Por Francisco Baldeón, publicado en el diario Gestión el día jueves 26 de marzo del 2015.

El 8 de mayo vence el plazo para adecuarse a la Ley de Protección de Datos Personales , por la cual una empresa está obligada a inscribir ante el registro correspondiente los ‘bancos’ de los que sea titular que contengan datos relativos a personas naturales; a aplicar medidas de seguridad en la administración de esos bancos; a obtener el consentimiento de las personas para continuar con el tratamiento de sus datos y a implementar los principios de la ley. Su incumplimiento puede acarrear multas hasta por 100 UIT.

La ley presenta ciertos defectos que, por traer sobrecostos a las empresas, podrían ser mejorados en el tiempo. Su concepto mismo de datos personales es demasiado amplio y abarca incluso datos que no se relacionan con la intimidad personal. Asimismo, parece aplicar también a bancos de datos referidos a personas jurídicas cuando contengan datos de personas naturales (por ejemplo, los datos de una persona natural de contacto dentro de una persona jurídica).

Por otro lado, si bien la ley establece que el consentimiento por escrito para el tratamiento de datos personales solo deberá ser otorgado en ciertos casos, la empresa siempre tiene la carga de la prueba al respecto. Con ello, en la práctica, la empresa está incentivada a solicitar el consentimiento por escrito y a almacenar indefinidamente numerosa documentación que le permita demostrar que este existe.

Asimismo, las empresas no están autorizadas a recopilar ni a almacenar datos relativos a la comisión de delitos o de infracciones administrativas de personas naturales. Ello podría representar una desventaja para las empresas que necesitan conocer los antecedentes de las personas con quienes contratan.

Finalmente, la ley establece la obligación de las empresas de instalar abundantes medidas de seguridad para los bancos de datos personales (por ejemplo, controles de acceso, registros de trazabilidad, seguridad física de las instalaciones, procedimientos de recuperación, requisitos para la transferencia y generación de copias, entre otros). En algunos casos, tales medidas podrían resultar excesivas considerando el volumen del banco de datos.

Para mayor información: enlace