Perú endurece control sobre datos personales con multas y nuevas regulaciones

LEER TAMBIÉN: Anemia infantil: Minsa responde a grave denuncia sobre falta de hierro en centros de salud

Se trata del proyecto del nuevo Reglamento de la Ley de Protección de Datos Personales (Ley 29733), el cual mantendría el esquema del actual reglamento (que entró en vigencia en 2013, tras publicación de la Ley en 2011), añadiendo algunas obligaciones principalmente para las empresas extranjeras, además de otras reglas para el manejo y tratamiento de este tipo de datos. Dicho proyecto fue prepublicado en agosto del 2023, con el objetivo de que se debata y se abran mesas de trabajo con actores de la sociedad.

Eduardo Luna, jefe de la ANPD, ya había mencionado en los primeros meses del año que la continua aparición de nuevas tecnologías y los riesgos que derivan de ella demandan una necesidad por revisar y actualizar las normas que regulan la protección de datos personales en el país. En ese sentido, dijo que si bien el Perú cuenta con una Ley al respecto, es natural que se desactualice con el paso del tiempo.

“Tenemos derecho a la autodeterminación de los datos que sobre mí se proyectan al mundo. De tener el control sobre ellos. Que cuando efectuemos una transacción bancaria, reservemos un vuelo, llenemos una encuesta, publiquemos una imagen en redes sociales o brindemos nuestros datos a una entidad pública, se respete una serie de principios y reglas para procurar un tratamiento adecuado de estos. La era digital en la que vivimos obliga a revisar las normas, procedimientos e instituciones para que vayan acordes con los tiempos”, mencionó.

Pero ¿cuáles son las nuevas obligaciones que contiene el proyecto del nuevo reglamento?

Toma de consentimiento de uso de datos personales. Este consentimiento debe ser libre, informado, expreso y previo a la recopilación o el tratamiento de los datos. Algo a tomar en cuenta es que la captación de datos sensibles requiere de un consentimiento por escrito.

Registro de bancos de datos personales. Las entidades deben registrar y actualizar ante la ANPD los tipos de datos sometidos a tratamiento, los usos previstos para estos datos, cómo se obtuvieron, los datos de contacto del titular del banco de datos, si se cuenta con medidas de seguridad, los destinatarios de los datos y los flujos transfronterizos.

Mecanismos para acceso, rectificación, cancelación y oposición. Se debe garantizar que cualquier persona pueda ejercer su derecho a conocer qué información se ha almacenado y el uso que se le dará, solicitar la rectificación de datos que estén errados, pedir su cancelación o supresión, y oponerse a su tratamiento.

Medidas de seguridad. Las entidades deben implementar estas medidas para evitar accesos no autorizados, afectaciones a la integridad de la información, entre otras violaciones y riesgos. Para ello, se debe contar con sistemas de control de registro y acceso a la información digital o física, sistemas de usuarios y contraseñas para el acceso a la información digital y sistemas de recuperación en caso se pierda la información.

Precisiones sobre los responsables del tratamiento de datos personales ubicados fuera del Perú. Se obliga a las entidades responsables del tratamiento de esta información sensible que no están constituidos en el país a designar un representante en el territorio nacional.

Designación de un oficial de Protección de Datos Personales (DPO): Esto deberá suceder en tres escenarios: (1) Cuando el tratamiento de datos personales sea realizado por una autoridad u organismo público. (2) Si el responsable realiza actividades de tratamiento que requieran una observación habitual, sistemática y continua de titulares de datos personales de forma masiva o a gran escala. (3) En caso de que el titular del banco de datos o responsable de tratamiento realicen como actividades principales aquellas que consistan en el tratamiento de datos sensibles.

Se deberá notificar a la ANPD cualquier incidente en un plazo de 48 horas desde su ocurrencia. Se tiene que notificar lo sucedido a los titulares de los datos personales involucrados y las medidas que se tomaron. La notificación a la ANPD debe incluir el contacto del oficial de Protección de Datos Personales u otro responsable, naturaleza del incidente, datos involucrados, posibles consecuencias, así como medidas adoptadas o propuestas. En el nuevo proyecto de reglamento se agrega como condición que no basta con que sea un incidente de seguridad, sino que este debe implicar la exposición de una gran cantidad de datos personales o que estos involucren un serio riesgo.

Contar con una política de seguridad que reúna medidas de protección. Esta política debe ser aprobada formalmente y contar con fecha. El documento debe estar actualizado y contener, como mínimo, los procedimientos de gestión de accesos, la gestión de privilegios y la verificación periódica de los privilegios asignados.

Juan José Hopkins, socio experto en Fintech de CMS Grau, comentó a El Comercio que este proyecto tiene muchas cosas positivas que en suma buscan modernizar el sistema de protección de datos personales y adecuarlo un poco a lo que sucede en el mundo actual. Sin embargo, dijo que existen algunos puntos que preocupan a las empresas extranjeras que operan en el Perú, ligados a los estándares internacionales y requisitos que podrían hacer que el país sea un destino un poco más caro para que dichas compañías decidan operar. “Son tres puntos del proyecto que generan un poco más de preocupación”, mencionó.

Un primer tema es el alcance extraterritorial que se le quiere dar a la norma. Hopkins sostuvo que esto forzaría a las empresas extranjeras a nombrar un representante suyo en el Perú que atienda a la autoridad de datos personales. Puso como ejemplo que si Amazon, Microsoft o alguna empresa que no tiene presencia en el país, al manejar datos personales de peruanos a través de las redes sociales tiene que poner una persona aquí que efectivamente se encargue de estos temas. Indicó que este escenario podría generar sobre costos e inconvenientes a la operación.

