El acelerado crecimiento de la digitalización y penetración de nuevas tecnologías son hechos que no se pueden ignorar y que requieren de ciertas medidas para reforzar la seguridad cibernética.
En ese sentido, las empresas deben establecer una estrategia integral a fin de estar mejor preparadas ante posibles ataques, pero también para proteger la información de los usuarios.
De acuerdo con información de la Autoridad Nacional de Protección de Datos Personales (ANPD), el año pasado se fiscalizó a 336 entidades y se iniciaron 132 procedimientos sancionadores por infringir la protección de datos personales.
LEA TAMBIÉN: Verificación de identidad de clientes de bancos: las prácticas en seguridad que usan con biometría
Las multas impuestas durante ese año ascendieron a más de S/ 7.6 millones. No obstante, solo se recaudaron S/ 2′756,695, ya que las empresas multadas suelen acogerse al beneficio de reducción del 40% por pronto pago.
Bruno Mejía, gerente de EY Law, explicó que los datos personales comprenden todo un abanico de opciones que van desde la propia información personal de trabajadores, clientes, proveedores y, en general, de terceros, hasta el registro de imágenes en cámaras de videovigilancia.
“Cabe señalar que la ANPDP toma como base dos aspectos para iniciar sus fiscalizaciones: (i) antecedentes o casos previos en el sector donde opera la empresa fiscalizada y (ii) publicaciones sobre la materia en redes sociales o noticias en diversos medios de comunicación”, anotó.
LEA TAMBIÉN: Osiptel: ¿Cómo proteger mis datos personales ante un posible robo de celular?
Las empresas más sancionadas
Mejía indicó que las empresas que más incurren en estas prácticas negativas pertenecen, principalmente, a los sectores financiero, de telecomunicaciones y educativo.
“El modelo de negocio (de estos segmentos) implica el tratamiento masivo de datos personales y, por tanto, están más propensos a incurrir en brechas de cumplimiento de la normativa de protección de datos personales”, precisó.
Por su parte, Verónica Vergaray, directora de Philippi Prietocarrizosa Ferrero DU & Uría (PPU), coincidió en que las organizaciones con mayor incidencia en incumplir la normativa sobre protección de datos son las del sector financiero y telecomunicaciones.
“Consideramos que esto se debería a que son empresas que manejan datos personales de forma masiva como parte de sus operaciones, así como prácticas agresivas de promoción y marketing para la captación de clientes, siendo que en la trayectoria del flujo de datos podría haber quiebres en el cumplimiento de la normativa”, sostuvo.
LEA TAMBIÉN: Sentencias y resoluciones laborales que impactarán en el 2024
Gravedad de casos
Bruno Mejía mencionó que las principales infracciones tipificadas como muy graves por la normativa son las siguientes: (i) Recopilar datos personales por medios ilícitos, desleales o fraudulentos, (ii) No cumplir con una medida correctiva ordenada, en el marco de un procedimiento trilateral de tutela, por la ANPDP y (iii) Suministrar documentos o información falsa a la ANPDP.
“Las multas para estas infracciones muy graves son desde 50 UIT (S/ 257,500) hasta 100 UIT (S/ 515,000)”, apuntó.
Verónica Vergaray dijo que otros de los casos de mayor gravedad son (i) obstruir el ejercicio de la función fiscalizadora de la ANPDP; (ii) realizar tratamiento de datos incumpliendo medidas de seguridad y confidencialidad; y, (iii) tratar datos sin obtener el consentimiento del titular.
“El promedio de multas para cada infracción es de 10 UIT, 18 UIT y 20 UIT, respectivamente. Adicionalmente, la ANPDP puede ordene medidas correctivas con el fin de corregir o revertir los efectos de la conducta infractora”, destacó.
LEA TAMBIÉN: Osiptel y el acceso a datos de usuarios: posturas frente a proyecto de ley
Proceso sancionador
Mejía indicó que La ANPDP puede iniciar un procedimiento sancionador a partir de dos situaciones: (i) de oficio, a partir de una fiscalización realizada por la Dirección de Fiscalización e Instrucción (DFI) y (ii) de parte, a partir de una denuncia formulada por el titular del dato personal afectado.
En ambos casos, la entidad puede realizar requerimientos de información complementarios, a efectos de determinar la responsabilidad o no de la empresa emplazada.
Por su lado, Verónica Vergaray sostuvo que en el caso que la ANPDP detecte una posible infracción por parte de un responsable de tratamiento de datos personales esta iniciará de oficio el procedimiento de fiscalización en la cual se podrán realizar requerimientos de información, auditorías y visitas.
“Este procedimiento tendrá una duración máxima de 90 días, el concluirá con el informe que se pronuncie sobre la existencia de elementos que sostenga o no, la presunta comisión de infracciones”, añadió.
Como consecuencia de la conclusión del informe, la Dirección de Sanciones podrá iniciar un procedimiento administrativo sancionador con el fin de determinar la existencia de la infracción y, de ser el caso, la imposición multas y medidas correctivas.
Contra la resolución que resuelve el procedimiento sancionador proceden los recursos de reconsideración o apelación dentro de los 15 días de notificada la resolución al administrado.
Licenciado en Comunicación y Periodismo en la Universidad Peruana de Ciencias Aplicadas (UPC). Con cinco años de experiencia en prensa escrita y digital. Actualmente, se desempeña como redactor en Diario Gestión.
Comienza a destacar en el mundo empresarial recibiendo las noticias más exclusivas del día en tu bandeja Aquí. Si aún no tienes una cuenta, Regístrate gratis y sé parte de nuestra comunidad.
