[02/05/2024] Hace más de una década se publicó la Ley de Protección de Datos Personales; con ella se buscaba que las organizaciones tuvieran una guía para manejar la información de sus clientes de manera segura y ordenada; y que los ciudadanos tuvieran, de su parte, las herramientas necesarias para defender su privacidad. La ley se promulgó en julio del 2011, pero recién entró en vigor casi dos años después cuando se emitió su reglamento en mayo del 2013.
Ahora se está discutiendo un nuevo reglamento. En él se incorporan nuevos derechos y obligaciones, y representa una actualización necesaria luego de más de 10 años de cambios a todo nivel. Desde la perspectiva de la empresa, una de las incorporaciones más notables es la necesidad de contar con un oficial de protección de datos personales; pero, obviamente, no es el único cambio.
Los beneficios obtenidos
La forma de evaluar si una ley ha tenido éxito es mediante los resultados que ha brindado a la sociedad, y la Ley de Protección de Datos Personales ha ofrecido mejoras tanto a las empresas como a los ciudadanos.
Las empresas ahora cuentan con un marco legal con el cual tienen la certeza de cuál es la mejor forma de manejar los datos de las personas sin incurrir en faltas; es decir, la ley se ha convertido en una herramienta para ellas. Por el lado del ciudadano, la ley le proporciona herramientas para defender su privacidad en un entorno en el que se ha hecho más fácil que nunca compartir información.
"Hoy por hoy, en el mundo de la era digital de las comunicaciones, una empresa, una entidad pública que incorpore las obligaciones de la ley como buenas prácticas gana mucho a su favor en cuanto a lo que es reputación”, indicó Eduardo Luna, director general de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos.
En general, el principal beneficio es que, de una u otra manera, educa y brinda reglas de juego claras para que las empresas conozcan, de manera clara, cuáles son las obligaciones y responsabilidades que pueden tener al tratar los datos personales del público con el que tiene contacto, de sus trabajadores, clientes y usuarios.
"No me gustaría hablar de la ley en sí; sino de la ley, su reglamento y de todas las normas que se han emitido al respecto, porque finalmente existe todo un marco normativo en Perú que no solo se limita a la ley y el reglamento, sino que existen guías, criterios, metodologías, protocolos, procedimientos, manuales y demás, que la Autoridad emite y que en conjunto brindan las reglas de juego”, explicó Bruno Mejía, gerente de EY Law.
Respecto a los ciudadanos, individuos o titulares de los datos personales, como se les denomina legalmente, les permite tener una normativa a la cual acudir cuando ocurra la vulneración de un dato personal; gracias a la Ley se activan mecanismos para que el ciudadano pueda cuestionar y exigir algún tipo de medida correctiva a aquella entidad u organización que haya hecho un tratamiento indebido de su información.
Si el ciudadano peruano no contara con esta Ley, le podría ocurrir lo que ocurre a sus pares en otros países de la región: tendría que acudir directamente al Poder Judicial e iniciar un proceso que podría tomar mucho tiempo. En cambio, la normativa le da la posibilidad de contar con una autoridad administrativa, en este caso el Ministerio de Justicia, a través de la Autoridad Nacional de Protección de Datos Personales.
¿Se está cumpliendo?
Los beneficios son evidentes; sin embargo, desde que se emitió la ley no todas las organizaciones incorporaron sus lineamientos ávidamente. De hecho, se podría decir que hubo dos tipos de empresas: las que lo hicieron por obligación y las que lo hicieron porque la consideraron una herramienta útil para sus negocios.
"En mi experiencia vemos dos tipos de empresas: empresas que hacen lo necesario para cumplir con la normativa y evitar ser expuestas de manera reputacional, pero también hay otro grupo de empresas que lo incorporan como buenas prácticas en sus esquemas de control y seguridad de la información”, señaló Alexander García, socio de Ciberseguridad & Privacidad de PwC Perú.
Las primeras parecen ser las más numerosas. Por ejemplo, Mejía señaló que hasta un 90% de las organizaciones que se acercan a su firma lo hacen porque lo sienten como una obligación, o incluso porque ya han sido sancionadas -o alguna empresa del mismo sector- y requieren de asesoría para enfrentar el problema.
Sin embargo, también es bueno señalar que el propio Mejía indicó que una vez resuelto el problema, se dan cuenta del impacto positivo que pueden lograr (ahorro de costos, mitigación de riesgos reputacionales, etcétera) una vez que establecen un programa de cumplimiento normativo.
"Hay de todo. Creo que las empresas han acogido esta Ley de Protección de Datos Personales como una aliada para poder dar un adecuado tratamiento de los datos de los clientes. Hay otras organizaciones que sienten que esta ley es un freno porque, por ejemplo, ya no pueden hacer el web scraping, ya no pueden capturar datos personales de clientes tentativos sin solicitarles su consentimiento, y eso obviamente está estipulado dentro de la Ley de Protección de Datos Personales”, sostuvo Giancarlo Gómez, Profesor de la Maestría en Gestión de la Ciberseguridad y Privacidad de ESAN.
