Académique Documents
Professionnel Documents
Culture Documents
DE DATOS PERSONALES:
Cmo adecuarse a la ley y evitar sanciones?
2016
GUA PARA LA PROTECCIN DE DATOS PERSONALES: Cmo adecuarse a la ley? 02
CONTENIDO
II. ENFOQUE PARA EL
I. CONCEPTOS BSICOS
CUMPLIMIENTO DE LA NORMA
III. INFRACCIONES Y
IV. SANCIONES EFECTUADAS
SANCIONES ADMINISTRATIVAS
V. NIVEL DE EXPOSICIN
VI. CONCLUSIONES
A UNA SANCIN
INTRODUCCIN
La presente gua tiene el objetivo
de contribuir a lograr un mejor
entendimiento sobre ley de
proteccin de datos personales
por parte de las organizaciones,
lo que permitir a las mismas
estar mejor preparadas y mitigar
posibles riesgos de sancin por
incumplimiento.
Gua elaborada por BDO Consulting S.A.C. Queda expresamente prohibida la reproduccin total o parcial de este documento, sin la autorizacin del autor.
Esta publicacin ha sido elaborada detenidamente; sin embargo, ha sido redactada en trminos generales y debe ser considerada, interpretada y asumida nicamente como una referencia
general. Esta publicacin no puede utilizarse como base para amparar situaciones especficas y usted no debe actuar o abstenerse de actuar de conformidad con la informacin contenida en
este documento sin obtener asesoramiento profesional especfico. Pngase en contacto con BDO Consulting S.A.C. para tratar estos asuntos en el marco de sus circunstancias particulares.
BDO Consulting S.A.C., sus socios, empleados y agentes no aceptan ni asumen ninguna responsabilidad o deber de cuidado ante cualquier prdida derivada de cualquier accin realizada o
no por cualquier individuo al amparo de la informacin contenida en esta publicacin o ante cualquier decisin basada en ella.
BDO Consulting S.A.C., una sociedad annima cerrada peruana, es miembro de BDO International Limited, una compaa limitada por garanta del Reino Unido, y forma parte de la red
internacional BDO de empresas independientes asociadas. BDO es el nombre comercial de la red BDO y de cada una de las empresas asociadas de BDO.
I. introduccin
EL 8 DE
El 22 de marzo del 2013 se aprob mediante DECRETO SUPREMO N 003-2013, el reglamento de la Ley de
Proteccin de Datos Personales (Ley N 29733) con la finalidad de garantizar el derecho fundamental de toda
persona a la proteccin de sus datos personales, derecho constitucionalmente reconocido. La mencionada Ley
abarca a toda organizacin pblica o privada que realiza tratamiento (recopilacin, registro, almacenamiento, MAYO
entre otros) de datos personales en sus operaciones.
DE 2015
El plazo de adecuacin a la Ley dispuesto por el reglamento de la ley finaliz el 8 de mayo de 2015. Es por
ello que la Direccin de Proteccin de Datos Personales perteneciente al Ministerio de Justicia (tambin finaliz el plazo de
conocida como Autoridad de Proteccin de Datos Personales o la Autoridad), ha iniciado visitas de fiscalizacin adecuacin a la Ley
algunas de las cuales han concluido en procedimientos administrativos sancionadores a empresas de distintos
sectores por el incumplimiento de las disposiciones presentadas en la ley y su reglamento. Las penalidades
de Proteccin de
pueden alcanzar hasta 100 UIT (1 UIT = S/. 3,950.00 a la fecha de la publicacin de la presente gua) y ser Datos Personales.
acumulativas hasta el 10% de los ingresos brutos de la organizacin.
En tal sentido, la presente gua tiene la finalidad de presentarle conceptos bsicos de la Ley, evaluar que tan
expuesta est la organizacin a la que pertenece y asistirlo paso a paso en el proceso de adecuacin a fin de
evitar posibles sanciones por la Autoridad.
I. Conceptos bsicos
Alcance de la presente ley
La Ley de Proteccin de Datos Personales (LPDP) es de aplicacin a todas las organizaciones pblicas y privadas tratamiento de datos personales
de personas naturales en sus operaciones. Se entiende por tratamiento a cualquier operacin o procedimiento tcnico, que permite la recopilacin,
registro, organizacin, almacenamiento, conservacin, elaboracin, modificacin, extraccin, consulta, utilizacin, bloqueo, supresin,
comunicacin por transferencia o por difusin o cualquier otra forma de procesamiento que facilite el acceso, correlacin o interconexin de los
datos personales.
Datos personales
Se entiende por datos personales a toda informacin sobre una persona natural que la identifica o la hace identificable a travs de medios que
puedan ser razonablemente utilizados. Dentro de esta definicin se encuentran los llamados datos sensibles, que son datos personales referidos
al origen racial y tnico, ingresos econmicos, opiniones o convicciones polticas, religiosas, filosficas o morales, afiliacin sindical, e informacin
relacionada a la salud o a la vida sexual; estos datos son objeto de especial proteccin.
Datos sensibles
Es aquella informacin relativa a datos personales referidos a las caractersticas fsicas, morales o emocionales, hechos o circunstancias de su
vida afectiva o familiar, los hbitos personales que corresponden a la esfera ms ntima, la informacin relativa a la salud fsica o mental u otras
anlogas que afecten su intimidad.
