Por Julio Jefrie Rojas Saravia*
La Ley de Protección de Datos Personales (Ley Nº 29733) fue publicada en el Diario Oficial El Peruano el 02 de julio de 2011, allí se colocaron los principios, derechos y obligaciones que debían seguir las empresas en el tratamiento de los datos personales.
Luego de ello, el 21 de marzo de 2013, se promulgó el Reglamento de dicha ley (Decreto Supremo Nº 003-2013-JUS) y allí se estableció un plazo de adecuación de dos años para las empresas del sector privado y público que contaban con bancos de datos personales, dicho plazo venció el 08 de mayo de 2015.
En otras palabras, todas las empresas públicas y privadas debieron adecuarse a lo regulado en la Ley de Protección de Datos Personales y su Reglamento hasta mayo de 2015, caso contrario, dichas empresas serían sujetos pasibles de multa. Pese a ello, a la fecha muchas entidades aún ignoran esta normativa o cómo aplicarla.
En el año 2018, según información otorgada por el Ministerio de Justicia, la Autoridad Nacional de Protección de Datos Personales realizó 283 visitas de fiscalización a instituciones públicas y privadas en datos personales e impuso multas por más de S/700, 000.00 (setecientos mil con 00/100 soles) por infracciones a la Ley de Protección de Datos Personales[1].
Por lo indicado, resulta de suma importancia entender a cabalidad cuáles son las principales obligaciones que las empresas deben cumplir a fin de evitar potenciales multas en caso de una fiscalización por la Autoridad Nacional de Protección de Datos Personales. En ese sentido, las principales obligaciones son las siguientes:
1.- Inscribir los bancos de datos personales identificados en la empresa. Esto no implica entregar la base de datos, sino informar a la Autoridad sobre la existencia, contenido y finalidad del banco de datos.
Resulta materialmente imposible que las empresas no almacenen datos personales ya que siempre se relacionan con individuos (titulares de datos personales) sean estos trabajadores, clientes u otros; por ello, cada vez que la empresa almacene de manera organizada datos personales debe proceder a la inscripción de dicho banco de datos.
En ese sentido, los bancos de datos personales más comunes en las empresas son los de proveedores, trabajadores, clientes y prospectos de clientes. La inscripción de cada banco de datos es independiente, es decir, se debe presentar un formulario de inscripción distinto por cada banco de datos.
En relación al mencionado procedimiento de inscripción, una vez evaluado el expediente y verificado que se han cumplido con los requisitos exigidos, la Dirección de Registro Nacional de Protección de Datos Personales emite una resolución disponiendo la inscripción del banco de datos personales en el RNPDP.
Cabe indicar que la empresa debe ser muy cuidadosa sobre los datos que consigna en estos formularios ya que tiene que tomar en cuenta los principios regulados en las normas citadas.
2.- Elaborar una política de protección de datos personales, esta es una declaración formal de compromiso, la cual contiene los lineamientos que sirven de dirección para el tratamiento de los datos personales en la empresa, dicha política debe ser conocida por todos aquellos titulares de datos personales vinculados a la empresa.
3.- Elaborar un procedimiento para el ejercicio de los derechos ARCO. La ley de protección de datos personales (Ley 29733) reconoce derechos para los titulares de los datos sean estos trabajadores, clientes, proveedores u otros, cabe indicar que el titular del banco de datos a cargo es responsable de implementar mecanismos que faciliten el ejercicio de estos derechos.
Como lo indicamos, la empresa deberá elaborar documentos de gestión de los derechos ARCO, formularios y designar al responsable de responder las solicitudes de atención dentro de los plazos establecidos por la ley.
4.- Aplicar medidas de seguridad. Las empresas que posean bancos de datos personales tienen que adoptar medidas técnicas, organizativas y jurídicas a fin de que los datos personales sean tratado de manera adecuada.
Por ejemplo, una medida de seguridad organizativa es determinar en el interior de la empresa quien es responsable e interviniente de cada banco de datos a fin de que ellos suscriban compromisos de confidencialidad sobre los datos que manejan. Por otro lado, una medida de seguridad jurídica sería incluir cláusulas de datos personales en los diferentes contratos con clientes, proveedores, o trabajadores.
El incumplimiento de las obligaciones antes indicadas acarrea multas que según la Ley de Datos Personales y su reglamento pueden ser clasificadas en leves, graves y muy graves. La sanción mínima para una empresa por una infracción leve es de S/2,100.00 (Dos mil cien con 00/100 soles) y la sanción máxima por una infracción muy grave puede ascender a la suma máxima de S/420,000.00 (Cuatrocientos veinte mil con 00/100 soles).
Por lo señalado, resulta importante que las empresas que no se hayan adecuado a la normativa de datos personales lo hagan lo antes posible a fin de evitar ser sancionadas ante una visita inspectiva por parte de la Autoridad Nacional de Protección de Datos Personales.
Imagen obtenida de: https://bit.ly/2DwQH5s
* Bachiller en Derecho por la PUCP con estudios de especialización en Recursos Humanos. Ex-Miembro del Equipo de Derecho Laboral de la Asociación Civil Taller de Derecho de la PUCP. Ha realizado publicaciones en revistas jurídicas como «Soluciones Laborales» del Grupo Gaceta Jurídica y «Jurídica» del Diario Oficial El Peruano. Actualmente, trabaja en el Área Laboral del Estudio Dentons enfocándose en temas de Consultoría Laboral, Procesal Laboral y Datos Personales.
[1] Ministerio de Justicia. Multas por más de S/ 700 mil impuso la Autoridad Nacional de Protección de Datos del MINJUSDH durante 2018. Estado Peruano. Recuperado de https://www.gob.pe/institucion/minjus/noticias/24222-multas-por-mas-de-s-700-mil-impuso-la-autoridad-nacional-de-proteccion-de-datos-del-minjusdh-durante-2018