, p. 34.

11 ROIG, Antoni. “La protección de las bases de datos personales. Análisis de la jurisprudencia del Tribu- nal Constitucional”. En: Revista Jurídica de Catalunya. N° 4, 2002, pp. 152 y 153.

ni de ataques ilegales a su honra o reputación”12_{. El Pacto utiliza la expresión} vida privada, sin hacer referencia explícita al derecho a la intimidad, y procla- ma seguidamente la protección al domicilio, a la correspondencia, así como a la honra y reputación. La mención a la vida privada por la que se ha optado en el Pacto, permite la comprensión de derechos como la intimidad y la protección de datos personales dentro de los alcances de su artículo 11.2. De hecho, la Relato- ría para la Libertad de Expresión de la Comisión Interamericana de Derechos ha venido haciendo referencia, en distintos documentos, al derecho de toda persona “a acceder a la información sobre sí misma o sus bienes en forma expedita y no onerosa, ya esté contenida en bases de datos, registros públicos o privados y, en

el caso de que fuere necesario, actualizarla, rectificarla y/o enmendarla”13_.

Por su parte, la Constitución de 1993 no reconoce a la vida privada como derecho fundamental, sino que tutela manifestaciones de este espacio a través del 12 El concepto de vida privada o privacidad nos remite al concepto anglosajón de privacy, el cual ha teni-

do un amplio desarrollo en los Estados Unidos. Así, desde su concepción inicial de privacy-property, entendido como una facultad destinada a la protección de la libertad personal, fue evolucionando hacia el derecho a la privacy-personality. El clásico artículo publicado en el mes de diciembre del año 1809 en la Harvard Law Review por D. Warren y Louis D. Brandeis va a tener una influencia trascendental en el desarrollo de este instituto. Allí se destaca el riesgo que representan los nuevos avances mecánicos (en especial, la fotografía) para el “derecho a ser dejado solo”; y se pone énfasis en la necesidad de reconocer autonomía al derecho a la privacy, frente a otros derechos con los que hasta entonces había estado virtualmente identificado.

Con el devenir del tiempo, el derecho a la privacy norteamericano ha experimentado un desarrollo no- table que, como recuerda Matía Portilla, ha producido un desbordamiento de su inicial concepción para incluir dentro de su área de cobertura los siguientes aspectos: “esterilización y contracepción; derechos relacionados con el matrimonio y la familia; aborto y derecho a tomar parte en actos sexuales”. A la vista de lo señalado puede afirmarse que hoy en día los alcances del derecho a la privacy son mucho más amplios que el que corresponde al derecho a la intimidad, por lo que no cabe asimilarlos: MATIA PORTILLA, Francisco Javier. El derecho a la inviolabilidad de domicilio. Tesis para la obtención del grado de doctor en derecho en la Universidad de Valladolid, 1996, p. 119, 120 y 121.

13 Declaración de Principios sobre la Libertad de Expresión, aprobados por la Comisión Interamericana de Derechos Humanos en el año 2000, Principio 3. Como sustento, la Relatoría ha señalado lo siguiente: “12. (…) La acción de habeas data se erige sobre la base de tres premisas: 1) el derecho de cada perso-

na a no ser perturbado en su privacidad, 2) el derecho de toda persona a acceder a información sobre sí misma en bases de datos públicos y privados para modificar, anular o rectificar información sobre su persona por tratarse de datos sensibles, falsos, tendenciosos o discriminatorios y 3) el derecho de las personas a utilizar la acción de habeas data como mecanismo de fiscalización”.

Por su parte, en el Informe Anual de la Relatoría para la Libertad de Expresión del año 2001 se hizo referencia a la acción de hábeas data en el siguiente sentido:

“26. Una de las formas para garantizar el derecho a la protección contra información abusiva, inexacta o perjudicial de las personas es el acceso a bancos de datos tanto públicos como privados con la finali- dad de actualizar, rectificar, anular o mantener en reserva, en caso de que sea necesario, la información del particular interesado. Esta acción conocida como habeas data se instituyó como una modalidad del proceso de amparo para proteger la intimidad de las personas. Mediante este procedimiento se garan- tiza a toda persona a acceder a información sobre sí misma o sus bienes contenida en base de datos o registros públicos o privados, y en el supuesto caso que sea necesario, actualizar, rectificar, anular o mantener en reserva dicha información con la finalidad de proteger ciertos derechos fundamentales”.

reconocimiento los distintos derechos como son: el derecho al secreto e inviola- bilidad de las comunicaciones y documentos privados (inciso 10), la inviolabili- dad de domicilio (inciso 9), el derecho a la propia imagen y a la voz (inciso 7),

el derecho a la autodeterminación informativa (inciso 6)14_{, el secreto bancario}

(inciso 5, segundo párrafo), la reserva tributaria (inciso 5, segundo párrafo) y la intimidad personal y familiar (inciso 7).

Según puede advertirse, el derecho a la intimidad personal y familiar y el derecho a la autodeterminación informativa o protección de datos personales gozan de protección expresa e independiente. Aunque es cierto que, de acuerdo a la dicción literal del artículo 2.6 de la Carta Política, se podría sostener una re- lación más estrecha de la que defendemos entre ambos derechos, los aportes de la jurisprudencia del Tribunal Constitucional, así como de la doctrina nacional y comparada, permiten trascender de la literalidad del texto de la disposición citada.

Así, y sin ánimo de exhaustividad, podemos afirmar que el derecho a la in- timidad que reconoce la Carta de 1993 “involucra al conjunto de actos, situacio- nes, circunstancias que, por su carácter personalísimo, no se encuentran normal-

mente expuestos al dominio público”15_{. Entre los aspectos que forman parte de}

la esfera íntima de las personas, podemos mencionar, a título enunciativo, que este espacio personalísimo comprende “las convicciones, los sentimientos y los

recuerdos, las relaciones sexuales y familiares y la salud”16_{; y, en general, “todo}

dato, hecho o actividad no conocidos por otros, cuyo conocimiento por terceros produzca turbación moral o síquica al afectado (desnudez, embarazo prematri- monial, etc.)”17_.

Por su parte, el derecho a la protección de datos personales supone la fa- cultad de toda persona de controlar el acopio y uso de los datos referidos a su persona, almacenados en registros o bancos de datos públicos o privados, y se 14 En esta disposición se reconoce el derecho de toda persona “A que los servicios informáticos, compu-

tarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar”. Un análisis sobre las deficiencias del tratamiento constitucional del derecho a la autodetermi- nación informativa se realizará en el apartado VII de este estudio.

15 COMISIÓN ANDINA DE JURISTAS. Protección de derechos humanos: definiciones operativas. CAJ, Lima, 1997, p. 182.

16 LUCAS MURILLO, Pablo. Informática y protección de datos personales (Estudio de la Ley Orgánica

5/1992, de regulación del tratamiento automatizado de los datos de carácter personal). Madrid: Centro

de Estudios Constitucionales, Cuadernos y Debates N° 43, 1993, p. 29.

17 NOVOA MONREAL, Eduardo. Derecho a la vida privada y libertad de información. México, Siglo XXI, 1979, pp. 45, 46. Citado por: EGUIGUREN PRAELI, Francisco. La Libertad de Expresión e

Información y el Derecho a la Intimidad Personal. Su desarrollo actual y sus conflictos. Lima, Palestra,

expresa en un conjunto de facultades que viabilizan su poder de disposición