Bienvenidos

La Asociación Educarte es una organización sin fines de lucro interesada en promover notas culturales y educativas de la ciudadanía en general. Que nuestro creador irradie paz y felicidad sobre todos nosotros y a aprovechar este nuevo año.
Esperamos su participación
La Asociación

lunes, 9 de diciembre de 2013

El respeto a los datos personales ajenos

NORMATIVA OFRECE MAYOR PROTECCIÓN A LA INTIMIDAD PERSONAL Y FAMILIAR
Transcrito por Yorcka Torres

“Teniendo en cuenta la importancia e implicancias del manejo de datos personales, en particular los datos sensibles, resulta de singular importancia la publicación de este reglamento teniendo en cuenta el desarrollo de esta materia a nivel internacional.”



El reglamento de la Ley de Protección de Datos Personales, que entrará en vigencia en el plazo de treinta días hábiles contados a partir del día siguiente de su publicación, tiene por objeto desarrollar las disposiciones de la Ley Nº 29733, a fin de garantizar el derecho fundamental a la
protección de datos personales regulando un adecuado tratamiento, tanto por las entidades públicas como por instituciones privadas.

Así, la Ley de Protección de Datos Personales y su reglamento serán aplicables al tratamiento de los datos cuando:

Sea efectuado en un establecimiento dedicado en territorio peruano correspondiente al titular del banco de datos personales o de quien resulte responsable del tratamiento.

Sea efectuado por un encargado del tratamiento, con independencia de su ubicación, a nombre de un titular de banco de datos personales establecido en territorio peruano o de quien sea el responsable del tratamiento.

El titular del banco de datos personales o quien resulte responsable del tratamiento no esté establecido en territorio peruano, pero le resulte aplicable la legislación peruana, por disposición contractual o del derecho internacional;

El titular del banco de datos personales o quien resulte responsable no esté establecido en territorio peruano, pero utilice medios situados en dicho territorio, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento.

El responsable deberá proveer los medios que resulten necesarios para el efectivo cumplimiento de las obligaciones que impone la Ley de Datos Personales y su reglamento, y designará un representante o implementará los mecanismos suficientes para estar en posibilidades de cumplir de manera efectiva con dichas obligaciones.

Cuando el titular del banco de datos personales o quien resulte el responsable del tratamiento no se encuentre establecido en territorio peruano, pero el encargado del tratamiento lo esté, a este último le serán aplicables las disposiciones relativas a las medidas de seguridad.

En caso de personas naturales el establecimiento se entenderá como el local en donde se encuentre el principal asiento de sus negocios, o el que utilicen para el desempeño de sus actividades o su domicilio.

Tratándose de personas jurídicas, se entenderá como el establecimiento el local en que se  encuentre la administración principal del negocio.

Si se trata de personas jurídicas residentes en el extranjero, se entenderá que es el local en que se encuentre la administración principal del negocio en territorio peruano o, en su defecto, el que designen o cualquier instalación estable que permita el ejercicio efectivo o real de una actividad.

Si no fuera posible establecer la dirección del domicilio o del establecimiento, se le considerará con domicilio desconocido en territorio peruano.

Infracciones y sanciones

El reglamento señala que  procedimiento fiscalizador se iniciará siempre de oficio como consecuencia de la iniciativa directa de la Dirección de Supervisión y control del director general de Protección de Datos Personales o por denuncia de cualquier entidad pública, persona natural o jurídica.

Contra la resolución que resuelve el procedimiento sancionador proceden los recursos de reconsideración o apelación dentro de los quince días de notificada la resolución al administrado.

Consentimiento Indispensable
La Ley de Protección de Datos Personales establece que para efectuar el tratamiento de los datos de una persona es necesario su consentimiento previo, informado, expreso e inequívoco, y además por escrito, en caso de datos sensibles.

El reglamento dispone que el consentimiento será "expreso e inequívoco" cuando haya sido manifestado en condiciones que no admitan dudas de su otorgamiento, que puede ser:

Verbal: cuando el titular lo exterioriza oralmente de manera presencial o mediante el uso de cualquier tecnología que permita la interlocución oral.

Escrito: cuando el titular otorga su consentimiento mediante un documento con su firma autógrafa, huella dactilar o cualquier otro mecanismo autorizado por el ordenamiento jurídico que queda o pueda ser impreso en una superficie de papel o similar.

Se considera también consentimiento expreso a aquel que se manifieste mediante la conducta del titular que evidencie que ha consentido inequívocamente, dado que de lo contrario su conducta, necesariamente, hubiera sido otra.

