Nuevo reglamento refuerza la protección de datos personales
El Perú estableció nuevas obligaciones relacionadas con el tratamiento de datos y sus transferencias internacionales, incidentes de seguridad, y designación de un Oficial de Datos Personales. Asimismo, fortaleció las infracciones y sanciones vigentes.
Reproducir:
Álvaro Gálvez
El 30 de noviembre del 2024 se publicó en el diario oficial “El Peruano” el Decreto Supremo N.º 016-2024-JUS, que aprueba el nuevo Reglamento de la Ley N.º 29733, Ley de Datos Personales. Este reglamento establece nuevas obligaciones relacionadas con el tratamiento de datos personales, las transferencias internacionales de datos, la recolección de big data y el fortalecimiento de las infracciones y sanciones vigentes. Además, de otorgar a la Autoridad de Protección de Datos Personales (ANPDP) facultades para emitir disposiciones complementarias en aspectos como la disociación, anonimización y portabilidad y tratamiento de datos.
A continuación, se presentan los principales aspectos del reglamento:
- Ámbito de aplicación territorial
El Reglamento extiende la aplicación de la Ley N.º 29733 al tratamiento de datos personales realizado fuera del territorio peruano si:
- El titular del banco de datos o el responsable utiliza medios situados en Perú para fines comerciales, como la oferta de bienes o servicios a personas en el país.
- Realiza actividades de análisis de comportamiento y elaboración de perfiles de titulares de datos en Perú.
La ley no se aplica si los medios utilizados en el país tienen propósitos de tránsito y no implican tratamiento de datos personales.
- Consentimiento para el tratamiento de datos
Todo tratamiento de datos personales requiere el consentimiento previo, libre, expreso e inequívoco de su titular, según lo dispuesto en la Ley N.º 29733 y su Reglamento. Además, cuando los datos sean obtenidos directamente del titular, se le debe informar sobre:
- La existencia de decisiones automatizadas y perfiles elaborados.
- Las posibles consecuencias para el titular.
- Designación de un Oficial de Datos Personales
Los titulares de bancos de datos personales y responsables del tratamiento deben nombrar un Oficial de Datos Personales que cumpla con:
- Poseer conocimientos especializados y práctica en protección de datos personales.
- Asesorar e informar al personal encargado del tratamiento de datos.
- Cooperar con la ANPDP en temas de cumplimiento normativo.
El Oficial de Datos puede desempeñar otras funciones dentro de la organización o ser externo.
- Notificación de incidentes de seguridad
En caso de incidentes de seguridad que:
- Expongan grandes volúmenes de datos.
- Afecten a un gran número de personas.
- Involucren datos sensibles o causen perjuicios evidentes.
El titular del banco de datos o el responsable del tratamiento debe notificar a la ANPDP dentro de las 48 horas siguientes a su conocimiento. En incidentes en entornos digitales, también se debe notificar al Centro Nacional de Seguridad.
- Documento de Seguridad
El responsable del tratamiento de datos personales debe contar con un documento de seguridad aprobado y actualizado que incluya procedimientos para:
- Gestión de accesos y privilegios.
- Verificaciones periódicas de los privilegios asignados en sistemas y plataformas tecnológicas.
- Tratamiento de datos para publicidad
Se permite un primer contacto para obtener el consentimiento del titular. Si no se logra el consentimiento, no está permitido realizar nuevos contactos. El responsable debe informar la fuente de los datos personales al titular durante el primer contacto, si así se solicita.
- Portabilidad de datos personales
El reglamento reconoce el derecho de portabilidad de datos personales, permitiendo al titular:
- Solicitar sus datos personales en un formato estructurado, de uso común y lectura mecánica
- Transmitirlos a otro responsable o banco de datos, siempre que el tratamiento se base en el consentimiento o en una relación contractual.
- Tratamientos de los datos de menores
El tratamiento de datos de niños, niñas y adolescentes es lícito solo con el consentimiento de quienes ejercen la patria potestad. Sin embargo, los mayores de 14 años pueden otorgar consentimiento si la información se presenta en un lenguaje comprensible para ellos. En todos los casos, se deben garantizar los derechos fundamentales y el interés superior del menor, especialmente en entornos digitales.
- Transferencia de datos personales
La ANPDP evaluará si los países de destino ofrecen un nivel de protección adecuado de datos. Esta evaluación incluye:
- Revisar el marco jurídico y la existencia de una autoridad supervisora en el país de destino.
- Omitir la evaluación si existen acuerdos bilaterales con estándares comunes en protección de datos personales.
- Régimen de infracciones según el tipo de empresa en ventas anuales
El reglamento establece sanciones según los tipos de empresa y sus volúmenes de ventas anuales:
Con este nuevo reglamento, el Perú refuerza su compromiso con la protección de los datos personales, alineándose con estándares internacionales y fortaleciendo los derechos de los titulares.
LEE MÁS:
CONOCE NUESTRO TIKTOK:
@camaracomerciolima Calcula tu #grati 🤑#camaracomerciolima #viralperu #gratificación #trabajoperu #derecholaboral ♬ original sound – Cámara de Comercio de Lima
El Perú estableció nuevas obligaciones relacionadas con el tratamiento de datos y sus transferencias internacionales, incidentes de seguridad, y designación de un Oficial de Datos Personales. Asimismo, fortaleció las infracciones y sanciones vigentes.
