Multas de hasta S/ 535,000 (100 UIT) podrían ser impuestas a las empresas que operen en el país y que trabajen con los datos personales de sus clientes en caso no implementen las medidas suficientes para evitar una filtración, según el nuevo reglamento de Protección de Datos Personales próximo a entrar en vigor el 31 de marzo de este año.
«Una filtración puede exponer datos personales muy sensibles para una persona, afectando su privacidad y su derecho fundamental a la identidad. Se trata de un riesgo que se incrementa aún más con el uso de tecnologías digitales y, por ello, en el nuevo reglamente se incluyen mecanismos más rigurosos para resguardar esta información», explica Bruno Mejía, Líder de Competencia y Mercados de EY Law.
El reglamento detalla que la Autoridad Nacional de Protección de Datos Personales (ANPDP) será la encargada de fiscalizar e imponer las sanciones y medidas correctivas, de ser el caso. «Esta podrá, por ejemplo, ordenar el bloqueo de los datos afectados mientras se resuelve el incidente o la supresión de datos filtrados cuando no sea posible revertir el acceso no autorizado», indica Mejía.
Con el objetivo de facilitar la adaptación de las empresas a la norma, EY Perú resuelve las principales interrogantes respecto al nuevo reglamento de la Ley de Protección de Datos Personales:
¿Cuáles son las principales medidas del nuevo Reglamento?
Entre las nuevas medidas que introduce el nuevo reglamente se encuentran: (1) la necesidad de notificar a la autoridad en caso de presentarse incidentes de seguridad que tengan que ver con datos personales; (2) la obligación de designar un oficial de datos personales; (3) la disposición de implementar un procedimiento para atender el derecho de portabilidad de datos; y, finalmente, (4) el requerimiento de contar con un documento de seguridad.
No obstante, además, sugiere, de manera opcional, también llevar a cabo dos buenas prácticas:
– Realizar una evaluación de impacto a la privacidad.
– Elaborar un código de conducta.
¿En qué consiste y qué considerar para elaborar un código de conducta?
Lo primero a considerar es que el código de conducta debe ser redactado en un lenguaje sencillo, buscando delimitar de forma precisa su ámbito de aplicación (esto es, si regirá a todos o a parte de los tratamientos llevados a cabo por la organización).
Asimismo, el código de conducta deberá:
– Mencionar los procedimientos y formatos que se deben implementar para facilitar el ejercicio de los derechos de los titulares de datos personales.
– Definir las responsabilidades específicas que se asumen al trabajar con datos personales.
– Detallar los procesos a adoptar en el manejo de datos para evitar filtraciones.
– Contener los mecanismos para asegurar la confidencialidad de los datos personales y los lineamientos a seguir para supervisar su propio cumplimiento.
¿Cómo se debe proceder en el caso de una filtración de datos?
La nueva norma establece que las empresas deberán notificar a la ANPDP, como máximo dentro de las 48 horas de haber tomado conocimiento o constancia de ello. Dicha notificación debe detallar la naturaleza del incidente, los tipos de datos afectados y el número aproximo de titulares de datos afectados, así como los datos de contacto del Oficial de Datos Personales (DPO), las posibles consecuencias del incidente de seguridad y las medidas adoptadas o propuestas para remediar la violación de la seguridad de los datos personales.
Y en el supuesto de que se advierta que el incidente afecte al titular de los datos personales, es obligatorio comunicarle este hecho dentro de las referidas 48 horas.
¿En qué consiste la función del Oficial de Datos Personales (DPO) que menciona el nuevo reglamento?
El DPO tiene como funciones: (1) informar y asesorar al responsable del tratamiento (y a los empleados que se ocupen del tratamiento) de los datos personales respecto de sus obligaciones en esta materia; (2) verificar e informar sobre el cumplimiento de lo dispuesto en las normas de protección de datos, así como del cumplimiento de las políticas de la organización en materia de protección de datos personales; (3) cooperar con la ANPDP para el desempeño de sus fines y atribuciones; y (4) actuar como punto de contacto entre la organización y la ANPDP para cuestiones relativas al tratamiento de datos personales.
¿Cada cuánto tiempo se realizarán las fiscalizaciones en materia de protección de datos personales y a cuánto pueden ascender las multas por incumplimiento?
Si bien el nuevo reglamento no define una periodicidad fija (por ejemplo, mensual, semestral o anual) para la realización de las inspecciones, sí establece expresamente que pueden efectuarse de manera presencial (esto es, fuera de las sedes de la ANPDP, en presencia del responsable del tratamiento) o en gabinete (es decir, desde las sedes de la ANPDP e implica el acceso y evaluación, a través de medios digitales, a las actividades que el responsable del tratamiento de los datos realiza).
Respecto a las sanciones por realizar un tratamiento de datos personales que exceda las finalidades para las que estos fueron obtenidos, las multas pueden ir desde 0,5 UIT (S/ 2,675) hasta 50 UIT (S/ 267,500). Por su parte, en caso el responsable del tratamiento no implemente las medidas de seguridad establecidas en la normativa y, como consecuencia de ello, genere una exposición no autorizada de los datos personales sensibles del titular del dato personal, la multa puede ascender desde 50 UIT (S/ 267,500) hasta 100 UIT (S/ 535,000).
«El nuevo reglamento dispone que cuando los datos personales son obtenidos directamente del titular (clientes) el responsable de su tratamiento debe comunicar principalmente lo siguiente: su identidad y domicilio; las finalidades del tratamiento; la identidad de los destinatarios que puedan acceder a sus datos; la ubicación del banco de datos personales; la transferencia internacional de datos, en caso hubiera; el plazo de conservación de los datos; y los mecanismos para el ejercicio de los derechos. La omisión de estas disposiciones podría derivar en sanciones por parte de la ANPDP», concluye el vocero de EY Law.
