Este viernes 8 de mayo vence los temidos plazos contenidos en la Primera y Segunda Disposiciones Complementarias Transitorias del Reglamento de la Ley de Protección de Datos Personales (Ley 29733). Como es sabido para dicha fecha todos los titulares de bancos de datos personales deben haber concluido la adecuación de sus bancos de datos a lo establecido en la Ley (en adelante, la “Ley”) y en el Reglamento (en adelante, el “Reglamento”). Del mismo modo, en dicha fecha culmina el plazo de suspensión de la facultad sancionadora de la Dirección General de Protección de Datos Personales del Ministerio de Justicia (en adelante, la “Autoridad”).
A continuación esbozamos algunas de las implicancias del vencimiento de estos plazos:
Registro de Banco de Datos
Aunque esta obligación estaba vigente desde que se promulgó la Ley, es decir desde Julio del 2011; muchas personas han venido entendiendo (equivocadamente) que los plazos mencionados precedentemente también eran aplicables al registro de bancos de datos. Por ello, si hasta ahora no has inscrito tus bancos de datos estás en riesgo de sanción.
¿En qué consiste esta obligación? En resumen, hay que presentar un formulario indicando las características del Banco de Datos en cuestión, como por ejemplo, que tipo de datos contiene, quien es el responsable del tratamiento, la existencia de datos sensibles, datos de contacto y dirección de la ventanilla ARCO, como se obtuvieron los datos, cual es la finalidad de su tratamiento y cuales son las medidas de seguridad implementadas para su protección.
Ventanilla ARCO
Los Titulares de Bancos de Datos deben poner a disposición de los Titulares de los Datos Personales un lugar donde podrán dirigirse los ciudadanos para ejercer los derechos de acceso, rectificación, cancelación y oposición de sus datos personales. Este lugar puede ser virtual, telefónico o presencial pero siempre es recomendable que la Ventanilla Arco tenga las mismas formas de acceso que los mecanismos utilizados para recoger datos.
Consentimientos
Los Titulares de los Bancos de Datos deben adecuar aquellos documentos contractuales utilizados para recoger consentimientos a lo establecido en la Ley y el Reglamento. Esto quiere decir que los nuevos textos deben ser claros acerca de cuales datos se van a recoger, para que se van a utilizar, si los datos serán transferidos y la información relativa a la Ventanilla ARCO. Estos consentimientos deben ser guardados en un lugar o utilizando un mecanismo que permita su adecuada seguridad y disponibilidad en caso sean necesitados.
Medidas de Seguridad
Los titulares de los Bancos de Datos, dependiendo de la categoría de los mismos (básico, simple, intermedio, complejo y crítico) deberán tomar las medidas de seguridad físicas y lógicas establecidas en la Directiva de Seguridad aprobada por la Autoridad. A manera de resumen podemos destacar las siguientes:
- Establecer una polìtica interna de protección de datos personales.
- Mantener la gobernabilidad completa de los procesos involucrados en el tratamiento de datos personales.
- Desarrollar un documento de confidencialidad para el personal encargado del tratamiento.
- Nombrar a un responsable de protección de datos.
- Desarrollar un programa de creación de conciencia y entrenamiento en la materia.
- Adecuar los procesos de negocios a los requisitos de la Ley.
- Mantener formatos de consentimiento adecuados.
- Adecuación de los contratos del personal encargado del tratamiento.
- Adecuación de los contratos con terceros.
- Utilizar mecanismos de control de acceso y registro de actividades en los sistemas informáticos usados para el tratamiento de los datos personales.
¿Qué sucede si no he hecho nada de esto? Pues bueno, te recomendamos que lo hagas de inmediato pues de lo contrario te expones a sanciones que van desde 0,5 UIT hasta 5 UIT para el caso de las infracciones leves; desde 5UIT hasta 50UIT para las infracciones graves y desde 50UIT hasta 100UIT para las infracciones muy graves.
COMENTARIOS
Estimado Abel,
Te agradezco por presentar los alcance de la norma de manera resumida, será de mucha utilidad para nosotros los lectores interesados en estos temas.
Saludos.
Es necesario para todo tipo de empresa?
Gracias.
Esta ley es obligatoria para toda persona natural o jurídica que mantenga un archivo (informático o físico) que contenga datos personales de terceros.
Para las empresas dedicadas a salud, también es necesario el registro?
Asi es Armando.
En el caso de moteles donde no se registran datos también es necesario?
Gracias
Wilber, Sólo es obligatorio cuando guardas los datos personales en algún archivo (físico o informático). Si no guardas los datos no hay nada que hacer.
Soy Corredor independiente y tengo celulares y correos electrónicos de mis clientes y los voy deshechando después de cada cierre.
El banco de datos es sólo de colegas Corredores;debo cumplir con la ley?
Estimado Moises, estarás obligado a cumplir la ley en tanto mantengas un archivo (físico o informático) que contenga datos personales de terceros.
Estimado, en el caso de empresas, que tienen la BD con los datos personales de los tarbajadores y derechohabientes, así como de clientes y proveedores, también aplica la ley ?
Efectivamente Luis… también aplica la ley
Las empresas que desean contratar personal recurren a otras empresas que brindan información de las personas que estan postulando a diferentes puestos de distintas empresas; es correcto esto? por que resulta que existen empresas que se saben la vida de todas las personas y se jactan de tener contactos en distintoas instituciones que les brindan la información que “necesitan” para informarles a las empresas que quieren contratar personal, pero esta información puede ser mla utilizada, qué hacemos al respecto?
