Por Decreto Supremo 016-2014-JUS , publicado el 30 de Noviembre de 2024, se ha aprobado el Nuevo reglamento de la Ley Peruana de Protección de Datos Personales. Por su importancia y actualidad publicamos una breve reseña en el presente Blog Jurídico Digital.
TÍTULO PRELIMINAR
Objeto
El presente Reglamento tiene por objeto establecer
disposiciones para la adecuada aplicación de la Ley
N.º 29733, Ley de Protección de Datos Personales,
en adelante la Ley, a fi n de garantizar el derecho
fundamental a la protección de datos personales,
regulando un adecuado tratamiento por parte de las
personas naturales, entidades públicas y las instituciones
pertenecientes al sector privado, particularmente, en el
entorno digital.
Finalidad
El presente Reglamento tiene por finalidad garantizar
una adecuada tutela del derecho fundamental a la
protección de datos personales establecido en el numeral
6 del artículo 2 de la Constitución Política del Perú y la Ley
N.º 29733, Ley de Protección de Datos Personales, frente
a los riesgos que pueden generar el uso de las nuevas
tecnologías digitales.
Principios rectores
El titular del banco de datos personales, o en su
caso, quien resulte responsable del tratamiento de datos
personales, debe cumplir con el régimen jurídico en materia
de protección de los datos personales de acuerdo con los principios rectores establecidos en la Ley; y, asimismo,
conforme a los siguientes principios específicos:
a) Principio de transparencia: El tratamiento de datos
personales debe ser informado de manera permanente,
clara, fácil de entender y accesible al titular de los datos
personales. Este principio exige que el titular del dato
personal tome conocimiento de las condiciones del
tratamiento de sus datos personales, así como de los
derechos que puede hacer valer respecto a aquellos y de
las demás condiciones establecidas en el artículo 18 de
la Ley.
b) Principio de responsabilidad proactiva: En
el tratamiento de datos personales se deben aplicar
las medidas legales, técnicas y organizativas a fi n de
garantizar el cumplimiento efectivo de la normativa de
datos personales, y el titular del banco de datos personales
o quien resulte responsable, debe ser capaz de demostrar
tal cumplimiento.
TÍTULO I
TRATAMIENTO DE DATOS PERSONALES
El consentimiento para el tratamiento de
datos personales
El titular del banco de datos personales o quien
resulte como responsable del tratamiento, debe obtener
el consentimiento para el tratamiento de los datos
personales, de conformidad con lo establecido en la
Ley y en el presente Reglamento, salvo los supuestos
establecidos en el artículo 14 de la Ley, en cuyo numeral 1
queda comprendido el tratamiento de datos personales que
resulte imprescindible para ejecutar la interoperabilidad
entre las entidades públicas.
La solicitud del consentimiento debe estar referida
a un tratamiento o serie de tratamientos determinados, con
expresa identificación de la finalidad o finalidades para las
que se recaban los datos; así como las demás condiciones
que concurran en el tratamiento o tratamientos, sin
perjuicio de lo dispuesto en el siguiente artículo sobre las
características del consentimiento.
Cuando el tratamiento de datos personales se
refiera a finalidades distintas a los supuestos previstos en
el artículo 14 de la Ley, debe obtenerse el consentimiento.
Cuando se solicite el consentimiento para una
forma de tratamiento que incluya o pueda incluir la
transferencia nacional o internacional de los datos, del
titular de los mismos debe ser informado de forma que
conozca inequívocamente tal circunstancia, además de
la finalidad a la que se destinan sus datos y el tipo de
actividad desarrollada por quien va a recibir los mismos.
Características del consentimiento
válido
El consentimiento para el tratamiento de datos
personales es válido si se cumplen las siguientes
características: a) Libre b) Previo c)Expreso e inequívoco d) Informado.
Garantías para el flujo transfronterizo
de datos personales
El emisor o
exportador puede valerse de cláusulas contractuales
modelo u otros instrumentos jurídicos en los que se
establezcan cuando menos las mismas obligaciones a
las que se encuentra sujeto, así como las condiciones
en las que el titular consintió el tratamiento de sus datos
personales.
