Nuevo Reglamento de la Ley Peruana de Protección de Datos Personales
Por Decreto Supremo 016-2014-JUS , publicado el 30 de Noviembre de 2024, se ha aprobado el Nuevo reglamento de la Ley Peruana de Protección de Datos Personales. Por su importancia y actualidad publicamos una breve reseña en el presente Blog Jurídico Digital.
TÍTULO PRELIMINAR
Finalidad El presente Reglamento tiene por finalidad garantizar una adecuada tutela del derecho fundamental a la protección de datos personales establecido en el numeral 6 del artículo 2 de la Constitución Política del Perú y la Ley N.º 29733, Ley de Protección de Datos Personales, frente a los riesgos que pueden generar el uso de las nuevas tecnologías digitales.
Principios rectores El titular del banco de datos personales, o en su caso, quien resulte responsable del tratamiento de datos personales, debe cumplir con el régimen jurídico en materia de protección de los datos personales de acuerdo con los principios rectores establecidos en la Ley; y, asimismo, conforme a los siguientes principios específicos:
a) Principio de transparencia: El tratamiento de datos personales debe ser informado de manera permanente, clara, fácil de entender y accesible al titular de los datos personales. Este principio exige que el titular del dato personal tome conocimiento de las condiciones del tratamiento de sus datos personales, así como de los derechos que puede hacer valer respecto a aquellos y de las demás condiciones establecidas en el artículo 18 de la Ley.
b) Principio de responsabilidad proactiva: En el tratamiento de datos personales se deben aplicar las medidas legales, técnicas y organizativas a fi n de garantizar el cumplimiento efectivo de la normativa de datos personales, y el titular del banco de datos personales o quien resulte responsable, debe ser capaz de demostrar tal cumplimiento.
TÍTULO I TRATAMIENTO DE DATOS PERSONALES
El consentimiento para el tratamiento de datos personales
El titular del banco de datos personales o quien resulte como responsable del tratamiento, debe obtener el consentimiento para el tratamiento de los datos personales, de conformidad con lo establecido en la Ley y en el presente Reglamento, salvo los supuestos establecidos en el artículo 14 de la Ley, en cuyo numeral 1 queda comprendido el tratamiento de datos personales que resulte imprescindible para ejecutar la interoperabilidad entre las entidades públicas.
La solicitud del consentimiento debe estar referida a un tratamiento o serie de tratamientos determinados, con expresa identificación de la finalidad o finalidades para las que se recaban los datos; así como las demás condiciones que concurran en el tratamiento o tratamientos, sin perjuicio de lo dispuesto en el siguiente artículo sobre las características del consentimiento.
Cuando el tratamiento de datos personales se refiera a finalidades distintas a los supuestos previstos en el artículo 14 de la Ley, debe obtenerse el consentimiento.
Cuando se solicite el consentimiento para una forma de tratamiento que incluya o pueda incluir la transferencia nacional o internacional de los datos, del titular de los mismos debe ser informado de forma que conozca inequívocamente tal circunstancia, además de la finalidad a la que se destinan sus datos y el tipo de actividad desarrollada por quien va a recibir los mismos.
Características del consentimiento válido El consentimiento para el tratamiento de datos personales es válido si se cumplen las siguientes características: a) Libre b) Previo c)Expreso e inequívoco d) Informado.
Garantías para el flujo transfronterizo de datos personales
El emisor o exportador puede valerse de cláusulas contractuales modelo u otros instrumentos jurídicos en los que se establezcan cuando menos las mismas obligaciones a las que se encuentra sujeto, así como las condiciones en las que el titular consintió el tratamiento de sus datos personales.
La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales emite modelos de cláusulas contractuales a fi n de que los receptores o importadores asuman las obligaciones que corresponden al titular del banco de datos o responsable del tratamiento, y se establezca los derechos y libertades de los titulares de los datos personales y las obligaciones de los responsables de tratamiento.
OBLIGACIONES EN MATERIA DE TRATAMIENTO DE DATOS PERSONALES
Notificación del incidente de seguridad de datos personales
En caso de un incidente de seguridad de datos personales que genere exposición de grandes volúmenes de los mismos, en cantidad o tipo de datos, o que pueda afectar a un gran número de personas o cuando se trate de datos sensibles o cuando se produzca un perjuicio evidente a otros derechos o libertades del titular del dato personal, el titular del banco de datos o el responsable del tratamiento debe notificar a la Autoridad Nacional de Protección de Datos Personales como máximo dentro de las 48 horas posteriores a haber tomado conocimiento o constancia de ello. Si dicha notifi cación se efectúa en un tiempo superior a 48 horas, debe ir acompañada de la indicación de los motivos y/o sustento probatorio de tal dilación. Esta obligación permanece aun cuando el responsable de tratamiento de datos personales considere que tal incidente haya sido subsanado o resuelto internamente.
