Autor: Paola Gálvez
9.1 millones de peruanos se conectan a internet por lo menos 7 veces a la semana y 3 de cada 5 usuarios digitales compró por internet en el último año, según estima IPSOS Perú en su último estudio realizado. En ese contexto, cada vez más peruanos estamos interactuando en plataformas digitales donde el procesamiento de datos personales se ha convertido en pan de cada día.
Por ese motivo, el viernes 05 de febrero nos reunimos virtualmente en un espacio coorganizado entre la Cámara de Comercio Americana del Perú (Amcham Perú) y Niubox para comentar con el público interesado acerca de la protección de datos personales en entornos digitales, resolver las dudas más comunes y conocer los más recientes criterios adoptados por la autoridad de protección de datos personales.
La primera parte del evento contó con la participación de María Alejandra Gonzáles Luna, directora de la Dirección de Protección de Datos Personales del Ministerio de Justicia, quien compartió con los asistentes información relevante sobre la normativa local, recientes criterios adoptados y los temas que ocupan la agenda de la entidad en las próximas semanas. A continuación detallamos los aspectos discutidos más destacados y que serán de utilidad para tu negocio.
Deber de información y consentimiento
Al respecto, resaltamos que en el caso de locuciones telefónicas, por la corta duración del contacto, el cumplimiento del deber de información se satisface brindando la siguiente información, la cual representa la mitad de los requisitos exigidos por el artículo 18 de la Ley No. 29733:
- La identidad y domicilio del titular del banco de datos personales, es decir, la entidad que ofrece el producto o servicio y, de resultar aplicable, la identidad del encargado del tratamiento, por ejemplo, el call center;
- Las finalidades del tratamiento, distinguiendo las que son necesarias para la relación contractual de las que no lo son;
- El mecanismo para brindar el consentimiento o negativa para finalidades adicionales (publicidad, perfilamiento, etc);
- Las categorías de los destinatarios de los datos personales, solo en el caso que se les transfieran los datos para finalidades adicionales; y
- Los mecanismos para que el titular de los datos conozca el documento de política de privacidad completo (por ejemplo sitio web)
Asimismo, la autoridad aclaró que en algunos formularios (i.e. libro de reclamaciones) no es necesario solicitar la aceptación de la política de privacidad mediante un checkbox, sino solamente incluir la política de privacidad en un lugar visible del sitio web. Para efectos de probar el cumplimiento del deber de información con fecha cierta, una constatación notarial es una buena opción.
Por otro lado, recordamos una importante aclaración sobre el otorgamiento del consentimiento para datos sensibles ya que el requisito de ser escrito no significa que sea manuscrito, sino que es posible el uso de tecnologías.
Cookies
Nuestro marco normativo no prevé una regulación especial para el uso de cookies, a diferencia de otras legislaciones como la europea. Sin embargo, en la medida que algunas cookies permiten recopilar datos personales, son consideradas una forma de tratamiento. En ese sentido, la empresa que las utilice deberá cumplir con el deber de información y solicitar el consentimiento para el tratamiento de los datos personales (en el supuesto que no aplique ninguna excepción).
El cumplimiento de dichas obligaciones viene siendo fiscalizado por la autoridad mediante fiscalizaciones virtuales. A propósito de ello, resaltamos que la autoridad fue clara al indicar que no se exige la incorporación de una política de cookies independiente a la política de privacidad, pero se debe verificar que se cumpla con el requisito de un consentimiento previo, informado, expreso e inequívoco en el caso de cookies con fines de publicidad.
Se comentó la posibilidad de contar con una guía de uso de cookies y hubo consenso por parte de la audiencia al concluir que se deberían armar mesas de trabajo con las múltiples partes interesadas de manera que se emita un documento que considere las diversas perspectivas y realidades de los principales sujetos activos del ecosistema.
Servicios en la nube
La nube es una metáfora para designar una red mundial de servidores remotos que funciona como un único ecosistema asociada a Internet. Estos servidores están diseñados para almacenar y administrar datos, ejecutar aplicaciones o entregar contenido. Los servicios en la nube pueden implicar el almacenamiento y tratamiento de datos del usuario, por tanto estamos ante un tratamiento de datos personales, los cuales deben cumplir con lo establecido por la Ley de Datos Personales.
La normativa local en materia de protección de datos personales no establece prohibiciones o limitaciones en cuanto al tratamiento de datos personales mediante medios tecnológicos, todo lo contrario, el artículo 33 del reglamento regula el tratamiento de los datos personales por medios tecnológicos tercerizados entre los que se encuentran servicios, aplicaciones, infraestructura, entre otros, en los que el procesamiento es automático, sin intervención humana.
Dicho artículo establece que dicho tratamiento (sea completo o parcial), podrá ser contratado por el responsable del tratamiento de datos personales siempre y cuando para la ejecución de aquel se garantice el cumplimiento de lo establecido en la Ley y el presente reglamento. Por tanto, concluimos que sí es posible el tratamiento de datos personales en la nube y la condición que establece la norma es que se garantice el cumplimiento de lo establecido en la Ley, por tanto, se deberá verificar las condiciones de privacidad del proveedor.
En agenda
La autoridad comentó que se encuentran trabajando en generar una cultura de protección de datos personales en los adolescentes y padres de familia, así como en la virtualización de los procedimientos ante el registro nacional de protección de datos personales y que continuarán las fiscalizaciones, especialmente relativas al tratamiento de datos personales en plataformas de internet, principalmente aquellas que realizan comercio electrónico.
La tendencia en el 2021 es que el consumo digital siga en aumento y por ende se continúe realizando tratamiento de datos personales en entornos digitales. Desde Niubox aplaudimos el paso a una sociedad más digital e inclusiva y esperamos que esta información en torno a un adecuado tratamiento de los datos personales sea de utilidad. Podrán ver la grabación del encuentro en el siguiente enlace:
Niubox es una firma de servicios legales, consultoría en asuntos públicos y regulatorios e innovación legal. Conoce nuestros servicios en Perú y Ecuador: tecnología y negocios digitales, innovación legal y legaltech, protección de datos personales y ciberseguridad, asuntos públicos y regulatorios, transformación digital, digitraining, telecomunicaciones y competencia, consumidor y propiedad intelectual.