La Dirección General de Transparencia,
Acceso a la Información Pública y Protección de Datos
Personales emite modelos de cláusulas contractuales
a fi n de que los receptores o importadores asuman las
obligaciones que corresponden al titular del banco de
datos o responsable del tratamiento, y se establezca
los derechos y libertades de los titulares de los datos
personales y las obligaciones de los responsables de
tratamiento.
OBLIGACIONES EN MATERIA
DE TRATAMIENTO DE
DATOS PERSONALES
Notificación del incidente de seguridad
de datos personales
En caso de un incidente de seguridad de datos
personales que genere exposición de grandes volúmenes
de los mismos, en cantidad o tipo de datos, o que pueda
afectar a un gran número de personas o cuando se trate
de datos sensibles o cuando se produzca un perjuicio
evidente a otros derechos o libertades del titular del dato
personal, el titular del banco de datos o el responsable
del tratamiento debe notificar a la Autoridad Nacional de
Protección de Datos Personales como máximo dentro de
las 48 horas posteriores a haber tomado conocimiento
o constancia de ello. Si dicha notifi cación se efectúa
en un tiempo superior a 48 horas, debe ir acompañada
de la indicación de los motivos y/o sustento probatorio
de tal dilación. Esta obligación permanece aun cuando
el responsable de tratamiento de datos personales
considere que tal incidente haya sido subsanado o
resuelto internamente.
La notificación del incidente de seguridad de
datos personales debe señalar y describir como mínimo
lo siguiente:
1. La naturaleza del incidente de seguridad de los
datos personales, inclusive, cuando sea posible, los tipos
de datos y el número aproximado de titulares de datos
afectados.
2. El nombre y los datos de contacto del Oficial de
datos personales o de otro punto de contacto en el que
pueda obtenerse más información.
3. Las posibles consecuencias del incidente de
seguridad de los datos personales.
4. Las medidas adoptadas o propuestas por el titular
del banco de datos o responsable del tratamiento para
poner remedio a la violación de la seguridad de los
datos personales, incluyendo, si procede, las medidas
adoptadas para mitigar los posibles efectos negativos.
Designación del Oficial de Datos
Personales
El titular del banco de datos personales o
responsable y el encargado de tratamiento deben designar
a un Oficial de Datos Personales cuando:
1. El tratamiento lo lleve a cabo una entidad pública,
de conformidad con lo establecido en el Reglamento del Decreto Legislativo Nº
1412, Decreto Legislativo que aprueba la Ley de Gobierno
Digital, y establece disposiciones sobre las condiciones,
requisitos y uso de las tecnologías y medios electrónicos
en el procedimiento administrativo, aprobado por Decreto
Supremo N.º 029-2021-PCM.
2. El titular del banco de datos o responsable del
tratamiento o el encargado de tratamiento realicen
tratamientos de grandes volúmenes de datos personales,
en cantidad o tipo de datos, o que pueda afectar a un gran
número de personas o cuando se trate de datos sensibles o
cuando se produzca un perjuicio evidente a otros derechos
o libertades del titular del dato personal.
3. El titular del banco de datos o responsable de
tratamiento o el encargado del tratamiento realicen
actividades principales o de giro de negocio que
comprendan el tratamiento de datos sensibles.
MEDIDAS DE SEGURIDAD
Seguridad para el tratamiento de datos
a través de medios digitales
Las plataformas, sitios web, aplicaciones móviles,
servicios digitales y los sistemas informáticos que son
empleados para realizar tratamiento de datos personales
deben tener documentado e implementado lo siguiente:
1. El control de acceso a los datos personales que
incluye:
a) Gestión de accesos desde el registro de un usuario
hasta su eliminación o baja, incluyendo eventualidades
periódicas como periodos vacacionales o permisos
esporádicos.
b) Procedimientos de identificación y autenticación.
c) Gestión de los privilegios asignados a dicho usuario,
incluyendo la verificación periódica de los mismos, que
debe ser ejecutado periódicamente en un intervalo mínimo
de tiempo semestral.
d) Mecanismos de autenticación del usuario ante
el sistema que implica la asignación de uso de usuario contraseña, uso de certificados digitales, tokens, entre
otros.
