Alexandra Egas, de Dentons: “A pesar del esfuerzo Perú no alcanza los estándares de la normativa europea en protección de datos”

“Existe un firme compromiso en garantizar la privacidad y seguridad de la información personal. Sin embargo, la colaboración activa entre las empresas y las autoridades desempeña un papel fundamental para lograr un cumplimiento eficaz de la normativa y promover una cultura sólida de protección de datos en el país”
10 de octubre de 2023 |
Por Heidi Maldonado

En un escenario global caracterizado por la creciente digitalización, la protección de datos personales emerge como un tema de profunda relevancia, enfrentando a gobiernos, empresas y ciudadanos a nuevos desafíos en la salvaguarda de la información confidencial y sensible. En este contexto, el Perú ha tomado medidas significativas para adaptarse a este panorama en evolución, aunque subsisten retos importantes en el cumplimiento y aplicación de las normativas de protección de datos.

La Ley de Protección de Datos Personales Nº 29733 y su Reglamento, aprobado por Decreto Supremo N° 003-2013-JUS, buscan garantizar el derecho fundamental de todos los peruanos a la protección de sus datos personales, y toma como referencia el artículo 2 de la Constitución, el cual establece el derecho a que no se suministre información que afecte la intimidad personal y familiar.

Por lo tanto, dicha ley establece los principios y obligaciones fundamentales de las instituciones públicas y privadas para el manejo de este tipo información.

¿Cómo y de qué manera ha evolucionado y se ha adaptado al contexto actual esta normativa? Sobre el tema conversamos con Alexandra Egas, asociada de Dentons Perú, quien en las próximas líneas nos habla de las sanciones y obligaciones que deben cumplir en esta materia sus actores, comparamos la legislación peruana, por ejemplo, con sus pares de México, Colombia, Brasil e incluso Chile y también hablamos de los retos y desafíos para los próximos años.

Novedades del nuevo proyecto de Reglamento de la Ley de Protección de Datos Personales

«A pesar de que la normativa entró en vigencia en el 2013, actualmente se encuentra en desarrollo un proyecto de reglamento actualizado. Este esfuerzo busca adaptar la regulación a los cambios provocados por el avance de la tecnología digital, lo que incluye aspectos como el comercio electrónico, la inteligencia artificial y la elaboración de perfiles con datos personales, entre otros.

Podemos considerar que el Perú ha tomado medidas significativas para adaptarse a este panorama en evolución, aunque subsisten aún retos importantes en el cumplimiento y aplicación de las normativas de protección de datos. Se evidencia que las empresas aún se encuentran en un proceso de adaptación para asegurar el pleno cumplimiento de la regulación. Esta situación puede atribuirse a diversos factores, como la compleja naturaleza de las regulaciones, la carencia de recursos o conocimientos especializados en materia de protección de datos, o incluso a una percepción equivocada de que las regulaciones no tienen relevancia directa para su respectiva industria.

Desde que se promulgó la Ley y el Reglamento de protección de datos personales, ambos instrumentos normativos han sufrido pocas modificaciones, sin embargo, han sido complementados por otros instrumentos en forma de guías que han sido emitidos por la Autoridad Nacional de Protección de Datos Personales, tales como la Directiva de Seguridad, que orienta sobre las medidas técnicas que se deben implementar para cumplir con la normativa local, y la Guía de Implementación para la Transferencia Internacional de Datos Personales, que orienta sobre cláusulas contractuales modelo para la transferencia de datos personales fuera del territorio peruano».

Sin embargo, la experta precisó que una gran muestra del deseo de adaptación al contexto actual es la intención de la modificación completa del Reglamento que ha sido publicado como proyecto, el cual tendría, entre otras, las siguientes novedades:

  • Derecho de portabilidad de los datos personales: El proyecto incluye la posibilidad de que el interesado solicite la transmisión de sus datos, en un formato estructurado, de uso común y lectura mecánica, de un titular de banco de datos a otro.
  • Aplicación territorial: Se agregan como supuestos de aplicación territorial a los responsables del tratamiento que no se encuentren ubicados en territorio peruano, pero (i) realicen actividades relacionadas con la oferta de bienes o servicios a interesados ubicados en Perú o (ii) realicen actividades orientadas al análisis de conductas de interesados ubicados en Perú.
  • Definición de Incidente de Seguridad y obligación de notificación: Se agrega la definición de lo que se entiende por incidente de seguridad y se establece la obligación de notificar en un plazo de 48 horas a la Autoridad Nacional de Protección de Datos sobre cualquier incidente de seguridad que afecte los datos.
  • Oficial de Datos Personales: El proyecto contempla la obligación de los titulares de bancos de datos y/o encargados del tratamiento de datos personales pertenecientes al sector privado a contar con un Oficial de Datos Personales, quien tendrá, entre otras, las funciones de (i) asesorar al titular del banco de datos y empleados sobre las obligaciones de la ley de datos personales, (ii) supervisar el cumplimiento de dicha ley, (iii) cooperar con la autoridad de datos personales y (iv) actuar como punto de contacto con la autoridad.
  • Países con un «nivel adecuado de protección»: Se regula que la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales publicará un listado de países que considera que cumplen el «nivel adecuado de protección» para la transferencia internacional de datos personales.
  • Evaluación de impacto relativo a la protección de datos: No se establece como obligación, pero sí como posibilidad que los titulares de bancos realicen antes del tratamiento de datos (especialmente cuando procesan datos de menores, crean perfiles o procesan grandes volúmenes de datos) una evaluación del impacto relativo a la protección de dichos datos personales que se podrá elaborar tomando como referencia los controles y procedimiento establecidos en la NTP-ISO/IEC 27005:2018 y la NTP-ISO 31000:2018 relacionados con el análisis y la evaluación de riesgos.

