Transcrito por Yorcka Torres
“Teniendo en cuenta la importancia e implicancias del
manejo de datos personales, en particular los datos sensibles, resulta de
singular importancia la publicación de este reglamento teniendo en cuenta el
desarrollo de esta materia a nivel internacional.”
El reglamento de la Ley de Protección de Datos
Personales, que entrará en vigencia en el plazo de treinta días hábiles
contados a partir del día siguiente de su publicación, tiene por objeto
desarrollar las disposiciones de la Ley Nº 29733, a fin de garantizar el
derecho fundamental a la
protección de datos personales regulando un adecuado tratamiento, tanto por las entidades públicas como por instituciones privadas.
protección de datos personales regulando un adecuado tratamiento, tanto por las entidades públicas como por instituciones privadas.
Así, la Ley de Protección de Datos Personales y su
reglamento serán aplicables al tratamiento de los datos cuando:
■ Sea
efectuado en un establecimiento dedicado en territorio peruano correspondiente
al titular del banco de datos personales o de quien resulte responsable del
tratamiento.
■ Sea
efectuado por un encargado del tratamiento, con independencia de su ubicación,
a nombre de un titular de banco de datos personales establecido en territorio
peruano o de quien sea el responsable del tratamiento.
■ El
titular del banco de datos personales o quien resulte responsable del
tratamiento no esté establecido en territorio peruano, pero le resulte
aplicable la legislación peruana, por disposición contractual o del derecho
internacional;
■ El
titular del banco de datos personales o quien resulte responsable no esté
establecido en territorio peruano, pero utilice medios situados en dicho
territorio, salvo que tales medios se utilicen únicamente con fines de tránsito
que no impliquen un tratamiento.
■ El
responsable deberá proveer los medios que resulten necesarios para el efectivo
cumplimiento de las obligaciones que impone la Ley de Datos Personales y su
reglamento, y designará un representante o implementará los mecanismos
suficientes para estar en posibilidades de cumplir de manera efectiva con
dichas obligaciones.
■ Cuando
el titular del banco de datos personales o quien resulte el responsable del
tratamiento no se encuentre establecido en territorio peruano, pero el
encargado del tratamiento lo esté, a este último le serán aplicables las
disposiciones relativas a las medidas de seguridad.
■ En
caso de personas naturales el establecimiento se entenderá como el local en
donde se encuentre el principal asiento de sus negocios, o el que utilicen para
el desempeño de sus actividades o su domicilio.
■ Tratándose
de personas jurídicas, se entenderá como el establecimiento el local en que se encuentre la administración principal del
negocio.
■ Si
se trata de personas jurídicas residentes en el extranjero, se entenderá que es
el local en que se encuentre la administración principal del negocio en
territorio peruano o, en su defecto, el que designen o cualquier instalación
estable que permita el ejercicio efectivo o real de una actividad.
■ Si
no fuera posible establecer la dirección del domicilio o del establecimiento,
se le considerará con domicilio desconocido en territorio peruano.
Infracciones y sanciones
■ El
reglamento señala que procedimiento
fiscalizador se iniciará siempre de oficio como consecuencia de la iniciativa
directa de la Dirección de Supervisión y control del director general de
Protección de Datos Personales o por denuncia de cualquier entidad pública,
persona natural o jurídica.
■ Contra
la resolución que resuelve el procedimiento sancionador proceden los recursos
de reconsideración o apelación dentro de los quince días de notificada la
resolución al administrado.
Consentimiento Indispensable
La Ley de Protección de Datos Personales establece que
para efectuar el tratamiento de los datos de una persona es necesario su
consentimiento previo, informado, expreso e inequívoco, y además por escrito,
en caso de datos sensibles.
El reglamento dispone que el consentimiento será
"expreso e inequívoco" cuando haya sido manifestado en condiciones
que no admitan dudas de su otorgamiento, que puede ser:
■ Verbal:
cuando el titular lo exterioriza oralmente de manera presencial o mediante el
uso de cualquier tecnología que permita la interlocución oral.
■ Escrito:
cuando el titular otorga su consentimiento mediante un documento con su firma
autógrafa, huella dactilar o cualquier otro mecanismo autorizado por el
ordenamiento jurídico que queda o pueda ser impreso en una superficie de papel
o similar.
■ Se
considera también consentimiento expreso a aquel que se manifieste mediante la
conducta del titular que evidencie que ha consentido inequívocamente, dado que
de lo contrario su conducta, necesariamente, hubiera sido otra.
