Ámbito de aplicación:
El Reglamento enfatiza la protección de datos en el entorno digital frente a los riesgos que pueden generar el uso de nuevas tecnologías digitales.
Se precisa que el Reglamento también será aplicable a aquel titular del banco de datos o quien resulte responsable que no se encuentre en territorio peruano, pero que utilice medios situados en dicho territorio:
- Cuando realiza actividades relacionados a la oferta de bienes o servicios dirigidos a personas en el Perú.
- Cuando realiza actividades orientadas al análisis de comportamiento de personas ubicadas en el Perú.
Para estos efectos, se deberá asignar un representante en territorio peruano o para el territorio peruano el cual actúe como punto de contacto con la Autoridad Nacional de Protección de Datos Personales (en adelante, ANPDP).
Nuevos principios rectores:
El Reglamento Introduce principios nuevos como el de transparencia y la responsabilidad proactiva.
Definiciones ampliadas:
Se actualizan y amplían definiciones clave, como “datos sensibles” que ahora incluyen información genética y biométrica.
Además, se agrega el concepto de “desindexación” para gestionar datos en motores de búsqueda. Se le define como el proceso por el cual una dirección URL o contenido de un sitio web es eliminado o excluido de los motores de búsqueda.
Consentimiento:
Define de manera más detallada las características para el consentimiento válido (libre, previo, expreso e informado).
Añade el “primer contacto”, para lo cual dispone que, cuando los datos no hayan sido recopilados de forma directa del titular de datos personales, se deberá informar, en el primer contacto, y a requerimiento del titular de los datos personales, la fuente de recopilación de los datos personales.
Tratamiento de datos personales de niños, niñas y adolescentes en Internet:
Se enfatiza la protección del interés superior del niño.
El tratamiento de datos de mayores de 14 y menores de 18 años, en el marco de servicios digitales, será lícito siempre que se haya obtenido su consentimiento.
El tratamiento de datos de menores de 14 años, en el marco de servicios digitales, será lícito siempre que se cuente con el consentimiento de aquel o aquellos que ejercen la patria potestad o tutela.
Asimismo, se dispone que quienes ofrezcan servicios en el entorno digital deberán realizar esfuerzos “razonables” para verificar la identidad de quienes otorgan el consentimiento, considerando la tecnología disponible.
Tratamiento de datos para publicidad y prospección comercial:
Se deberá obtener el consentimiento de forma directa para el tratamiento de datos para estas finalidades. Será posible obtenerlo mediante el “primer contacto”, luego del cual, de no obtenerlo, no será licito realizar un nuevo contacto o tratamiento de datos.
Para el primer contacto, los datos personales pueden haber sido obtenidos de fuentes accesibles al público.
En cualquier caso, el titular de los datos personales podrá negarse, revocar u oponerse al tratamiento de sus datos para estas finalidades, para lo cual el responsable del tratamiento debe brindar un medio sencillo y gratuito para tramitar dicha solicitud, la cual se debe atender dentro del plazo máximo de diez (10) días.
Notificación de incidentes de seguridad:
Ante un incidente de seguridad, que genere exposición de grandes volúmenes de los mismos, o que pueda afectar a un gran número de personas o cuando se trate de datos sensibles o cuando se produzca un perjuicio evidente a otros derechos o libertades del titular del dato personal, se deberá notificar a la ANPDP como máximo dentro de las 48 horas posteriores a haber tomado conocimiento o constancia de ello.
De realizarse en un tiempo adicional, se deberá sustentar la razón por la cual no se cumplió con el plazo indicado.
La notificación deberá indicar, como mínimo, lo siguiente:
- La naturaleza del incidente de seguridad de los datos personales, inclusive, cuando sea posible, los tipos de datos y el número aproximado de titulares de datos afectados.
- El nombre y los datos de contacto del Oficial de datos personales o de otro punto de contacto en el que pueda obtenerse más información.
