16-12-2024 | CPB, Noticias
Fue publicado, en el Diario Oficial El Peruano, el Decreto Supremo N° 016-2024-JUS, mediante el cual se aprueba un nuevo Reglamento de la Ley N° 29733 – Ley de Protección de Datos Personales (en adelante, el “Reglamento”). A través de esta norma, se imponen nuevas obligaciones para los titulares de bancos de datos personales y/o responsables de su tratamiento, tales como:
- Notificar a la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas siguientes de conocimiento de un incidente de seguridad que genere exposición de grandes volúmenes de datos personales o un grave perjuicio a sus titulares. Ello también deberá ser notificado a los titulares afectados en el mismo plazo, salvo el incidente haya sido superado o no se haya producido tal afectación. Asimismo, todo incidente de seguridad que acontezca deberá ser debidamente documentado y guardar registro de ello.
- Designar a un Oficial de Protección de Datos Personales, cuando se realice el tratamiento de grandes volúmenes de datos personales o de datos sensibles, el cual será el encargado de supervisar el cumplimiento de las obligaciones y ser el punto de contacto con la Autoridad. Cuando se traten de grupos empresariales, se podrá designar un solo oficial por grupo.
- Contar con un documento de seguridad, el cual debe ser aprobado formalmente y será de obligatorio cumplimiento para el personal con acceso a los sistemas de información. Debe estar actualizado y contener como mínimo los procedimientos de gestión de accesos, la gestión de privilegios y la verificación periódica de los privilegios asignados referentes a los sistemas de información.
Asimismo, se establecen mecanismos de responsabilidad proactiva, de carácter facultativo, que representan el compromiso del responsable con el cumplimiento de la normativa y podrán ser considerados atenuantes de responsabilidad en un eventual procedimiento administrativo sancionador, tales como:
- La realización de Evaluaciones de Impacto Relativo a la Protección de Datos Personales, especialmente cuando se trate de datos sensibles, datos con fines de crear perfiles personales, datos de personas en especial situación de vulnerabilidad, entre otros.
- La implementación de Códigos de Conducta, en los que se establecen reglas específicas para el cumplimiento de la normativa dentro de la entidad o grupo empresarial, tales como procedimientos que faciliten el ejercicio de derechos, mecanismos de supervisión, cláusulas para la obtención de consentimientos, entre otros.
Por otro lado, el nuevo Reglamento establece novedades como el reconocimiento de la portabilidad como manifestación del derecho de acceso a los datos personales de sus titulares, lo que supone el traslado de los datos a otro responsable o titular de bancos de datos personales, cuando sea solicitado y las posibilidades tecnológicas lo permitan, así como la posibilidad de establecer un primer contacto para obtener el consentimiento expreso del titular para fines de publicidad y prospección comercial (de no obtenerlo, no podrá realizarse un nuevo contacto).
Por último, se establece la gratuidad del registro de bancos de datos personales y la creación de la plataforma “Yo cuido mis datos personales” para la atención ciudadana
La entrada en vigencia del nuevo Reglamento será a los 120 días calendarios siguientes a su publicación en el Diario Oficial. Específicamente, las obligaciones referidas a la designación de un Oficial de Cumplimiento entrarán en vigencia progresivamente en un calendario de 4 años, dependiendo del volumen de ventas de las empresas responsables. En cuanto a lo relativo al derecho de Portabilidad, ello surte efecto a partir de los 6 meses de la entrada en vigencia del Reglamento.
Para mayor información o en caso de cualquier consulta sobre el tema, contáctanos al siguiente correo: innovacion@cpb-abogados.com.pe
19-09-2024 | Noticias, Posse Herrera Ruiz
En la actualidad, nuestros datos personales son un activo valioso que circula constantemente en la red y dejamos una huella digital que puede ser utilizada de diversas maneras. Ante este panorama, la Ley 1581 surge como un faro de protección, estableciendo un marco legal sólido para garantizar nuestra privacidad en el mundo digital.
Esta normativa colombiana reconoce y protege el derecho fundamental de todas las personas a conocer, actualizar y rectificar la información que se ha recopilado sobre ellas. Al mismo tiempo, establece límites claros a la recolección, uso y divulgación de datos personales, evitando así prácticas abusivas como la discriminación y el uso indebido de nuestra información.
Para las empresas, la Ley 1581 representa una oportunidad para construir relaciones de confianza con sus clientes. Al cumplir con esta legislación, las organizaciones demuestran su compromiso con la transparencia y la protección de los datos, lo que a su vez fortalece su reputación y lealtad de marca.
