A 8 años de la ley de datos personales, su avance aun es lento pero significativo, también la necesidad de resguardar la información de las personas para mejorar la competitividad.
Por: Erick Iriarte Ahon, Socio Principal de IALaw (Iriarte & Asociados)
Si se quiere tener en cuenta la parte normativa la Ley 29733, Ley de Protección de Datos Personales, promulgada el 3 de Julio del 2011 y modificada por el DL 1353 del 6 de Enero del 2017. Esta Ley está reglamentada desde el 22 de marzo del 2013, mediante el DS 003-2013-JUS, y finalmente en plena vigencia (la Ley y el Reglamento) el 8 de mayo del 2015. En buen cristiano, a la fecha, esta legislación está totalmente vigente, aunque a la espera de la modificación y adecuación de su reglamento tras la modificación realizada por el DL 1353.
¿De quién depende la aplicación y velar por el cumplimiento de la Ley? Depende de toda entidad pública o privada, natural o jurídica, que realice tratamiento de datos personales. En realidad esta parte de la ley está vigente desde el 2011, pero se considera que la exigencia empezó con la vigencia del reglamento en mayo del 2013.
¿Qué es tratamiento de datos personales? Esta es una de las preguntas más frecuentes, pero si nos basamos en la norma la respuesta es que toda acción que se realice con los datos recopilados, desde su mera recolección, hasta cualquier transferencia, entrega a terceros, almacenamiento o eliminación de dichos datos. Importante señalar que no solo se trata de tratamientos “digitales” sino que pudieran ser “presenciales” (por ejemplo la información de files de personal que están en una gaveta).
Y ¿Qué son datos personales? En esencia cualquier información que te identifica (datos que son solo tuyos, como biometrías o tu ADN) e información que te hace identificable (datos que requieren una segunda relación, por ejemplo tu número de DNI solo será un dato personal en tanto que se determine que es un DNI que te pertenece a ti; o el número IP desde donde te conectas en tanto se determine que tú lo tenías asignado). De igual manera existen un tipo de datos personales que se les denomina sensibles, estos datos por que puedan implicar afectaciones a la persona tienen un mayor nivel de resguardo, bajo la legislación peruana se consideran como datos sensibles: “Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos; opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual”.
Entonces, ¿qué debemos hacer para cumplir la ley? Si bien son diversas acciones, las siguientes son cuatro (4) e las más relevantes: 1. Realizar toda recopilación de datos cumpliendo la ley, es decir recopilar con el consentimiento del titular de los datos personales. Este consentimiento debe ser previo, informado, expreso e inequívoco. En el caso de datos sensibles, el consentimiento debe ser por escrito. 2. Registrar las bases de datos que se posean de acuerdo a lo establecido por la ley y ante la Autoridad de Transparencia, Acceso a la Información y Protección de Datos Personales (que está en el Ministerio de Justicia y Derechos Humanos). 3. Cumplir con los mecanismos de seguridad necesarios para resguardar la información que se tiene en custodia, así como velar que los terceros a quienes les entreguemos dicha información cumplan con la legislación. 4. Informar a la Autoridad sobre flujos transfronterizos de la información o incidentes que ocurran con la información (brechas de seguridad).
Pero, ¿y si no cumplo la ley? Si no se cumple la ley, cualquier persona afectada puede recurrir ante la Autoridad de Transparencia, Acceso a la Información y Protección de Datos Personales y realizar su denuncia respectiva. Las sanciones van desde las 0.5 UIT hasta las 100 UIT, hasta un máximo del “(…) diez por ciento de los ingresos brutos anuales que hubiera percibido el presunto infractor durante el ejercicio anterior.”
Finalmente, ¿Por qué es relevante cumplir la ley de datos personales? Lo primero a señalar es que es obligatorio por Ley, pero sería quedarnos cortos en verlo como una mera obligación legal y no entenderlo como un instrumento para la competitividad y unA mejor relación con aquellos que nos han brindado sus datos para que los resguardemos (sean clientes, proveedores o trabajadores). Las exigencias de Estado de ser parte de la OECD también incluyen el cumplimiento de legislación de datos personales; son las empresas que mejor resguardan los datos de sus usuarios los que tienen mayor aceptación por parte de los mismos; en licitaciones con países donde ya esta legislación es vigente resulta siendo un factor diferenciador el cumplir dicha legislación; pero también debe entenderse desde nuestra propia realidad, la ley de datos personales, también protege nuestros datos cuando los tienen otros.
La ley de datos personales es pues no solo legalmente obligatoria sino comercialmente un diferenciador, por tanto instrumento de competitividad.
Especialízate con la Diplomatura de Estudio Internacional Empresarial en Transformación Digital que presenta CENTRUM Católica, deja tus datos en el siguiente formulario para recibir más información: