Por Viviana García
Datos personales, presunción de inocencia, procesos de selección de personal, principio de calidad, derecho de supresión, derecho al olvido son, entre otros conceptos, tratados en esta primera entrega para La Querella Digital.
Mediante Resolución Nº 1022-2022-JUS/DGTAIPD-DPDP de fecha 1 de marzo de 2022, (en adelante la Resolución) la Autoridad de Protección de Datos Personales en el Perú (en adelante, la APDP), se pronunció sobre una práctica empresarial bastante común en los procesos de selección de personal: la búsqueda de antecedentes penales, policiales y judiciales, así como denuncias ante el Ministerio Público de quienes postulan a empleos dentro de una organización.
A la empresa sancionada se le imputó, entre otros, el hecho de haber recopilado datos personales [1]. de postulantes, incumpliendo con la obligación establecida en el numeral 2 del artículo 28 de la Ley de Protección de Datos Personales (en adelante, la Ley) [2], conforme a la cual el titular y el encargado del banco de datos personales, según sea el caso, tienen la obligación de no recopilar datos personales por medios fraudulentos, desleales o ilícitos.
Además, según lo señalado en la Resolución, este hecho constituye una infracción grave dado que el artículo 13, numeral 8 de la Ley [3] establece una restricción subjetiva de terceros para realizar tratamiento de estos datos personales, dado que solo las entidades públicas competentes pueden realizarlo, siempre y cuando se de en el marco de cumplimiento de sus funciones.
En este orden de ideas, para la APDP el almacenamiento de tal información, así como la extracción o cualquier forma de posesión, originaria o temporal, solo es lícita cuando la realiza una entidad pública cuyas competencias lo dispongan, siendo esta la única fuente lícita de tales datos personales verídicos y actuales; por ello, cualquier acto para su transferencia y recepción por parte de una entidad privada que no desarrolle las funciones de tales competencias pierde tal legitimidad. (el subrayado es nuestro) [4]
Así, como se indica, proceder con la recopilación de antecedentes penales, policiales y judiciales a través de medios ilícitos y desleales, crea un riesgo de afectación desleal de los derechos de los titulares de los datos personales, pues supone un juicio previo de los postulantes por parte de los potenciales empleadores, que los consideran culpables sin que exista una sentencia judicial que se pronuncie sobre su responsabilidad o un consentimiento expreso de los titulares de la información. Por tanto, además de afectarse el derecho fundamental a la protección de datos personales, se está vulnerando el derecho previsto en la Constitución Política del Perú a la presunción de inocencia, contemplado en el artículo 2º, numeral 24, literal e), que señala: toda persona será considerada inocente en tanto se haya declarado su responsabilidad en vía judicial.
Este principio y derecho fundamental a la presunción de inocencia [5] está además desarrollado en el artículo II del Título Preliminar del Código Procesal Penal del Perú de la siguiente manera:
Artículo II.- Presunción de inocencia
- Toda Persona imputada de la comisión de un hecho punible es considerada inocente, y debe ser tratada como tal, mientras que no se demuestre lo contrario y se haya declarado su responsabilidad mediante sentencia firme debidamente motivada. Para estos efectos, se requiere de una suficiente actividad probatoria de cargo, obtenida y actuada con las debidas garantías procesales. En caso de duda sobre la responsabilidad penal debe resolverse a favor del imputado.
- Hasta antes de la sentencia firme, ningún funcionario o autoridad pública puede presentar a una persona como culpable o brindar información en tal sentido.
Ahora bien, ¿es el principio de consentimiento el único principio de la protección de datos personales vulnerado por esta recopilación ilícita de antecedentes? De acuerdo a la Resolución Nº 1772-2018- JUS/DGTAIPD-DPDP, la APDP estableció que el principio de consentimiento debe leerse en conjunto con otro principio rector del tratamiento de datos personales, el principio de calidad, según el cual los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios, pertinentes y adecuados, obedeciendo a la finalidad para las que fueron recopilados [6].
En efecto, el hecho de recopilar datos personales de postulantes parece ciertamente obedecer a un propósito, y es el de la organización más no el del titular del dato personal: conocer la idoneidad de una persona para ocupar una posición. ¿Contrataría algún área de Gestión de Personas a una persona que tiene una investigación en curso por fraude para ocupar una posición de confianza dentro del área financiera? Visto desde el lado del titular del dato personal y, más allá del incuestionable derecho a la presunción de inocencia, nos preguntamos: ¿qué incentivos tendría un postulante a recabar el mismo su información personal y compartirla con su futuro empleador si sabe que la misma afectará su evaluación o percepción para el puesto al cual postula?
Lo que es inevitable es que los riesgos de provocar daños por discriminación, afectación a la buena reputación son incuestionables. Por esta razón, la Resolución elabora sobre el hecho que sea un tercero sin legitimidad quien proceda a la extracción de los antecedentes y no sea el propio titular del dato personal quien haga la consulta a las entidades competentes.
Una vez detectado que el postulante cuenta con dichos antecedentes es poco probable que el mismo acceda a un trabajo o, si lo hace, que se le ofrezcan las mismas condiciones. ¿Tiene entonces este postulante en algún momento la posibilidad que aquella investigación quede en el olvido? Es decir, si no fue sentenciado, ¿es posible que aquel antecedente que no derivó en ninguna acusación (o si no cuenta con una sentencia firme) sea suprimido y no afecte su derecho a conseguir un trabajo?
En el Perú, la Ley establece que los titulares de datos personales tienen el derecho de supresión de sus datos personales cuando estos sean parcial o totalmente inexactos, incompletos, cuando se hubiera advertido omisión, error o falsedad, cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la cual fueron recopilados o cuando hubiera vencido el plazo establecido para su tratamiento.
