La empresa que maneja la Línea 1 del metro de Lima exige el uso de tarjeta personalizada para ingresar y salir del metro sin informar o fundamentar la necesidad de identificar a cada usuario, mientras en ciudades como París, Praga, Roma, Madrid, Berlín y otra gran lista de grandes ciudades con enormes tramos y diversidad de servicios de metro no exigen a todos sus usuarios el uso de tarjetas personalizadas… ¿y la ley de protección de datos personales?
La Ley 29733, Ley de protección de datos personales tiene como principio y obligación exigir que solo se puede usar, recolectar o tratar de aluna forma la información de una persona obteniendo previamente su consentimiento.
Por otro lado se establece que no se necesita el consentimiento de las personas para el cumplimiento de una obligación contractual de la cual es parte. Pero en este punto debemos tener en cuenta el principio de proporcionalidad, en la cual solo se debe tratar (recolectar, obtener, procesar, entre otros) los datos necesarios para los fines del cumplimiento contractual, sino estaríamos ante la violación de no solo de un principio rector de la Ley sino de un uso abusivo de los datos personales tratados.
Dado el preámbulo de nuestros derechos a la protección de nuestra información personal, veamos porque la medida de usar las tarjetas personalizadas de la Empresa de Línea 1 del metro de Lima está vulnerando nuestros derechos.
Según comunicado de la empresa que administra la Línea 1 Metro de Lima, GYM FERROVÍAS S.A., a partir de 18 de enero de este año todos sus usuarios (mayores y menores de edad) deben validar sus tarjetas individualizadas en los torniquetes tanto para para entrar y salir del metro.
¿Qué tipo de información esta empresa está recolectando? ¿Cumple con los requisitos de información para solicitar el consentimiento de los titulares de las tarjetas a fin de usar sus datos? ¿En caso de los menores de edad están obteniendo la autorización especial escrita prevista en el Reglamento de la Ley de protección de datos personales? ¿Es necesario que registren y almacenen la información de salida de sus usuarios para cumplir con el servicio público que deben prestar?
Al ser un banco de datos reciente, y al existir variaciones de los datos que recolectan, este banco de datos debe estar ya adecuado y cumplir todas las exigencias establecidas en la normativa de protección de datos personales.
Entonces, ¿tiene el banco de datos de sus usuarios de tarjetas personalizadas ya inscrito en el Registro Nacional de Protección de Datos Personales? Hasta la emisión de esta nota la página web del mencionado registro no muestra inscripción de este.
¿Se ha solicitado el previo consentimiento o al menos informado los nuevos datos que se recolectarán de las personales y sus fines? No existe ni cartilla de información sobre ello para los usuarios, ni consignado en aluna plataforma de comunicación con los usuarios como la paina web
¿Está cumpliendo con las medidas de seguridad establecidas según el nivel de categorización del banco de datos? Por las características de este banco se encontraría en el nivel más alto de protección, sin embargo no se indica ni el requisito básico de la declaración de política de protección de datos personales.
En otros países si se contrata una tarjeta personalizada, se establece previamente la autorización para usar sus datos indicando los fines a usarse, aun si desean enviar ´publicidad, con quienes compartirán la información, y es que son países que cuentan con normativa especializada en la protección de la información personal de los ciudadanos, normativa ya existente en Perú y totalmente aplicable a un banco de datos que está formando la empresa GYM FERROVÍAS.
La empresa debe implementar y subsanar estas consideraciones dado que es importante para el ciudadano saber qué información tienen de él, quienes y para qué, es un derecho constitucional, además de ser una información valiosísima no solo para la persona titular del dato sino también para terceros que buscan lucrar con esa información y cuyos actos podrían vulnerar la privacidad de los usuarios del metro.
La Defensoría del Pueblo ha comenzado a pronunciarse por una preocupación de posibles segmentaciones discriminatorias contra el usuario, pero también debe tenerse en cuenta de las obligaciones que tiene esta empresa la manejar un banco de datos de administración pública, asimismo la Autoridad Nacional de Protección de Datos Personales debe ejercer su función orientadora en estos casos a la Defensoría.
*Foto: Fuente http://www.lineauno.pe/
Cynthia Téllez.
