:quality(75)/arc-anglerfish-arc2-prod-elcomercio.s3.amazonaws.com/public/OHIYJBSDYFFL5IE26VIYL3P6U4.jpg)
Gestión conversó con Daniel Flores Consiglieri, asociado del estudio Pizarro, Botto & Escobar, sobre los principales aspectos de la regulación de protección de datos personales, y recogimos sus consideraciones y recomendaciones.
¿Cuál es el objeto de la normativa en materia de protección de datos personales?La Ley de Protección de Datos Personales (LPDP), tiene como objeto garantizar el derecho fundamental a los datos personales realizando un adecuado tratamiento a los mismos. Ello implica el respeto a los derechos fundamentales reconocidos por nuestra Constitución Política, así como aquellas normas contempladas en la LPDP y su reglamento.
¿Para quiénes aplica?Las normas de manera general establecen que son de aplicación a los datos personales contenidos (o destinados a ser contenidos) en bancos de datos personales cuyo tratamiento se realice en el Perú, entendiéndose por "datos personales" a toda información sobre una persona natural que la identifica o la hace identificable y a "bancos de datos personales" como el conjunto organizado de datos personales, independientemente del soporte y cualquiera sea la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.
¿Todos los datos personales están sujetos a la LPDP y su reglamento?Solo los datos personales que identifican o hacen identificables a personas naturales. Ello quiere decir que el registro e información que se pueda tener sobre personas jurídicas, no se encuentra sujeta a esta normativa.
¿Y qué ocurre cuando se trata de datos personales de personas naturales con negocio (RUC)? ¿Este supuesto también está excluido de la aplicación de la LPDP y su reglamento?Si bien una persona natural pueda actuar en una actividad económica con su propio número de RUC no renuncia a su condición de "persona natural" ni a sus derechos; y en ese sentido, al no haber excepción ni en la LPDP ni su reglamento, una persona natural con negocio se encuentra bajo el ámbito de protección de dichas normas.
¿Qué obligaciones prácticas imponen las normas en materia de protección de datos personales?Dentro de las principales obligaciones de los titulares de los bancos de datos personales están: efectuar el tratamiento solo previo consentimiento del titular de los datos personales (salvo las excepciones); recopilar datos personales que sean actualizados, necesarios, pertinentes y adecuados, con relación a finalidades determinadas, explícitas y lícitas; almacenar los datos personales de manera que se posibilite el ejercicio de los derechos de su titular; tramitar la inscripción ante el Registro Nacional de Protección de Datos Personales (RNPDP) en caso se creen, modifiquen o cancelen bancos de datos personales; y, guardar confidencialidad de los datos personales respecto de los que se realice el tratamiento.
¿La inscripción de los bancos de datos en el RNPDP implica un traslado de la información contenida en los mismos? No, es importante precisar que la inscripción en el RNPDP no implica una divulgación de la información contenida en los bancos de datos personales materia de inscripción, sino que consiste en manifestar la existencia de los bancos de datos personales y la información que se contiene en ellos (los datos que son recopilados, la finalidad, entre otros).
Lo recomendable es que la inscripción de los bancos de datos personales en el RNPDP debería hacerse de forma previa a la recopilación y tratamiento de los datos. Sin embargo, si se trata de un banco de datos preexistente que pretende adecuarse a la normativa, debe quedar claro que la inscripción en el RNPDP no implica un traslado de la información contenida en los bancos de datos.
¿Por cuánto tiempo puede el titular del banco de datos personales almacenar los datos? Las normas no establecen plazos mínimos ni máximos para el tratamiento (salvo el tratamiento por encargo en donde se ha establecido un plazo para la conservación de los datos de dos años desde la finalización del último encargo realizado).
El tiempo por el cual se pueden almacenar los datos depende de la finalidad para la cual ha sido solicitado, de la pertinencia de mantenerlo y del consentimiento que haya brindado su titular. Al respecto, es importante precisar que el titular de los datos personales puede revocar su consentimiento en cualquier momento.
¿Qué ocurre con los datos personales obtenidos con anterioridad a la LPDP y su reglamento y, en consecuencia, obtenidos sin el consentimiento de los titulares?El tratamiento de los datos personales implica necesariamente la obtención del consentimiento por parte del titular de los datos materia de tratamiento, salvo que nos encontremos en alguno de las excepciones de la LPDP.
En ese sentido, para mantener, recolectar y realizar el tratamiento de datos personales, es necesario el consentimiento. Tratándose de información conseguida con anterioridad a la entrada en vigencia de la Ley y el Reglamento, corresponderá regularizar la misma obteniendo el consentimiento de los titulares; caso contrario, dicha información debería ser suprimida de los bancos de datos.
¿Desde cuándo entra en vigencia la LPDP y su reglamento? Tanto la Ley como el Reglamento se encuentran plenamente vigentes. Sin perjuicio de ello, el Reglamento otorgó un plazo de 2 años contados a partir de la entrada en vigencia del mismo para que los titulares de los bancos de datos personales preexistentes se adecuen a lo establecido por la Ley y el Reglamento. El plazo para dicha adecuación concluirá el 8 de mayo de 2015.
La LPDPD establece literalmente que "En el plazo de dos (2) años de entrada en vigencia del presente reglamento, los bancos de datos existentes, deben adecuarse a lo establecido por la Ley y el presente reglamento, sin perjuicio de la inscripción".
Ciertamente la adecuación implica la implementación de las medidas de seguridad establecidas pero, como se puede advertir, la norma es general al hablar de la adecuación de los bancos de datos personales, y no restringe dicho proceso únicamente a las medidas de seguridad. Ya que en todo caso se hubiese hecho referencia expresa al Capítulo V del Título III del Reglamento, el cual se titula "Medidas de Seguridad".
Así las cosas, el proceso de adecuación de los bancos de datos preexistentes involucra a las medidas de seguridad, pero también el cumplimiento de las demás obligaciones y disposiciones contenidas en la LPDP y su reglamento, cuestión que no debe perjudicar ni alterar el hecho que las normas materia de comentario ya se encuentran plenamente vigentes (pues la adecuación aplica sólo a los bancos de datos preexistentes).
¿Cuál es la autoridad encargada de fiscalizar y sancionar?La Dirección General de Protección de Datos Personales es el órgano encargado de ejercer la Autoridad Nacional de Protección de Datos Personales. En ese sentido, ejerce las funciones administrativas, orientadoras, normativas, resolutivas, fiscalizadoras y sancionadoras a efectos de hacer cumplir las disposiciones contenidas en la LPDP y su reglamento.
Es importante precisar que la facultad sancionadora de esta autoridad, en relación a los bancos de datos existentes a la fecha de entrada en vigencia del reglamento, ha quedado suspendida hasta el vencimiento del plazo de adecuación antes señalado (8 de mayo de 2015).
Más del Especial TU DINERO: