Con el objetivo de brindar a la ciudadanía una regulación robusta que salvaguarde los datos personales, la Autoridad Nacional de Protección de Datos Personales ha presentado una propuesta de nuevo reglamento de la ley que los salvaguarda, informó Eduardo Luna Cervantes, su director general.
El Ministerio de Justicia y Derechos Humanos (MINJUSDH), mediante la Autoridad Nacional de Protección de Datos Personales (ANPD), ha publicado una propuesta de nuevo reglamento de la Ley Nº 29733, Ley de Protección de Datos Personales, dado que el reglamento vigente ha cumplido diez años (fue publicado en el 2013).
Eduardo Luna Cervantes, director general de la Autoridad Nacional de Protección de Datos Personales, detalla en esta entrevista los cambios implementados, que surgen como una respuesta a los desafíos contemporáneos que buscan asegurar una adecuada tutela de los derechos de los ciudadanos respecto de la protección de sus datos personales.
¿Por qué es momento para lanzar un nuevo reglamento?
En el Perú, la normativa de protección de datos personales data del año 2011 – Ley N.º 29733, y su Reglamento en el año 2013, aprobado por Decreto Supremo N.º 003-2013-JUS. Con normas modificadas en el año 2017, a través del Decreto Legislativo N.º 1353 y su Reglamento aprobado por Decreto Supremo N.º 019-2017-JUS.
¿Qué factores determinaron la necesidad de sacarlo ahora?
Si bien dichas normas del anterior reglamento consideraron disposiciones respecto a las definiciones de los sujetos obligados al cumplimiento de las disposiciones en materia de protección de datos, obligaciones, limitaciones para el consentimiento para el tratamiento de datos, así como los relacionados a las tipificaciones administrativas, no se consideraron los riesgos asociados al incremento del uso de la tecnología en la era digital, lo cual representa mayores riesgos para los peruanos.
En el mundo digital los datos personales son el activo estratégico que impulsa las actividades esenciales, comerciales y que contribuyen nuevos avances científicos o uso de tecnologías digitales. Así, por ejemplo, la aceleración del comercio electrónico representa un incremento considerable de flujo transfronterizo de datos personales, siendo necesario que se cuente con una regulación robusta que salvaguarde los datos personales transferidos a terceros países que no cuenten con un nivel adecuado de datos personales, sin significar un obstáculo para la necesaria circulación de los datos personales en el contexto de la economía digital en el país.
¿La llegada de la IA y los dilemas en torno a la privacidad de la data con estas aplicaciones están siendo contemplados en esta nueva propuesta normativa?
El proyecto incorpora disposiciones que permiten afrontar las nuevas formas de tratamiento de datos personales a través de tecnologías emergentes como la inteligencia artificial o big data; así se ha previsto, por ejemplo, el principio de responsabilidad proactiva que tiene por finalidad que el titular del banco de datos o quien resulte responsable actúe de forma diligente y anticipada frente al tratamiento de datos personales que realice, incluido el tratamiento realizado mediante tecnologías digitales.
Asimismo, con la incorporación del mecanismo de evaluación de impacto del tratamiento de datos personales, el responsable del tratamiento de datos personales debe evaluar los potenciales riesgos a los que se encuentran expuestos los datos personales.
«El proyecto incorpora disposiciones que permiten afrontar las nuevas formas de tratamiento de datos personales a través de tecnologías emergentes como la inteligencia artificial o big data».
¿Qué regulación internacional les sirve como referente, inspiración o ejemplo por aplicar?
El Reglamento 2016/679 de la Unión Europea relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) es una de las fuentes de referencia para la Autoridad Nacional de Protección de Datos Personales.
¿Qué se espera lograr con ayuda de esta nueva reglamentación?
El proyecto de Nuevo Reglamento permitirá que el país cuente con un marco normativo actualizado y con un mayor nivel de protección de datos que procura adaptarse a nuevas formas de tratamiento, las cuales vienen siendo determinados por el avance de la tecnología y un entorno digital cada vez más creciente.
