Recientemente se publicó el Decreto Supremo N° 016-2024-JUS, que aprueba el nuevo Reglamento de la Ley de Protección de Datos Personales (el “Nuevo Reglamento”), el cual entrará en vigor el 31 de marzo de 2025. Este Nuevo Reglamento contiene disposiciones novedosas sobre la protección de los datos personales en un entorno digital y en un contexto de creciente uso de nuevas tecnologías.
A continuación, presentamos algunas novedades relacionadas con el tratamiento de datos en el entorno digital y mediante el uso de sistemas de inteligencia artificial:
El Nuevo Reglamento incluye como parte de su Objeto y de su Finalidad la protección de los datos personales teniendo en cuenta el uso de plataformas y herramientas conectadas a Internet para el intercambio de información. Esta actualización es especialmente relevante en un contexto donde la economía digital tiene una creciente importancia y los datos personales son usados como activos por muchas empresas.
El incremento de los productos conectados a Internet (IoT) ha aumentado el volumen y valor de los datos porque recolectan información sobre el servicio que prestan y su entorno. El IoT trae múltiples oportunidades para el bienestar de las personas, pero también presenta riesgos. El Nuevo Reglamento es aplicable al tratamiento de los datos personales que pueda recopilar el IoT a fin de que no se afecten los derechos de las personas que lo utilizan y/o que se ven expuestos a esta tecnología.
Nótese que este régimen no regula el tratamiento de los datos no personales recopilados por el IoT, pese a que han adquirido un gran valor para ser usados y reutilizados en el desarrollo de nuevos productos y servicios. En Perú aún no se ha emitido una regulación al respecto, como lo ha hecho, por ejemplo, la Unión Europea con la aprobación del Data Act (2023) que establece un marco legal para fomentar un mercado de datos competitivo, aclarando quién puede usar qué datos y en qué condiciones.
La definición de “datos personales” de la norma anterior ya era amplia e incluía también a la información que hace “identificable” a las personas. La nueva descripción del término ha incluido expresamente algunos datos que calzan en esta categoría, como: (i) los datos de localización, (ii) información sobre las características físicas, sociales, económicas y culturales de una persona, y (iii) identificadores en línea (por ejemplo, nombres de usuario en redes sociales).
El Nuevo Reglamento define el tratamiento automatizado de datos personales de una persona para analizar o predecir su comportamiento, situación o características como “elaboración de perfiles”. Para este tipo de tratamiento, es necesario que sea autorizado expresamente por el titular de los datos. Además, el Nuevo Reglamento otorga el derecho a no ser objeto de decisiones automatizadas sin intervención humana que afecten significativamente a las personas las que podrían llevarse a cabo, por ejemplo, mediante aplicaciones de inteligencia artificial (IA).
El Nuevo Reglamento también regula la evaluación de riesgos previa al tratamiento de datos personales para la elaboración de perfiles como ha sido descrita. De ser el caso, esta obligación deberá ser aplicada de conformidad con las obligaciones de transparencia contenidas en el Proyecto de Reglamento de la Ley de Promoción de IA, publicado por la Presidencia del Consejo de Ministros el 19 de noviembre pasado, y que obliga a informar a las personas acerca del nivel de riesgos de las aplicaciones de IA que se utilicen.
Los motores de búsqueda en Internet se han convertido en un medio de registro de los datos personales, incluso en situaciones en las cuales el titular de los datos no tiene interés en dicho tratamiento. Por ello, el Nuevo Reglamento ha establecido, como parte del derecho de oposición de las personas dentro del entorno digital, la posibilidad de la desindexación, que consiste en el proceso mediante el cual una dirección URL o contenido específico de un sitio web es eliminado o excluido de los resultados de motores de búsqueda. La desindexación puede ser efectuada por el propietario del sitio web o por propio el motor de búsqueda.
El Nuevo Reglamento ha establecido que, como parte el derecho de acceso, el titular del dato puede solicitar la portabilidad de sus datos, es decir, puede requerir a un responsable o titular de bancos de datos que transmita los datos personales sobre sí mismo a otro responsable o titular de banco de datos, bajo determinadas condiciones (por ejemplo, que la transmisión no imponga una carga financiera y técnica excesiva). Estas disposiciones surtirán efectos a partir de los 6 meses de la entrada en vigor del Nuevo Reglamento.
En Perú no se ha establecido un marco legal para la portabilidad de datos no personales que, por ejemplo, puedan recopilar o generar el IoT, los cuales tienen un gran valor para el desarrollo de nuevos productos y servicios.
El Nuevo Reglamento únicamente se ha pronunciado sobre la interoperabilidad de los datos personales entre autoridades públicas. En este punto, se ha establecido que la Secretaría de Gobierno y Transformación Digital resulta competente para determinar la definición, los alcances y el contenido de la interoperabilidad, así como los lineamientos para su aplicación y funcionamiento, respetando el marco legal de protección de datos personales.
Sin embargo, no se ha establecido disposiciones que rijan la interoperabilidad entre privados para el acceso, la transferencia y la utilización de datos personales. Esto resulta relevante para facilitar la portabilidad de los datos. A nivel internacional, esta materia es regulada por el Data Act de la Unión Europea, el cual contiene disposiciones para aumentar la interoperabilidad de los servicios de tratamiento de datos mediante normas armonizadas y especificaciones de interoperabilidad abiertas.
Se han incluido disposiciones para el tratamiento de datos personales de niños, niñas y adolescentes en Internet, a fin de garantizar la protección del interés superior del niño y sus derechos fundamentales. De manera particular, el Nuevo Reglamento ha establecido quién puede otorgar el consentimiento para el tratamiento de sus datos personales (para mayores de 14 años, se debe obtener su consentimiento para el tratamiento de sus datos personales en el marco de la oferta de servicios digitales).
Para mayor información, por favor, contactar a María del Rosario Quiroga (rquiroga@estudiorodrigo.com), Andrea Morelli (amorelli@estudiorodrigo.com), Luis Fernando Roca (lroca@estudiorodrigo.com) y/o Adriana Chavez (achavez@estudiorodrigo.com).