Fátima Toche, gerente legal de Iriarte & Asociados, considera que el nuevo Reglamento de la Ley 29733, Ley de Protección de Datos Personales, impone medidas que permitirán fortalecer la protección de datos personales y responde a las exigencias que impone la sociedad digital en la que vivimos. Y si bien es perfectible, supone un avance en la protección de los ciudadanos.
¿Cuál es el principal aporte de este reglamento y qué significará para las empresas y organismos públicos su vigencia?
El reglamento actualiza y fortalece el marco normativo de protección de datos personales en el Perú, alineándose con estándares internacionales y respondiendo a los desafíos de la era digital. Introduce principios como la transparencia y la responsabilidad proactiva, establece el derecho de portabilidad de datos y obliga a notificar incidentes de seguridad en plazos específicos. Para las empresas y organismos públicos, esto implica la necesidad de implementar políticas y medidas de seguridad más robustas, designar Oficiales de Datos Personales en ciertos casos y garantizar el cumplimiento de las nuevas obligaciones para evitar sanciones.
¿Se modifican los plazos para informar a la ANPD sobre filtraciones de datos, tal como adelantó su director a principios de mes en el Congreso?
Sí, el reglamento establece una nueva obligación en cuanto a incidentes de ciberseguridad, que el titular del banco de datos o el responsable del tratamiento debe informar a la Autoridad Nacional de Protección de Datos Personales (ANPD) sobre cualquier brecha de seguridad en la que se hayan expuesto datos personales en un plazo máximo de 48 horas desde que se tenga conocimiento o constancia de ella.
Este plazo es más estricto que el establecido en normativas como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que fija un límite de 72 horas. Además, si la brecha afecta los derechos de los titulares de los datos, se debe comunicar también a estos en el mismo plazo, utilizando un lenguaje claro y sencillo.
¿Qué significará en la práctica este nuevo reglamento? ¿Se mejora la aplicación de controles?
En la práctica, el reglamento exigirá a las organizaciones una revisión y, posiblemente, una reestructuración de sus políticas y procedimientos relacionados con el tratamiento de datos personales. La implementación de evaluaciones de impacto, la designación de Oficiales de Datos Personales y la adopción de medidas de seguridad específicas contribuirán a una gestión más efectiva y segura de los datos. Esto mejorará la aplicación de controles y aumentará la confianza de los ciudadanos en el manejo de su información personal.
¿Qué le faltaría o qué se puede perfeccionar?
Aunque el reglamento representa un avance significativo, siempre hay espacio para mejoras. Podría considerarse la inclusión de guías más detalladas para la implementación práctica de las nuevas obligaciones, especialmente para pequeñas y medianas empresas que pueden carecer de recursos especializados. Además, sería beneficioso establecer mecanismos de cooperación internacional para el tratamiento de datos transfronterizos y fomentar una cultura de protección de datos a través de programas de capacitación y concientización.
Para profundizar más en el tema los invitamos a revisar las siguientes entrevistas:
Dr. Erick Iriarte Ahon, CEO de eBIZ
Eduardo Luna, director general de la Autoridad Nacional de Protección de Datos Personales (ANPD)
Gabriela Bolaños, asistente de investigación de Open African Innovation Research (Open AIR)
