Daniel Flores

Apoco más de cuatro años de la entrada en vigencia integral de la Ley de Protección de Datos Personales y su Reglamento (la “Normativa”), resulta pertinente hacer un balance general y señalar algunos aspectos relevantes sobre el impacto que ha tenido en el Perú. En primer lugar, vale la pena recor dar que el sustento principal de la Normativa, fue y es el reconocer a los titulares de los datos personales como tales, es decir, que cada persona es dueña/titular de su propia información (sus datos personales) y, por lo tanto, es quien decide sobre el uso que se haga de aquella. Para esos efectos se creó la Autoridad Nacional de Protección de Datos Personales, quien es la encargada de realizar todas las acciones necesarias para el cumplimiento de la Normativa, gozando de potestad sancionadora y coactiva. En este momento, podemos afirmar que tenemos una autoridad muy ac tiva, y no sólo porque se encarga de autorizar y administrar las inscripciones de los bancos de datos que sus titulares le solicitan -lo cual constituye una obligación formal-, sino porque viene desarrollando cada vez mayores investigaciones y fiscalizaciones a los administrados, a fin de corroborar si se encuentran en cumplimiento de lo dispuesto por la Normativa. Como consecuencia del enforcement que ha ganado la autoridad, las em presas -titulares de bancos de datos personales de administración privada- están cada vez más preocupadas y tienen mayores incentivos para adecuarse a la Normativa, generando políticas y procedimientos internos que las lleve a un adecuado estatus de cumplimiento en la materia. En ese sentido, la protección de da tos personales ha pasado a ser un elemento relevante y a ser considerado en la organización y administración de las compañías, quienes con mayor frecuencia incluyen “Delegados de Protección de Datos” u “Oficiales de Cumplimiento” para que, de manera transversal a la estructura corporativa, se asegure un cumplimiento acorde a lo que exige la Normativa. Todos estos nuevos procesos han llevado a que cada vez sea más frecuente considerar un acápite exclusivo a la protección de datos personales en los Due Diligence (procesos de revi sión) que realizan las empresas tanto con objetivos internos (Compliance) como para posibles inversiones o compras (M&A). En cuanto a la perspectiva del ciu dadano de a pie -que es el titular de los datos personales-, éste se siente cada vez más empoderado y exige un mayor nivel de cumplimiento y respe to de sus derechos, de modo que sus datos personales sean utilizados (tratados) sólo dentro de los términos de aquello que consintió. Ello implica que quien pretende reali zar un tratamiento de sus datos personales, debe informarle de manera previa los alcances que tendrá dicho tratamiento (y el titular de los datos tiene que aceptarlo expresamente); lo cual comprende: identidad y domicilio del responsable, finalidad, identidad de los destinatarios, la existencia del banco de datos personales, el carácter obligatorio o facultativo de sus respuestas, las consecuencias de brindar o no sus datos, y la transfe rencia (de ser el caso); a menos que el consentimiento se encuentre exceptuado conforme a la Normativa. Finalmente, no se debe perder de vis ta que la protección de datos personales es un fenómeno global que está en constante cambio y evolución; ejemplo claro de ello fue la entrada en vigencia el año pasado del Reglamento (UE) 2016/679 - Reglamento General de Protección de Datos (GDPR), aplicable a los países miembros de la Unión Europea, y que marca una suerte de estándar internacional en la materia. Dentro de esta evolución, por un lado, se tiende a una mayor rigurosidad y limitación hacia quien realiza el tratamiento de los datos personales; y, por el otro, se enfoca hacia una mayor protección hacia el titular de los datos personales. En ese contexto, resulta fundamental que las empresas y titulares de los bancos de datos personales, estén preparados para afrontar con solvencia las exigencias de la Normativa.