Descubre cómo cumplir con la Ley de Protección de Datos Personales en Perú (#29733) y evitar sanciones

Autor: Johana Cecilia Camacho Verona – Senior Information Security Consultant – OSI Peru

 

Ley de Protección de Datos en Perú: Garantizando la privacidad en el escenario legal de Perú, se garantiza el derecho fundamental que tenemos todas las personas naturales a la protección de nuestra privacidad y que el tratamiento de nuestros datos se realice con nuestro consentimiento libre, expreso e informado.

Para ello, el gobierno peruano, a través de la Autoridad Nacional de Protección de Datos Personales (ANPDP) del Ministerio de Justicia y Derechos Humanos ha dispuesto la regulación y la fiscalización del cumplimiento de la Ley de Protección de Datos Personales – LPDP (Ley n° 29733) y su Reglamento en todo el país; de carácter obligatorio para organizaciones públicas y privadas.

 

¿Qué conceptos fundamentales necesito saber?

Para comprender cómo esta ley impacta en nuestra privacidad, debemos entender ¿qué son los datos personales? Cuando hablamos de datos personales nos referimos a toda información sobre una persona natural que la identifica o la hace identificable (…). Es decir, nuestro nombre, imagen, DNI, firma, domicilio, e incluso nuestra voz, entre otros, es un dato personal y debe protegerse. La persona a la que corresponden dichos datos es el titular de datos personales.

También tenemos los llamados datos sensibles, éstos son un tipo de datos personales que pertenecen a nuestra esfera más íntima por lo que deben ser objeto de especial protección, estos son: datos biométricos, (…) origen racial y étnico; ingresos económicos; opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual.

Estos datos se organizan y almacenan en bancos de datos personales, en formato digital o físico, o de administración pública o privada. El titular del banco de datos personales es responsable de registrarlos ante la ANPDP, así como de su contenido, tratamiento y que cumpla con las medidas de seguridad establecidas por la ley. La declaración de los bancos de datos es información pública y puede consultarse en el siguiente enlace: https://prodpe.minjus.gob.pe/prodpe_web/BancoDato_verResultado

Finalmente, cuando hablamos del tratamiento de datos personales nos referimos al procesamiento de datos personales en cualquiera de sus formas, sea la extracción, registro, almacenamiento, modificación, bloqueo, suspensión, difusión, entre otras.

 

¿Cómo se deben tratar nuestros datos personales?

Para esto, la LPDP establece los siguientes principios:

  • Legalidad: debe cumplir con lo establecido por la ley.
  • Consentimiento: el tratamiento debe ser expresamente autorizado por su titular.
  • Finalidad: la recopilación de datos debe tener una finalidad explícita y lícita.
  • Proporcionalidad: los datos recopilados deben tener relación con la finalidad.
  • Calidad: los datos personales deben ser veraces y actualizados, por ejemplo, mediante formularios de actualización de datos.
  • Seguridad: adoptar las medidas necesarias para garantizar su seguridad, evitando el acceso o alteración no autorizada, la pérdida del banco de datos y tratamientos no autorizados como la venta de los datos personales.
  • Disposición de recursos: los titulares de los datos deben contar con vías para reclamar y hacer valer sus derechos, en los casos que requieran.
  • Nivel de protección adecuado: para el flujo transfronterizo de datos, es decir, cuando los datos personales se almacenan o tratan fuera del Perú (por ejemplo, en el caso de uso de servicios cloud de Google o Microsoft, sus servidores no se encuentran en Perú) se debe garantizar un nivel suficiente de protección en el país destino que sea, como mínimo, lo que establece la ley peruana.

 

¿Cómo se debe obtener el consentimiento?

Las empresas, usualmente, tienen bancos de datos de sus empleados, clientes, proveedores, entre otros. Antes de recopilar o procesar esos datos personales, deben obtener el consentimiento de cada titular, que debe ser:

  • Libre: Sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de voluntad del titular de los datos personales
  • Previo: Antes de la recopilación de los datos o, en su caso, anterior al tratamiento distinto al que ya se recopilaron.
  • Expreso e inequívoco: Cuando el consentimiento ha sido manifestado de tal forma que no admita dudas de su otorgamiento.
  • Informado: Cuando al titular de los datos personales se le comunica clara, expresa e indubitable, con lenguaje sencillo información respecto al titular del banco de datos, la finalidad de la recopilación, los destinatarios y el almacenamiento, entre otros.

Para menores de edad, los tutores dan el consentimiento excepto los de entre 14 y 18 años, que pueden dar su propio consentimiento.

 

¿Qué derechos tenemos como titulares de datos personales?

Todas las personas naturales tenemos el derecho de controlar nuestra información personal. Estos son los llamados derechos ARCO:

  • Acceso: Obtener la información que sobre nosotros mismos sea objeto de tratamiento en bancos de datos personales de administración pública o privada.
  • Rectificación: Modificar los datos que resulten ser parcial o totalmente inexactos, incompletos, erróneos o falsos.
  • Cancelación: Solicitar la cancelación de nuestros datos personales cuando hayan dejado de ser necesarios para la finalidad para la cual hayan sido recopilados.
  • Oposición: Oponerse, por un motivo legítimo y fundado, a figurar en un banco de datos o a su tratamiento, siempre que por una ley no se disponga lo contrario.

 

¿Qué sucede si, como entidad pública o privada, no cumplo con la LPDP?

