by Juan Manuel González | Dic 16, 2024 | Noticias
Fue publicado, en el Diario Oficial El Peruano, el Decreto Supremo N° 016-2024-JUS, mediante el cual se aprueba un nuevo Reglamento de la Ley N° 29733 – Ley de Protección de Datos Personales (en adelante, el “Reglamento”). A través de esta norma, se imponen nuevas obligaciones para los titulares de bancos de datos personales y/o responsables de su tratamiento, tales como:
- Notificar a la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas siguientes de conocimiento de un incidente de seguridad que genere exposición de grandes volúmenes de datos personales o un grave perjuicio a sus titulares. Ello también deberá ser notificado a los titulares afectados en el mismo plazo, salvo el incidente haya sido superado o no se haya producido tal afectación. Asimismo, todo incidente de seguridad que acontezca deberá ser debidamente documentado y guardar registro de ello.
- Designar a un Oficial de Protección de Datos Personales, cuando se realice el tratamiento de grandes volúmenes de datos personales o de datos sensibles, el cual será el encargado de supervisar el cumplimiento de las obligaciones y ser el punto de contacto con la Autoridad. Cuando se traten de grupos empresariales, se podrá designar un solo oficial por grupo.
- Contar con un documento de seguridad, el cual debe ser aprobado formalmente y será de obligatorio cumplimiento para el personal con acceso a los sistemas de información. Debe estar actualizado y contener como mínimo los procedimientos de gestión de accesos, la gestión de privilegios y la verificación periódica de los privilegios asignados referentes a los sistemas de información.
Asimismo, se establecen mecanismos de responsabilidad proactiva, de carácter facultativo, que representan el compromiso del responsable con el cumplimiento de la normativa y podrán ser considerados atenuantes de responsabilidad en un eventual procedimiento administrativo sancionador, tales como:
- La realización de Evaluaciones de Impacto Relativo a la Protección de Datos Personales, especialmente cuando se trate de datos sensibles, datos con fines de crear perfiles personales, datos de personas en especial situación de vulnerabilidad, entre otros.
- La implementación de Códigos de Conducta, en los que se establecen reglas específicas para el cumplimiento de la normativa dentro de la entidad o grupo empresarial, tales como procedimientos que faciliten el ejercicio de derechos, mecanismos de supervisión, cláusulas para la obtención de consentimientos, entre otros.
Por otro lado, el nuevo Reglamento establece novedades como el reconocimiento de la portabilidad como manifestación del derecho de acceso a los datos personales de sus titulares, lo que supone el traslado de los datos a otro responsable o titular de bancos de datos personales, cuando sea solicitado y las posibilidades tecnológicas lo permitan, así como la posibilidad de establecer un primer contacto para obtener el consentimiento expreso del titular para fines de publicidad y prospección comercial (de no obtenerlo, no podrá realizarse un nuevo contacto).
Por último, se establece la gratuidad del registro de bancos de datos personales y la creación de la plataforma “Yo cuido mis datos personales” para la atención ciudadana
La entrada en vigencia del nuevo Reglamento será a los 120 días calendarios siguientes a su publicación en el Diario Oficial. Específicamente, las obligaciones referidas a la designación de un Oficial de Cumplimiento entrarán en vigencia progresivamente en un calendario de 4 años, dependiendo del volumen de ventas de las empresas responsables. En cuanto a lo relativo al derecho de Portabilidad, ello surte efecto a partir de los 6 meses de la entrada en vigencia del Reglamento.
Para mayor información o en caso de cualquier consulta sobre el tema, contáctanos al siguiente correo: innovacion@cpb-abogados.com.pe
by Juan Manuel González | Nov 14, 2024 | Noticias
NDECOPI sancionó recientemente a una empresa[1] y a su Gerente General por incluir una cláusula abusiva en la Política de Privacidad de su sitio web, al considerarla contraria al principio de consentimiento de la Ley de Protección de Datos Personales (LPDP).
Doble riesgo:
Con este precedente, tanto la Autoridad de Protección de Datos como INDECOPI pueden sancionar a la empresa si su Política de Privacidad no cumple con la LPDP.
Riesgos para el Gerente:
INDECOPI mantiene una postura estricta, y, hasta la fecha, ha sancionado a Gerentes Generales de diversas industrias por infracciones relativas a:
- Cláusulas abusivas en T&C y Política de Privacidad.
- Libro de Reclamaciones Virtual no conformes al reglamento.
- No actuar diligentemente para evitar que se infrinjan los derechos de los consumidores
[1] Ver Resolución Final N° 1802-2024/CC2
Para más información: innovacion@cpb-abogados.com.pe
by Juan Manuel González | Oct 4, 2024 | Noticias
Finalizando el mes de septiembre, la Superintendencia de Banca, Seguros y AFP (SBS) aprobó los lineamientos para el Mecanismo Público-Privado de Intercambio de Información Financiera del Perú (MEPIF).
El objetivo del MEPIF es establecer un mecanismo de intercambio seguro y efectivo de información entre los sectores público y privado para fortalecer la prevención, detección, investigación y represión de delitos como la extorsión, lavado de activos (LA), financiamiento de actos terroristas (FT) y la proliferación de armas de destrucción masiva (FP).
Principales Funciones
- Intercambio de información estratégica
Compartir datos como estadísticas, tendencias, patrones, tipologías e indicadores de alerta para identificar riesgos la identificación de patrones y tendencias en las operaciones sospechosas de LA/FT y FP.
Esto les permitirá a los SO desarrollar estrategias más efectivas para mitigar los riesgos específicos y mantener actualizado su SPLAFT.
- Intercambiar información sobre investigaciones:
Compartir datos específicos de casos en investigación, bajo decisión de las autoridades públicas.
- Desarrollar programas de capacitación y entrenamiento:
Implementar actividades de formación para detectar y reportar actividades ilícitas.
- Realizar análisis estratégicos:
Identificar riesgos emergentes y proponer estrategias para mitigar amenazas potenciales que puedan afectar al sistema financiero o al sector no financiero, permitiendo a los SO anticipar nuevos riesgos ajustando su SPLAFT para su efectivo cumplimiento.
El MEPIF representa un instrumento clave que no solo contribuye a la lucha contra la criminalidad financiera en el Perú, sino también exige a los SO que su SPLAFT se encuentre alineado con estándares más altos de cumplimiento y gestión de riesgos.
Para conocer más detalle puede comunicarse con nosotros aquí: compliance@cpb-abogados.com.pe
by Juan Manuel González | Sep 27, 2024 | Noticias
Se publicó la Resolución SBS N° 02648-2024, una norma crucial para la prevención del lavado de activos y del financiamiento del terrorismo (LAFT) aplicable a los Proveedores de Servicios de Activos Virtuales (PSAV).
Importancia
Esta resolución es especialmente relevante para aquellos que operan en el mercado de activos virtuales (criptomonedas), garantizando que sus actividades se realicen dentro de un marco regulatorio que minimice riesgos y promueva la transparencia.
Ámbito de Aplicación y Alcance
A partir de julio de 2023, los PSAV fueron incorporados como sujetos obligados a informar a la UIF-Perú mediante el D.S. Nº 006-2023-JUS.
Ahora, con esta resolución, se establecen las normas específicas que regularán el Sistema de Prevención de LAFT para todos los PSAV domiciliados o constituidos en Perú.
¿Qué son los PSAV y qué actividades realizan?
Los PSAV, o Proveedores de Servicios de Activos Virtuales, son entidades que facilitan transacciones y servicios relacionados con activos virtuales, como criptomonedas (Bitcoin, Ethereum y otras). Según el artículo 2° de la resolución, los PSAV pueden realizar actividades tales como:
- Intercambio entre activos virtuales y moneda fiat o de curso legal.
- Intercambio entre una o más formas de activos virtuales.
- Transferencia de activos virtuales.
- Custodia y/o administración de activos virtuales o instrumentos que permitan el control sobre estos.
- Participación y provisión de servicios financieros relacionados con la oferta de un emisor y/o venta de un activo virtual
Obligaciones de los PSAV
- El PSAV debe implementar un sistema de prevención del LA/FT (SPLAFT) gestionando los riesgos a los que se expone. Esto incluye políticas y procedimientos adecuados para conocer a los clientes, identificar operaciones inusuales y asegurar la capacitación de los empleados.
- Los PSAV deben registrarse ante la Unidad de Inteligencia Financiera (UIF-Perú) como SO y mantener actualizada su condición de sujetos obligados.
- En caso de cesar sus actividades o modificarse su normativa, los PSAV deben notificarlo a la UIF-Perú dentro de 30 días.
- Los PSAV deben cumplir con requisitos específicos de debida diligencia para conocer a sus clientes y reportar operaciones sospechosas-
Vigencia:
- La norma entró en vigencia a partir del 02 de agosto de 2024.
- El capítulo VIII, denominado “Travel Rules”, que incluye disposiciones específicas sobre la transferencia de información en transacciones de activos virtuales, entra en vigencia a los dos años, en agosto de 2026.
Plazo de Adecuación:
Los PSAV tienen un plazo de 120 días para adecuarse a las nuevas disposiciones. Este período es esencial para implementar los sistemas y procedimientos necesarios para cumplir con la norma
Para conocer más detalle o como realizar la adecuación de la norma puede comunicarse con nosotros: compliance@cpb-abogados.com.pe
by Juan Manuel González | Ago 14, 2024 | Noticias
El 04 de agosto, fue publicado el Decreto Legislativo No. 1623 a través del cual se modifica la Ley del IGV, estableciendo a su vez el gravamen a la prestación de servicios streaming (entre otras operaciones) por parte de sujetos no domiciliados en el país, como es el caso de Netflix, Amazon, Spotify, Disney+ ,etc.
Entre sus principales disposiciones, la norma ha previsto lo siguiente:
Gravamen del IGV (18%) en operaciones realizadas por personas naturales que consumen servicios de plataformas streaming, servicios de intermediación en la oferta y demanda de bienes y servicios (AirBNB, Uber), servicios de almacenamiento, entre otros, independientemente de si es que realizan actividad empresarial o no.
Gravamen del IGV (18%) en operaciones realizadas con personas naturales que “importan” un intangible a través de internet, independientemente de si realizan actividad empresarial o no.
Designación como agentes de retención y percepción a los sujetos no domiciliados y a los sujetos facilitadores de pago (bancos, financieras, empresas de telecomunicaciones) respecto a los servicios digitales y la importación de bienes intangibles a través de internet.
La obligación de los prestadores de tales servicios de inscribirse en el RUC y cumplir con ciertas formalidades.
El cobro del IGV de tales operaciones se realizaría a partir del 1 de octubre de 2024.
Mediante Decreto Supremo cuya publicación deberá ser realizada dentro de los siguientes 30 días, se reglamentará lo establecido en el Decreto Legislativo No. 1623.