Datos Personales

Protección de datos personales: más claridad sobre cuándo designar un oficial y cómo se calculan las multas

El paulatino desarrollo del marco legislativo de protección de datos personales en Perú da un nuevo salto hacia la predictibilidad con la publicación de dos directivas importantes.

Carlos Farfán, BARLAW – Barrera & Asociados

Una de las directivas refiere a la designación de oficiales de datos personales y la otra a la metodología aplicable para la determinación de multas en materia de infracciones administrativas. Ambas vienen para complementar la legislación existente, particularmente el Reglamento de la Ley de Protección de Datos Personales que habiendo sido publicada a finales de 2024, poco a poco se integra en los deberes que toda empresa debe cumplir en caso cuente con datos personales en su manejo.

Aclaraciones y criterios más desarrollados para la designación del oficial de datos personales

Si bien el Reglamento introdujo la novedad de la designación de un oficial de datos personales para el caso de entidades privadas, los artículos dedicados a esta figura fijaban presupuestos parcialmente definidos para determinar si determinados sujetos contaban con la obligación de designarlo, esto como podemos inferir, puede generar incertidumbre traducida en la decisión de nombrar a uno cuando quizás no era legalmente necesario o no hacerlo y exponerse a un incumplimiento sancionable.

Esta directiva expande los dos criterios presentados en los numerales 2 y 3 del artículo 37.1 del Reglamento referidos al manejo de grandes volúmenes de datos personales y al del manejo de datos sensibles en el giro del negocio de la empresa. Asimismo, la directiva fija con más detalle el tipo de perfil que debe tener un oficial de datos personales para que la función sea cumplida con pertinencia.

De entrada, la directiva detalla excepciones y precisiones acerca del oficial de datos personales que fueron omitidas por el Reglamento, tales como:

-No se encuentran obligadas a contar con uno aquellas personas naturales que realicen tratamiento de datos personales de manera personal en el marco de su oficio, incluso aunque involucren datos sensibles o un número importante de tipos de tratamientos.

-El oficial de datos personales debe ser siempre una persona natural, aunque puede estar vinculada a una persona jurídica a la que pertenezca o represente para el cumplimiento de sus funciones.

-La aplicación del criterio de ventas anuales (fijado en la primera disposición complementaria del reglamento) para el caso de organizaciones sin fines de lucro se entenderá en base a la cantidad de donaciones, subvenciones, presupuesto ejecutado o financiamiento recibido.

En lo que respecta a los criterios de volumen de datos personales e incidencia de datos sensibles en el giro de la empresa, la Directiva señala:

1. Criterio del volumen de datos personales

Se fijan cinco criterios, los tres primeros considerados como determinantes y los restantes como modulares, de esta forma, luego de la evaluación de cada criterio y su pertinencia o confluencia entre ellas se decidirá la existencia o no de obligación de nombrar a un oficial de datos personales.

1.a. Número de titulares: Cantidad de titulares de datos personales, sin considerar registros duplicados ni perfilamientos.

1.b. Sensibilidad y tipología del dato: Evalúa cantidad de tratamientos individuales sobre datos personales sensibles y siempre que el número total de dichos tratamientos corresponda a 1000 titulares de datos personales.

1.c. Finalidad del tratamiento o riesgo asociado: No depende de la cantidad o volumen de titulares de datos personales, sino en el impacto potencial que su finalidad puede generar, para ello la directiva lista tipos de tratamientos categorizándoles en nivel alto, medio o bajo.

1.d. Frecuencia, duración y continuidad: Se evalúa la duración del tratamiento de los datos personales guiándose de la frecuencia de uso categorizadas en tres niveles: alto, medio o bajo.

1.e. Demarcación territorial del tratamiento: Se evalúa dónde se encuentran los datos personales y dónde son tratados guiándose en si la ubicación de los servidores (en caso se usen) se encuentren fuera de Perú, en territorio peruano o se usen servidores o equipos ubicados en Perú pero sin exposición directa a internet.

2. Criterio del uso de datos sensibles en el giro del negocio

La Directiva en este apartado no evalúa el volumen de titulares de datos personales, sino la incidencia de datos sensibles en las actividades de la empresa, las cuales pueden ser necesaria por ser parte de su actividad principal o inescindible cuando, pese a no ser parte de dicha actividad principal, resulta necesaria para el ejercicio del negocio.

En otras palabras, aunque se manejen datos de pocos titulares, si el negocio depende estructuralmente de datos sensibles, será necesario la designación de un oficial de datos personales.

Por otra parte, sobre el perfil del oficial de datos personales, la directiva ha fijado que debe contar con conocimientos especializados y experiencia acreditada (fijando un tiempo mínimo de experiencia en funciones afines), así como contar con formación académica o complementaria relevante relacionada al sector y la normativa aplicable.

Esta exigencia se complementa con la fijación de garantías con las que cuenta el oficial de datos personales para el ejercicio de su función, las cuales deben ser provistas por el sujeto obligado, tales como contar con una infraestructura adecuada para el adecuado ejercicio de sus funciones, autonomía, libertad de acceso a la información y documentación necesaria y que se le permita su adecuada participación o consulta oportuna en la toma de decisiones que incidan en el tratamiento de datos personales.

Metodología de determinación de multas

En lo que respecta a la metodología de determinación de multas, esta viene a reemplazar la antigua metodología y se integra al actual listado de faltas administrativas introducidas con el reglamento del 2024.

De manera general, la metodología presenta los siguientes métodos de cálculo:

-Metodología de valor preestablecido: Método en el que el monto base ya está fijado (preestablecido) según la gravedad de la infracción y el daño generado, sin necesidad de identificar un beneficio ilícito concreto (por no ser posible), ajustándose solo por factores agravantes o atenuantes.

-Metodología ad-hoc: Método basado en el beneficio ilícito obtenido o esperado y en la probabilidad de detección, con el objetivo de neutralizar el incentivo económico detrás de la infracción.

De esta manera, la metodología propuesta permitirá la correcta aplicación de los dos criterios de cálculo de multa que propone, el método de valores preestablecidos y el método ad-hoc basado en el beneficio ilícito obtenido. Particularmente, la metodología integra las nuevas faltas administrativas para la mejor aplicación del método de valore preestablecidos que hasta su publicación no se encontraban detalladas e impedían predictibilidad a la hora de determinación de multas.

Como vemos, ambos documentos complementan la actual legislación de protección de datos personales, aclarando conceptos, expandiendo otros y, sobre todo, permitiendo mayor predictibilidad a la hora de determinar el cumplimiento o no de alguna de las disposiciones fijadas en la ley vigente y su reglamento, permitiendo que Perú se posicione entre una de las jurisdicciones con una legislación de la materia más desarrollada.