El Día Internacional de la Protección de Datos Personales se celebra cada 28 de enero invitándonos a reflexionar sobre la importancia de garantizar la privacidad y seguridad de nuestra información en un mundo cada vez más digitalizado. La información personal es un recurso valioso tanto para los titulares de los datos como para las personas naturales, entidades públicas y las instituciones pertenecientes al sector privado que los manejan[1]. Por ello, es primordial asegurar un tratamiento responsable para evitar consecuencias negativas como, por ejemplo, fraudes financieros y/o vulneraciones de derechos fundamentales.
En este contexto, es crucial entender el concepto de “banco de datos personales”, definido en la Ley N.° 29733, Ley de Protección de Datos Personales, como “un conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso”. Este concepto abarca desde bases de datos digitales utilizadas por personas naturales, entidades públicas y las instituciones pertenecientes al sector privado hasta archivos físicos que contienen información personal.
Los bancos de datos son esenciales para el funcionamiento de muchas entidades públicas, como instituciones pertenecientes al sector privado, incluyendo también a las personas naturales que tratan los datos, ya que permiten gestionar y procesar información personal de manera eficiente. Los bancos de datos pueden ser de diversos tipos, siendo los más comunes los registros de clientes de empresas y las bases de datos de empleados. La gestión adecuada de estos bancos de datos es fundamental para proteger la privacidad de las personas y garantizar el cumplimiento de la normativa.
Asimismo, la Ley N.° 29733 establece un marco legal integral para la protección de los datos personales en el Perú. Esta normativa destaca dos puntos centrales:
- La importancia del consentimiento informado del titular de los datos, garantizando que dicha autorización sea previa, expresa e inequívoca.
- El tratamiento de los datos debe responder a una finalidad específica y legítima previamente establecida, respetando el principio de proporcionalidad, ya que solo se permite procesar la información estrictamente necesaria.
Con el propósito de proteger los datos personales, la ley exige la implementación de medidas técnicas y organizativas adecuadas. Además, reconoce derechos, como el acceso, la rectificación, la cancelación y la oposición (conocidos como derechos ARCO), asegurando que las personas puedan ejercer control sobre su información personal.
Es así como, en búsqueda de reforzar aquella protección, el 30 de noviembre de 2024, se publicó el Decreto Supremo N.° 016-2024-JUS, que aprueba el nuevo Reglamento de la Ley de Protección de Datos Personales. Este reglamento, que entrará en vigencia el 30 de marzo de 2025, introduce importantes cambios para fortalecer la protección de los datos personales en el Perú. A continuación, destacamos algunas de las disposiciones más relevantes:
- La normativa se aplicará a los titulares de bancos responsables del tratamiento de datos ubicados fuera del territorio peruano, siempre que realicen: (i) actividades orientadas al análisis de comportamiento de los titulares de datos personales ubicados en territorio peruano, así como (ii) la elaboración de perfiles que busquen predeterminar conductas, preferencias, hábitos o similares.
- En casos de incidentes de seguridad, se deberá informar a la Autoridad Nacional de Protección de Datos en un plazo de 48 horas de haber tomado conocimiento; respecto a los titulares también se cuenta con el mismo plazo, siempre y cuando se le haya producido afectación. Si el incidente no produjo afectación en el titular de los datos, no hay obligación de informar sobre ello a éste.
- Las entidades o empresas que manejen grandes volúmenes de datos personales o datos sensibles deberán designar un Oficial de Datos Personales encargado de garantizar el cumplimiento de la normativa de protección de datos.
- Se exige como nuevas medidas de seguridad la elaboración de un inventario de datos personales, la implementación de copias de respaldo semanales y la documentación de incidentes de seguridad.
La protección de los datos personales es un desafío actual. El nuevo Reglamento refuerza los mecanismos legales para un tratamiento responsable de la información personal, pero su éxito depende de la colaboración entre los diferentes actores.
Implementar sistemas de protección de datos no solo es un deber legal, sino también una responsabilidad ineludible para las personas naturales, entidades públicas y las instituciones pertenecientes al sector privado que manejan información personal. Es indispensable que estos sistemas cumplan con las exigencias legales y técnicas, ya que no solo son obligatorios, sino también esenciales para evitar sanciones y garantizar la protección de los derechos de los titulares de los datos. Este Día Internacional de la Protección de Datos Personales es una oportunidad para reflexionar sobre la importancia de garantizar un tratamiento responsable, adecuado y proporcional de nuestra información.
Contar con el acompañamiento de un abogado especializado es fundamental para facilitar este proceso, asegurar una correcta adaptación a la normativa vigente y promover una gestión ética y responsable de los datos personales, brindando así la seguridad y confianza necesarias en su tratamiento.
[1] Según la Ley N.° 29733 el “titular del banco de datos de datos personales” es “la persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad.”
