La protección de datos personales en Perú está a punto de experimentar un cambio significativo con la entrada en vigor del nuevo Reglamento de la Ley de Protección de Datos Personales, programada para el 1 de abril. Esta nueva regulación tendrá un impacto considerable en la supervisión y el cumplimiento de las normas existentes, lo que obligará a diversas entidades a adaptarse a un marco legal más estricto y detallado.
Un contexto de aumento en las fiscalizaciones
Bruno Mejía, líder de Competencia y Mercados de EY Law Perú, ha señalado que en los últimos años ha habido un aumento notable en las inspecciones realizadas por la Autoridad Nacional de Protección de Datos Personales. De hecho, en 2023, alrededor de 330 entidades fueron fiscalizadas, cifra que aumentó a 450 en 2024. Mejía prevé que este número seguirá en aumento, especialmente en el segundo trimestre de este año, una vez que la nueva normativa esté completamente implementada. “Se viene una ola de fiscalizaciones”, advirtió, anticipando que el periodo de abril a junio será crucial para la ejecución de las primeras inspecciones bajo este nuevo marco regulatorio.
Sectores específicos bajo supervisión
La nueva regulación implica un enfoque particular en sectores que manejan grandes volúmenes de datos personales. Cuatro sectores principales están en el centro de esta atención: financiero, salud, educación y retail. Cada uno de ellos enfrenta desafíos únicos en términos de manejo y protección de datos.
- Sector Financiero y Bancario: Las entidades de este sector estarán sometidas a un escrutinio riguroso sobre cómo utilizan la información personal en la contratación de productos como préstamos, tarjetas de crédito y cuentas bancarias. Se revisará cada etapa del proceso, desde la recopilación inicial de datos hasta su almacenamiento y uso posterior, asegurando que se cumplan las normativas sobre confidencialidad y derechos de los consumidores.
- Sector Salud: Las instituciones médicas, que manejan datos extremadamente sensibles relacionados con diagnósticos y tratamientos, también estarán bajo el microscopio. La normativa exige que el tratamiento de estos datos se realice con consentimiento expreso y por escrito de los pacientes. Además, se evaluará la seguridad en el almacenamiento de la información y la confidencialidad de las historias clínicas, en cumplimiento con la Ley General de Salud.
- Sector Educativo: Escuelas, colegios e instituciones educativas privadas deberán prestar especial atención en el manejo de datos de menores de edad. La normativa establece que los datos de niños de 0 a 14 años solo pueden ser tratados con el consentimiento de sus padres o tutores. Por su parte, los adolescentes de 14 a 18 años pueden dar su consentimiento en ciertas circunstancias. La supervisión también abarcará el uso de imágenes de alumnos en redes sociales y plataformas digitales.
- Sector Retail: En el ámbito del comercio, donde se manejan grandes volúmenes de información a través de compras en línea, programas de fidelización y estrategias de marketing, la fiscalización se centrará en el correcto manejo del consentimiento para el uso de datos en publicidad, la seguridad en las transacciones electrónicas y la gestión de bases de datos de clientes.
Vea también: Día de la Protección de Datos, consejos para evitar ser víctima de la ciberdelincuencia
Multas y criterios de sanción
A pesar de que las sanciones en Perú no han cambiado en términos de montos específicos, es importante señalar que existen diferencias notables con otros países de la región. Por ejemplo, en Chile, las multas pueden alcanzar hasta 1.4 millones de dólares, y en Ecuador, las empresas pueden enfrentar sanciones de hasta el 1% de sus ingresos brutos. En Perú, la magnitud de las multas dependerá de varios factores, incluyendo el alcance del daño en el mercado y la duración de la infracción.
El impacto reputacional también juega un papel crucial en la evaluación de las sanciones, ya que las instituciones financieras y del sector salud podrían enfrentar multas significativas no solo por las infracciones en sí, sino también por el daño a su imagen corporativa derivado de fallas en la protección de datos personales.
La inminente entrada en vigor del nuevo Reglamento de la Ley de Protección de Datos Personales en Perú representa un cambio necesario y significativo en la forma en que se maneja la información personal en diversos sectores. Las entidades deberán adaptarse rápidamente para cumplir con las nuevas exigencias, ya que el aumento de las fiscalizaciones y las posibles sanciones podrían tener un impacto profundo en su operación y reputación. La protección de datos es más que una obligación legal; es un compromiso con la confianza y la seguridad de los consumidores en un mundo cada vez más digitalizado.
Fuente: Gestión