¿Cómo está en términos de comparación la legislación peruana en esta materia, por ejemplo, con sus pares de México, Colombia, Brasil e incluso Chile?

En el contexto latinoamericano, México se destaca por contar con normativas de evaluación de impacto del tratamiento de datos y uso de cookies, mientras que Colombia y Brasil son referentes en la región. En este contexto, el Perú presenta similitudes con la regulación colombiana, mientras que Chile muestra un menor grado de desarrollo normativo en esta esfera.

¿Si bien hemos hablado de que la ley de protección de datos en Perú ha evolucionado podrías afirmar entonces que aún no alcanza los estándares de la normativa europea?

A pesar de los avances logrados en la implementación de un marco normativo para la protección de datos, aún subsiste un cierto rezago en comparación con otras jurisdicciones. La legislación peruana, si bien evoluciona, no alcanza aún los estándares de la normativa europea en esta área.

Algunas de las diferencias que quedarían reducidas de promulgarse el nuevo proyecto de Reglamento de la Ley de Protección de Datos Personales serían la obligación de contar con un Oficial de Protección de Datos Personales y el deber de notificar incidentes de seguridad a la Autoridad Nacional de Datos Personales. Sin embargo, aun prevalecerían diferencias, tales como la legitimación del procesamiento de datos basada en el interés legítimo, las evaluaciones de impacto de forma obligatoria y las altas multas que superan por creces las implementadas en el Perú, alcanzado los millones de euros.

¿Cuáles son los desafíos para los próximos años en materia de protección de datos en Perú e Iberoamérica en general?

El desafío principal en el país será concientizar a las empresas y a la población en general sobre la privacidad de los datos personales y el uso o procesamiento limitado de los mismos, así como encontrar un punto de conexión y comunicación con la autoridad que pueda resolver dudas que surgen al momento de implementar la normativa en el día a día, pues ésta lamentablemente no puede responder a todos los supuesto que surgen en la realidad ni avanzar al mismo ritmo que avanza la tecnología en el mundo. Por ello, será especialmente interesante, de aprobarse el proyecto del nuevo reglamento de la ley de protección de datos personales, seguir el papel y desarrollo del Oficial de Datos Personales quien, de funcionar como se espera, tendrá un papel clave en las empresas privadas como punto de contacto más directo con la autoridad.

¿Qué se necesita para que en un mundo cada día más digitalizado se dé una real cooperación entre el gobierno, las empresas y los ciudadanos?

Es evidente que existe un firme compromiso en garantizar la privacidad y seguridad de la información personal. Sin embargo, la colaboración activa entre las empresas y las autoridades desempeña un papel fundamental para lograr un cumplimiento eficaz de la normativa y promover una cultura sólida de protección de datos en el país.

Para ello, es esencial contar con un marco legal y regulatorio sólido que defina las responsabilidades y los derechos de cada parte; y en constante evolución para abordar los desafíos digitales contemporáneos; así como la promoción de la colaboración entre todos los actores para el diseño de estrategias efectivas y posibles, que tampoco generen un costo de implementación excesivamente alto para las empresas, sobre la protección de datos.

¿Finalmente podríamos decir que sí hay interés de la población y el gobierno en crear y aplicar herramientas legales que protejan y aseguren la privacidad de la información personal?

Sí es posible afirmar que hay un interés creciente por crear y fortalecer las herramientas legales que protejan y aseguren la privacidad y seguridad de la información personal en un mundo cada vez más digitalizado. Por parte del gobierno, en los últimos años, se observa el esfuerzo por actualizar y mejorar las leyes y regulaciones relacionadas con la protección de datos.

Este interés se ha visto impulsado por una serie de factores, incluyendo la mayor conciencia sobre los riesgos de seguridad cibernética y a los diversos incidentes y denuncias relacionadas al manejo de la información personal.

En última instancia, el interés en la protección de la privacidad y la seguridad de la información personal es un aspecto importante en la agenda tanto de la población como del gobierno en muchas partes del mundo, y se espera que continúe evolucionando en respuesta a los desafíos digitales en constante cambio.