Nuevo Reglamento de Protección de Datos Personales

El cumplimiento de la normativa sobre protección de datos personales es esencial para garantizar la privacidad y seguridad de la información. Con la aprobación del Reglamento de la Ley de Protección de Datos Personales mediante el Decreto Supremo N.° 016-2024-JUS, publicado el 30 de noviembre de 2024, las empresas y personas naturales que gestionen datos deberán registrar sus bases de datos en el Registro Nacional de Protección de Datos Personales antes del 30 de marzo de 2025, fecha en que entra en vigor la normativa.

¿Qué es un Banco de Datos Personales?

Según el nuevo Reglamento, lo ha definido como el conjunto de datos de personas naturales computarizado o no, y estructurado conforme a criterios específicos, que permita acceder sin esfuerzos desproporcionados a los datos personales, ya sea aquel centralizado, descentralizado o repartido de forma funcional o geográfica.

Es necesario identificar y registrar los bancos de datos que su empresa administra. Los más comunes incluyen:

• Banco de Datos de trabajadores o colaboradores
• Banco de Datos de clientes
• Banco de Datos de proveedores
• Entre otros.

¿Qué comprende el Tratamiento de Datos Personales?

El consentimiento para el Tratamiento de Datos Personales

El consentimiento para el tratamiento de datos personales es válido si se cumplen las siguientes características:

1. Libre
2. Previo: El consentimiento debe ser dado u otorgado con anterioridad al tratamiento de datos.
3. Expreso: Debe quedar constancia del otorgamiento del consentimiento.
4. Inequívoco: No puede existir duda de la obtención del consentimiento. Puede ser, por ejemplo, a través de una firma, una grabación o a través de medios digitales con la “aprobación de políticas de privacidad” que se presentan en las páginas web o aplicaciones.
5. Informado: El titular de los datos personales debe ser informado respecto a la finalidad del tratamiento, así como sobre otras condiciones del tratamiento establecidas en el artículo 18 de la Ley N.° 29733.

¿Quiénes intervienen en la Gestión De Datos Personales?

Registro de Banco De Datos

Al momento de registrar el Banco de Datos personales de la empresa, se debe tener en consideración las siguientes precisiones:

1. a) Se realiza una (01) solicitud por cada Banco de Datos que se desee registrar. Esto se entiende del siguiente modo: una solicitud para registrar a los trabajadores, otra solicitud para registrar a los clientes, otra para el libro de reclamaciones y, así sucesivamente.
2. b) Se debe indicar el lugar en donde se encuentra el Banco de Datos personales (dirección).
3. c) El Banco de Datos recibe una “nominación”. Por ejemplo, Banco de Datos “de trabajadores”
4. d) Se debe señalar la finalidad para la cual se están tratando estos datos (el cómo y para qué). Así mismo, se debe evitar caer en términos ambiguos o genéricos para los mismos.

Derechos ARCO

Además, reconoce derechos, como el acceso, la rectificación, la cancelación y la oposición (conocidos como derechos ARCO), asegurando que las personas puedan ejercer control sobre su información personal.

• Derecho de Acceso: Permite al titular de los datos conocer con qué información tienen del mismo, cómo fueron recopilados y qué finalidad le están dando.
• Derecho de Rectificación: En caso los datos con los que se cuentan sean incompletos o inexactos, por lo que permite la actualización o modificación.
• Derecho de Cancelación (o supresión): En caso el titular ya no desease que sus datos sean tratados por la empresa porque ya no cumplen con la finalidad o simplemente desea revocar su consentimiento  que en un primer momento dio o incluso, el plazo para almacenarlos haya vencido (por ejemplo, algunas empresas dentro de su Política de Privacidad establecen el plazo de 10 años).
• Derecho de Oposición: Cuando el titular se opone al tratamiento porque, por ejemplo, han sido obtenidos sin su consentimiento o le están causando perjuicio.

Incidentes De Seguridad

En casos de incidentes de seguridad, se deberá informar a la Autoridad Nacional de Protección de Datos en un plazo de 48 horas de haber tomado conocimiento; respecto a los titulares también se cuenta con el mismo plazo para informarles sobre lo sucedido, siempre y cuando se le haya producido afectación. Si el incidente no produjo afectación en el titular de los datos, no hay obligación de informar sobre ello a éste.

Por otro lado, respecto a las medidas de seguridad: Se exige como nuevas medidas de seguridad la elaboración de un inventario de datos personales, la implementación de copias de respaldo semanales y la documentación de incidentes de seguridad.

1. PLAZOS IMPORTANTES

• Respecto al registro de cada banco de datos y cumplimiento del Reglamento: Con fines de evitar futuras contingencias se estima que se debe realizar el (los) registro (s) con los que cuente la empresa con anterioridad a la entrada en vigencia del presente Reglamento, es decir, al 30 de marzo de 2025.
• Respecto al derecho de portabilidad: Se ha previsto en el mismo Reglamento lo siguiente: La disposición prevista en el artículo 76, referida la Portabilidad de Datos Personales, surte efecto a partir de los 6 meses posteriores a la entrada en vigencia del presente Reglamento. Es decir, se cuenta hasta finales de septiembre de este año (2025) para que empiece a regir. 

• Respecto a la designación del Oficial de Datos Personales: Dependerá de las ventas anuales de la Empresa. Veamos lo que ha establecido el Reglamento:

Precisiones adicionales

• Respecto a las cámaras de seguridad que hubiera en la empresa: Debe informarse sobre la captación y/o grabación de imágenes, colocando al menos un distintivo informativo, tanto en espacios abiertos como cerrados. Si la información prevista en el artículo 18 de la Ley (Derecho de información del titular de datos personales) no puede ser colocada en su integridad, debe tenerse a disposición de los interesados un informativo adicional, ya sea de forma digital o impresa. Con la finalidad de graficar ello, se pone un ejemplo: