Mediante Resolución Ministerial 0270-2023-JUS, la Autoridad Nacional de Protección de Datos Personales publicó el proyecto de Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales, el cual estará sujeto a comentarios durante los próximos 30 días calendarios. Las principales novedades que incorpora este proyecto de Reglamento son las siguientes:
Representante de Tratamiento: En los casos donde el titular del banco de datos personales o quien resulte responsable no se encuentre en territorio peruano, deberá designar un representante en territorio peruano.
Nuevos Principios: Se han propuesto los siguientes principios:
- Transparencia: El tratamiento de los datos se debe realizar de manera clara, fácil de entender y accesible, para que el titular de los datos personales tome conocimiento de los riesgos que puede suponer el tratamiento de sus datos y los derechos que puede ejercer.
- Responsabilidad proactiva: En el tratamiento se deben aplicar las medidas legales, técnicas y organizativas a fin de garantizar el cumplimiento efectivo de la implementación de la normativa de datos personales.
Tratamento de Datos Personales: Se regula de manera más detallada el tratamiento de los datos personales de menores, estableciendo disposiciones referidas a los servicios digitales y la responsabilidad del titular del banco de datos o del responsable de garantizar la protección del interés superior del niño y de sus derechos fundamentales. Asimismo, se proponen la regulación del tratamiento de datos personales y prospección comercial.
Notificación ante la Autoridad en caso de incidentes de seguridad: En caso de incidentes de seguridad, se propone la obligación de notificar a la Autoridad dentro de las 48 horas posteriores de haber tenido constancia de ello.
Oficial de Datos Personales: Se propone la designación de un Oficial de Datos Personales cuando:
- El tratamiento lo lleve a cabo una autoridad u organismo público.
- El titular o responsable del tratamiento o del encargado realicen actividades que consistan en operaciones de tratamiento que requieran una observación habitual, sistemática y continua de titulares de datos personales de forma masiva o gran escala.
- El titular o responsable de tratamiento o del encargado realicen como actividades principales aquellas que consistan en el tratamiento de datos sensibles.
Política de Seguridad: Se establecen la implementación de políticas de seguridad, referidas al deber de contar con un documento de seguridad aprobado formalmente y con fecha cierta. Asimismo, se establece la obligación de contar con controles para mantener las áreas y equipos seguros dentro y fuera de las instalaciones, y la obligación de actualización de copias de respaldo en aquellos ambientes donde se procese, almacene o transmita los datos personales.
Portabilidad de Datos Personales: Se establece, como parte del derecho de acceso, que el titular de datos personales pueda solicitar la transferencia de sus datos a otro titular, cuando el tratamiento:
- Esté basado en el consentimiento o en una relación contractual en la que el titular del dato es parte.
- Se ejerza mediante medios automatizados.
Elimina Pago de Tasa Administrativa: Se propone la eliminación del pago de la tasa administrativa para el registro, modificación y/o cancelación de los banco de datos personales.
Plataforma “Yo cuido mis Datos Personales”: Se dispone la creación de la plataforma que tiene como finalidad que la Autoridad brinde atención al ciudadano, cuando no se atienda, se atienda parcialmente o se deniegue el ejercicio de los derechos establecidos en la Ley de Datos Personales.