En el entorno digital se considera expresa  la manifestación consistente en "hacer clic", "cliquear" o "pinchar", "dar un toque", "touch" o "pad" u otros similares. En este contexto, el  consentimiento escrito podrá otorgarse por medio de firma electrónica, mediante escritura que quede grabada, de forma tal que pueda ser leída e impresa, o por cualquier otro mecanismo o procedimiento establecido que permita identificar al titular y recabar su consentimiento, a través de texto escrito. También podrá otorgarse mediante texto preestablecido, fácilmente visible, legible y en lenguaje sencillo, que el titular pueda hacer suyo, o no, mediante una respuesta escrita, gráfica o mediante clic o pinchado.

El titular de los datos personales podrá negar o revocar su consentimiento al tratamiento de sus datos personales para finalidades adicionales a aquellas que dan lugar a su tratamiento autorizado, sin que ello afecte la relación que da lugar al consentimiento que sí ha otorgado o no ha revocado.

En caso de revocatoria es obligación de quien efectúa el tratamiento de los datos personales adecuar los nuevos tratamientos a la revocatoria y los tratamientos que estuvieran en proceso de efectuarse, en el plazo que resulte de una actuación diligente, que no podrá ser mayor a cinco días. Si la revocatoria afecta la totalidad del tratamiento de datos personales que se venía haciendo, el titular o encargado del banco de datos personales, o en su caso el responsable del tratamiento, aplicará las reglas de cancelación o supresión de datos personales.

Titulares de Derechos
El reglamento señala que el ejercicio de los derechos se lleva a cabo mediante solicitud dirigida al titular del banco de datos personales o responsable del tratamiento. Asimismo, el reglamento contempla plazos de respuesta del titular de banco de datos personales para absorber las solicitudes. Salvo el plazo establecido para el ejercicio del derecho de información, los plazos que correspondan para la respuesta o la atención de los demás derechos podrán ser ampliados una sola vez, y por un plazo igual como máximo, siempre y cuando las circunstancias lo justifiquen.

El titular de datos personales tiene derecho  a que se modifiquen los datos que resulten ser inexactos, erróneos o falsos. No existe un plazo para llevar a cabo la rectificación.

Inscripción será fundamental
Se ha establecido un procedimiento de inscripción de los bancos de datos personales. Si la solicitud presentada no cumple con los requisitos exigidos, la Dirección de Registro Nacional de Protección de Datos Personales requerirá al solicitante que en el plazo de 10 días subsan la omisión. La inscripción de un banco de datos personales deberá mantenerse actualizada en todo momento.

Cualquier modificación deberá ser previamente comunicada a la Dirección de Registro Nacional de Protección de Datos Personales para su inscripción. El plazo maximo para emitir la  resolución acerca de la inscripción, modificación o cancelación será de 30 días.

Asimismo, se ha normado el procedimiento de inscripción de los códigos de conducta. El plazo máximo para emitir la resolución será de 30 días, contado desde la fecha de presentación de la solicitud ante la Dirección de Registro Nacional de Protección de Datos Personales.

Grupos empresariales
En el caso de transferencia de datos personales dentro de grupos empresariales, sociedades subsidiarias afiliadas o vinculadas bajo el control común del mismo grupo del titular del banco de datos personales o responsable del tratamiento, o a aquellas afiliadas o vinculadas con una sociedad matriz o con cualquier sociedad del mismo grupo del titular del banco de datos o responsable del tratamiento, se cumple con garantizar el tratamiento de datos personales si se cuenta con un código de conducta que establezca las normas internas de protección de datos personales.

Los flujos transfronterizos de datos personales serán posibles cuando el receptor o importador de los datos asuma las mismas obligaciones que corresponden al titular del banco de datos personales o responsable del tratamiento que como emisor o exportador transfirió los datos personales.

El emisor o exportado podrá valerse de cláusulas contractuales u otros instrumentos jurídicos en los que se establezcan cuando menos las mismas obligaciones a las que se encuentra sujeto, así como las condiciones en las que el titular consintió el tratamiento de sus datos personales.

Los titulares del banco de datos personales o responsables del tratamiento podrán solicitar la opinión de la Dirección General de Protección de Datos Personales respecto a si el flujo transfronterizo de datos personales que realiza o realizará cumple con lo dispuesto por la ley y su reglamento.

En cualquier caso, el flujo transfronterizo de datos personales se pondrá en conocimiento de la Dirección General de Protección de Datos Personales, incluyendo la información que se requiere para la transferencia de datos personales y el registro de banco de datos.


No hay comentarios:

Publicar un comentario