–En principio, las obligaciones dispuestas para la protección de datos personales están reguladas en la Ley Nº 29733, su reglamento el DS Nº 003-2013-JUS y la RD Nº 019-2013-JUS/DGPDP, que orienta las medidas de seguridad exigibles a las organizaciones para garantizar el pleno respeto de los derechos fundamentales de los titulares de dicha data. Así, desde mayo de 2013, las empresas y entidades públicas están obligadas a obtener el consentimiento previo y expreso de los dueños de los datos personales, informándoles el uso que tendrán y, de corresponder, si será compartida con terceros. Otra obligación vigente también desde 2013 es la inscripción de esta data ante la Autoridad Nacional de Protección de Datos Personales del sector Justicia.
–¿Solo reportarla?
–Es cierto, las organizaciones no están obligadas a entregar la base de datos completa, solo deberán reportarla precisando lo que contiene y quién la administra. Por tanto, las empresas ya deberían de haber obtenido esta autorización y registrada esta data.
–De acuerdo con esta implementación progresiva, ¿este 8 de mayo vence el plazo para la adecuación de las medidas de seguridad?
–En efecto, tenemos la implementación de la tercera y última obligación referida a la aplicación de las medidas de seguridad en los sistemas informáticos para proteger la información personal a su cargo, como por ejemplo los controles de acceso a la planilla de trabajadores. En este caso, acordar que a la planilla de personal deberían acceder únicamente las personas del área de recursos humanos y, de ellos, quizá los rangos más altos conocer la información sensible como los sueldos; de esa manera, se establecen categorías de acceso. Estas son las tres obligaciones que deben atender las organizaciones para evitar la alteración, pérdida o acceso no autorizado de la data administrada.
–¿Qué áreas de las empresas son más sensibles?
–Existen muchos giros de negocios que dependiendo de sus características estarán más expuestas a esta regulación, como de recursos humanos, marketing y ventas, en especial si registra una alta exposición con personas naturales, como en rubros de servicios públicos, banca, retails, colegios. Incluso en aquellas entidades vinculadas con la salud, por administrar los denominados datos sensibles, la valla es más alta al exigírsele la autorización escrita.
–¿Estas entidades deben atender, además, que se refieren a bancos de datos físicos y no solo electrónicos?
–Así es, la norma también se refiere al banco de datos físicos, como podría ser el libro de visitas a cargo de los vigilantes de la empresa.De ahí la necesidad de la investigación interna para detectar esta captación de datos.
–¿Qué recomendaría para evitar contingencias?
–Primero, entender que la adecuación no solo es legal, pues además de la normativa existe una directiva de seguridad con parámetros técnicos. Por tanto, este enfoque debe ser integral. Segundo, estas obligaciones tienen un carácter transversal que involucra a toda la organización.
–Este enfoque transversal, ¿a qué obliga?
–En principio, identificar quién capta y administra estos datos en la empresa, si son transferidos a terceros y el tiempo en que son almacenados; luego, detectar los bancos de datos que recogen dicha información, que podrían ser muchos, tanto en medios informáticos como físicos; tercero, contrastar todo este mapeo de la data con el grado de cumplimiento exigido por la regulación; y, finalmente, implementar un plan para remediar errores o subsanar vacíos. Estas acciones deberían tener un enfoque de riesgo y, lo fundamental, adoptarlas como de la cultura organizacional de la empresa.
Medidas de seguridad
La directiva de seguridad, adoptada por la autoridad para la protección de los datos personales, hace énfasis en la atribución de las responsabilidades.
Esta última comprende desde el origen hasta la disposición de los datos personales, que deben ser atendidas para mantener la coherencia y concordancia de la actuación de quienes participan en dicho cuidado, con los objetivos y medidas de seguridad exigidas.
Mientras que los criterios para categorizar los bancos de datos atienden el volumen de los registros, número de datos, período de tiempo para la finalidad del tratamiento de datos personales; la titularidad del banco de datos, la finalidad, múltiples localizaciones y el trato a los datos sensibles.
Alerta
Los datos personales son todas aquellas informaciones que identifican o hacen identificables a una persona, como el nombre, DNI, huella digital, domicilio, correo electrónico, entre otros.
Por datos sensibles se refieren a aquella data biométrica o de origen racial, ingresos económicos, convicciones políticas, religiosas, salud, afiliación sindical, entre otros.
Ante el incumplimiento, las infracciones pueden ser leves, graves o muy graves. La multa, además, nunca podrá exceder al 10% de los ingresos brutos del infractor percibidos en el año anterior.
Así, la multa será entre 0.5% a 5 UIT para infracciones leves; más de 5 a 50 UIT, para las infracciones graves; y de 51 a 100 UIT, en casos muy graves.
Fuente: Diario oficial el peruano
elperuano.com.pe/edicion/noticia-proteccion-datos-personales-es-transversal-a-toda-empresa-28763.aspx#.VUI4TSF_NHw
Escribir comentario