El sábado 30 de noviembre finalmente se publicó en el diario oficial El Peruano el Decreto Supremo 016-2024-JUS que aprueba el nuevo Reglamento de la Ley N°. 29733, Ley de Protección de Datos Personales. «Es un reglamento que trae una profunda actualización de la normativa peruana de protección de datos personales y que potenciará la defensa de estos en los escenarios siempre cambiantes de la era digital», afirmó Eduardo Luna, director general de la Autoridad Nacional de Protección de Datos Personales (ANPD).
El Reglamento llega luego de 10 años de la última versión, incluyendo haber pasado por una pandemia que impulsó la digitalización, y permite atender esta nueva realidad de un Perú con una mayor población conectada, comentó el Dr. Erick Iriarte Ahon, CEO de eBIZ. «El reglamento que se pone en vigencia toma muchas nuevas situaciones y las plantea en un reglamento que es sin duda perfectible, pero da un espacio para el dialogo. Confiamos en que la autoridad irá desarrollando soluciones adecuadas dentro del marco normativo», apuntó Iriarte.
Eduardo Luna había adelantado a principios de noviembre, durante su presentación en el Congreso de la República para explicar el incidente de filtración de datos de Interbank, que, luego de haber sido pulido por más de un año, el texto ya estaba listo para entrar al Consejo de Ministros y sería publicado antes de cerrar el 2024, lo cual se ha cumplido.
En dicha ocasión adelantó que se pedirá a las empresas y organismos públicos un reporte oportuno de incidentes de seguridad que impliquen datos personales en un plazo de 48 horas en principio, salvo excepción justificada. Cumplir con esta medida, explicó, tendrá un efecto atenuante al momento de imponer las multas administrativas correspondientes.
El nuevo reglamento, según la ANPD, ha sido ampliamente discutido y recoge más de 800 observaciones y propuestas de más de 50 entidades. Además, indicaron que ha pasado con solvencia los exámenes de calidad regulatoria y las observaciones de todos los sectores del Poder Ejecutivo.
Como se recordará, cuando la ANPD propuso el borrador del Reglamento el año pasado, surgieron varias recomendaciones de mejora, las cuales fueron abordadas desde el especial de eBIZ Noticias «¿Remodelando la Ley de Datos Personales?».
En los próximos meses se podrá ir trabajando nuevos aspectos, añadió Iriarte, sobre todo en lo relativo al uso de los datos personales en el contexto del desarrollo de soluciones de inteligencia artificial. Además, dijo, se podrá observar en su aplicación que no se den o aplican limitaciones a las libertades y derechos fundamentales del ser humano, incluida la libertad de expresión y comunicación.
Principales variaciones
La ANPD informó que el nuevo reglamento impone la obligación de informar a los afectados en sus derechos sobre el nivel de exposición de sus datos en caso de sufrir una filtración debido a una brecha de seguridad, además de reportarlo a la ANPD. Esto deberá suceder dentro de las 48 horas siguientes. Otra de las novedades del nuevo reglamento es que establece la figura del Oficial de Datos Personales, quien deberá designarse de modo progresivo dependiendo del tipo de negocio o la cantidad de datos sensibles manejados. El máximo de adecuación contemplado será de cuatro años.
El oficial de datos será el responsable de evaluar todo el flujo de información en la empresa. Cada organización deberá depurar sus fuentes de datos para disminuir los riesgos y restructurar sus políticas de manejo de datos y seguridad en el manejo de estos, de ser necesario. Es muy probable que incorporar al oficial de datos y adquirir la tecnología necesaria para detectar posibles fugas de datos implique elevar el presupuesto de la materia.
El nuevo reglamento impone la obligación de informar a los afectados en sus derechos sobre el nivel de exposición de sus datos en caso de sufrir una filtración debido a una brecha de seguridad, además de reportarlo a la ANPD. Esto deberá suceder dentro de las 48 horas siguientes.
Además, con el reglamento se amplía el entendimiento de algunos derechos, como el reconocimiento de la portabilidad como una manifestación del derecho de acceso a los datos personales. Siempre que no implique costos irrazonables en su implementación, se dispone el acceso y traslado de los datos a otro responsable o titular de bancos de datos personales.
La ANPD informó que el nuevo texto modula la potestad sancionadora en varios tipos de infractores, además de que simplifica y hace gratuito el procedimiento para la inscripción, modificación y cancelación de bancos de datos personales ante el registro que administra la ANPD. Ahora, aclararon, esto será de aprobación automática.
Con relación a los menores de edad, ANPD señaló que se perfecciona la norma con algunas disposiciones añadidas. Por ejemplo, para mayores de 14 años se establece que pueden prestar su consentimiento para el uso de datos para ciertas plataformas y juegos en línea, pero se remarca la necesidad de políticas de privacidad en un lenguaje adecuado y de fácil comprensión para dicho público. Incluso, se establece también una prohibición para recabar a través de ellos información socioeconómica de los padres o tutores.
Para profundizar más en el tema los invitamos a revisar las siguientes entrevistas:
Fátima Toche, gerente legal de IALaw
Gabriela Bolaños, asistente de investigación de Open African Innovation Research (Open AIR)
