Nueva normativa sobre privacidad para ciudadanos peruanos

La Ley No. 29733 de Protección de Datos Personales del Perú, también conocida como la Ley para abreviar, es una ley de protección de datos que fue aprobada en 2011 y recientemente modificada en 2017. La Ley n.º 29733 de Protección de Datos Personales fue modificada mediante la promulgación del Decreto Legislativo n.º 1353, de 7 de enero de 2017, con el fin de proporcionar a los ciudadanos peruanos un nivel actualizado de protección de datos, así como establecer estipulaciones para las personas y organizaciones dentro del Perú que recopilan y procesan datos personales. La Ley Nº 29733 de Protección de Datos Personales se aplica a través de la Autoridad Peruana de Protección de Datos o APDP, y el órgano regulador está autorizado a imponer una multitud de sanciones administrativas y monetarias contra las partes que se encuentren que han violado las disposiciones de la ley.

¿Cuál es el alcance y aplicación de la Ley 29733 de Protección de Datos Personales?

En cuanto al ámbito de aplicación y aplicación de la Ley N° 29733 de Protección de Datos Personales se aplica “a los datos contenidos, o destinados a ser contenidos, en bases de datos públicas o privadas, que se refieran a personas naturales, y cuyo tratamiento se realice en territorio peruano”. Alternativamente, el ámbito de aplicación material de la ley se aplica a toda recogida y tratamiento de datos personales que tenga lugar dentro de Perú, salvo determinadas excepciones, como el tratamiento de datos relacionados con “fines familiares o privados”. Además, el ámbito territorial de la ley es aplicable en las siguientes circunstancias:

• Cuando la recolección o tratamiento de datos personales se realice en un establecimiento que se encuentre ubicado dentro del territorio peruano, o dichos establecimientos pertenezcan a un responsable o encargado del tratamiento que se encuentre dentro del Perú.
• Cuando el tratamiento de datos personales sea realizado por un encargado del tratamiento por cuenta de un responsable del tratamiento que se encuentre establecido en el Perú, independientemente de la ubicación de dicho encargado.
• Cuando un responsable o encargado del tratamiento no esté físicamente presente o establecido en Perú, “pero la ley le sea aplicable en virtud de disposiciones contractuales o del derecho internacional”.
• Cuando un responsable o encargado del tratamiento no se encuentre físicamente o no esté establecido en el Perú, pero utilice medios en el Perú para el tratamiento de datos, salvo que dichos medios se utilicen estrictamente para el tránsito de datos que no impliquen tratamiento.

¿Cuáles son los requisitos de los responsables y encargados del tratamiento en virtud de la Ley núm. 29733 de Protección de Datos Personales?

De manera muy similar al Reglamento General de Protección de Datos de la Unión Europea o GDPR, la Ley N° 29733 de Protección de Datos Personales estableció diversos principios que los responsables y encargados del tratamiento que procesan datos personales de ciudadanos peruanos deben cumplir al procesar datos personales. Entre estos principios se encuentran los siguientes:

• Legalidad– Toda recopilación y tratamiento de datos personales debe realizarse de conformidad con la Ley Nº 29733 de Protección de Datos Personales. Queda estrictamente prohibida la recolección o tratamiento de datos personales que se realice a través de medios desleales, ilícitos o ilegales.
• Finalidad– La recogida y el tratamiento de datos personales deben realizarse con fines explícitos, específicos y legítimos. “El tratamiento de datos personales no debe extenderse a finalidades distintas de las establecidas en el momento de la recogida, salvo en los casos de actividades históricas, estadísticas o científicas, en los que se apliquen procesos de disociación o anonimización”.
• Proporcionalidad- La recogida y el tratamiento de los datos personales deben realizarse de manera pertinente, adecuada y no excesiva con respecto a los fines para los que se recogieron.
• Calidad– Los datos personales deben recogerse y tratarse de forma coherente con los principios de veracidad y exactitud. Los datos personales también deben actualizarse cuando sea posible, así como mantenerse adecuados y pertinentes en relación con los fines para los que se recogieron y trataron.
• Seguridad– Los responsables y encargados del tratamiento son responsables de aplicar medidas técnicas, físicas y organizativas para proteger los datos personales.
• Un nivel adecuado de protección– En lo que respecta a las transferencias transfronterizas de datos personales, el responsable del tratamiento de dichos datos personales debe garantizar que los datos están suficientemente protegidos. Este nivel de protección debe ser comparable o estar a la altura de la ley o de las normas internacionales.

