Cyberlaw

Abel Revoredo

Lo que debes saber sobre la Ley de Protección de Datos

Este viernes 8 de mayo vence los temidos plazos contenidos en la Primera y Segunda Disposiciones Complementarias Transitorias del Reglamento de la Ley de Protección de Datos Personales (Ley 29733). Como es sabido para dicha fecha todos los titulares de bancos de datos personales deben haber concluido la adecuación de sus bancos de datos a lo establecido en la Ley (en adelante, la “Ley”) y en el Reglamento (en adelante, el “Reglamento”). Del mismo modo, en dicha fecha culmina el plazo de suspensión de la facultad sancionadora de la Dirección General de Protección de Datos Personales del Ministerio de Justicia (en adelante, la “Autoridad”). 

 

A continuación esbozamos algunas de las implicancias del vencimiento de estos plazos:

 

Registro de Banco de Datos

Aunque esta obligación estaba vigente desde que se promulgó la Ley, es decir desde Julio del 2011; muchas personas han venido entendiendo (equivocadamente) que los plazos mencionados precedentemente también eran aplicables al registro de bancos de datos. Por ello, si hasta ahora no has inscrito tus bancos de datos estás en riesgo de sanción.

 

¿En qué consiste esta obligación? En resumen, hay que presentar un formulario indicando las características del Banco de Datos en cuestión, como por ejemplo, que tipo de datos contiene, quien es el responsable del tratamiento, la existencia de datos sensibles, datos de contacto y dirección de la ventanilla ARCO, como se obtuvieron los datos, cual es la finalidad de su tratamiento y cuales son las medidas de seguridad implementadas para su protección.

 

Ventanilla ARCO

Los Titulares de Bancos de Datos deben poner a disposición de los Titulares de los Datos Personales un lugar donde podrán dirigirse los ciudadanos para ejercer los derechos de acceso, rectificación, cancelación y oposición de sus datos personales. Este lugar puede ser virtual, telefónico o presencial pero siempre es recomendable que la Ventanilla Arco tenga las mismas formas de acceso que los mecanismos utilizados para recoger datos.

 

Consentimientos

Los Titulares de los Bancos de Datos deben adecuar aquellos documentos contractuales utilizados para recoger consentimientos a lo establecido en la Ley y el Reglamento. Esto quiere decir que los nuevos textos deben ser claros acerca de cuales datos se van a recoger, para que se van a utilizar, si los datos serán transferidos y la información relativa a la Ventanilla ARCO. Estos consentimientos deben ser guardados en un lugar o utilizando un mecanismo que permita su adecuada seguridad y disponibilidad en caso sean necesitados.

 

Medidas de Seguridad

Los titulares de los Bancos de Datos, dependiendo de la categoría de los mismos (básico, simple, intermedio, complejo y crítico) deberán tomar las medidas de seguridad físicas y lógicas establecidas en la Directiva de Seguridad aprobada por la Autoridad. A manera de resumen podemos destacar las siguientes:

 

  • Establecer una polìtica interna de protección de datos personales.
  • Mantener la gobernabilidad completa de los procesos involucrados en el tratamiento de datos personales.
  • Desarrollar un documento de confidencialidad para el personal encargado del tratamiento.
  • Nombrar a un responsable de protección de datos.
  • Desarrollar un programa de creación de conciencia y entrenamiento en la materia.
  • Adecuar los procesos de negocios a los requisitos de la Ley.
  • Mantener formatos de consentimiento adecuados.
  • Adecuación de los contratos del personal encargado del tratamiento.
  • Adecuación de los contratos con terceros.
  • Utilizar mecanismos de control de acceso y registro de actividades en los sistemas informáticos usados para el tratamiento de los datos personales.

 

 ¿Qué sucede si no he hecho nada de esto? Pues bueno, te recomendamos que lo hagas de inmediato pues de lo contrario te expones a sanciones que van desde 0,5 UIT hasta 5 UIT para el caso de las infracciones leves; desde 5UIT hasta 50UIT para las infracciones graves  y desde 50UIT hasta 100UIT para las infracciones muy graves.

 

COMENTARIOS

  • 1
  • 07.05.2015
  • 06:09:30 hs
Cristhian Chu

Estimado Abel,

Te agradezco por presentar los alcance de la norma de manera resumida, será de mucha utilidad para nosotros los lectores interesados en estos temas.

Saludos.

