El Poder Ejecutivo del Perú ha aprobado recientemente el nuevo reglamento de la Ley 29733, Ley de Protección de Datos Personales, a través del Decreto Supremo 016-2024-JUS, publicado en el diario El Peruano. Esta normativa, impulsada por la Dirección General de la Autoridad Nacional de Protección de Datos Personales (ANPD), del Ministerio de Justicia y Derechos Humanos, marca un paso significativo en la actualización de las regulaciones peruanas relacionadas con la privacidad y la seguridad de los datos personales. El objetivo de este reglamento es fortalecer la protección de los derechos de los ciudadanos en un contexto digital cada vez más complejo y dinámico.
Un Marco Normativo Más Robusto para la Era Digital
El nuevo reglamento tiene como eje central la actualización de la normativa vigente en protección de datos personales, para adecuarse a los avances y retos que plantea la era digital. Eduardo Luna, director general de la ANPD, destacó que la implementación de este reglamento refuerza la defensa de los datos personales, lo que resulta especialmente relevante en un entorno tecnológico en constante cambio. Según Luna, la norma responde a la necesidad de mantener un marco regulador que permita una protección efectiva de los datos personales, no solo en el ámbito local, sino también en el contexto internacional.
Evaluación de Impacto: Un Mecanismo Preventivo Clave
Una de las innovaciones más destacadas de este nuevo reglamento es la introducción de la figura de la evaluación de impacto. Este mecanismo preventivo será de aplicación obligatoria para todas aquellas entidades o empresas que realicen el tratamiento de datos personales. La evaluación de impacto tiene como propósito identificar posibles riesgos para la seguridad y privacidad de los datos desde la fase de planificación, permitiendo la adopción de medidas de seguridad adecuadas de manera anticipada. De esta forma, las organizaciones podrán reducir el riesgo de incidentes de seguridad, protegiendo los derechos de los titulares de los datos.
Este enfoque preventivo también se complementa con la obligación de implementar códigos de conducta y reportar incidentes de seguridad que involucren datos personales. Las empresas y entidades deberán notificar estos incidentes dentro de un plazo máximo de 48 horas, lo que fortalecerá la confianza de los usuarios en las instituciones que manejan sus datos personales. A nivel de sanciones, la adopción de estas medidas preventivas puede tener un impacto positivo, ya que se consideran atenuantes en el caso de infracciones, lo que puede reducir el monto de las multas administrativas.
Seguridad de los Datos: Un Enfoque Más Rígido y Actualizado
El reglamento también introduce una actualización en las normas de seguridad para el tratamiento de datos personales, alineándose con las normas ISO más recientes. En particular, destaca la incorporación de la NTP-ISO/IEC 27001, que establece las mejores prácticas para la gestión de la seguridad de la información, con especial énfasis en las tecnologías de la información. Esta actualización busca garantizar que las empresas adopten las medidas de seguridad necesarias para proteger los datos personales de sus usuarios de manera efectiva.
Además, el reglamento impone una nueva obligación a las empresas: deberán informar a los usuarios afectados sobre el nivel de exposición de sus datos personales en caso de una brecha de seguridad. Esta obligación refuerza la transparencia y la confianza en el manejo de los datos personales, permitiendo que los ciudadanos tomen decisiones informadas sobre su privacidad.
La Figura del Oficial de Datos Personales: Expansión de Responsabilidades
El reglamento también extiende la figura del Oficial de Datos Personales, un rol fundamental en la gestión de la privacidad y seguridad de los datos. La normativa establece que, en un plazo máximo de cuatro años, todas las empresas que manejen grandes volúmenes de datos o que se dediquen al tratamiento de datos sensibles, como los datos de salud, biométricos o la afiliación sindical, deberán designar a un Oficial de Datos Personales. Esta medida es fundamental para garantizar que las organizaciones cuenten con profesionales capacitados para cumplir con las obligaciones establecidas en la Ley de Protección de Datos Personales.
El Oficial de Datos Personales será el responsable de velar por el cumplimiento de la legislación, supervisando el tratamiento adecuado de los datos y asegurando que se implementen las medidas de seguridad pertinentes. De esta manera, las empresas estarán mejor preparadas para cumplir con la normativa y proteger los derechos de los titulares de los datos.
Derechos de los Usuarios: Nuevas Garantías y Portabilidad de Datos
El reglamento también amplía el entendimiento de algunos derechos de los ciudadanos en relación con sus datos personales. Uno de los avances más significativos es el reconocimiento de la portabilidad de los datos, que se considera una manifestación del derecho de acceso a los datos personales. Esta figura permitirá que los ciudadanos accedan a sus datos y los trasladen de manera sencilla a otro responsable o titular de bancos de datos personales, siempre que las condiciones tecnológicas lo permitan y no impliquen costos irrazonables.
Este derecho a la portabilidad de los datos se suma a otros derechos fundamentales que protegen la privacidad de los ciudadanos, como el derecho de acceso, rectificación, cancelación y oposición. La portabilidad, además, facilita el intercambio de información entre diferentes servicios, lo que puede beneficiar tanto a los usuarios como a las empresas, al fomentar la transparencia y la competencia en el mercado.
Protección de los Derechos de los Menores
Un aspecto relevante del nuevo reglamento es el énfasis en la protección de los datos personales de los menores de edad, especialmente en el contexto de plataformas en línea y juegos virtuales. Para los menores de 14 años, la norma establece que el consentimiento para el tratamiento de sus datos personales debe ser otorgado por sus padres o tutores. Sin embargo, para los adolescentes mayores de 14 años, se reconoce su capacidad para otorgar el consentimiento de manera directa, siempre que se adopten políticas de privacidad claras y adaptadas a su comprensión.
Además, la normativa impone restricciones sobre la recolección de información socioeconómica de los padres o tutores a través de los menores. Esta medida busca evitar que las plataformas en línea recopilen información sensible sin el conocimiento o consentimiento de los responsables legales.
Flexibilidad para las Empresas y Adaptación a la Normativa
El nuevo reglamento también proporciona un marco flexible para que las empresas que tratan datos personales puedan cumplir con la legislación peruana. A través de un procedimiento simplificado y gratuito, las empresas pueden inscribir, modificar o cancelar los bancos de datos personales ante el registro que administra la ANPD. Este proceso ahora se realiza de manera automática, lo que facilita el cumplimiento de la normativa sin generar cargas adicionales para las organizaciones.
Conclusión: Perú en la Vanguardia de la Protección de Datos Personales
Con la aprobación del nuevo reglamento de la Ley 29733, Perú se posiciona a la vanguardia en cuanto a la legislación en protección de datos personales en América Latina. El reglamento introduce importantes avances en materia de seguridad digital, derechos de los usuarios y responsabilidades de las empresas, lo que permitirá una mayor protección de la privacidad de los ciudadanos peruanos. A través de mecanismos preventivos como la evaluación de impacto, la figura del Oficial de Datos Personales y el fortalecimiento de los derechos de los usuarios, el reglamento establece un marco sólido para enfrentar los desafíos de la era digital.
A medida que las tecnologías evolucionan, es fundamental que las leyes y normativas se actualicen para garantizar que los derechos de los ciudadanos sean respetados y protegidos. Con este nuevo reglamento, Perú demuestra su compromiso con la protección de los datos personales y la seguridad digital, alineándose con las mejores prácticas internacionales y garantizando un entorno más seguro para el manejo de la información personal en el país.