En esos casos, las empresas deberían contar con el consentimiento previo e informado de los dueños de los datos para que sean incluidos en esa base de datos y utilizados para el fin de obtener un trabajo. Si alguna persona encuentra que sus datos están indebidamente guardados en una base de datos tiene todo el derecho de pedir su retiro.
Estimado Abel,
Solo agradecer la nota. Muy clara y concisa definiendo los puntos criticos a tomar en cuenta en un tema tan denso. Apreciaria mucho tu punto de vista sobre la nueva legislacion de Dinero Electronico.
Saludos cordiales
Soy Agente Inmobiliario necesito informacion de datos personales, tanto del Vendedor del como del Comprador del Inmueble, cual es el procedimiento en este caso?
Solamente necesitas obtener su consentimiento. Para ello deberás informarles acerca de la información que recopilarás y para que la planeas usar antes de que te autoricen.
Estimado Abel:
Si no manejo una base de datos compleja pues aún no tenemos implementado un CRM o ERP y en resumidas cuentas solo tenemos una lista de correos que utilizamos para actividades de mailing, ¿es necesario declarar esta lista o no aplica pues no tenemos una data completa ni datos sensibles?
Por otro lado, respecto a la base de datos de trabajadores y derechohabientes, ¿esta base si es necesario registrarla y aplica todo lo concerniente a la ley?
Muchas gracias.
Buena tardes , me queda una duda entonces los 2 anos de adecuacion de la ley , para que son ? en esos dos anos que lo que debo hacer ?
si no se refiere al registro en si , como menciona , a que se esta refiriendo?
No me queda a que se refiere cuando dicen bancos de datos preexistentes , que deben hacer estos ? en esos dos anos que quedan?
Excelente un resumen practico y didactico muchas gracias
los reportes y depositos que uno realiza en los bancos y cajas municipales donde estan los datos personales de quien realiza la operacion de ahorro o pago, aplica?
Gracias
Estimado Abel,
Una consulta, ¿debo solicitar el Consentimiento para el tratamiento de datos personales de los clientes que tengo solo a partir del 08/05/2015 día en el cual entró en vigencia la ley o de todos mis clientes que aún se encuentran vigentes en mi sistema informático?
Esto se aplica también a los colegios o guarderías privadas o estatales?
Así es GUADALUPE
Estimado,
Si deseo cumplir con esta ley, donde me puedo informar o quizás donde hay los parámetros necesarios para poder ejercerlos y estar al pie de la LEY .
Estimado en el colegio (jardin) de mi hijo estan solicitando le firme una autorizacion, esto es un deber del colegio, quien asume la multa si no les doy la autorizacion, yo como apoderado o el colegio.
Realmente me aclaraste las dudas que tenia sobre la aplicación de dicha norma legal.
Estimados
Buenos dias,
Agradeceré su apoyo a fin me brinden datos de empresas consultoras para SERVICIO DE ADECUACIÓN DE LEY DE PROTECCION DE DATOS PERSONALES – Ley N° 29733.
me comentan al respecto.
Saludos,
Hola Alex, te envio un correo.
Buenas días estimado Abel Revoredo.
Se agradece por la información de valor que brindas a través de este portal. Agradecería mucho si me pudieras ayudar absolviendo las siguientes preguntas.
¿Cuál es el procedimiento para poder registrar a la persona natural o jurídica como un banco de datos que cumple con las condiciones impuestas?
¿Es necesario realizar algún trámite, el cuál implique pago?
¿Qué sucede con todas las empresas (como vemos en los comentarios) que recaudan datos personales y sensibles, y no comunican al usuario el uso que le darán a estos?
¿Cómo la APDP regula las omisiones de autorización que se comenten a diario?
Agradezco tu amabilidad y tu tiempo.
Saludos cordiales,
Diego Lara.
Hola Diego,
Respondo tus preguntas:
¿Cuál es el procedimiento para poder registrar a la persona natural o jurídica como un banco de datos que cumple con las condiciones impuestas? Hay que completar el formulario que puedes encontrar en la página web del MINJUS y esperar el registro. Adicionalmente, deberás realizar adecuaciones legales, organizativas y técnicas para cumplir con los requisitos de seguridad de la norma.
¿Es necesario realizar algún trámite, el cuál implique pago? El trámite de registro ante el MINJUS esta alrededor de cincuenta soles
¿Qué sucede con todas las empresas (como vemos en los comentarios) que recaudan datos personales y sensibles, y no comunican al usuario el uso que le darán a estos? Todas las empresas deben informar la finalidad para la cual recogen cada dato. Si no la informan no podrán usar los datos y si los usan será un uso sin consentimiento.
¿Cómo la APDP regula las omisiones de autorización que se comenten a diario? Existen sanciones que van desde 0.5 a 100 UIT
Saludos,
ABEL
Buenas noches,
deseo consultar sobre el tema, ya que me acabo de informar sobre esta Ley; la pregunta es la siguiente:
¿Que pasa si la Empresa no registro lo señalado en esta Ley y que pasa si lo registra recién en este año(2017); implicaría una sanción?¿cual seria esta?
Hola Anny, si subsanas la infracción no serás objeto de sanción. Te recomiendo el registro urgente de tus bancos de datos.
DEJE SU COMENTARIO
La finalidad de este servicio es sumar valor a las noticias y establecer un contacto más fluido con nuestros lectores. Los comentarios deben acotarse al tema de discusión. Se apreciará la brevedad y claridad.