Fue publicado, en el Diario Oficial El Peruano, el Decreto Supremo N° 016-2024-JUS, mediante el cual se aprueba un nuevo Reglamento de la Ley N° 29733 – Ley de Protección de Datos Personales (en adelante, el “Reglamento”). A través de esta norma, se imponen nuevas obligaciones para los titulares de bancos de datos personales y/o responsables de su tratamiento, tales como:

• Notificar a la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas siguientes de conocimiento de un incidente de seguridad que genere exposición de grandes volúmenes de datos personales o un grave perjuicio a sus titulares. Ello también deberá ser notificado a los titulares afectados en el mismo plazo, salvo el incidente haya sido superado o no se haya producido tal afectación. Asimismo, todo incidente de seguridad que acontezca deberá ser debidamente documentado y guardar registro de ello.
• Designar a un Oficial de Protección de Datos Personales, cuando se realice el tratamiento de grandes volúmenes de datos personales o de datos sensibles, el cual será el encargado de supervisar el cumplimiento de las obligaciones y ser el punto de contacto con la Autoridad. Cuando se traten de grupos empresariales, se podrá designar un solo oficial por grupo.
• Contar con un documento de seguridad, el cual debe ser aprobado formalmente y será de obligatorio cumplimiento para el personal con acceso a los sistemas de información. Debe estar actualizado y contener como mínimo los procedimientos de gestión de accesos, la gestión de privilegios y la verificación periódica de los privilegios asignados referentes a los sistemas de información.

Asimismo, se establecen mecanismos de responsabilidad proactiva, de carácter facultativo, que representan el compromiso del responsable con el cumplimiento de la normativa y podrán ser considerados atenuantes de responsabilidad en un eventual procedimiento administrativo sancionador, tales como:

• La realización de Evaluaciones de Impacto Relativo a la Protección de Datos Personales, especialmente cuando se trate de datos sensibles, datos con fines de crear perfiles personales, datos de personas en especial situación de vulnerabilidad, entre otros.
• La implementación de Códigos de Conducta, en los que se establecen reglas específicas para el cumplimiento de la normativa dentro de la entidad o grupo empresarial, tales como procedimientos que faciliten el ejercicio de derechos, mecanismos de supervisión, cláusulas para la obtención de consentimientos, entre otros.

Por otro lado, el nuevo Reglamento establece novedades como el reconocimiento de la portabilidad como manifestación del derecho de acceso a los datos personales de sus titulares, lo que supone el traslado de los datos a otro responsable o titular de bancos de datos personales, cuando sea solicitado y las posibilidades tecnológicas lo permitan, así como la posibilidad de establecer un primer contacto para obtener el consentimiento expreso del titular para fines de publicidad y prospección comercial (de no obtenerlo, no podrá realizarse un nuevo contacto).

Por último, se establece la gratuidad del registro de bancos de datos personales y la creación de la plataforma “Yo cuido mis datos personales” para la atención ciudadana

La entrada en vigencia del nuevo Reglamento será a los 120 días calendarios siguientes a su publicación en el Diario Oficial. Específicamente, las obligaciones referidas a la designación de un Oficial de Cumplimiento entrarán en vigencia progresivamente en un calendario de 4 años, dependiendo del volumen de ventas de las empresas responsables. En cuanto a lo relativo al derecho de Portabilidad, ello surte efecto a partir de los 6 meses de la entrada en vigencia del Reglamento.

Para mayor información o en caso de cualquier consulta sobre el tema, contáctanos al siguiente correo: innovacion@cpb-abogados.com.pe