El ABC de la protección de datos personales (data privacy)
Las empresas permanentemente nos preguntan sobre la regulación de la protección de datos personales (data privacy) ¿Qué exigencias les aplican? ¿Qué obligaciones deben cumplir en relación con la información vinculada a la intimidad personal y/o familiar de sus clientes, colaboradores, proveedores y otras personas relacionadas con su actividad? Aquí una síntesis:
A.- ¿Cuál es el objetivo de la protección de datos personales?
La vigente Ley de Protección de Datos Personales – Ley 29733 tiene por objeto garantizar el derecho fundamental de las personas a la protección de su privacidad, para lo cual prescribe que el tratamiento de sus datos personales sea proporcional y seguro, de acuerdo con finalidades consentidas por tales personas o habilitadas por ley, previniendo así que tales datos sean objeto de tráfico y/o uso ilícito.
Esta legislación establece obligaciones sobre las empresas para que aseguren un adecuado tratamiento de los datos personales de sus clientes, proveedores, trabajadores y otras personas vinculadas a su actividad. Asimismo, esta legislación y su reglamentación reconocen los derechos de las personas a quienes pertenecen dichos datos.
B.- ¿Cuáles son las principales obligaciones para una empresa?
Las principales obligaciones para cumplir con la protección de datos personales son las siguientes:
- Inscribir ante la Autoridad los Bancos de Datos Personales (BDP) que posean: De acuerdo con la definición de la Ley, un BDP es todo conjunto organizado de información de personas naturales. Esta información puede encontrarse almacenada en soportes automatizados (tales como documentos en Word, Excel, PDF e, incluso, en imágenes, audios o audiovisuales, registrados en ordenadores o servidores de la empresa, plataformas electrónicas, archivos en la nube, etcétera); o, en soportes no automatizados (tales como files y archivadores físicos, documentos impresos de facturación, legajos de trabajadores, etcétera).
Es muy importante tener en cuenta que, para cumplir efectivamente con esta obligación, resulta necesario analizar todas las áreas de la empresa para identificar la información de carácter personal que manejan. Ello, con el objeto de identificar todos los BDP existentes. Pese a ello, en la práctica, muchas empresas solo se limitan a inscribir los BDP de trabajadores, clientes y proveedores, sin tomar en cuenta, entre otros, los datos personales que se toman y almacenan del registro de visitas a las diferentes sedes de la empresa, de la filmación de las cámaras de video vigilancia, de las grabaciones telefónicas, de los registros biométricos y de las listas de postulantes a determinadas posiciones, entre otros. Estos BDP y otros similares también deben inscribirse ante la Autoridad Nacional de Protección de Datos Personales (que es la Dirección de Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos).
Para inscribir un BDP se debe presentar un formulario ante dicha Autoridad consignando sus características, la naturaleza de los datos recopilados, las finalidades de su tratamiento y la transferencia que sobre dichos datos pueda realizarse, entre otros. No se comparte con la Autoridad el contenido de los BDP ni se inscriben los datos personales que la empresa tenga en su poder, sino las características y uso de los BDP que administra. El procedimiento de inscripción toma 30 días hábiles.
- Obtener un consentimiento informado de los titulares de los datos personales: Este consentimiento es una autorización -debidamente informada- del titular de los datos personales para que la empresa pueda darles tratamiento. Dicho consentimiento debe cumplir con ser libre, en oposición a condicionado; previo, es decir con anterioridad al tratamiento; expreso, en oposición a tácito; e, inequívoco, es decir que resulte indubitable.
En el cumplimiento de esta obligación es donde las empresas muestran mayores dudas y cometen errores frecuentes que resultan sancionados por la Autoridad. Los consentimientos informados no pueden ser genéricos sino, por el contrario, deben comunicar todos los tratamientos de los datos personales que realizará la empresa. Por ejemplo, debiera indicar específicamente a quiénes se transfiere o se comparte la información (de ser el caso), precisar si se utilizarán los datos para remitir publicidad y expresar un plazo determinado de almacenamiento, entre otros.
Debe precisarse que no resulta exigible un consentimiento informado de los titulares de los datos personales cuando la empresa requiera dar tratamiento a sus datos en cumplimiento de una normal u obligación legal; y, para la preparación y/o ejecución de una relación contractual en la que el titular es parte, entre otras excepciones expresamente previstas en la Ley 29733.
- Aplicar medidas de seguridad que sean idóneas y eficaces: Las empresas que posean BDP deben adoptar medidas técnicas, organizativas y legales con el objeto de evitar la posible filtración o sustracción de los datos personales.
Algunas de estas medidas incluyen el establecimiento de protocolos de seguridad técnica sobre archivos en soportes automatizados y no automatizados, la elaboración de políticas de privacidad, manuales organizativos que asignen cuidados y responsabilidades en el tratamiento de los datos personales, compromisos de confidencialidad y cláusulas contractuales, entre otras.
- Establecer un procedimiento de atención de los derechos de las personas naturales: Toda empresa que posea un BDP debe asegurar que las personas naturales puedan ejercer los siguientes derechos:
- Acceso.- toda persona puede requerir el acceso a la información que de ella tiene la empresa, así como solicitar información sobre la finalidad para la cual sus datos fueron recopilados, las razones que motivaron su recopilación y las transferencias realizadas o que se prevén realizar de dichos datos a un tercero
- Rectificación.- toda persona puede pedir que modifiquen los datos contenidos en el BDP, en caso se pruebe la inexactitud o si estos son incompletos, erróneos o falsos.
- Cancelación.- toda persona puede pedir la supresión de sus datos personales cuando hayan dejado de ser necesarios o pertinentes en relación con las finalidades para la cual hayan sido recopilados.
- Oposición.- toda persona puede pedir la supresión de sus datos cuando estos se hayan recopilado sin un consentimiento expreso.
5.- Comunicar el flujo transfronterizo: Cuando la empresa que posee un BDP transfiere datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, debe informar el nombre y la ubicación de ese destinatario. Por ejemplo, debe informar la transferencia de datos a una empresa del mismo grupo en el exterior; o, a una empresa que le brinda los servicios cloud computing (host y almacenamiento), entre otras circunstancias similares.
C.- ¿Cuáles son las consecuencias de incumplir con estas obligaciones?
La legislación que exige un adecuado tratamiento de los datos personales de los clientes, proveedores, colaboradores, trabajadores y otras personas vinculadas a la actividad de una empresa, no es nueva. Es obligatoria desde hace más de 2 años y todo lo antes indicado se viene exigiendo efectivamente. Sin embargo, a la fecha, lamentablemente, la Autoridad Nacional de Protección de Datos Personales viene sancionando a más de 70 empresas por el incumplimiento de las obligaciones antes detalladas, por montos que sumados ascienden aproximadamente a 2 millones de soles (cada multa pueden llegar hasta 100 UIT).
Si una empresa no está adecuada a la regulación de protección de datos personales resulta urgente que realice su adecuación.
Nota: gracias al señor David Chong y al señor Raúl Alosilla por sus valiosas contribuciones al presente post.