by Juan Manuel González | Dic 16, 2024 | Noticias
Fue publicado, en el Diario Oficial El Peruano, el Decreto Supremo N° 016-2024-JUS, mediante el cual se aprueba un nuevo Reglamento de la Ley N° 29733 – Ley de Protección de Datos Personales (en adelante, el “Reglamento”). A través de esta norma, se imponen nuevas obligaciones para los titulares de bancos de datos personales y/o responsables de su tratamiento, tales como:
- Notificar a la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas siguientes de conocimiento de un incidente de seguridad que genere exposición de grandes volúmenes de datos personales o un grave perjuicio a sus titulares. Ello también deberá ser notificado a los titulares afectados en el mismo plazo, salvo el incidente haya sido superado o no se haya producido tal afectación. Asimismo, todo incidente de seguridad que acontezca deberá ser debidamente documentado y guardar registro de ello.
- Designar a un Oficial de Protección de Datos Personales, cuando se realice el tratamiento de grandes volúmenes de datos personales o de datos sensibles, el cual será el encargado de supervisar el cumplimiento de las obligaciones y ser el punto de contacto con la Autoridad. Cuando se traten de grupos empresariales, se podrá designar un solo oficial por grupo.
- Contar con un documento de seguridad, el cual debe ser aprobado formalmente y será de obligatorio cumplimiento para el personal con acceso a los sistemas de información. Debe estar actualizado y contener como mínimo los procedimientos de gestión de accesos, la gestión de privilegios y la verificación periódica de los privilegios asignados referentes a los sistemas de información.
Asimismo, se establecen mecanismos de responsabilidad proactiva, de carácter facultativo, que representan el compromiso del responsable con el cumplimiento de la normativa y podrán ser considerados atenuantes de responsabilidad en un eventual procedimiento administrativo sancionador, tales como:
- La realización de Evaluaciones de Impacto Relativo a la Protección de Datos Personales, especialmente cuando se trate de datos sensibles, datos con fines de crear perfiles personales, datos de personas en especial situación de vulnerabilidad, entre otros.
- La implementación de Códigos de Conducta, en los que se establecen reglas específicas para el cumplimiento de la normativa dentro de la entidad o grupo empresarial, tales como procedimientos que faciliten el ejercicio de derechos, mecanismos de supervisión, cláusulas para la obtención de consentimientos, entre otros.
Por otro lado, el nuevo Reglamento establece novedades como el reconocimiento de la portabilidad como manifestación del derecho de acceso a los datos personales de sus titulares, lo que supone el traslado de los datos a otro responsable o titular de bancos de datos personales, cuando sea solicitado y las posibilidades tecnológicas lo permitan, así como la posibilidad de establecer un primer contacto para obtener el consentimiento expreso del titular para fines de publicidad y prospección comercial (de no obtenerlo, no podrá realizarse un nuevo contacto).
Por último, se establece la gratuidad del registro de bancos de datos personales y la creación de la plataforma “Yo cuido mis datos personales” para la atención ciudadana
La entrada en vigencia del nuevo Reglamento será a los 120 días calendarios siguientes a su publicación en el Diario Oficial. Específicamente, las obligaciones referidas a la designación de un Oficial de Cumplimiento entrarán en vigencia progresivamente en un calendario de 4 años, dependiendo del volumen de ventas de las empresas responsables. En cuanto a lo relativo al derecho de Portabilidad, ello surte efecto a partir de los 6 meses de la entrada en vigencia del Reglamento.
Para mayor información o en caso de cualquier consulta sobre el tema, contáctanos al siguiente correo: innovacion@cpb-abogados.com.pe
by Juan Manuel González | Sep 19, 2024 | Noticias
En la actualidad, nuestros datos personales son un activo valioso que circula constantemente en la red y dejamos una huella digital que puede ser utilizada de diversas maneras. Ante este panorama, la Ley 1581 surge como un faro de protección, estableciendo un marco legal sólido para garantizar nuestra privacidad en el mundo digital.
Esta normativa colombiana reconoce y protege el derecho fundamental de todas las personas a conocer, actualizar y rectificar la información que se ha recopilado sobre ellas. Al mismo tiempo, establece límites claros a la recolección, uso y divulgación de datos personales, evitando así prácticas abusivas como la discriminación y el uso indebido de nuestra información.
Para las empresas, la Ley 1581 representa una oportunidad para construir relaciones de confianza con sus clientes. Al cumplir con esta legislación, las organizaciones demuestran su compromiso con la transparencia y la protección de los datos, lo que a su vez fortalece su reputación y lealtad de marca.
