JULIO JEFRIE ROJAS SARAVIA
Miembro del Área Laboral del Estudio Dentons.
La Ley de Protección de Datos Personales (Ley N° 29733) fue publicada en el Diario Oficial El Peruano el 2 de julio de 2011; en ella se establecieron los principios, derechos y obligaciones que debían seguir las empresas en el tratamiento de los datos personales.
Posteriormente, el 21 de marzo de 2013, se promulgó el reglamento de dicha ley (Decreto Supremo N°003-2013-JUS) y allí se estableció un plazo de adecuación de dos años para las empresas de los sectores privado y público que contaban con bancos de datos personales; dicho plazo venció el 8 de mayo del 2015.
En otras palabras, todas las empresas públicas y privadas debieron adecuarse a lo regulado en la Ley de Protección de Datos Personales y su reglamento hasta mayo del 2015; caso contrario, dichas empresas serian sujetos pasibles de multa. Pese a ello, a la fecha muchas entidades ignoran esta normativa o cómo aplicarla.
En el 2018, según información otorgada por el Ministerio de Justicia, la Autoridad Nacional de Protección de Datos Personales realizó 283 visitas de fiscalización a instituciones públicas y privadas en datos personales e impuso multas por más de 700,000 soles por infracciones a la Ley de Protección de Datos Personales.
Por lo indicado, resulta de suma importancia entender a cabalidad cuáles son las principales obligaciones que las empresas deben cumplir a fin de evitar potenciales multas en caso de una fiscalización por la Autoridad Nacional de Protección de Datos Personales. Las principales obligaciones son las siguientes:
1) Inscribir los bancos de datos personales identificados en la empresa. Esto no implica entregar la base de datos, sino informar a la autoridad sobre la existencia, contenido y finalidad del banco de datos.
Resulta materialmente imposible que las empresas no almacenen datos personales, ya que siempre se relacionan con personas (titulares de datos personales), sean estos trabajadores, dientes, entre otros; por ello, cada vez que la empresa almacene de manera organizada datos personales debe proceder a la inscripción de dicho banco de datos.
En ese sentido, los bancos de datos personales más comunes en las empresas son los de proveedores, trabajadores, clientes y prospectos de clientes; la inscripción de cada banco de datos es independiente, es decir, se debe presentar un formulario de inscripción distinto por cada banco de datos. En relación con el mencionado procedimiento de inscripción, una vez evaluado el expediente y verificado que se han cumplido con los requisitos exigidos, la Dirección de Registro Nacional de Protección de Datos Personales emite una resolución disponiendo la inscripción del banco de datos personales en el RNPDP.
La empresa debe ser muy cuidadosa sobre los datos que consigna en estos formularios, ya que tiene que tomar en cuenta los principios regulados en las normas citadas.
2) Elaborar una política de protección de datos personales. Esta es una declaración formal de compromiso, la cual contiene los lineamientos que sirven de dirección para el tratamiento de los datos personales en la empresa; dicha política debe ser conocida por todos aquellos titulares de datos personales vinculados con la empresa.
3) Elaborar un procedimiento para el ejercicio de los derechos ARCO. La Ley de protección de datos personales (Ley Nº 29733) reconoce derechos para los titulares de los datos, sean estos trabajadores, clientes, proveedores u otros; el titular del banco de datos a cargo es responsable de implementar mecanismos que faciliten el ejercicio de estos derechos.3) Elaborar un procedimiento para el ejercicio de los derechos ARCO. La Ley de protección de datos personales (Ley Nº 29733) reconoce derechos para los titulares de los datos, sean estos trabajadores, clientes, proveedores u otros; el titular del banco de datos a cargo es responsable de implementar mecanismos que faciliten el ejercicio de estos derechos.
La empresa deberá elaborar documentos de gestión de los derechos ARCO, formularios y designar al responsable de responder las solicitudes de atención dentro de los plazos establecidos por la ley. 4) Aplicar medidas de seguridad. Las empresas que posean bancos de datos personales tienen que adoptar medidas técnicas, organizativas y jurídicas, a fin de que los datos personales sean tratado de manera adecuada.
Por ejemplo, una medida de seguridad organizativa es determinar en el interior de la empresa quién es responsable e interviniente de cada banco de datos, a fin de que ellos suscriban compromisos de confidencialidad sobre los datos que manejan. Por otro lado, una medida de seguridad jurídica sería incluir cláusulas de datos personales en los diferentes contratos con clientes, proveedores, trabajadores, etcétera. Las multas por infracciones a la Ley de Datos Personales y su reglamento se clasifican en leves, graves y muy graves. La sanción mínima para una empresa por una infracción leve es de 2,100 soles y la sanción máxima por una infracción muy grave puede ascender a la suma máxima de 420,000 soles. Por lo indicado, las empresas que no se hayan adecuado a la normativa de datos personales poseen un riesgo latente en caso tengan una visita inspectiva de la Autoridad Nacional de Protección de Datos Personales.
Fuente: Jurídica
[1] Ministerio de Justicia. Multas por más de 700,000 soles impuso la Autoridad Nacional de Protección de Datos del Minjusdh durante el 2018. Estado Peruano. Recuperado de https://www.gob.pe/institucion/minjus/noticias/24222- multas-por-mas-de-s-700-mil-impuso-la-autoridad-nacional-de-proteccion-de-datos-del-minjusdh-durante-2018.