El pasado jueves 21 de diciembre de 2023, a las 10:00 y 15:00 horas, se llevaron a cabo las dos (2) sesiones de la primera Mesa de Trabajo respecto al Proyecto de “Nuevo Reglamento de Protección de Datos Personales”, publicado el pasado 25 de agosto de 2023 (en adelante, el “Proyecto de Reglamento”) que es impulsado y liderado por la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (DGTAIPD).
Este encuentro tuvo como objetivo principal que la DGTAIPD convocara a los representantes de todas aquellas instituciones públicas, privadas y de la academia, quienes hasta el pasado 25 de setiembre de 2023, con motivo de la publicación del Proyecto de Reglamento por la DGTAIPD remitieron sus comentarios y aportes a dicho documento. Ante ello, la DGTAIPD aseguró que se han recopilado y analizado comentarios de más de 60 entidades públicas y privadas, los cuales suman alrededor de 900 aportes y demostrarían un esfuerzo y compromiso colaborativo significativo en la construcción de este marco regulatorio.
En dicha sesión, el Director General de la DGTAIPD, Eduardo Javier Luna Cervantes, lideró las sesiones de la Mesa de Trabajo. Para ello, Luna Cervantes realizó una amplia presentación inicial de todos aquellos cambios que fueron sugeridos por las instituciones en sus aportes y que, a raíz a ello, han sido satisfactoriamente evaluados y acogidos hasta el momento en un nuevo texto del Proyecto del Reglamento que se viene trabajando para aterrizar en una segunda versión del mismo. Por ello, si bien el Proyecto de Reglamento aún se encuentra en una etapa de diseño y el actual texto del Proyecto de Reglamento con los cambios implementados hasta la fecha no fue compartido con los asistentes, se indicó que una potencial socialización de una segunda versión de tal documento podría esperarse dentro del primer semestre del año 2024.
Posteriormente a la exposición del Director General de la DGTAIPD, también se organizó una ronda de preguntas abiertas para que todos los representantes de las instituciones asistentes puedan revisar, consultar y discutir las nuevas propuestas de modificación detalladas tanto en el Proyecto de Reglamento, como en la presentación liderada por Luna Cervantes.
Objetivos y Alcance del Reglamento
El principal objetivo del Proyecto de Reglamento es posicionar al Perú como un entorno digital seguro, apto para el comercio mundial y adecuando la normativa local a los estándares internacionales vigentes. Esto se hace necesario luego de más de una década desde la entrada en vigencia de la normativa actual en el año 2011, con la Ley No. 29733, Ley de Protección de Datos Personales y su respectivo Reglamento, promulgado en el año 2013.
Un Repaso por las Modificaciones Iniciales en el Proyecto del Reglamento
Si bien el Proyecto de Reglamento abarcó modificaciones integrales en diversos aspectos del actual Reglamento, entre los cambios más significativos se encuentran los ajustes en el ámbito de aplicación de la Normativa de Protección de Datos Personales y presunciones de aplicación en las cuales se entenderá que entidades extranjeras tratan datos personales de ciudadanos peruanos siéndoles aplicable la Normativa de Protección de Datos Personales. También se incorporan los principios de transparencia y responsabilidad proactiva, un nuevo derecho a la portabilidad de datos personales y el fortalecimiento del actual derecho al tratamiento objetivo para hacer frente a decisiones y tratamientos automatizadas.
En cuanto a la seguridad y el tratamiento de datos de menores, se propuso clarificar y mejorar las prácticas actuales. Se especificaron las condiciones para el tratamiento de datos con fines publicitarios y de prospección comercial, teniendo en cuenta la importancia de estas actividades en el contexto digital actual. Además, se abordó la transferencia internacional de datos personales planeando emitirse un listado de países que garantice un nivel adecuado de protección de datos personales y que promueva el uso de cláusulas contractuales, normas corporativas vinculantes y Códigos de Conducta como mecanismos válidos que busquen garantizar el nivel de protección adecuado en las transferencias.
Igualmente, se incorporaron distintas definiciones como las relativas a la de dato personal, elaboración de perfiles, transferencia con fines de tránsito, entre otras.
En cuanto a las medidas de seguridad, cabe destacar que no solo se incorporó la obligación de notificar incidentes de datos personales, sino también el contar bajo ciertas condiciones con un Oficial de Protección de Datos Personales, nuevas medidas de seguridad incluyendo aquellas específicas para entornos digitales y la posibilidad de realizar “Análisis de Impacto en el Tratamiento de Datos Personales”.
Otras medidas también buscaron el fortalecimiento del consentimiento “informado” y “libre”, incluso también para hacer frente al “primer contacto” en la problemática de las comunicaciones spam. También se introdujeron limitaciones en torno a las facultades y funciones de los encargados de tratamiento. Se dispuso la creación de la Plataforma “Yo cuido mis datos”, entre varias otras medidas en cuanto al régimen de sanciones, procedimiento sancionador en cuestión y demás disposiciones del Reglamento actual.
Cambios Específicos al Proyecto de Reglamento Expuestos en la Mesa de Trabajo
De manera preliminar, Luna Cervantes resaltó varios puntos de interés incluyendo la necesidad de actualizar la directiva de seguridad de la información de la DGTAIPD y la incorporación de nuevas obligaciones reglamentarias en línea con el artículo 28.9º, de la Ley No. 29733, Ley de Protección de Datos Personales, que es una disposición abierta que faculta a la creación de nuevas obligaciones en vía reglamentaria que la DGTAIPD tenga a bien implementar.
