Derecho
Periodista
pbuendia@editoraperu.com.pe
La experta sostuvo que el objetivo es alinearse con los estándares internacionales, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, y abordar los desafíos tecnológicos actuales, garantizando la privacidad y seguridad de la información personal en un entorno digital en constante evolución.
Asimismo, resaltó, se busca generar mayor confianza en los ciudadanos mediante una mayor transparencia. “Además, incorpora disposiciones adaptadas a las dinámicas actuales del comercio de bienes y servicios digitales, un aspecto que el reglamento anterior abordaba de manera limitada”, refirió.
Procesamiento
Por otro lado, la especialista explicó que el reglamento reconoce que muchas de las empresas que procesan datos personales recolectados en el Perú no se encuentran constituidas ni operan en el país, pero sí aprovechan los datos del territorio, por lo que amplía expresamente el ámbito territorial a aquellas organizaciones extranjeras que ofrecen bienes y servicios dirigidos a personas ubicadas en el Perú o realizan actividades orientadas al análisis de comportamiento de personas ubicadas en el país.
Egas precisó que si bien el nuevo reglamento de datos entrará en vigor a fines de este mes, la obligación de designación de un oficial de datos personales se deberá cumplir siguiendo un cronograma escalonado de cuatro años que dependerá del nivel de ingresos del obligado.
Por su parte, las obligaciones relativas al derecho de portabilidad se tendrán que implementar en un plazo de seis meses contados a partir de la puesta en vigencia del nuevo reglamento, manifestó la letrada en diálogo con el Diario Oficial El Peruano.
[Lea también: SBN facilita trámite para acceder al certificado de búsqueda catastral]
En sus declaraciones, la abogada reveló que durante los últimos meses las compañías, como parte de su preparación a fin de acatar las disposiciones reglamentarias, han estado, primero, “tratando de entender los cambios principales del nuevo reglamento para identificar las medidas que deben implementar y, segundo, haciendo un análisis interno sobre lo que ya tienen y lo que les falta”.
“Algunas de las empresas, por ejemplo, pese a que la normativa entonces vigente no lo exigía, ya cuentan con un oficial de datos personales, pues son organizaciones transnacionales que para cumplir con estándares internacionales debían tener un oficial, por lo que ahora solo requieren verificar que cumpla con el perfil exigido por el Perú y demás obligaciones accesorias”, recalcó.
Sin embargo, Egas advirtió que existen otras obligaciones, entre estas el procedimiento de notificación de incidentes de seguridad o garantizar el derecho de portabilidad, que sí requieren de revisión y ajuste de algunos documentos internos y externos, como el manual de procedimiento de tratamiento de datos y/o la política de privacidad comunicada a los titulares de datos.
Además, la asociada al estudio de abogados Dentons Perú mencionó algunas de las preocupaciones expresadas por las organizaciones en este proceso. El nuevo reglamento se traducirá en la necesidad de capacitar al personal, lo cual “puede representar un costo significativo para pequeñas y medianas empresas”, aseveró.
“La implementación de medidas de seguridad, como la evaluación de impacto, si bien es facultativa, representará un atenuante en caso de fiscalización, pero también un costo adicional. Entonces, las empresas grandes podrán valerse de esta medida, pero para las pequeñas podría resultar en un costo excesivo y no les sería conveniente optar por ella y, por lo tanto, no podrían acceder a la atenuante, eventualmente”, señaló.
Egas alertó que las disposiciones sobre el consentimiento de mayores de 14 años en el marco de servicios digitales si bien responde a una realidad, coloca esta tarea sobre los hombros del responsable de los datos en “utilizar esfuerzos razonables para verificar la identidad de quienes otorgan el consentimiento”.
Sin embargo, dijo, este texto deja abierto a la interpretación sobre cómo catalogar los “esfuerzos razonables”, pues pueden ser “esfuerzos razonables” para la organización ciertos mecanismos y quizá la autoridad los considere insuficientes.
“La incertidumbre sobre las disposiciones relativas al ‘nivel adecuado’ para la transferencia internacional de datos dependen de resoluciones que emita la autoridad, cuya respuesta puede resultar no ser tan eficiente y rápida frente a las necesidades diarias de las organizaciones”, puntualizó.
Prevención
Alexandra Egas mencionó también algunas de las medidas de prevención que deben adoptar las empresas para afrontar las inspecciones, supervisiones o eventuales denuncias con la entrada en vigor del nuevo reglamento de la Ley N° 29733.
Las organizaciones deben empezar a buscar a un profesional que responda al perfil para nombrarlo como oficial de protección de datos personales, mas si se tiene en cuenta que puede ser de la misma firma o externo, anotó.
La letrada aconsejó a las organizaciones efectuar auditorías internas periódicas que permitan identificar y mitigar riesgos en el tratamiento de datos personales, asegurando que se cumplan las medidas de seguridad necesarias.
Otro punto importante es implementar programas de formación regulares para asegurar que los empleados estén informados sobre las obligaciones legales y las mejores prácticas en el manejo de datos personales, apuntó.
Egas resaltó que la transparencia y las respuestas efectivas ante los titulares de datos es la manera más efectiva de evitar las denuncias ante la autoridad correspondiente.
“Los procedimientos sancionadores que se abren como consecuencia de una denuncia de un titular de datos suelen traer sanciones monetarias más altas que aquellos abiertos de oficio por la autoridad, por lo que es importante prestar atención a estas solicitudes implementando un sistema de respuesta sencillo, amigable y rápido para reducir el nivel de probabilidad de denuncias”, refirió.
Lea también en El Peruano:
??Este es el cronograma de pago para jubilados 19990. Consulta tu fecha.??https://t.co/z0m9SiD7eZ pic.twitter.com/YVpIBekHOs
— Diario El Peruano (@DiarioElPeruano) March 29, 2025