“Por ejemplo, el TLC que tenemos con Estados Unidos establece ciertas prohibiciones respecto de forzar a empresas americanas a tener un representante acá cuando están haciendo operaciones; entonces esta norma iría un poco en contra del TLC con los Estados Unidos, podría forzar a empresas americanas a tener a alguien acá, lo cual obviamente le generaría sobre costos y algunos inconvenientes para la operación”, explicó.

Un segundo punto tiene que ver con la autorización de datos personales. En una página web, al momento de solicitar este permiso aparece la pregunta y un casillero a marcar (checkbox). También aparece otra pregunta para permisos adicionales que el usuario puede decidir si aceptar o no. Según Hopkins, lo que el proyecto ahora señala es que debe implementarse un checkbox por cada uso adicional que que las empresas solicitan. Es decir, ya no serían dos las preguntas como normalmente aparecen en las páginas, sino muchas más.

“Hay un estándar internacional que manejan todas las empresas. Si embargo, se está forzando a poner un checkbox por cada uso adicional que las empresas quieran hacer de los datos. Eso les podría generar un problema respecto a programaciones y además propicia un ámbito en el que mal interpretada la norma ocasionaría complicaciones para su aplicación, lo que puede exponer a las empresas a recibir multas o sanciones”, sostuvo Hopkins.

LEER TAMBIÉN: Puente Santa Rosa ya no integra lista de proyectos priorizados: ¿Qué significa el cambio en modalidad de su ejecución?

Asimismo, una tercera preocupación está ligada con “el derecho al olvido”, el cual le estaría dando en cierta medida la potestad a la autoridad de requerirle a los buscadores o medios de prensa a que retiren ciertas cosas de la web por pedido de los usuarios. Hopkins señaló que el estándar internacional para esas solicitudes normalmente es que se haga a nivel judicial, pues se trata de un conflicto entre dos derechos bastante contrapuestos: el derecho a informar y el derecho que tiene cada persona a su privacidad.

“Si cometí un delito hace 10 años y ya cumplí mi pena, pero sigo buscando en internet y aparece en diversos sitios, entonces para pedir que se elimine voy donde el juez y presento mi pedido. Lo que dice el tema internacional es que lo mejor sería que un juez mire la gravedad del asunto y decida cuál de estos dos derechos prevalece. Lo preocupante es es que al darle la facultad a la ANPD, esta va a tender a proteger al individuo porque es su ámbito de preocupación”, consideró.

Rubiela Gaspar, coordinadora legal en Políticas Públicas de Hiperderecho, resaltó la elaboración del proyecto de un nuevo reglamento de la Ley de Protección de Datos Personales, ya que afirma que es una propuesta más garantista para la adecuada ejecución de la ley, pues incluye mayores estándares y regulaciones para el uso y seguimiento de los datos sensibles que proporcionamos en distintos ámbitos.

“Hemos seguido este proyecto que se publicó en agosto del año pasado. Hemos participado en reuniones y eventos de discusión sobre su contenido. Se trata de un proyecto bastante prometedor porque busca actualizar el reglamento actual que es del año 2011 y entró en vigencia el 2013, entonces ya son más de 10 años del reglamento actual. Es una propuesta más garantista para la protección de datos personales”, resaltó.

Gaspar precisó que este proyecto de reglamento está claramente influenciado por el reglamento de la Unión Europea sobre protección de datos personales del 2016, recibiendo así la influencia de un órgano más garante acerca de estos derechos y que se enfoca en el avance de las nuevas tecnologías. “Se refuerza el consentimiento del titular para el uso de sus datos personales; se agrega el consentimiento granular, que es como se le conoce al consentimiento que se da por cada finalidad de tratamiento; también incorpora nuevos principios para la protección de datos personales como el de transparencia y de responsabilidad proactiva, entre otros”, detalló.

Destacó también la ampliación del margen de acción del oficial de datos personales. Precisamente, la figura de este oficial no aparece en el reglamento actual. La experta indicó que estaba dirigida para las autoridades y funcionarios públicos, pero ahora lo novedoso sería que se extiende a ciertos privados, como aquellos titulares de bancos de datos o responsables de tratamiento que se encargan de forma sistémica de tratar con datos personales a gran escala o responsables que tengan como principal finalidad de sus actividades o negocios el tratamiento de datos sensibles.

“Una segunda novedad es que se incluye el derecho a la portabilidad dentro del derecho a la protección de datos personales, eso también por influencia europea. Quiere decir que cada persona puede trasladar sus datos personales almacenados de una plataforma a otra, esto es algo que ya se puede hacer en realidad en Facebook y TikTok, pero bueno, esto también da la posibilidad de que en otras instituciones públicas o privadas se pueda ejercer este derecho”, añadió Gaspar.

LEER TAMBIÉN: Dan ultimátum a la ATU: las 4 razones que llevaron al Metropolitano a advertir sobre un posible cese de operaciones

En tanto, Gaspar también mencionó algunos puntos en los que se podría mejorar. Por ejemplo, señaló que no se mencionan plazos de implementación progresiva. Entonces al tener tantas normas que implican la acción de parte de titulares de bancos de datos o encargados de tratamientos públicos y privados, pues sí es necesario un calendario de actividades progresivo.

“Por otro lado, una recomendación sería también hacer una diferenciación entre los tamaños y tipos de empresas que tratan datos personales, pues no va a ser igual un bazar que tiene una lista de deudores o una organización de estudiantes que recopila datos personales para la asistencia a un evento, que empresas de marketing. El tratamiento de datos personales es distinto. Se tiene también que hacer una diferencia respecto a la cantidad, la frecuencia, el tipo, el volumen de datos personales. Todo eso a fin de que la norma sea efectiva”, finalizó.