Así, en el año 2015, a luces de este derecho reconocido en la Ley, mediante Resolución No. 045-2015-JUS/DGPDP [7], la APDP sancionó a Google bajo la personería de Google Inc. o de Google Perú S.R.L. por negarse a ocultar los resultados de su motor de búsqueda ordenando bloquear toda información o noticia referida una investigación y proceso penal que fue concluido por sobreseimiento y que seguía vinculada al nombre de quien fuera investigado. En efecto, habían transcurrido más de tres años desde la conclusión del proceso penal, y la noticia sobre el presunto delito de ofensa al pudor público seguía vinculada al titular del dato personal.
Cuando el proceso penal ha concluido como fue el caso contra Google donde el procesado pasó a tener la condición de absuelto, el titular del dato personal puede ampararse en el derecho de supresión. ¿Pero, podría entonces pedirse la supresión de datos personales cuando aún se desarrollan actividades vinculadas a la investigación y represión del delito? La Ley en este caso no nos brinda un recurso, puesto que señala que sus disposiciones no son de aplicación a los datos personales contenidos o destinados a ser contenidos en bancos de datos de administración pública, sólo en tanto su tratamiento resulte necesario para el estricto cumplimiento de las competencias asignadas por ley a las respectivas entidades públicas, para la defensa nacional, seguridad pública y para el desarrollo de actividades en materia penal para la investigación y represión del delito.
En Europa el derecho de supresión es llamado derecho al olvido y se ha recogido en el Reglamento General de Protección de Datos Personales de la Comisión Europea que entró en vigencia el 2018 (en adelante, RGPDP), al establecer que el interesado tiene el derecho a obtener, sin dilación indebida del responsable del tratamiento, la supresión de los datos personales que le conciernan. No obstante, no se trata de un derecho absoluto pues, según el propio RGPDP, este derecho no es de aplicación, entre otras excepciones, cuando el tratamiento sea necesario con fines de archivo en interés público. Para varios autores argumentar el derecho al olvido se torna en un tema muy debatible desde el punto de vista de la esperada reinserción y rehabilitación social (cuando existió condena), pero mucho más si es que no la hubo pero sí existió una investigación que no determinó el inicio de un proceso penal, pero que permanece siendo información accesible.
Nuestros antecedentes penales, policiales y judiciales, así como las posibles investigaciones o denuncias que hayan sido interpuestas en contra de alguno de nosotros son nuestros datos personales, pues se trata de información que nos identifica o, en todo caso, nos hace identificables. Esta información que hoy obra en archivos físicos y cada vez más en archivos digitales bajo la administración de entidades públicas también determina que se deben asumir las responsabilidades de su cuidado, adoptando las medidas de seguridad requeridas.
Concluimos así este primer artículo, que esperamos haya generado inquietudes en un debate que permanece. El control de nuestra información personal nos plantea muchos retos dada las posibilidades que la tecnología nos ofrece y la nueva ciudadanía digital que estamos viviendo.
Viviana García
Graduada en Derecho en la Pontificia Universidad Católica del Perú (1999). Cuenta con una Maestría en Derecho Corporativo por New York University (2002), un Diplomado de Estudios Asiáticos, con mención en Estudios Chinos, en la Pontificia Universidad Católica del Perú y una certificación como Experta en Protección de Datos Personales por parte del Institut of Audit and IT Governance. En el año 2016, la Revista Latin Lawyer, la incluyó en su lista de 50 inspiring women practising Law in Latin America y, en el año 2019, fue nominada por la publicación Euromoney dentro del grupo de abogadas Best in Technology y obtuvo una certificación por Harvard al completar el curso Managing Risk in the Information Age.
Luego de ser socia del área corporativa en dos firmas de abogados por más de 10 años, desde el año 2020, a través de VG.pe, brinda asesorías especializadas en privacidad y cumplimiento de la normativa de protección de datos personales.
Referencias
[1] De acuerdo a la definición prevista en la Ley, son datos personales toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados.
Ley No. 29733 y posteriormente modificada por Decreto Legislativo No. 1353
[2] 13.8 El tratamiento de datos personales relativos a la comisión de infracciones penales o administrativas solo puede ser efectuado por las entidades públicas competentes, salvo convenio de encargo de gestión, conforme a la Ley 27444, Ley del Procedimiento Administrativo General, o la que haga sus veces. Cuando se haya producido la cancelación de los antecedentes penales, judiciales, policiales y administrativos, estos datos no pueden ser suministrados salvo que sean requeridos por el Poder Judicial o el Ministerio Público, conforme a ley.
[3] Página 8 de la Resolución
[4] Para el Tribunal Constitucional, la presunción de inocencia es un derecho fundamental mediante el cual a todo procesado se le considera inocente mientras no se pruebe su culpabilidad: vale decir, hasta que no se exhiba prueba en contrario. Rige desde el momento en que se imputa a alguien la comisión de un delito, quedando el acusado en condición de sospechoso durante toda la tramitación del proceso, hasta que se expida la sentencia definitiva.
[5] Sentencia 0618-2005-PHC/TC. Fundamento 21. https://tc.gob.pe/jurisprudencia/2005/00618-2005-HC.html
[6] Página 12 de la Resolución No. 1771-2018-JUS/DGTAIPD-DPDP mediante la cual la Autoridad sancionó a.
[7] Google interpuso contra dicha Resolución un recurso de reconsideración. El recurso fue posteriormente declarado infundado y la decisión de la APDP quedó por tanto firme.