- Las posibles consecuencias del incidente de seguridad de los datos personales.
- Las medidas adoptadas o propuestas por el titular del banco de datos o responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Designación del Oficial de Datos Personales:
El Reglamento introduce la figura del “Oficial de Datos Personales” para garantizar el cumplimiento normativo.
Este deberá ser asignado cuando:
- El tratamiento lo lleve a cabo una entidad pública.
- Se realice tratamiento de grandes volúmenes de datos personales, en cantidad o tipo de datos, o que pueda afectar a un gran número de personas o cuando se trate de datos sensibles o cuando se produzca un perjuicio evidente a otros derechos o libertades del titular del dato personal.
- Se realicen actividades principales o de giro de negocio que comprendan el tratamiento de datos sensibles
Evaluaciones de Impacto:
De manera facultativa y previa al tratamiento de datos personales puede realizar la Evaluación de impacto relativa a la protección de datos personales, la cual se podrá elaborar tomando como referencia la guía, lineamientos y procedimientos establecidos en la NTP-ISO/IEC 27005 y la NTP-ISO 31000 en su edición vigente u otros estándares relacionados con el análisis y la evaluación de riesgos para la protección de datos personales.
Medidas de seguridad:
Se deberá contar con un “documento de seguridad” el cual deberá ser aprobado formalmente y contar con fecha cierta.
El documento de seguridad deberá estar actualizado y contener como mínimo los procedimientos de gestión de accesos, la gestión de privilegios y la verificación periódica de los privilegios asignados referentes a los sistemas de información, incluyendo, plataformas tecnológicas, aplicaciones móviles, motores de bases de datos, entre otros, empleados para realizar el tratamiento de datos personales.
Este será de obligatorio cumplimiento para el personal con acceso a los sistemas de información.
Asimismo, se deberán implementar controles para mantener los equipos seguros dentro y fuera de las instalaciones. El Reglamento enumera los siguientes controles:
- Ubicación y protección de equipos para reducir los riesgos de amenazas y peligros ambientales, así como las oportunidades para el acceso no autorizado.
- Protección de equipos contra fallas de electricidad y otras alteraciones causadas por desperfectos en los servicios de suministro.
- Protección de interceptación, interferencia y/o daño del cableado de energía y telecomunicaciones que llevan datos o servicios de información de soporte.
- Imposibilidad de retirar equipos, información o software sin la autorización previa.
- Asegurar, antes de su disposición o reutilización, que los equipos que contengan medios de almacenamiento de datos sensibles, hayan sido eliminados o sobre escritos.
- Asegurar que los equipos informáticos cuenten con protección apropiada en caso sean desatendidos por los usuarios.
- Implementación de una política de escritorio y pantalla limpios de papeles y de medios de almacenamiento removibles, para las instalaciones de procesamiento de la información.
Portabilidad de datos personales:
Se añade el derecho a la “portabilidad de datos personales” como manifestación del derecho de acceso. El derecho establece que el titular del dato personal podrá solicitar los datos personales sobre sí mismo, que haya facilitado a un responsable o titular de banco de datos, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable.
Nuevas modalidades de fiscalización:
Si bien ya era algo realizado por la ANPDP, el Reglamento dispone que se realizarán fiscalizaciones “en gabinete”. Esto implica el acceso y evaluación a través de medios digitales a las actividades que realiza el titular del banco de datos personales, el encargado o quien resulte responsable del tratamiento de datos personales.
Vigencia:
El Reglamento entrará en vigencia a partir de los 120 días calendario siguientes a su publicación, esto es, el 30 de marzo de 2025.
Las obligaciones referidas a la designación del Oficial de Datos Personales, entrarán en vigencia de modo progresivo, de acuerdo a lo siguiente:
Las disposiciones referidas a la portabilidad de datos personales surtirán efectos a partir de los 6 meses posteriores a la entrada en vigencia del Reglamento, esto es, 30 de setiembre de 2025.