Por Maria Fernanda Vila Olivos – Asociada del Área Fin&Tech
En noviembre del 2024 se publicó el nuevo Reglamento de la Ley de Protección de Datos Personales, Decreto Supremo N° 016-2024-JUS, el mismo que entrará en vigencia en marzo de este año (el “Reglamento”). La aprobación del Reglamento denota la mayor importancia que el Estado otorga a salvaguardar los datos personales como consecuencia de los riesgos derivados de las nuevas tecnologías. En ese sentido, el Reglamento actualiza y fortalece el marco regulatorio para garantizar la tutela de los derechos de los titulares de datos personales. Así, con el Reglamento se transita de un enfoque que confiaba en la conducta de los titulares de banco de datos y responsables del tratamiento, a un enfoque que exige la demostración de la efectiva implementación de las prácticas de protección exigidas por la norma.
Uno de los ejemplos más significativos de dicho cambio de enfoque es la incorporación del Principio de Responsabilidad Proactiva, que implica que los titulares de bancos de datos o los responsables de tratamiento no solo deben cumplir con la normativa vigente, sino también deben demostrar que han adoptado las medidas técnicas, legales y organizativas adecuadas para proteger los datos personales que tratan. Por tanto, la exigencia que trae consigo este principio no solo implica adherirse a la normativa vigente, sino también estar en capacidad, en todo momento, de probar que se ha actuado de manera diligente, considerando la naturaleza, el ámbito, el contexto y los fines del tratamiento de datos. Este enfoque busca promover un compromiso elevado de cumplimiento que asegure el respeto efectivo de los derechos de los titulares de datos personales.
El referido principio se plasma a través de mecanismos tales como las Evaluaciones de Impacto y el Código de Conducta que titulares de bancos de datos y responsables del tratamiento:
- Evaluaciones de Impacto: Es un mecanismo que busca que el titular del banco de datos o el responsable de tratamiento se planteen escenarios de riesgos en el tratamiento de datos personales y así puedan anticipar las medidas de seguridad a aplicarse para enfrentar dichos riesgos. Si bien este mecanismo es facultativo, su implementación será considerada como un atenuante de responsabilidad por la Autoridad Nacional de Protección de Datos Personales (en adelante, “ANPDP”), siempre que las evaluaciones hayan sido realizadas antes de tratar los datos cuyos riesgos se evaluarán y previo al inicio de un procedimiento sancionador. El Reglamento recomienda especialmente implementar las evaluaciones de impacto, cuando se traten: (i) datos sensibles; (ii) datos para crear perfiles personales; (iii) datos de personas en especial situación de vulnerabilidad (niños, adolescentes, personas pertenecientes a pueblos indígenas en situación de aislamiento y/o contacto inicial o personas con discapacidad); (iv) grandes volúmenes de datos; y, (v) otros supuestos indicados por la ANPDP.
- Código de Conducta: Este documento deberá contener, al menos: (i) Ámbito de aplicación; (ii) disposiciones sobre el cumplimiento de los principios de protección de datos personales; (iii) procedimientos para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición, así como formatos para el ejercicio de cada uno de dichos derechos; (iv) disposiciones sobre transferencias nacionales e internacionales; y, (v) mecanismos para asegurar la confidencialidad de los datos. Al igual que las evaluaciones de impacto, la implementación de códigos de conducta es voluntaria. No obstante, contar con el mismo antes del inicio de un procedimiento sancionador será considerado por la ANPDP como un atenuante de responsabilidad para el titular de banco datos.
De otro lado, a efectos de que la ANPDP verifique el cumplimiento de las obligaciones del responsable del tratamiento frente a un incidente de seguridad de información, este deberá documentar: (i) el incidente acontecido; (ii) las consecuencias que generó; (iii) las medidas adoptadas para remediarlo y para mitigar los posibles efectos. Si bien dicha documentación de incidentes no está incluida expresamente como un atenuante de responsabilidad, el actuar diligente del responsable de tratamiento frente a los incidentes de seguridad le permitirá a la ANPDP constatar su alineamiento con la regulación.
En conclusión, a partir de la vigencia del Reglamento, los titulares de bancos de datos y los responsables de tratamiento enfrentarán el desafío de alinearse a estándares más elevados de cumplimiento, donde la responsabilidad proactiva desempeña un rol crucial. El Reglamento exige la adopción de un enfoque preventivo, transparente y demostrable. La implementación de mecanismos como las Evaluaciones de Impacto y los Códigos de Conducta no solo permiten cumplir con las obligaciones legales, sino también demostrar diligencia ante la ANPDP, lo que promueve un ecosistema de confianza y seguridad para los datos personales en un entorno digital cada vez más complejo y desafiante.