Nelson Remolina Angarita, director del GECTI (Grupo de Estudios en Internet, Comercio Electrónico, Telecomunicaciones e Informática) de la Universidad de Los Andes y Joana Marí Cardona, delegada de protección de datos y responsable de Proyectos Estratégicos de la Autoridad Catalana de Protección de Datos de la Generalitat de Catalunya, fueron los invitados internacionales del webinar. Desde Perú participaron el Dr. Erick Iriarte Ahon, CEO de eBIZ y Fátima Toche Vega, gerente legal de IALaw.
El encuentro permitió tener una mirada analítica sobre el reglamento, nutriendo la perspectiva local con la mirada europea y colombiana. Como es de esperar, la evolución de la realidad conlleva una adecuación de la normativa, tanto a nivel internacional como local. En el caso del presente reglamento para Perú, se incorporan muchos de los criterios que ya se venían aplicando y se amplia la protección a nuevas circunstancias. El gran desafío es lograr su plena puesta en práctica, coincidieron los expertos invitados.
Eduardo Luna Cervantes, director de la Autoridad Nacional de Protección de Datos Personales (ANDP), inició la reunión dando un detalle de los nuevos desafíos en el entorno digital peruano que genera el nuevo Reglamento de la Ley de Protección de Datos Personales, publicado 11 años después de entrar en vigor la primera versión. En su presentación, Luna, resaltó que esta norma explicita la idea de realizar una evaluación de impacto en el tratamiento de los datos por parte de las empresas. Esta medida preventiva es una regla universal e implica que el responsable del manejo de la información personal de los clientes cuide el respeto de sus derechos.
El oficial de datos personales que deberán tener tanto los actores públicos como privados tiene el objetivo de adoptar medidas de seguridad para garantizar el cuidado de la información personal y concientizar en las organizaciones sobre el tratamiento que se debe dar a las bases de datos, dijo. «Se trata de ser diligentes a la hora de anticipar escenarios de riesgo para poder adoptar las medidas de seguridad que correspondan», señaló.
A manera de flexibilización se establece que la inscripción en las bases de datos ahora sea gratuita, añadió. El procedimiento de aprobación será automático para que las organizaciones no tengan motivos o pretextos para no inscribirse, aclaró. También se simplifican las indicaciones que se dan a menores para garantizar la adecuada comprensión de lo que significa compartir sus datos.
En torno a las llamadas spam, se busca evitar medidas «draconianas» en el legislativo, ante los abusos de llamadas sin consentimiento, con medidas sencillas y equilibradas. Con el reglamento se busca que el responsable del tratamiento de los datos de los clientes informe a todos los call center que subcontrata de que esta persona no desea ser contactado más.
El acoso en línea es un tema que está siendo considerado en el reglamento, añadió Luna, y por eso se ha introducido en las definiciones a los «hostigadores en línea». La idea es ampliar la protección para evitar que a través de una identificación indirecta se tome información personal y se asuma seguimiento no consentido tanto en términos publicitarios como en violencia doméstica o de género. En localidades pequeñas se puede identificar a los padres en base a data compartida por los niños y atosigarlos con publicidad o mensajes inapropiados, dando lugar a otro tipo de delitos.
En materia de ciberseguridad se está ampliando la obligación de reportar incidentes, remarcó. Ya existe la obligación de notificar a la autoridad cualquier incidente que involucre datos personales, explicó, pero el reglamento ahora pide un reporte dentro de las 48 horas siguientes al incidente que afecte datos personales, tanto del sector público como privado. El plazo puede ser mayor si las justificaciones lo sustentan y debe precisarse si se trata de un volumen considerable de datos los vulnerados.
Eduardo Luna culminó su presentación recordando que las conductas infractoras cometidas previamente a la entrada en vigor del reglamento se seguirán rigiendo por el anterior texto, al igual que las actividades de fiscalización y los procedimientos administrativos ya iniciados. Las empresas tienen entonces un plazo adecuado para poder asumir las nuevas exigencias, resaltó.
Manos a la obra
Al momento de su intervención, Fátima Toche felicitó la publicación del reglamento y la apertura que se tuvo para recibir sugerencias al momento de su elaboración. Aclaró que el reglamento no los ha tomado por sorpresa, porque las modificaciones lo que están haciendo es introducir criterios interpretativos que ya tenía la autoridad desde bastante tiempo atrás y tocaba introducirlas a la normativa.
«El reglamento es positivo porque va a permitir la incorporación de elementos que van a ser muy provechosos para la garantía de los derechos y las libertades de las personas justamente cuando se ven impactados por el tratamiento de datos de carácter personal».
Joana Marí Cardona, delegada de protección de datos y responsable de Proyectos Estratégicos de la Autoridad Catalana de Protección de Datos de la Generalitat de Catalunya
El Dr. Erick Iriarte, CEO de eBIZ, resaltó que el documento incluya la protección de los datos cuando viajan de un proveedor a otro y que en este procedimiento se haya incluido las recomendaciones y sugerencias realizadas por los actores del ecosistema. Y aunque queda una tarea pendiente para aplicar en nuevas directivas que se adecuen a la evolución de la tecnología, remarcó que el avance es valioso y ahora toca ver la ejecución.
Nelson Remolina consideró que este nuevo reglamento es el marco de un nuevo ciclo y se debe poner todo el empeño en convertirlo en una realidad. Las normas pueden ser buenas por incluir un espíritu de responsabilidad proactiva en las organizaciones, dijo, pero se debe lograr ponerlo en práctica, porque si no quedarán en una mera ilusión óptica para el ciudadano. «El gran reto es que se cumpla», comentó.
Coincidió Joana Marí Cardona en la necesidad de trabajar en las empresas en crear esa responsabilidad proactiva ahora que se tiene una actualización de la normativa. «El reglamento es positivo porque va a permitir la incorporación de elementos que van a ser muy provechosos para la garantía de los derechos y las libertades de las personas justamente cuando se ven impactados por el tratamiento de datos de carácter personal», señaló.
Hoy en día en Europa, comentó, continúa siendo difícil la aplicación y el entendimiento de la responsabilidad proactiva. «Está costando mucho aplicarla», lamentó. La propuesta peruana de evaluación de impacto en protección de datos, el enfoque de riesgos y la figura del oficial de protección de datos ― en Europa es el delegado de protección de datos ― son un avance que esperamos se concrete en la forma planeada, sentenció.
En Colombia tenemos una década trabajando con el objetivo de lograr que esa cultura de prevención se establezca al interior de las organizaciones, agregó Remolina. Es una labor ardua que no se puede detener, menos con los desafíos que implican las nuevas tecnologías y la cantidad de datos que hoy se manejan, añadió. Están, por ejemplo, los datos neuronales, relacionados a la salud física o mental de la persona, que también deben protegerse al ser considerados datos sensibles. Esta actualización normativa es un paso adelante en ese sentido y cobra sentido que las empresas trabajen ya en forma proactiva en ello, remarcó.
Para profundizar más en el tema los invitamos a revisar las siguientes entrevistas:
Dr. Erick Iriarte Ahon, CEO de eBIZ
Eduardo Luna, director general de la Autoridad Nacional de Protección de Datos Personales (ANPD)
Fátima Toche, gerente legal de IALaw
Gabriela Bolaños, asistente de investigación de Open African Innovation Research (Open AIR)
