¿Por qué estamos tan desprotegidos digitalmente si tenemos reglas de primera?
Cada vez que aceptas los términos y condiciones de una aplicación digital sin leerlos —algo que, seamos honestos, hacemos casi todos— estás cediendo información sobre ti a cambio de un servicio. No es un acto menor. Es la materia prima de la economía digital: tus hábitos, tus preferencias, tu ubicación, tu historial financiero. La pregunta relevante no es si esto ocurre, sino quién vela porque ocurra con reglas claras, y bajo qué condiciones el Estado tiene capacidad real para hacer cumplir esas reglas.
En el Perú, la respuesta corta es: todavía no lo suficiente. La respuesta larga requiere entender cómo estamos construyendo —o intentando construir— el andamiaje institucional para la gobernanza digital, tal como muestra la investigación que concluimos con Piero Fernández-Dávila.
Partamos de lo que existe. Desde 2011 contamos con la Ley de Protección de Datos Personales (Ley N° 29733), que establece principios razonables: consentimiento, proporcionalidad, seguridad, finalidad. Para hacerla cumplir, se creó la Autoridad Nacional de Protección de Datos Personales (ANDPD). Y en julio de 2023, el gobierno aprobó la Política Nacional de Transformación Digital (PNTD) para 2030, que identifica el «bajo ejercicio de la ciudadanía digital» como un problema público central y articula seis objetivos prioritarios: conectividad, economía, gobierno, talento, confianza e innovación digital.
El diagnóstico que subyace a esa política es, en buena medida, correcto. Más del 20 % de los peruanos mayores de seis años no usa internet. Entre quienes sí lo hacen, el uso se concentra en entretenimiento y comunicación; apenas uno de cada diez realiza trámites en línea con el Estado, y poco más de uno de cada cuatro opera en banca electrónica. La brecha no es solo de infraestructura: también es de capacidades, de confianza y de alfabetización en el manejo de los propios datos.
Pero hay un problema que la política menciona, aunque no resuelve del todo: la ANDPD no tiene la independencia institucional que necesita. Ubicada en el cuarto nivel jerárquico del Ministerio de Justicia, su presupuesto depende de la cartera que la alberga y su autonomía queda expuesta a las turbulencias políticas que, en el Perú, son permanentes. Para dimensionar la brecha: en 2023, el presupuesto del INEI —que produce estadísticas oficiales— superó al de la ANDPD en casi 40 veces. Una entidad encargada de proteger los datos personales de 33 millones de personas, con ese nivel de recursos, solo puede actuar de manera reactiva y limitada. No sorprende que en 2024 sumara apenas 335 sanciones registradas.
El contraste con otras arquitecturas regulatorias del propio Estado peruano es elocuente. OSIPTEL, el regulador de telecomunicaciones, opera con autonomía funcional y presupuestaria. La ANDPD, en cambio, depende estructuralmente del ministerio que la financia. Esa asimetría no es un detalle técnico: es una decisión política que revela cuánto priorizamos, en la práctica, la protección de los ciudadanos frente a los intereses que gestionan sus datos.
La experiencia comparada ofrece lecciones útiles. La Unión Europea estableció el Comité Europeo de Protección de Datos (CEPD) sobre la base de la independencia como principio constitutivo, no como aspiración. México tiene el INAI desde 2002 y ha articulado convenios de colaboración con su regulador de telecomunicaciones para abordar conjuntamente los retos de la protección de datos. Chile, que aún no tiene un regulador digital consolidado, ha avanzado en propuestas que preservan la autonomía del Poder Ejecutivo como condición innegociable.
Lo que estas experiencias confirman es algo que en el Perú solemos aprender tarde: las reglas, sin instituciones que las hagan cumplir, son decorativas. Podemos tener la política más sofisticada del mundo, pero si la entidad encargada de ejecutarla carece de independencia, presupuesto y personal técnico capacitado, el resultado es un Estado que promete protección y entrega vulnerabilidad.
La transformación digital del Perú es inevitable y, en muchos sentidos, deseable. Pero construirla sobre instituciones débiles, supeditadas a ciclos políticos cortos y con recursos insuficientes, es apostar a que los ciudadanos asuman por sí mismos los riesgos de un proceso que no controlan. Eso no es transformación: es transferencia de costos.
¡No desenchufes la licuadora! Suscríbete y ayúdanos a seguir haciendo Jugo.pe