2. El monitoreo y revisión periódica de las medidas
de seguridad y los planes de capacitación del personal,
dependiendo de sus roles y responsabilidades, respecto al
tratamiento de datos personales que efectúan.
3. La generación y el mantenimiento de registros que
provean evidencia de las interacciones con los datos
lógicos, incluyendo para los fines de la trazabilidad, la
información de cuentas de usuario con acceso al sistema,
horas de inicio y cierre de sesión y acciones referidas a
procesamiento, visualización, modifi cación, eliminación,
importación y exportación de datos personales.
Estos registros deben ser legibles, oportunos y tener
un procedimiento de disposición, almacenamiento,
transferencia, destrucción una vez que los registros ya
no sean útiles y generarse y/o ejecutarse de manera
periódica. Dichos registros deben conservarse por un
periodo mínimo de dos (2) años.
Los registros de interacción lógica correspondientes a
trazabilidad de las acciones realizadas por los operadores
de los sistemas empleados para realizar el tratamiento
de los datos personales deben generarse de manera
continua y deben encontrarse disponibles de manera
inmediata.
4. Las medidas de seguridad que impidan al personal
no autorizado la generación de copias o la reproducción
de documentos digitales que contengan datos personales.
En el caso de uso de sistemas, aplicaciones de mensajería
instantánea, uso de cuentas de correo electrónico y/o redes
sociales no institucionales, estos deben ser debidamente
aprobados y formalmente establecidos, a efectos de evitar
generar riesgos y transferencias no autorizadas de datos
personales.
PROCEDIMIENTO DE TUTELA
Procedimiento de tutela directa
El ejercicio de los derechos regulados por la Ley
y el presente Reglamento se inicia con la solicitud que el
titular de los datos personales debe dirigir directamente al
titular del banco de datos personales o responsable del
tratamiento.
El titular del banco de datos personales o
responsable del tratamiento debe dar respuesta, en los
plazos previstos en el presente Reglamento, expresando
lo correspondiente a cada uno de los extremos de la
solicitud. Transcurrido el plazo sin haber recibido la
respuesta el solicitante puede considerar denegada su
solicitud.
La denegatoria o la respuesta insatisfactoria
habilitan al solicitante a iniciar el procedimiento
administrativo ante la Dirección de Protección de Datos
Personales.
Requisitos para el inicio del
procedimiento trilateral de tutela
El procedimiento trilateral de tutela de los derechos
del titular de los datos personales se sujeta a lo dispuesto
en el presente Reglamento y en la Ley Nº 27444, Ley
del Procedimiento Administrativo General u otra que la
sustituya, en lo que le sea aplicable. Sin perjuicio de ello,
la solicitud del titular de los datos personales debe cumplir
con los siguientes requisitos:
1. La solicitud de inicio del procedimiento administrativo
de tutela o reclamación debe contener los requisitos
conforme a la Ley Nº 27444, Ley de Procedimiento
Administrativo General u otra que la sustituya.
2. El cargo de la solicitud que previamente envió al
titular del banco de datos personales o responsable del
tratamiento para obtener, directamente, la tutela de sus
derechos.
3. El documento que contenga la respuesta del
titular del banco de datos personales o responsable del
tratamiento que, a su vez, contenga la denegatoria de su
pedido o la respuesta que considere no satisfactoria, de
haberla recibido.
4. Documentos que acrediten la afectación del derecho
del titular del dato personal conforme a las condiciones reguladas en la Ley y el presente Reglamento, cuando así
corresponda.
Contestación a la reclamación
Cuando la Dirección de Protección de Datos Personales
haya admitido a trámite la reclamación, se corre traslado
al reclamado y se otorga un plazo de quince (15) días
sujetándose a lo dispuesto por el artículo 223 de la Ley Nº
27444, Ley de Procedimiento Administrativo General u otra
que la sustituya.
