En diez años se han iniciado 564 procedimientos sancionadores y se han impuesto más de S/8 millones en multas por incumplimientos en el cuidado de los datos personales. Las bases de datos ingresadas bordean las 20 mil.
Diez años atrás, el 3 de julio del 2011, tras muchas reuniones y mesas de trabajo con los legisladores, se publicó la Ley de Protección de Datos Personales (Ley No 29733) y se creó la Autoridad Nacional (ANPD) encargada de velar por el cumplimiento de la norma. Su plena aplicación, empero, arrancó en mayo del 2013, cuando entró en vigencia el reglamento respectivo.
El citado reglamento tomó más de un año de elaboración. Fue pre-publicado para comentarios en setiembre del 2012 y se promulgó la versión final (Decreto Supremo N° 003-2013-JUS) en marzo del 2013. Luego de entrar en vigencia, en mayo, se empezaron a dar las primeras resoluciones directorales de la Autoridad y vinieron las inscripciones de los bancos de datos personales, las charlas informativas y los procesos de fiscalización en el cumplimiento de la misma tras culminar el plazo de adecuación concedido a las empresas.
“La ley de datos personales fue el principal avance en materia de protección de garantías constitucionales en la pasada década, que aunado a la ley de transparencia y acceso a la información pública, son los dos lados de una misma moneda, que se complementan para fortalecer la democracia en el Perú”, comentó Erick Iriarte, CEO de eBIZ, quien participó y colaboró en la elaboración de la citada norma, así como en la mejora que se hizo con el DL 1353 que creo la Autoridad de Transparencia, Acceso a la Información Pública y Protección de Datos Personales.
Un nuevo cambio normativo ha sido propuesto por el Ejecutivo casi diez años después de su creación, el pasado 9 de junio de 2021, cuando el Consejo de ministros aprobó el Proyecto de Ley que le da a la Autoridad Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales el rango de organismo especializado, en camino a su autonomía constitucional. Este proyecto ha sido remitido al Congreso de la República con carácter de urgencia y propone la integración de la autoridad de Transparencia con la de Protección de datos personales, lo que permitirá fortalecer el trabajo de ambas direcciones.
Eduardo Luna, director de la actual ANPD, destacó que esta propuesta amplia y fortalece a la entidad ya existente en su rol de garantizar los derechos a cargo, ganando autonomía y ubicándola al mismo nivel que la Procuraduría General del Estado. La labor de supervisión se verá fortalecida al contar con más recursos y con las modificaciones propuestas a la ley, que también incluyen el reconocimiento de nuevos derechos por proteger en el ámbito de las telecomunicaciones.
Fátima Toche Vega, gerente legal de IALaw añadió que sería importante, en el diseño de mejoras a la norma, incluir también un nuevo enfoque. “La Ley de Protección de Datos Personales era una norma muy necesaria y se ha avanzado mucho en estos años a pesar de los retos pendientes. Entre los principales retos considero que está el de cambiar el enfoque meramente punitivo de la Autoridad de Protección de Datos Personales a un más orientador en el caso de empresas no reincidentes en infracciones”, comentó.
Avances en la protección
La ley nació con el objetivo de mejorar las condiciones de protección de la información personal de los ciudadanos y elevar el estándar de protección a nivel internacional. Para las empresas esto significó un proceso de adaptación a buenas prácticas que incluyen desde tener bases de datos registradas ante la ANPD con la debida protección para evitar el acceso de extraños hasta diseñar formularios de consentimiento de uso de los datos personales en sus portales web.
Según información proporcionada por la ANPD, hasta la fecha ya se han registrado casi 20 mil bases de datos, la mayoría de personas jurídicas. El volumen de registros fue aumentando a medida que se iba generando, a través de charlas informativas, una mayor consciencia sobre la importancia de reportar y proteger los datos de los clientes. Tal como se puede apreciar en la siguiente gráfica, en el 2015 se emprendió una fuerte campaña de difusión y capacitación en el entorno corporativo que permitió sumar un importante volumen (8017) de bases de datos al sistema.
La labor de fiscalización también fue incrementándose de forma progresiva luego de entrar en vigencia el reglamento y vencido el plazo de adaptación otorgado a las empresas. En 2013 y 2014 solo se realizaban alrededor de 80 visitas anuales de fiscalización a entidades públicas y privadas. Para el 2016 ya se hacían 201 visitas al año y se iniciaron 90 procesos sancionadores. El año pasado, pese a las limitaciones de la pandemia, la ANDP ha realizado 210 visitas e iniciado 100 procesos sancionadores.
A nivel de multas aplicadas como sanción, durante el 2020 se impusieron multas que en conjunto sumaron unos S/ 3,5 millones (829 UITs). La fiscalización alcanzó a 305 entidades públicas y privadas, lo cual generó 277 informes finales de fiscalización en el citado año. No todas las multas son finalmente cobradas en el mismo año, porque vienen las apelaciones o la ejecución de las respectivas medidas correctivas.
Entre las entidades sancionadas el 2020 por inadecuado tratamiento de los datos personales destacan bancos, clínicas, universidades, supermercados, centros educativos y redes sociales. Una entidad financiera recibió una sancion de unos S/176 mil (40 UIT) por quebrar el deber de confidencialidad en el resguardo de los datos personales de sus clientes. Otra entidad del mismo rubro recibió multa de unos S/79 mil (18 UITs) por usar datos de una central de riesgo, sin consentimiento de los titulares, para perfilar potenciales clientes.
En años anteriores se han aplicado variedad de multas, algunas por valores tan altos como los citados en el 2020. Según información publicada en el diario El Comercio, hasta mediados del 2019 se habían impuesto al menos S/5,29 millones en multas por faltas en la protección de datos personales. Desde que entró en vigencia la norma, informaron, hubo sanciones para 141 empresas, destacando en cantidad de sanciones las instituciones educativas (36) y hoteles (26). Los siguió de cerca el sector salud (20) y más lejos el financiero (11).
Fátima Toche Vega, gerente legal de IALaw, aclaró que, a nivel estadístico, las empresas que prestan servicios o venden productos de consumo masivo son siempre las que tienen más incidencia de incumplimientos, además de ser las más fiscalizadas.
A nivel individual, Google ha sido el que ha tenido la sanción más alta por no borrar información personal difamatoria de las búsquedas (“derecho al olvido”) de fines del 2015. Como se recordará, la empresa recibió dos sanciones: una por 30 UIT y la otra por 35 UIT (en total más de S/260 millones).
El primer sonado caso fue el relativo a la publicación de datos personales en un sitio web sin consentimiento del interesado. Datos Perú Org recibió en octubre del 2014 una multa por 15 UIT (más de S/60 mil) por dos reclamos presentados en su contra. El sitio web debió retirar los datos personales que había publicado sin la debida autorización de los implicados.