A puertas de cerrar el año 2021, aprovechamos en recordarles el régimen normativo peruano sobre la protección de los datos personales y cuáles han sido las acciones realizadas por la Autoridad Nacional de Protección de Datos Personales (la “ANPDP”) en el presente año.
La Ley de Protección de Datos Personales, aprobada en el 2011 (la “Ley”), y su reglamento, aprobado en el 2013, constituyen el régimen normativo aplicable a la protección de datos personales en el Perú. Este régimen impone una serie de obligaciones a las personas (naturales o jurídicas) que en el desarrollo de sus actividades tratan datos que identifiquen o permiten identificar a una persona natural (nombre, teléfono, dirección, documento de identidad, entre otros).
La ANPDP es el órgano encargado de velar por la protección de los datos personales, ejerciendo funciones fiscalizadoras y sancionadoras de forma bastante activa.
En esa línea, en el año 2021 se han realizado ciento setenta y dos (172) visitas de fiscalización -presenciales y remotas- a trescientas un (301) empresas aproximadamente. Asimismo, se han iniciado ciento veintiún (121) procedimientos administrativos sancionadores y se han emitido ciento trece (113) resoluciones de cierre de la etapa instructiva para que el órgano decisor proceda a resolver dichos casos.
Cabe señalar que la ANPDP tiene la facultad de imponer multas de hasta USD 110 000.00, dependiendo de la gravedad de la infracción, facultad que se refleja en los más de USD 435 068.00 que ha recaudado hasta el 12 de diciembre del 2021 por concepto de multa.[1] Entre las conductas con mayor índice de sanción se encuentra la referida a tratar datos personales sin consentimiento de los usuarios para el ofrecimiento de productos y/o servicios.
En atención a lo anterior, resulta recomendable:
- Adoptar un programa de prevención que permita identificar riesgos en materia de datos personales e implementar medidas para adecuarse a dicha normativa.
- Sin perjuicio del punto previo, y en caso se inicie un procedimiento de fiscalización, recomendamos subsanar las observaciones advertidas por la ANPDP de la manera más breve posible y antes de la notificación de la resolución de inicio del procedimiento administrativo sancionador. Ello con la finalidad de poder acogerse a una causal de eximente de responsabilidad administrativa y evitar la imposición de una multa.
- Si el punto 2 previo no pudiese llevarse a cabo y se iniciase un procedimiento administrativo sancionador sin que se hayan subsanado las observaciones de la ANPDP advertidas durante la fiscalización, recomendamos reconocer espontáneamente las infracciones imputadas y realizar acciones de enmienda en una etapa temprana del procedimiento. Ello en tanto el Reglamento de la Ley prevé en dichos escenarios la aplicación de atenuantes al graduar la sanción de hasta por debajo del rango previsto por la Ley.
Finalmente, a través de los siguientes enlaces podrán encontrar información de utilidad publicada durante el año 2021 por nuestro equipo de datos personales para cumplir y/o adecuarse a dicha normativa:
- Guía sobre datos personales y comercio electrónico y telefónico en el contexto del COVID- 19
- El uso de cookies en el entorno digital
[1] La información ha sido proporcionada por la ANPDP en el marco de una entrevista con la Agencia Andina publicada en su portal web el 16 de diciembre de 2021.