El 30 de noviembre de 2024, con la publicación del Decreto Supremo N° 016-2024-JUS, se marcó un hito normativo muy relevante en Perú. Esto se debe a que se actualizó y fortaleció el marco de Protección de Datos Personales para afrontar los desafíos generados por las nuevas tecnologías emergentes, su uso intensivo, la expansión del comercio electrónico, el intercambio de información transfronterizo, así como la puesta en marcha de nuevas regulaciones internacionales en la materia, entre otros aspectos.
En ese sentido, el nuevo reglamento tiene varias novedades y cambios con respecto a la versión anterior, tales como la generación de evaluaciones de riesgos de impacto a la privacidad, o las condiciones para la prospección comercial y consentimiento informado. Cuenta también con precisiones al tratamiento de datos personales de niños, niñas y adolescentes, gratuidad para el trámite de ciertos procedimientos ante la autoridad competente.
Entre los más resaltantes, encontramos los siguientes:
- Ampliación del alcance de aplicación de la norma: para comprender a las empresas extranjeras que ofrecen bienes o servicios en el país dirigidos a titulares de datos personales ubicados en territorio peruano, o que realizan actividades de análisis de comportamientos o elaboración de perfiles de tales individuos.
- Inclusión de nuevos principios rectores: que inspiran el marco de protección y que originan que las organizaciones informen de manera permanente, clara, fácil de entender y accesible a los titulares de datos personales sobre las condiciones del tratamiento de sus datos y derechos que pueden ejercitar (principio de transparencia); así como el deber que tienen las entidades para implementar medidas legales, técnicas y organizativas para tal propósito, asumiendo la carga de la prueba de dichas implementaciones (principio de responsabilidad proactiva).
- Designación del Oficial de Protección de Datos Personales (OPD): persona designada por la organización, a dedicación no exclusiva, para verificar e informar sobre el cumplimiento del marco normativo, teniendo un rol de asesoramiento en la institución como punto de contacto con la Autoridad Nacional de Protección de Datos Personales y los individuos, entre otras funciones.
- Reconocimiento de nuevos derechos: en primer lugar, se encuentra la portabilidad, que implica que el titular de datos personales pueda solicitar la transmisión de sus datos de una entidad a otra, en tanto se cumplan ciertas condiciones. Por otro lado, está el tratamiento objetivo de datos personales, es decir, no ser objeto de decisiones automatizas o que no le produzcan efectos jurídicos, discriminación o afecten de manera significativa.
- Regulación de incidentes de seguridad: se generan obligaciones específicas para la notificación y gestión de estas situaciones, con protocolos y plazos de mandatorio cumplimiento para realizar la comunicación respectiva a las autoridades y a los titulares afectados en caso de una brecha de seguridad que pueda poner en riesgo sus datos personales.
Si bien el nuevo reglamento determina un plazo de adecuación para sus disposiciones, estableciendo un cronograma progresivo para la designación del OPD en función al tamaño de la empresa, consideramos que es momento de actuar ahora, por lo cual proponemos algunas recomendaciones a continuación.
En primer lugar, es vital que el Directorio y la Gerencia se involucren proactivamente en la definición de la estrategia, estructura, procesos y tecnología que se pondrá en marcha para afrontar la implementación de manera exitosa, designando a una función responsable que cuente con la autonomía, independencia y recursos para el desarrollo de las iniciativas.
Asimismo, sugerimos realizar una evaluación de riesgos de privacidad para identificar las áreas y actividades más expuestas, revisar los controles existentes y generar los planes de acción para el fortalecimiento en materia de privacidad, así como la actualización de la normativa interna. Este es un ejercicio periódico que también genera oportunidades de mejora.
Como tercera recomendación, consideramos que los colaboradores deben estar comprometidos con la protección de datos personales que gestiona la organización de todos sus grupos de interés, de principio a fin. Por ello, es clave que conozcan sus roles y responsabilidades, así como los esfuerzos desarrollados por la entidad para la implementación efectiva y que interioricen que la protección de datos personales forma parte del ADN empresarial.
Las nuevas estipulaciones reglamentarias procuran generar y hacer sostenible en el tiempo un marco de confianza. De ese modo, las organizaciones deben comprometerse activamente en dicha hoja de ruta, no solo por un tema de cumplimiento normativo, sino como una ventaja competitiva para demostrar un buen gobierno corporativo y ciudadanía empresarial. Esto con el fin de mejorar su relacionamiento con sus grupos de interés, evitando así sanciones económicas y reputacionales.