¿Cambios en la Regulación de Protección de Datos Personales? Comentarios al Proyecto del nuevo Reglamento de la Ley 29733, Ley de Protección de Datos Personales.

"Desde un punto de vista legal, la actual Ley de Protección de Datos Personales establece que es de aplicación cuando el "tratamiento se realiza en el territorio nacional."[2], mientras que el Proyecto de reglamento establece supuestos de aplicación extraterritorial (aplicación a tratamiento de datos realizados fuera del territorio nacional). Es decir que, el Proyecto del reglamento buscaría ser de aplicación más allá del imperio de la ley sustantiva a la cual reglamenta”.

0
794

Por Alonso Barreda.

Abogado por la Pontificia Universidad Católica del Perú. Magister en Economía y Finanzas Internacionales por la University of International Business and Economics, Beijing, China. Especialista en Seguros y Reaseguros. Legal Director en Kennedys Law Perú.

Con fecha 25 de agosto, el Ministerio de Justicia publicó la Resolución Ministerial 0270-2023/JUS que contiene el Proyecto del nuevo Reglamento de la Ley de Protección de Datos Personales (el Proyecto). El Ministerio recibirá opiniones, sugerencias y comentarios al Proyecto hasta el 25 de Septiembre.

Según indica en su exposición de motivos, el Proyecto busca responder a los riesgos para los derechos de los titulares de datos personales que trae consigo el incremento en el uso de tecnologías digitales por parte de la población nacional. De promulgarse, el Proyecto reemplazaría el actual Reglamento vigente desde 2013.

En este artículo resaltamos las principales diferencias entre el régimen normativo actual y el que propone el nuevo reglamento en los términos del Proyecto. Así también, presentamos nuestros comentarios y observaciones al texto del Proyecto.

Conceptos previos

A continuación algunos conceptos relevantes previstos en la Ley de Protección de Datos Personales (Ley 29733):

  • Datos Personales: Información sobre una persona natural que la identifica o la hace identificable a través de medios razonablemente utilizados.
  • Datos Sensibles: Datos personales constituidos por datos biométricos que por si mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos; opiniones u convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información de su salud o vida sexual.
  • Derechos ARCO: Derechos de Acceso, Rectificación, Cancelación y Oposición, de los titulares de datos personales.
  • Banco de Datos Personales: Conjunto organizado de datos personales independientemente del soporte, forma, modalidad de creación, formación, almacenamiento, organización y acceso a estos.
  • Titular de Datos Personales: Persona natural a quien le corresponde los datos personales.
  • Titular de Banco de Datos Personales: Persona natural, jurídica o entidad pública que determina la finalidad, tratamiento, contenido y medidas de seguridad de los bancos de datos personales.
  • Tratamiento: Cualquier operación o procedimiento que permita cualquier forma de recopilación o procesamiento de datos personales que facilite el acceso, correlación o interconexión de datos personales.
  • Encargado del Tratamiento: Persona natural, jurídica o entidad pública que realiza el tratamiento de datos personales por encargo del titular del banco de datos cuando los vincula una relación jurídica. Incluye a quien realiza el tratamiento sin la existencia de un banco de datos personales.

¿Aplicación Extraterritorial?

La principal diferencia que plantea el Proyecto normativo está en su alcance, el cual pasaría de ser territorial a extraterritorial.

Actualmente, la Ley 29733 determina en su artículo 3 que su aplicación es territorial. A su vez, el actual Reglamento establece que será de aplicación cuando:

  • El titular del banco de datos personales se encuentre en el Perú;
  • El tratamiento se efectúe en cualquier lugar pero en nombre de un titular de banco de datos del Perú;
  • El titular de banco de datos no se encuentre en Perú pero le es aplicable la legislación peruana por disposición contractual o derecho internacional; o,
  • El titular del banco de datos no esté en Perú pero utilice medios situados en este.

Como podemos ver en la legislación vigente, será de aplicación nuestra normativa de datos personales siempre que haya algún elemento de conexión entre el tratamiento de datos y el territorio o legislación peruana; ya sea que el titular del banco de datos se encuentre en Perú, que se realice en su nombre o utilice medios ubicados en Perú, o que -de manera excepcional- le sea aplicable la legislación peruana. Contrario sensu, la actual legislación peruana de datos personales no será aplicable si no hay un elemento de conexión entre el tratamiento de datos y el territorio o legislación peruana, aun cuando se traten datos de ciudadanos o residentes peruanos.

