El 30 de noviembre se publicó el Decreto Supremo 016-2024-JUS, que aprueba el nuevo Reglamento de la Ley 29733 – Ley de Protección de Datos Personales, el cual entrará en vigencia el 31 de marzo de 2025.
Entre las principales modificaciones que introduce el reglamento se destacan las siguientes:
1. Ámbito de aplicación territorial
El reglamento también se aplicará si el titular del banco de datos o el responsable no está establecido en Perú, pero lleva a cabo actividades de oferta de bienes o servicios dirigidos a titulares de datos personales en el país, o realiza análisis de comportamiento y elaboración de perfiles de dichos titulares.
2. Principios rectores
Se incorporan los siguientes principios:
- Transparencia: El tratamiento debe ser informado de manera permanente, clara, fácil de entender y accesible al titular de los datos personales.
- Responsabilidad proactiva: En el tratamiento se deben aplicar las medidas legales, técnicas y organizativas a fin de garantizar el cumplimiento de la normativa, y el titular del banco de datos personales debe ser capaz de demostrar tal cumplimiento.
3. Oficial de Datos Personales
Se incorpora la figura del Oficial de Datos Personales que deberá ser designado bajo ciertos supuestos establecidos por el reglamento. Se estable su implementación progresiva:
Para empresas con ventas anuales superiores a 2300 UIT | → 1 año después de la fecha de publicación del presente reglamento |
Para empresas medianas con ventas anuales superiores a 1700 UIT y hasta el monto máximo de 2300 UIT | → 2 años después de la fecha de publicación del presente reglamento |
Para pequeñas empresas con ventas anuales superiores a 150 UIT y hasta el monto máximo de 1700 UIT | → 3 años después de la fecha de publicación del presente reglamento |
Para microempresas con ventas anuales hasta el monto máximo de 150 UIT y otros equivalentes | → 4 años después de la fecha de publicación del presente reglamento |
4. Gratuidad para la inscripción de banco de datos personales
La inscripción del banco de datos personales, incluyendo su modificación y cancelación son gratuitos.
5. Evaluación de impacto
Mecanismo por el cual el titular o responsable realiza un análisis de impacto o evaluación de los riesgos asociados antes del tratamiento de datos personales.
6. Incidente de seguridad y su notificación
Ante una vulneración de seguridad, se debe notificar dicho incidente, inclusive subsanado, a la Autoridad Nacional de Protección de Datos Personales en un plazo máximo de 48 horas. Asimismo, se debe documentar el incidente.
En caso el incidente afecte al titular en otros de sus derechos, se le debe comunicar en un plazo máximo de 48 horas.
En entornos digitales, además de notificar a la Autoridad Nacional de Protección de Datos Personales, se debe comunicar al Centro Nacional de Seguridad Digital para la incorporación del incidente en el Registro Nacional de Incidentes de Seguridad Digital.
7. Portabilidad de datos personales
Se incorpora el derecho de portabilidad por lo cual el titular puede solicitar que sus datos se transmitan de un titular de banco de datos a otro cuando sea técnicamente posible. En caso el titular no tenga tal capacidad técnica, debe acreditar dicha situación ante un eventual procedimiento trilateral de tutela, en tanto corresponda.
8. Tratamiento para publicidad y prospección comercial
Se incorpora la posibilidad de realizar un primer contacto con el titular del dato personal con el objetivo de obtener su consentimiento para dichos fines.
9. Medidas correctivas
Se precisa el alcance de algunas medidas correctivas:
- Cese de tratamiento.
- Eliminación de datos.
- Acciones para revertir el efecto nocivo de una conducta infractora.
- Atención inmediata del derecho solicitado.
10. Atenuantes de responsabilidad
Además de precisar los alcances de la colaboración con la Autoridad y reconocimiento expreso de la infracción cometida, se han incorporado como atenuantes de responsabilidad administrativa: (1) la implementación del Código de Conducta; y, (2) la implementación de la Evaluación de impacto.
11. Nuevas infracciones
Entre algunos de los nuevos supuestos de infracción encontramos:
Infracciones leves
- Informar de manera incompleta sobre el tratamiento de sus datos personales – 2 o menos de 2 condiciones.
- No designar al Oficial de Datos Personales, cuando así corresponda.
Infracciones graves
- No informar o informar de manera incompleta sobre el tratamiento de sus datos personales – 3 a más condiciones del tratamiento.
- No comunicar a la Autoridad Nacional de Protección de Datos Personales un incidente de seguridad.
Infracciones muy graves
- Realizar tratamiento de datos personales sensibles incumpliendo las medidas de seguridad y generando un perjuicio al titular del dato personal o una exposición no autorizada de sus datos personales.
Para mayor información, contactar con Alejandro Castro (alejandrocastro@unionandina.com)