Mediante
Decreto Supremo N° 003-2013-JUS, de fecha 22 de Marzo del 2013, aprueban Reglamento de la Ley N° 29733
– Ley de Protección de Datos Personales, la norma desarrolla la Ley
disponiendo su cumplimiento obligatorio a todas las entidades públicas y
privadas, incluyendo nuevas definiciones y obligaciones ya dispuestas
en la Ley.
Las definiciones que se pueden resaltar son las de datos personales y datos sensibles, en la primera existe un anunciamiento enumerativo de las clases de información que pueden ser consideradas como datos personales, y en caso de la segunda existe una ampliación del ámbito de estas siendo lo más remarcable lo siguiente “características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponde a la esfera más íntima…”.
En caso de los datos sensibles, la Ley exige que el consentimiento de esta sea por escrito, al cual el Reglamento explica que puede ser mediante firma manuscrita sino además firma digital o cualquier otro mecanismo de autenticación.
Consentimiento
La Ley exige que el consentimiento para tratar un dato personal este debe ser previo, expreso, e inequívoco, a lo cual el reglamento ha añadido una nueva condición el de ser libre.Cada condición ha sido desarrollada para comprender como se debe entender es cumplida.
Políticas de privacidad
Luego, de la aprobación de la Ley de Protección de Dato Personales muchas entidades publicaron Políticas de privacidad o de protección de datos personales en sus portales web como forma de solicitar consentimiento implícito o expreso del consentimiento del usuario o visitante del portal, a lo cual el Reglamento define que la publicación de estas políticas no será entendida como forma de solicitar u otorgar consentimiento expreso, solo como cumplimiento del deber de información a los titulares de los datos sobre el tratamiento de su información personal. Los obligados, entidades públicas e instituciones privadas, tendrán la carga de la prueba para probar el cumplimiento de las obligaciones de la Ley y su reglamento.
Transferencia internacional de datos
Este podrá ser desarrollado con el consentimiento del titular del dato o contemplado las excepciones de consentimiento expresadas en el artículo 14° de la Ley de Protección de Datos. Los exportadores podrán solicitar opinión favorable a la Autoridad.
Niños y adolescentes
Se permite el tratamiento de los datos de los mayores de 14 años y menores de 18 años con su consentimiento, salvo que la ley disponga lo contrario. Pero en ningún caso, cuando sea para otorgamiento de bienes o servicios restringidos para mayores de edad.
Registro de bancos de datos
Los bancos de datos personales deberán ser inscritos en el Registro Nacional de Protección de Datos Personales, registro que será de carácter público.En el Registro Nacional también se inscribirán los códigos de conducta, las sanciones, medidas cautelares o coercitivas impuestas por la Autoridad y comunicaciones del flujo transfronterizo de los datos.
Procedimiento Sancionador
El Director de las Sanciones de la Autoridad instruye y resuelve en primera instancia y el Director General de Protección de Datos Personales resolverá en segunda y última instancia el procedimiento sancionador.Este procedimiento será promovido siempre de oficio, que puede obedecer a una denuncia de parte o por decisión motivada del Director de la Autoridad.
Vigencia y adecuación
El Reglamento entrará en vigencia en el plazo de 30 días hábiles contados a partir del día siguiente de su publicación. Los bancos de datos personales deberán ser adecuados a las exigencias de la Ley y su reglamento en un plazo de dos años desde la entrada en vigencia del Reglamento, hasta el cumplimiento de ese plazo la facultad sancionadora de la Autoridad quedará suspendida.
Políticas del Estado
Dadas las continuas observaciones por parte de otras entidades del estado por posibles contingencias que podría observarse en el texto del Reglamento de la Ley, motivo por el cual hasta fue observado por la Presidencia del Consejo de Ministros, el Reglamento anuncia ciertas consideraciones respecto a políticas transcendentales del Estado Peruano. Así expresa en artículo 11 del Reglamento que este no afectará a la interoperabilidad del Estado, en la Primera Disposición complementaria Final su colaboración con la Oficina de Gobierno Electrónico para ello, además que las competencias de la Autoridad de Protección de Datos son ejercidas en concordancia con las políticas de competitividad del país, y por último se fija coordinación con el Ministerio de Desarrollo e Inclusión social para las concordancias del cumplimiento de la Ley en casos de Programas sociales y el Sistema de Focalización de Hogares.
