• No se han encontrado resultados

MEMO Para. Clientes y amigos Fecha 9 de abril del 2013 Ref. Régimen de Protección de Datos Personales

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "MEMO Para. Clientes y amigos Fecha 9 de abril del 2013 Ref. Régimen de Protección de Datos Personales"

Copied!
7
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 7 página )

Texto completo

(1)

MEMO

Para Clientes y amigos

Fecha 9 de abril del 2013

Ref. Régimen de Protección de Datos Personales

El 22 de marzo del 2013 se publicó en el Diario Oficial “El Peruano” el Reglamento de la Ley Nº 29733, Ley de Protección de Datos Personales (la “Ley”). Con la promulgación del Reglamento, la Ley entrará plenamente en vigencia el 8 de mayo próximo.1

Las normas en referencia constituyen la primera regulación integral en materia de protección de datos en el Perú.

Este nuevo régimen normativo impone una serie de obligaciones a las personas y empresas que en el desarrollo de sus actividades acceden y administran datos personales de sus actuales o potenciales clientes, de sus trabajadores o de otras personas naturales.

Tales obligaciones requerirán, en algunos casos, adecuar los términos y condiciones de los contratos en virtud a los cuales se accede a datos personales, adoptar medidas de seguridad internas para garantizar la confidencialidad y reserva de la información personal administrada, implementar canales para que terceros puedan acceder a la información personal que una empresa pueda mantener en su poder sobre uno mismo, así como registrar ante las autoridades nacionales competentes las bases de datos personales que se puedan estar administrando, entre otras materias.

A continuación se resumen los conceptos centrales a esta nueva normativa, sus principales disposiciones y las principales obligaciones para las empresas que emplean datos personales en sus procesos comerciales.

1. Conceptos Básicos ¿Qué son datos personales?

Los datos personales comprenden la información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a las personas naturales que las identifica o las hace identificables. Así por ejemplo, el nombre de una persona, su correo electrónico, su teléfono de contacto, su número de documento nacional de identidad, su huella dactilar, entre otros, constituyen datos personales.

Una categoría especial de datos personales son los llamados datos sensibles, los cuales comprenden información sobre el origen racial o étnico de una persona, ingresos económicos, opiniones o convicciones políticas, entre otro tipo de información.

¿Quién es titular de los datos personales?

Se considera titular de los datos personales a la persona natural a quien corresponden o a quién se refieren tales datos.

1 A la fecha, la Ley se encuentra parcialmente en vigencia, siendo que la totalidad de sus disposiciones comenzarán a regir en el plazo de treinta

(2)

Así, por ejemplo, una persona es titular de la información relacionada a su número de teléfono, a sus números de identificación en sus documentos de identidad, a su dirección de correspondencia, etc. ¿Qué es dar tratamiento a datos personales?

Dar “tratamiento” a datos personales comprende toda operación o procedimiento (automatizado o no) que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.

Así, por ejemplo, cuando una empresa compila en una base de datos los nombres y apellidos de sus clientes y sus datos de contacto, estará dando tratamiento a datos personales.

¿Qué es un banco de datos personales?

Se considera como banco de datos personales a todo conjunto organizado de datos personales, automatizado o no, independiente del soporte que lo contiene (físico, magnético, digital, óptico u otros que se creen), cualquiera que sea la forma de su creación, organización y acceso.

Así, por ejemplo, el mailing list de los clientes de una empresa constituye un banco de datos personales. ¿Quién es el titular de un banco de datos personales?

El titular de un banco de datos personales será la persona física, la empresa, la asociación privada o la entidad pública que determina la finalidad y contenido de un banco de datos personales, el tratamiento de éste y sus medidas de seguridad.

Así, por lo general, una empresa, con independencia de su sector de actividad, será titular del banco de los datos personales que contiene información sobre sus empleados y clientes que sean personas naturales. Por ejemplo, una empresa del sistema financiero será titular de los bancos de datos personales que contengan información sobre sus clientes.

Del mismo modo, un hotel será titular del banco de datos personales que contiene información sobre sus pasados huéspedes, un club deportivo será titular del banco de datos personales que contiene información sobre sus socios y un centro educativo será titular del banco de datos personales que contiene información de sus alumnos.

