Por María Soledad Gastañeta, asociada Senior del estudio García Sayán , especialista en derecho comercial, contractual, administrativo y regulatorio. Cuenta con experiencia laboral como asistente del área Legal de la Confederación Nacional de Instituciones Empresariales Privadas (CONFIEP) y el Banco de Crédito del Perú. Graduada con honores de la Universidad de Lima (2007), y cuenta con una Maestría en Derecho de Duke University School of Law (Estados Unidos, 2012), habla inglés y es miembro del Colegio de Abogados de Lima.
Protección de Datos Personales: Efectos del COVID en las empresas
El paso al trabajo remoto y las modificaciones en el trabajo presencial generadas por el estado de emergencia producto del Covid-19 ha tenido consecuencias directas en el cumplimiento de la Ley de Protección de Datos Personales y su Reglamento. La normatividad no ha cambiado pero la conducta de las empresas y sus trabajadores sí, por lo que las empresas tienen que adaptar los protocolos de protección de datos personales a esta nueva realidad.
Podría pensarse que dada la difícil coyuntura que estamos atravesando este tema es secundario; sin embargo, en nuestra opinión no es así, no solo porque los datos personales son un derecho protegido por la Constitución, sino porque la Autoridad Nacional de Protección de Datos Personales, puede realizar una fiscalización inopinada que podría concluir con la imposición de multas.
Esta autoridad está facultada para imponer multas bastante altas[1]; y hay que tener en cuenta que uno puede cometer varias infracciones, y que incluso por un mismo acto puedes estar cometiendo varias infracciones:
| Infracción | Multas |
| LEVE | 0,5% UIT hasta 5 UIT
S/ 2,150 – S/ 21,499 |
| GRAVE | 5 UIT hasta 50 UIT
S/ 21,500 – S/ 214,999 |
| MUY GRAVE | 50 UIT hasta 100 UIT
S/ 215,000 – S/ 430,000 |
En tal sentido, a continuación, presentamos un breve análisis de dos escenarios claves en la protección de datos personales en esta coyuntura:
Protocolos sanitarios:
Actualmente, cuando un trabajador o visita ingresa a una empresa le toman la temperatura, le hacen llenar un formulario sobre su estado de salud, hay un registro de enfermedades crónicas, entre otros. Es decir, muchas empresas están recopilando datos de salud, los cuales son datos sensibles, la mayoría antes no lo hacía, por lo que incluso si habían implementado todos las medidas y requerimientos de la Ley de Protección de Datos Personales antes de la emergencia sanitaria, ahora están obligados a actualizarlos para no estar en falta.
Para cumplir con la ley de protección de datos, hay que cumplir con tres rubros principales:
- Registrar los bancos de datos personales. Hay que actualizar los bancos de datos registrados, para precisar que se están recopilando datos sensibles de salud (por ejemplo, los bancos de datos de trabajadores, proveedores y/o clientes), o registrar un nuevo banco de datos.
- Obtener el consentimiento informado. Si bien están exentos de obtener el consentimiento informado, porque se está cumpliendo un mandato legal, necesitan informar los usos que le darán a los datos.
- Tener implementadas y documentadas las medidas de seguridad. Deben asegurarse que tienen implementadas las medidas de seguridad necesarias para proteger los datos sensibles como pueden ser: restringir accesos y privilegios, hacer firmar compromisos de confidencialidad a quienes manejen los datos, contraseñas seguras, archivos con llave, etc.
Trabajo remoto:
Como consecuencia del trabajo remoto los trabajadores se han llevados sus laptops de la oficina a sus casas, o ingresan con sus computadoras personales a las herramientas de la oficina, asimismo, pueden haber sacado archivos y/o documentación de la oficina. Las situaciones anteriores aumentan los riegos de que haya una violación a la confidencialidad, ya que un familiar podría tener acceso a los datos, o también hay mayores riesgos de que terceros accedan de una manera ilegítima a estos.
Es importante que las empresas tomen las medidas tecnológicas apropiadas para asegurar la confidencialidad de la información que manejan sus trabajadores, y también que actualice sus protocolos y procesos, a efectos de que los trabajadores sepan que deben hacer para conservar la confidencialidad de los datos personales.
Por otro lado, las empresas están haciendo webinars o eventos virtuales, han empezado a vender online, entre otros, es decir, están recolectando datos de manera virtual.
Este escenario se basa también en las tres premisas presentadas, pero se debe considerar de la siguiente manera:
- Registrar los bancos de datos personales. Deben identificar estos datos nuevos en que banco se almacenan, y si es un nuevo banco de datos hacer el registro, y si es uno ya inscrito debe revisar si se la información detallada en el formulario se mantiene o hay que actualizarla: tipo de datos que se piden, fines y uso, si hay transferencia nacional o transfronteriza (que es la internacional), donde los propietarios pueden ejercer sus derechos ARCO, entre otros.
- Obtener el consentimiento informado. Se debe recoger el consentimiento informado de los propietarios de los datos. El consentimiento informado que cumpla con los requerimientos de la norma.
- Tener implementadas y documentadas las medidas de seguridad. Deben cumplir con actualizar sus protocolos y medidas de seguridad, para ver que sean suficientes para estas nuevas formas de tratamiento de los datos personales.
En conclusión, si bien la normativa legal sobre protección de datos personales no ha sido modificada, la emergencia sanitaria ha cambiado la conducta de las empresas (ya sea a través del trabajo remoto o de la implementación de protocolos sanitarios), obligándolas a tener que actualizar su sistema de protección de datos personales, para estar en cumplimiento de la norma y evitar la imposición de multas.
Fuente de Imagen: Tytl.com.pe
[1] Hay un límite máximo de multas equivalente al 10% del ingreso brutos anuales. Acá también hay un problema porque el máximo se fija en función a los ingresos del año anterior, que obviamente en estas circunstancias han variado considerablemente.
