- ¿Cuál es el objeto de la normativa en materia de protección de datos personales?
La Ley de Protección de Datos Personales (LPDP), tiene como objeto garantizar el derecho fundamental a los datos personales realizando un adecuado tratamiento a los mismos. Ello implica el respeto a los derechos fundamentales reconocidos por nuestra Constitución Política, así como aquellas normas contempladas en la LPDP y su reglamento.
Las normas de manera general establecen que son de aplicación a los datos personales contenidos (o destinados a ser contenidos) en bancos de datos personales cuyo tratamiento se realice en el Perú, entendiéndose por “datos personales” a toda información sobre una persona natural que la identifica o la hace identificable y a “bancos de datos personales” como el conjunto organizado de datos personales, independientemente del soporte y cualquiera sea la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.
- ¿Todos los datos personales están sujetos a la LPDP y su reglamento?
Solo los datos personales que identifican o hacen identificables a personas naturales. Ello quiere decir que el registro e información que se pueda tener sobre personas jurídicas, no se encuentra sujeta a esta normativa.
- ¿Y qué ocurre cuando se trata de datos personales de personas naturales con negocio (RUC)? ¿Este supuesto también está excluido de la aplicación de la LPDP y su reglamento?
Si bien una persona natural pueda actuar en una actividad económica con su propio número de RUC no renuncia a su condición de “persona natural” ni a sus derechos; y en ese sentido, al no haber excepción ni en la LPDP ni su reglamento, una persona natural con negocio se encuentra bajo el ámbito de protección de dichas normas.
- ¿Qué obligaciones prácticas imponen las normas en materia de protección de datos personales?
Dentro de las principales obligaciones de los titulares de los bancos de datos personales están: efectuar el tratamiento solo previo consentimiento del titular de los datos personales (salvo las excepciones); recopilar datos personales que sean actualizados, necesarios, pertinentes y adecuados, con relación a finalidades determinadas, explícitas y lícitas; almacenar los datos personales de manera que se posibilite el ejercicio de los derechos de su titular; tramitar la inscripción ante el Registro Nacional de Protección de Datos Personales (RNPDP) en caso se creen, modifiquen o cancelen bancos de datos personales; y, guardar confidencialidad de los datos personales respecto de los que se realice el tratamiento.
- ¿La inscripción de los bancos de datos en el RNPDP implica un traslado de la información contenida en los mismos?
No, es importante precisar que la inscripción en el RNPDP no implica una divulgación de la información contenida en los bancos de datos personales materia de inscripción, sino que consiste en manifestar la existencia de los bancos de datos personales y la información que se contiene en ellos (los datos que son recopilados, la finalidad, entre otros).
- ¿Por cuánto tiempo puede el titular del banco de datos personales almacenar los datos?
Las normas no establecen plazos mínimos ni máximos para el tratamiento (salvo el tratamiento por encargo en donde se ha establecido un plazo para la conservación de los datos de dos años desde la finalización del último encargo realizado).
- ¿Qué ocurre con los datos personales obtenidos con anterioridad a la LPDP y su reglamento y, en consecuencia, obtenidos sin el consentimiento de los titulares?
El tratamiento de los datos personales implica necesariamente la obtención del consentimiento por parte del titular de los datos materia de tratamiento, salvo que nos encontremos en alguno de las excepciones de la LPDP.
En ese sentido, para mantener, recolectar y realizar el tratamiento de datos personales, es necesario el consentimiento. Tratándose de información conseguida con anterioridad a la entrada en vigencia de la Ley y el Reglamento, corresponderá regularizar la misma obteniendo el consentimiento de los titulares; caso contrario, dicha información debería ser suprimida de los bancos de datos.
- ¿Desde cuándo entra en vigencia la LPDP y su reglamento?
Tanto la Ley como el Reglamento se encuentran plenamente vigentes. Sin perjuicio de ello, el Reglamento otorgó un plazo de 2 años contados a partir de la entrada en vigencia del mismo para que los titulares de los bancos de datos personales preexistentes se adecuen a lo establecido por la Ley y el Reglamento. El plazo para dicha adecuación concluirá el 8 de mayo de 2015.
La LPDPD establece literalmente que “En el plazo de dos (2) años de entrada en vigencia del presente reglamento, los bancos de datos existentes, deben adecuarse a lo establecido por la Ley y el presente reglamento, sin perjuicio de la inscripción”.
- ¿Cuál es la autoridad encargada de fiscalizar y sancionar?
La Dirección General de Protección de Datos Personales es el órgano encargado de ejercer la Autoridad Nacional de Protección de Datos Personales. En ese sentido, ejerce las funciones administrativas, orientadoras, normativas, resolutivas, fiscalizadoras y sancionadoras a efectos de hacer cumplir las disposiciones contenidas en la LPDP y su reglamento.
Fuente: gestion.pe/