CeCo | Portabilidad en Reglamento de protección datos Perú

Regístrate
Newsletter

Newsletter

Suscríbete a nuestro Newsletter y entérate de las últimas novedades.

https://centrocompetencia.com/wp-content/themes/Ceco

Imagen recuperada de IStock

Portabilidad en el nuevo Reglamento de protección de datos personales en el Perú: ¿Solución excepcional u obstáculo transversal para la competencia?

5.03.2025
Andrés Calderón Abogado por la Pontificia Universidad Católica del Perú (PUCP), LLM por la Universidad de Yale. Profesor de Derecho de la Competencia, Regulación, Medios de Comunicación y Libertades Informativas en la PUCP y la Universidad del Pacífico de Lima. Trabajó como Consultor en temas Antitrust para la Federal Trade Commission (FTC).
Vanya Córdova V. Bachiller en Derecho por la Universidad de Lima, especialista en Protección de Datos Personales y Propiedad Intelectual. Fundadora del Círculo de Derecho y Tecnología en la Universidad de Lima. Actualmente se desempeña como Asociada en Bueno Lercari Consultores.

El derecho a la portabilidad de datos personales es una de las principales innovaciones del nuevo Reglamento de la Ley de Protección de Datos Personales en el Perú. Siguiendo el modelo del Reglamento General de Protección de Datos Personales de la Unión Europea (RGPD), la recientemente aprobada Ley 21.719, que regula la protección y el tratamiento de los datos personales en Chile, también incluye este nuevo derecho (MacClure et al, p. 48).

En sencillo, este derecho habilita a un titular de datos personales a solicitar al responsable del tratamiento una copia de sus datos en un formato electrónico estructurado, genérico y de uso común, de modo tal que pueda trasladarlos (portarlos) fácilmente a otra empresa. También puede implicar un traslado directo desde la empresa requerida hacia otra empresa elegida por el titular de los datos.

«Mientras que en la Unión Europea, la portabilidad surgió como respuesta a problemas concretos de competencia en mercados digitales (para mitigar el efecto de “lock-in” o reducir los «walled gardens«), no está claro cuál fue la problemática concreta que se buscaba atender por la regulación peruana».

Sin embargo, en el caso peruano, su introducción como regla general y con algunas imprecisiones en la redacción deja varias interrogantes y algunos cuestionamientos difíciles de absolver. 

Portabilidad: ¿Procompetitiva o anticompetitiva?

La portabilidad no es una institución novedosa en el Derecho. Una de sus aplicaciones más conocidas se da en el sector de las telecomunicaciones, y se entiende que la portabilidad numérica ha promovido un mayor dinamismo sobre todo en la telefonía móvil, reduciendo los costos de cambio entre operadores (ver nota CeCo sobre portabilidad numérica). También se viene discutiendo e implementando en algunas jurisdicciones mecanismos de compartición de información financiera de los clientes (quizá más interoperabilidad que portabilidad), en especial, en aquellos lugares donde se ha acogido sistemas de open banking

La portabilidad de datos personales, en cambio, supone una aplicación transversal, aplicable a cualquier sector económico, toda vez que es natural que se produzca un tratamiento de datos personales en cualquier mercado.

En este contexto, los efectos que este derecho puede tener son menos predecibles o pueden ser diversos: en algunos mercados puede favorecer el dinamismo, y en otros ralentizar la competencia.

Un estudio reciente de un grupo de trabajo de la OCDE sobre Gobierno de Datos y Privacidad en la Economía Digital, advierte que “las medidas de portabilidad de datos pueden, inintencionalmente, sofocar la competencia en mercados de rápida evolución donde los requisitos de interoperabilidad pueden suponer una carga desproporcionada para las pymes y las start-ups” (traducción libre).

