Ya casi se han cumplido los dos años que el Reglamento de la Ley de Protección de Datos Personales (D.S. N° 003-2013-JUS) otorgó a los titulares de los bancos de datos para que cumplan con implementar los procedimientos y políticas de seguridad requeridos para proteger la información personal brindada.

Y es que, como sabemos, en la actualidad todo ciudadano proporciona sus datos personales a distintas instituciones públicas o privadas por diversas razones (laborales, económicas, financieras, comerciales, etc.). En esa medida, la normativa aprobada permite asegurar que los titulares de estos bancos otorguen un tratamiento apropiado de dicha información y se evite su uso malicioso y arbitrario. 

Sin embargo, para entender mejor de lo que se trata, explicaremos qué son los datos personales y datos sensibles. Entendemos por datos personales a toda aquella información que nos identifica, tales como el nombre, el DNI, el RUC, la dirección domiciliaria, la dirección de correo electrónico, la huella digital, el ADN, una imagen, etc. Por otro lado, la información sensible contempla un ámbito más privado de la persona,  referida al origen racial y étnico, ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales, afiliación sindical e información relacionada a la salud o a la vida sexual.

Medidas a implementar

Precisamente, en función del resguardo de dicha información el Reglamento ha dispuesto el cumplimiento de importantes medidas. De esta manera, se obliga a los titulares de los bancos de información que el consentimiento para tratar un dato personal este debe ser previo, expreso, inequívoco y libre. Agrega además, que cuando se trate de datos sensible, esta autorización debe ser por escrita.  No menos importante es la obligación de brindar la explicita identificación de la finalidad o finalidades para las que se recaban los datos.

Se establece además que las políticas de privacidad que se implementen en cumplimiento de la ley no exonerarán al obligado del requisito de obtener el consentimiento expreso del titular de los datos personales (artículo 13). 

El Reglamento también permite el tratamiento de los datos de los mayores de 14 años y menores de 18 años con su consentimiento, siempre que la información proporcionada haya sido en lenguaje comprensivo para ellos. Pero en ningún caso, cuando sea para otorgamiento de bienes o servicios restringidos para mayores de edad (artículo 28).

Finalmente, se establece la necesidad de que todo banco que maneje información mediante sistemas informáticos deberá implementar las medidas de seguridad para controlar el acceso de los usuarios. Así pues, tendrán que registrarse las horas de inicio y cierre de sesión, y todo movimiento realizado en la web así como los procedimientos de identificación y autenticación que garanticen la seguridad del tratamiento de los datos personales (artículo 40).

El incumplimiento de dichas medidas y las demás obligaciones establecidas por las normas, acarreará la imposición de multas administrativas que se determinarán en función a la Unidad Impositiva Tributaria vigente a la fecha en que se cometió la infracción.