El pasado sábado 26 de agosto, se publicó el PROYECTO DE REGLAMENTO DE LA LEY DE PROTECCIÓN DE DATOS PERSONALES, mediante Resolución Ministerial N° 0271-2023-JUS, dandose un plazo de 30 días calendario contados a partir de la publicación, para que los agentes del sector brinden sus comentarios al proyecto.
El PROYECTO DE REGLAMENTO DE LA LEY DE PROTECCIÓN DE DATOS PERSONALES establece un ecosistema de conceptos y procesos que permiten salvaguardar los datos personales, a continuación citamos los más relevantes:
El PROYECTO DE REGLAMENTO establece definiciones interesantes, se resalta los siguientes:
- Datos sensibles: Es aquella información relativa a datos genéticos o biométricos de la persona natural, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la salud física o mental u otras análogas que afecten su intimidad.
- Emisor o exportador de datos personales: Es el titular del banco de datos personales o aquél que resulte responsable del tratamiento situado en el país que realice, conforme a lo dispuesto en el presente Reglamento, una transferencia de datos personales a otro país.
- Oficial de Datos Personales: Es la persona designada tratamiento o encargado del tratamiento de datos
por el responsable de personales para la implementación, supervisión y monitoreo del cumplimiento sobre protección de datos personales.
ALCANCE:
El PROYECTO DE REGLAMENTO aplica al tratamiento de los datos personales contenidos en un banco de datos personales. Aplica a toda modalidad de tratamiento de datos personales, ya sea efectuado por personas naturales, entidades públicas o instituciones del sector privado.
REFERENTE A LA NECESIDAD DEL CONSENTIMIENTO
Se debe obtener el consentimiento para el tratamiento de los datos personales, de conformidad con lo establecido en la Ley y en el presente Reglamento. Se considera que el consentimiento del titular de los datos personales es expreso cuando se haya exteriorizado a través de una acción que demuestre una aceptación concreta, directa y explícita respecto al tratamiento de los datos personales.
TRANSFERENCIA DE DATOS PERSONALES
- La transferencia de datos personales es la comunicación de datos personales dentro o fuera del territorio nacional realizada a persona distinta al titular de los datos personales.
- Toda transferencia de datos personales requiere el consentimiento de su titular.
- Los flujos transfronterizos de datos personales se deben realizar cuando el receptor o importador de los datos personales se encuentre en un país que cuente con un nivel adecuado de protección de datos.
- La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales publica el listado de paises que considera cumplen con un nivel adecuado de protección de
TRATAMIENTO DE DATOS PERSONALES DE MENOR DE EDAD
- Puede realizarse tratamiento de los datos personales, de mayores de catorce y menores de dieciocho años, con su consentimiento,
- En ningún caso el consentimiento para el tratamiento de datos personales de menores de edad puede otorgarse para que accedan a actividades, vinculadas con bienes o servicios para mayores de edad.
- En ningún caso se puede recopilar de un menor de edad datos que permitan obtener información sobre los demás miembros de su grupo familiar.
TRATAMIENTO DE DATOS PERSONALES EN EL SECTOR TELECOMUNICACIONES
- Los operadores de los servicios de comunicaciones o telecomunicaciones tienen la responsabilidad de velar por la confidencialidad, seguridad, uso adecuado e integridad de los datos personales que obtengan de sus abonados y usuarios, en el curso de sus operaciones comerciales.
- Los operadores de los servicios de comunicaciones o telecomunicaciones no pueden realizar un tratamiento de los citados datos personales para finalidades distintas a las autorizadas por su titular, salvo orden judicial o mandato legal expreso.
OBLIGACIONES DEL TITULAR BANCO DE DATOS PERSONALES
- En caso de un incidente de seguridad que afecte a datos personales, el responsable del tratamiento debe notificar a la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas.
- Se debe designar a un Oficial de Datos Personales.
Funciones del Oficial de Datos Personales:
- Informar y asesorar al titular del banco de datos personales y a los empleados que se ocupen del tratamiento de los datos personales respecto de las obligaciones y de otras disposiciones de protección de datos.
- Supervisar el cumplimiento de Io dispuesto en la Ley, el presente Reglamento y de otras disposiciones de protección de datos personales.
- Ofrecer el asesoramiento que se le solicite acerca del cumplimiento de las disposiciones sobre protección de datos personales.
- Cooperar con la Autoridad Nacional de Protección de Datos Personales para el desempeño de sus fines y atribuciones.
- Desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
DERECHOS DEL TITULAR DE LOS DATOS PERSONALES
- Los derechos de información, acceso, rectificación, cancelación, oposición y tratamiento objetivo de datos personales sólo pueden ser ejercidos por el titular de datos personales, sin perjuicio de las normas que regulan la representación,
- El ejercicio de los derechos se lleva a cabo mediante solicitud dirigida al titular del banco de datos personales o responsable del tratamiento o ante el encargado de tratamiento, si como consecuencia del encargo se establece en el contrato o relación jurídica que los vincule a la obligación de atender las solicitudes o se considere un responsable de tratamiento por administrar la base de datos personales.
Asimismo, en el PROYECTO DE REGLAMENTO se establecen los procesos de fiscalización y sanción por el incumplimiento a lo dispuesto. Esperemos que luego de culminado la etapa de comentarios (30 días calendario), el Ministerio de Justicia termine de REGLAMENTAR esta Ley.
