El 30 de noviembre de 2024 se publicó en el Diario Oficial El Peruano el Decreto Supremo 016-2024-JUS, que aprueba Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales (en adelante, el Reglamento).
El Reglamento hace énfasis en que sus disposiciones se aplican con especial relevancia en el entorno digital y de las nuevas tecnologías.
Busca abordar las obligaciones relativas a los incidentes de seguridad, transferencias internacionales de datos personales y recolección de grandes cantidades de datos (big data).
Procura aclarar y/o superar dificultades en la aplicación de la normativa reveladas por la casuística.
De igual modo, prevé que la Autoridad de Protección de Datos Personales (ANPDP) podrá emitir normativa complementaria para desarrollar ciertas obligaciones.
Stucchi Abogados elaboró un Reporte Legal con los principales cambios que plantea el reglamento:
1. Se incluyen expresamente como supuestos de aplicación territorial de la norma, el tratamiento de datos personales realizado por un titular de banco de datos o responsable de estos, que no se encuentre establecido en el Perú, pero que: (i) realice actividades relacionadas a la oferta de bienes o servicios dirigidos a titulares de datos personales ubicados en el país; o, (ii) realice actividades orientadas al análisis de comportamiento y elaboración de perfiles de los titulares ubicados en el Perú.
2. Reconoce expresamente los principios de: (i) Responsabilidad proactiva, que consiste en que el titular del banco o responsable de su tratamiento aplique las medidas de seguridad necesarias para el cumplimiento de la normativa y que sea capaz de demostrar tal cumplimiento; y (ii) Transparencia, que exige que todo titular debe poder conocer de manera permanente, clara, fácil de entender y accesible las condiciones del tratamiento de sus datos personales, así como las formas en que pueden ejercer sus derechos.
3. Incorpora nuevas obligaciones para los titulares de bancos de datos personales y responsables del tratamiento, a saber: (i) Se mantiene la obligación general de que todo tratamiento de datos personales requiere del consentimiento previo, libre, expreso e inequívoco. Sin embargo, se agrega la obligación de informar acerca de la existencia de decisiones automatizadas, incluida la elaboración de perfiles. (ii) Designar un Oficial de Datos Personales, que tiene el deber de informar y asesorar al titular del banco de datos personales o al responsable de su tratamiento y cooperar con ANPDP. Esta obligación está limitada a las entidades públicas, a las que procesan grandes volúmenes de datos personales y a aquellas cuyo giro principal implique el tratamiento de datos sensibles. (iii) Reportar a la ANPDP los incidentes de seguridad que generen exposición masiva de datos, que puedan afectar a un gran número de personas, cuando se trate de datos sensibles o cuando se produzca un perjuicio a otros derechos o libertades de los titulares de datos personales. En el caso de incidentes ocurridos en entornos digitales, deberá notificarse al Centro Nacional de Seguridad Digital.
Adicionalmente, se deberá notificar al propio titular de datos personales, cuando el incidente afecte otros de sus derechos o libertades. (iv) Las medidas de seguridad no sólo deben estar documentadas e implementadas, sino que el Documento de Seguridad debe tener fecha cierta.
4. Se regula expresamente la posibilidad de realizar un primer y único contacto a los titulares de datos personales con la finalidad de obtener su consentimiento para tratar sus datos, siempre que estos hayan sido recopilados de fuentes accesibles al público. 5. Reconoce expresamente el derecho de portabilidad de datos personales como manifestación del -ya existente- derecho de acceso.
En consecuencia, el titular de los datos puede solicitar recibir sus datos personales en un formato estructurado, de uso común y de lectura mecánica.
6. Establece la gratuidad de los procedimientos de inscripción, modificación y eliminación de bancos de datos personales.
7. Se precisan reglas relativas a la recopilación de consentimiento y tratamiento de datos de menores de edad, asi como la obligación general de los responsables del tratamiento de garantizar el interés superior del niño y sus derechos.
8. En los casos de flujos transfronterizos, el Reglamento establece que la ANPDP deberá determinar qué países destino ofrecen un nivel de protección adecuado, considerando su marco jurídico general y específico en materia de protección de datos, así como la existencia de una autoridad encargada de la supervisión y determinación de las responsabilidades legales.
9. Fortalece el régimen de infracciones y sanciones vigente, aclarando y/o reclasificando infracciones ya existentes e incorporando nuevas. Por ejemplo, el incumplimiento del deber de informar parcial o íntegramente las condiciones de tratamiento a los titulares de datos ha sido incluido explícitamente como una infracción. Asimismo, se tipifica como infracción la omisión de informar a la ANPDP la ocurrencia de incidentes de seguridad, cuando ello sea obligatorio.
10. La implementación de un Código de Conducta será considerada como atenuante de la responsabilidad administrativa por infracciones a la Ley N° 29733 – Ley de Protección de Datos Personales.
Como regla general, el Reglamento entrará en vigencia a partir de los 120 días calendario siguientes de su publicación en el diario oficial El Peruano, salvo algunos plazos especiales relativos a la designación de un Oficial de Datos Personales y la implementación del derecho de portabilidad.
