31.05.19
Habiendo transcurrido aproximadamente ocho años desde la promulgación de la Ley 29733, Ley de Protección de Datos Personales, y seis años desde que entró en vigor, podemos afirmar lo siguiente:
1. A la fecha, la Dirección General de Protección de Datos Personales ha sancionado de oficio a 141 empresas imponiendo un total de 1,119.51 UITs, siendo los sectores más fiscalizados los de educación (36), hotelero (26), salud (20) y financiero (11). Asimismo, se ha sancionado con 126.5 UITs a ocho empresas como consecuencia del inicio de un procedimiento trilateral (a pedido de parte). Cabe señalar que actualmente existen aún muchos procedimientos administrativos sancionadores que no han culminado.
2. Las infracciones que más se ha detectado son aquellas relacionadas al consentimiento en el tratamiento de los datos personales, ya que las empresas no informan previamente a los usuarios de manera sencilla sobre qué se va a hacer con sus datos personales, cuál va a ser la finalidad del tratamiento y quién lo va a hacer. Asimismo, existen también sanciones por no inscribir sus bancos de datos personales o por no comunicar la transferencia internacional de datos personales. Finalmente, también han sido sancionadas empresas por incumplir con las medidas técnicas de seguridad.
3. Entre las resoluciones de sanción más importantes encontramos la de Google, en donde se le sanciona con 65 UITs por vulnerar el llamado “Derecho al Olvido” al negarse a retirar resultados de búsqueda negativos de un ciudadano peruano y obstaculizar el ejercicio de su derecho de protección de datos personales. Por otro lado, se impuso una multa de 38.5 UIT al laboratorio Synlab Perú S.A.C., debido a que dicha empresa vulneró su deber de confidencialidad al haber transmitido a otra compañía datos sensibles vinculados a la condición de portador de VIH de uno de sus pacientes. A esta última se le sancionó con 30.25 UITs por solicitar esta prueba en un sector que era irrelevante, infringiendo el principio de proporcionalidad.
4. A pesar de lo dicho anteriormente, el Perú no es considerado por la Unión Europea como un país seguro en materia de protección de datos personales. Esto se debe a que nuestra legislación se inspiró en normas obsoletas como la Directiva 95/46 de la Unión Europea y la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) española, que ya han sido reemplazadas por el nuevo Reglamento General de Protección de Datos (RGDP) y la Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
5. En ese sentido, nuestra ley no contempla una serie de principios y pautas de actuación que forman parte de un entorno digitalmente globalizado, tales como la elaboración de estudios de evaluación de impacto en protección de datos personales (EIPD), la designación de un Data Protection Officer para determinados supuestos, la privacidad en el diseño que supone aplicar las necesarias garantías de protección de datos desde la fase inicial de planificación para cualquier desarrollo tecnológico, así como la notificación a la autoridad sobre cualquier brecha de seguridad, entre otras reglas que sí se encuentran contempladas en el RGDP. Esto ha conllevado a que nuestro país no pueda adherirse al Convenio 108+, que es el único instrumento internacional que confiere a las personas el derecho a la protección de sus datos personales.
A modo de conclusión, el Perú tiene en frente un reto y una oportunidad extraordinaria para adecuarse a los nuevos estándares internacionales, puesto que en un mundo globalizado la transferencia de datos es necesariamente global, debiendo las empresas y administraciones efectuar dichos intercambios por cauces ordenados que garanticen en todo caso los derechos de los particulares y aporten en dichas transacciones la seguridad jurídica necesaria.
Alejandro Morales Cáceres, Miembro del Área Corporativa de TYTL Abogados
Puede visualizar la nota en Expreso aquí.
Fuente: Expreso