Protección de datos personales: un derecho (y un deber) poco desconocido

lopd_peru

Por Cynthia Téllez Gutiérrez

Hoy 8 de mayo se cumple un año de la entrada en vigencia de toda la Ley 29733, Ley de Protección de Datos Personales, y de su Reglamento. Esta normativa busca proteger la información personal de todos los ciudadanos cuyos datos sean tratados en el Perú. Es decir: funciona como un seguro para las personas en caso se detecte algún tipo de abuso en el uso en su información en el ámbito comercial, financiero o por contratos de diverso tipo.

La ley y su reglamento también establecen parámetros para transferir, vender y compartir la información de los ciudadanos, sea que esta se comparta con un el bodeguero, una empresa, una tienda por departamentos o hasta una entidad pública como RENIEC. A pesar de esta especificidad, y de los esfuerzos de la Autoridad de Protección de Datos Personales, los alcances de esta normativa no han llegado a toda la población. El derecho a la protección de los datos personales sigue siendo un derecho desconocido.

En nuestra época los datos personales suelen ser de dominio público: desde antes de nacer nuestros datos personales interactúan con terceros (hospitales, tiendas de bebes, entre otros); y la información de nuestras actividades, perfiles y de identificación son un activo comercial cuya actualización a lo largo de nuestra vida se convierte en un insumo importante para diferentes mercados de consumo. Los peruanos no somos conscientes aún de esta apreciación económica del uso de nuestros datos, por lo que la mayoría de ciudadanos no sabemos cómo parar las intromisiones en nuestra vida a pesar de ya tener un derecho constitucional y una normativa especializada en nuestra defensa.

La Legislación peruana ha encargado a todas las entidades públicas o privadas, sin importar si son nacionales o internacionales, para proteger los datos personales que administren o recolecten.

Si un banco de datos personales fue creado antes del Reglamento de la Ley, entonces el responsable legal de dicha base de datos personales tendrá hasta el 8 de mayo de 2015 para implementar todas las exigencias legales de la Ley y su Reglamento.

Por ejemplo: debe asegurarse de contar con las autorizaciones de la personas para usar y tratar sus datos, y que estas autorizaciones cumplan con los requisitos legales como que se hayan sido emitidos de forma expresa. También debe implementar medidas de seguridad legales, organizativas y técnicas, realizar la inscripción del banco de datos, notificar ante la Autoridad Nacional del protección de datos personales en caso de exportar el banco al extranjero, entre las principales obligaciones.

Handbook

Las principales obligaciones que todo responsable de una banco de datos personales de administración privada  debe cumplir, sin importar su fecha de creación, se han expuesto en el Handbook Nº6 – Protección de Datos Personales, Entidades Privadas, elaborado por el estudio Iriarte & Asociados.

Las multas por incumplimiento de estas obligaciones serán desde S/.1.900 hasta S/.380.000, además la Autoridad de control puede dictar medidas correctivas y de embargo, que podrían ir desde bloquear el uso de los bancos de datos hasta ordenar la supresión de estos.

La divulgación de este documento es a fin de ayudar a las entidades privadas a cumplir esta normativa, fortalecer la imagen de las empresas como puertos seguros de este tipo de información y agentes confiables tanto para el mercado interno como internacional; además de colaborar en el desarrollo de una cultura de protección de datos personales.

En evidente que la difusión de estas normativas ha sido deficiente dado a su poco alcance tanto para la ciudadanía beneficiada como para las entidades obligadas: según el balance 2013 de la Dirección de Protección de Datos Personales, adscrita al Ministerio de Justicia, el año que pasó se inscribieron sólo 77 bases de datos. Trece de ellas pertenecían a dos entidades públicas, y las 64 restantes a 32 personas jurídicas.

Es cierto que la Autoridad de Protección de Datos Personales no puede obligar a ninguna institución a que inscriba su base de datos en el registro, pero lo que sí puede es realizar inspecciones inopinadas para evaluar si se cumplen con los parámetros establecidos por la ley, y aplicar una sanción de ser necesario.

Artículo publicado por la autora en Iriarte & Asociados.