La complejidad para cumplir con las normas y obligaciones regulatorias vinculadas a la protección de datos personales, como el nuevo reglamento de la ley que viene trabajando el Ministerio de Justicia y Derechos Humanos, y las consecuencias que se pueden enfrentar de no cumplirlas, son preocupaciones que implican nuevos desafíos para las empresas.
Solo en el 2023, la ANPD realizó 336 fiscalizaciones y 132 procedimientos sancionadores; mientras que, en los últimos tres años, estos llegaron a 392 de 988 entidades fiscalizadas.
Al respecto, Alessia Lercari, asociada del área Regulatoria de Miranda & Amado, señala que es importante destacar que el proyecto mantendrá el esquema del actual reglamento, aprobado por el Decreto Supremo N° 003-2013-JUS, añadiendo algunas obligaciones a ser revisadas con antelación por los distintos actores en el tratamiento de datos personales.
El reglamento actual se sostiene en cuatro pilares, los cuales se mantienen en la nueva propuesta:
Toma de consentimiento de uso de datos personales. El consentimiento debe ser libre, informado, expreso, inequívoco y previo a la recopilación o tratamiento de los datos. Asimismo, se debe considerar que la captación de datos sensibles requiere de un consentimiento por escrito.
Registro de bancos de datos personales. Se debe registrar y actualizar ante la Autoridad Nacional de Protección de Datos Personales la siguiente información: los tipos de datos sometidos a tratamiento, los usos previstos para dichos datos, el origen de obtención, los datos de contacto del titular del banco de datos, si se cuenta con medidas de seguridad, los destinatarios de los datos y los flujos transfronterizos.
Además, Lercari precisa que “si los datos son almacenados o remitidos a algún servidor fuera del país, se deberá registrar el flujo transfronterizo correspondiente”.
Implementación de medidas de seguridad. Deben implementarse medidas de seguridad para evitar accesos no autorizados, afectaciones a la integridad de la información, entre otras violaciones y riesgos. Para ello, se debe contar con sistemas de control de registro y acceso a la información digital o física, sistemas de usuarios y contraseñas para el acceso a la información digital, así como sistemas de recuperación en caso de pérdida de información.
Implementación de mecanismos para el ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición). Estos garantizan que cualquier persona pueda ejercer su derecho a acceder a qué información se ha almacenado y su uso, solicitar la rectificación de datos almacenados que sean errados, pedir la cancelación o supresión de sus datos, y oponerse a su tratamiento.
Lercari indica que los mecanismos que se establezcan deben respetar el plazo de atención establecido por ley. La solicitud de acceso a los datos recopilados debe ser atendida en menos de 20 días hábiles. El resto de los derechos tiene un plazo de atención de 10 días hábiles.
Novedades del nuevo reglamento
Respecto a las novedades que llegan con el nuevo reglamento, Miranda & Amado señala que son las siguientes:
Un panorama más claro respecto a los responsables del tratamiento de datos personales que no están ubicados en el Perú. En este caso, las obligaciones en protección de datos personales alcanzan a quienes realizan actividades relacionadas a la oferta de bienes o servicios, así como a quienes realizan actividades orientadas al análisis de comportamiento de los titulares de datos personales ubicados en el territorio peruano.
Obligación de nombrar un representante en el Perú para responsables del tratamiento de datos personales que no están ubicados en el país. “Todos aquellos responsables del tratamiento de datos personales que no están constituidos en el país tienen que designar, de manera expresa, un representante en y para el territorio peruano”, señala Álvaro Gastañadui, asociado del área Regulatoria de Miranda & Amado.
Obligación de notificar a la Autoridad Nacional de Protección de Datos Personales (ANPD) los incidentes de seguridad en un plazo de 48 horas desde la constancia de lo sucedido. Asimismo, notificar lo sucedido a los titulares de los datos personales involucrados y qué medidas se tomaron. La notificación a la ANPD debe incluir el contacto del oficial de Protección de Datos Personales u otro responsable, naturaleza del incidente, datos involucrados, posibles consecuencias, así como medidas adoptadas o propuestas. Si no se reporta en el tiempo establecido, se deberá incluir una explicación que sustente por qué no se cumplió con el plazo. Gastañadui añade que, en la versión más reciente del nuevo proyecto de reglamento, para esta obligación, hay una condición cualitativa: “No basta con que sea un incidente de seguridad, sino que este debe implicar la exposición de grandes volúmenes de datos personales, en cantidad o tipo de datos, que pueden afectar a un gran número de personas, o cuando se produce un perjuicio evidente a otros derechos y libertades del titular de los datos personales. Para la obligación de notificar a este titular, también se debe evidenciar que el incidente ha afectado a otros derechos”.
Obligación de designar a un oficial de Protección de Datos Personales (DPO) en tres casos puntuales: En el caso de que el tratamiento de datos personales sea realizado por una autoridad u organismo público, de conformidad con lo establecido en el en el Reglamento de la Ley de Gobierno Digital; si el responsable del tratamiento o el encargado realizan actividades de tratamiento que, por razón de su naturaleza, requieran una observación habitual, sistemática y continua de titulares de datos personales de forma masiva o gran escala; en caso de que el titular del banco de datos o responsable de tratamiento realicen como actividades principales aquellas que consistan en el tratamiento de datos sensibles.
Se deberá comunicar la designación a la Autoridad Nacional de Protección de Datos Personales (ANPD). Gastañadui destaca que “un grupo empresarial puede nombrar un único DPO, siempre que sea fácilmente contactable desde cada establecimiento”.
Obligación de contar con una política de seguridad que recoja las medidas de protección de datos personales.
La política debe ser aprobada formalmente y contar con fecha cierta. El documento debe estar actualizado y contener, como mínimo, los procedimientos de gestión de accesos, la gestión de privilegios y la verificación periódica de los privilegios asignados.
Obligación de evaluar el impacto relativo a la protección de datos personales
De manera facultativa y previa al tratamiento, el responsable del tratamiento puede realizar la evaluación, especialmente cuando se trate de datos sensibles, datos con fines de crear perfiles personales, datos de personas en especial situación de vulnerabilidad como menores de edad o personas con discapacidad; cuando se realice tratamiento de grandes volúmenes de datos; u otros supuestos determinados por la ANPD.
Por su parte, Willy Pedreschi, socio del área Regulatoria del estudio de Miranda & Amado, agrega que los principales actores interesados en el tratamiento de los datos, son los titulares de los bancos de datos (personas naturales, jurídicas de derecho privado o entidades públicas); el responsable del tratamiento, que es quien decide sobre el uso de los datos; así como el encargado del tratamiento, que es un tercero a quien el titular del banco de datos le encomienda el tratamiento de datos. Asimismo, todas las personas debemos conocer la presente normativa respecto a la recopilación y uso de nuestros datos personales.