Alineamiento a la Ley de Protección de Datos Personales para MYPE/PYME

Por donde iniciar en el cumplimiento de la Ley 29733, Ley de Protección de Datos Personales ?

Una interrogante que no siempre es respondida de la forma mas apropiada, en estas líneas vamos a proponer una forma de abordar el cumplimiento de la Ley de protección de datos personales (Peruana) desde la perspectiva de la micro y pequeña empresa pero que puede ser de utilidad para cualquier tipo de organización tomando en cuenta que mientras mas compleja es la organización, mayor es el número de factores que deberían tomarse en consideración.

Así pues tenemos un enfoque inicial aplicable a :

  • Personas naturales o jurídicas
  • No incluye el tratamiento de datos sensibles
  • Tratamiento de datos de menos de 100 personas
  • Solo tiene una oficina o local
  • Hasta 5 datos personales de cada persona (nombre, DNI, teléfono, etc. - no mas de 5) 

Estas características corresponden a un conjunto de personas, empresas u organizaciones muy pequeñas y que el tratamiento de datos personales que realizan no tiene alto impacto en los titulares de datos personales (personas), también es bastante probable que este tipo de destinatarios no puedan pagar una consultoría o empresa que les brinde asesoría en protección de datos.

Debemos comprender que la Ley no tiene por finalidad que se tenga que contratar a alguien para la implementación o alineamiento, o que su objeto sean las multas, la Ley busca proteger los datos personales de usos (tratamientos) que puedan ser perjudiciales para su titular (persona dueña del dato personal). 

Podemos encontrar recomendaciones de que hacer en materia de medidas de seguridad en la directiva de seguridad de la Ley (y haremos referencia a esta directiva en items posteriores), en lo que corresponde a tipos de tratamiento básico y simple.

Teniendo lo antes mencionado en consideración,  presentamos 8 pasos para abordar el alineamiento y cumplimiento de esta Ley, los cuales desarrollaremos en adelante.

 

1.- Conociendo que hacemos

Una de las ventajas de las empresas pequeñas es que su propietario tiene participación activa en el negocio, lo cual facilita el elevar el tema a la alta dirección, pero también es necesario que se den un tiempo para poder plasmar en papel cual es el negocio, definir clara y comprensible "Que hacemos", esto nos dara un primer punto de partida para el proceso de alineamiento.

2.- Identifiquemos : Para que utilizamos datos personales?

El segundo paso, toma como base el "Que hacemos" y agrega la pregunta "para que utilizamos los datos personales?" esto nos dará una forma sencilla de conocer lo que la Ley define como la "Finalidad" del tratamiento de datos personales. Es importante comprender la finalidad y tomar en cuenta si los datos personales que pedimos son los necesarios para cumplir esa finalidad (o finalidades si fueran mas de una), tomemos en cuenta que solo deberíamos quedarnos con los datos personales que son estrictamente necesarios (los datos adicionales que no sean necesarios nos pueden llevar a necesitar mayores mecanismos de control y medidas de seguridad que en realidad no son necesarias y eso significa mayores costos y recursos en general). 

3.- Ubiquemos : Donde tenemos datos personales?

Ahora que conocemos para que utilizamos los datos personales y que datos son los que utilizamos (hacemos tratamiento), debemos determinar donde están (puede ser en un archivador, cuaderno, computadora, documento electrónico, etc) y en que lugar lo ubicamos (donde se encuentra lo antes mencionado). Este repositorio o contenedor donde están los datos personales (archivo electrónico, cuaderno, folder, etc) será el banco de datos personales por lo que es necesario poder indicar en que lugar se encuentra (para efectos de fiscalización o  de registro).

4.- Cumpliendo nuestras obligaciones

Las obligaciones están definidas en el artículo 28 de la Ley 29733, Ley de protección de datos personales, en este punto se tiene que pensar como hemos estado trabajando y analizar los cambios para cumplir con (podría haber mas cosas pero lo mínimo sería) :

  • Generar un aviso de "Aquí cumplimos con la ley de Protección de Datos Personales", esto sirve para fines de orientación e información a los visitantes sobre el cumplimiento de la Ley (se puede ver un ejemplo en el Anexo B de la directiva de seguridad).
  • Regularizar el consentimiento para el tratamiento de datos personales
  • Garantizar que los datos personales solo se utilizarán para las finalidades definidas y que tienen el consentimiento
  • Conocer y garantizar los derechos ARCO del titular de los datos personales
  • Eliminarlos cuando ya sean necesarios
  • Proporcionar todo el apoyo a la autoridad de protección de datos personales cuando esta lo requiera (Esto debe tomarse muy en cuenta toda vez que podría generar multas por obstrucción).