Hay que recordar que la nueva regulación peruana se aplica a todas las empresas y a todos los sectores: desde una pequeña tienda que vende productos online y que guarda los datos de contacto de sus clientes, hasta una empresa industrial que almacena los datos de sus trabajadores y empleadores. Todas las empresas deberán implementar los mecanismos técnicos y de ciberseguridad necesarios para habilitar el ejercicio del derecho a la portabilidad, con prescindencia de si algún titular de datos realmente quiere usar tal derecho. 

No solo organismos internacionales como la OCDE se han preocupado teóricamente por las consecuencias no deseadas de la regulación sobre protección de datos personales (PDP). También existen varios estudios empíricos que han diagnosticado los impactos negativos para la competencia derivados de la entrada en vigencia de las normas de protección de datos personales. Johnson, Shriver & Goldberg han evaluado los efectos que han tenido en la mayor concentración a favor de grandes empresas en el mercado digital. Buckley, Caulfield & Becker han estimado que la regulación de PDP ha significado la creación de barreras de entrada para nuevos competidores; mientras que Ganglmair, Krämer & Gambato destacaron que se ha producido un cumplimiento asimétrico entre empresas de diferentes tamaños.

En línea con los puntos del cumplimiento asimétrico y los efectos de concentración, no hay que soslayar que ya se han producido algunos casos en los que se ha intentado utilizar las normas de PDP como argumento para evitar la competencia. La llamada “defensa de privacidad” (ver, entre otros, a Giuseppe Colangelo) ha intentado ser utilizada como escudo para negar el acceso o compartición de datos, y es previsible que pueda surgir en el contexto de una solicitud de portabilidad de datos. 

Regulación peruana de PDP: Imprecisiones riesgosas

La novel regulación peruana presenta varios puntos de indefinición que podrían impactar negativamente en la competencia en los mercados. 

Uno de los principales problemas es la falta de claridad en el Reglamento sobre qué tipos de datos personales están sujetos al derecho de portabilidad. Por ejemplo, se menciona que los datos derivados o inferidos (aquellos generados por el propio responsable a partir de la información proporcionada por el titular) pueden ser objeto de portabilidad si el responsable del tratamiento o el titular del banco de datos así lo determina. ¿Ello supone una facultad discrecional del responsable? Considerando el valor (secreto comercial) que puede representar para este último, parece poco probable que así lo disponga. 

En la Unión Europea, el Grupo de Trabajo del Artículo 29 (2017), estableció con mayor claridad que, bajo el RGPD, los datos inferidos no están dentro del alcance del derecho a la portabilidad. Del mismo modo, la Red Iberoamericana de Protección de Datos (de la que forma parte el Perú), consideró que el derecho a la portabilidad no es aplicable a información inferida, derivada, creada, generada u obtenida a partir del análisis de datos. 

Fuera de los datos inferidos, el nuevo Reglamento no precisa en qué categoría entrarían los datos de las actividades de los usuarios con los servicios del responsable del tratamiento (por ejemplo, datos de compra, interacciones con la plataforma, etc.) (ver, al respecto: CeCo, OCDE: Portabilidad, Interoperabilidad y Competencia en Plataformas Digitales).

Otro supuesto que puede generar controversia es la excepción a la atención del derecho a la portabilidad, prevista en el artículo 76.2 del nuevo Reglamento. Este ocurre cuando el ejercicio “imponga una carga financiera excesiva, técnica excesiva o irrazonable al responsable o encargado del tratamiento”. Además, se establece que se deberá poder acreditar tal situación ante la Autoridad Nacional de Protección de Datos Personales.

Sin embargo, no se establecen criterios objetivos para determinar cuándo una carga califica como irrazonable o excesiva. Ante esta imprecisión, cabe la duda de si la evaluación se realizará en función de las características de la empresa solicitada, de un promedio de la industria, o si habrá un estándar de “carga excesiva técnica” y “carga excesiva financiera” transversal a todos los casos. 

