:quality(75)/arc-anglerfish-arc2-prod-elcomercio.s3.amazonaws.com/public/FXLQX5LFSJCSBEJQJFDCMEOBJQ.jpg)
MIGUEL ALONSO JUAPE PINTOmiguel.juape@diariogestion.com.pe
ENTREVISTAÓscar Montezuma, socio de Montezuma & Panez Consultores Legales
La Ley de protección de datos personales, Ley N° 29733, entró en vigencia el 8 de mayo del 2013, su implementación está provocando una serie de interrogantes en las empresas, Gestión conversó con el experto Óscar Montezuma sobre sus alcances.
¿Quiénes están obligados a cumplir con la ley?Todo tipo de empresa que maneja base de datos, empresas de medios y comunicaciones, profesionales independientes (peridoistas, abogados), clubes, colegios, centros comerciales, bancos, call center, los empleadores respecto del registro de ingreso de sus trabajadores y similares. También las empresas extranjeras que manejen información de datos del Perú.
¿Una agenda elecutiva puede ser una base de datos con la nueva ley?Sí, así sea física o electrónica ( Excel) donde tengo la información organizada por ejemplo por columnas nombre, dirección, telefono; y no se trata de un uso exclusivo privado o familiar.
¿Cómo se trata estainformación? Se debe registrar la base de datos de manera general, ante la Autoridad Nacional de Datos Personales (ANDP).
¿Qué información se entrega a la ANDP?Solo se entrega un formulario donde señala que maneja una base de datos. No se entrega el detalle de esta información.
¿Cuáles son las obligaciones de quienes manejen este tipo de base de datos? Además del registro, se debe buscar el consentimiento o autorización previa y expreso de la persona de la que se tiene la información; y en segundo lugar, contar con las medidas de seguridad (de tratamiento y protección de la base de datos). Existen dos años de adecuación, a la norma pero solo aplica para la segunda obligación.
¿Cómo se debe pedir laautorización? Con una grabación, e-mail o cualquier mecanismo que pruebe la autorización expresa.
¿No se existe un consentimiento que se presuma?No, la ley ha optado por una autorización expresa (no tácito). Sin embargo, cuando se trate de la ejecución de una relación contractual no se tiene que pedir la autorización, por ejemplo, trabajadores y similares.
¿Cuáles son las sanciones que prevé la norma?Cualquier persona afectada cuya información se encuentre en una base de datos sin autorización (infracción leve) o no la registre (infracción grave) podrá ser sancionada, la máxima sanción llega a 100 UIT (S/. 370 mil).
¿Desde qué fecha se debe pedir la autorización de los titulares de datos personales, incluso antes de la vigencia de la ley?Sí, ya que existe una obligación de adecuar las bases de datos, es decir, se debe solicitar el consentimiento o autorización expresa de los titulares de los datos personales que tenga la empresa.
¿Qué ocurre con una empresa que tiene una base de datos a la vigencia de la ley y la sigue alimentando de información? En ese caso las empresas tendrán información adecuada y no adecuada, pero deberán solicitar la autorización por toda la base de datos. Lo mejor sería crear una base de datos nueva.
¿Cómo deben tratar las empresas la obligación de registro de sus bases de datos?En el periodo de adecuación no habrá sanciones pero si puede ocurrir una fiscalización, ya que la obligación de registro rige desde mayo del 2013.
¿Quién está obligado aregistrar? La empresa o personas naturales que crean bancos de datos, listas de contactos empresariales, y similares, con fines no privados o familiares.
¿La ley qué tipo de datos se protege? Cualquier dato personal que se utilice de una persona que represente a una persona jurídica, no están protegidos, lo cual no parece lógico porque sigue siendo un dato personal.
¿Cuál sería un dato de la empresa?Por ejemplo, RUC, domicilio, teléfono y otros similares.
¿Qué ocurre con la información de acceso público?Una base de datos es el tratamiento incluso con información que es pública. Por ejemplo, la Reniec es una fuente de información pública pero solo para consulta (acceso), lo que no se puede hacer es extraer esa información y construir una propia base de datos o combinarla con otras fuentes públicas (redes sociales y otros), sin el permiso previo y expreso de las personas titulares.
¿Qué ocurre cuando se hace entrega de información internacional de datos personales?Se tiene dos opciones, o se hace entrega de la información a la Autoridad o se solicita una opinión previa de esta, para hacer conocer que has transferido información al extranjero.
¿Y si las empresas que realizan transacciones lo hacen únicamente vía internet? En el caso de las empresas de Internet que capten datos la ley establece la obligación de tener una política en línea para informar al usuario qué se hace con su información y transparencia para fomentar el comercio electrónico.
¿Será sancionada incluso si la empresa es extranjera? Sí, siempre que exista una información de peruanos.
¿Cuáles son los beneficios? Los países que tienen esta regulación sobre datos personales se consideran destinos seguros. Según la Unión Europea en Latinoamérica los son Argentina y Uruguay, con esta ley podríamos ser considerados destino seguro.
¿Para qué se recopila este tipo de registro? Cuando acabe el plazo de adecuación en el 2015 lo que hará la ANDP con el registro de las bases de datos que se haya reportado, solicitar su adecuación. Es un plazo previo, para luego fiscalizar.
OTROSÍ DIGOCambios que habrían en la ley a futuroDerecho al olvido. Es un cambio que se viene discutiendo en Europa y se origina por el caso de una persona cuya condena a cárcel se encontró en el perfil público de Internet, señaló que esa información afectaba su reinserción social, por lo que solicitó que se borre dicha información. Ahora se discute el derecho al olvido o amnesia digital, pero sería difícil de llevar a cabo.
HOJA DE VIDAEdad:35 años.Cargo actual: Socio de Montezuma & Panez Consultores Legales.Educación: Abogado por la Pontificia Universidad Católica del Perú. Maestría en Derecho de la Propiedad Intelectual y Tecnología en The George Washington University.