  • 2
  • 07.05.2015
  • 12:32:06 hs
Carlos Nerio

Es necesario para todo tipo de empresa?
Gracias.

    • 3
    • 11.05.2015
    • 01:32:16 hs
    arevoredo

    Esta ley es obligatoria para toda persona natural o jurídica que mantenga un archivo (informático o físico) que contenga datos personales de terceros.

  • 4
  • 07.05.2015
  • 02:01:40 hs
Armando K

Para las empresas dedicadas a salud, también es necesario el registro?

    • 5
    • 11.05.2015
    • 01:32:36 hs
    arevoredo

    Asi es Armando.

  • 6
  • 07.05.2015
  • 09:27:10 hs
Wilber Santillán

En el caso de moteles donde no se registran datos también es necesario?
Gracias

    • 7
    • 11.05.2015
    • 01:33:24 hs
    arevoredo

    Wilber, Sólo es obligatorio cuando guardas los datos personales en algún archivo (físico o informático). Si no guardas los datos no hay nada que hacer.

  • 8
  • 10.05.2015
  • 02:01:11 hs
Moises López

Soy Corredor independiente y tengo celulares y correos electrónicos de mis clientes y los voy deshechando después de cada cierre.
El banco de datos es sólo de colegas Corredores;debo cumplir con la ley?

    • 9
    • 11.05.2015
    • 01:34:27 hs
    arevoredo

    Estimado Moises, estarás obligado a cumplir la ley en tanto mantengas un archivo (físico o informático) que contenga datos personales de terceros.

  • 10
  • 11.05.2015
  • 05:14:51 hs
Luis Chavarría

Estimado, en el caso de empresas, que tienen la BD con los datos personales de los tarbajadores y derechohabientes, así como de clientes y proveedores, también aplica la ley ?

    • 11
    • 11.05.2015
    • 08:09:24 hs
    arevoredo

    Efectivamente Luis… también aplica la ley

  • 12
  • 11.05.2015
  • 07:42:39 hs
Enrique

Las empresas que desean contratar personal recurren a otras empresas que brindan información de las personas que estan postulando a diferentes puestos de distintas empresas; es correcto esto? por que resulta que existen empresas que se saben la vida de todas las personas y se jactan de tener contactos en distintoas instituciones que les brindan la información que “necesitan” para informarles a las empresas que quieren contratar personal, pero esta información puede ser mla utilizada, qué hacemos al respecto?

    • 13
    • 11.05.2015
    • 08:11:01 hs
    arevoredo

    En esos casos, las empresas deberían contar con el consentimiento previo e informado de los dueños de los datos para que sean incluidos en esa base de datos y utilizados para el fin de obtener un trabajo. Si alguna persona encuentra que sus datos están indebidamente guardados en una base de datos tiene todo el derecho de pedir su retiro.

  • 14
  • 15.05.2015
  • 11:27:04 hs
Richard Wadsworth

Estimado Abel,

Solo agradecer la nota. Muy clara y concisa definiendo los puntos criticos a tomar en cuenta en un tema tan denso. Apreciaria mucho tu punto de vista sobre la nueva legislacion de Dinero Electronico.

Saludos cordiales

  • 15
  • 16.05.2015
  • 07:48:04 hs
Vicente Sanchez

Soy Agente Inmobiliario necesito informacion de datos personales, tanto del Vendedor del como del Comprador del Inmueble, cual es el procedimiento en este caso?

    • 16
    • 28.05.2015
    • 12:04:40 hs
    arevoredo

    Solamente necesitas obtener su consentimiento. Para ello deberás informarles acerca de la información que recopilarás y para que la planeas usar antes de que te autoricen.

  • 17
  • 17.07.2015
  • 03:54:29 hs
Rosario Caballero

Estimado Abel:

Si no manejo una base de datos compleja pues aún no tenemos implementado un CRM o ERP y en resumidas cuentas solo tenemos una lista de correos que utilizamos para actividades de mailing, ¿es necesario declarar esta lista o no aplica pues no tenemos una data completa ni datos sensibles?

Por otro lado, respecto a la base de datos de trabajadores y derechohabientes, ¿esta base si es necesario registrarla y aplica todo lo concerniente a la ley?

Muchas gracias.

  • 18
  • 12.08.2015
  • 05:43:02 hs
alexandra

Buena tardes , me queda una duda entonces los 2 anos de adecuacion de la ley , para que son ? en esos dos anos que lo que debo hacer ?
si no se refiere al registro en si , como menciona , a que se esta refiriendo?

