16-12-2024 | CPB, Noticias
Fue publicado, en el Diario Oficial El Peruano, el Decreto Supremo N° 016-2024-JUS, mediante el cual se aprueba un nuevo Reglamento de la Ley N° 29733 – Ley de Protección de Datos Personales (en adelante, el “Reglamento”). A través de esta norma, se imponen nuevas obligaciones para los titulares de bancos de datos personales y/o responsables de su tratamiento, tales como:
- Notificar a la Autoridad Nacional de Protección de Datos Personales dentro de las 48 horas siguientes de conocimiento de un incidente de seguridad que genere exposición de grandes volúmenes de datos personales o un grave perjuicio a sus titulares. Ello también deberá ser notificado a los titulares afectados en el mismo plazo, salvo el incidente haya sido superado o no se haya producido tal afectación. Asimismo, todo incidente de seguridad que acontezca deberá ser debidamente documentado y guardar registro de ello.
- Designar a un Oficial de Protección de Datos Personales, cuando se realice el tratamiento de grandes volúmenes de datos personales o de datos sensibles, el cual será el encargado de supervisar el cumplimiento de las obligaciones y ser el punto de contacto con la Autoridad. Cuando se traten de grupos empresariales, se podrá designar un solo oficial por grupo.
- Contar con un documento de seguridad, el cual debe ser aprobado formalmente y será de obligatorio cumplimiento para el personal con acceso a los sistemas de información. Debe estar actualizado y contener como mínimo los procedimientos de gestión de accesos, la gestión de privilegios y la verificación periódica de los privilegios asignados referentes a los sistemas de información.
Asimismo, se establecen mecanismos de responsabilidad proactiva, de carácter facultativo, que representan el compromiso del responsable con el cumplimiento de la normativa y podrán ser considerados atenuantes de responsabilidad en un eventual procedimiento administrativo sancionador, tales como:
- La realización de Evaluaciones de Impacto Relativo a la Protección de Datos Personales, especialmente cuando se trate de datos sensibles, datos con fines de crear perfiles personales, datos de personas en especial situación de vulnerabilidad, entre otros.
- La implementación de Códigos de Conducta, en los que se establecen reglas específicas para el cumplimiento de la normativa dentro de la entidad o grupo empresarial, tales como procedimientos que faciliten el ejercicio de derechos, mecanismos de supervisión, cláusulas para la obtención de consentimientos, entre otros.
Por otro lado, el nuevo Reglamento establece novedades como el reconocimiento de la portabilidad como manifestación del derecho de acceso a los datos personales de sus titulares, lo que supone el traslado de los datos a otro responsable o titular de bancos de datos personales, cuando sea solicitado y las posibilidades tecnológicas lo permitan, así como la posibilidad de establecer un primer contacto para obtener el consentimiento expreso del titular para fines de publicidad y prospección comercial (de no obtenerlo, no podrá realizarse un nuevo contacto).
Por último, se establece la gratuidad del registro de bancos de datos personales y la creación de la plataforma “Yo cuido mis datos personales” para la atención ciudadana
La entrada en vigencia del nuevo Reglamento será a los 120 días calendarios siguientes a su publicación en el Diario Oficial. Específicamente, las obligaciones referidas a la designación de un Oficial de Cumplimiento entrarán en vigencia progresivamente en un calendario de 4 años, dependiendo del volumen de ventas de las empresas responsables. En cuanto a lo relativo al derecho de Portabilidad, ello surte efecto a partir de los 6 meses de la entrada en vigencia del Reglamento.
Para mayor información o en caso de cualquier consulta sobre el tema, contáctanos al siguiente correo: innovacion@cpb-abogados.com.pe
18-11-2022 | Noticias
El 5 de octubre de 2022 entró en vigencia la Resolución SDCU Nº 1502/2022 (la “Resolución”) a través de la cual la Secretaría de Defensa del Consumidor y el Usuario (“SEDECO”) reglamenta los artículos 6, 9 y 20 de la Ley 6.534/20 “De Protección de Datos Personales Crediticios” (la “Ley de Protección de Datos”), aprueba el “Procedimiento para la tramitación de denuncias de consumidores y usuarios finales” y crea un “Registro Nacional de Denuncias, Inspecciones y de Infractores”.
A continuación, un breve resumen de las nuevas disposiciones:
1. Consentimiento informado
La Resolución establece que el consentimiento informado otorgado por el consumidor final a un proveedor, en los términos del artículo 6 de la Ley de Protección de Datos, sólo es aplicable al proveedor que lo obtuvo de manera directa.
Tampoco podría entenderse otorgado de forma implícita a otros proveedores, quienes no formaron parte de la autorización directa.
2. Derecho al olvido de datos crediticios
La Resolución establece que el plazo máximo de 5 (cinco) años para la conservación de datos personales crediticios, establecido en la Ley de Protección de Datos, debe computarse desde la fecha de incumplimiento de la obligación, salvo las excepciones previstas en la norma legal.