Por ejemplo, algunos ciudadanos y residentes en el Perú contratan servicios de streaming del exterior, y para ello facilitan sus datos personales a compañías extranjeras, quienes los tratan conforme a la legislación de su país de origen. Así, una empresa como Disney+ podría tratar datos de residentes y ciudadanos peruanos en el extranjero, sin considerar para tales efectos lo previsto en la normativa nacional de datos personales.

A diferencia del régimen actual, el Proyecto de reglamento introduce dos nuevos supuestos de aplicación extraterritorial:

  • Cuando el titular de banco de datos no está en territorio peruano pero realiza actividades de análisis de comportamiento de titulares de datos personales ubicados en Perú.
  • Cuando el titular del banco de datos no está en territorio peruano, pero realiza actividades destinadas a la oferta de bienes o servicios dirigidos a titulares de datos personales ubicados en Perú.

Además, el Proyecto de reglamento exige a los responsables[1] del tratamiento de datos personales situados fuera de Perú, que nombren un representante legal en el Perú para que actúe como punto de contacto ante la Autoridad Nacional de Protección de Datos Personales (ANPDP).

Al respecto, nos llama la atención lo siguiente:

Desde un punto de vista legal, la actual Ley de Protección de Datos Personales establece que es de aplicación cuando el “tratamiento se realiza en el territorio nacional.”[2], mientras que el Proyecto de reglamento establece supuestos de aplicación extraterritorial (aplicación a tratamiento de datos realizados fuera del territorio nacional). Es decir que, el Proyecto del reglamento buscaría ser de aplicación más allá del imperio de la ley sustantiva a la cual reglamenta.

En relación a ello, el Artículo 51 de nuestra Constitución determina que “la ley [prevalece], sobre todas las normas de inferior jerarquía”. Por tanto, en aplicación del Principio de Jerarquía Normativa establecido por la Constitución y lo resuelto por el Tribunal Constitucional[3], nos genera serias dudas la validez que tendría este extremo de la propuesta normativa en caso de promulgarse.

A manera de contexto, si bien la exposición de motivos señala que la inclusión de estos supuestos se debe al “avance de tecnología y su uso por los peruanos”, lo cierto es que buscar copiar el texto del Art. 3 Inciso 2, literales a y b del Reglamento UE 2016/679 (Reglamento General de Protección de Datos de la Unión Europea – RGPD); que fue la primera norma de protección de datos personales con aplicación extraterritorial.[4]

En cualquier caso, sea que la inclusión de estos supuestos responda a la creatividad del regulador o a un proceso de importación normativa, además de la problemática legal también se genera una problemática práctica con la redacción del texto. El Proyecto del reglamento indica que será de aplicación cuando el titular de los datos personales esté ubicado en Perú. El Proyecto no distingue entre ciudadanos o residentes peruanos, o simple viajeros que estén de vacaciones en el país.

Así, el reglamento aplicaría a empresas ubicadas en el extranjero que en ningún momento tuvieron la intención de realizar operaciones en peruano ni tratar los datos personales de residentes o ciudadanos peruanos. Bastará que analicen el comportamiento u ofrezca bienes o servicios a cualquier persona que esté físicamente ubicada en el Perú, así fuera de vacaciones.

Por ejemplo, en la República Popular China existen muchas plataformas digitales destinadas a ofrecer bienes y servicios a, y analizar comportamientos de residentes en dicho país (Youku, iQiyi, entre otras); sin ninguna intención de operar en Perú, ni ofrecer bienes o servicios en Perú ni analizar el comportamiento de residentes en Perú. En principio, ninguna de estas plataformas debería estar bajo el alcance de la normativa peruana de datos personales. No obstante, la literalidad del Proyecto de reglamento sería de aplicación a cualquiera de estas plataformas si uno de sus clientes o prospectos clientes está de vacaciones en Perú y dicha empresa realiza alguna oferta o análisis de su comportamiento.

A nuestro juicio, estos supuestos normativos traen consigo complicaciones prácticas. Por ejemplo, ¿cuándo el Ministerio de Justicia del Perú sabrá que una plataforma china ha analizado comportamientos o presentado ofertas a ciudadanos extranjeros ubicados físicamente en Perú? Y, aun cuando pueda determinar ello, ¿cómo hará el Ministerio de Justicia o la ANPDP para informar a tales plataforma que ahora están bajo su supervisión? Más aún, ¿Cómo harán para imponer y cobrar sanciones por incumplimiento normativo?

