La Ley N° 29733 Ley de Protección de Datos Personales, tiene como principal objetivo orientar a las empresas sobre las condiciones, recomendaciones y requisitos (que deben ser demostrables) y medidas de seguridad (legales, organizativas y técnicas) a considerar para el cumplimiento de la Ley.
Su aplicación es obligatoria para todas las empresas públicas y privadas, siguiendo como mínimo las siguientes actividades:
Actualmente la Autoridad viene realizando auditorias inopinadas, cuyos resultados, en muchos casos, han terminado en procesos sancionadores. Dichos casos se encuentran publicados en la página del Ministerio de Justicia y Derechos Humanos.
Es importante mencionar que las infracciones por no cumplir con la Ley y su Reglamento van desde S/. 2,150 (0.5 UIT) hasta S/. 430,000 (100 UIT) . Por ejemplo, el tratamiento de datos personales sin el consentimiento del titular (persona natural) puede generar una infracción entre S/. 2,150 hasta S/. 21,500.
Durante el 2019, se emitieron multas por un total de S/ 970,853.90 a instituciones públicas y privadas. Asimismo, se realizaron trabajos de fiscalización en 209 entidades y se iniciaron 130 procedimientos sancionadores debido a indicios de infracciones relacionadas con el cuidado de los datos personales.
La mayor cantidad de empresas multadas pertenece al sector salud, clínicas y hospitales. Del mismo modo, estas contienen el mayor importe acumulado de UITs. En cuanto al Estado, 9 entidades recibieron sanciones que se elevan a 6.1 UITs. Sin embargo, el mayor importe de UITs le pertenece a una empresa del Sector Telecomunicaciones con 65 UITs impuestas.
Multas coercitivas
Se pueden imponer multas coercitivas por un monto que no supere las 10 UIT (S/ 43,000), frente al incumplimiento de las obligaciones accesorias a la sanción, impuestas en el procedimiento sancionador. Las multas coercitivas se imponen una vez vencido el plazo de cumplimiento.
El análisis GAP permite identificar cómo se encuentra el negocio de acuerdo a lo establecido por ley y propone un plan de trabajo para adecuarse a la Ley de Protección de Datos Personales. Este análisis ofrece beneficios tanto para el negocio en general, como a la gestión de las tecnologías de la información.
Beneficios para el negocio
Previene las pérdidas financieras debido a fraudes (hackers, extorsiones, fuga de información), así como las pérdidas de ingresos por la falta de sistemas confiables. Por otro lado, permite el cumplimiento de la normativa regulatoria y la protección de la marca, evitando la pérdida de confianza y reputación de la empresa.
Beneficios a la gestión de TI
Permite la identificación de riesgos y el dimensionamiento del impacto, de manera que se puedan administrar las medidas correctivas de forma proactiva. Además se realiza una evaluación de los mecanismos de control de las empresas relacionadas al ciclo de vida de la información personal. Por otro lado, se refuerza la seguridad de los sistemas, aplicaciones e infraestructura tecnológica, se aplica mantenimiento y mejora continua a la infraestructura tecnológica.
Comentarios