¿Quién es el encargado del banco de datos personales?

Es la persona natural, la empresa, la asociación privada o la entidad pública que sola o actuando conjuntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales.

Ejemplos de agentes que se encargan de un banco de datos personales serían el informático ajeno a la organización que realiza tareas de mantenimiento de software o hardware, la empresa que presta servicios para la realización de envíos postales, la empresa de call center que brinda servicios de publicidad y venta de productos de otra organización, entre otros.

(3)

2. Obligaciones del titular del banco de datos personales frente al titular de los datos personales 2.1. Obtener el consentimiento

Todo titular de un banco de datos personales debe obtener el consentimiento de los titulares de los datos personales a los que pretenda dar tratamiento, salvo las excepciones previstas en el artículo 14 de la Ley. Las excepciones más importantes contempladas en esta norma son las siguientes:

Cuando los datos personales se recopilen o transfieran para el ejercicio de las funcionales de entidades públicas en el ámbito de sus competencias (por ejemplo, el INDECOPI solicita información al OSCE sobre los procedimientos sancionadores abiertos contra personas naturales). Cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público (por ejemplo, información contenida en la guía telefónica, diarios, revistas, etc.). Cuando los datos personales sean necesarios para la ejecución de una relación contractual en la que el titular de los datos personales es parte (por ejemplo, cuando se utiliza la dirección electrónica, dirección domiciliaria o número telefónico del cliente para cumplir con ciertos fines del contrato, como enviarle estados de cuentas).

Cuando se hubiera aplicado un procedimiento de anonimización o disociación.2

El consentimiento obtenido por el titular del banco de datos personales debe reunir las características de ser libre, previo, expreso e inequívoco, e informado. Sobre estas características, el Reglamento señala lo siguiente:

Libre: El consentimiento debe ser obtenido sin que medie error, mala fe violencia o engaño que puedan afectar la manifestación de voluntad del titular de los datos personales.

Previo: El consentimiento debe ser obtenido con anterioridad: (i) a la recopilación de los datos o (ii) al tratamiento distinto a aquel por el cual dichos datos se recopilaron.

Expreso e inequívoco: El consentimiento debe manifestarse en condiciones que no admitan dudas sobre su otorgamiento. El consentimiento puede ser oral, escrito o conductual (mediante la conducta se evidencia de forma inequívoca que consintió el tratamiento). No obstante, cuando se trate de datos sensibles, el consentimiento debe constar por escrito, a través de firma manuscrita, digital o cualquier otro mecanismo de autenticación que garantice su voluntad inequívoca.

Informado: Al momento de solicitar el consentimiento, se debe comunicar al titular de los datos personales de manera clara, expresa e indubitablemente y con lenguaje sencillo, entre otra información, lo siguiente:

• La identidad y domicilio del titular del banco de datos o del encargado del tratamiento • Todos los fines para los cuales se dará tratamiento a sus datos personales.

• La identidad de los posibles destinatarios de la data personal.

• La existencia del banco de datos en el que se almacenarán, cuando corresponda.

• El carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, cuando sea el caso.

• Las consecuencias de proporcionar, o no, sus datos personales. • La transferencia nacional e internacional de datos que se efectúen. 2.2. Adoptar medidas de seguridad

Los titulares de bancos de datos personales deben adoptar las medidas técnicas y legales necesarias para

2 El procedimiento de anonimización implica un tratamiento de datos personales que impide la identificación o que no hace identificable al titular

de estos. Este procedimiento es irreversible. A su vez, el procedimiento de disociación implica un tratamiento de datos personales que impide la identificación o que no hace identificable al titular de estos. Este procedimiento es reversible.

(4)

garantizar la seguridad de los datos personales y evitar su alteración, pérdida, tratamiento o acceso no autorizado. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se va a efectuar.

