El Perú se suma a los países americanos que se sitúan a la vanguardia en cuanto a legislación en materia de protección de datos y seguridad digital
Este sábado 30 de noviembre se publicó, en el diario oficial El Peruano, el Decreto Supremo 016-2024-JUS que aprueba el nuevo Reglamento de la Ley 29733, Ley de Protección de Datos Personales, una norma impulsada por el Ministerio de Justicia y Derechos Humanos (MINJUSDH) desde la Dirección General que ejerce la Autoridad Nacional de Protección de Datos Personales (ANPD).
“Es un reglamento que trae una profunda actualización de la normativa peruana de protección de datos personales y que potenciará la defensa de estos en los escenarios siempre cambiantes de la era digital”, afirmó Eduardo Luna, Director General.
En efecto, el Reglamento explicita la idea de la Evaluación de impacto como mecanismo preventivo que puede aplicar todo aquel que haga tratamiento de datos personales, esto es, ser diligente en planear escenarios de riesgo y adoptar anticipadamente las medidas de seguridad que corresponda. Esta figura, junto con la implementación de los Códigos de conducta y el reporte oportuno de incidentes de seguridad que impliquen datos personales, 48 horas en principio (salvo que hubiere motivos fundados que expliquen la dilación) viene a reforzar la protección de los derechos y puede tener un impacto positivo en las entidades y empresas que los adopten, puesto que tendrán un efecto reducidor de multas administrativas, al ser atenuantes de responsabilidad en el nuevo esquema.
Sobre seguridad, el nuevo reglamento exhibe una actualización con las normas ISO más recientes, destaca entre ellas, la NTP-ISO/IEC 27001 sobre tecnologías de información. Asimismo, impone la obligación de informar a los afectados en sus derechos sobre el nivel de exposición de sus datos, frente a una brecha de seguridad y siempre a la ANPD. Además, se extiende la figura del Oficial de Datos Personales, que deberá designarse de modo progresivo en un calendario de 4 años, para todos aquellos que hagan tratamiento de grandes volúmenes de datos o traten datos sensibles como actividad principal o giro de negocio (datos de salud, biométricos, afiliación sindical, datos neuronales, entre otros). Es decir, crecerá una comunidad de actores públicos y privados sensibles a estas materias y que predicarán a la interna de las organizaciones esta idea de la protección de los derechos.
De la misma manera, se amplía el entendimiento de algunos derechos, con el reconocimiento de la Portabilidad, como una manifestación del derecho de acceso a los datos personales. Lo que podrá suponer, siempre que las posibilidades tecnológicas así lo permitan y no demande costos irrazonables en su implementación, el acceso y traslado de los datos a otro responsable o titular de bancos de datos personales. Esto dinamizará el mercado y generará competencia a una escala mayor a la existente.
En cuanto al nivel de protección de derechos, este se perfecciona con algunas explicitaciones para niños, niñas y adolescentes. Por ejemplo, para mayores de 14 años que pueden prestar su consentimiento para el uso de datos para ciertas plataformas y juegos en línea, se remarca ahora la necesidad de políticas de privacidad en un lenguaje adaptado y sencillo para recabar dicho consentimiento. También, se adopta la fórmula de los esfuerzos razonables, teniendo en cuenta la tecnología disponible, como ya ocurre en otros países, para identificar a sus usuarios en términos de edad, de tal manera que se asegure un contenido apropiado para ellos. Incluso, se establece también una prohibición para recabar a través de ellos información socioeconómica de los padres o tutores.
Es así como, el reglamento da ahora más flexibilidad a las empresas que tratan datos personales para cumplir con la legislación peruana. Puesto que, se supera, como ya hace mucho en otros países, el criterio de la territorialidad. Es importante resaltar que la protección del dato debe viajar con el dato; más aún si el destino de la oferta de bienes y servicios está dirigida a un público peruano. Por lo tanto, deben haber políticas de privacidad y en ellas informarse del representante de la organización dedicado a garantizar el cumplimiento de las exigencias de la ley peruana, no teniendo que estar necesariamente domiciliado en el país ni ser exclusivo para él, pero sí tiene que ser un punto de contacto efectivo para la ANPD y para la ciudadanía en la atención de sus derechos y ante la eventualidad de un procedimiento administrativo.
Se modula la potestad sancionadora en varios tipos de infractores, se simplifica y hace gratuito el procedimiento para la inscripción, modificación y cancelación de bancos de datos personales ante el registro que administra la ANPD, puesto que ahora serán de aprobación automática.
Por último, se trata de un reglamento que actualiza al Perú en estas materias que ha sido ampliamente discutido, ya que ha recogido lo pertinente de más de 800 observaciones y propuestas de más de 50 entidades observantes, siendo prepublicada en su primera versión y que ha pasado con solvencia los exámenes de calidad regulatoria y las observaciones de todos los sectores del Poder Ejecutivo. Un reglamento para estos tiempos.
De esta manera, el Perú se suma a los países americanos que se sitúan a la vanguardia en cuanto a legislación en materia de protección de datos y seguridad digital.