Así, desde fin de noviembre empezó la incorporación obligatoria de un oficial de datos personales para empresas con ventas anuales superiores a S/ 12.3 millones, o 2,300 UIT, quien deberá ser designado con base en las calificaciones profesionales, especialmente por sus conocimientos y experiencia acreditada en protección de información de usuarios.

“Esto ya es obligatorio para las entidades públicas y ahora lo será para las privadas, siempre y cuando trabajen con grandes volúmenes de datos, esto es, entidades financieras, empresas de retail, universidades o firmas de comercio electrónico”, dijo a Gestión Carol Quiroz, socia del Estudio Olaechea.

Mal uso de datos

Sostuvo que las entidades financieras ya tienen un régimen regulado por la Superintendencia de Banca, Seguros y AFP (SBS) que les obliga a establecer una serie de procedimientos sobre el manejo de la información que tienen de sus clientes.

Empero, el oficial de protección de datos que deberán enlistar contribuirá con un manejo de información más adecuado, sobre todo porque la mayoría de las sanciones recibidas por esas instituciones han sido originadas por un mal uso de datos con fines de marketing o de validación de identidad, agregó Quiroz.

Experiencia

Juan Antonio Llanos, especialista en servicios financieros, coincide con la abogada en señalar que esta norma –emitida por el Ministerio de Justicia– se aplicará a todas las empresas, incluso bancos, con ventas por encima del umbral mencionado.

“Esta implementación no es un simple saludo a la bandera porque hasta ahora no hay un responsable del manejo de los datos personales o sensibles de los clientes”, expresó.

Comentó que los bancos tienen un reglamento específico de la SBS sobre cómo actuar si las plataformas o aplicativos “se caen” (fallan) y quedan algunos datos expuestos.

Protección de datos de los clientes. (Crédito: Freepik)

Pero Llanos manifestó que esas disposiciones se enfocan más en la reposición del servicio, en que sigan funcionando las aplicaciones y en la calidad de la experiencia al cliente.

“(En cambio) este reglamento está más enfocado en la información que puede quedar desprotegida ante algún incidente”, acotó.

Oficial corporativo

El oficial de datos personales puede tener varias funciones dentro de la empresa o entidad financiera o incluso ser una persona externa a las organizaciones del sector privado. Deberá verificar e informar sobre el cumplimiento de la ley y las políticas internas de protección de datos.

Además, actuará como punto de contacto entre la empresa y la Autoridad Nacional de Protección de Datos Personales y asegurará el desarrollo, implementación y uso de tecnologías como la IA con un tratamiento adecuado de esta información.

Llanos precisó que, si se trata de un conglomerado financiero o empresarial, podrán designar un oficial de datos corporativo que velará por que se cumpla lo dispuesto en el reglamento en todas las firmas del grupo.

Activo

Quiroz puso énfasis en que el dato personal hoy representa un activo para las empresas pues es una fuente de generación de información para desarrollar potenciales contratos, sean de servicios financieros u otros.

“Por tanto, se debe tener un adecuado tratamiento. Los oficiales deberán notificar a los titulares de los datos acerca de incidentes de seguridad. Incluso en la banca y financieras el riesgo es elevado pues se exponen a fraudes de identidad o desfalco de cuentas bancarias”, aseveró.