No me queda a que se refiere cuando dicen bancos de datos preexistentes , que deben hacer estos ? en esos dos anos que quedan?

  • 19
  • 13.08.2015
  • 09:12:24 hs
Ronald

Excelente un resumen practico y didactico muchas gracias

  • 20
  • 03.11.2015
  • 05:18:15 hs
Edgar Efrain

los reportes y depositos que uno realiza en los bancos y cajas municipales donde estan los datos personales de quien realiza la operacion de ahorro o pago, aplica?
Gracias

  • 21
  • 16.12.2015
  • 03:42:16 hs
Flor

Estimado Abel,

Una consulta, ¿debo solicitar el Consentimiento para el tratamiento de datos personales de los clientes que tengo solo a partir del 08/05/2015 día en el cual entró en vigencia la ley o de todos mis clientes que aún se encuentran vigentes en mi sistema informático?

  • 22
  • 10.02.2016
  • 04:00:36 hs
GUADALUPE

Esto se aplica también a los colegios o guarderías privadas o estatales?

    • 23
    • 10.02.2016
    • 05:24:51 hs
    arevoredo

    Así es GUADALUPE

  • 24
  • 28.03.2016
  • 04:00:22 hs
Jose

Estimado,
Si deseo cumplir con esta ley, donde me puedo informar o quizás donde hay los parámetros necesarios para poder ejercerlos y estar al pie de la LEY .

  • 25
  • 29.03.2016
  • 03:24:03 hs
Victor Anton

Estimado en el colegio (jardin) de mi hijo estan solicitando le firme una autorizacion, esto es un deber del colegio, quien asume la multa si no les doy la autorizacion, yo como apoderado o el colegio.

  • 26
  • 13.07.2016
  • 01:28:40 hs
RAIDER CASTRO

Realmente me aclaraste las dudas que tenia sobre la aplicación de dicha norma legal.

  • 27
  • 27.02.2017
  • 02:39:51 hs
Alex Gamonal

Estimados
Buenos dias,
Agradeceré su apoyo a fin me brinden datos de empresas consultoras para SERVICIO DE ADECUACIÓN DE LEY DE PROTECCION DE DATOS PERSONALES – Ley N° 29733.

me comentan al respecto.

Saludos,

    • 28
    • 27.02.2017
    • 03:11:39 hs
    arevoredo

    Hola Alex, te envio un correo.

  • 29
  • 05.06.2017
  • 09:02:06 hs
Diego Lara

Buenas días estimado Abel Revoredo.

Se agradece por la información de valor que brindas a través de este portal. Agradecería mucho si me pudieras ayudar absolviendo las siguientes preguntas.

¿Cuál es el procedimiento para poder registrar a la persona natural o jurídica como un banco de datos que cumple con las condiciones impuestas?
¿Es necesario realizar algún trámite, el cuál implique pago?
¿Qué sucede con todas las empresas (como vemos en los comentarios) que recaudan datos personales y sensibles, y no comunican al usuario el uso que le darán a estos?
¿Cómo la APDP regula las omisiones de autorización que se comenten a diario?

Agradezco tu amabilidad y tu tiempo.

Saludos cordiales,
Diego Lara.

    • 30
    • 05.11.2017
    • 03:31:15 hs
    arevoredo

    Hola Diego,

    Respondo tus preguntas:

    ¿Cuál es el procedimiento para poder registrar a la persona natural o jurídica como un banco de datos que cumple con las condiciones impuestas? Hay que completar el formulario que puedes encontrar en la página web del MINJUS y esperar el registro. Adicionalmente, deberás realizar adecuaciones legales, organizativas y técnicas para cumplir con los requisitos de seguridad de la norma.
    ¿Es necesario realizar algún trámite, el cuál implique pago? El trámite de registro ante el MINJUS esta alrededor de cincuenta soles
    ¿Qué sucede con todas las empresas (como vemos en los comentarios) que recaudan datos personales y sensibles, y no comunican al usuario el uso que le darán a estos? Todas las empresas deben informar la finalidad para la cual recogen cada dato. Si no la informan no podrán usar los datos y si los usan será un uso sin consentimiento.
    ¿Cómo la APDP regula las omisiones de autorización que se comenten a diario? Existen sanciones que van desde 0.5 a 100 UIT

    Saludos,

    ABEL

  • 31
  • 06.09.2017
  • 12:29:06 hs
Anny

Buenas noches,
deseo consultar sobre el tema, ya que me acabo de informar sobre esta Ley; la pregunta es la siguiente:
¿Que pasa si la Empresa no registro lo señalado en esta Ley y que pasa si lo registra recién en este año(2017); implicaría una sanción?¿cual seria esta?

    • 32
    • 05.11.2017
    • 03:26:46 hs
    arevoredo

    Hola Anny, si subsanas la infracción no serás objeto de sanción. Te recomiendo el registro urgente de tus bancos de datos.

DEJE SU COMENTARIO

La finalidad de este servicio es sumar valor a las noticias y establecer un contacto más fluido con nuestros lectores. Los comentarios deben acotarse al tema de discusión. Se apreciará la brevedad y claridad.


No se lee? Cambie el texto.


TODOS los blogs


Economía desde el campus

Grupo Económica

Síntesis legislativa

José Ignacio Beteta Bazán

La parábola del mudo

Javier Dávila Quevedo

Arturo Goga

Arturo Goga

Sumando Valores

Superintendencia del Mercado de Valores

@infraestructura

Rosselló Abogados

Minería 2021

Instituto de Ingenieros de Minas del Perú (IIMP)

Conciencia Corporativa

Silvia Noriega

Agenda Legal

Estudio Echecopar

Perspectiva Forestal

Comité Forestal SNI y Comité de Madera e Industria de la Madera ADEX

Pensando laboralmente

César Puntriano

Auditoria del Siglo 21

Karla Barreto Stein

Economía conductual

Bertrand Regader

Cultura financiera

Walter Eyzaguirre

Triple enfoque

Cecilia Rizo Patrón

Gestiona tus Finanzas

Giovanna Prialé Reyes

Corrupción bajo la lupa

Eduardo Herrera Velarde

Pablo O'Brien

Pablo O'Brien

El cine es un espejo

Raúl Ortiz Mory

Ruarte's - Washington Capital

R. Washington Lopez

Atalaya Económica

Manuel Romero Caro

Terapia de Pareja

Luciana Olivares

Próspero Perú

Gladys Triveño

Herejías Económicas

Germán Alarco

Inversión e Infraestructura

Director FRI-ESAN Sergio Bravo Orellana

Blog Universitario

Blog Universitario

Juegomaniáticos

Juan Pablo Robles

Gestión del Talento

Ricardo Alania Vera

Tacos Fuertes

Ana Romero

Millennials

Pamela Romero Wilson

Reglas de Juego

PIERINO STUCCHI

Humor S.A.

Jaime Herrera

Bitácora bursátil.

Equipo de Análisis de Intéligo SAB

Vivir Seguro

Asociación Peruana de Empresas de Seguros

El deporte de hacer negocios

Luis Carrillo Pinto

Zona de Intercambio

Julio Guadalupe

Innovar o ser cambiado

Andy Garcia Peña

Economía aplicada

Juan Mendoza

El Vino de la Semana

José Bracamonte

Carpeta Gerencial

IE Business School

Desafíos para el progreso

Banco Interamericano de Desarrollo

Innovación y Emprendimiento Tecnológico

Franklin Marcelo, CEO de Interfono

Diálogo a fondo

Fondo Monetario Internacional

Predio legal

Martín Mejorada

e-strategia

José Kusunoki Gutiérrez

Vinos, piscos y mucho más

Sommelier Giovanni Bisso

Evidencia para la gestión

Videnza Consultores

Palabra de Gestión

Julio Lira Segura

Impacto ambiental

Lorenzo de la Puente

Inversiones Globales

Carlos Palomino Selem

Moda Inc.

Daniel Trelles

Divina Ejecutiva

Fiorella

Menú Legal

Oscar Sumar

Analizando tus inversiones

Diego Alonso Ruiz

Reformas incompletas

Instituto Peruano de Economía

Empresa&Familia

Pablo Dominguez

Hoy sí atiendo provincias

Félix Villanueva

Smart money

Luis Ramírez

Consumer Psyco

Cristina Quiñones

Gestión de servicios

Otto Regalado Pezúa

Marketing 20/20

Michael Penny

Mercados&Retail

Percy Vigil Vidal

CAFÉ TAIPÁ

Milton Vela

Anuncias, luego existes

Alexander Chiu Werner

Marcas & Mentes

Lizardo Vargas Bianchi

Riesgos Financieros

Gregorio Belaunde

Economía para todos

Carlos Parodi

De regreso a lo básico

Paúl Lira Briceño