Los datos personales comprenden todo un abanico de opciones que van desde la propia información personal de trabajadores, clientes, proveedores y, en general, de terceros, hasta el registro de imágenes en cámaras de videovigilancia.
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/QJQHVPAM2VAIJNCP5ILN3ULEZQ.jpeg)
Las empresas deben establecer una estrategia integral a fin de estar mejor preparadas ante posibles ataques, pero también para proteger la información de los usuarios. (Foto: Istock)
El acelerado crecimiento de la digitalización y penetración de nuevas tecnologías son hechos que no se pueden ignorar y que requieren de ciertas medidas para reforzar la seguridad cibernética.
En ese sentido, las empresas deben establecer una estrategia integral a fin de estar mejor preparadas ante posibles ataques, pero también para proteger la información de los usuarios.
De acuerdo con información de la Autoridad Nacional de Protección de Datos Personales (ANPD), el año pasado se fiscalizó a 336 entidades y se iniciaron 132 procedimientos sancionadores por infringir la protección de datos personales.
Las multas impuestas durante ese año ascendieron a más de S/ 7.6 millones. No obstante, solo se recaudaron S/ 2′756,695, ya que las empresas multadas suelen acogerse al beneficio de reducción del 40% por pronto pago.
Bruno Mejía, gerente de EY Law, explicó que los datos personales comprenden todo un abanico de opciones que van desde la propia información personal de trabajadores, clientes, proveedores y, en general, de terceros, hasta el registro de imágenes en cámaras de videovigilancia.
“Cabe señalar que la ANPDP toma como base dos aspectos para iniciar sus fiscalizaciones: (i) antecedentes o casos previos en el sector donde opera la empresa fiscalizada y (ii) publicaciones sobre la materia en redes sociales o noticias en diversos medios de comunicación”, anotó.
Las empresas más sancionadas
Mejía indicó que las empresas que más incurren en estas prácticas negativas pertenecen, principalmente, a los sectores financiero, de telecomunicaciones y educativo.
“El modelo de negocio (de estos segmentos) implica el tratamiento masivo de datos personales y, por tanto, están más propensos a incurrir en brechas de cumplimiento de la normativa de protección de datos personales”, precisó.
Por su parte, Verónica Vergaray, directora de Philippi Prietocarrizosa Ferrero DU & Uría (PPU), coincidió en que las organizaciones con mayor incidencia en incumplir la normativa sobre protección de datos son las del sector financiero y telecomunicaciones.
“Consideramos que esto se debería a que son empresas que manejan datos personales de forma masiva como parte de sus operaciones, así como prácticas agresivas de promoción y marketing para la captación de clientes, siendo que en la trayectoria del flujo de datos podría haber quiebres en el cumplimiento de la normativa”, sostuvo.
Gravedad de casos
Bruno Mejía mencionó que las principales infracciones tipificadas como muy graves por la normativa son las siguientes: (i) Recopilar datos personales por medios ilícitos, desleales o fraudulentos, (ii) No cumplir con una medida correctiva ordenada, en el marco de un procedimiento trilateral de tutela, por la ANPDPy (iii) Suministrar documentos o información falsa a la ANPDP.
“Las multas para estas infracciones muy graves son desde 50 UIT (S/ 257,500) hasta 100 UIT (S/ 515,000)”, apuntó.
Verónica Vergaray dijo que otros de los casos de mayor gravedad son (i) obstruir el ejercicio de la función fiscalizadora de la ANPDP; (ii) realizar tratamiento de datos incumpliendo medidas de seguridad y confidencialidad; y, (iii) tratar datos sin obtener el consentimiento del titular.
“El promedio de multas para cada infracción es de 10 UIT, 18 UIT y 20 UIT, respectivamente. Adicionalmente, la ANPDP puede ordene medidas correctivas con el fin de corregir o revertir los efectos de la conducta infractora”, destacó.
Proceso sancionador
Mejía indicó que La ANPDP puede iniciar un procedimiento sancionador a partir de dos situaciones: (i) de oficio, a partir de una fiscalización realizada por la Dirección de Fiscalización e Instrucción (DFI) y (ii) de parte, a partir de una denuncia formulada por el titular del dato personal afectado.
En ambos casos, la entidad puede realizar requerimientos de información complementarios, a efectos de determinar la responsabilidad o no de la empresa emplazada.
Por su lado, Verónica Vergaray sostuvo que en el caso que la ANPDP detecte una posible infracción por parte de un responsable de tratamiento de datos personales esta iniciará de oficio el procedimiento de fiscalización en la cual se podrán realizar requerimientos de información, auditorías y visitas.
“Este procedimiento tendrá una duración máxima de 90 días, el concluirá con el informe que se pronuncie sobre la existencia de elementos que sostenga o no, la presunta comisión de infracciones”, añadió.
Como consecuencia de la conclusión del informe, la Dirección de Sanciones podrá iniciar un procedimiento administrativo sancionador con el fin de determinar la existencia de la infracción y, de ser el caso, la imposición multas y medidas correctivas.
Contra la resolución que resuelve el procedimiento sancionador proceden los recursos de reconsideración o apelación dentro de los 15 días de notificada la resolución al administrado.