Las definiciones que se pueden resaltar son las de datos personales y datos sensibles, en la primera existe un anunciamiento enumerativo de las clases de información que pueden ser consideradas como datos personales, y en caso de la segunda existe una ampliación del ámbito de estas siendo lo más remarcable lo siguiente “características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponde a la esfera más íntima…”.
En caso de los datos sensibles, la Ley exige que el consentimiento de esta sea por escrito, al cual el Reglamento explica que puede ser mediante firma manuscrita sino además firma digital o cualquier otro mecanismo de autenticación.
Consentimiento
La Ley exige que el consentimiento para tratar un dato personal este debe ser previo, expreso, e inequívoco, a lo cual el reglamento ha añadido una nueva condición el de ser libre.Cada condición ha sido desarrollada para comprender como se debe entender es cumplida.
Políticas de privacidad
Luego, de la aprobación de la Ley de Protección de Dato Personales muchas entidades publicaron Políticas de privacidad o de protección de datos personales en sus portales web como forma de solicitar consentimiento implícito o expreso del consentimiento del usuario o visitante del portal, a lo cual el Reglamento define que la publicación de estas políticas no será entendida como forma de solicitar u otorgar consentimiento expreso, solo como cumplimiento del deber de información a los titulares de los datos sobre el tratamiento de su información personal. Los obligados, entidades públicas e instituciones privadas, tendrán la carga de la prueba para probar el cumplimiento de las obligaciones de la Ley y su reglamento.
Transferencia internacional de datos
Este podrá ser desarrollado con el consentimiento del titular del dato o contemplado las excepciones de consentimiento expresadas en el artículo 14° de la Ley de Protección de Datos. Los exportadores podrán solicitar opinión favorable a la Autoridad.
Niños y adolescentes
Se permite el tratamiento de los datos de los mayores de 14 años y menores de 18 años con su consentimiento, salvo que la ley disponga lo contrario. Pero en ningún caso, cuando sea para otorgamiento de bienes o servicios restringidos para mayores de edad.
Registro de bancos de datos
Los bancos de datos personales deberán ser inscritos en el Registro Nacional de Protección de Datos Personales, registro que será de carácter público.En el Registro Nacional también se inscribirán los códigos de conducta, las sanciones, medidas cautelares o coercitivas impuestas por la Autoridad y comunicaciones del flujo transfronterizo de los datos.
Procedimiento Sancionador
El Director de las Sanciones de la Autoridad instruye y resuelve en primera instancia y el Director General de Protección de Datos Personales resolverá en segunda y última instancia el procedimiento sancionador.Este procedimiento será promovido siempre de oficio, que puede obedecer a una denuncia de parte o por decisión motivada del Director de la Autoridad.
Vigencia y adecuación
El Reglamento entrará en vigencia en el plazo de 30 días hábiles contados a partir del día siguiente de su publicación. Los bancos de datos personales deberán ser adecuados a las exigencias de la Ley y su reglamento en un plazo de dos años desde la entrada en vigencia del Reglamento, hasta el cumplimiento de ese plazo la facultad sancionadora de la Autoridad quedará suspendida.
Políticas del Estado
Dadas las continuas observaciones por parte de otras entidades del estado por posibles contingencias que podría observarse en el texto del Reglamento de la Ley, motivo por el cual hasta fue observado por la Presidencia del Consejo de Ministros, el Reglamento anuncia ciertas consideraciones respecto a políticas transcendentales del Estado Peruano. Así expresa en artículo 11 del Reglamento que este no afectará a la interoperabilidad del Estado, en la Primera Disposición complementaria Final su colaboración con la Oficina de Gobierno Electrónico para ello, además que las competencias de la Autoridad de Protección de Datos son ejercidas en concordancia con las políticas de competitividad del país, y por último se fija coordinación con el Ministerio de Desarrollo e Inclusión social para las concordancias del cumplimiento de la Ley en casos de Programas sociales y el Sistema de Focalización de Hogares.