Para mayo información, contactar a:
Oscar Tutasaura | Socio Posse Herrera Ruiz | oscar.tutasaura@phrlegal.com
by Juan Manuel González | Ene 29, 2024 | Noticias, Opinión
La inminente evolución tecnológica nos lleva a reconocer la importancia de una regulación robusta que aborde los retos planteados por la inteligencia artificial (IA). A nivel internacional, ejemplos como “The Artificial Intelligence Act” de la Unión Europea y la Orden Ejecutiva en Estados Unidos evidencian la necesidad de una legislación que establezca los lineamientos y supervise el desarrollo de esta potente tecnología.
En Latinoamérica, y particularmente en Chile, nos enfrentamos al desafío de avanzar en la normativa, aprendiendo de experiencias comparadas para evitar errores. Sin embargo, nos encontramos con obstáculos significativos, especialmente debido a que el Proyecto de Ley Sobre Protección de los Datos Personales aún espera su aprobación. Esta situación dificulta la discusión legislativa sobre temas más complejos, como la regulación de sistemas de IA, la cual ya fue aprobada en general y avanzó a su discusión particular.
Es esencial reconocer que la falta de una ley actualizada sobre la protección de datos personales, combinada con la poca experiencia en la implementación de prácticas para reducir riesgos o realizar evaluaciones de impacto, representa un desafío importante para avanzar de manera responsable en la regulación de asuntos tan relevantes como este. En ese sentido, la actualización de la Ley Sobre Protección de los Datos Personales se presenta como el pilar fundamental para progresar en cualquier marco normativo relacionado con la tecnología.
Entendemos que la inteligencia artificial utiliza datos de diversos tipos, incluyendo aquellos de carácter personal, los cuales deben ser usados y resguardados de manera apropiada. Así también, no podemos pasar por alto cómo las decisiones adoptadas por estos sistemas impactan directamente en los derechos de las personas. Un ejemplo ilustrativo sería la selección de individuos para listas de espera en el sector salud o la asignación de becas educacionales. En ambos casos, ante la ausencia de una legislación actualizada y careciendo de experiencia práctica en el uso responsable de este tipo de datos, el riesgo de abusos y discriminación por parte de sistemas de inteligencia artificial es significativo.
Este domingo 28 de enero fue el Día Internacional de la Protección de Datos, un momento ideal para mirar con optimismo hacia adelante, anticipando que la comisión mixta pueda llegar a acuerdos en marzo sobre los temas en los que las cámaras aún no han logrado consenso. Este avance marcará la conclusión del proceso legislativo y abrirá un nuevo capítulo en la regulación tecnológica de Chile.
Por Constanza Pasarin y Trinidad Moreno, asociadas del grupo de compliance de Albagli Zaliasnik (az).
Fuente: Diario Financiero
by Juan Manuel González | Jun 27, 2023 | Noticias
En la era digital, la protección de datos personales se ha convertido en un tema de creciente importancia en todo el mundo. Uruguay no es una excepción, ya que el país ha establecido un marco legal sólido para garantizar la privacidad y seguridad de la información personal, que comprende a personas físicas y también a personas jurídicas o de existencia ideal. A través de leyes y regulaciones, el Estado ha demostrado su compromiso con la protección de los derechos individuales en el entorno digital.
La Ley de Protección de Datos Personales
La Ley N° 18.331 sobre Protección de Datos Personales y Acción de Habeas Data, promulgada en 2008, y su normativa complementaria, es el principal instrumento legal para la protección de información. Esta ley establece los principios y las obligaciones para el tratamiento de datos personales, tanto por parte del sector público como del sector privado. Además, creó la Unidad Reguladora y de Control de Datos Personales (URCDP) como autoridad encargada de supervisar y hacer cumplir la legislación.
Principios fundamentales de la ley
La ley uruguaya se basa en varios principios fundamentales. Entre ellos se incluyen:
- Consentimiento informado: El tratamiento de datos personales requiere el consentimiento informado, inequívoco y expreso del titular de los datos, a menos que exista una excepción legal.
- Finalidad específica: Los datos personales solo pueden ser recopilados y utilizados para una finalidad específica y legítima, previamente informada al titular de los datos.
- Seguridad: Se deben implementar medidas técnicas y organizativas adecuadas para proteger los datos personales y evitar su acceso no autorizado, pérdida o alteración.
- Responsabilidad proactiva: Los responsables y encargados de tratamiento deben adoptar las medidas tendientes a cumplir con la normativa, entre ellas, privacidad desde el diseño y por defecto, y realizar evaluaciones de impacto a la privacidad.