En nuestra opinión, previo a publicarse el Reglamento en los términos del Proyecto debería modificarse el texto de la Ley 29733, de manera que no exista contradicción o antinomia entre el texto de la Ley y su reglamento. Luego, se debería de restringir los supuestos de aplicación extraterritorial al tratamiento de datos personales de residentes o ciudadanos peruanos, pues la protección de los datos personales de ciudadanos extranjeros que están de vacaciones en el Perú no debería estar dentro del alcance de nuestra normativa.

¿Cuándo reportar un incidente de Ciberseguridad?

Actualmente, la normativa de protección de datos personales no obliga a los titulares de bancos, ni a los encargados o responsables del tratamiento a reportar los incidentes de seguridad que puedan comprometer a los datos personales -ni a la ANPDP ni tampoco al titular de los datos personales. Actualmente, la obligación de notificar incidentes aplica por excepción, y por imperio de otra normativa, a ciertas entidades públicas y proveedores de ciertos servicios.

Por un lado, conforme al Reglamento para la Gestión de la Seguridad de la Información y Ciberseguridad (Resolución 504-2021/SBS), las empresas listadas en los Arts. 16 y 17 de la Ley 26702 así como las AFP deben reportar a la SBS los incidentes de ciberseguridad que afecten o puedan afectar la información de sus clientes (Datos Personales). Por el otro, conforme al Decreto de Urgencia Marco de Confianza Digital (Decreto de Urgencia 007-2020), las entidades de la administración publicación, los proveedores de servicios básicos (agua, energía y gas), de salud y transporte de personas, actividades críticas, servicios educativos, de internet y servicios digitales del sector financiero, deben reportar los incidentes de ciberseguridad al Centro Nacional de Seguridad Digital.

Por el contrario, las empresas que no estén comprendidas en dichas normas específicas no tienen ninguna obligación de reporte. Su única obligación es la de resguardar toda la documentación e información relativa a incidentes, y facilitarla a la ANPDP en caso de requerimiento.

El Proyecto de reglamento modificaría sustancialmente este régimen. Por un lado, establece la obligación a todo responsable del tratamiento de datos de notificar a la ANPDP de todo incidente, dentro de las 48 horas siguientes de tener constancia de la ocurrencia del incidente. Y, además, establece la obligación de notificar al titular de datos personales cuando el incidente conlleve una exposición no autorizada de sus datos o represente un alto riesgo para sus derechos y libertades.

Vemos que la norma está siendo más proteccionista con el titular de los datos personales, estableciendo obligaciones adicionales para su protección. Inclusive, el Proyecto plantea la creación de la plataforma “Yo cuido mis datos personales” destinada a brindar atención al ciudadano en reclamos cuando el ejercicio de sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) se vean afectados; asimismo, plantea la eliminación de las tasas administrativas para el registro, modificación y/o cancelación de los bancos de datos personales.

A manera de contexto, son pocas las legislaciones que obligan a notificar a la persona titular de datos personales. Entre estas, la GDPR de la Unión Europea y la legislación brasileña, ambas con alcance extraterritorial, y la normativa de México y Costa Rica, con alcance territorial. La gran mayoría de legislaciones de protección de datos personales no obligan a la notificación al titular de datos personales. En el caso del Proyecto normativo, la obligación de notificar al titular de datos personales dependerá del análisis de riesgo que realice el responsable del tratamiento a efectos de validar si hay una exposición no deseada o un “alto riesgo” para los derechos de los titulares o no. Al respecto, si bien el Proyecto normativo referencia las Normas Técnicas Peruanas para evaluar los riesgos de estos incidentes, dichas normas técnicas no son de fácil lectura ni de acceso irrestricto por los ciudadanos (Instituto Nacional de Calidad – INACAL impone límites de visualización, algunos otros portales requiere un pago para el acceso, entre otros).

En nuestra opinión, las obligaciones de notificar a la persona titular de datos personales podrían resultar excesivas; pues, en un contexto de alto estrés y toma de decisiones urgentes en plena crisis, el identificar a cada personal titular de datos que pueda verse afectada y proceder a informe claramente aumentará sustancialmente la carga operativa de una empresa que sufra una filtración de datos o un ciberataque; y nada garantiza que la notificación al titular permita la opción de revertir cualquier afectación a sus derechos. Por el contrario, tales notificaciones podrían ocasionar daños reputacionales irreversibles a la empresa que ha sufrido la filtración o ciberataque.

