Sábado 30 de noviembre de 2024 se publicó, en el diario El Peruano, el Decreto Supremo N.º 016-2024-JUS, que aprueba el nuevo reglamento de la Ley N.º 29733, Ley de Protección de Datos Personales, que deroga al que fuera publicado en el 2013 (Decreto Supremo N.º 003–2013–JU.
Lejos de ser una simple actualización, este nuevo reglamento establece un marco normativo que introduce nuevos conceptos, obligaciones y derechos, y que coloca al país a la vanguardia de la protección de datos en América Latina y a la par con los estándares internacionales.
Entre los cambios más importantes que nos trae el nuevo reglamento podemos mencionar:
1. Definición de datos personales: se amplía la definición de datos personales, incorporando al listado la información sobre localización y de identificación en línea, además de señalar que la información es concerniente a aspectos físicos, económicos, culturales o sociales de las personas naturales (artículo III, numeral 4).
2. Definición de datos sensibles: se incorpora en el listado de datos sensibles a los datos neuronales (artículo III, numeral 6).
3. Ámbito de aplicación en y para el territorio peruano: se precisa que las disposiciones de la ley y reglamento son aplicables cuando el tratamiento de datos personales (i) se realice en un establecimiento ubicado en territorio peruano, (ii) lo realice un encargado, sin importar su ubicación, en nombre de un titular o responsable en Perú, (iii) el responsable esté fuera de Perú, pero usa medios en territorio peruano, ofrece bienes/servicios a personas en Perú o analiza su comportamiento, y (iv) la legislación peruana sea aplicable por contrato o derecho internacional (artículo IV).
4. Principios rectores: se especifican los principios de transparencia y de responsabilidad proactiva (artículo IX). El primero, para empoderar al titular del dato garantizando que el tratamiento de sus datos personales sea claro, accesible e informado, garantizando que conozca las condiciones y derechos relacionados; y el segundo, para establecer que los responsables y encargados del tratamiento apliquen y demuestren que han implementado las medidas legales, técnicas y organizativas necesarias para asegurar el cumplimiento efectivo de la normativa de protección de datos personales.
5. Derecho a la portabilidad: se incorpora a la legislación (artículo 76) este nuevo derecho como una manifestación del derecho de acceso. El titular del dato puede solicitar recibir los datos personales sobre sí mismo al responsable o encargado de su tratamiento en un formato estructurado, de uso común y lectura mecánica, cuando el tratamiento se base en su consentimiento, en una relación contractual o se realice por medios automatizados. También tienen derecho a solicitar transmitirlos a otro responsable o titular de un banco de datos personales siempre que no sea excesivamente oneroso y sea técnicamente viable y no excesivo.
6. Notificación de incidentes de seguridad: se señala que el titular del banco de datos o el responsable del tratamiento debe notificar a la Autoridad Nacional de Protección de Datos Personales como máximo dentro de las 48 horas posteriores a haber tomado conocimiento o constancia de la existencia de un incidente de seguridad (artículo 34), aun cuando el incidente haya sido subsanado o resuelto internamente. Asimismo, señala que se debe notificar al titular en el mismo plazo, utilizando un lenguaje sencillo y claro para su comprensión, informándole además de las medidas adoptadas para mitigar los efectos del incidente de seguridad, sin embargo, no es obligatorio comunicar un incidente de seguridad al titular si no causó afectación y fue completamente solucionado con las medidas adoptadas.
7. Oficial de datos personales: se señala la obligatoriedad de designar un oficial de datos personales (figura creada para las entidades públicas en el reglamento de la Ley de Gobierno Digital y ahora también aplicable a las privadas) cuando (i) el tratamiento de datos sea realizado por una entidad pública, (ii) cuando se manejen grandes volúmenes de datos, datos sensibles, o que afecten a un gran número de personas o impliquen un perjuicio a derechos o libertades de los titulares, y (iii) cuando las actividades principales del titular, responsable o encargado del tratamiento involucren datos sensibles (artículo 37).
8. Medidas de seguridad: se agregaron las obligaciones de contar con una política de seguridad documentada y de fecha cierta (artículo 47) y la de implementar controles de acceso para mantener áreas seguras (artículo 49) y para mantener equipos seguros dentro y fuera de las instalaciones (artículo 50).
9. Simplificación de trámites administrativos: se implementa la gratuidad en la inscripción, modificación y cancelación de bancos de datos personales en el Registro Nacional de Banco de Datos Personales (artículo 43), y se establece el procedimiento de aprobación automática en las resoluciones de inscripción (artículo 45).
10. Flujo transfronterizo de datos personales: se establece que el flujo transfronterizo de datos personales es aceptable (artículo 18) si el país receptor tiene un nivel adecuado de protección según lo evaluado por la autoridad competente o si existen acuerdos con estándares de protección comunes y generales (artículo 19); de lo contrario, el exportador debe garantizar un tratamiento adecuado mediante cláusulas contractuales modelo (artículo 20) u otros instrumentos jurídicos que reflejen las mismas obligaciones y condiciones del consentimiento del titular, como por ejemplo la implementación de un Código de Conducta (capítulo VII).
11. Tratamiento de datos personales de niños y adolescentes: se permite cuando exista consentimiento de quienes ejercen la patria potestad o tutela o si son mayores de 14 años pueden brindar su consentimiento directamente cuando la información haya sido entregada en un lenguaje comprensible. Sin embargo, en ningún caso se permite el consentimiento para actividades relacionadas con bienes o servicios restringidos por edad (artículo 22). También se prohíbe recopilar datos personales de menores de edad que revelen información sobre su grupo familiar sin el consentimiento de los titulares (artículo 23). En el caso del tratamiento de datos por Internet, además de lo antes establecidos, se señala que deben realizarse esfuerzos razonables para verificar la identidad de quienes otorgan el consentimiento teniendo en cuenta la tecnología disponible (artículo 25).
12. Tratamiento de datos para publicidad y prospección comercial: solo se permite si es que el titular de los datos ha brindado su consentimiento de forma directa en un primer contacto (y el responsable del tratamiento debe estar en condiciones de informar—a requerimiento del titular—la fuente de recopilación de sus datos personales). Si el titular denegó su consentimiento, está prohibido intentar nuevos contactos (artículo 26).
13. Nuevas infracciones: se han incorporado nuevas infracciones leves, graves y muy graves. Entre las infracciones leves (artículo 132) están el brindar información incompleta de al menos dos condiciones del tratamiento de los datos personales (como lo señala el artículo 18 de la Ley de protección de datos personales), el no designar al Oficial de Datos Personales dentro del plazo de ley, y atender fuera de plazo el ejercicio de los derechos ARCO de los titulares. Entre las infracciones graves (artículo 133) están el no inscribir o actualizar los bancos de datos personales en el Registro Nacional a pesar de haber sido requerido por la autoridad, y el obstruir la función fiscalizadora de la autoridad competente. Finalmente, entre las infracciones muy graves (artículo 134) está el no realizar el tratamiento de datos personales sensibles con las medidas de seguridad pertinentes.
El reglamento entrará en vigor el 29 de marzo de 2025 (120 días desde su publicación), sin embargo, existen diversas disposiciones que cuentan con un plazo diferente para su implementación. Por ejemplo, el plazo para implementar la figura del oficial de datos personales dependerá del monto de ventas anuales de la entidad, variando desde 1 a 4 años desde la fecha de publicación del reglamento, mientras que el nuevo derecho de portabilidad de datos personales entrará en vigor en los seis meses posteriores a la entrada en vigor del reglamento.
Catherine Escobedo es Of-Counsel de BARLAW – Barrera y Asociados.
