En el año 2014 CNN publicaba un reportaje titulado “6 organizaciones que compran tu información personal” en la cual anunciaba que candidatos políticos, ladrones, estafadores y organizaciones caritativas, entre otros, tenían algo en común: el apetito por nuestra información personal. Así, en dicha nota se citaba el caso de Experian, una empresa especializada en gestión de riesgo de crédito y fraude, que había reconocido que una de sus filiales, sin saberlo, había vendido datos personales de millones de estadounidenses a un defraudador en Vietnam quien, a su vez, vendió la información a ladrones de identidad. También se desarrollaba en dicha nota el hecho que muchas organizaciones no lucrativas vendían las listas de sus donantes (en particular aquellos que realizaban pequeñas donaciones) a otras organizaciones de caridad para que, justamente, estos últimos puedan luego “hostigarlos” con sus propias solicitudes.
La venta de nuestra información personal es algo que ocurre hace varios años y que aún sigue siendo noticia.
Así, a propósito de un reciente reportaje emitido el pasado 22 de mayo en el programa periodístico Punto Final, se han disparado nuevamente las alarmas para la sociedad peruana. Resulta increíble que, así como uno puede escoger y comprar un televisor o una laptop en la conocida Av. Wilson del Cercado de Lima, uno se encuentre con que también están a la venta diversas bases o bancos de datos personales, e incluso se puede escoger entre precios, cantidad y tipos de datos contenidos.
Pero, ¿qué entendemos por bancos de datos personales y por qué su comercialización resulta peligrosa? En el Perú, de acuerdo a la Ley No. 29733, Ley de Protección de Datos Personales, son datos personales toda información sobre la persona natural que la identifica o hace identificable a través del uso de medios razonables. Con esta concepción amplia, no sólo el nombre o la dirección del domicilio son datos personales, sino también el puesto de trabajo o apodo, por ejemplo. Y una categoría de datos personales que merece especial cuidado es la de datos sensibles, entre los que la referida norma considera a los datos biométricos que bastan para identificar a una persona, datos sobre el origen racial y étnico, ingresos económicos, convicciones políticas, religiosas, filosóficas o morales, afiliación sindical e información relacionada a la salud o a la vida sexual.
Tomando en cuenta que estos datos están organizados en bases de datos, el mercado de los bancos de datos personales resulta muy atractivo para un público con, por ejemplo, fines publicitarios. Podemos imaginarnos el supuesto en que emprendedores que ingresan al mercado y quieren establecer contacto directo con su público objetivo adquieren esta información para usarla con fines de marketing. Pero el riesgo es que también caiga en manos de aquellas bandas de crimen organizado que utilizan esta información para encontrar a los titulares de dicha información y someterlos a delitos como la extorsión o el secuestro.
¿Cuáles son los datos personales que cualquiera podría tener sobre usted? De acuerdo al citado reportaje, los bancos de datos personales más “básicos” contienen información como su nombre completo, número de documento nacional de identidad, correo electrónico y celular. Estos son datos suficientes para aperturar una cuenta bancaria a su nombre y obtener un préstamo sin que usted lo sepa. Los bancos de datos personales más sofisticados –y, consiguientemente, más caros– contienen información sensible, como el detalle de sus ingresos y las líneas de crédito que tiene con sus bancos.
Con respecto a este último aspecto, es preciso señalar que no todos los datos personales tienen el mismo valor. En efecto, la información que es más accesible es justamente la de menor valor. Esta información personal es, por ejemplo, la que fácilmente se encuentra en las redes sociales. Existe, sin embargo, otra información que, por sus características, resulta costosa. Se trata, como hemos mencionado, de nuestros datos bancarios o también nuestros datos de salud. De estos últimos muchas veces nos olvidamos y no los consideramos en la ecuación de “lo cotizado”. ¿Podría una persona suplantar nuestra identidad y acceder a nuestras cuentas bancarias? Sí, y las consecuencias serían graves. Sin embargo, ¿qué sucedería si un extorsionador hace uso de alguna condición médica nuestra para realizar un chantaje? O, ¿qué sucedería si ese extorsionador decide vender esa data a un tercero para que, a su vez, aprovechándose de esta información, nos pueda vender algún medicamento?
Si bien la forma de comercialización de estos bancos de datos personales citada en el reportaje en cuestión no es lícita —como desarrollaremos más adelante—, la forma en que se obtiene esta información parcialmente lo es, al menos en su origen. De acuerdo a una nota del Diario El Comercio (2015), la forma de trabajo de los “comerciantes” de bancos de datos personales consiste en comprar información personal a trabajadores de diversas empresas peruanas. En el día a día, estos trabajadores tienen acceso a las bases de datos de la empresa donde trabajan, y en estas se almacena la información que se tiene sobre los clientes, quienes han brindado su consentimiento para que sus datos sean tratados por esta empresa para determinadas finalidades. Con este acceso total a la data, los trabajadores, incumpliendo sus obligaciones de confidencialidad y vulnerando la seguridad de la información de las empresas donde laboran, realizan copias de las bases de datos y luego las ofrecen a los “comerciantes”.