Se tiene la expectativa de que contribuya a que el país cuente con un marco normativo más sólido en un entorno más seguro, generando impacto positivo sobre la ciudadanía que seguramente tendrá más confianza en el uso de canales digitales.
Asimismo, desde un enfoque que enfatiza una actuación preventiva más que reactiva (p. ej. A través de la figura de evaluación de impacto de privacidad) se busca contribuir al cumplimiento de la normativa de protección de datos personales e interiorizar la cultura de protección de datos al interior de una organización privada o entidad pública.
También se busca lograr un impacto positivo en las entidades del sector público, a efectos de que estas generen una cultura de protección de los datos de los ciudadanos, gestionando adecuadamente los riesgos de la privacidad de las personas.
¿Cuáles son los principales cambios y porqué han sido establecidos?
El Proyecto de Nuevo Reglamento de la Ley N.º 29733 innova, por ejemplo, en lo relativo a los mecanismos para materializar el principio de seguridad contemplado en la Ley 29733, el cual involucra que los responsables del tratamiento de datos personales deban tomar las medidas (técnicas, legales y organizativas) necesarias para garantizar la seguridad de información, ya sea bancos de datos automatizados o no automatizados.
Así, regula la figura de la notificación a la Autoridad Nacional de Protección de Datos Personales respecto de incidentes de seguridad digital que afecten datos personales, ampliando su aplicación para el genérico de instituciones privadas, ya que esta obligación actualmente solo se encuentra regulada para entidades públicas en el ámbito del sector público y, en el ámbito privado restringiéndose a proveedores de servicios digitales (financiero, servicios básicos, salud, transporte de personas, proveedores de internet, actividades críticas y de servicios educativos).
«(S)e busca potenciar los derechos que actualmente pueden ejercer los ciudadanos respecto de su información personal, por lo que se ha regulado la figura de la portabilidad”.
¿Qué otras innovaciones incluyen?
En el mismo ámbito temático, en sintonía con el Reglamento de la ley de gobierno digital que establece la figura del Oficial de Datos Personales – ODP en el ámbito de las entidades públicas, el Proyecto de Nuevo Reglamento incorpora también la figura del ODP estableciendo su obligatoriedad para el caso de las instituciones privadas en supuestos específicos en los que se realice actividades que requieran observación continua de los titulares de datos personales, o en caso de tratamiento de forma masiva o a gran escala o cuando consistan en datos sensibles.
En la lógica del Proyecto de Nuevo Reglamento el OPD está planteado como un actor relevante que servirá como enlace con la Autoridad Nacional de Protección de Datos Personales, informando y asesorando a la entidad a la que pertenece, pero adicionalmente cooperando con la Autoridad Nacional a efectos de garantizar la protección de datos personales en su entidad.
¿Y en relación a las multas o sanciones hay cambios?
Para cerrar el círculo en lo referido al principio de seguridad de los datos personales, el Proyecto de Nuevo Reglamento incorpora como infracciones graves (5 a 50 UIT) las siguientes:
- Realizar tratamiento de datos personales incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia, y generando con ello un perjuicio al titular del dato personal o una exposición no autorizada de sus datos personales”.
- Realizar tratamiento de datos personales sensibles incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia”; y,
- No comunicar a la Autoridad Nacional de Protección de Datos Personales el incidente de seguridad cuando se genere exposición de datos personales y/o datos sensibles o cuando exista un alto riesgo para los derechos y libertades de las personas naturales”.
Asimismo, como infracción muy grave (entre 50 y 100 UIT) se incorpora la conducta consistente en: “Realizar tratamiento de datos personales sensibles incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia, y generando con ello un perjuicio al titular del dato personal sensible o una exposición no autorizada de sus datos personales sensibles.”
¿Se incorporan medidas preventivas?