Para mayo información, contactar a:
Oscar Tutasaura | Socio Posse Herrera Ruiz | oscar.tutasaura@phrlegal.com
29-01-2024 | Noticias, Opinión
La inminente evolución tecnológica nos lleva a reconocer la importancia de una regulación robusta que aborde los retos planteados por la inteligencia artificial (IA). A nivel internacional, ejemplos como “The Artificial Intelligence Act” de la Unión Europea y la Orden Ejecutiva en Estados Unidos evidencian la necesidad de una legislación que establezca los lineamientos y supervise el desarrollo de esta potente tecnología.
En Latinoamérica, y particularmente en Chile, nos enfrentamos al desafío de avanzar en la normativa, aprendiendo de experiencias comparadas para evitar errores. Sin embargo, nos encontramos con obstáculos significativos, especialmente debido a que el Proyecto de Ley Sobre Protección de los Datos Personales aún espera su aprobación. Esta situación dificulta la discusión legislativa sobre temas más complejos, como la regulación de sistemas de IA, la cual ya fue aprobada en general y avanzó a su discusión particular.
Es esencial reconocer que la falta de una ley actualizada sobre la protección de datos personales, combinada con la poca experiencia en la implementación de prácticas para reducir riesgos o realizar evaluaciones de impacto, representa un desafío importante para avanzar de manera responsable en la regulación de asuntos tan relevantes como este. En ese sentido, la actualización de la Ley Sobre Protección de los Datos Personales se presenta como el pilar fundamental para progresar en cualquier marco normativo relacionado con la tecnología.
Entendemos que la inteligencia artificial utiliza datos de diversos tipos, incluyendo aquellos de carácter personal, los cuales deben ser usados y resguardados de manera apropiada. Así también, no podemos pasar por alto cómo las decisiones adoptadas por estos sistemas impactan directamente en los derechos de las personas. Un ejemplo ilustrativo sería la selección de individuos para listas de espera en el sector salud o la asignación de becas educacionales. En ambos casos, ante la ausencia de una legislación actualizada y careciendo de experiencia práctica en el uso responsable de este tipo de datos, el riesgo de abusos y discriminación por parte de sistemas de inteligencia artificial es significativo.
Este domingo 28 de enero fue el Día Internacional de la Protección de Datos, un momento ideal para mirar con optimismo hacia adelante, anticipando que la comisión mixta pueda llegar a acuerdos en marzo sobre los temas en los que las cámaras aún no han logrado consenso. Este avance marcará la conclusión del proceso legislativo y abrirá un nuevo capítulo en la regulación tecnológica de Chile.
Por Constanza Pasarin y Trinidad Moreno, asociadas del grupo de compliance de Albagli Zaliasnik (az).
Fuente: Diario Financiero
27-06-2023 | Noticias
En la era digital, la protección de datos personales se ha convertido en un tema de creciente importancia en todo el mundo. Uruguay no es una excepción, ya que el país ha establecido un marco legal sólido para garantizar la privacidad y seguridad de la información personal, que comprende a personas físicas y también a personas jurídicas o de existencia ideal. A través de leyes y regulaciones, el Estado ha demostrado su compromiso con la protección de los derechos individuales en el entorno digital.
La Ley de Protección de Datos Personales
La Ley N° 18.331 sobre Protección de Datos Personales y Acción de Habeas Data, promulgada en 2008, y su normativa complementaria, es el principal instrumento legal para la protección de información. Esta ley establece los principios y las obligaciones para el tratamiento de datos personales, tanto por parte del sector público como del sector privado. Además, creó la Unidad Reguladora y de Control de Datos Personales (URCDP) como autoridad encargada de supervisar y hacer cumplir la legislación.
Principios fundamentales de la ley
La ley uruguaya se basa en varios principios fundamentales. Entre ellos se incluyen:
- Consentimiento informado: El tratamiento de datos personales requiere el consentimiento informado, inequívoco y expreso del titular de los datos, a menos que exista una excepción legal.
- Finalidad específica: Los datos personales solo pueden ser recopilados y utilizados para una finalidad específica y legítima, previamente informada al titular de los datos.
- Seguridad: Se deben implementar medidas técnicas y organizativas adecuadas para proteger los datos personales y evitar su acceso no autorizado, pérdida o alteración.
- Responsabilidad proactiva: Los responsables y encargados de tratamiento deben adoptar las medidas tendientes a cumplir con la normativa, entre ellas, privacidad desde el diseño y por defecto, y realizar evaluaciones de impacto a la privacidad.
