Alcances sobre protección de datos personales

En Perú, la Ley 29733 - Ley de protección de datos personales brinda un marco legal para la protección de este derecho.

A través de sus 8 principios rectores esta Ley proporciona un marco de referencia equilibrado, esto se desarrolla en los posteriores artículos de la Ley así como en su reglamento, pero para comprender la importancia de esta Ley es necesario conocer algunos aspectos adicionales sobre protección de datos personales y privacidad.

1.- Es una preocupación global .- La privacidad y la protección de datos personales tienen bastante tiempo entre nosotros, siendo temas abordados no solo en legislaciones nacionales sino por organizaciones transnacionales entre las que podemos citar (pero no limitar a) APEC, World Economic Forum (WEF), OECD, ISO, IEC, Naciones Unidas (The Right to Privacy in the Digital Age), entre otros.

Cabe señalar que no es necesario una Ley específica para abordar la privacidad o la protección de datos personales toda vez que corresponde a un derecho humano. 

2.- Tiene un impacto positivo en los negócios .- Las empresas de todo tamaño o rubro empiezan a comprender que el respeto a la privacidad y la protección de datos personales incrementa la confianza de sus usuarios, clientes, colaboradores o los intersados (stakeholders), lo cual se convierte en un valor diferencial a nivel de imagen y reputación en el mercado, asi como en cumplimiento de las diversas legislaciones aplicables (las empresas globales o las que pretendan ser globales deben tomar en cuenta estos aspectos a fin de cumplir con las legislaciones de los mercados en los que decidan participar).

Cabe señalar que esto no es algo que se pueda delegar, implementar, alinear o comprar, la protección de datos personales y la privacidad debería convertirse en parte del desarrollo de los procesos organizacionales, integrandose a la organización y orientando las actividades y desiciones con criterios de respeto a la privacidad (y protección de datos personales), una práctica ampliamente aceptada es la designacion de un oficial de privacidad (Privacy Officer)  como ejecutivo de alto nivel encargado por velar que tanto los procesos, actividades, documentos, políticas y demas aspectos de la organización sean coherentes con los requisitos del derecho a la privacidad o la protección de datos personales, tomando en cuenta la legislación nacional aplicable (especialmente si se tienen operaciones en múltiples paises). Un enfoque de compromiso a la protección de datos personales puede ayudar a cumplir casi cualquier ley sobre la materia (adecuando algunos requisitos específicos en las leyes y regulaciones pero con evidencias de cumplimiento).

3.- Existen estándares ISO relacionados .- La organización internacional de estandarización (ISO) comprende un consenso aceptado entre mas de 160 paises al rededor del mundo y su trabajo esta orientado principalmente por las necesidades del mercado global (Industria), necesidad abordada en una norma que oriente y homologue una serie de características sobre privacidad y generando una norma específica como framwork para ello (ISO/IEC 29100) que ha servido de base para un desarrollo posterior de normas muy especificas como ISO/IEC 27018.

Cabe señalar que antes de la publicación de la ISO/IEC 29100, existian otras normas que abordaban aspectos de privacidad sobre ambitos específicos, con la ISO/IEC 29100 se tiene un enfoque neutral y su aplicabilidad es mayor.

4.- El principal beneficiado es la persona .- Todo el desarrollo global puede muchas veces ser mal comprendido por algunos sectores, llevando el objeto de la privacidad a un cumplimiento normativo (cumplimiento de una ley específica) y desarrollando mecanismos e instrumentos para "cumplir" con lo que asumen deben hacer para cuplir con la ley en la materia, sin embargo muchas de las practicas empresariales y actividades pueden ser utilizadas para demostrar con lo que esta redactado en el texto de una ley, pero que puede afectar negativamente al titular de los datos personales (persona que brinda sus datos personales para tratamiento), en este caso no basta solo demostrar que existen los mecanismos necesarios (politicas, procedimientos, avisos, etc) sino demostrar que cumplen el objetivo para el cual han sido incluidos en la ley ( en la Ley 29733, Ley peruana de protección de datos personales se debería tener espacial enfasis en la valoración del cumplimientos de los principios rectores de la Ley ).

5.- Esta relacionado con aspectos técnicos .- El uso de tecnologías de la información se ha masificado en los últimos años, desde el acceso a internet y realizar multiples actividades en el ciberespacio, la automatización de procesos de negocio en las empresas, el acceso a servicios públicos por medios virtuales o simplemente la interrelación entre personas por medio de las redes sociales son ejemplos del alto flujo de intercambio de información, esto ha llevado a desarrollar conceptos como la ciberseguridad (seguridad en el ciberespacio - ISO/IEC 27032) donde se aborda el tema de privacidad como una de las caracteristicas a tomar en cuenta específicamente desde el lado del usuario y que supone la medida de protección ante amenazas como el robo de identidad, seguimientos, acoso, bulling o salir de los ambitos del ciberespacio como la realización de robos, extorsiones y otros delitos en el mundo real.

Las empresas o entidades públicas brindan servicios en internet o utilizan tecnologías de la información de forma privada para el desarrollo de sus múltiples actividades, independienmente de cual sea el caso, la información procesada por estas organizaciones tiene la característica de ser muy facilmente gestionada (por medios tecnológicos) y es claro que los datos pesonales son información tambien, por lo cual de no tener los mecanismos apropiados para proteger los datos personales estos pueden ser utilizados para fines que afecten los derechos del titular (persona que proporciona sus datos personales para algo).

Es asi como organizacionalemnte se requieren políticas, directivas, procedimientos u otros instrumentos que organicen y dirijan las actividades de la organización, pero estas son operativamente incluidas en las diversas plataformas y herramientas utilizadas para la realización de los objetivos del negócio, es asi que los documentos de gestión o los mecanismos legales no tienen contacto directo con los datos personales (sino que sirven como marco de referencia), siendo las diversas plataformas técnicas de automatización las que sirven para registrar, procesar, transferir o eliminar los datos personales (cuando los datos personales corresponden a bancos de datos automatizados), por lo cual los mecanismos técnicos de seguridad requieren la mayor atención no solo por ser utilizados para el tratamiento de los datos personales sino porque deben estar alineados con los instrumentos de gestión (tanto administrativos, organizacionales o jurídicos) que rijan a la organización o empresa (pública o privada).

La presentación de estos 5 aspectos pretenden que se pueda comprender que la privacidad y la protección de datos personales no es un aspecto que surge de una Ley o solo de su cumplimiento, el enfoque que se debería considerar es el de un real compormiso de modo que los esfuerzos que se realicen sean los apropiados y redunden en beneficios para la organzación.

La adecuación a la Ley de protección de datos personales en Perú debería contemplar un enfoque amplio y organizacional, tomando en cuenta que la adecuación debe ser en base a la Ley 29733 y su reglamento, para esto puede utilizarse la directiva de seguridad (a la cual nos referiremos en otro post) como una guía en cuanto a la implementación de medidas de seguridad, pero que no es normativa (es decir no es de obligatorio cumplimiento), toda vez que la Ley y su reglamento pueden cumplirse con las recomendaciones de la directiva de seguridad o con otros medidas que sean igualmente efectivas o superiores.

-------

Si estas intersado en nuestros contenidos, puedes seguirnos en las redes sociales para ser notificado de nuevas publicaciones asi como de nuestros eventos:

Facebook : @gtdi.pe

Twitter : @gtdipe

Linkedin : GTDI