El impacto laboral del Nuevo Reglamento de Protección de Datos Personales

Recientemente, se publicó el esperado Reglamento de la Ley de Datos Personales, aprobado por el Decreto Supremo No. 016-2024-JUS. Este reglamento introduce cambios importantes respecto de las obligaciones, requisitos y sanciones que tienen las empresas en el tratamiento de datos personales. En atención a ello, analizaremos algunas de las principales modificaciones, las cuales tendrán un impacto para las empresas desde el entorno laboral, y se presentarán recomendaciones para la adaptación a estos cambios.

LEA TAMBIÉN: Beneficios tributarios: Propósito y oportunidades

Oficial de Datos Personales

En primer lugar, destaca la nueva obligación de designar a un Oficial de Datos Personales. Esta obligación es aplicable para las empresas que traten grandes volúmenes de datos personales, que puedan afectar a un gran número de personas o que manejen datos sensibles. El reglamento detalla las funciones mínimas que debe desempeñar el Oficial de Datos Personales, entre las que se incluyen informar y asesorar sobre las obligaciones en materia de protección de datos, verificar su cumplimiento, cooperar con la Autoridad Nacional de Protección de Datos Personales, en adelante ANPDP, y actuar como punto de contacto.

LEA TAMBIÉN: Autoridades que (ab)usan del poder

Desde el ámbito laboral, como indica el artículo 38 del nuevo reglamento, las empresas tienen las siguientes opciones para cumplir con esta obligación: (i) contratar a un nuevo trabajador para desempeñar este cargo, (ii) designar a un trabajador actual de la empresa para que realice estas funciones, o (iii) contratar a una persona externa para cumplir con esta labor.

En todos los casos, la empresa deberá asegurarse de que la persona designada cuente con la capacitación suficiente en materia de protección de datos personales para que pueda realizar las funciones descritas adecuadamente. La falta de designación de un Oficial de Datos Personales, cuando corresponda, podría resultar en la imposición de una infracción leve por parte de la ANDPD, la cual puede ser de hasta dos UIT, lo cual equivale actualmente a S/10,300.

LEA TAMBIÉN: Hay espacio para el optimismo

Incidentes de seguridad

En segundo lugar, el nuevo reglamento también introduce la obligación de notificar incidentes de seguridad. Las empresas deberán notificar a la ANDPD dentro de las 48 horas posteriores a la detección de un incidente de seguridad. Esta obligación representa un cambio significativo en la gestión de la seguridad de los datos.

Para cumplir con dicha obligación, las empresas deberán establecer protocolos de seguridad y procedimientos de respuesta rápida para incidentes. Además, es necesario capacitar a los empleados sobre la importancia de la seguridad de los datos y los procedimientos a seguir en caso de incidentes. No nos olvidemos que la mayoría de los incidentes de seguridad se producen por errores humanos. La implementación de estos protocolos y la capacitación de los trabajadores requerirán un esfuerzo continuo por parte de las empresas para garantizar la seguridad de los datos personales.

LEA TAMBIÉN: Obras por impuestos: ¿Oportunidad empresarial?

El incumplimiento de esta obligación podría resultar en la imposición de una multa grave por parte de la ANPDP, la cual puede oscilar entre dos y seis UIT, es decir, desde S/10,300 hasta S/30,900.

Portabilidad de datos personales

En tercer lugar, el nuevo reglamento introduce el derecho a la portabilidad de datos personales, considerado como una manifestación del derecho de acceso. Este derecho permite que las personas puedan solicitar todos los datos personales que le han proporcionado a la empresa sobre sí mismo, los cuales deben ser entregados en un formato estructurado, de uso común y de lectura mecánica.

¿Podría un empleado que cambia de trabajo solicitar a su ex empleador actual que le proporcione sus datos personales en un formato portátil para ser entregado a su nuevo empleador?

El derecho a la portabilidad de los datos personales es una herramienta poderosa para los empleados en el contexto laboral. Les permite tener un mayor control sobre sus datos personales y facilita la transición entre empleos. Sin embargo, es crucial que tanto empleadores como empleados comprendan las limitaciones y responsabilidades asociadas con este derecho para garantizar su correcta aplicación.

LEA TAMBIÉN: ¿Es necesario estar colegiado para trabajar?

Para cumplir con esta nueva obligación, las empresas deberán actualizar los mecanismos que tenían para responder las solicitudes de los titulares de datos personales para ejercer sus derechos ARCO. Esto puede requerir la actualización de las políticas actuales y que se realicen nuevas capacitaciones para el personal encargado de responder estas solicitudes, a fin de asegurar que se respondan adecuadamente y dentro del corto plazo establecido en el reglamento. De lo contrario, en caso se atienda de manera tardía estas solicitudes, las empresas podrían estar expuestas a la imposición de infracciones.

En líneas generales, las empresas tendrán que adecuarse a esta nueva normativa para garantizar su cumplimiento y promover una cultura de confianza en la gestión de los datos personales. Las áreas de recursos humanos que manejan un gran volumen de datos de los trabajadores tienen un rol fundamental en esta importante tarea.

LEA TAMBIÉN: Érase una vez un gran país sudamericano

Por ello, es recomendable que, a partir de estas modificaciones, las empresas actualicen sus políticas de privacidad, y capaciten a sus empleados en la cultura de la confianza y protección de los datos gestionados en la empresa, especialmente a aquellos encargados del cumplimiento de las obligaciones en materia de datos personales, con el fin de proteger este derecho fundamental y evitar contingencias tales como la imposición de multas y demandas judiciales por daños ocasionados por el tratamiento inadecuado de los datos personales.