• Proponen cambios en el Reglamento de Protección de Datos Personales

    No obstante, las buenas intenciones por proteger la referida información, la propuesta del Minjus vulnera el principio de jerarquía normativa consagrado en la Constitución.

    3 de octubre del 2023
    Reproducir:

    Por Álvaro Gálvez Calderón

    image_pdfimage_print

    El Ministerio de Justicia (Minjus) publicó la propuesta del nuevo Reglamento de la Ley de Protección de Datos Personales, a través de la Resolución Ministerial N.° 0270 -2023 – JUS. Conforme a la exposición de motivos, la necesidad de hacer ajustes al actual reglamento, aprobado por Decreto Supremo N.° 003-2013- JUS, responde a la aparición y el uso cada vez más frecuente de nuevas tecnologías, como la inteligencia artificial o el big data, que impactan en la forma o capacidad de recolección o tratamiento de datos. Para la Cámara de Comercio de Lima (CCL), el proyecto comprende algunas disposiciones que podrían colisionar con normas de rango legal y constitucional, al ampliar los alcances de algunos conceptos o figuras; lo cual, sin perjuicio de que la intención regulatoria tenga un objetivo positivo, vulnera el principio de jerarquía normativa consagrado en la Constitución.

    A continuación, brindamos un resumen de las propuestas de cambios con mayor incidencia:

    1. Excepciones al ámbito de aplicación de la ley

    Se propone que las disposiciones de la Ley y el Reglamento de Protección de Datos Personales no se aplicarán al tratamiento de los referidos datos de los representantes o apoderados de una persona jurídica.

    Si bien consideramos correcta esta precisión, nos preocupa que se asocie o interprete que únicamente se aplique a los datos personales de representantes o apoderados de una persona jurídica inscritos en un registro de naturaleza pública (Sunarp o Sunat), cuando existen registros de naturaleza privada, como en el caso de las asociaciones (en el Libro Padrón de Asociados) en el que las personas jurídicas registran los datos de sus representantes y apoderados, sin requerirse una formalidad en particular (escritura pública, vigencia de poder, copia legalizada, etc.).

    Sobre este punto, hemos sugerido que se precise que la exclusión sea aplicable, independientemente de la naturaleza del banco de datos personales en el que se almacenen (público o privado).

    Lee también: Consejos para protegerte de una filtración de datos personales

    2. Crean la figura del “oficial de datos personales”

    Se establecería la obligación de contar con un oficial de datos personales cuando se realicen actividades que requieran observación habitual, sistemática y continua de titulares de datos personales de forma masiva o gran escala o se realice el tratamiento de datos sensibles. La   exposición de motivos señala que, dado que el artículo 28 de la Ley de Protección de Datos Personales dispone que el titular o el encargado del tratamiento de datos personales tiene las “otras” obligaciones previstas en el reglamento, esta sería la habilitación legal para aprobar la designación de un “oficial de datos personales” como una nueva obligación aplicable a los titulares de bancos de datos personales o a los encargados de su tratamiento.

    Al respecto, sugerimos   evaluar si   la   “habilitación   legal”   descrita es suficiente para crear una figura no prevista en la ley. Asimismo, solicitamos precisar los conceptos de “tratamiento masivo” o “gran escala de datos personales”, y si el rol de oficial de datos personales puede recaer en la misma persona designada como oficial de cumplimiento para efectos de la Ley N.° 30424 u otros modelos de cumplimiento, a fin de evitar costos a las empresas.

    3. Portabilidad   de   los datos personales

    Es necesario que se aclare que la “portabilidad” propuesta comprende exclusivamente los datos personales que fueron objeto de consentimiento, y no así –en ningún supuesto– el tratamiento, perfil o producto que la empresa haya construido lícitamente a partir de la información compartida por el titular del dato personal. Asimismo, se requiere claridad en torno al mecanismo neutral para ejecutar la portabilidad a requerimiento de su titular.

    4. Tratamiento de datos para publicidad y prospección comercial

    Se plantea en el proyecto que los consentimientos señalen de forma expresa la finalidad de publicidad y prospección comercial, así como la mención al empleo o no de perfiles, por lo que hemos sugerido que se establezca un periodo de adecuación razonable, no menor a un año, para que las   empresas,   a   través de las campañas de   actualización de datos, puedan actualizar los consentimientos de los titulares de los datos personales.

    Asimismo, es necesario que se regule expresamente en la propuesta la figura del “primer contacto permitido” como una práctica comercial válida para obtener el consentimiento, en armonía con el Código de Protección y Defensa del Consumidor.

    5. Incidentes de seguridad de datos personales

    La propuesta pretende considerar a todas las empresas en la obligación de reportar incidentes de seguridad, tanto a la Autoridad de Protección de Datos Personales, así como a los titulares de datos personales afectados.

    Al respecto, corresponde que la Dirección General de Transparencia, Acceso   a   la    Información Pública y Protección de Datos Personales (DGTAIPD), del Minjus,   se   ciña   a la normativa vigente en seguridad y confianza digital prevista en el Decreto de Urgencia N.° 007-2020, a fin de no crear nuevas obligaciones que podrían ser contradictorias o más restrictivas que las ya existentes. Son pocos los países donde se tiene como obligación expresa reportar todos los incidentes de seguridad, dado que ello representa una carga operativa significativa para las empresas, las que, a la par, deben lidiar con la propia situación de crisis presentada.

    6. Reducción del pronto pago en infracciones

    La propuesta de reglamento reduce el beneficio de pronto pago de un 60 % al 40 %. Al respecto, en la exposición de motivos no se explica cuáles serían las razones que justificarían realizar este ajuste, más aún tomando en cuenta que, al entrar en rigor una nueva regulación, es evidente que muchas empresas podrían verse envueltas en supuestos de infracción.

    Al respecto, es necesario que se mantenga el porcentaje de pronto pago y que, además, la norma establezca un periodo de adecuación razonable no menor a un año libre de sanciones y multas, en el que se puedan difundir los cambios en el reglamento.

     

    LEER MÁS:

    Mariella Gallegos: “Debemos ser muy cuidadosos con nuestros datos personales”

     

    No hay imágenes cargadas en la galería, por favor desactivar la opción de galeria.

    No obstante, las buenas intenciones por proteger la referida información, la propuesta del Minjus vulnera el principio de jerarquía normativa consagrado en la Constitución.

    ESTUDIOS

    EMPRESA

    EXPERIENCIA LABORAL

Entradas Recientes

Nueva Zelanda y la importancia que le da a Perú en el turismo

Perú y Nueva Zelanda, aunque se encuentran geográficamente distantes, han logrado desarrollar una relación comercial importante con un gran potencial de crecimiento. El reconocido periodista neozelandés Jack Tame visitó nuestro país en el marco del Foro Económico Asia-Pacífico APEC 2024 y conversó en exclusiva con “La Cámara” para hablar sobre cómo Latinoamérica es una región […]

“Estamos ante un boom minero con nuevos inversionistas”

¿Qué se espera en el sector minero considerando el desarrollo del Perumin 37? Esperamos que el Perumin rompa récords, ya que estamos presenciando un ‘boom minero’ con muchos nuevos inversionistas, incluyendo aquellos que habían cerrado operaciones y han retornado. Muchos países han llegado debido al APEC, y otros han visitado el Ministerio de Energía y […]

Artículos relacionados

Dejar un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

MAPFRE  hASTA 08/06/2023
Suscríbete Contáctanos