3. Denuncias por incumplimientos de la Ley de Protección de Datos
La SEDECO, como autoridad de control podrá iniciar las investigaciones de presuntas infracciones a partir de denuncias recibidas o, de oficio.
A efectos de recibir las denuncias, la SEDECO habilitará en su página web oficial un módulo específico para denuncias relacionadas con incumplimientos de la Ley de Protección de Datos, donde los consumidores y usuarios podrán interponer sus denuncias, indicando datos como: (i) Nombre y apellido; (ii) Tipo y número de documento; (iii) Identificación y RUC del proveedor; (iv) Domicilio del proveedor; (v) Breve relato de la denuncia; (vi) Solución esperada – petitorio; (vii) Documentación probatoria.
La Resolución aprueba el procedimiento para la tramitación de denuncias en el marco de la Ley de Protección de Datos.
4. Registro nacional de denuncias, inspecciones y de infractores
La Resolución establece la creación de los siguientes registros:
- Registro Nacional de Denuncias;
- Registro Nacional de Inspecciones; y,
- Registro Nacional de Infractores.
Estos registros son creados con fines estadísticos y, a efectos de verificar casos de reincidencia.
Para mayor información contactar a:
Mario Pinatte | Socio CPB | mpinatte@cpb-abogados.com.pe
17-06-2022 | Noticias
El desarrollo y la adopción de la inteligencia artificial presentan una serie de desafíos, siendo en el ámbito laboral uno de los escenarios de mayor impacto por las variables e información a la que se puede tener acceso y que habilita a tomar decisiones de forma automatizada.
Por ello, con fecha 10 de junio de 2022, el Ministerio de Trabajo de España ha dado a conocer una “Guía práctica y herramienta sobre la obligación empresarial de información sobre el uso de los algoritmos en el ámbito laboral”, insumo a tener en cuenta por las organizaciones empresariales puesto que el modelo español siempre ha servido de base para la dictación del marco regulatorio en nuestro país. Más aún, cuando el documento es dictado con la finalidad de cumplir con las obligaciones que establece el Reglamento General de Protección de Datos española y la denominado “Ley Rider” (artículo 64 del Estatuto de los Trabajadores).
“Cada vez es más habitual que las empresas usen algoritmos o sistemas de inteligencia artificial para tomar decisiones de forma automatizada que afectan a las personas trabajadoras en materia de contrataciones, determinación de horarios, evaluación de rendimiento, control de productividad, ascensos, despido, etc. Métodos que, en ocasiones, pueden ser desconocidos para las propias personas trabajadoras o candidatas a un puesto de trabajo, que pueden considerar que dichas decisiones son tomadas por personas humanas”.
Extracto Guía información algorítmica en el ámbito laboral
La guía contiene 20 preguntas al objeto de que sea respondida por la empresa, y esté a disposición de los trabajadores con la finalidad de conocer y comprender los efectos del uso de algoritmos, así como sistematizar un único documento las obligaciones y derechos existentes en materia de información algorítmica.
Así, se contienen preguntas como las siguientes:
- Qué tipo de tecnología utiliza el algoritmo.
- Quién lo ha suministrado y cómo ha sido modificado.
- Para qué decisiones se utiliza y en qué variables se basa.
- Si hay intervención de personas cualificadas en los procesos de decisión y en qué medida participan.
Se trata en consecuencia de un avance e insumo de información que permite, de manera preventiva, y desde una lógica del Compliance permitir analizar los impactos regulatorios del derecho comparado y de qué forma pudiesen incidir en nuestro país en un contexto de masificación de la inteligencia artificial.
Lo anterior, considerando aún más que, con fecha 22 de marzo del presente el Congreso remitió al Presidente de la República el texto aprobado del Proyecto de Ley que regula y sanciona los delitos informáticos (Boletín 12.192-25), el cual consagra una normativa que incorpora nuevos tipos penales que buscan resguardar la intromisión a los sistemas informáticos y el uso indebido de datos personales, siendo incluso aplicables a la persona jurídica.
En la misma línea, será necesario tener en consideración que el proyecto de ley de protección de datos personales (boletines refundidos N°11144-07 y N°11092-07), hoy en segundo trámite constitucional, sigue el modelo europeo en lo que respecta al derecho de oposición a valoraciones personales automatizadas. Esto significa que los empleadores deberán asegurar a los titulares–en este caso los trabajadores–, el derecho a obtener intervención humana en el tratamiento automatizado de sus datos (incluida la elaboración de perfiles laborales), a expresar su punto de vista y a solicitar la revisión de la decisión de que se trate.
Para obtener más información sobre estos temas pueden contactar a nuestros equipos Laboral – Compliance – IP, Tech and Data:
Francisca Franzani | Directora Grupo Compliance | ffranzani@az.cl
Jorge Arredondo | Socio | jarredondo@az.cl
Eugenio Gormáz | Socio | egormaz@az.cl
Natalia González | Asociada | ngonzalez@az.cl
Constanza Pasarin | Asociada | cpasarin@az.cl