Sin embargo, no todo escenario en que se transfieran bases de datos entre instituciones o personas es, por naturaleza, prohibido. Lo que determinará si una transferencia de estos datos personales está permitida es la información que se le haya brindado al titular de los datos personales y, sobre todo, que este haya brindado su consentimiento para ello, siendo que este consentimiento tiene que cumplir con las características de ser libre, previo, expreso, inequívoco e informado. Las situaciones no son siempre del todo claras y ello lo ilustramos con el siguiente ejemplo. Usted se encuentra aperturando una cuenta de ahorros en su banco de preferencia, y este banco pertenece a un conglomerado empresarial que es propietario de supermercados, grifos y empresas de seguros. Al firmar el contrato de apertura de su cuenta bancaria, le facilitan la política de privacidad del banco, y esta menciona que el banco comparte la información de sus clientes con las empresas del mismo grupo empresarial, con la finalidad de ofrecerle los productos de estas otras empresas que puedan ser de su interés. Usted, tras haber leído y entendido esta política de privacidad, acepta sus términos y da expresamente su consentimiento para que ya no sea sólo el banco quien tenga sus datos personales, sino también los supermercados, grifos y empresas de seguros de ese grupo empresarial. En este caso, ¿nos encontramos ante un consentimiento válido? Pareciera que sí, pues el banco le ha informado que sus datos serían transferidos a las demás empresas del grupo. Ciertamente, la transferencia perdería legitimidad si es que es la data es transferida a un sujeto o es empleada con una finalidad de las que usted no fue informado. Sin embargo, podemos preguntarnos también, ¿debió obtenerse un consentimiento independiente para el uso de nuestra data personal por parte del resto de empresas del grupo? ¿Es razonable que aperturar una cuenta bancaria necesariamente lleve a que nuestra información personal se comparta con el resto de empresas del grupo?
Tanto quienes son trabajadores y “copian” los bancos de datos personales a los que tienen acceso por su trabajo, como quienes venden esta información, estarían cometiendo el delito de tráfico ilegal de datos personales, tipificado en el artículo 154-A del Código Penal peruano. Este delito contra la intimidad no es menor, ya que en el Perú es sancionado con la pena privativa de libertad de entre 2 y 5 años, y cometerlo como miembro de una organización criminal constituye una circunstancia agravante.
Pero no son sólo los comercializadores quienes se verían sometidos a las consecuencias jurídicas de estos hechos. La empresa que haya proveído los datos personales, a pesar de haber contado con el consentimiento de su titular, puede afrontar una sanción administrativa impuesta por la Autoridad Nacional de Protección de Datos Personales. La imposición de esta sanción se sustentaría en la falta de implementación de medidas de seguridad adecuadas de almacenamiento de datos personales de sus clientes, ya que sus trabajadores pudieron extraer esta información con facilidad. Adicionalmente, las empresas que realizan el tratamiento de datos personales y, sobre todo, de información sensible, pueden y deben prevenir la copia de la información que almacenan con la implementación de credenciales de acceso diferenciadas a los trabajadores, es decir, sólo permitir el acceso a la información completa del cliente al número estrictamente necesario de trabajadores o implementar rutinariamente análisis de software que detecte la descarga o copias de las bases de datos.
El tráfico de datos personales es un tema complejo pues implica la participación de varios actores. Como hemos apreciado en esta nota, una mirada a esta problemática debe tomar en cuenta a la propia víctima y las motivaciones del extorsionador o la persona que comercializa los bancos de datos personales, pero también al trabajador de una empresa que, en clara contravención a sus obligaciones, realiza copias de la información personal a la que accede en razón de su puesto para obtener un beneficio ilícito.
Referencias
– Decreto Legislativo 635. Código Penal (Perú). Promulgado el 3 de abril de 1991.
– El Comercio. (2015, 24 de enero). “El mercado negro de las bases de datos con información personal tiene un alcance sorprendente”. Diario El Comercio.
– Ley 29733. Ley de Protección de Datos Personales (Perú). Promulgada el 2 de julio de 2011.
– Latina Noticias (2023, 22 de mayo). Por unos Soles: Datos de millones de peruanos se venden en galerías del Centro de Lima [Video].
– Muñoz, J. A. (2014). 6 organizaciones que compran tu información personal. CNN.
Lucia Beatriz Lopez Gallardo
Bachiller en Derecho por la Pontificia Universidad Católica del Perú (2021) con experiencia como estudiante internacional en Stockholms Universitet (2021). Ex Editora en jefe de THEMIS-Revista de Derecho (2020). Actualmente se desempeña como practicante profesional en VG.pe brindando asesoría corporativa en el cumplimiento normativo de protección de datos personales y ciberseguridad.
Viviana García
Graduada en Derecho en la Pontificia Universidad Católica del Perú (1999). Cuenta con una Maestría en Derecho Corporativo por New York University (2002), un Diplomado de Estudios Asiáticos, con mención en Estudios Chinos, en la Pontificia Universidad Católica del Perú y una certificación como Experta en Protección de Datos Personales por parte del Institut of Audit and IT Governance. En el año 2016, la Revista Latin Lawyer, la incluyó en su lista de “50 inspiring women practising Law in Latin America” y, en el año 2019, fue nominada por la publicación “Euromoney” dentro del grupo de abogadas “Best in Technology”. Ha obtenido certificaciones por HarvardX al completar el curso “Managing Risk in the Information Age”, así como también por Capacitación USACH – Universidad de Santiago de Chile como Implementador Líder ISO 29100 e Implementación de la Privacidad como DPO según el RGPD.
Luego de ser socia del área corporativa en firmas de abogados por más de 10 años, en el año 2020, fundó VG.pe, una empresa que brinda asesorías especializadas en privacidad y cumplimiento de la normativa de protección de datos personales. VG.pe plantea una nueva forma de brindar asesoría, principalmente en el entorno digital, acercando al cliente con el conocimiento del marco legal de una manera más intuitiva y, además, que le sea de utilidad de manera personal.
Linkedln: Viviana García
Facebook: VGpe
Instagram: vgpeasesoria
