Por primera vez se regula marco general del derecho en la materia
Norma, además, define obligaciones que empresas deberán tener en cuenta
Vital. Se requerirá el previo consentimiento informado del titular de datos personales.A la fecha, todas las empresas que capturen información de sus clientes para obtener una base de datos, deberán cumplir con los parámetros establecidos en la nueva Ley de Protección de Datos Personales (Ley Nº 29733), destinada a proteger la información de las personas que están contenidas en bancos de datos, tanto del sector público como del privado, estableciéndose diversos derechos para sus titulares, así como obligaciones a los encargados de su manejo.
A continuación, la especialista y miembro del Estudio Echecopar, Teresa Tovar, explica los alcances de esta norma.
¿Cuál es el ámbito de aplicación de la Ley Nº 29733?
–Se aplica a aquellos datos personales contenidos o destinados a serlo en bancos de datos personales, siempre que estén dentro del territorio nacional, sin importar si son de administración pública o privada. Sin embargo, la ley no es aplicable a aquellos registros creados por personas naturales para su uso privado o familiar, así como aquellos contenidos o destinados a serlo en bancos de datos de administración pública, solo cuando su tratamiento sea necesario para el cumplimiento estricto de sus competencias, defensa nacional o seguridad pública.
¿El titular de los datos debe dar su consentimiento para el manejo de estos?
–Sí. Para el tratamiento de los datos personales debe existir un consentimiento previo, informado, expreso e inequívoco. En el caso de datos sensibles debe darse un consentimiento escrito. Son datos sensibles aquellos que hagan referencia al origen racial, étnico, ingresos económicos, convicciones políticas, religiosas, filosóficas o morales, afiliación sindical y aquellos que aludan a la salud o a la vida sexual. El titular de la información puede retirar su consentimiento en cualquier momento.
¿En qué casos no se requiere dicho consentimiento?
–La ley contiene algunas excepciones al requisito de contar con el consentimiento del titular, tales como el caso de datos personales contenidos en fuentes accesibles al público; aquellos que estén relacionados con la solvencia patrimonial o al crédito; los que resulten necesarios para la ejecución de una relación contractual con el titular de datos personales o cuando se deriven de una relación científica o profesional, siendo necesarios para su desarrollo y cumplimiento; aquellos relativos a la salud y sean necesarios para su prevención, diagnóstico y tratamiento, entre otros. El reglamento u otra ley podrán establecer otros supuestos de excepción.
¿Qué sucede con la transferencia internacional de datos?
–Se realizará solo si el país destinatario tiene niveles de protección adecuados, similares a los previstos en la legislación peruana. De no serlo, para poder realizar la transferencia, el emisor de los datos debe garantizar que su tratamiento será de acuerdo con la ley peruana. No será necesario que el país destinatario ni el emisor cumplan con garantizar la protección de la base de datos en determinados supuestos expresamente previstos en la ley, como transmisiones de datos personales efectuadas en el marco de tratados internacionales sobre protección de datos personales, cooperación judicial internacional, cooperación internacional entre organismos de inteligencia para la lucha contra la criminalidad en la ejecución de una relación contractual en que el titular de los datos sea parte, transferencias bancarias o bursátiles, conforme a la ley aplicable, para la protección, prevención, diagnóstico o tratamiento médico o quirúrgico de su titular y cuando este haya dado su consentimiento de manera previa, informada, expresa e inequívoca. El reglamento podrá señalar otros supuestos de excepción.
¿Quién tiene la función de proteger estos datos?
La ley crea la Autoridad Nacional de Protección de Datos Personales, constituida por la Dirección Nacional de Justicia del Ministerio de Justicia, cuya responsabilidad será velar por el cumplimiento de la norma. Entre sus principales funciones están: la administración y actualización del registro nacional de protección de datos personales; publicitar la relación de bancos de datos personales; absolver consultas sobre protección de los datos y atender las solicitudes de los particulares; solicitar información a los titulares de los bancos de datos dentro de un procedimiento administrativo; iniciar fiscalizaciones de oficio. Deberá guardar confidencialidad de la información obtenida en sus funciones.