También reconoce y protege los derechos de los titulares de los datos personales. Estos derechos incluyen el acceso a la información recopilada, la rectificación y actualización de los datos inexactos, la inclusión de datos cuando se tenga un interés fundado, y la supresión de los datos cuando ya no sean necesarios.
Retos y desafíos
Aunque Uruguay ha establecido un marco legal sólido para la protección de datos personales, ya que por ejemplo las últimas modificaciones a la normativa datan de enero de 2023, todavía existen desafíos en este ámbito. El avance tecnológico constante y la creciente digitalización plantean nuevos retos en cuanto a la protección de la privacidad. Además, es necesario fomentar la conciencia y educación de la ciudadanía sobre sus derechos y las mejores prácticas para proteger sus datos en el entorno digital.
“En Uruguay la protección de datos sigue teniendo enorme presencia, en negocios nacionales e internacionales. Uruguay cuenta desde 2012 con la nota de adecuación de la Comisión Europea lo que representa un diferencial al momento de recibir inversiones, y ha motivado una revisión continua de legislación para continuar adecuándola a las principales tendencias y estándares internacionales. Además de oportunidades, lo anterior también representa desafíos para las empresas que necesitan de una revisión continua de sus prácticas de manejo de datos personales en un contexto cada vez más demandante a partir de la adopción interna de soluciones de analítica, big data e inteligencia artificial.” señalan Martín Ferrere y Cecilia Alberti, socio y asociada senior de FERRERE Uruguay.
El compliance en la protección de datos personales es de vital importancia porque el cumplimiento de la normativa contribuye a proteger los derechos de las personas, fortalecer la confianza del cliente, y mejorar la competitividad en el mercado mitigando riesgos.
Las empresas y organizaciones que tienen una cultura de cumplimiento no sólo evitan sanciones y consecuencias reputacionales, sino que también pueden obtener ventajas competitivas, lo que redunda en mejores oportunidades de negocios.
Para mayor información contactar a:
Carla Arellano | Consejera Ferrere | carellano@ferrere.com
Martín Pesce | Socio Ferrere | mpesce@ferrere.com
Cecilia Alberti | Socio Ferrere | calberti@ferrere.com
by Juan Manuel González | Nov 17, 2022 | Noticias
El 5 de octubre de 2022 entró en vigencia la Resolución SDCU Nº 1502/2022 (la “Resolución”) a través de la cual la Secretaría de Defensa del Consumidor y el Usuario (“SEDECO”) reglamenta los artículos 6, 9 y 20 de la Ley 6.534/20 “De Protección de Datos Personales Crediticios” (la “Ley de Protección de Datos”), aprueba el “Procedimiento para la tramitación de denuncias de consumidores y usuarios finales” y crea un “Registro Nacional de Denuncias, Inspecciones y de Infractores”.
A continuación, un breve resumen de las nuevas disposiciones:
1. Consentimiento informado
La Resolución establece que el consentimiento informado otorgado por el consumidor final a un proveedor, en los términos del artículo 6 de la Ley de Protección de Datos, sólo es aplicable al proveedor que lo obtuvo de manera directa.
Tampoco podría entenderse otorgado de forma implícita a otros proveedores, quienes no formaron parte de la autorización directa.
2. Derecho al olvido de datos crediticios
La Resolución establece que el plazo máximo de 5 (cinco) años para la conservación de datos personales crediticios, establecido en la Ley de Protección de Datos, debe computarse desde la fecha de incumplimiento de la obligación, salvo las excepciones previstas en la norma legal.
3. Denuncias por incumplimientos de la Ley de Protección de Datos
La SEDECO, como autoridad de control podrá iniciar las investigaciones de presuntas infracciones a partir de denuncias recibidas o, de oficio.
A efectos de recibir las denuncias, la SEDECO habilitará en su página web oficial un módulo específico para denuncias relacionadas con incumplimientos de la Ley de Protección de Datos, donde los consumidores y usuarios podrán interponer sus denuncias, indicando datos como: (i) Nombre y apellido; (ii) Tipo y número de documento; (iii) Identificación y RUC del proveedor; (iv) Domicilio del proveedor; (v) Breve relato de la denuncia; (vi) Solución esperada – petitorio; (vii) Documentación probatoria.
La Resolución aprueba el procedimiento para la tramitación de denuncias en el marco de la Ley de Protección de Datos.
4. Registro nacional de denuncias, inspecciones y de infractores
La Resolución establece la creación de los siguientes registros:
- Registro Nacional de Denuncias;
- Registro Nacional de Inspecciones; y,
- Registro Nacional de Infractores.
Estos registros son creados con fines estadísticos y, a efectos de verificar casos de reincidencia.
Para mayor información contactar a:
Carla Arellano | Consejera Ferrere | carellano@ferrere.com