Sea por una u otra razón, la norma se está cumpliendo, y lo hace, también, porque la Autoridad Nacional de Protección de Datos Personales está monitoreando a las empresas.
De acuerdo con cifras de la Autoridad, en el año 2023, por ejemplo, se realizaron 336 visitas de fiscalización, eso permitió generar 359 informes de fiscalización, iniciar 132 procedimientos administrativos sancionadores, emitir sanciones con 156 resoluciones entre primera y segunda instancia, y 272 resoluciones en los procedimientos trilaterales de tutela.
"Ese es el universo al cual nos asomamos y respecto del cual puedo decirle que progresivamente en estos años vamos viendo una conciencia cada vez más acabada en las entidades públicas y en las empresas, de cumplir con las obligaciones que determina la ley de protección de datos”, afirmó Luna.
En total, el año pasado se impusieron multas por más de 7,6 millones de soles.
¿Cuáles fueron las infracciones más comunes? De acuerdo con Luna, las infracciones más comunes están vinculadas, primero, con la infracción al deber de informar. Muchas organizaciones no tienen una política de privacidad del tratamiento de los datos personales que informen qué datos están recolectando y con qué propósito.
Otra infracción común es el no recabar el consentimiento de los ciudadanos para tal o cual finalidad. La regla de oro para el tratamiento de los datos personales, para poder recolectarlos, conservarlos, transferirlos o hacer un perfilamiento, es recabar el consentimiento de las personas. Los ciudadanos tienen que estar informados y, por lo tanto, prestar su consentimiento para el tratamiento de esos datos, salvo que una ley en particular le otorgue a la organización legitimidad para realizar esos tratamientos, por ejemplo, la Sunat.
Y un tercer grupo de infracciones habituales son la falta de medidas de seguridad. Si una organización recaba datos personales sensibles como son los de salud, por ejemplo, debe tener ambientes adecuados, protocolos de accesos y de privilegios (quién entra al sistema, a qué hora, qué hace en el sistema).
El otro grupo -el de las organizaciones que sí cumplen con la Ley ya que en ella ven una herramienta para mejorar como organización- generalmente está conformado por empresas que ya contaban con normas para el tratamiento de los datos personales, quizás incluso mayores a las que pedía la Ley cuando se promulgó.
"Hoy la protección de datos personales es una cultura, que ya trasciende el cumplimiento de la norma; de hecho, hay muchas empresas cuya valla de cumplimiento está por encima de la ley; inclusive otras entidades han adoptado medidas antes que la ley llegara, producto de que tienen una matriz afuera y hay un cumplimiento interno obligatorio”, explicó José Francisco Iturrizaga, socio de Servicios Legales de Deloitte Perú.
Por otro lado, del lado del ciudadano, es evidente que la Ley ha podido incorporarse dentro del grupo de herramientas que maneja para cuidar su privacidad.
"Ha habido bastantes procedimientos trilaterales y eso significa que la gente conoce cada vez más sus derechos y sabe cuáles son los alcances y sabe que una vulneración a los mismos tiene un procedimiento de corrección. Eso hace que los procedimientos trilaterales hayan crecido, y responde a la campaña de difusión que ha tomado hace un tiempo la Autoridad”, indicó Iturrizaga.
Esta mejora en la defensa de los derechos ciudadanos por parte de los propios ciudadanos se da en un contexto en el que la privacidad es más vulnerable que nunca. Actualmente, no solo las organizaciones pueden recopilar datos de los ciudadanos de maneras que vulneren sus derechos, sino que son los propios ciudadanos los que prácticamente distribuyen de manera abierta sus datos en Internet.
Entonces, uno de los primeros logros a los que se debe apuntar es a la generación de una cultura de la seguridad de los datos.
"Al final el tema de datos es cultura. En general, esa cultura del reclamo que nosotros los titulares debemos tener, y darle importancia a nuestros datos para que empecemos a hacerlo valer y acabe un poco esa promiscuidad del manejo de los datos”, manifestó José Luis Jerez, socio de Servicios Legales de Deloitte Colombia.
¿Qué hacer?
Entonces, ¿qué es lo que debe hacer un ciudadano cuando ve que sus datos han sido vulnerados?
"Un primer tema que el ciudadano tiene que saber es que existe una ley que lo faculta a poder exigir a cualquier empresa que le informe si tiene datos personales sobre ellos mismos. Yo puedo ir a mesa de partes o servicio al cliente de dicha entidad y poner una solicitud de derechos ARCO para exigirle a la compañía que me confirme documentalmente si tiene datos míos. Y también tengo todo el derecho a oponerme al uso de mis datos, si yo no quiero que sean utilizados por esas entidades”, explicó García.
La ley lo determina, un ciudadano lo que debe hacer es asumir con responsabilidad el tratamiento de sus propios datos, tomarse la molestia de leer las políticas de privacidad, administrar con prudencia sus consentimientos para no dejarse sorprender, ya que, al final, el principal defensor de los derechos del ciudadano es el propio ciudadano; y si este no toma conciencia del uso de sus datos (las imágenes que pueda estar propagando tal vez de manera poco cuidadosa respecto a sus niños, respecto a sus hábitos familiares, respecto a contraseñas, respecto a su ubicación) podría hacer que estos caigan en malas manos.