IRIARTE & ASOCIADOS – División de Protección de Datos
y Acceso a la Información
La empresa que maneja la Línea 1 del metro de Lima exige el uso de tarjeta personalizada para ingresar y salir del metro sin informar o fundamentar la necesidad de identificar a cada usuario, mientras en ciudades como París, Praga, Roma, Madrid, Berlín y otra gran lista de grandes ciudades con enormes tramos y diversidad de servicios de metro no exigen a todos sus usuarios el uso de tarjetas personalizadas… ¿y la ley de protección de datos personales?
La Ley 29733, Ley de protección de datos personales tiene como principio y obligación exigir que solo se puede usar, recolectar o tratar de aluna forma la información de una persona obteniendo previamente su consentimiento.
Por otro lado se establece que no se necesita el consentimiento de las personas para el cumplimiento de una obligación contractual de la cual es parte. Pero en este punto debemos tener en cuenta el principio de proporcionalidad, en la cual solo se debe tratar (recolectar, obtener, procesar, entre otros) los datos necesarios para los fines del cumplimiento contractual, sino estaríamos ante la violación de no solo de un principio rector de la Ley sino de un uso abusivo de los datos personales tratados.
Dado el preámbulo de nuestros derechos a la protección de nuestra información personal, veamos porque la medida de usar las tarjetas personalizadas de la Empresa de Línea 1 del metro de Lima está vulnerando nuestros derechos.
Según comunicado de la empresa que administra la Línea 1 Metro de Lima, GYM FERROVÍAS S.A., a partir de 18 de enero de este año todos sus usuarios (mayores y menores de edad) deben validar sus tarjetas individualizadas en los torniquetes tanto para para entrar y salir del metro.
¿Qué tipo de información esta empresa está recolectando? ¿Cumple con los requisitos de información para solicitar el consentimiento de los titulares de las tarjetas a fin de usar sus datos? ¿En caso de los menores de edad están obteniendo la autorización especial escrita prevista en el Reglamento de la Ley de protección de datos personales? ¿Es necesario que registren y almacenen la información de salida de sus usuarios para cumplir con el servicio público que deben prestar?
Al ser un banco de datos reciente, y al existir variaciones de los datos que recolectan, este banco de datos debe estar ya adecuado y cumplir todas las exigencias establecidas en la normativa de protección de datos personales.
Entonces, ¿tiene el banco de datos de sus usuarios de tarjetas personalizadas ya inscrito en el Registro Nacional de Protección de Datos Personales? Hasta la emisión de esta nota la página web del mencionado registro no muestra inscripción de este.
¿Se ha solicitado el previo consentimiento o al menos informado los nuevos datos que se recolectarán de las personales y sus fines? No existe ni cartilla de información sobre ello para los usuarios, ni consignado en aluna plataforma de comunicación con los usuarios como la paina web
¿Está cumpliendo con las medidas de seguridad establecidas según el nivel de categorización del banco de datos? Por las características de este banco se encontraría en el nivel más alto de protección, sin embargo no se indica ni el requisito básico de la declaración de política de protección de datos personales.
En otros países si se contrata una tarjeta personalizada, se establece previamente la autorización para usar sus datos indicando los fines a usarse, aun si desean enviar ´publicidad, con quienes compartirán la información, y es que son países que cuentan con normativa especializada en la protección de la información personal de los ciudadanos, normativa ya existente en Perú y totalmente aplicable a un banco de datos que está formando la empresa GYM FERROVÍAS.
La empresa debe implementar y subsanar estas consideraciones dado que es importante para el ciudadano saber qué información tienen de él, quienes y para qué, es un derecho constitucional, además de ser una información valiosísima no solo para la persona titular del dato sino también para terceros que buscan lucrar con esa información y cuyos actos podrían vulnerar la privacidad de los usuarios del metro.
La Defensoría del Pueblo ha comenzado a pronunciarse por una preocupación de posibles segmentaciones discriminatorias contra el usuario, pero también debe tenerse en cuenta de las obligaciones que tiene esta empresa la manejar un banco de datos de administración pública, asimismo la Autoridad Nacional de Protección de Datos Personales debe ejercer su función orientadora en estos casos a la Defensoría.
*Foto: Fuente http://www.lineauno.pe/
Cynthia Téllez.
IRIARTE & ASOCIADOS – División de Protección de Datos
y Acceso a la Información
Compartir esto: