En Perú, la acción de habeas data posee reconocimiento constitucional¹, y regulación en la ley. La Ley de protección de datos personales establece que los principios rectores en el tratamiento y almacenamiento de datos personales son los de legalidad, consentimiento, finalidad, proporcionalidad, calidad, seguridad, disposición de recurso y nivel de protección adecuado. La ley contempla la existencia de una autoridad nacional de protección de datos personales, que es el Ministerio de Justicia, a través de la Dirección Nacional de Justicia. Esta autoridad tiene a su cargo la administración y mantención del Registro Nacional de Protección de Datos Personales, que a la vez es un registro de carácter administrativo con la finalidad de inscribir en este: los bancos de datos personales de administración pública o privada, así como los datos relativos a éstos que sean necesarios para el ejercicio de los derechos que corresponden a los titulares de datos personales. El régimen de sanciones de esta ley consiste en sanciones administrativas y multas coercitivas².

En el 2009, un ciudadano peruano fue acusado de haber cometido un delito contra el pudor público: la noticia apareció en diversos medios de comunicación nacionales y se le inició un proceso penal. Sin embargo, se le absolvió en juicio. El afectado solicitó al Juzgado Penal que lo absolvió, que pidiera que Google desindexara la información relacionada con su nombre y el delito. Ante la negativa de Google, el afectado pidió a la Autoridad de Protección de Datos que cuestionara la negativa de cancelar un registro con sus datos, según la Ley de Protección de Datos Personales. La autoridad consideró que Google estaba obligado a respetar las leyes peruanas, incluso si era una empresa extranjera, y resolvió que Google había: (i) obstaculizado en forma sistemática el ejercicio de los derechos del titular de datos personales, y, (ii) se había negado a respetar el derecho de cancelación de datos del ciudadano peruano. Por ambas infracciones, le puso una multa de 65 UIT (equivalentes a más de 250 mil soles o 75 mil dólares). Además, se ordenó a Google “bloquear los datos personales de toda información o noticia relacionada con la denuncia penal”¹. Una resolución posterior también ordena desindexar, dejando en claro que los buscadores de internet son responsables por el tratamiento de datos, y que es necesario ponderar entre la protección de datos y la libertad de expresión al decidir cada caso².

Se protegen los derechos de autor sobre todas las obras del ingenio sin que se supedite al registro o al cumplimiento de cualquier otra formalidad; esta protección incluye a los programas de computación. La ley establece que no son objeto de protección las ideas contenidas en las obras literarias o artísticas, los textos oficiales y las noticias del día. Se reconocen como límites al derecho de explotación, entre otros, que la reproducción o copia se realice en un ámbito exclusivamente doméstico, siempre que no exista un interés económico, directo o indirecto; las efectuadas en actos oficiales o ceremonias religiosas; aquellas con fines exclusivamente didácticos y para fines educativos, de parodia, bibliotecarios o para actuaciones judiciales o administrativas. El derecho patrimonial se protege durante la vida del autor y hasta setenta años después de su muerte, tiempo a partir del cual las obras pasan al dominio público. Las expresiones de folclor también forman parte del dominio público¹.

En el año 2013 se aprobó la ley cuyo objetivo es “prevenir y sancionar las conductas ilícitas que afecten los sistemas y datos informáticos (…) cometidas mediante la utilización de tecnologías de la información o comunicación, con la finalidad de garantizar la lucha eficaz contra la ciberdelincuencia”¹. Entre las conductas sancionadas se prevé una pena de prisión de uno a cuatro años a quien accede sin autorización a todo o parte de un sistema informático; de tres a seis años a quien atente contra la integridad de datos o sistemas informáticos; de cuatro a ocho años de prisión a quien contacte con un menor de catorce años para obtener material pornográfico o llevar a cabo actividades sexuales; de tres a cinco años a quien intercepte o trafique ilegalmente con datos y de cinco a diez años a quien cometa fraudes informáticos.

En 2012 el Congreso peruano reguló el principio de neutralidad de la red estableciendo la libertad de uso de aplicaciones o protocolos de Banda Ancha. Textualmente la ley dice que “los proveedores de acceso a Internet respetarán la neutralidad de red por la cual no pueden de manera arbitraria bloquear, interferir, discriminar ni restringir el derecho de cualquier usuario a utilizar una aplicación o protocolo, independientemente de su origen, destino, naturaleza o propiedad.” El Organismo Supervisor de Inversión Privada en Telecomunicaciones (OSIPTEL) determina las conductas que no serán consideradas arbitrarias, relativas a la neutralidad de red¹. El reglamento de OSIPTEL fue publicado a principios de 2017.

La Constitución de Perú establece el derecho al secreto y a la inviolabilidad de las comunicaciones y documentos privados, señalando que “las comunicaciones, telecomunicaciones o sus instrumentos sólo pueden ser abiertos, incautados, interceptados o intervenidos por mandamiento motivado del juez, con las garantías previstas en la ley. Se guarda secreto de los asuntos ajenos al hecho que motiva su examen. Los documentos privados obtenidos con violación de este precepto no tienen efecto legal¹. Adicionalmente, la ley establece que “las comunicaciones, telecomunicaciones, sistemas informáticos o sus instrumentos, cuando sean de carácter privado o uso privado, solo pueden ser abiertos, incautados, interceptados o intervenidos por mandamiento motivado del juez o con autorización de su titular, con las garantías previstas en la ley².

El año 2015 se publicó el Decreto Legislativo 1182, “Que regula el uso de los datos derivados de las telecomunicaciones para la identificación, localización y geolocalización de equipos de comunicación, en la lucha contra la delincuencia y el crimen organizado”, que hace obligatorio para las empresas de telecomunicaciones almacenar los datos derivados de las telecomunicaciones de todos los usuarios de estos servicios durante tres años. Durante los primeros doce meses, las autoridades pueden acceder en tiempo real con mandato judicial previo; durante los 24 meses posteriores, el acceso es diferido y también requiere autorización judicial.

El Decreto Legislativo 1182 faculta el acceso de la unidad especializada de la Policía Nacional del Perú a la geolocalización de teléfonos móviles y otros dispositivos similares hasta por tres años, siendo la geolocalización en tiempo real accesible mediante autorización judicial durante los primeros 12 meses.

Para que la policía pueda enviar un pedido a cualquier empresa operadora, deben concurrir tres presupuestos: i) que se trate de un delito flagrante; ii) que el delito investigado sea sancionable con más de cuatro años de prisión; iii) que el acceso a los datos constituya un medio necesario para la investigación. Sin embargo, el cumplimiento de estos requisitos solo será revisado luego de que la Policía ya haya accedido a los datos. Por los plazos que establece el sistema, podrían pasar hasta 72 horas desde que la Policía empezó a monitorear a cualquier ciudadano para que recién un Juez pueda pronunciarse sobre la legalidad de la medida y verifique si realmente se han respetado los requisitos¹.

Los concesionarios de servicios públicos de telecomunicaciones tienen la obligación de facilitar en forma inmediata, y siempre que exista una resolución judicial, la geolocalización de teléfonos móviles y la diligencia de intervención, grabación o registro de las comunicaciones en tiempo real y en forma ininterrumpida, las 24 horas de los 365 días del año. [Nuevo Código Procesal Penal; artículo 230]

Cuando existan suficientes elementos de convicción para considerar la comisión de un delito sancionado con pena superior a los cuatro años de prisión, el Fiscal puede solicitar la intervención y grabación de comunicaciones al Juez de la Investigación Preparatoria. En este sentido, las empresas telefónicas y de telecomunicaciones tienen la obligación de posibilitar la diligencia de intervención y grabación o registro, bajo apercibimiento de ser denunciados por delito de desobediencia a la autoridad. La interceptación no puede durar más de sesenta días prorrogables¹.

En Perú, el organismo que ejerce las actividades de inteligencia es el Órgano Rector del Sistema de Inteligencia Nacional (SINA) y tiene objetivo recabar conocimiento útil, mediante el procesamiento de las informaciones, sobre las amenazas y riesgos actuales que puedan afectar la seguridad nacional del país. Sin embargo, en la ley sectorial no se regula específicamente la intervención de comunicaciones por dicho organismo¹.