A través de 143 artículos, el Ministerio de Justicia busca actualizar normativa referida al manejo empresarial de datos personales. ¿Qué deben tener en cuenta?
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/FXQLU35KLBCPBHIGJEOIODGMLY.webp)
Reglamento vigente no ha recibido modificaciones desde el 2013, cuando fue publicado, dos años después de la Ley de Protección de Datos Personales.
El Ministerio de Justicia y Derechos Humanos (Minjus) trabaja un nuevo reglamento sobre la Ley de Protección de Datos Personales, cuyo objetivo es brindar el marco regulatorio básico para garantizar que las empresas utilicen correctamente, sin vulnerar derechos, la información que reciben de sus clientes.
A finales de agosto, se publicó un proyecto del nuevo reglamento. La versión actual del reglamento no ha recibido modificación alguna desde el 2013, cuando entro en vigencia. Por ello, el Minjus ha visto necesario actualizarlo, considerando que la Autoridad Nacional de Datos Personales (ANPD) ya lleva años aplicándolo, a la par que nuevas tecnologías prueban su capacidad fiscalizadora.
¿Qué se rescata y que se puede mejorar de los 143 artículos que tiene el documento? Gestión lo conversó con dos abogados especialistas en esta materia.
Reuniendo experiencia
La Ley de Protección de Datos Personales fue publicada en 2011 y su reglamento dos años después. Sin embargo, de acuerdo con Diego Cabrera, asociado senior en PPU, la ANPD tardó un tiempo más en empezar a funcionar.
“Si bien la ley salió en 2011, su implementación fue por etapas hasta el 2015. Demoró. Hoy, como una autoridad más forjada y con mínima experiencia, debería ser más sencillo aplicar el nuevo reglamento”, asegura a este diario.
Por ello, señala Bruno Mejía, gerente de Competencia y Mercados en EY Law, es positivo que el proyecto de reglamento recoge gran parte del contenido desarrollado por la entidad en estos últimos años.
“Clarifica definiciones que estaban dispersas, como elaboración de perfiles o fines de tránsito, sobre las cuales las empresas no podían guiarse correctamente”, rescata.
Un ejemplo más claro de ello, según el abogado, es el llamado primer contacto. “Es decir, la oportunidad de que te llame una empresa a ofrecerte un servicio. Si el cliente dice que no, se cuelga y ya. No había una norma que lo señale, aunque la ANPD ya lo decía en pronunciamientos desde el 2015″, asegura.
Para Cabrera, el nuevo reglamento también aborda un asunto gravitante: la filtración de datos personales a nivel empresarial. Según el asociado de PPU, la ANPD había recomendado que las firmas reportaran estos incidentes en 2017, pero no era vinculante.
“Considero que tener una obligatoriedad de notificación es positiva porque forzará a las empresas a implementar mayores medidas para evitar filtraciones porque no hacerlo genera una multa”, sostiene.
En el mismo sentido, el proyecto de reglamento otorga un plazo de 3 meses para que las empresas reporten al titular de datos personales, o sea sus clientes, que obtuvieron información de ellos mediante fuentes públicas.
“Eso al menos regulariza un posible trato indebido de los datos. También se permite que conserven listas negras con datos mínimos de potenciales clientes. Antes la ANPD pedía que eliminarán todo. Estos cambios son positivos para las empresas”, destaca Mejía.
Un “nuevo” derecho
Si bien el proyecto de reglamento tiene puntos destacables, también hay algunos discutibles. El más relevante está relacionado a la “portabilidad de datos”. Un nuevo derecho, a consideración de las voces consultadas por Gestión, que no estaba previamente contemplado en la ley.
“Puede ser un derecho que nazca muerto. Está siendo incorporado en un proyecto de reglamento cuando los derechos deben ser establecidos por ley. Más adelante, de aprobarse así, puede cuestionarse su legitimidad”, advierte Mejía.
Cabrera cree que, si bien la ley no incluye este derecho, su aparición en el reglamento debería interpretarse como un agregado de los ya reconocidos. “Se puede entender que es una extensión de los derechos como titular de datos. La portabilidad refiere básicamente al traslado de datos de un responsable a otro”, explica.
Lo que le parece cuestionable al abogado es la obligación de registrar bancos de datos. “Es absurdo. Si la finalidad de hacerlo es que el usuario sepa quién trata los datos, eso ya está recogido en la política de seguridad y privacidad de cada empresa. En legislación comparada, eso no existe en la Unión Europea”, afirma.
El asociado de PPU se refiere al Reglamento General de Protección de Datos de la Unión Europea (GDPR), vigente desde el 2018. Este documento incluye, por ejemplo, el derecho a la portabilidad.
Eduardo Luna, director general de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, precisó en julio que se estaban basando en el reglamento europeo para actualizar el peruano.
Luna explicó hace unos meses a El Peruano que la idea es “es poner al Perú a la vanguardia de los países en el mundo que están más avanzados en la protección de datos personales”. Por eso, indicó que también tienen previsto emitir directivas sobre asuntos más técnicos asociados como el uso de cookies en Internet.
Sin embargo, Mejía cree que también deben revisar otros puntos del proyecto de reglamento, como los referidos a las sanciones. “Es un poco abstracto, me queda un sinsabor respecto a si el papel de ANPD es sancionar o educar”, sostiene.
El abogado de EY Law también señala que hay casos de sobrerregulación. Ese sería el caso, por ejemplo, de la falta de comunicar el flujo transfronterizo, básicamente derivar datos personales al extranjero, que en el reglamento original es una infracción leve.
“La norma ya lo señalaba, igual ocurre con el pedido de consentimiento para obtener datos. Ahora lo quieren poner expresamente”, explica.
Trabajo
La ANPD recibirá recomendaciones hasta el 25 de setiembre para enriquecer y perfeccionar el contenido del proyecto del reglamento, vía correo electrónico y mesa de partes.
En lo que va del año, la ANPD ha emitido solo cinco resoluciones. Entre las empresas cuestionadas están Google, el BBVA y Oncosalud.
