Ley de Protección de Datos Personales

La Ley N° 29733 Ley de Protección de Datos Personales, tiene como principal objetivo orientar a las empresas sobre las condiciones, recomendaciones y requisitos (que deben ser demostrables) y medidas de seguridad (legales, organizativas y técnicas) a considerar para el cumplimiento de la Ley.

Su aplicación es obligatoria para todas las empresas públicas y privadas, siguiendo como mínimo las siguientes actividades:

1. Identificación, clasificación y registro de bancos de datos personales.
2. Generación de consentimientos de las «personas naturales» respecto al tratamiento de los datos personales, especificando su finalidad y uso previsto.
3. Definición del proceso de atención de derechos ARCO (derecho al acceso, rectificación, cancelación u oposición) y revocatoria.
4. Adecuación de contratos del personal y terceros respecto al tratamiento de los datos personales.
5. Identificar los riesgos asociados al tratamiento de datos personales.
6. Adopción de medidas de seguridad legales, organizativas y técnicas, que permitan proteger los datos personales.

Actualmente la Autoridad viene realizando auditorias inopinadas, cuyos resultados, en muchos casos, han terminado en procesos sancionadores. Dichos casos se encuentran publicados en la página del Ministerio de Justicia y Derechos Humanos.

Sanciones

Es importante mencionar que las infracciones por no cumplir con la Ley y su Reglamento van desde S/. 2,150 (0.5 UIT) hasta S/. 430,000 (100 UIT) . Por ejemplo, el tratamiento de datos personales sin el consentimiento del titular (persona natural) puede generar una infracción entre S/. 2,150 hasta S/. 21,500.

Durante el 2019, se emitieron multas por un total de S/ 970,853.90 a instituciones públicas y privadas. Asimismo, se realizaron trabajos de fiscalización en 209 entidades y se iniciaron 130 procedimientos sancionadores debido a indicios de infracciones relacionadas con el cuidado de los datos personales.

La mayor cantidad de empresas multadas pertenece al sector salud, clínicas y hospitales. Del mismo modo, estas contienen el mayor importe acumulado de UITs. En cuanto al Estado, 9 entidades recibieron sanciones que se elevan a 6.1 UITs. Sin embargo, el mayor importe de UITs le pertenece a una empresa del Sector Telecomunicaciones con 65 UITs impuestas.

• Multas Leves: Se sancionan con multas desde 0,5 hasta 5 UITs
• Multas Graves: Se sancionan con multas desde 6 hasta 50 UITs.
• Multas Muy Graves: Se sancionan con multas desde 51 hasta 100 UITs

Multas coercitivas

Se pueden imponer multas coercitivas por un monto que no supere las 10 UIT (S/ 43,000), frente al incumplimiento de las obligaciones accesorias a la sanción, impuestas en el procedimiento sancionador. Las multas coercitivas se imponen una vez vencido el plazo de cumplimiento.

Análisis y adecuación a la LPDP

El análisis GAP permite identificar cómo se encuentra el negocio de acuerdo a lo establecido por ley y propone un plan de trabajo para adecuarse a la Ley de Protección de Datos Personales. Este análisis ofrece beneficios tanto para el negocio en general, como a la gestión de las tecnologías de la información.

Beneficios para el negocio

Previene las pérdidas financieras debido a fraudes (hackers, extorsiones, fuga de información), así como las pérdidas de ingresos por la falta de sistemas confiables. Por otro lado, permite el cumplimiento de la normativa regulatoria y la protección de la marca, evitando la pérdida de confianza y reputación de la empresa.

Beneficios a la gestión de TI

Permite la identificación de riesgos y el dimensionamiento del impacto, de manera que se puedan administrar las medidas correctivas de forma proactiva. Además se realiza una evaluación de los mecanismos de control de las empresas relacionadas al ciclo de vida de la información personal. Por otro lado, se refuerza la seguridad de los sistemas, aplicaciones e infraestructura tecnológica, se aplica mantenimiento y mejora continua a la infraestructura tecnológica.