Plazo para resolver .
El plazo máximo en que debe resolverse el
procedimiento trilateral de tutela es de treinta (30) días,
contado desde el día siguiente de recibida la contestación
del reclamado o desde el vencimiento del plazo para
formularla, y puede ampliarse hasta por un máximo de treinta (30) días adicionales, atendiendo a la complejidad
del caso.
En caso se realice acciones de fiscalización
a requerimiento de la Dirección de Protección de Datos
Personales, se suspende el plazo previsto para resolver
hasta que se reciba el informe correspondiente.
Artículo 92. Impugnación
Contra la resolución del procedimiento trilateral
de tutela solo procede el recurso de apelación conforme
con lo establecido en el artículo 227 de la Ley Nº 27444,
Ley del Procedimiento Administrativo General u otro que
la sustituya.
El recurso de apelación se presenta ante la
Dirección de Protección de Datos Personales, la cual
debe emitir la concesión del recurso de apelación.
Posteriormente, la Dirección de Protección de Datos
Personales debe elevar el expediente administrativo
a la Dirección General de Transparencia, Acceso a la
Información Pública y Protección de Datos Personales
en el plazo de dos (02) días de haberse notifi cado la
concesión antes mencionada.
La Dirección General de Transparencia, Acceso a
la Información Pública y Protección de Datos Personales,
dentro del plazo de quince (15) días de recibido el
expediente administrativo, corre traslado de la apelación
a la otra parte, la cual debe presentar su absolución en un
plazo máximo de quince (15) días.
Recibida la absolución precitada o vencido el
plazo establecido para tal efecto, el recurso de apelación
es resuelto por la Dirección General de Transparencia,
Acceso a la Información Pública y Protección de Datos
Personales en un plazo máximo de treinta (30) días. Dicha
resolución agota la vía administrativa
FISCALIZACIÓN
Objeto
La actividad de fiscalización tiene por objeto la
realización de un conjunto de actos y diligencias de
investigación, supervisión, control o inspección sobre el
cumplimiento de las obligaciones en materia de protección
de datos personales, prohibiciones y otras limitaciones
exigibles a los administrados que realizan tratamiento
de datos personales, derivados de una norma legal o
reglamentaria, contratos con el Estado u otra fuente
jurídica, bajo un enfoque de cumplimiento normativo, de
prevención del riesgo, de gestión del riesgo y tutela de los
bienes jurídicos protegidos.
Inicio de la actividad de fiscalización
La actividad de fiscalización se inicia siempre de
oficio como consecuencia de:
1. Iniciativa directa de la Dirección de Fiscalización e
Instrucción; o,
2. Por denuncia de cualquier entidad pública, persona
natural o jurídica.
En todos los casos, la Dirección de Fiscalización
e Instrucción requiere al titular del banco de datos
personales, al encargado o a quien resulte responsable,
información relativa al tratamiento de datos personales o
la documentación necesaria.
Para efectos de la actividad fiscalizadora, la
Dirección de Fiscalización e Instrucción está facultada
para ejecutar las actividades dispuestas en el artículo 228-
B de la Ley Nº 27444, Ley del Procedimiento Administrativo
General u otro que la sustituya.
Tipos de actividad de fiscalización
La actividad de fiscalización se clasifica en:
1. Presencial: Acción de fiscalización que se
realiza fuera de las sedes de la Dirección General
de Transparencia, Acceso a la Información Pública y
Protección de Datos Personales, en presencia del titular
del banco de datos personales, el encargado o quien
resulte responsable o sus representantes.
2. En gabinete: Acción de fiscalización que se realiza
desde las sedes de la Dirección General de Transparencia,
Acceso a la Información Pública y Protección de Datos
Personales y que implica el acceso y evaluación a través
de medios digitales a las actividades que realiza el titular
del banco de datos personales, el encargado o quien
resulte responsable del tratamiento de datos personales.
Etiquetas: Datos Personales, Derecho Digital, Privacidad