Llegamos a ustedes gracias a:



Reportajes y análisis

La protección de datos personales se acerca

Ley de datos personales

[10/03/2015] El numeral 6 del artículo 2 de la Constitución Política del Perú señala que toda persona tiene derecho a que los servicios informáticos, computarizados o no, públicos o privados, no suministren información que afecten a la intimidad personal y familiar.

Por ello, el 3 de julio del 2011 se publicó la Ley 29733 (Ley de Protección de Datos Personales) que estableció que el próximo 8 de mayo entraría en pleno vigor las disposiciones que tienen que seguir las empresas en cuanto a los datos que manejan de las personas relacionadas con ellas.

Y debe ser también por ello que dos de las consultoras más reconocidas del mercado han presentado recientemente su visión sobre lo que las empresas deben hacer para enfrentar este nuevo marco jurídico. PwC y EY ofrecieron reuniones en las que explicaron sus respectivas posiciones.

Las obligaciones de las empresas

Ciertamente, el 8 de mayo es un plazo que se acerca inexorablemente, y que fuerza a las empresas a prepararse para los cambios; pero ello no significa que sea el inicio de los cambios. De hecho, los ejecutivos de PwC que realizaron la presentación, hicieron hincapié en que los cambios ya deberían estar realizándose. El 8 de mayo es simplemente la fecha a partir de la cual se exigirá a las empresas que demuestren que los cambios -las obligaciones de las empresas- ya se han realizado, y que a partir de esa fecha las autoridades podrán supervisar a las empresas.

Nancy Yong, Alexander García y Guillermo Zapata; socia, director y gerente legal, respectivamente, del área de Gobierno, Riesgo y Cumplimiento de PwC, explicaron en conjunto lo que las empresas deben cumplir como obligación.

Alexander García, Nancy Yong y Guillermo Zapata; director, socia y gerente legal, respectivamente, del área de Gobierno, Riesgo y Cumplimiento de PwC
Ley de datos personales

La primera de estas obligaciones es la obtención del consentimiento. Éste debe ser libre, previo, expreso e inequívoco (verbal o físicamente) para una finalidad determinada. En el caso de los datos sensibles, se debe obtener el consentimiento por escrito. Si no se cumple con esta obligación, las empresas pueden ser sancionadas con una falta leve que implica una multa de 0,5 a 5 UIT.

En el caso de datos de menores hay además otras consideraciones. Por ejemplo, se requiere contar con políticas de privacidad cuando se captan datos a través de medios digitales; además, no se pueden tratar los datos de los menores sin el consentimiento de los tutores. No cumplir con estas normativas se considera una falta muy grave, y es punible de más de 50 UIT hasta 100 UIT.

Otra de las obligaciones es el registro de los bancos de datos personales. Aquí se hizo una precisión; en la ley se establece que un banco de datos es un conjunto de bases de datos, no son lo mismo -banco de datos y base de datos- y por ello hay que tomar en cuenta esta distinción legal que realiza la norma.

De acuerdo a los ejecutivos, el nivel de registro es aún bajo. En la actualidad solo se han registrado 427 bancos de datos de 289 empresas. Se estima que actualmente existen 1,5 millones de bancos de datos. El incumplimiento de esta obligación es considerado una falta grave con una sanción de 5 a 50 UIT.

La tercera obligación de las empresas es el cumplimiento de los llamados derechos ARCO (acceso, rectificación, cancelación y oposición) de las personas. Las personas tienen derecho a acceder a su propia información, a hacer que ésta sea rectificada, a que se cancele la información que una institución tenga de ellas, o a oponerse que una organización tenga información de ellas. No cumplir con estos derechos es una falta muy grave que conlleva una multa de entre 5 a 50 UIT.

La cuarta obligación es la concerniente a las medidas de seguridad de la información. Al respecto la ley establece que se tiene que contar con un documento maestro de la seguridad de la información del banco de datos personales, en el que se determinan las medidas específicas en torno a la política de seguridad de la información, la política interna de la protección de datos personales y el enfoque de riesgos.

Los posibles impactos

Casi en la misma fecha, la consultora EY realizó también una reunión en la que alertaba sobre las consecuencias que implicaba el no cumplir cabalmente con esta legislación.

De acuerdo a la firma, las áreas de las empresas que pueden verse afectadas por la Ley son Recursos Humanos, Ventas, Sistemas, Logística, entre otras. Los riesgos a los que se enfrentan las empresas incluyen una multa de hasta 385 mil nuevos soles, sanciones penales, riesgos operativos, costos adicionales y fiscalización permanente.

De acuerdo a un estudio realizado por EY, el primer paso que se debe dar para que la Ley funcione, es tener el consentimiento de los titulares de los datos personales. Las medidas de cuidado y seguridad afectarían a todo el personal de la empresa, así como a proveedores, clientes y público en general.

Según Italo Carrano, socio de EY, "se recomienda que la empresa realice un relevamiento de información de los procesos críticos del negocio de la compañía, que permitan identificar los datos personales gestionados por cada organización y los bancos de datos personales donde se gestionan, así como su clasificación.

Entre otras de las recomendaciones que, según EY, ayudarán a que la empresa enfrente mejor la nueva Ley, se sugiere hacer el registro del Banco de Datos de manera inmediata en el Registro de Bancos de Datos Personales. También se debería implementar las medidas de seguridad a través de la aplicación de los parámetros establecidos por la autoridad de protección de datos personales. Además, en el caso de transferencia de información entre empresas, se recomienda contar con un Código de Conducta para garantizar el adecuado tratamiento de datos personales.

"Es importante que la compañía revise el cumplimiento de las medidas de seguridad exigidas por la Ley a través de la revisión del diseño de los principales controles organizativos, técnicos y jurídicos, agregó Numa Arellano, socio de EY.

Jose Antonio Trujillo, CIO Perú