Para Fátima Toche, gerente legal de Iriarte & Asociados, el proyecto de reglamento de la Ley de Protección de Datos Personales tiene aciertos como la incorporación de nuevos conceptos y criterios que ya se aplicaban, pero le falta atender los desafíos que genera el uso de la Inteligencia Artificial (IA).
Entre las novedades planteadas en la Resolución Ministerial N° 270-2023-JUS con el Proyecto de Reglamento de la Ley N° 29733, se incluyen nuevas definiciones y principios rectores, como el de responsabilidad proactiva y transparencia. El documento también establece que la normativa se aplicará a todas las actividades relacionadas con la oferta de bienes y servicios en el Perú y a las actividades vinculadas con el análisis de conductas y hábitos de los usuarios dentro del país.
En esta entrevista, Fátima Toche, gerente legal de Iriarte & Asociados (IALaw), nos resume los principales cambios incluidos luego de diez años de vigencia del anterior reglamento y nos brinda su perspectiva sobre qué más se puede añadir a la versión final del mismo que elabore el Ministerio de Justicia (MINJUS).
Uno de los primeros comentarios que se oyeron en torno al nuevo reglamento propuesto es que se añaden varios conceptos o definiciones. ¿Era esto necesario y conveniente?
Resalta la precisión de la definición de “dato personal” que, al ser genérica, se prestaba a amplias interpretaciones de los administrados y de la Autoridad de Protección de Datos Personales. Además, se dan definiciones de la de localización, identificadores en línea o de cualquier otro tipo concerniente a aspectos físicos, económicos, culturales o sociales de las personas naturales que las identifica o las hace “identificables” a través de los medios que puedan ser razonablemente utilizados. Se considera “identificable” cuando se puede verificar la identidad de la persona de manera directa o indirecta.
Asimismo, se incorporaron de manera pertinente las definiciones de:
- Elaboración de perfiles
- Fines de tránsito
- Flujo transfronterizo de datos personales
- Incidente de seguridad de datos personales
- Oficial de Datos Personales
¿Qué conceptos faltaría añadir?
Considero que se perdió la oportunidad de definir qué son las decisiones automatizadas con datos personales o big data. Ambas son formas de tratamiento que hoy se realizan utilizando inteligencia artificial.
¿Comparado con lo que disponen en Europa o Estados Unidos, se han incluido todas las modificaciones necesarias al reglamento o hay que agregar algunas más?
Lo que rescato de este proyecto de reglamento es que incorpora oficialmente criterios interpretativos que la Autoridad de Protección de Datos Personales estaba aplicando en fiscalizaciones y procedimientos administrativos sancionadores sin el debido sustento legal. Igualmente incorpora conceptos ya establecidos en documentos sin carácter vinculante como las Guías u Opiniones Consultivas. De igual forma alinea un poco más nuestra normativa al Reglamento General de Protección de Datos.
¿La norma vigente está elaborada de forma tal que permite una adecuada sanción y disminución de las faltas o será necesario sumarle más modificaciones a la misma ley?
Yo creo que se debe dejar de lado la estrategia netamente punitiva que no ha dado los resultados esperados. Es hora de un enfoque de acompañamiento a las empresas para el debido cumplimiento del derecho de protección de datos personales y a la vez fomentar la innovación. Desde mi perspectiva el ideal sería que permita que las empresas implementen programas de cumplimiento que permiten la disminución sustancial de las sanciones o incluso la exoneración de las mismas.
La IA (inteligencia artificial) ha traído al mundo toda una discusión sobre como esta puede vulnerar la privacidad de los datos. ¿Estos desafíos o retos están incluidos en el reglamento? ¿Deberían estar ahí?
La IA es la gran ausente en este proyecto, lo cual es preocupante dado que los principales riesgos del uso de esta tecnología están vinculados a la protección de datos personales.
¿Cuáles son esos retos de la IA pendientes de normar?
En especial faltan los retos en cuanto al deber de informar, que son:
- La carga de gestión de datos personales.
- La difícil comprensión de riesgos detrás de soluciones de inteligencia artificial.
- Saber los datos con los que se entrena el algoritmo.
- Qué pasa cuando el algoritmo evoluciona y genera información derivada.
- La dificultad para entender funcionamiento de los algoritmos.
Asimismo, falta la dificultad para informar la finalidad de las formas de tratamiento con IA cuando se trata de inteligencia artificial generativa.
¿Cuáles serían sus sugerencias al nuevo texto propuesto por el MINJUSDH?
EL reglamento debería ser objeto de un amplio debate con expertos de la materia, la sociedad civil y las empresas privadas, quienes son las principales afectadas con esta norma. Considero innegable que esta nueva regulación aumentaría la carga regulatoria y operativa para todas las empresas ya sean micro, pequeñas, medianas o grandes.
¿Cuáles son las principales diferentes que hay entre este texto y el anterior? ¿Cuáles son las novedades?
Los principales aspectos incorporados por este proyecto de Reglamento son los siguientes:
- Nuevos principios rectores – transparencia y responsabilidad – que tendrán que ser observados por las empresas al tratar datos personales.
- Como manifestación del derecho de acceso, se incorpora el derecho de portabilidad.
- Se crea la figura del Oficial de Datos Personales como la persona asignada para la implementación, supervisión y monitoreo del cumplimiento de la protección de datos.
- Obligación de notificación de incidentes de seguridad por el responsable del tratamiento dentro de las 48 horas posteriores al conocimiento de los hechos.
- Incorporación de todos los criterios previstos en la Guía sobre el Deber de Informar.
- Cambio en el alcance de las características del consentimiento.
- Deberes de información extra en el caso de tratamientos de datos personales para fines publicitarios.
- Obligación de documentar ante el solicitante las acciones que verifiquen la supresión de datos personales.
- Consideraciones especiales para el tratamiento de datos personales de personas fallecidas y menores de edad en entornos digitales.
- Establecimiento de las evaluaciones de impacto en datos personales de forma previa a dicho tratamiento, para determinados casos.
- Incorporación de actividades a ser implementadas como controles de seguridad, las cuales de alguna manera estaban previstas en la Directiva de Medidas de Seguridad.
- Creación de la plataforma “Yo cuido mis datos personales”.
- Gratuidad de la inscripción de todos los actos inscribibles en el Registro Nacional de Protección de Datos Personales.