La ley de protección de datos personales

Por Daniel Flores
Abogado. Asociado de DLA Piper Perú. Experto en asesoría corporativa en general.

A poco más de cuatro años de la entrada en vigencia integral de la Ley de protección de datos personales y su Reglamento (la “Normativa”), resulta pertinente hacer un balance general y señalar algunos aspectos relevantes sobre el impacto que ha tenido en el Perú. En primer lugar, vale la pena recordar que el sustento principal de la Normativa fue y es el reconocer a los titulares de los datos personales, es decir, que cada persona es dueña/titular de su propia información (sus datos personales) y, por lo tanto, es quien decide sobre el uso que se haga de aquella. Para esos efectos se creó la Autoridad Nacional de Protección de Datos Personales, que es la encargada de realizar todas las acciones necesarias para el cumplimiento de la Normativa, gozando de potestad sancionadora y coactiva. En este momento, podemos afirmar que tenemos una autoridad muy activa, y no solo porque se encarga de autorizar y administrar las inscripciones de los bancos de datos que sus titulares le solicitan –lo cual constituye una obligación formal–, sino porque viene desarrollando cada vez mayores investigaciones y fiscalizaciones a los administrados, a fin de corroborar si se encuentran en cumplimiento de lo dispuesto por la Normativa.

Como consecuencia del enforcement que ha ganado la autoridad, las empresas –titulares de bancos de datos personales de administración privada– están cada vez más preocupadas y tienen mayores incentivos para adecuarse a la Normativa, generando políticas y procedimientos internos que las lleve a un adecuado estatus de cumplimiento en la materia. En ese sentido, la protección de datos personales ha pasado a ser un elemento relevante y a ser considerado en la organización y administración de las compañías, las cuales con mayor frecuencia incluyen “Delegados de protección de datos” u “Oficiales de cumplimiento” para que, de manera transversal a la estructura corporativa, se asegure un cumplimiento acorde a lo que exige la Normativa.

Todos estos nuevos procesos han llevado a que cada vez sea más frecuente considerar un acápite exclusivo a la protección de datos personales en los due diligence (procesos de revisión) que realizan las empresas tanto con objetivos internos (compliance) como para posibles inversiones o compras (M&A).

En cuanto a la perspectiva del ciudadano de a pie –que es el titular de los datos personales–, este se siente cada vez más empoderado y exige un mayor nivel de cumplimiento y respeto de sus derechos, de modo que sus datos personales sean utilizados (tratados) solo dentro de los términos de aquello que consintió. Ello implica que quien pretende realizar un tratamiento de sus datos personales, debe informarle de manera previa los alcances que tendrá dicho tratamiento (y el titular de los datos tiene que aceptarlo expresamente); lo cual comprende: identidad y domicilio del responsable, finalidad, identidad de los destinatarios, la existencia del banco de datos personales, el carácter obligatorio o facultativo de sus respuestas, las consecuencias de brindar o no sus datos, y la transferencia (de ser el caso); a menos que el consentimiento se encuentre exceptuado conforme a la Normativa.

Finalmente, no se debe perder de vista que la protección de datos personales es un fenómeno global que está en constante cambio y evolución; ejemplo claro de ello fue la entrada en vigencia el año pasado del Reglamento (UE) 2016/679 – Reglamento General de Protección de Datos (GDPR), aplicable a los países miembros de la Unión Europea, y que marca una suerte de estándar internacional en la materia. Dentro de esta evolución, por un lado, se tiende a una mayor rigurosidad y limitación hacia quien realiza el tratamiento de los datos personales; y, por el otro, se enfoca hacia una mayor protección al titular de los datos personales. En ese contexto, resulta fundamental que las empresas y titulares de los bancos de datos personales estén preparados para afrontar con solvencia las exigencias de la Normativa.

Fuente: Jurídica (El Peruano)