■ En
el entorno digital se considera expresa
la manifestación consistente en "hacer clic",
"cliquear" o "pinchar", "dar un toque",
"touch" o "pad" u otros similares. En este contexto,
el consentimiento escrito podrá
otorgarse por medio de firma electrónica, mediante escritura que quede grabada,
de forma tal que pueda ser leída e impresa, o por cualquier otro mecanismo o
procedimiento establecido que permita identificar al titular y recabar su
consentimiento, a través de texto escrito. También podrá otorgarse mediante
texto preestablecido, fácilmente visible, legible y en lenguaje sencillo, que
el titular pueda hacer suyo, o no, mediante una respuesta escrita, gráfica o
mediante clic o pinchado.
■ El
titular de los datos personales podrá negar o revocar su consentimiento al
tratamiento de sus datos personales para finalidades adicionales a aquellas que
dan lugar a su tratamiento autorizado, sin que ello afecte la relación que da
lugar al consentimiento que sí ha otorgado o no ha revocado.
■ En
caso de revocatoria es obligación de quien efectúa el tratamiento de los datos
personales adecuar los nuevos tratamientos a la revocatoria y los tratamientos
que estuvieran en proceso de efectuarse, en el plazo que resulte de una
actuación diligente, que no podrá ser mayor a cinco días. Si la revocatoria
afecta la totalidad del tratamiento de datos personales que se venía haciendo,
el titular o encargado del banco de datos personales, o en su caso el
responsable del tratamiento, aplicará las reglas de cancelación o supresión de
datos personales.
Titulares de Derechos
■ El
reglamento señala que el ejercicio de los derechos se lleva a cabo mediante
solicitud dirigida al titular del banco de datos personales o responsable del
tratamiento. Asimismo, el reglamento contempla plazos de respuesta del titular
de banco de datos personales para absorber las solicitudes. Salvo el plazo
establecido para el ejercicio del derecho de información, los plazos que
correspondan para la respuesta o la atención de los demás derechos podrán ser
ampliados una sola vez, y por un plazo igual como máximo, siempre y cuando las
circunstancias lo justifiquen.
■ El
titular de datos personales tiene derecho
a que se modifiquen los datos que resulten ser inexactos, erróneos o
falsos. No existe un plazo para llevar a cabo la rectificación.
Inscripción será fundamental
■ Se
ha establecido un procedimiento de inscripción de los bancos de datos
personales. Si la solicitud presentada no cumple con los requisitos exigidos,
la Dirección de Registro Nacional de Protección de Datos Personales requerirá
al solicitante que en el plazo de 10 días subsan la omisión. La inscripción de
un banco de datos personales deberá mantenerse actualizada en todo momento.
■ Cualquier
modificación deberá ser previamente comunicada a la Dirección de Registro
Nacional de Protección de Datos Personales para su inscripción. El plazo maximo
para emitir la resolución acerca de la
inscripción, modificación o cancelación será de 30 días.
■ Asimismo,
se ha normado el procedimiento de inscripción de los códigos de conducta. El
plazo máximo para emitir la resolución será de 30 días, contado desde la fecha
de presentación de la solicitud ante la Dirección de Registro Nacional de
Protección de Datos Personales.
Grupos empresariales
■ En
el caso de transferencia de datos personales dentro de grupos empresariales,
sociedades subsidiarias afiliadas o vinculadas bajo el control común del mismo
grupo del titular del banco de datos personales o responsable del tratamiento,
o a aquellas afiliadas o vinculadas con una sociedad matriz o con cualquier
sociedad del mismo grupo del titular del banco de datos o responsable del
tratamiento, se cumple con garantizar el tratamiento de datos personales si se
cuenta con un código de conducta que establezca las normas internas de
protección de datos personales.
■ Los
flujos transfronterizos de datos personales serán posibles cuando el receptor o
importador de los datos asuma las mismas obligaciones que corresponden al
titular del banco de datos personales o responsable del tratamiento que como
emisor o exportador transfirió los datos personales.
■ El
emisor o exportado podrá valerse de cláusulas contractuales u otros
instrumentos jurídicos en los que se establezcan cuando menos las mismas
obligaciones a las que se encuentra sujeto, así como las condiciones en las que
el titular consintió el tratamiento de sus datos personales.
■ Los
titulares del banco de datos personales o responsables del tratamiento podrán
solicitar la opinión de la Dirección General de Protección de Datos Personales
respecto a si el flujo transfronterizo de datos personales que realiza o
realizará cumple con lo dispuesto por la ley y su reglamento.
■ En
cualquier caso, el flujo transfronterizo de datos personales se pondrá en
conocimiento de la Dirección General de Protección de Datos Personales,
incluyendo la información que se requiere para la transferencia de datos
personales y el registro de banco de datos. ◆
No hay comentarios:
Publicar un comentario