Por Jazmin Ramos, abogada de Araya & Compañía.
El 31 de marzo de 2025 entrará en vigor el nuevo Reglamento de la Ley de Protección de Datos Personales en el Perú, aprobado mediante el Decreto Supremo N° 016-2024-JUS. En efecto, el nuevo Reglamento trae a colación puntuales agregados y modificaciones en pro de su adaptación a la tendencia digital global, siendo necesario que la regulación no sea solo una preocupación del Estado, sino también una prioridad para las empresas, dado su rol en el tratamiento de datos personales, ya sea por la naturaleza de su negocio o el crecimiento de este.
Asimismo, la Autoridad Nacional de Protección de Datos Personales ha venido fortaleciendo su labor de fiscalización año tras año, lo que se ha traducido en un aumento progresivo de las sanciones impuestas. Como referencia, al cierre de 2024, la Autoridad aplicó multas por un total de S/ 13,424,590.00 a aproximadamente 454 entidades del sector público y privado. Este panorama hace que la adecuación al nuevo reglamento sea una necesidad ineludible para las organizaciones.
¿Cuáles son los cambios más importantes a tener en consideración?
Si bien los cambios han sido específicos, el nuevo Reglamento ha procurado aclarar y profundizar criterios respecto al tratamiento de datos personales en distintos sectores. Al respecto, los puntos más destacables son los siguientes:
- Sobre la regulación del Oficial de Datos Personales: Se ha establecido que esta posición debe ser ocupada por una persona que tenga conocimientos y experiencia en la materia de protección de datos personales, con el fin que este asuma funciones de informar y asesorar a los involucrados en la cadena del tratamiento de datos personales en una organización en específico, así como verificar el cumplimiento de la normativa de datos, situándolo como un punto de contacto entre la organización y la Autoridad.
Particularmente, se debe señalar que esta posición se volverá una obligación para aquellas organizaciones que traten información personal en grandes volúmenes o traten información de carácter sensible.
- Sobre el reporte inmediato de los incidentes de seguridad: La nueva regulación ha contemplado que en caso surja un incidente que produzca un perjuicio evidente de los titulares de datos personales, debido a la destrucción, pérdida alteración o exposición no autorizada de datos personales, esto deberá ser rápidamente notificado a la Autoridad.
El plazo propuesto para la notificación es de cuarenta y ocho (48) horas desde que se haya tomado conocimiento o constancia de dicha situación, inclusive si la situación ha sido subsanada. Para ello, el reglamento ha planteado el contenido mínimo a ser comunicado en la notificación dirigida a la Autoridad, tal como: la naturaleza del incidente, las posibles consecuencias del incidente, las medidas adoptadas para remediar la situación, entre otros.
- Regulación del principio de Responsabilidad Proactiva: Este nuevo Reglamento ha procurado regular de forma expresa un principio que requiere que las organizaciones que tratan la información personal de trabajadores, clientes, entre otros, tengan la obligación de manera sistemática de implementar medidas pertinentes (legales, técnicas y organizativas) para efectuar un cumplimiento real o en la práctica de la normativa de protección de datos personales, priorizando un enfoque preventivo en materia de datos personales.
- Nuevas figuras para la atenuación de la responsabilidad administrativa de la organización: Complementando el principio de Responsabilidad Proactiva, el nuevo Reglamento introduce mecanismos específicos para reducir la responsabilidad administrativa de una organización en caso de incumplimiento. En este sentido, se establece que podrán considerarse como atenuantes como: i) la existencia de un Código de Conducta debidamente acreditado antes del inicio de un procedimiento administrativo sancionador; ii) la realización previa de una Evaluación de Impacto en protección de datos personales, también acreditada antes del inicio de dicho procedimiento.
Estas medidas buscan incentivar las buenas prácticas y promover el uso de mecanismos de autorregulación internacionales, como los definidos por normas ISO u otros lineamientos reconocidos. Con ello, se fomenta que las organizaciones se mantengan a la vanguardia en la protección del derecho a la autodeterminación informativa de las personas.
- ¿Esta nueva reglamentación generará impactos en mi organización?
Sí, el nuevo reglamento podría generar impactos en su organización. Hoy en día, la mayoría de las empresas manejan grandes volúmenes de información personal de trabajadores, proveedores y clientes. Por lo que, para las empresas es esencial que se adapten a estos nuevos retos que propone la normativa de protección de datos personales en pro de la protección del derecho fundamental de la autodeterminación informativa que ostentan las personas.
En ese sentido, este nuevo reglamento trae consigo nuevos retos significativos que generará cambios internos para crear o adaptar políticas internas en respeto de los derechos de los titulares de los datos personales, priorizando la capacitación de su personal para que actúen en consonancia con las nuevas exigencias y evitando así la imposición de multas por incumplimientos en caso sean fiscalizados por parte de la Autoridad.
En Araya & Cía. Abogados contamos con un equipo especializado en protección de datos personales y cumplimiento normativo. Si su empresa necesita asesoría para fortalecer sus protocolos de seguridad, implementar un plan de cumplimiento o prevenir riesgos legales, estamos aquí para ayudarlo.