En el Proyecto de Nuevo Reglamento también se ha incluido mecanismos preventivos de cumplimiento normativo o de “responsabilidad proactiva” tales como la “Evaluación de Impacto del Tratamiento de Datos Personales”, mediante la cual se promueve que las organizaciones realicen un análisis previo de los riesgos en el tratamiento de datos personales que realizan para que, a partir de él, identifiquen las medidas (organizativas o de seguridad) para mitigar dichos riesgos y evitar incumplimientos normativos y posteriores infracciones administrativas. Conforme a sus competencias legales, la Autoridad Nacional tendrá un rol orientador para la implementación de la evaluación de impacto del tratamiento de datos personales.
Asimismo, se busca potenciar los derechos que actualmente pueden ejercer los ciudadanos respecto de su información personal, por lo que se ha regulado la figura de la “portabilidad” como una manifestación del derecho de acceso (previsto en la Ley N.º 29733), la cual faculta al titular a un mayor nivel de control sobre sus datos personales pudiendo, por ejemplo, solicitar a una empresa proveedora de servicios que traslade su información personal a otra empresa con la que le interese contratar. La portabilidad de datos buscar afianzar el derecho del titular y promueve oportunidades para la innovación y el intercambio de datos de forma segura.
En el Proyecto de Nuevo Reglamento se ha regulado el caso en que empresas (con propósitos comerciales o de publicidad) buscan contactar a los titulares de datos, para lo cual suscriben un contrato con un tercero. El Reglamento aclara las reglas de juego en este tema a efectos de no permitir vacíos legales en detrimento del ciudadano, estableciendo que cuando los datos son transferidos por quien contrata al tercero, esta es responsable del tratamiento de los datos.
A modo de ejemplo, lo anterior aplicaría en el caso de que una empresa “A” que vende seguros, contrata a una empresa de call center “X” para que ofrezca sus seguros a clientes. De ser el caso que la empresa “A” proporciona el banco de datos de clientes a la empresa de call center “X”, entonces la empresa “A” resulta responsable por el tratamiento de datos que se efectúe sobre los datos personales de los clientes contactados.
De este modo, se previenen casos en los que las empresas pretender eludir el cumplimiento de la normativa de protección de datos personales, argumentando la existencia de un contrato con un tercero para fines comerciales y/o de publicidad.
¿Hay una consideración especial por los datos de los menores de edad?
Los niños, niñas y adolescentes, son una población de especial interés para la ANPD, el proyecto de nuevo reglamento enfatiza que, en el caso de servicios digitales ofrecidos de forma directa a menores de edad y resulte necesario el consentimiento de los titulares de la patria potestad, el responsable del tratamiento debe acreditar el consentimiento válido considerando los medios digitales disponibles.
El supuesto anterior se aplicaría, por ejemplo, en el caso de servicios de juegos online o aplicativo móvil (titular del banco de datos personales) pues, al ofrecer servicios digitales de forma directa a menores de edad, deberán contar con un mecanismo que permita acreditar fehacientemente (considerando los medios digitales disponibles) que el titular de la patria potestad ha otorgado el consentimiento válido para el tratamiento de los datos personales del menor de edad a través de la plataforma del juego on line o aplicativo móvil.
De este modo, se busca asegurar que este tipo de empresas que brindan servicios digitales enfocados en niños efectúen acciones de especial cuidado respecto de los derechos de los niños, niñas y adolescentes, disponiendo de manera expresa que la carga de la prueba en dichos casos corresponde al proveedor del servicio digital del que se trate.
En la misma línea, en lo referido a la protección del derecho de los niños, niñas y adolescentes, se regula la obligación expresa de los titulares de bancos de datos personales, o de quien resulte responsable del tratamiento de datos de menores, de garantizar el desarrollo de sus actividades educativas, sociales y recreativas y tutelar la protección del interés superior del niño.
¿El usuario asume costos por estos procedimientos?
El Proyecto de Nuevo Reglamento ha contemplado la gratuidad de los procedimientos de inscripción, modificación y cancelación de bancos de datos personales en el Registro Nacional de Protección de Datos Personales, los cuales son obligatorios para todo responsable de tratamiento de datos personales. Esta incorporación busca incentivar el cumplimiento normativo sin generar mayores costos a los responsables de su tratamiento.
