Este viernes 8 de mayo vence los temidos plazos contenidos en la Primera y Segunda Disposiciones Complementarias Transitorias del Reglamento de la Ley de Protección de Datos Personales (Ley 29733). Como es sabido para dicha fecha todos los titulares de bancos de datos personales deben haber concluido la adecuación de sus bancos de datos a lo establecido en la Ley (en adelante, la “Ley”) y en el Reglamento (en adelante, el “Reglamento”). Del mismo modo, en dicha fecha culmina el plazo de suspensión de la facultad sancionadora de la Dirección General de Protección de Datos Personales del Ministerio de Justicia (en adelante, la “Autoridad”).
A continuación esbozamos algunas de las implicancias del vencimiento de estos plazos:
Registro de Banco de Datos
Aunque esta obligación estaba vigente desde que se promulgó la Ley, es decir desde Julio del 2011; muchas personas han venido entendiendo (equivocadamente) que los plazos mencionados precedentemente también eran aplicables al registro de bancos de datos. Por ello, si hasta ahora no has inscrito tus bancos de datos estás en riesgo de sanción.
¿En qué consiste esta obligación? En resumen, hay que presentar un formulario indicando las características del Banco de Datos en cuestión, como por ejemplo, que tipo de datos contiene, quien es el responsable del tratamiento, la existencia de datos sensibles, datos de contacto y dirección de la ventanilla ARCO, como se obtuvieron los datos, cual es la finalidad de su tratamiento y cuales son las medidas de seguridad implementadas para su protección.
Ventanilla ARCO
Los Titulares de Bancos de Datos deben poner a disposición de los Titulares de los Datos Personales un lugar donde podrán dirigirse los ciudadanos para ejercer los derechos de acceso, rectificación, cancelación y oposición de sus datos personales. Este lugar puede ser virtual, telefónico o presencial pero siempre es recomendable que la Ventanilla Arco tenga las mismas formas de acceso que los mecanismos utilizados para recoger datos.
Consentimientos
Los Titulares de los Bancos de Datos deben adecuar aquellos documentos contractuales utilizados para recoger consentimientos a lo establecido en la Ley y el Reglamento. Esto quiere decir que los nuevos textos deben ser claros acerca de cuales datos se van a recoger, para que se van a utilizar, si los datos serán transferidos y la información relativa a la Ventanilla ARCO. Estos consentimientos deben ser guardados en un lugar o utilizando un mecanismo que permita su adecuada seguridad y disponibilidad en caso sean necesitados.
Medidas de Seguridad
Los titulares de los Bancos de Datos, dependiendo de la categoría de los mismos (básico, simple, intermedio, complejo y crítico) deberán tomar las medidas de seguridad físicas y lógicas establecidas en la Directiva de Seguridad aprobada por la Autoridad. A manera de resumen podemos destacar las siguientes:
- Establecer una polìtica interna de protección de datos personales.
- Mantener la gobernabilidad completa de los procesos involucrados en el tratamiento de datos personales.
- Desarrollar un documento de confidencialidad para el personal encargado del tratamiento.
- Nombrar a un responsable de protección de datos.
- Desarrollar un programa de creación de conciencia y entrenamiento en la materia.
- Adecuar los procesos de negocios a los requisitos de la Ley.
- Mantener formatos de consentimiento adecuados.
- Adecuación de los contratos del personal encargado del tratamiento.
- Adecuación de los contratos con terceros.
- Utilizar mecanismos de control de acceso y registro de actividades en los sistemas informáticos usados para el tratamiento de los datos personales.
¿Qué sucede si no he hecho nada de esto? Pues bueno, te recomendamos que lo hagas de inmediato pues de lo contrario te expones a sanciones que van desde 0,5 UIT hasta 5 UIT para el caso de las infracciones leves; desde 5UIT hasta 50UIT para las infracciones graves y desde 50UIT hasta 100UIT para las infracciones muy graves.