Reglas de Juego

Pierino Stucchi

El ABC de la protección de datos personales (data privacy)

Las empresas permanentemente nos preguntan sobre la regulación de la protección de datos personales (data privacy) ¿Qué exigencias les aplican? ¿Qué obligaciones deben cumplir en relación con la información vinculada a la intimidad personal y/o familiar de sus clientes, colaboradores, proveedores y otras personas relacionadas con su actividad? Aquí una síntesis:

A.- ¿Cuál es el objetivo de la protección de datos personales?

La vigente Ley de Protección de Datos Personales – Ley 29733 tiene por objeto garantizar el derecho fundamental de las personas a la protección de su privacidad, para lo cual prescribe que el tratamiento de sus datos personales sea proporcional y seguro, de acuerdo con finalidades consentidas por tales personas o habilitadas por ley, previniendo así que tales datos sean objeto de tráfico y/o uso ilícito.

Esta legislación establece obligaciones sobre las empresas para que aseguren un adecuado tratamiento de los datos personales de sus clientes, proveedores, trabajadores y otras personas vinculadas a su actividad. Asimismo, esta legislación y su reglamentación reconocen los derechos de las personas a quienes pertenecen dichos datos.

B.- ¿Cuáles son las principales obligaciones para una empresa?

Las principales obligaciones para cumplir con la protección de datos personales son las siguientes:

  1. Inscribir ante la Autoridad los Bancos de Datos Personales (BDP) que posean: De acuerdo con la definición de la Ley, un BDP es todo conjunto organizado de información de personas naturales. Esta información puede encontrarse almacenada en soportes automatizados (tales como documentos en Word, Excel, PDF e, incluso, en imágenes, audios o audiovisuales, registrados en ordenadores o servidores de la empresa, plataformas electrónicas, archivos en la nube, etcétera); o, en soportes no automatizados (tales como files y archivadores físicos, documentos impresos de facturación, legajos de trabajadores, etcétera).

    Es muy importante tener en cuenta que, para cumplir efectivamente con esta obligación, resulta necesario analizar todas las áreas de la empresa para identificar la información de carácter personal que manejan. Ello, con el objeto de identificar todos los BDP existentes. Pese a ello, en la práctica, muchas empresas solo se limitan a inscribir los BDP de trabajadores, clientes y proveedores, sin tomar en cuenta, entre otros, los datos personales que se toman y almacenan del registro de visitas a las diferentes sedes de la empresa, de la filmación de las cámaras de video vigilancia, de las grabaciones telefónicas, de los registros biométricos y de las listas de postulantes a determinadas posiciones, entre otros. Estos BDP y otros similares también deben inscribirse ante la Autoridad Nacional de Protección de Datos Personales (que es la Dirección de Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos).

    Para inscribir un BDP se debe presentar un formulario ante dicha Autoridad consignando sus características, la naturaleza de los datos recopilados, las finalidades de su tratamiento y la transferencia que sobre dichos datos pueda realizarse, entre otros. No se comparte con la Autoridad el contenido de los BDP ni se inscriben los datos personales que la empresa tenga en su poder, sino las características y uso de los BDP que administra. El procedimiento de inscripción toma 30 días hábiles.  

  2. Obtener un consentimiento informado de los titulares de los datos personales: Este consentimiento es una autorización -debidamente informada- del titular de los datos personales para que la empresa pueda darles tratamiento. Dicho consentimiento debe cumplir con ser libre, en oposición a condicionado; previo, es decir con anterioridad al tratamiento; expreso, en oposición a tácito; e, inequívoco, es decir que resulte indubitable.

    En el cumplimiento de esta obligación es donde las empresas muestran mayores dudas y cometen errores frecuentes que resultan sancionados por la Autoridad. Los consentimientos informados no pueden ser genéricos sino, por el contrario, deben comunicar todos los tratamientos de los datos personales que realizará la empresa. Por ejemplo, debiera indicar específicamente a quiénes se transfiere o se comparte la información (de ser el caso), precisar si se utilizarán los datos para remitir publicidad y expresar un plazo determinado de almacenamiento, entre otros.

    Debe precisarse que no resulta exigible un consentimiento informado de los titulares de los datos personales cuando la empresa requiera dar tratamiento a sus datos en cumplimiento de una normal u obligación legal; y, para la preparación y/o ejecución de una relación contractual en la que el titular es parte, entre otras excepciones expresamente previstas en la Ley 29733. 

  3. Aplicar medidas de seguridad que sean idóneas y eficaces: Las empresas que posean BDP deben adoptar medidas técnicas, organizativas y legales con el objeto de evitar la posible filtración o sustracción de los datos personales.