También reconoce y protege los derechos de los titulares de los datos personales. Estos derechos incluyen el acceso a la información recopilada, la rectificación y actualización de los datos inexactos, la inclusión de datos cuando se tenga un interés fundado, y la supresión de los datos cuando ya no sean necesarios.
Retos y desafíos
Aunque Uruguay ha establecido un marco legal sólido para la protección de datos personales, ya que por ejemplo las últimas modificaciones a la normativa datan de enero de 2023, todavía existen desafíos en este ámbito. El avance tecnológico constante y la creciente digitalización plantean nuevos retos en cuanto a la protección de la privacidad. Además, es necesario fomentar la conciencia y educación de la ciudadanía sobre sus derechos y las mejores prácticas para proteger sus datos en el entorno digital.
“En Uruguay la protección de datos sigue teniendo enorme presencia, en negocios nacionales e internacionales. Uruguay cuenta desde 2012 con la nota de adecuación de la Comisión Europea lo que representa un diferencial al momento de recibir inversiones, y ha motivado una revisión continua de legislación para continuar adecuándola a las principales tendencias y estándares internacionales. Además de oportunidades, lo anterior también representa desafíos para las empresas que necesitan de una revisión continua de sus prácticas de manejo de datos personales en un contexto cada vez más demandante a partir de la adopción interna de soluciones de analítica, big data e inteligencia artificial.” señalan Martín Ferrere y Cecilia Alberti, socio y asociada senior de FERRERE Uruguay.
El compliance en la protección de datos personales es de vital importancia porque el cumplimiento de la normativa contribuye a proteger los derechos de las personas, fortalecer la confianza del cliente, y mejorar la competitividad en el mercado mitigando riesgos.
Las empresas y organizaciones que tienen una cultura de cumplimiento no sólo evitan sanciones y consecuencias reputacionales, sino que también pueden obtener ventajas competitivas, lo que redunda en mejores oportunidades de negocios.
Para mayor información contactar a:
Carla Arellano | Consejera Ferrere | carellano@ferrere.com
Martín Pesce | Socio Ferrere | mpesce@ferrere.com
Cecilia Alberti | Socio Ferrere | calberti@ferrere.com
17-11-2022 | Noticias
El 5 de octubre de 2022 entró en vigencia la Resolución SDCU Nº 1502/2022 (la “Resolución”) a través de la cual la Secretaría de Defensa del Consumidor y el Usuario (“SEDECO”) reglamenta los artículos 6, 9 y 20 de la Ley 6.534/20 “De Protección de Datos Personales Crediticios” (la “Ley de Protección de Datos”), aprueba el “Procedimiento para la tramitación de denuncias de consumidores y usuarios finales” y crea un “Registro Nacional de Denuncias, Inspecciones y de Infractores”.
A continuación, un breve resumen de las nuevas disposiciones:
1. Consentimiento informado
La Resolución establece que el consentimiento informado otorgado por el consumidor final a un proveedor, en los términos del artículo 6 de la Ley de Protección de Datos, sólo es aplicable al proveedor que lo obtuvo de manera directa.
Tampoco podría entenderse otorgado de forma implícita a otros proveedores, quienes no formaron parte de la autorización directa.
2. Derecho al olvido de datos crediticios
La Resolución establece que el plazo máximo de 5 (cinco) años para la conservación de datos personales crediticios, establecido en la Ley de Protección de Datos, debe computarse desde la fecha de incumplimiento de la obligación, salvo las excepciones previstas en la norma legal.
3. Denuncias por incumplimientos de la Ley de Protección de Datos
La SEDECO, como autoridad de control podrá iniciar las investigaciones de presuntas infracciones a partir de denuncias recibidas o, de oficio.
A efectos de recibir las denuncias, la SEDECO habilitará en su página web oficial un módulo específico para denuncias relacionadas con incumplimientos de la Ley de Protección de Datos, donde los consumidores y usuarios podrán interponer sus denuncias, indicando datos como: (i) Nombre y apellido; (ii) Tipo y número de documento; (iii) Identificación y RUC del proveedor; (iv) Domicilio del proveedor; (v) Breve relato de la denuncia; (vi) Solución esperada – petitorio; (vii) Documentación probatoria.
La Resolución aprueba el procedimiento para la tramitación de denuncias en el marco de la Ley de Protección de Datos.