Principios rectores
La ley de proteccin de datos personales obliga a las organizaciones a cumplir con los siguientes principios rectores:
El tratamiento de los datos Una finalidad est determinada Los datos contenidos en un El tratamiento de los datos
personales es lcito cuando el cuando haya sido expresada con banco de datos personales, personales deben adoptarse las
titular del dato personal hubiere claridad, sin lugar a confusin y deben ajustarse con precisin a la medidas de seguridad que
prestado su consentimiento libre, cuando de manera objetiva se realidad. Se presume que los resulten necesarias a fin de evitar
previo, expreso, informado e especifica el objeto que tendr el datos directamente facilitados cualquier tratamiento contrario a
inequvoco. tratamiento de los datos por el titular de los mismos son la Ley o al presente reglamento.
personales. exactos.
La Directiva de Seguridad de la Informacin, publicada el 11 de octubre de 2013 para apoyar la implementacin de la LPDP, define una serie de
recomendaciones para la implementacin de las medidas que permitan proteger el tratamiento de datos personales de cualquier organizacin. Para
mayor detalle dirigirse al siguiente enlace: http://www.minjus.gob.pe/legislacion/
# de organizaciones
N Sector
sancionadas
1 Educacin 7
2 Salud 6
3 Retail 3
4 Colegios profesionales 2
5 Centrales de riesgo 1
6 Transporte 1
TOTAL 20
1. Consentimiento invlido
La recopilacin de datos personales por cualquier medio (fsico o electrnico) requiere de una frmula vlida para obtener el consentimiento dis-
puesto en la Ley. Por ejemplo, el consentimiento debe ser otorgado con anterioridad a la recopilacin de datos personales y no se admiten formas
de consentimiento en donde este no haya sido expresado de forma directa. Las sanciones impuestas por este aspecto han llegado hasta cinco (5)
unidades impositivas tributarias (S/. 19,750.00).
2. No inscripcin del banco de datos
Existen empresas que no han registrado sus bancos de datos, o que no han registrado todos los bancos de datos personales que utilizan en sus ope-
raciones. Por ejemplo, una empresa ha sido sancionada por no registrar el banco de datos de pacientes con veinticinco (25) unidades impositivas
tributarias (S/. 98,750.00).
3. Incumplimiento de disposiciones de flujo transfronterizo de datos
No comunicar que los datos personales son transferidos a otras entidades fuera del territorio nacional genera sanciones por parte del ente rector,
las cuales han ascendido hasta quince (15) unidades impositivas tributarias (S/. 59,250.00).
5. Obstruccin de fiscalizacin
Son cuatro (4) organizaciones que han obstaculizado el trabajo de la Autoridad de Proteccin de Datos Personales y que por ello han sido sanciona-
das con multas de hasta quince (15) unidades impositivas tributarias (S/. 59,250.00).
Puede revisar los procesos administrativos sancionadores efectuados por la Autoridad en el siguiente enlace: http://www.minjus.gob.pe/procedi-
mientos-administrativos-sancionadores/
V. Nivel de exposicin a una sancin
Para determinar cul es el nivel de exposicin de su organizacin ante una sancin, se han definido actividades que deben ser realizadas y que el no
efectuarse pueden ser puntos de sancin a ser considerados por la Autoridad. Entre ellas se encuentran:
Se han implementado medidas de seguridad tcnicas como control de acceso, trazabilidad sobre
5 el uso de datos personales, respaldo y recuperacin de datos personales, entre otras medidas GRAVE - HASTA 50 UIT
que protejan los datos personales?
En base a las respuestas a cada a uno de los requerimientos bsicos presentados, se puede dimensionar que tan cercana o lejana est la
organizacin en relacin a la adecuacin a la LPDP. Es importante mencionar que el cuadro presentado no reemplaza a un anlisis a mayor
profundidad del cumplimiento de la LPDP por la organizacin, dado que existen mayores requerimientos que evaluar a fin de mitigar cualquier
riesgo de sancin.
VI. Conclusiones
A fin de abordar una iniciativa para adecuar su organizacin a la Ley de Proteccin de Datos Personales se debe considerar:
Enfoque Transversal
La adecuacin a la ley de proteccin de datos personales requiere de un enfoque transversal que cubra todas las reas de la organizacin sin excep-
cin. La ausencia de identificacin del uso y tratamiento de datos personales en un rea en especfico puede incrementar el riesgo de sancin por
parte de la autoridad.
El registro del banco de datos no es suficiente
Las organizaciones privadas y pblicas estn registrando sus bancos de datos ante el Ministerio de Justicia considerando que es la nica accin a
realizar, sin embargo, las fiscalizaciones y sanciones efectuadas a la fecha tambin estn orientadas al cumplimiento de la adopcin de medidas
organizativas, jurdicas y tcnicas para proteger los bancos de datos.
Gobierno de datos personales
En el marco de la presente ley, las organizaciones deben incrementar su nivel de gobierno de datos personales que utilizan en sus operaciones a
travs de la documentacin del ciclo de vida del dato desde su creacin, tratamiento, transferencia y baja del mismo.
Asistencia especializada
Para evitar sanciones, es importante contar con asistencia especializada en la adecuacin a la ley de proteccin de datos personales que cuente con
un enfoque en donde participan tres tipos de expertos:
Experto en Procesos de Negocio.
Experto en Asesora Legal.
Experto en Seguridad de la Informacin y Tecnologa.
www.bdo.com.pe
+51 1 7053535