:quality(75)/blogs.gestion.pe/agenda-legal/wp-content/uploads/sites/147/2019/10/agenda_legal.png)
Nueva regulación en materia de Protección de Datos Personales
Elaborado por: Crosbby Buleje, asociado principal del Estudio Echecopar, asociado a Baker & McKenzie International.
A partir del 30 de marzo de 2025, entrará en vigencia el nuevo Reglamento de la Ley de Protección de Datos Personales. El Reglamento ampliará las obligaciones ya establecidas por la Ley, y será aplicable a partir de dicha fecha, lo que requiere que las empresas y organizaciones ajusten sus prácticas para cumplir con los nuevos requisitos normativos.
¿A quiénes aplica la normativa de protección de datos personales?
Las obligaciones de la Ley aplican a todas las empresas que procesen datos personales en Perú. Por ejemplo, el manejo de información de planillas, datos de clientes, personas naturales o la implementación de sistemas de videovigilancia activan la aplicación de la Ley y el Reglamento.
El Reglamento amplía el ámbito de aplicación de la Ley, incorporando criterios específicos que permiten extender sus obligaciones a entidades extranjeras. En este sentido, se aplicará tanto a entidades locales como a aquellas que traten datos personales fuera del territorio peruano, siempre que realicen actividades relacionadas con la oferta de bienes o servicios a personas en el Perú o analicen el comportamiento de estas (perfilamiento)
¿Qué novedades trae consigo el Reglamento en cuanto al tratamiento de datos con fines de marketing?
El Reglamento permite que las compañías obtengan el consentimiento para fines publicitarios durante el primer contacto con el titular de los datos, bajo determinadas circunstancias. Esto busca equilibrar las necesidades de las empresas de realizar actividades de marketing con la protección de los derechos de los titulares de datos personales, asegurando que el consentimiento sea informado y voluntario.
Sin perjuicio de ello, el Reglamento establece que se debe informar a la persona sobre la fuente de recopilación de su información cuando lo solicite. Esto asegura que las personas estén al tanto de cómo se obtuvieron sus datos, promoviendo mayor transparencia.
¿Qué novedades hay en materia de incidentes de seguridad?
El Reglamento define a los incidentes de seguridad como cualquier vulneración que ocasione la destrucción, pérdida, alteración ilícita, o exposición no autorizada de datos personales.
Asimismo, establece que los incidentes deben ser notificados a la Autoridad Nacional de Protección de Datos Personales y al titular de los datos afectados dentro de las 48 horas de haber tomado conocimiento.
Finalmente, señala que es obligatorio documentar cualquier incidente de seguridad, incluyendo los hechos relacionados con el mismo, los efectos y las medidas adoptadas para mitigar el incidente.
¿Deben las compañías designar un Oficial de Cumplimiento de Datos Personales?
Sí, deben designar un Oficial de Cumplimiento de Datos Personales cuando manejen grandes volúmenes de datos personales, datos sensibles o cuando sus actividades principales incluyan el tratamiento de estos datos. Su designación debe comunicarse a la Autoridad.
Un grupo empresarial puede nombrar un único Oficial de Cumplimiento de Datos Personales para todas sus entidades, siempre que se asegure una adecuada supervisión y cumplimiento en todas ellas.
Las obligaciones relacionadas con la designación del Oficial de Cumplimiento de Datos Personales entrarán en vigencia progresivamente a partir del 30 de noviembre de 2025, en base a las ventas anuales de la empresa
¿Qué nuevas medidas de seguridad se deben implementar?
Sí, las obligaciones del Reglamento son más rigurosas que el anterior texto.
Ello, debido a que brinda mayor detalle y amplía el conjunto de medidas técnicas mínimas que se deben adoptar para proteger la confidencialidad y seguridad de los datos personales. Por ejemplo, las empresas deben documentar e implementar medidas para el control de acceso, monitoreo y revisión periódica de la seguridad, y capacitación del personal. También deben generar y mantener registros de interacción y evitar copias no autorizadas.
Además, se requiere un Documento de Seguridad aprobado formalmente, y se establecen obligaciones para la conservación, respaldo y recuperación de información, así como para el almacenamiento y transferencia de datos en ambientes físicos, entre otros aspectos.