NOTA: Para micro y pequeñas empresas esto podría ser lo mas elemental, pero es posible que algunos tratamientos de datos personales requieran entrar en un poco mas de detalle o desarrollar mas detalladamente el cumplimiento de las obligaciones.

5.- Elaborando nuestro documento de seguridad

A pesar de que suena complicado, el documento de seguridad es el punto en el cual obtenemos toda la información sobre lo que tenemos en cuanto a protección de datos personales, en el caso de pequeñas empresas podemos utilizar un cuaderno simple (cuaderno de seguridad), donde vamos a escribir todo lo que nos pide la Ley y el reglamento.

Para mayor detalle de que poner aquí, revisar la directiva de seguridad en lo correspondiente a tipos de tratamiento básico y simple. 

6.- Implementando medidas de seguridad

Las medidas de seguridad deberían ser proporcionales a la finalidad y el tipo de tratamiento, recordemos que lo que se busca es que los datos no puedan ser utilizados para otros fines que puedan generar un perjuicio o daño al titular de los datos personales.

Para mayor detalle de que medidas seleccionar, revisar la directiva de seguridad en lo correspondiente a tipos de tratamiento básico y simple. 

7.- Registrando nuestros bancos de datos personales

En micro y pequeñas empresas, llegar hasta este punto debe ser relativamente simple y ya podemos iniciar el procedimiento de registro de nuestros bancos de datos personales.

porque no registramos los bancos de datos como paso 1? La respuesta es simple cuando descargamos el formulario correspondiente para el registro, hay datos que debemos conocer (tiene documento de seguridad?, cual es la finalidad? que datos personales utilizaran?, etc), información que hemos desarrollado en los items anteriores.

Es importante registrar los bancos de datos personales, toda vez que el no hacerlo es una falta grave y la multa va sobre las 5 UIT (mas de S/. 15 000), para esto es necesario descargar el formulario apropiado de la web de la APDP, hay formularios para personas naturales y personas jurídicas.

La APDP también ha publicado esta guía de como llenar estos formularios.

8.- Cómo verificamos?

Cada medida tomada debe tener una forma de verificar, esto incluye a las personas involucradas, por ejemplo :

  • Si el banco de datos debe estar en una gaveta con llave, verificar periódicamente si la gaveta en verdad esta con llave y si la llave esta donde debe estar
  • Que el personal sabe que hacer y como hacer el tratamiento de los datos personales o el ejercicio de los derechos ARCO
  • Si el banco de datos personales es un documento electrónico, que este tenga contraseña y que esta sea conocida solo por el personal autorizado
  • entre otras medidas de verificación

NOTA: No olvidar que un registro de las verificaciones debe quedar guardado en el cuaderno de seguridad, es decir podemos utilizar una hoja para poner las fechas de las verificaciones y el resultado (satisfactorio o no, o entrar a mayor detalle según lo considere el titular del banco de datos).

Y luego que hacemos?

La protección de datos personales es un compromiso, se debe tomar como una responsabilidad y como tal debería ser revisada en periodos regulares para evaluar si mantiene los niveles esperados o si hay nuevas consideraciones a tomar en cuenta (como nuevas leyes o nuevos enfoques del negocio, nuevas formas de realizar el tratamiento o cambio de personal, etc). 

Comentarios finales

Las recomendaciones de este documento son referenciales y no garantizan un completo cumplimiento de la Ley, pero al seguirlas y tomar conciencia de esto, en cada uno de los pasos sugeridos, el titular del banco de datos ira descubriendo que algunos necesitan mayor profundidad o que las recomendaciones señaladas son suficientes. Curiosamente esta guía del tipo hágalo usted mismo puede ser utilizada también por empresas medianas y grandes, pero por la complejidad de las mismas los aspectos a considerar son mayores.

Este documento pretende ayudar a los titulares de bancos de datos personales pequeños a conocer que el cumplir con la Ley de protección de datos personales no es necesariamente un tema de abogados ni de consultores o consultorías, es un tema de tomar conciencia y actuar con responsabilidad. De la misma forma como para formar una pequeña empresa existen tutoriales y organizaciones que ayudan en ese proceso, GTDI ha desarrollado un programa de apoyo en protección de datos personales con actividades gratuitas y de pago para ayudar también a organizaciones de todo tipo y tamaño en el cumplimiento de esta Ley.

Invitamos al lector a conocer nuestro programa de protección de datos personales , seguirnos en las redes sociales, suscribirse a nuestro boletín o contactarnos a info@gtdi.pe  

Protección de datos personales Gobernanza TI  SGSI - 27001