Proponen cambios en el Reglamento de Protección de Datos Personales
No obstante, las buenas intenciones por proteger la referida información, la propuesta del Minjus vulnera el principio de jerarquía normativa consagrado en la Constitución.
Reproducir:
Por Álvaro Gálvez Calderón
El Ministerio de Justicia (Minjus) publicó la propuesta del nuevo Reglamento de la Ley de Protección de Datos Personales, a través de la Resolución Ministerial N.° 0270 -2023 – JUS. Conforme a la exposición de motivos, la necesidad de hacer ajustes al actual reglamento, aprobado por Decreto Supremo N.° 003-2013- JUS, responde a la aparición y el uso cada vez más frecuente de nuevas tecnologías, como la inteligencia artificial o el big data, que impactan en la forma o capacidad de recolección o tratamiento de datos. Para la Cámara de Comercio de Lima (CCL), el proyecto comprende algunas disposiciones que podrían colisionar con normas de rango legal y constitucional, al ampliar los alcances de algunos conceptos o figuras; lo cual, sin perjuicio de que la intención regulatoria tenga un objetivo positivo, vulnera el principio de jerarquía normativa consagrado en la Constitución.
A continuación, brindamos un resumen de las propuestas de cambios con mayor incidencia:
1. Excepciones al ámbito de aplicación de la ley
Se propone que las disposiciones de la Ley y el Reglamento de Protección de Datos Personales no se aplicarán al tratamiento de los referidos datos de los representantes o apoderados de una persona jurídica.
Si bien consideramos correcta esta precisión, nos preocupa que se asocie o interprete que únicamente se aplique a los datos personales de representantes o apoderados de una persona jurídica inscritos en un registro de naturaleza pública (Sunarp o Sunat), cuando existen registros de naturaleza privada, como en el caso de las asociaciones (en el Libro Padrón de Asociados) en el que las personas jurídicas registran los datos de sus representantes y apoderados, sin requerirse una formalidad en particular (escritura pública, vigencia de poder, copia legalizada, etc.).
Sobre este punto, hemos sugerido que se precise que la exclusión sea aplicable, independientemente de la naturaleza del banco de datos personales en el que se almacenen (público o privado).
Lee también: Consejos para protegerte de una filtración de datos personales
2. Crean la figura del “oficial de datos personales”
Se establecería la obligación de contar con un oficial de datos personales cuando se realicen actividades que requieran observación habitual, sistemática y continua de titulares de datos personales de forma masiva o gran escala o se realice el tratamiento de datos sensibles. La exposición de motivos señala que, dado que el artículo 28 de la Ley de Protección de Datos Personales dispone que el titular o el encargado del tratamiento de datos personales tiene las “otras” obligaciones previstas en el reglamento, esta sería la habilitación legal para aprobar la designación de un “oficial de datos personales” como una nueva obligación aplicable a los titulares de bancos de datos personales o a los encargados de su tratamiento.
Al respecto, sugerimos evaluar si la “habilitación legal” descrita es suficiente para crear una figura no prevista en la ley. Asimismo, solicitamos precisar los conceptos de “tratamiento masivo” o “gran escala de datos personales”, y si el rol de oficial de datos personales puede recaer en la misma persona designada como oficial de cumplimiento para efectos de la Ley N.° 30424 u otros modelos de cumplimiento, a fin de evitar costos a las empresas.
3. Portabilidad de los datos personales
Es necesario que se aclare que la “portabilidad” propuesta comprende exclusivamente los datos personales que fueron objeto de consentimiento, y no así –en ningún supuesto– el tratamiento, perfil o producto que la empresa haya construido lícitamente a partir de la información compartida por el titular del dato personal. Asimismo, se requiere claridad en torno al mecanismo neutral para ejecutar la portabilidad a requerimiento de su titular.
4. Tratamiento de datos para publicidad y prospección comercial
Se plantea en el proyecto que los consentimientos señalen de forma expresa la finalidad de publicidad y prospección comercial, así como la mención al empleo o no de perfiles, por lo que hemos sugerido que se establezca un periodo de adecuación razonable, no menor a un año, para que las empresas, a través de las campañas de actualización de datos, puedan actualizar los consentimientos de los titulares de los datos personales.
Asimismo, es necesario que se regule expresamente en la propuesta la figura del “primer contacto permitido” como una práctica comercial válida para obtener el consentimiento, en armonía con el Código de Protección y Defensa del Consumidor.
5. Incidentes de seguridad de datos personales
La propuesta pretende considerar a todas las empresas en la obligación de reportar incidentes de seguridad, tanto a la Autoridad de Protección de Datos Personales, así como a los titulares de datos personales afectados.
Al respecto, corresponde que la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (DGTAIPD), del Minjus, se ciña a la normativa vigente en seguridad y confianza digital prevista en el Decreto de Urgencia N.° 007-2020, a fin de no crear nuevas obligaciones que podrían ser contradictorias o más restrictivas que las ya existentes. Son pocos los países donde se tiene como obligación expresa reportar todos los incidentes de seguridad, dado que ello representa una carga operativa significativa para las empresas, las que, a la par, deben lidiar con la propia situación de crisis presentada.
6. Reducción del pronto pago en infracciones
La propuesta de reglamento reduce el beneficio de pronto pago de un 60 % al 40 %. Al respecto, en la exposición de motivos no se explica cuáles serían las razones que justificarían realizar este ajuste, más aún tomando en cuenta que, al entrar en rigor una nueva regulación, es evidente que muchas empresas podrían verse envueltas en supuestos de infracción.
Al respecto, es necesario que se mantenga el porcentaje de pronto pago y que, además, la norma establezca un periodo de adecuación razonable no menor a un año libre de sanciones y multas, en el que se puedan difundir los cambios en el reglamento.
LEER MÁS:
Mariella Gallegos: “Debemos ser muy cuidadosos con nuestros datos personales”
No obstante, las buenas intenciones por proteger la referida información, la propuesta del Minjus vulnera el principio de jerarquía normativa consagrado en la Constitución.