Además, considerando que el ámbito de aplicación de Proyecto es extraterritorial, estimamos de difícil cumplimiento que el responsable de tratamiento situado fuera del Perú notifique a cada persona titular de datos personales ubicada en el país . De hecho, se podría colocar en una desventaja competitiva a los responsables del tratamiento situados en el Perú frente a los que estén situados fuera, toda vez que éstos últimos podrían incumplir sus obligaciones de notificación prevista en el Reglamento y les sería más fácil eludir la supervisión de la ANPDP; a quien a su vez le resultará más complejo fiscalizar y poner multas a personas naturales o jurídicas del extranjero.

En este orden de ideas, nuestra recomendación es que se mantenga en el Proyecto la obligación de notificar a la ANPDP, y que en tal notificación se incluya la decisión y justificación del responsable del tratamiento de notificar o no, a los titulares de los datos personales, a efectos de que sea la ANPDP quien convalide o rechace tal decisión y emita la medida correctiva correspondiente al responsable del tratamiento.

¿Quiénes deben nombrar un Oficial de Datos Personales?

El Proyecto propone establece la obligación de designar a un Oficial de Datos Personales, en los siguientes supuestos:

  • Tratamiento realizado por autoridad u organismo público.
  • Tratamiento realizado por titulares o encargados de bancos de datos cuyas operaciones requieran observación habitual, sistemática y continua de los titulares de datos personales, en forma masiva o a gran escala.
  • Tratamiento realizado por titulares o encargados de bancos de datos cuya actividad principal sea el tratamiento de datos sensibles.

El Oficial de Datos Personales tendría como función asesorar y supervisar al titular de banco de datos respecto del cumplimiento las obligaciones normativas a su cargo, así como ser el punto de contacto de la ANPDP en relación al tratamiento de datos personales. Conforme a lo previsto en la norma, los grupos empresariales pueden nombrar a un único oficial de datos personales ‘corporativo’.

El único criterio de selección previsto en el Proyecto del reglamento son las “cualidades profesionales […], conocimientos y práctica en materia de protección de datos[5]; sin requerir un determinado conocimiento técnico o experiencia laboral acreditada, si hubieren impedimentos para ejercer dicha función, si el cargo de oficial es exclusivo o si puede designarse a un ejecutivo que también desempeñe otras funciones, entre otras.

La Contratación de Seguros Cibernéticos

Las Pólizas de Seguros Cibernéticos protegen al Asegurado contra las pérdidas o reclamos a consecuencia de incidentes o ataques cibernéticos que puedan sufrir, así como apoyo logístico, técnico y multidisciplinario para el manejo del incidente y la gestión de la crisis.

Actualmente, solo existen cuatro condicionados de seguros cibernéticos registrados ante la SBS. Este tipo de póliza otorga coberturas cubre los daños o pérdidas que pudiera generar el incidente así como la responsabilidad frente a terceros en que se incurra a consecuencia del incidente, el pago de multas o de rescates, entre otros.  Además, ofrecen servicios conexos que resultan de gran utilidad para los asegurados.

Por ejemplo, la póliza puede nombrar a un equipo de primera respuesta conformado por profesionales técnicos y multidisciplinarios, con el objetivo de gestionar el incidente y manejar la crisis que éste genere, asegurar el cumplimiento de la normativa aplicable por el asegurado, defender al asegurado de eventuales reclamos o investigaciones a raíz del incidente, entre otros.

De esta manera, con este tipo de pólizas se traslada la crisis, su gestión y manejo, a empresas especializadas y experimentadas en el control de incidentes y sus consecuencias regulatorias. De tal forma la empresa que sufre el incidente puede abocar sus esfuerzos y recursos a procurar la continuidad de su negocio y la restauración de sus sistemas y softwares, reduciendo significativamente la carga operativa en momentos de crisis y controlando las externalidades que pudiera generar el ciber incidente.


Referencias:

[1] El Proyecto plantea la siguiente definición para Responsable del Tratamiento: “Persona natural, persona jurídica de derecho privado o entidad pública que decide sobre la finalidad y medios del tratamiento de datos personales […]”

[2] Artículo 3 de la Ley 29733.

[3] Exp. 005-2003-AI/TC, Exp. 0047-2005-AI/TC

[4]a) la oferta de bienes o servicios a dichos interesados [titulares de datos] en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.”

[5] Art. 38.4 del Proyecto.