4. Registro nacional de denuncias, inspecciones y de infractores
La Resolución establece la creación de los siguientes registros:
- Registro Nacional de Denuncias;
- Registro Nacional de Inspecciones; y,
- Registro Nacional de Infractores.
Estos registros son creados con fines estadísticos y, a efectos de verificar casos de reincidencia.
Para mayor información contactar a:
Carla Arellano | Consejera Ferrere | carellano@ferrere.com
12-09-2022 | Noticias, Sin categoría
En Brasil, el instrumento normativo disponible sobre el procesamiento de datos personales, incluso en medios digitales, por una persona física o por una persona jurídica de derecho público o privado, con el objetivo de proteger los derechos fundamentales de libertad, privacidad y libre desarrollo de la personalidad de la persona física es la Ley General de Protección de Datos Personales (Ley Nº 13.709/18 o “LGPD”), que entró en vigor el 18 de septiembre de 2020[1] y que se inspiró fuertemente en el Reglamento General de Protección de Datos yuropeu (GDPR).
Con el fin de garantizar el cumplimiento de su objetivo, la ley impone ciertas obligaciones que deben observar los controladores y operadores (agentes de tratamiento)[2][3] cuando estos agentes (i) realizan la operación de tratamiento en Brasil; (ii) el propósito del procesamiento de datos personales es la provisión de bienes o servicios a los interesados que se encuentran en Brasil; o (iii) los datos personales sujetos al procesamiento se han recopilado en el territorio nacional, lo que significa que el interesado se encontraba en Brasil en el momento de la recopilación de sus datos.
De acuerdo con la LGPD, el titular es la persona física a quien los datos personales que se procesan y procesan es toda operación realizada con datos personales, tales como los referidos a la recolección, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de información, modificación, comunicación, transferencia, difusión o extracción.
Cabe señalar que la LGPD establece la buena fe como parámetro para el tratamiento de los datos personales, así como algunos principios generales a observar por los agentes del tratamiento, tales como: (a) la finalidad; b) adecuación; c) la necesidad; d) libre acceso; e) transparencia; y f) la no discriminación.
Cabe destacar que el tratamiento de datos personales y datos[4] personales sensibles solo puede [5] llevarse a cabo si se basa en una de las hipótesis legales establecidas, respectivamente, en los artículos 7 y 11 de la LGPD. Por lo tanto, siempre que un agente de tratamiento desee llevar a cabo el tratamiento de un dato personal, deberá identificar, sobre la base de la finalidad del tratamiento, cuál es la base jurídica aplicable al caso concreto. La LGPD también discute, en la Sección III, cómo deben procesarse los datos personales de niños, niñas y adolescentes.
Para procesar datos personales, el agente de procesamiento deberá (i) garantizar que el propósito determine el procesamiento de datos personales para fines legítimos, específicos, explícitos e informados para el interesado, sin la posibilidad de un procesamiento adicional de manera incompatible con dichos fines; (ii) dar fe de la compatibilidad del procesamiento de datos personales para los fines informados al titular, de acuerdo con el contexto del procesamiento; (iii) establece la limitación del tratamiento de datos personales al mínimo necesario para el cumplimiento de sus fines, con el alcance de los datos pertinentes, proporcionales y no excesivos en relación con los fines del tratamiento de datos; (iv) garantizar, a los interesados, la consulta facilitada y gratuita sobre la forma y duración del tratamiento, así como sobre la exhaustividad de sus datos personales; y (v) garantizar, a los interesados, la obtención de información clara, precisa y de fácil acceso sobre la realización del tratamiento y los respectivos agentes del tratamiento.
Es importante señalar que el responsable u operador que, debido al ejercicio de la actividad de tratamiento de datos personales, cause al otro daño patrimonial, moral, individual o colectivo, en violación de la legislación de protección de datos personales, está obligado a repararlo y que, con el fin de garantizar una indemnización efectiva al interesado: (i) el operador es solidariamente responsable de los daños causados por el procesamiento cuando no cumple con las obligaciones de la legislación de protección de datos o cuando no ha seguido las instrucciones legales del controlador, en cuyo caso el operador es tratado con el controlador, excepto en casos de exclusión; y (ii) los controladores que están directamente involucrados en el procesamiento cuyo daño se ha producido al interesado responden de manera conjunta y solidaria, excepto en casos deexclusión.
A su vez, los agentes de tratamiento no serán responsables (casos de exclusión) solo cuando demuestren que no han realizado el tratamiento de los datos personales que se les han asignado; que, aunque hayan tratado los datos personales que se les han asignado, no se ha producido ningún incumplimiento de la legislación de protección de datos; o que el daño se debe a la culpa exclusiva del interesado o de un tercero.
