Alerta Privacidad y Protección de Datos – Diciembre 2024

Nuevo Reglamento de la Ley de Protección de Datos Personales

El 30 de noviembre de 2024 se publicó el Decreto Supremo N° 016-2024-JUS, que aprueba el nuevo Reglamento de la Ley de Protección de Datos Personales, Ley N° 29733.

El nuevo Reglamento entrará en vigencia a los 120 días calendario siguientes a su publicación, es decir, el 31 de marzo de 2025, fecha en la cual reemplazará al reglamento que fue aprobado mediante Decreto Supremo N° 003-2013-JUS.

Este nuevo Reglamento establece disposiciones novedosas respecto al reglamento actual, tales como las siguientes:

  • El nuevo Reglamento amplía su ámbito de aplicación en los casos en los que el titular del banco de datos no se encuentre establecido en el Perú, pero utilice medios situados en territorio peruano. En tal sentido, será aplicable en los siguientes supuestos:
    • Cuando el titular del banco de datos personales no se encuentre establecido en territorio peruano, pero realice actividades relacionadas a la oferta de bienes o servicios dirigidos a titulares de datos personales ubicados en el país.
    • Cuando el titular del banco de datos personales no se encuentre establecido en territorio peruano, pero realice actividades orientadas al análisis de comportamiento de los titulares de datos personales ubicados en el país, así como a la elaboración de perfiles.
  • La designación del representante por parte de los titulares de bancos de datos que no estén establecidos en territorio peruano (que debe servir como punto de contacto ante la Autoridad Nacional de Protección de Datos Personales) debe ser informada públicamente o comunicada a la Autoridad.
  • Se reconocen los siguientes principios aplicables al tratamiento de datos personales:
    • Principio de transparencia: El tratamiento de datos personales debe ser informado de manera permanente, clara, fácil de entender y accesible al titular de los datos personales.
    • Principio de responsabilidad proactiva: En el tratamiento de datos personales se deben aplicar las medidas legales, técnicas y organizativas a fin de garantizar el cumplimiento de la normativa de datos personales.
  • Se amplía el deber de informar a los titulares de los datos personales sobre los aspectos del tratamiento realizado. En ese sentido, el titular de los datos personales también deberá ser informado acerca de la existencia de decisiones automatizadas, incluida la elaboración de perfiles, y las consecuencias de ello.
  • A efectos de que los titulares de bancos de datos cumplan con los requisitos para realizar flujo transfronterizo de datos personales, la Autoridad Nacional de Protección de Datos Personales podrá emitir resolución para determinar si un país cuenta con una protección equiparable a lo dispuesto en la legislación peruana.
  • En el caso de tratamiento de datos personales para fines de publicidad y prospección comercial de productos y servicios, será posible obtener el consentimiento para el tratamiento de datos personales mediante un primer contacto.
  • Se incorpora la obligación de notificar a la Autoridad Nacional de Protección de Datos Personales determinados incidentes de seguridad dentro de las 48 horas posteriores de haber tomado conocimiento de ello. Tal notificación deberá realizarse cuando los incidentes sean de determinada magnitud.
  • Se incorpora la obligación de designar a un Oficial de Datos Personales, quien estará a cargo de informar y asesorar respecto a las obligaciones en materia de protección de datos personales, cuando el titular del banco de datos realice determinados tipos de tratamiento.
  • Se incorpora la facultad del titular del banco de datos de realizar una evaluación de impacto relativa a la protección de los datos personales, especialmente cuando se trate de ciertos tipos de tratamiento. Tal evaluación podrá realizarse tomando como referencia ciertos estándares ISO.
  • Se incluyen reglas específicas para los siguientes tipos de tratamiento de datos personales:
    • Tratamientos de grandes volúmenes de datos personales, en cantidad o tipo de datos.
    • Tratamientos que puedan afectar a un gran número de personas.
    • Tratamientos de datos sensibles.
    • Tratamientos que produzcan un perjuicio evidente a otros derechos o libertades del titular de los datos personales.
  • Se reconoce el derecho a la portabilidad de datos personales como manifestación del derecho de acceso. Este nuevo derecho permitirá al titular de los datos personales transmitir sus datos de un titular de banco de datos a otro, en un formato estructurado, en determinados supuestos.

Para mayor información, por favor, contactar a José Govea (jgovea@estudiorodrigo.com), Francisco Baldeón (fbaldeon@estudiorodrigo.com) y/o Ramón Vidurrizaga (rvidurrizaga@estudiorodrigo.com).