Protección de datos personales: ¿Por qué el Perú no debe adoptar los estándares de la Unión Europea?

Candado, protección de datos personales sobre el mapa del mundo.

El estado de la protección de datos personales

La protección de datos personales en la actual sociedad digital resulta cada vez más difícil. En la gran mayoría de servicios digitales que utilizamos se extraen datos personales.

En ese sentido, redes sociales, empresas e incluso entidades públicas tienen acceso a información sensible como direcciones, tarjetas de créditos y números de teléfonos.

Pese a que la digitalización avanza velozmente en Perú, la normativa de protección de datos personales tiene casi 10 años de emitida sin modificaciones relevantes.

La regulación señala que los bancos de datos deben inscribirse en el Registro nacional a cargo de una Dirección específica del Ministerio de Justicia (MINJUS).

De esta manera, los titulares de los bancos de datos personales están obligados a presentar al Registro la denominación y ubicación del banco de datos, indicar su finalidad y los usos que le darán a los datos personales.

Asimismo, deben identificar al titular del banco y al encargado del tratamiento de los datos personales. También deberán describirse las medidas de seguridad que se tomarán.

A pesar de que se trata de una exigencia básica, muchas empresas no cumplen con la obligación de registrar sus bancos de datos personales.

En lo que va del año, 235 empresas han inscrito sus bancos de datos personales en el registro del MINJUS. En promedio se inscriben por semana un centenar de bancos de datos.

Fuente: Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales
Gráfico: Elaboración propia

De acuerdo a un estudio de gestión de riesgos tecnológicos de PwC, varias empresas aún se encuentran identificando y entendiendo los requisitos regulatorios aplicables al uso de tecnología, y sólo un 24% no cuenta con un equipo especializado para ello.

La regulación en Perú

En una entrevista realizada por SEMANAeconómica a Eduardo Luna, director de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del MINJUS, se pudo conocer datos sobre el estado de cumplimiento de la normativa de protección de datos personales.

Así, se indicó que la entidades financieras han sido las más sancionadas por no
otorgar información previa ni informar con quien se va a compartir los datos recolectados.

Además, durante la última gestión, la multa más alta impuesta por la Autoridad Nacional de Protección de Datos Personales (ANPDP) fue de 38 UIT [S/159,600], debido a que se solicitaron datos que no correspondían a la finalidad de la empresa.

Por otro lado, el año pasado se modificó el Código de Protección y Defensa del Consumidor y se estableció que los proveedores deben contar con el consentimiento previo de las personas para ofrecerles productos y servicios a través de llamadas, mensajes de texto y correos electrónicos.

En esa línea, y con el fin de facilitar las acciones de fiscalización, el INDECOPI habilitó el ‘WhatsApp No Insista’ para recibir los reportes sobre llamadas que no cuentan con consentimiento previo.

Entre diciembre del 2018 y marzo del 2019 se recibieron más de 7000 reportes. Telefonía, Banca y Seguros serían los sectores que efectúan más publicidad sin consentimiento de los consumidores.

Tanto la ANPDP como INDECOPI tienen facultades fiscalizadoras respecto a la protección de datos personales y la protección del consumidor.

Esto último supone que una empresa podría someterse a dos procedimientos distintos por el mismo caso, por lo que resulta necesario delimitar las competencias.

INDECOPI todavía no ha iniciado procedimientos sancionadores en materia de protección de datos personales. De iniciarse uno, la multa podría alcanzar las 450 UIT.

Legislación comparada sobre protección de datos personales

Chile, Argentina y Colombia cuentan con una regulación de protección de datos similar a la nuestra.

La legislación colombiana no cuenta con una Dirección de protección de datos personales; sin embargo, la Superintendencia de Industria y Comercio se encarga del registro.

A diferencia del Perú, Colombia y Argentina no permiten las comunicaciones referidas al flujo transfronterizo de datos, salvo excepciones.

Por otro lado, el Reglamento General de Protección de Datos de la Unión Europea (GDPR) es la más completa actualmente.

Dicho reglamento se aplica a todas las empresas extranjeras que tratan datos de residentes de países miembros de la Unión Europea (UE) y a empresas que tengan negocios dentro de la UE.

A diferencia de nuestra legislación, el GDPR incluye instrumentos de protección para la transferencia internacional de datos personales, tales como códigos de conducta y mecanismos de certificación.

La normativa europea ha influenciado a diversas legislaciones a establecer un estándar más alto en el tratamiento de datos personales.

Por ejemplo, Argentina modificó su regulación para incluir aspectos como el derecho de acceso a datos personales recolectados mediante sistemas de video vigilancia.

También incluyó la protección de datos biométricos y mecanismos que validen la identidad de los responsables de las bases de datos.

Comentarios finales

En el Perú todavía no se plantean modificaciones a la norma. Establecer un estándar más alto en el tratamiento de datos personales no sería lo ideal en el escenario actual.

Las empresas deben terminar de adecuarse a la normativa vigente y evitar seguir infringiendo. Cuando ello ocurra el país estará preparado para elevar los estándares.

Actualizar la normativa ahora significaría imponer una carga grande para empresas que recién comienzan a incorporar en sus políticas internas la protección de datos personales.

Por ello, cualquier intento de elevar los estándares regulatorios debe darse de manera progresiva para no generar distorsiones en el mercado actual.

*Este artículo es una adaptación de un artículo publicado originalmente en la edición impresa de SEMANAeconómica.

- Aviso Publicitario-
Yamile Cárdenas
Yamile es abogada por la Pontificia Universidad Católica del Perú (PUCP), analista de Legal & Política de SEMANAeconómica. Jefa de la Unidad de Redes & Web de PsychoLAWgy y analista web en The Crypto Legal.

Similares

Dejar respuesta

Please enter your comment!
Please enter your name here

es Spanish
X