La notificación del incidente de seguridad de datos personales debe señalar y describir como mínimo lo siguiente:
1. La naturaleza del incidente de seguridad de los datos personales, inclusive, cuando sea posible, los tipos de datos y el número aproximado de titulares de datos afectados.
2. El nombre y los datos de contacto del Oficial de datos personales o de otro punto de contacto en el que pueda obtenerse más información.
3. Las posibles consecuencias del incidente de seguridad de los datos personales.
4. Las medidas adoptadas o propuestas por el titular del banco de datos o responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Designación del Oficial de Datos Personales
El titular del banco de datos personales o responsable y el encargado de tratamiento deben designar a un Oficial de Datos Personales cuando:
1. El tratamiento lo lleve a cabo una entidad pública, de conformidad con lo establecido en el Reglamento del Decreto Legislativo Nº 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, y establece disposiciones sobre las condiciones, requisitos y uso de las tecnologías y medios electrónicos en el procedimiento administrativo, aprobado por Decreto Supremo N.º 029-2021-PCM.
2. El titular del banco de datos o responsable del tratamiento o el encargado de tratamiento realicen tratamientos de grandes volúmenes de datos personales, en cantidad o tipo de datos, o que pueda afectar a un gran número de personas o cuando se trate de datos sensibles o cuando se produzca un perjuicio evidente a otros derechos o libertades del titular del dato personal.
3. El titular del banco de datos o responsable de tratamiento o el encargado del tratamiento realicen actividades principales o de giro de negocio que comprendan el tratamiento de datos sensibles.
MEDIDAS DE SEGURIDAD
Seguridad para el tratamiento de datos a través de medios digitales Las plataformas, sitios web, aplicaciones móviles, servicios digitales y los sistemas informáticos que son empleados para realizar tratamiento de datos personales deben tener documentado e implementado lo siguiente:
1. El control de acceso a los datos personales que incluye: a) Gestión de accesos desde el registro de un usuario hasta su eliminación o baja, incluyendo eventualidades periódicas como periodos vacacionales o permisos esporádicos. b) Procedimientos de identificación y autenticación. c) Gestión de los privilegios asignados a dicho usuario, incluyendo la verificación periódica de los mismos, que debe ser ejecutado periódicamente en un intervalo mínimo de tiempo semestral. d) Mecanismos de autenticación del usuario ante el sistema que implica la asignación de uso de usuario contraseña, uso de certificados digitales, tokens, entre otros.
2. El monitoreo y revisión periódica de las medidas de seguridad y los planes de capacitación del personal, dependiendo de sus roles y responsabilidades, respecto al tratamiento de datos personales que efectúan.
3. La generación y el mantenimiento de registros que provean evidencia de las interacciones con los datos lógicos, incluyendo para los fines de la trazabilidad, la información de cuentas de usuario con acceso al sistema, horas de inicio y cierre de sesión y acciones referidas a procesamiento, visualización, modifi cación, eliminación, importación y exportación de datos personales. Estos registros deben ser legibles, oportunos y tener un procedimiento de disposición, almacenamiento, transferencia, destrucción una vez que los registros ya no sean útiles y generarse y/o ejecutarse de manera periódica. Dichos registros deben conservarse por un periodo mínimo de dos (2) años. Los registros de interacción lógica correspondientes a trazabilidad de las acciones realizadas por los operadores de los sistemas empleados para realizar el tratamiento de los datos personales deben generarse de manera continua y deben encontrarse disponibles de manera inmediata.
4. Las medidas de seguridad que impidan al personal no autorizado la generación de copias o la reproducción de documentos digitales que contengan datos personales. En el caso de uso de sistemas, aplicaciones de mensajería instantánea, uso de cuentas de correo electrónico y/o redes sociales no institucionales, estos deben ser debidamente aprobados y formalmente establecidos, a efectos de evitar generar riesgos y transferencias no autorizadas de datos personales.
PROCEDIMIENTO DE TUTELA
Procedimiento de tutela directa
El ejercicio de los derechos regulados por la Ley y el presente Reglamento se inicia con la solicitud que el titular de los datos personales debe dirigir directamente al titular del banco de datos personales o responsable del tratamiento.
El titular del banco de datos personales o responsable del tratamiento debe dar respuesta, en los plazos previstos en el presente Reglamento, expresando lo correspondiente a cada uno de los extremos de la solicitud. Transcurrido el plazo sin haber recibido la respuesta el solicitante puede considerar denegada su solicitud.
La denegatoria o la respuesta insatisfactoria habilitan al solicitante a iniciar el procedimiento administrativo ante la Dirección de Protección de Datos Personales.
