Aprueban el nuevo Reglamento de la Ley de Protección de Datos Personales
El Decreto Supremo N.º 016-2024-JUS, recientemente publicado, aprueba el nuevo Reglamento de la Ley N.º 29733 (Ley de Protección de Datos Personales) con el objetivo de mejorar la seguridad y el cumplimiento de la normativa en el tratamiento de la información. Entre las principales modificaciones se destaca la ampliación de los datos considerados sensibles y la obligación de designar un Oficial de Datos Personales, quien será responsable de garantizar el cumplimiento de la Ley y la implementación de medidas para proteger la información, entre otros cambios que resumimos a continuación:
|
Cuadro de Aspectos Novedosos del Nuevo Reglamento |
|
|
(Decreto Supremo N.º 016-2024-JUS) |
|
| Aspecto Novedoso |
Resumen |
| Ampliación de datos sensibles | Inclusión de datos genéticos, biométricos y emocionales como categorías protegidas, así como la afiliación sindical. |
| Desindexación | Eliminación de URLs o contenidos específicos de motores de búsqueda. |
| Elaboración de perfiles | Regula el tratamiento automatizado de datos para análisis o predicciones. |
| Evaluación de impacto | Busca que se hagan análisis preventivos para mitigar riesgos en tratamientos de datos. El hacerlo es un atenuante de la responsabilidad frente a alguna infracción detectada. |
| Ampliación del ámbito de aplicación | La norma será de aplicación cuando el tratamiento se realice en relación con la oferta de bienes o servicios dirigidos a personas ubicadas en Perú o cuando se realicen actividades orientadas al análisis de comportamiento de personas en Perú. Esto busca asegurar la protección de los datos personales de los ciudadanos peruanos, independientemente de la ubicación geográfica de los responsables del tratamiento. |
| Representante | Los responsables de datos, dentro o fuera de Perú, deben designar un representante en el país como enlace con la Autoridad Nacional de Protección de Datos, cumpliendo requisitos específicos y comunicando un correo oficial. |
| Flujo Transfronterizo | La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales determinará el nivel adecuado de protección de datos de un país mediante resoluciones emitidas de oficio, a solicitud o por nuevas normas sectoriales. |
| Responsabilidad proactiva | El tratamiento de datos requiere medidas legales, técnicas y organizativas para cumplir la normativa, y el responsable debe demostrar su cumplimiento efectivo. |
| Tratamiento de Datos Personales de Menores | Se establecen reglas sobre el tratamiento de datos personales de niños, niñas y adolescentes:
· Consentimiento: el tratamiento de datos es lícito cuando se obtiene el consentimiento de los padres o tutores, salvo para los menores de 14 años, quienes solo pueden consentir sobre sus propios datos si la información es comprensible para ellos. · Prohibiciones: No se pueden recopilar datos sobre la familia del niño sin el consentimiento de los titulares, y solo se puede recopilar información de contacto de los padres para obtener dicho consentimiento. · Protección: es obligación de los responsables del tratamiento colaborar en la educación sobre la protección de datos de menores. · Datos en internet: El tratamiento de datos de menores en plataformas digitales requiere el consentimiento de los padres si son menores de 14 años, o el consentimiento del propio menor si tiene entre 14 y 18 años. Se debe verificar la identidad de quienes otorgan el consentimiento. |
| Notificación de incidentes de seguridad | En caso de un incidente de seguridad que exponga grandes volúmenes de datos personales o que afecte a un gran número de personas, el responsable del tratamiento debe notificar a la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas posteriores a su conocimiento. Si la notificación se realiza después de este plazo, debe justificarse con los motivos y pruebas correspondientes. Esta obligación persiste incluso si el incidente ha sido resuelto internamente. |
| Oficial de Datos Personales | Se regula la designación del Oficial de Datos Personales por parte de los titulares y encargados de bancos de datos personales. Esta figura es obligatoria cuando: (1) el tratamiento es realizado por una entidad pública; (2) se manejan grandes volúmenes o datos sensibles que pueden afectar derechos de los titulares; o (3) las actividades principales de la organización implican tratar datos sensibles. Además, permite que un grupo empresarial o entidades públicas relacionadas designen un único oficial si es accesible para todos los involucrados. Se exige publicar y comunicar los datos de contacto del oficial a la Autoridad Nacional de Protección de Datos Personales en un plazo de 15 días tras su designación o actualización. |
| Documento de Seguridad | El responsable del tratamiento de datos personales debe contar con un Documento de Seguridad aprobado formalmente, con fecha cierta, y actualizado. Este documento debe incluir al menos procedimientos para la gestión de accesos, privilegios y su verificación periódica en los sistemas de información utilizados para el tratamiento de datos personales, como plataformas tecnológicas y aplicaciones. Se puede basar en la NTP-ISO/IEC 27001 vigente u otros estándares reconocidos. |
| Copias de Seguridad | Las copias de respaldo de los datos personales deben realizarse al menos semanalmente, salvo que en ese período no haya actualizaciones. El procedimiento debe incluir medidas de seguridad adecuadas para el almacenamiento, transferencia y, si corresponde, la destrucción de las copias. |
| Portabilidad de datos personales | El titular de datos personales ejercerá su derecho a la portabilidad solicitando sus datos en un formato estructurado y de lectura mecánica para transmitirlos a otro responsable del tratamiento, siempre que el tratamiento esté basado en el consentimiento, una relación contractual, o sea automatizado. Se incluye la transmisión directa entre responsables cuando sea técnicamente viable y no implique una carga excesiva. |
| Fiscalización | Se clasifica en dos tipos: presencial y en gabinete. La presencial se realiza fuera de las sedes de la Dirección General de Transparencia, en presencia del titular del banco de datos, el encargado o sus representantes. La fiscalización en gabinete se lleva a cabo desde las sedes mencionadas y consiste en evaluar digitalmente las actividades del responsable del tratamiento de los datos personales. |
| Sanciones | Considera la aplicación de una segunda multa coercitiva e incorpora nuevos supuestos de infracción. |
| Vigencia | El Reglamento entrará en vigor a los 120 días de su publicación. La designación del Oficial de Datos Personales será progresiva según el siguiente cronograma:
· Empresas con ventas anuales superiores a 2300 UIT: dentro de un año. · Empresas con ventas anuales entre 1700 y 2300 UIT: dentro de dos años. · Empresas con ventas anuales entre 150 y 1700 UIT: dentro de tres años. · Empresas con ventas anuales hasta 150 UIT: dentro de cuatro años. |
En caso de que se requiera alguna precisión adicional sobre el impacto legal de la información contenida en el presente informativo, puede contactar a:
Alfred Kossuth Wieland
Rolando Lema Hanke