Mientras tanto, algunas empresas optarán por soportar las cargas y evitar el riesgo de sanción; mientras que otras, con menor aversión al riesgo, limitarán el ejercicio de la portabilidad bajo la excepción aparentemente habilitante. En otras palabras, se podría producir un cumplimiento asimétrico o una “defensa de privacidad”, como adelantamos en el acápite anterior. 

A diferencia de esta tesitura, la reformada ley chilena (artículo 9) adopta un enfoque más riguroso, sin excepciones, y señalando que el responsable debe facilitar el ejercicio del derecho a la portabilidad utilizando los medios más rápidos, accesibles y sin crear trabas adicionales para los usuarios. Ahora bien, la ley chilena establece que, durante el primer año de vigencia de la ley, la autoridad no podrá sancionar con multa a las empresas de menor tamaño.

Portabilidad de datos: ¿solución excepcional o necesidad generalizada?

La inclusión del derecho a la portabilidad en el nuevo reglamento peruano parece responder más a tendencias internacionales que a necesidades locales específicas. Mientras que en la Unión Europea, la portabilidad surgió como respuesta a problemas concretos de competencia en mercados digitales (para mitigar el efecto de “lock-in” o reducir los «walled gardens«), no está claro cuál fue la problemática concreta que se buscaba atender por la regulación peruana. Tampoco se evidencia si acaso la legislación de libre competencia resultaba insuficiente para atender a este problema, de modo tal que se requiriese una nueva obligación aplicable a todos los mercados.

Ni siquiera en el mercado único europeo hay un pleno conocimiento del derecho a la portabilidad de datos, siendo catalogado por los usuarios como el derecho menos efectivo para proteger la privacidad en medios digitales (Jamieson y Yamashita, 2023).

La nueva regulación general en el Perú, como advertimos, puede generar efectos diversos en los distintos mercados, y no se descarta que algunos de ellos puedan impactar negativamente en la competencia y, sobre todo, afectar a las pequeñas y medianas empresas. De ser así, nos podríamos enfrentar, paradójicamente, a una nueva solución que crea nuevos problemas.

Related Posts

Adicción y redes sociales: ¿Diseñadas para crear dependencia? (especial CPI)
Imagen recuperada de IStock
Perú: Regulación fragmentada de plataformas digitales y ley general de IA
Datos personales, bienestar del consumidor, calidad, privacidad, Lina Khan, Uber
Protección de datos personales: El rezago de Chile y la interacción con libre competencia
Un solo lenguaje en las redes sociales: soluciones de interoperabilidad horizontal
#defensa de privacidad#datos#datos inferidos#Concentración#pequeñas empresas#competencia#portabilidad

Regístrate de forma gratuita para seguir leyendo este contenido

Contenido exclusivo para los usuarios registrados de CeCo

DESTACADOS

Mujeres y mercados laborales: lo que el derecho de la competencia puede hacer por la equidad de género

Imagen recuperada de IStock

Algunas recomendaciones para las recomendaciones normativas del TDLC/FNE: análisis crítico

PODCAST DESTACADO

Centro Competencia – CECO
Alba Ribera | 12.02.2025

DMA, implementación en la UE y efectos en Latinoamérica

Centro Competencia – CECO
Macarena Viertel | 22.01.2025

La regulación europea de la libre competencia (con Macarena Viertel)

Centro Competencia – CECO
Claudio Agostini | 8.01.2025

El mercado de la pesca en Chile (con Claudio Agostini)

VER MÁS PODCAST

Para descargar la investigación, completa esta información.

Revisa las ventanas emergentes. Algunos navegadores podrían bloquear la descarga del archivo.



    ×

    Regístrate para descargar

    Esta función es exclusiva para usuarios registrados de CeCo.

    ¿Ya tienes una cuenta?

    Inicia sesión

    DÉJANOS TUS COMENTARIOS

    Si te interesa colaborar con nosotros, proponer sugerencias o contactarnos, déjanos tus comentarios a continuación:

      Av. Presidente Errázuriz 3485, Las Condes, Santiago de Chile.

      Teléfono
      (56 2) 2331 1000