2.3. Guardar confidencialidad

Salvo excepciones normativas expresas, los titulares de bancos de datos personales y quienes intervengan en cualquier etapa del tratamiento de datos personales están obligados a guardar la confidencialidad de la información que manejan y antecedentes.3

2.4. Posibilitar el ejercicio de los derechos del titular de los datos personales

El titular de un banco de datos personales debe posibilitar el ejercicio de los siguientes derechos reconocidos a los titulares de los datos personales:

a) Derecho a la información y derecho de acceso:

Como se ha explicado anteriormente, el consentimiento para el tratamiento de datos personales debe ser obtenido de manera informada, lo que implica que el titular de los datos personales tiene derecho a recibir cierta información de manera previa a la recopilación de sus datos personales.

Sin perjuicio de lo anterior, el titular de los datos personales tiene además el derecho a obtener del titular del banco de datos personales la información relativa a sus datos personales, así como a todas las condiciones de tratamiento que se le dan a los mismos.

b) Derechos de actualización, inclusión, rectificación y supresión:

La normativa reconoce a los titulares de los datos personales el derecho a exigir al titular de las bases de datos lo siguiente:

• La actualización de sus datos personales (derecho a poner al día aquellos sus datos);

• La inclusión de información en un banco de datos de modo que se complete la información materia de tratamiento;

• La rectificación de datos que resulten inexactos, erróneos o falsos; y, • La supresión de la información contenida de un banco de datos. c) Derecho a impedir el suministro y derecho de oposición:

La normativa igualmente reconoce a los titulares de los datos personales el derecho a impedir que éstos sean suministrados cuando ello afecte sus derechos fundamentales, así como de oponerse a su tratamiento cuando existan motivos fundados relativos a una concreta situación personal.4

3. Obligaciones del encargado del banco de datos personales frente al titular de los datos personales Los encargados de dar tratamiento a un banco de datos personales se encuentran prohibidos de tratar la información recibida para fines que no han sido autorizados por el titular de los datos personales.

3 De acuerdo al artículo 17 de la Ley, esta obligación tiene las siguientes excepciones: (i) cuando exista consentimiento previo, informado,

expreso e inequívoco del titular de los datos personales; (ii) cuando exista resolución judicial, consentida o ejecutoriada o (iii) cuando existan razones fundadas en la defensa nacional, seguridad pública o a la sanidad pública, sin perjuicio al derecho a guardar el secreto profesional.

(5)

Asimismo, al igual que los titulares de un banco de datos personales, los encargados del tratamiento deben cumplir las obligaciones de adoptar las medidas necesarias para garantizar la seguridad en el tratamiento de la información, de guardar la confidencialidad de la información personal objeto de tratamiento, y de posibilitar el ejercicio de los derechos personales de los titulares de la información, conforme a lo reseñado en los numerales 2.2, 2.3 y 2.4 precedentes.

4. Transferencias de datos personales

La transferencia de datos personales implica la transmisión o suministro de datos personales a terceros (e.g., a una persona jurídica privada, una entidad pública o a una persona natural distinta del titular de los datos personales), dentro o fuera del país.

Así, por ejemplo, el intercambio de bases de datos de clientes entre empresas vinculadas para propósitos comerciales, constituye un acto de transferencia. Igualmente, la adquisición de una base de datos de potenciales clientes de parte de un tercero para efectos de actividades de mercadeo, constituye un acto de transferencia.

La transferencia constituye una modalidad de tratamiento y, como tal, toda transferencia de datos personales requiere el consentimiento libre, previo, expreso e informado del titular de los datos personales, salvo las que obedezcan a las excepciones previstas en el artículo 14 de la Ley a las que nos hemos referido en el numeral 2.1 precedente.

4.1 Obligaciones del emisor de los datos personales

El emisor de los datos personales transferidos tiene la carga de probar que la transferencia se realizó conforme a las exigencias normativas.

4.2 Obligaciones del receptor de los datos personales

El receptor de los datos personales asume la condición de titular del banco de datos y debe realizar el tratamiento de datos personales de acuerdo a la información proporcionada por el emisor.

Sólo es posible el flujo transfronterizo de datos personales cuando el receptor asume las mismas obligaciones que corresponden al titular del banco de datos. Para garantizar ello, el emisor puede celebrar contratos u otros instrumentos permitidos por ley.

Los titulares del banco de datos o encargados del tratamiento pueden solicitar la opinión de la Dirección General de Protección de Datos Personales (en adelante, la “Dirección General”) para determinar si el flujo transfronterizo que realiza cumple con lo dispuesto en la Ley y el Reglamento.

Las transferencias de datos personales entre empresas que se encuentren bajo el control común al que pertenece el banco de datos o encargado del tratamiento (grupos empresariales, empresas subsidiarias, empresas vinculadas) garantizan el tratamiento de datos personales si cuentan con un código de conducta que establezca las normas internas de protección de datos personales.

5. Registro Nacional de Protección de Datos Personales

La normativa de datos personales impone la obligación de registrar las bases de datos personales para garantizar su publicidad y facilitar a los titulares de la información el ejercicio de los derechos que la ley reconoce a los que hemos aludido anteriormente.

(6)

Para estos propósitos se ha creado el Registro Nacional de Protección de Datos Personales (el “Registro”), a cargo de la Autoridad Nacional de Protección de Datos Personales (la “Autoridad de Datos Personales”) del Ministerio de Justicia y Derechos Humanos.5

A los bancos de datos personales creados con anterioridad a la entrada en vigencia de la Ley se les ha otorgado un plazo de dos (2) años contado a partir del 8 de mayo del 2013 para adecuar su funcionamiento a las disposiciones de la nueva normativa. Sin perjuicio de ello, estos bancos de datos personales requerirán inscribirse en el Registro una vez que éste entre en funcionamiento, a efectos de que el sistema de protección de datos personales pueda identificar y hacer pública la lista de bancos existentes a la fecha.6

En el caso de los nuevos bancos de datos personales a ser creados a partir de la plena vigencia de la Ley, éstos deberán adecuarse de manera inmediata a la normativa vigente e inscribirse en el Registro.

6. Infracciones

La normativa de datos personales contempla la posibilidad que la Autoridad de Datos Personales sancione a aquellas personas que incumplan sus disposiciones.

El procedimiento para sancionar infracciones a la Ley y el Reglamento es iniciado siempre de oficio, de acuerdo a un informe emitido por la Dirección de Supervisión y Control de la Autoridad Nacional de Datos Personales.7

Este procedimiento tendrá dos (2) instancias. En la primera instancia el órgano competente será la Dirección de Sanciones, el cual estará encargado de instruir el procedimiento y emitir una resolución sobre la existencia o no de la infracción. En la segunda instancia el órgano competente será la Dirección General, órgano que agota la vía administrativa con su pronunciamiento.

7. Sanciones

Las infracciones a la normativa de datos personales se clasifican en leves, graves y muy graves. La calificación de la gravedad de la infracción determinará el rango de la multa aplicable, la cual en ningún caso puede exceder el 10% de los ingresos brutos anuales que hubiera percibido el infractor durante el ejercicio anterior, de la siguiente manera:

Infracciones leves: pueden conllevar multas entre 0,5 UIT hasta 5 UIT; Infracciones graves: pueden conllevar multas entre 5 UIT hasta 50 UIT; e, Infracciones muy graves: pueden conllevar multas entre 51 UIT hasta 100 UIT. Son infracciones leves, las siguientes:

Dar tratamiento a datos personales sin obtener el consentimiento del titular de los datos personales (salvo las excepciones previstas en la Ley).

No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales cuando legalmente proceda.

Obstruir el ejercicio de la función fiscalizadora de la Autoridad.

5 De acuerdo a los artículos 77 y 78 del Reglamento son objeto de inscripción: bancos de datos personales de administración pública y privada, (ii)

códigos de conducta, (iii) sanciones, medidas cautelares o correctivas impuestas por la DGPDP y; (iv) comunicaciones referidas al flujo transfronterizo de datos personales. El Reglamento destaca que la creación, modificación o cancelación de banco de datos personales son de inscripción obligatoria

6 La Tercera Disposición Complementaria y Transitoria del Reglamento ha previsto un plazo de 60 días (hábiles) desde la entrada en vigencia de dicha

norma para que la Dirección General de Protección de Datos Personales cree los formatos tipos necesarios para la tramitación de los procedimientos regulados en dicha norma. En ese sentido, la obligación de inscripción del banco de datos personales sería exigible a partir del 19 de junio próximo.

(7)

De otro lado, son infracciones graves, las siguientes:

Dar tratamiento a los datos personales contraviniendo los principios o disposiciones de la Ley o el Reglamento.

Incumplir la obligación de confidencialidad establecida en el artículo 17 de la Ley.

No atender, impedir u obstaculizar, en forma sistemática, el ejercicio de los derechos del titular de datos personales cuando legalmente proceda.

Obstruir, en forma sistemática, el ejercicio de la función fiscalizadora de la Autoridad. No inscribir el banco de datos personales en el Registro.

Finalmente, son infracciones muy graves, las siguientes:

Dar tratamiento a los datos personales contraviniendo los principios o disposiciones de la Ley o el Reglamento, cuando ello impida o atente contra el ejercicio de derechos fundamentales.

Crear, modificar, cancelar o mantener bancos de datos personales sin cumplir con lo establecido por la Ley o el Reglamento.

Suministrar documentos o información falsa o incompleta a la Autoridad.

No cesar en el tratamiento ilícito de datos personales, cuando exista un previo requerimiento por parte de la Autoridad para ello.

No inscribir el banco de datos personales en el Registro a pesar de existir un requerimiento por parte de la Autoridad.

8. Adecuación normativa y disposiciones transitorias

Como se ha explicado anteriormente, los bancos de datos personales creados con anterioridad a la entrada en vigencia de la Ley cuentan con un plazo de dos (2) años a partir del 8 de mayo del 2013 para adecuar su funcionamiento a las disposiciones de la normativa sobre datos personales.

A su turno, los bancos de datos personales creados con posterioridad a la vigencia de la Ley deberán cumplir con las disposiciones de la normativa sobre datos personales de manera inmediata.

La facultad sancionadora de la Dirección General se encuentra en suspenso hasta el vencimiento del plazo de adecuación referido anteriormente, únicamente respecto a los bancos creados con anterioridad a la vigencia de la Ley. Consecuentemente, se infiere que la facultad sancionadora no se encuentra suspendida respecto de los bancos de datos creados a partir de vigencia de esta norma.

Finalmente, ha de tenerse en cuenta que el Reglamento establece que la Dirección General creará los formatos tipo necesarios para la tramitación de los procedimientos regulados en dicha norma en un plazo que no excederá de sesenta (60) días hábiles de la entrada en vigencia del Reglamento, lo cual incluye los procedimientos de registro de bancos de datos personales.

* * *

Para cualquier aclaración o ampliación con relación al contenido del presente memorando, por favor contacte con el Dr. Carlos A. Patrón o con el Dr. Julio Reyes al 612-3202. Para obtener copia de la normativa comentada, por favor contacte al Sr. Paul Manrique a la siguiente dirección electrónica: [email protected].

Referencias

Descargar ahora ( PDF - 7 página - 220.39 KB )

Documento similar

Alumnado y grupos de Aprendizaje de Tareas por modelo lingüístico, red y municipio. Datos de matrícula para el curso 2016-2017.

[r]

Alumnado y grupos de Aprendizaje de Tareas por curso, modelo lingüístico y red. Datos de matrícula para el curso 2015-2016.

[r]

Centros educativos por nivel y red. Datos de matrícula para el curso 2016-2017.

SECUNDARIA COMPRENDE LOS

Alumnado y grupos de Educación de Personas Adultas por curso, modelo lingüístico y red. Datos de matrícula para el curso 2016-2017.

[r]

EL FUTURO DE LOS DATOS ABIERTOS

Asegurar una calidad mínima en los datos es una de las tareas más difíciles de conseguir para los organismos públicos cuyo objetivo es publicar datos lo más rápidamente posible

HOJA DE VIDA 1. - DATOS PERSONALES

Educación Gobernación del Valle del Cauca y la Universidad Santiago de Cali. Directora 2007 2008

Base de datos creada para el

En el caso de realizar una análisis estructural dinámico lineal de un edificio en particular, se necesita disponer de la información correspondiente a las dimensiones en planta y

Necessitats i tendències del Sector associa0u

[r]