Requisitos para el inicio del procedimiento trilateral de tutela
El procedimiento trilateral de tutela de los derechos del titular de los datos personales se sujeta a lo dispuesto en el presente Reglamento y en la Ley Nº 27444, Ley del Procedimiento Administrativo General u otra que la sustituya, en lo que le sea aplicable. Sin perjuicio de ello, la solicitud del titular de los datos personales debe cumplir con los siguientes requisitos:
1. La solicitud de inicio del procedimiento administrativo de tutela o reclamación debe contener los requisitos conforme a la Ley Nº 27444, Ley de Procedimiento Administrativo General u otra que la sustituya.
2. El cargo de la solicitud que previamente envió al titular del banco de datos personales o responsable del tratamiento para obtener, directamente, la tutela de sus derechos.
3. El documento que contenga la respuesta del titular del banco de datos personales o responsable del tratamiento que, a su vez, contenga la denegatoria de su pedido o la respuesta que considere no satisfactoria, de haberla recibido.
4. Documentos que acrediten la afectación del derecho del titular del dato personal conforme a las condiciones reguladas en la Ley y el presente Reglamento, cuando así corresponda.
Contestación a la reclamación
Cuando la Dirección de Protección de Datos Personales haya admitido a trámite la reclamación, se corre traslado al reclamado y se otorga un plazo de quince (15) días sujetándose a lo dispuesto por el artículo 223 de la Ley Nº 27444, Ley de Procedimiento Administrativo General u otra que la sustituya.
Plazo para resolver .
El plazo máximo en que debe resolverse el procedimiento trilateral de tutela es de treinta (30) días, contado desde el día siguiente de recibida la contestación del reclamado o desde el vencimiento del plazo para formularla, y puede ampliarse hasta por un máximo de treinta (30) días adicionales, atendiendo a la complejidad del caso.
En caso se realice acciones de fiscalización a requerimiento de la Dirección de Protección de Datos Personales, se suspende el plazo previsto para resolver hasta que se reciba el informe correspondiente. Artículo 92. Impugnación
Contra la resolución del procedimiento trilateral de tutela solo procede el recurso de apelación conforme con lo establecido en el artículo 227 de la Ley Nº 27444, Ley del Procedimiento Administrativo General u otro que la sustituya.
El recurso de apelación se presenta ante la Dirección de Protección de Datos Personales, la cual debe emitir la concesión del recurso de apelación. Posteriormente, la Dirección de Protección de Datos Personales debe elevar el expediente administrativo a la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales en el plazo de dos (02) días de haberse notifi cado la concesión antes mencionada.
La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, dentro del plazo de quince (15) días de recibido el expediente administrativo, corre traslado de la apelación a la otra parte, la cual debe presentar su absolución en un plazo máximo de quince (15) días.
Recibida la absolución precitada o vencido el plazo establecido para tal efecto, el recurso de apelación es resuelto por la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales en un plazo máximo de treinta (30) días. Dicha resolución agota la vía administrativa
FISCALIZACIÓN
Objeto
La actividad de fiscalización tiene por objeto la realización de un conjunto de actos y diligencias de investigación, supervisión, control o inspección sobre el cumplimiento de las obligaciones en materia de protección de datos personales, prohibiciones y otras limitaciones exigibles a los administrados que realizan tratamiento de datos personales, derivados de una norma legal o reglamentaria, contratos con el Estado u otra fuente jurídica, bajo un enfoque de cumplimiento normativo, de prevención del riesgo, de gestión del riesgo y tutela de los bienes jurídicos protegidos.
Inicio de la actividad de fiscalización
La actividad de fiscalización se inicia siempre de oficio como consecuencia de:
1. Iniciativa directa de la Dirección de Fiscalización e Instrucción; o, 2. Por denuncia de cualquier entidad pública, persona natural o jurídica.
En todos los casos, la Dirección de Fiscalización e Instrucción requiere al titular del banco de datos personales, al encargado o a quien resulte responsable, información relativa al tratamiento de datos personales o la documentación necesaria.
Para efectos de la actividad fiscalizadora, la Dirección de Fiscalización e Instrucción está facultada para ejecutar las actividades dispuestas en el artículo 228- B de la Ley Nº 27444, Ley del Procedimiento Administrativo General u otro que la sustituya.
Tipos de actividad de fiscalización
La actividad de fiscalización se clasifica en:
1. Presencial: Acción de fiscalización que se realiza fuera de las sedes de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, en presencia del titular del banco de datos personales, el encargado o quien resulte responsable o sus representantes.
2. En gabinete: Acción de fiscalización que se realiza desde las sedes de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales y que implica el acceso y evaluación a través de medios digitales a las actividades que realiza el titular del banco de datos personales, el encargado o quien resulte responsable del tratamiento de datos personales.
Etiquetas: Datos Personales, Derecho Digital, Privacidad
publicadas por Dr. Julio Núñez Ponce a la/s
11:23 a.m.
0 Comentarios