Con ello, el Director General de la DGTAIPD expuso que se introducirán los siguientes cambios y especificaciones en el texto actual del Proyecto de Reglamento:
1. Excepciones y demás Disposiciones sobre el Ámbito de Aplicación:
- Clarificación en torno a que los datos personales de representantes de personas jurídicas no se encuentran dentro del ámbito de protección de la Normativa de Protección de Datos Personales.
- Eliminación de la posibilidad de que familiares ejerzan derechos ante titulares fallecidos.
- Explicitación en torno a que el tratamiento de datos personales por parte de entidades públicas estará exceptuado de consentimiento por parte de los titulares de tales datos personales si tales finalidades se encuentran vigentes y responden directamente a funciones públicas también vigentes.
- Flexibilización para empresas extranjeras en cuanto a la designación de representantes, este último podrá estar ubicado dentro o fuera del Perú y para ello bastaría con designar un correo o canal de contacto electrónico en la Política de Tratamiento de Datos Personales respectiva.
- Mantenimiento de las tres (3) presunciones sobre la aplicación extraterritorial de la Normativa de Protección de Datos Personales incorporadas en el Proyecto de Reglamento.
- Mantenimiento de la definición propuesta a la “figura de tránsito de datos personales”, que supone una excepción a la Normativa de Protección de Datos Personales.
2. Explicitación de Principios y Derechos Relacionados:
- Inclusión y clarificación del contenido de los principios de transparencia y responsabilidad proactiva que se pretenden incluir.
- Explicitación de las disposiciones adicionales al derecho a la portabilidad de datos personales para su aplicación. También se indicó que su entrada en vigor contará con un plazo de seis (6) meses para adecuarse y que la DGTAIPD emitirá disposiciones complementarias para ello.
3. Transferencia Internacional de Datos:
- Mantenimiento de la propuesta a cargo de la DGTAIPD para emitir un listado de países con adecuado nivel de protección de datos.
- Promoción del uso de cláusulas contractuales como mecanismo válido de transferencia.
4. Medidas de Seguridad y Tratamiento de Datos:
- Mantenimiento de las actuales medidas de seguridad en el Reglamento vigente, pero remitiendo a las normas técnicas vigentes en la materia, i.e. ISO/IEC 27001:2022.
- Mantenimiento de la obligación de notificar incidentes de seguridad digital, incluyendo ante exposiciones masivas de datos sensibles y al titular de los datos personales si sus derechos fundamentales se ven afectados.
5. Tratamiento de Menores en el Entorno Digital
- Explicitación de las medidas propuestas en el Proyecto de Reglamento sobre el tratamiento de datos de menores.
- Mantenimiento de la redacción del actual Reglamento en torno al consentimiento libre que el Proyecto de Reglamento propuso modificar. En vista de ello, sí será posible el otorgamiento de incentivos y regalos para obtener el consentimiento del titular de datos personales, sólo que ello no aplicará a menores.
- Precisión de la obligación de informar en lenguaje claro y fácil de entender a menores de entre 14 a 17 años cuando haya una oferta de servicios digitales para ellos.
- Introducción de la prohibición de pedir datos sensibles incluyendo ingresos económicos de los padres a los menores de edad.
6. Tratamiento de Datos Personales con Fines de Publicidad
- Introducción de condiciones específicas para publicidad y prospección comercial a fin de asignar responsabilidades diferenciadas para la realización de tales actividades comerciales. Se busca implementar un “plazo razonable” para notificar la negativa del consentimiento del titular del dato personal contactado para tales finalidades adicionales, si los datos personales de contacto fueron obtenidos de fuente pública se asignarán plazos para contactarlo y obtener su negativa/aprobación a fin de saber si puede procederse con tal tratamiento adicional o si debe eliminarse los datos personales de contacto de manera inmediata.
- Eliminación de las limitaciones propuestas en el Proyecto de Reglamento en torno a que el encargado de tratamiento no pueda realizar transferencias ni recopilaciones de datos personales. También se eliminan las limitaciones para la conservación de documentos por parte del encargado de tratamiento una vez culminadas sus funciones que se pretendían incorporar en el Proyecto de Reglamento.
7. Otros Cambios Relevantes:
- Categorización de infracciones y promoción del uso de códigos de ética como atenuantes ante la comisión de infracciones a la Normativa de Protección de Datos Personales.
- Creación de una Plataforma “Yo cuido mis datos” para presentar reclamaciones y denuncias de titulares de datos personales.
En conclusión, la Mesa de Trabajo del Proyecto de Reglamento representa un paso significativo en la evolución del marco legal peruano en esta materia crucial. Solo a través de un proceso inclusivo y colaborativo, se podrá alcanzar un equilibrio entre la protección efectiva de los datos personales y la promoción de un ambiente seguro y propicio para el comercio digital. La DGTAIPD, con su enfoque en la adaptación a estándares internacionales y la atención a las necesidades locales, deberá interactuar con el sector privado, pública, la academia y la sociedad civil a fin de promover un entorno digital seguro mediante la futura promulgación del Proyecto de Reglamento.
Las cookies de redes sociales recolectan información cuando usted comparte información de nuestro sitio vía redes sociales o la analizan para entender sus búsquedas entre sus redes sociales y nuestras campañas de Redes Sociales y nuestros propios sitios web. Hacemos esto para poder optimizar la mezcla de canales disponibles para proveerle de contenido. Los detalles de estas herramientas se encuentran en nuestra política de privacidad.