¿Cuáles son los derechos de los ciudadanos peruanos en virtud de la Ley nº 29733 de Protección de Datos Personales?

La Ley 29733 de Protección de Datos Personales garantiza a los ciudadanos peruanos los siguientes derechos en materia de protección de datos y privacidad personal:

• El derecho a ser informado– Los titulares de los datos tienen derecho a recibir una explicación detallada sobre los fines para los cuales sus datos personales han sido recogidos o procesados.
• Derecho de acceso– “Los interesados tienen derecho a acceder a la información sobre sí mismos que se trate en bancos de datos privados o de la administración pública”.
• Derecho de rectificación: los interesados tienen derecho a rectificar los datos personales que les conciernan y que hayan sido objeto de tratamiento, siempre que resulten ser incompletos, inexactos o erróneos.
• Derecho de supresión: los interesados tienen derecho a suprimir los datos personales que les conciernan y que hayan sido objeto de tratamiento, siempre que dichos datos resulten incompletos, inexactos o erróneos.
• Derecho de oposición– Los interesados tienen derecho a oponerse al tratamiento de sus datos personales en determinadas circunstancias, como en los casos en que sus datos personales se hayan obtenido ilegalmente.
• Derecho a la portabilidad de los datos– Los interesados tienen derecho a “no ser objeto de una decisión que tenga efectos jurídicos sobre ellos, o que les afecte significativamente, basada en el tratamiento de datos personales destinados a evaluar determinados aspectos de su personalidad o conducta”.
• El derecho a la protección– Los interesados tienen derecho a presentar una reclamación ante la autoridad peruana de protección de datos o la APDP cuando se hayan vulnerado sus derechos.
• Derecho a ser indemnizado– Los interesados tienen derecho a reclamar una indemnización cuando se vulneren sus derechos.

¿Cuáles son las sanciones por incumplimiento de la ley?

En cuanto a las sanciones por incumplimiento, la autoridad peruana de protección de datos o APDP separa las infracciones según la ley en tres niveles, infracciones leves, graves y muy graves. Según la ley, “tratar datos personales sin adoptar medidas de seguridad” se considera una infracción leve, mientras que “facilitar documentos o información falsa a la APDP” se considera una infracción muy grave. Por ello, los responsables y encargados del tratamiento que incumplan lo dispuesto en la ley se exponen a las siguientes sanciones pecuniarias:

• “Por infracciones leves: multas de hasta 5 unidades tributarias ($5.469)”.
• “Por infracciones graves: multas de hasta 50 unidades tributarias ($54.741)”.
• “Por infracciones muy graves: multas de hasta 100 unidades tributarias ($109,493)”.

En la medida en que la protección de datos personales y la privacidad han adquirido un mayor nivel de pertinencia no sólo en el país de Perú, sino en el mundo en general, legislaciones como la Ley N° 29733 de Protección de Datos Personales no hacen más que generalizarse. Este hecho se evidencia en otros países sudamericanos que también han aprobado leyes integrales de protección de datos en los últimos años, tales como la Ley General de Protección de Datos de Brasil o LGPD por sus siglas en inglés, así como la Ley No. 18.331 de Protección de Datos Personales de Uruguay. En este sentido, la Ley Nº 29733 de Protección de Datos Personales se erige como la principal figura de protección jurídica de los datos personales y la intimidad de los ciudadanos peruanos.