Se puede acudir a la Autoridad cuando ocurra una vulneración de los datos, pero Luna hace hincapié en que es necesario identificar las competencias de la Autoridad y de otras instituciones.
"Ocurre también que hay muchas bases de datos robadas Y eso es un delito, es un delito informático, es un delito que persigue el Ministerio Público, la Fiscalía de la Nación, la policía con la división especializada; sobre temas delictivos no tenemos competencia, nuestra competencia sobre el tratamiento regular de los datos personales”, detalló Luna.
Ahora bien, si en el curso de las investigaciones administrativas la Autoridad determina que pueden haber operado pequeñas mafias que se dedican a la recolección de estos datos, eleva un informe a la policía y al Ministerio Público para que se persiga el delito.
Los cambios
Ya ha pasado más de una década desde que la Ley y su reglamento entraron en vigor y, por tanto, era necesario realizar algunos cambios que le permitan adecuarse a los nuevos tiempos. Básicamente, las modificaciones al reglamento ofrecen al ciudadano más derechos e incorporan más beneficios y obligaciones para las empresas.
"La ley no se está cambiando, la ley es del año 2011, el reglamento es del año 2013, y lo que se está actualizando es el reglamento. El borrador del reglamento se publicó en octubre del año pasado, aún sigue en revisión y sí, dentro de la actualización del reglamento hay algunos nuevos derechos que se están incluyendo hacia los ciudadanos y, definitivamente, es beneficioso”, anotó Gómez.
Uno de esos cambios permite dejar en claro qué es, vista la experiencia institucional, un tratamiento de datos, o cuándo pueden esos tratamientos estar dentro del ámbito de la ley. Por ejemplo, cuando se hace fuera del Perú un perfilamiento de los ciudadanos, en la oferta de bienes y servicios de titulares que se encuentran ubicados en el Perú, ahí se han realizado algunas precisiones para que quede claro que ese tipo de tratamientos forman parte del ámbito de aplicación de la ley.
Otra de las incorporaciones es el de la evaluación de impacto o el principio de responsabilidad proactiva, que responde a una idea muy sencilla: se debe realizar una evaluación en la organización de cuál sería el impacto por la pérdida o fuga de datos. Y en función de la evaluación adoptar las medidas técnicas, legales, operativas que sean necesarias para proteger esos datos.
También se está instituyendo la figura del oficial de datos personales que ya existe en las entidades públicas y existe también para un sector de las entidades privadas, pero que se está ampliando cuando la organización realiza un tratamiento voluminoso de datos o tiene como giro del negocio datos sensibles, o potencialmente se pudiera afectar a un gran número de personas por infringir medidas de seguridad. Cada organización importante que trata datos personales deberá tener una cabeza visible que se encargue de velar porque los derechos y los principios de la Ley se cumplan en su organización.
También se está estableciendo algunas obligaciones para con el tratamiento de datos de menores de edad. Sabemos hoy en día que niños y adolescentes utilizan plataformas de entretenimiento, de juegos en línea; permanentemente; se está precisando que la información respecto a los datos que se recolectan y el propósito con el que se recolectan debe proporcionarse en un lenguaje muy claro, sencillo y fácil de entender para los adolescentes entre los 14 y 17 años cuando hay una oferta de servicios digitales dirigida a ellos. Cuando se trata de menores de 14 años, se tiene que recabar el consentimiento de los padres y tutores y las plataformas deben hacer esfuerzos razonables para identificar a estos adolescentes.
Otra de las actualizaciones consta de la eliminación de los costos de inscribir los bancos de datos personales; ahora será un trámite gratuito y de aprobación automática de tal manera que más organizaciones puedan cumplir con la norma.
Y, por último, se está incluyendo la portabilidad. Mediante este derecho se podrá garantizar la transmisión directamente de un responsable a otro de los datos, en copia. Esto siempre que tecnológicamente sea posible y no genere un costo excesivo para quien alberga esos datos.
Finalmente
Se espera que los cambios al reglamento se encuentren listos y probablemente aprobados en el tercer trimestre de este año, y se brinde un plazo de adecuación de tres meses. Los cambios han recibido más de 900 comentarios y propuestas de más de 60 entidades públicas y privadas por lo que serán el fruto de un amplio consenso.
Mejía ofrece algunas recomendaciones para adecuarse a este nuevo entorno. Lo primero es ser consciente de la responsabilidad que tienen las organizaciones de inscribir los bancos de datos personales que puedan tener ante la Autoridad. También deben utilizar políticas de privacidad claras que informen qué tipos de tratamientos realizan, verificar a quiénes transfieren esta información, si es a nivel nacional o internacional y cuáles son las finalidades. Por último, implementar todo tipo de medidas de seguridad, ya sean las técnicas, las legales o las organizativas que permitan verificar que las acciones que se están realizando en el tratamiento de los datos personales sean acorde a la normativa peruana.
Jose Antonio Trujillo, CTOPerú