En los próximos días, el Ministerio de Justicia y Derechos Humanos (Minjusdh) publicará el proyecto para modernizar el reglamento de la Ley N° 29733 (2011), Ley de Protección de Datos Personales, con el horizonte de colocar al Perú como uno de los países del mundo que esté a la vanguardia en la materia.
ANTECEDENTES
2020
La PDP (Protección de datos personales) por Covid-19
Sin embargo, la mayoría de los paíse durante la crisis del Covid-19 suelen permitir su procesamiento por razones de salud pública. El problema no es si los gobiernos –en alianza con el sector privado- pueden procesarlos, sino cómo lo hacen.
La fundación Carolina ha presentado un interesante estudio que examina la evolución de
las aplicaciones vinculadas a la pandemia ocasionada por la COVID-19 en el contexto regional de América Latina, y la discusión en torno a sus objetivos, su modelo de gobernanza y su inserción, diálogo y conflicto con los marcos institucionales y normativos vigentes, incluyendo los
derechos humanos
ANTECEDENTES
La Comisión Europea publicó un informe de evaluación sobre el Reglamento General de Protección de Datos (GDPR), a dos años de la entrada en vigor. La principal conclusión a la que llegó la evaluación es que el GDPR “ha cumplido la mayoría de sus objetivos, en particular al ofrecer a los ciudadanos un conjunto sólido de derechos exigibles y al crear un nuevo sistema europeo de gobernanza y cumplimiento”.
Entre los hallazgos claves se detalla que los ciudadanos tienen más poder y son más conscientes de sus derechos digitales, como el derecho de acceso, rectificación, borrado, el derecho a objetar y el derecho a la portabilidad de los datos.
Según el documento, el GDPR también demostró ser flexible para soportar soluciones digitales en circunstancias imprevistas como la crisis de Covid-19.
PDP-Proteccion de Datos Personales en Perú
La vigente Ley de Protección de Datos Personales en Perú – Ley 29733 tiene por objeto garantizar el derecho fundamental de las personas a la protección de su privacidad, para lo cual prescribe que el tratamiento de sus datos personales sea proporcional y seguro, de acuerdo con finalidades consentidas por tales personas o habilitadas por ley, previniendo así que tales datos sean objeto de tráfico y/o uso ilícito.
Esta legislación establece obligaciones sobre las empresas para que aseguren un adecuado tratamiento de los datos personales de sus clientes, proveedores, trabajadores y otras personas vinculadas a su actividad. Asimismo, esta legislación y su reglamentación reconocen los derechos de las personas a quienes pertenecen dichos datos.
Las principales obligaciones para cumplir con la protección de datos personales son las siguientes:
1. Inscribir ante la Autoridad los Bancos de Datos Personales (BDP) que posean: De acuerdo con la definición de la Ley, un BDP es todo conjunto organizado de información de personas naturales. Esta información puede encontrarse almacenada en soportes automatizados (tales como documentos en Word, Excel, PDF e, incluso, en imágenes, audios o audiovisuales, registrados en ordenadores o servidores de la empresa, plataformas electrónicas, archivos en la nube, etcétera); o, en soportes no automatizados (tales como files y archivadores físicos, documentos impresos de facturación, legajos de trabajadores, etcétera).
Para cumplir con esta obligación, resulta necesario analizar todas las áreas de la empresa para identificar la información de carácter personal que manejan. Ello, con el objeto de identificar todos los BDP existentes. Pese a ello, en la práctica, muchas empresas solo se limitan a inscribir los BDP de trabajadores, clientes y proveedores, sin tomar en cuenta, entre otros, los datos personales que se toman y almacenan del registro de visitas a las diferentes sedes de la empresa, de la filmación de las cámaras de video vigilancia, de las grabaciones telefónicas, de los registros biométricos y de las listas de postulantes a determinadas posiciones, entre otros. Estos BDP y otros similares también deben inscribirse ante la Autoridad Nacional de Protección de Datos Personales (que es la Dirección de Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos).
Para inscribir un BDP se debe presentar un formulario ante dicha Autoridad consignando sus características, la naturaleza de los datos recopilados, las finalidades de su tratamiento y la transferencia que sobre dichos datos pueda realizarse, entre otros. No se comparte con la Autoridad el contenido de los BDP ni se inscriben los datos personales que la empresa tenga en su poder, sino las características y uso de los BDP que administra. El procedimiento de inscripción toma 30 días hábiles.