La LGPD también establece una serie de derechos que los interesados pueden aplicar al controlador; la necesidad de designar a una persona a cargo del agente para que actúe como canal de comunicación entre el agente y la autoridad y entre el agente y los titulares, excepto en los casos previstos en la RESOLUCIÓN CD / ANPD No. 2, DE 27 DE ENERO de 2022; requisitos específicos para permitir una transferencia internacional de datos personales; el deber de adoptar medidas de seguridad, técnicas y administrativas capaces de proteger los datos personales de accesos no autorizados y situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o cualquier forma de tratamiento indebido o ilícito; y la obligación de informar a la ANPD y al titular de los datos personales de la ocurrencia de un incidente de seguridad que pueda causar un riesgo o daño significativo a los titulares.
Además, los agentes encargados del tratamiento de datos, por violaciones de las normas establecidas en la LGPD, están sujetos a las siguientes sanciones administrativas aplicables por la Autoridad Nacional de Protección de Datos: (i) advertencia, con indicación de un plazo para la adopción de medidas correctoras; (ii) multa simple de hasta el 2% (dos por ciento) de los ingresos de la persona jurídica privada, grupo o conglomerado en Brasil en su último año fiscal, excluyendo impuestos, limitada en total a R$ 50.000.000,00 (cincuenta millones de reales) por infracción; (iii) multa diaria; iv)la aplicación de la infracción una vez debidamente autorizada y confirmada su aparición; (v) bloqueo de los datos personales a que se refiere la infracción hasta su regularización; vi)y la liminación de los datos personales a los que se refiere la infracción; vii) la utilización parcial delfuncionamiento de la base de datos a que se refiere la infracción durante un período máximo de 6 (seis) meses, prorrogable por el mismo período, hasta la regularización de la actividad de tratamiento por parte delcontrol r; (viii) suspensión del ejercicio de la actividad de tratamiento de datos personales a la que se hace referencia en la infracción por un plazo máximo de 6 (seis) meses, prorrogable por el mismo periodo; y (ix) prohibición parcial o total del ejercicio de actividades relacionadas con el tratamiento de datos.[6]
Finalmente, vale la pena mencionar que, al igual que con la intimidad y la vida privada de las personas, el derecho a la protección de datos personales fue incluido por la Enmienda Constitucional No. 115 de 2022[7], en la Constitución brasileña, incluso en los medios digitales como un derecho fundamental, ratificando la relevancia del tema para la sociedad y el mercado, en general.
Referencias:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm -ace ssado el 9 de septiembre de 2022
https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019 -ace ssado el 9 de septiembre de 2022
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm – consultado el 9 de septiembre de 2022
[1] En 1 de agosto 2021, los artículos 52, 53 y 54 de la Ley General de Protección de Datos (LGPD) entraron en vigor, relativos a las sanciones administrativas.
[2] Según la LGPD, “controlador” es cualquier persona física o jurídica que toma decisiones con respecto al procesamiento de datos personales.
[3] Según la LGPD, “operador” es cualquier persona física o jurídica que lleva a cabo el procesamiento de datos personales en nombre del controlador.
[4] Personal dado es el información relacionada con una persona física identificada o identificable.
[5] Los datos personales sensibles son el datos personales sobre origen racial o étnico, convicciones religiosas, opiniones políticas, afiliación a un sindicato u organización de carácter religioso, filosófico o político, facilitados en relación con la salud o la vida sexual, datos genéticos o biométricos, cuando estén vinculados a una persona física.
[6] Sanciones suspensión parcial de la base de datos, suspensión del ejercicio de la actividad de tratamiento y prohibición del ejercicio de se aplicará sólo después de que al menos una (1) de las sanciones ya se haya impuesto de multa simple, multa diaria, publicidad de la infracción, bloqueo de datos personales hasta la regularización y supresión de los datos personales de los que se trata la infracción.
[7] http://www.planalto.gov.br/ccivil_03/constituicao/Emendas/Emc/emc115.htm#art1 – asen septiembre 9, 2022
Para mayor información contactar a:
Tatiana Campello | Socia en el área de Privacidad, Tecnología y Ciberseguridad de Demarest | tcampello@demarest.com.br
Cecilia Cunha | Asociada en el área de Privacidad, Tecnología y Ciberseguridad de Demarest | cacunha@demarest.com.br
