Luego de más de un año de publicado el borrador del Reglamento peruano de datos personales para la recepción de comentarios, el 30 de noviembre se publicó oficialmente el nuevo Reglamento de la Ley de Protección de Datos Personales. Cabe recordar que el anterior reglamento era del año 2013 por lo que era necesaria una actualización, sobre todo cuando paralelamente se está reglamentando la Ley de Inteligencia Artificial. Todo ello, además, también teniendo en cuenta que Perú estaba por detrás de varios países de la región iberoamericana en los estándares de protección.
El nuevo reglamento incluye nuevos principios rectores (transparencia y responsabilidad proactiva), nuevas obligaciones (como contar con un oficial de datos personales, reportar incidentes de seguridad, designar un representante en el o para el territorio peruano, entre otros), y extiende el contenido de ciertos derechos (como la portabilidad de datos personales dentro del derecho de acceso, o la desindexación dentro del derecho de oposición). A continuación haremos referencia a las cinco principales novedades en este reglamento.
1. Consentimiento informado reforzado
El Reglamento incluye nuevas obligaciones relacionadas con el consentimiento informado que debe obtener el titular del banco de datos o quien resulte responsable (encargado o responsable del tratamiento, u oficial de datos personales) antes de realizar el tratamiento de los datos personales. Así, cuando los datos sean obtenidos directamente del titular de los datos, el titular del banco o responsable del tratamiento debe informar ahora al titular de los datos (i) el plazo de conservación de los datos personales, (ii) los mecanismos legales existentes para el ejercicio de los derechos ARCO, y (iii) si sus datos serán usados para decisiones automatizadas, como la elaboración de perfiles, así como las consecuencias de este tratamiento. Estas últimas podrían girar en torno al almacenamiento de datos relacionados con la conducta de consumo del titular de los datos, hábitos en redes sociales o intereses; o que se analice su comportamiento y se generen clasificaciones de distinta índole.
Sobre este último punto, es importante notar que en el reglamento no se dispone una prohibición para la elaboración de perfiles ideológicos para propaganda política, ¿qué pasaría si en las próximas elecciones los partidos políticos usan nuestro comportamiento en línea para elaborar perfiles ideológicos (de acuerdo a la orientación política, religiosa o sexual) y así direccionar la propaganda política? Esperamos que el Jurado Nacional de Elecciones o la Autoridad Nacional de Protección de Datos personales (ANPDP) se pronuncien sobre esta preocupación antes de las próximas elecciones, ya sea a través de una directiva y/o mediante el pacto ético electoral.
Por lo demás, se ha añadido también para el titular del banco de datos, o para quien resulte responsable, la obligación de informar cuál es la fuente de recopilación de los datos personales, cuando estos hayan sido recopilados indirectamente. Por ejemplo, a través de fuentes accesibles al público.
2. Obligación de designar un Oficial de Datos Personales
De acuerdo con el reglamento, el Oficial de Datos es aquella persona designada por el responsable o encargado del tratamiento para la verificación, asesoramiento e implementación del cumplimiento del régimen jurídico sobre protección de datos personales. Como se recordará, esta figura ya estaba incluida en nuestro ordenamiento jurídico desde el año 2021, de forma obligatoria para el sector público, a través del Reglamento de la Ley de Gobierno Digital. Así, con la norma publicada se extiende ahora esta obligación al sector privado en dos supuestos: (i) cuando el tratamiento se realice a gran escala, ya sea por el gran número o por el tipo de datos, o (ii) cuando las actividades principales o el giro de negocio de las empresas involucre el tratamiento de datos sensibles.
En su momento, durante las discusiones sobre el borrador del reglamento que ya incorporaba esta figura, este fue uno de los puntos más controvertidos, pues se tenía la preocupación de los diferentes costos adicionales en los que tendrían que incurrir las empresas para cubrir este nuevo personal. No obstante, en atención a ello, se aclara en el reglamento que el Oficial de datos puede ser una persona que ya desempeñe otras funciones en la empresa o entidad pública, o incluso puede ser alguien tercerizado. Asimismo, se permite que un grupo empresarial comparta un Oficial de datos personales, con el único requisito de que “sea fácil contactarlo desde cada establecimiento” . Y se permite que los organismos públicos designen un único Oficial, de manera razonable a su estructura organizativa y tamaño. Aunque claro, cabría preguntarse si será suficiente que un empleado, que antes ya tenía otras funciones, pueda cumplir diligentemente con las nuevas obligaciones en materia de protección de datos personales, para múltiples oficinas o empresas.
De igual forma, en el reglamento se prevé un calendario diferenciado para cumplir con la obligación de designar al Oficial de Datos. En función a las ventas anuales de las empresas, la designación se realizará dentro de uno a cuatro años, empezando en diciembre del próximo año con las empresas con ventas anuales superiores a 2300 UIT (más de 11 millones de soles).
3. Evaluación de impacto en la protección de datos personales
En el reglamento se dispone, de manera facultativa, la evaluación de impacto relativo a la protección de datos personales. En el reglamento, se define esta evaluación como aquel mecanismo de responsabilidad proactiva que consiste en que el titular del banco de datos personales o responsable del tratamiento de datos realice, de forma previa al tratamiento de los mismos, un análisis o evaluación del impacto o riesgos que implica el tratamiento de esos datos.
En síntesis, la evaluación se trata de un análisis que toma en cuenta la cadena de responsables en el tratamiento de datos, la fecha prevista de inicio y fin del tratamiento, la identificación de factores de riesgo, posibilidad de que se materialicen y escenarios de brechas de datos personales, así como medidas que se aplicarían para reducir esos daños. Asimismo, en algunos modelos de evaluación de impacto en protección de datos personales se incluye también un test de proporcionalidad, como es el caso del modelo para el sector público de la Agencia Española de Protección de Datos, o un balance entre riesgo-beneficio, y necesidad del tratamiento, para el caso del sector privado.
Este mecanismo de garantía aparece también en el ordenamiento méxicano y chileno, aunque de forma obligatoria, y proviene originalmente del reglamento europeo de datos personales (privacy impact assessment o data protection impact assessment), donde también es obligatorio cuando exista un riesgo alto de afectación de derechos y libertades. En el caso de México, por ejemplo, es obligatorio elaborar una evaluación de impacto en la protección de datos personales cuando el responsable del tratamiento pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier tecnología que implique un tratamiento intensivo o relevante de datos personales. En esos casos se debe elaborar el estudio previamente al tratamiento y presentarlo a la autoridad mexicana de protección de datos personales (INAI) para que emita opinión y/o recomendaciones.
En el Perú, debió ser igualmente obligatorio realizar las evaluaciones de impacto en la protección de datos personales, ante potenciales riesgos altos o tratamientos intensivos o relevantes. Por ahora, resulta fundamental que las autoridades públicas (como el Ministerio del Interior, Reniec, la Superintendencia Nacional de Migraciones, entre otras) utilicen este estudio de impacto en la protección de datos personales a fin de evaluar sus propuestas para el tratamiento de datos biométricos, o el tratamiento de datos personales a gran escala. Este es el caso de las municipalidades que proponen acciones de videovigilancia biométrica, o los que propone Osiptel con la creación de un sistema nacional de registro de IMEI junto con los datos del titular del dispositivo.
4. Notificación obligatoria de incidentes
Desde el 2020, las entidades de la administración pública, los proveedores de servicios digitales del sector financiero, de servicios básicos (energía eléctrica, agua y gas), de salud, educación y transporte, así como los proveedores de actividades críticas tenían la obligación de notificar al Centro Nacional de Seguridad Digital cualquier incidente. De igual forma, debían reportar y colaborar con la Autoridad Nacional de Protección de Datos Personales (ANPDP) cuando verifiquen un incidente que involucre datos personales. Todo ello de conformidad con el Decreto de Urgencia que aprueba el Marco de Confianza Digital. Inclusive, a partir de este Marco se crea también el Registro Nacional de Incidentes de Seguridad Digital, aunque este tiene el carácter confidencial
En ese sentido, la novedad en este Reglamento de datos personales es, por un lado, respecto a la ANPDP, reforzar la obligación al establecerse un plazo de 48 horas para que los titulares de los bancos de datos o los responsables del tratamiento reporten los incidentes a la ANPDP. El reporte será necesario cuando los incidentes (i) generen una exposición de grandes volúmenes de datos personales o exposición de datos sensibles, (ii) afecten un gran número de personas, y (iii) ocasionen un perjuicio evidente a otros derechos o libertades del titular. Asimismo, en la norma se precisa el contenido de la notificación que debe incluir la naturaleza del incidente, los datos de contacto del Oficial de datos personales, las posibles consecuencias del incidente, y las medidas adoptadas o propuestas. Además, esta obligación permanece aunque el incidente de seguridad haya sido subsanado internamente.
Por otro lado, en lo referente al titular de los datos personales, la novedad radica en que ahora existe la obligación de los titulares de bancos de datos o de los responsables del tratamiento de notificar al titular de los datos los incidentes de seguridad que hayan producido una afectación a otros de sus derechos, además de la protección de datos personales. Esta notificación deberá realizarse también en 48 horas, mediante un lenguaje sencillo, claro y comprensible. Además, y en contraste con el reporte a la Autoridad, sólo existe la obligación de notificar al titular cuando, pese a las medidas adoptadas, persiste parcial o totalmente el incidente de seguridad.
5. Obligación de designar un representante legal en o para Perú
Finalmente, otra actualización en el reglamento es su alcance extraterritorial, que aplicará cuando:
- El tratamiento sea efectuado por un establecimiento ubicado en territorio peruano
- El titular del banco de datos personales está establecido en territorio peruano, aunque el encargado del tratamiento resida en otra ubicación.
- El tratamiento de datos está relacionado con actividades de oferta de bienes o servicios dirigidos a titulares de datos ubicados en territorio peruano.
- El titular del banco de datos o quien resulte responsable realiza actividades orientadas al análisis del comportamiento o elaboración de perfiles de los titulares ubicados en territorio peruano.
- El titular del banco o quien resulte responsable del tratamiento está obligado por disposición contractual o de derecho internacional.
Una excepción a este alcance extraterritorial es que el tratamiento se realice exclusivamente con fines de tránsito; esto es, no se use para el procesamiento, almacenamiento, descarga, visualización y/o similares.
En este sentido, para que este alcance sea efectivo, el titular del banco de datos personales o del responsable del tratamiento tienen la obligación de designar un representante legal en el territorio peruano, o para el territorio peruano. La designación puede ser o bien pública mediante la política de privacidad, o bien informada confidencialmente a la ANPDP. Asimismo, puede designarse a un representante que no resida en Perú, pero que sea seleccionado como punto de contacto con las autoridades peruanas, para gestionar cualquier comunicación, reclamación o denuncia que se derive de los procedimientos administrativos. Para ello, se debe informar a la ANPDP el correo electrónico y los datos de contacto del representante que no resida en Perú.