El sistema de protección de datos personales

Maria Soledad Gastañeta Gonzales 
Abogado. Miembro del Área de Derecho Administrativo García Sayán Abogados. 

A pesar de que desde el 2015 la Autoridad Nacional de Protección de Datos Personales del Ministerio de Justicia (ANPDP) está operativa y velando por el cumplimiento de la Ley de Protección de Datos Personales y su reglamento, todavía hay empresas o personas naturales que no son conscientes de la obligación legal de proteger los datos que poseen de personas naturales. Esto es un grave error, y no solo por respeto a los derechos fundamentales de las personas protegidos por la Constitución, sino incluso desde un punto de vista más individualista de evitarse un perjuicio económico.

La ANPDP es una entidad muy activa. Desde el 2015 hasta el 2019 ha impuesto multas que superan los 5 millones de soles; ha sancionado a cientos de administrados en los sectores educación, hotelero, salud y financiero. Por año realiza cientos de fiscalizaciones de oficio. Las multas que puede imponer la ANPDP ascienden hasta un tope de 100 UIT por infracción, de acuerdo con el valor de la UIT en el año 2020; es decir, hasta 430,000 soles.

Habiendo tomado conciencia de que es necesario cumplir con la Ley de protección de datos personales y su reglamento, no solo por respeto a los demás y a la Constitución, sino también para evitar la imposición de multas, hay que resaltar en qué consiste implementar un sistema de protección de datos personales:

◗ Identificar los bancos de datos con los que se cuenta y registrarlos ante la ANPDP de acuerdo con el formato aprobado. Ejemplos, banco de datos de trabajadores, clientes, cámaras de seguridad, libro de reclamaciones, etcétera.

◗ Solicitar el consentimiento libre, previo, expreso, inequívoco e informado de los titulares de datos personales que se recopilen. Este es un paso muy importante, ya que la regulación tiene una lista de todo aquello que debe ser informado y, ante cualquier omisión, la ANPDP considerará que no se tiene el consentimiento requerido. Entre los aspectos por informar se encuentran el código de registro del banco de datos donde se almacenan estos, los fines que se le dará a los datos, su plazo de conservación, si se realiza transferencia nacional y/o transfronteriza de datos y los receptores de estas, entre otros.

◗ Tomar medidas de seguridad. Las normas señalan medidas básicas tanto físicas, para la información que se guarda documentalmente en las oficinas, como electrónicas, para aquella que se guarda en una nube o un servidor. También hay una directiva sobre medidas de seguridad que, sin ser de obligatorio cumplimiento, es una guía base. Tener las medidas de seguridad implementadas es vital, ya que son materia de las fiscalizaciones de la ANPDP. Algunos ejemplos de medidas de seguridad: (I) control de acceso a la información de datos personales (gestión de accesos desde el registro de un usuario, gestión de los privilegios de este usuario, identificación del usuario ante el sistema, entre los que se encuentran usuario-contraseña, uso de certificados digitales, tokens, entre otros, y la verificación periódica de los privilegios asignados); (II) generar y mantener registros que provean evidencia sobre las interacciones con los datos lógicos, para los fines de la trazabilidad; y (III) los ambientes en los que se procese, almacene o transmita la información deberán ser implementados con controles de seguridad apropiados, tomando como referencia las recomendaciones de seguridad física y ambiental previstos en la NTP ISO/ IEC 17799 EDI. Tecnología de la Información. Código de Buenas Prácticas para la Gestión de Seguridad de la Información.

◗ Garantizar que los titulares de los datos personales puedan ejercer sus derechos de acceso, rectificación, cancelación y oposición (derechos ARCO), lo cual implica tener personal capacitado para ello. La norma establece distintos plazos para atender las solicitudes de los titulares de los datos personales. No responder en los plazos otorgados es una infracción susceptible de ser multada.

◗ Inscribir la realización de flujo transfronterizo de datos personales, que es la transferencia de estos a terceros ubicados en el extranjero. Este análisis debe hacerse a conciencia porque no solo aplica para aquellos casos en que, por ejemplo, una subsidiaria peruana envía datos a su empresa matriz, sino que también incluye aquellos casos en los que el servidor está localizado fuera del país o se usa una nube. El responsable de los datos debe verificar previamente a la celebración de cualquier contrato con sus proveedores que estos tengan políticas de protección de datos personales.

En conclusión, tener un sistema de protección de datos correctamente implementado es una tarea que requiera esfuerzo y compromiso de los responsables de los bancos de datos, pero este esfuerzo, además de ser una obligación legal, permitirá que tales responsables no sean afectados por multas, en la mayoría de los casos, bastante altas. Además, debe recordarse que la protección de datos es una tendencia mundial, por lo que, a futuro, lo que se avecina es el endurecimiento de las normas y las fiscalizaciones, y no lo contrario.

Fuente: Jurídica (El Peruano)

Written by Miguel Ampudia Belling

Abogado por la UNMSM. Maestrando en Gerencia Pública por la Escuela de Posgrado - Universidad Continental. Miembro fundador del Grupo de Estudios de Derecho Mineroenergético – GEDEM. Director de Peruweek.pe.
(Contacto: +51 980326610 | peruweek@peruweek.pe)

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

RICARDO DE LA PIEDRA CALLE

Estrategias de negociación en M&A

El actual dilema de las firmas de abogados