    Algunas de estas medidas incluyen el establecimiento de protocolos de seguridad técnica sobre archivos en soportes automatizados y no automatizados, la elaboración de políticas de privacidad,  manuales organizativos que asignen cuidados y responsabilidades en el tratamiento de los datos personales, compromisos de confidencialidad y cláusulas contractuales, entre otras. 

  4. Establecer un procedimiento de atención de los derechos de las personas naturales: Toda empresa que posea un BDP debe asegurar que las personas naturales puedan ejercer los siguientes derechos:
    • Acceso.- toda persona puede requerir el acceso a la información que de ella tiene la empresa, así como solicitar información sobre la finalidad para la cual sus datos fueron recopilados, las razones que motivaron su recopilación y las transferencias realizadas o que se prevén realizar de dichos datos a un tercero
    • Rectificación.- toda persona puede pedir que modifiquen los datos contenidos en el BDP, en caso se pruebe la inexactitud o si estos son incompletos, erróneos o falsos.
    • Cancelación.- toda persona puede pedir la supresión de sus datos personales cuando hayan dejado de ser necesarios o pertinentes en relación con las finalidades para la cual hayan sido recopilados.
    • Oposición.- toda persona puede pedir la supresión de sus datos cuando estos se hayan recopilado sin un consentimiento expreso.

5.- Comunicar el flujo transfronterizo: Cuando la empresa que posee un BDP transfiere datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, debe informar el nombre y la ubicación de ese destinatario. Por ejemplo, debe informar la transferencia de datos a una empresa del mismo grupo en el exterior; o, a una empresa que le brinda los servicios cloud computing (host y almacenamiento), entre otras circunstancias similares.

C.- ¿Cuáles son las consecuencias de incumplir con estas obligaciones?

La legislación que exige un adecuado tratamiento de los datos personales de los clientes, proveedores, colaboradores, trabajadores y otras personas vinculadas a la actividad de una empresa, no es nueva. Es obligatoria desde hace más de 2 años y todo lo antes indicado se viene exigiendo efectivamente. Sin embargo, a la fecha, lamentablemente, la Autoridad Nacional de Protección de Datos Personales viene sancionando a más de 70 empresas por el incumplimiento de las obligaciones antes detalladas, por montos que sumados ascienden aproximadamente a 2 millones de soles (cada multa pueden llegar hasta 100 UIT).

Si una empresa no está adecuada a la regulación de protección de datos personales resulta urgente que realice su adecuación.

 

 

 


Nota: gracias al señor David Chong y al señor Raúl Alosilla por sus valiosas contribuciones al presente post.

COMENTARIOS

No hay comentarios.

DEJE SU COMENTARIO

La finalidad de este servicio es sumar valor a las noticias y establecer un contacto más fluido con nuestros lectores. Los comentarios deben acotarse al tema de discusión. Se apreciará la brevedad y claridad.


No se lee? Cambie el texto.


TODOS los blogs


Invirtiendo a futuro

Gino Bettocchi

La era inteligente

Rafael Lemor Ferrand

Doña cata

Rosa Bonilla

Blindspot

Alfonso de los Heros

Construyendo Xperiencias

Rodrigo Fernández de Paredes A.

Diversidad en acción

Pamela Navarro

Sin data no hay paraíso

Carlo Rodriguez

Conexión ESAN

Conexión ESAN

Conexión universitaria

Conexion-universitaria

Café financiero

 Sergio Urday

La pepa de Wall Street

Vania Diez Canseco Rizo Patrón

Comunicación en movimiento

Benjamín Edwards

Zona de disconfort

Alana Visconti

Universo físico y digital

Patricia Goicochea

Desde Columbia

Maria Paz Oliva

Inversión alternativa

James Loveday

Con sentido de propósito

Susy Caballero Jara

Shot de integridad

Carolina Sáenz Llanos

Detrás del branding

Daniela Nicholson

Persona in Centro

Cecilia Flores

Mindset en acción

Víctor Lozano

Marketing de miércoles

Jorge Lazo Arias

Derecho y cultura política

Adrián Simons Pino

VITAMINA ESG

Sheila La Serna

ID: Inteligencia Digital

por Eduardo Solis

Coaching para liderar

Mariana Isasi

El buen lobby

Felipe Gutiérrez

TENGO UNA QUEJA

Debora Delgado

De Pyme a Grande

Hugo Sánchez

Sostenibilidad integrada

Adriana Quirós C.