2. Obtener un consentimiento informado de los titulares de los datos personales: Este consentimiento es una autorización -debidamente informada- del titular de los datos personales para que la empresa pueda darles tratamiento. Dicho consentimiento debe cumplir con ser libre, en oposición a condicionado; previo, es decir con anterioridad al tratamiento; expreso, en oposición a tácito; e, inequívoco, es decir que resulte indubitable.
En el cumplimiento de esta obligación es donde las empresas muestran mayores dudas y cometen errores frecuentes que resultan sancionados por la Autoridad. Los consentimientos informados no pueden ser genéricos sino, por el contrario, deben comunicar todos los tratamientos de los datos personales que realizará la empresa. Por ejemplo, debiera indicar específicamente a quiénes se transfiere o se comparte la información (de ser el caso), precisar si se utilizarán los datos para remitir publicidad y expresar un plazo determinado de almacenamiento, entre otros.
Debe precisarse que no resulta exigible un consentimiento informado de los titulares de los datos personales cuando la empresa requiera dar tratamiento a sus datos en cumplimiento de una normal u obligación legal; y, para la preparación y/o ejecución de una relación contractual en la que el titular es parte, entre otras excepciones expresamente previstas en la Ley 29733.
3.Aplicar medidas de seguridad que sean idóneas y eficaces: Las empresas que posean BDP deben adoptar medidas técnicas, organizativas y legales con el objeto de evitar la posible filtración o sustracción de los datos personales.
Algunas de estas medidas incluyen el establecimiento de protocolos de seguridad técnica sobre archivos en soportes automatizados y no automatizados, la elaboración de políticas de privacidad, manuales organizativos que asignen cuidados y responsabilidades en el tratamiento de los datos personales, compromisos de confidencialidad y cláusulas contractuales, entre otras.
4. Establecer un procedimiento de atención de los derechos de las personas naturales: Toda empresa que posea un BDP debe asegurar que las personas naturales puedan ejercer los siguientes derechos:
Acceso.- toda persona puede requerir el acceso a la información que de ella tiene la empresa, así como solicitar información sobre la finalidad para la cual sus datos fueron recopilados, las razones que motivaron su recopilación y las transferencias realizadas o que se prevén realizar de dichos datos a un tercero
Rectificación.- toda persona puede pedir que modifiquen los datos contenidos en el BDP, en caso se pruebe la inexactitud o si estos son incompletos, erróneos o falsos.
Cancelación.- toda persona puede pedir la supresión de sus datos personales cuando hayan dejado de ser necesarios o pertinentes en relación con las finalidades para la cual hayan sido recopilados.
Oposición.- toda persona puede pedir la supresión de sus datos cuando estos se hayan recopilado sin un consentimiento expreso.
5.- Comunicar el flujo transfronterizo: Cuando la empresa que posee un BDP transfiere datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, debe informar el nombre y la ubicación de ese destinatario. Por ejemplo, debe informar la transferencia de datos a una empresa del mismo grupo en el exterior; o, a una empresa que le brinda los servicios cloud computing (host y almacenamiento), entre otras circunstancias similares.
A la fecha, la Autoridad Nacional de Protección de Datos Personales viene sancionando a más de 70 empresas por el incumplimiento de las obligaciones antes detalladas, por montos que sumados ascienden aproximadamente a 2 millones de soles (cada multa pueden llegar hasta 100 UIT).
DERECHO A LA PRIVACIDAD
Organizaciones internacionales como Naciones Unidas han hecho esfuerzos importantes tanto para sensibilizar a los países en la urgencia de crear marcos reguladores.
En noviembre de 2016, la Asamblea General de las Naciones Unidas declaró el Derecho a la privacidad en la era digital, documento firmado por 47 países, entre ellos, Argentina, Brasil, Chile, Costa Rica, El Salvador, Honduras, México, Panamá, Paraguay, Perú, República Dominicana y Uruguay. En ella, se promueve, entre otras cosas, la elaboración por parte de los gobiernos, de marcos regulatorios que protejan al ciudadano y que se considere el derecho a la protección de datos como parte de los derechos humanos. También se reconoce la responsabilidad de las empresas en la protección de los datos personales y en la importancia de la transparencia en sus prácticas cotidianas.
Varios países de la región ya cuentan con autoridades públicas para el control y protección de datos (Argentina, Costa Rica, México, Perú y Uruguay) y el objetivo es que el resto de países de la región tomen medidas similares en el corto plazo.
La Red Iberoamericana de Protección de Datos ha elaborado una serie de estándares de protección de datos personales para los estados iberoamericanos, estableciendo acciones concretas que estos pueden llevar a cabo para proteger los datos de sus ciudadanos.
No hay comentarios:
Publicar un comentario