El Ministerio de Justicia y Derechos Humanos (Minjusdh), a través de la Autoridad Nacional de Protección de Datos Personales (ANPD), impuso sanciones a diversas empresas e instituciones públicas durante el 2023 y el 2024 por obstruir los procesos de fiscalización previstos en la Ley de Protección de Datos Personales.
Estas sanciones responden a acciones que dificultan las tareas de supervisión de la ANPD, como no atender requerimientos informativos o retrasar el ingreso de los fiscalizadores a las instalaciones.
LEA TAMBIÉN: Sunafil: la carta y los 30 días para la fiscalización por Seguridad y Salud en el Trabajo
Base legal
La normativa de protección de datos personales establece que las empresas, en su condición de responsables del tratamiento de datos, tienen la obligación de colaborar con la ANPD y proporcionar la información solicitada para que la entidad pueda ejecutar sus labores de fiscalización.
El incumplimiento de esta obligación está considerado como una infracción administrativa y genera la imposición de multas, que varían en función de la gravedad de la infracción y del año en que se detecta la falta.
Entre el 2023 y el transcurso del 2024, se impusieron sanciones tanto a empresas privadas como a instituciones públicas por prácticas obstructivas. Las multas se calculan en función de la Unidad Impositiva Tributaria (UIT), cuyo valor para el año 2024 es de S/ 5,150.
Entre las infracciones recurrentes se encuentran la negativa a proporcionar información relacionada con posibles violaciones de datos personales y la solicitud excesiva de prórrogas para cumplir con los requerimientos de la ANPD.
El Minjusdh reiteró que los titulares de los bancos de datos personales están obligados a proporcionar todas las facilidades necesarias para la fiscalización, de acuerdo con lo estipulado en la Ley de Protección de Datos Personales y el Texto Único Ordenado de la Ley N.º 27444, Ley del Procedimiento Administrativo General.
LEA TAMBIÉN: Ciberataques: peligros que enfrentan los datos personales y cómo afrontarlos
Implementación
Bruno Mejía, Líder de Competencia y Mercados de EY Law, explicó que la legislación de protección de datos personales en el Perú se originó en julio del 2011, con la promulgación de su ley. Posteriormente, su reglamentación se dio en mayo del 2013.
El principal desafío para su implementación fue la falta de educación y apoyo a las empresas para entender y cumplir con estas normativas. Desde su vigencia, se establecieron obligaciones de colaboración para las entidades supervisadas.
A partir del 2015, el sistema de protección de datos complementó su implementación y la supervisión por parte de la autoridad se intensificó.
En enero del 2020, se emitió una directiva sobre el tratamiento de datos personales a través de sistemas de vigilancia, coincidiendo con la declaración de la emergencia sanitaria por la COVID-19.
“Durante la pandemia, el enfoque en la protección de datos, especialmente los relacionados con la salud, se volvió crucial. Esto resultó en un aumento en las labores de fiscalización y sanciones a empresas por incumplimientos, evidenciando la necesidad de mayor conciencia y cumplimiento en torno a estas normativas”, detalló el gerente de EY Law.
LEA TAMBIÉN: Tips para prevenir los robos por Bluesnarfing
Alcances de la obstrucción
Según Mejía, la obstrucción en la fiscalización se manifiesta, principalmente, cuando las empresas supervisadas no responden a los requerimientos de la autoridad de datos.
Una de las formas más comunes de obstrucción es simplemente no proporcionar una respuesta a las cartas enviadas por la Dirección de Fiscalización e Instrucción, donde se solicita información sobre el tratamiento de datos personales.
Además, como se mencionó anteriormente, las entidades suelen solicitar prórrogas para extender el tiempo de respuesta, pero a menudo no cumplen con entregar la información requerida dentro del nuevo plazo.
Otra forma utilizada por algunas empresas es cuestionar la competencia de la autoridad de datos, argumentando que no tienen la autoridad para realizar la solicitud. Este tipo de comportamiento tiene como objetivo evitar proporcionar la información solicitada, lo que puede resultar en sanciones por incumplimiento.
“En conjunto, estas acciones reflejan una falta de colaboración que pueden afectar la supervisión y el cumplimiento de la normativa de protección de datos”, mencionó.
LEA TAMBIÉN: Emprendedores: ¿Cómo proteger el valor de marca de tu negocio?
Mejía también explicó que, cuando la autoridad de datos enviaba un requerimiento, generalmente otorgaba un plazo de 10 días para que la empresa supervisada respondiera.
En algunos casos, las entidades podían solicitar prórrogas si requerían más tiempo para recopilar la información. Pero era fundamental que las empresas cumplieran, al menos, con parte de la solicitud en su respuesta inicial.
Ahora bien, si la autoridad aceptaba la respuesta y verificaba que se habían cumplido los requisitos, el proceso de fiscalización se cerraba y no se iniciaba un procedimiento sancionador.
Sin embargo, si la empresa no respondía adecuadamente, la fiscalización podía avanzar. En este contexto, la autoridad contaba con un plazo de 45 días hábiles para realizar sus actividades de fiscalización y recopilar todos los elementos probatorios necesarios.
LEA TAMBIÉN: Trabajadores de confianza: ¿es posible que se incorporen a sindicatos?
Te puede interesar leer:
- Rendimiento deficiente de un trabajador no siempre es causal de despido
- Impacto financiero de los casinos en línea en la economía española
- Worldcoin responde a acusaciones de violación de datos en Colombia
Abogado especialista encargado de Enfoque Legal en Diario Gestión - Actualmente, ocupa la posición de analista legal en el área de Economía en el Diario Gestión.
Comienza a destacar en el mundo empresarial recibiendo las noticias más exclusivas del día en tu bandeja Aquí. Si aún no tienes una cuenta, Regístrate gratis y sé parte de nuestra comunidad.