Gestión de la Gobernanza

Marco Antonio Zaldivar

Marca Personal 360º

Silvia Moreno Gálvez

Creatividad al natural

Andrés Briceño

Mindset de CEO

Carla Olivieri

Clic Digital

IAB Perú

Market-IN

Jose Oropeza

Cuadrando Cuentas

Julia y Luis

Liderazgo con ciencia

Mauricio Bock

Pluma Laboral

Alonso J. Camila

Economía e Integridad

Carlos Bustamante B.

Aprendiendo - nivel CEO

Francisco Pinedo

Portafolio Global

BlackRock

Menos face más book

Rafael Zavala Batlle

Visiones para el desarrollo

CAF –Banco de Desarrollo de América Latina y el Caribe–

Te lo cuento fácil

Alumnos de la Universidad del Pacífico

Fuera de la caja

María Camino

Orquestación Estratégica

Dr. Diego Noreña

Más allá del efectivo

Felipe Rincón

Mujer, ejecutiva y trasgresora

Zendy Manzaneda Cipriani

Disrupcion en la nube

Disrupción en la Nube

Revolución digital

Pablo Bermudez

Economía desde el campus

Grupo Económica

Síntesis legislativa

José Ignacio Beteta Bazán

La parábola del mudo

Javier Dávila Quevedo

Arturo Goga

Arturo Goga

Sumando Valores

Superintendencia del Mercado de Valores

@infraestructura

Rosselló Abogados

Minería 2021

Instituto de Ingenieros de Minas del Perú (IIMP)

Conciencia Corporativa

Verónica Roca Rey

Agenda Legal

Estudio Echecopar

Perspectiva Forestal

Comité Forestal SNI y Comité de Madera e Industria de la Madera ADEX

Pensando laboralmente

César Puntriano

Auditoria del Siglo 21

Karla Barreto

Economía conductual

Bertrand Regader

Cultura financiera

Walter Eyzaguirre

Triple enfoque

Cecilia Rizo Patrón

Gestiona tus Finanzas

Giovanna Prialé Reyes

Segunda opinión

Eduardo Herrera Velarde

Parte de Guerra

Pablo O'Brien

El cine es un espejo

Raúl Ortiz Mory

Ruarte's - Washington Capital

R. Washington Lopez

Atalaya Económica

Manuel Romero Caro

Terapia de Pareja

Luciana Olivares

Próspero Perú

Gladys Triveño

Herejías Económicas

Germán Alarco

Inversión e Infraestructura

Profesor de ESAN Graduate School of Business Sergio Bravo Orellana

Blog Universitario

Blog Universitario

Juegomaniáticos

Juan Pablo Robles

Gestión del Talento

Ricardo Alania Vera

Querido Gerente

Ana Romero

Millennials

Pamela Romero Wilson

Reglas de Juego

Pierino Stucchi

Humor S.A.

Jaime Herrera

Bitácora bursátil.

Equipo de Análisis de Intéligo SAB

Vivir Seguro

Asociación Peruana de Empresas de Seguros

El deporte de hacer negocios

Luis Carrillo Pinto

Zona de Intercambio

Julio Guadalupe

Innovar o ser cambiado

Andy Garcia Peña

Economía aplicada

Juan Mendoza

El Vino de la Semana

José Bracamonte

Carpeta Gerencial

IE Business School

Desafíos para el progreso

Banco Interamericano de Desarrollo

Diálogo a fondo

Fondo Monetario Internacional

Predio legal

Martín Mejorada

e-strategia

José Kusunoki Gutiérrez

Vinos, piscos y mucho más

Sommelier Giovanni Bisso

Palabra de Gestión

Julio Lira Segura

Impacto ambiental

Lorenzo de la Puente

Inversiones Globales

Carlos Palomino Selem

Moda Inc.

Daniel

Divina Ejecutiva

Fiorella

Menú Legal

Oscar Sumar

Analizando tus inversiones

Diego Alonso Ruiz

Reformas incompletas

Instituto Peruano de Economía

Empresa&Familia

Pablo Domínguez

Hoy sí atiendo provincias

Félix Villanueva - Aurum Consultoría y Mercado

Smart money

Luis Ramírez

Consumer Psyco

Cristina

Gestión de servicios

Otto Regalado Pezúa

Marketing 20/20

Michael Penny

Mercados&Retail

Percy Vigil Vidal

CAFÉ TAIPÁ

Milton Vela

Anuncias, luego existes

Alexander Chiu Werner

Marcas & Mentes

Lizardo Vargas Bianchi

Riesgos Financieros

Gregorio Belaunde

Economía para todos

Carlos Parodi

De regreso a lo básico

Paúl Lira Briceño