La aplicación de sanciones y multas por incumplimiento pueden generarse a partir de denuncias o visitas de fiscalización de parte de la autoridad. Según el tipo de infracción:

  • Leves (de 0,5 UIT a 5 UIT): Tratar datos personales sin medidas de seguridad o incumpliendo la ley, recopilar datos no necesarios; no rectificar datos; entre otros.
  • Graves (de 5 UIT y a UIT): No atender solicitudes de rectificación, cancelación u oposición, no contar con elconsentimiento, tratar datos sensibles sin las medidas establecidas, usar datos personales con una finalidad distinta, no inscribir el banco de datos, entre otros.
  • Muy graves (de 50 UIT a 100 UIT): Tratar datos personales transgrediendo las obligaciones de ley, recopilar datos personales fraudulentamente, dar información falsa a la autoridad, entre otros.

En 2023 se aplicaron 77 procesos sancionadores que fueron desde los 1.07 UIT hasta las 100 UIT en todos los rubros: entidades públicas y entidades privadas como retail, turismo, financieras, educación, servicios de tecnología, etc. Las infracciones más frecuentes fueron:

  • El uso de datos personales para finalidades no vinculadas a la prestación del servicio.
  • No obtener el consentimiento o consentimiento inválido.
  • No informar del flujo transfronterizo o no inscribir todos o algunos bancos de datos.
  • No implementar las medidas de seguridad, según lo establecido por ley.
  • No implementar las medidas correctivas dispuestas por la autoridad.

 

Gracias a la auditoria de Neosecure by SEK, hemos logrado fortalecer la confianza y eficiencia con la LPDP

La confianza de nuestros clientes y el logro de la eficiencia empresarial son vectores esenciales para todas las compañías, tal es el caso de una empresa de servicios financieros, que destaca por su compromiso en materia de privacidad y seguridad de datos. Esta empresa, que cuenta con presencia internacional, tiene una estrategia proactiva de cumplimiento normativo.

En cada auditoría LPDP anual ejecutada, no sólo hemos podido verificar su alineamiento y cumplimiento con las medidas de seguridad establecidas por la ley, sino que también se encuentra comprometida con la protección de la información de sus clientes, lo cual infunde confianza con sus clientes y socios comerciales; y más allá de evitar multas y sanciones de parte de la ANPDP, ha logrado la fidelización y satisfacción de sus clientes, permitiéndoles lograr eficiencia operativa.

En pocas palabras, cumplir la LPDP no es solo una obligación normativa, sino que es un valor estratégico clave, que representa una oportunidad para forjar relaciones de confianza que, a largo plazo, se transformen en una ventaja competitiva.

 

Conclusiones

Hoy en día, en redes sociales, eventos, tiendas por departamento, sitios web, entre otros, nos solicitan nuestros datos personales, por lo que es esencial que se encuentren adecuadamente protegidos, no sólo porque son un derecho fundamental, sino porque nos permite preservar nuestra privacidad ante cualquier tratamiento anómalo o ilícito.

Al establecer principios claros, derechos para los titulares de datos y sanciones por incumplimiento, la LPDP crea un marco sólido para el tratamiento seguro de nuestra información personal que deben cumplir todas las entidades que los recopilan.

 

Servicios de Strategic & Risk of Neosecure by SEK

 

Governance Risk and Compliance
  • Auditorías de Seguridad​
  • Evaluación de Riesgo de Ciberseguridad y Operacional​
  • Cumplimiento de Protección de Datos Personales​
  • Evaluación de Impacto en la Protección de Datos Personales (PIA)​
  • Evaluación de Seguridad SWIFT​
  • Clasificación de la Información​
  • Implementación Sistema Gestión de Seguridad de la Información ISO 27001 ​
  • Implementación Sistema Gestión de Protección de Datos​
  • Análisis de Arquitectura de Ciberseguridad

 

Strategy & Maturity
  • Evaluación de Cumplimiento y Nivel de Madurez (ISO 27001, NIST CSF, CIS Controls)
  • Evaluación de Seguridad Cloud
  • Evaluación de Ciberseguridad TI
  • Evaluación de Ciberseguridad OT
  • Desarrollo Plan Director de Seguridad TI
  • Desarrollo Plan Director de Seguridad OT
  • Desarrollo de Marco Normativo de Seguridad
  • Desarrollo de Métricas de Ciberseguridad
  • OSI as a service
  • Arquitecto de Ciberseguridad as a service

 

Resilience
  • Conformación Equipo de Respuesta ante Incidentes​
  • Desarrollo de Playbooks de Respuesta a Incidentes​
  • Desarrollo Ejercicios Table Top Técnico y Ejecutivo​
  • Compromise Assessment​
  • Desarrollo Gobierno BCP​
  • Plan de Recuperación de Desastres Tecnológico DRP​
  • Plan Administración de Crisis​
  • Análisis de Impacto en el Negocio (BIA)​
  • Implementación Sistema Gestión de Continuidad de Negocio

 

Third Party Riskesilience
  • Gestión de Riesgos de Ciberseguridad de Terceros​
  • Evaluación de Postura de Ciberseguridad de Terceros​
  • Evaluación Ciber Resiliencia de Terceros ​
  • Due Diligence de Ciberseguridad de Terceros​

 

Education
  • Plan de Concientización as a service​
  • Cursos Abiertos​
  • Cursos Cerrados

 

Si te interesa saber más acerca de este tema, contamos con servicios de consultoría de implementación y auditoría de la LPDP, puedes contactarte a través del enlace https://sek.io/es/contacto/ o al correo electrónico: [email protected]

Compartir: