LA MAYOR REFORMA EN PROTECCIÓN DE DATOS

 

ÓSCAR MONTEZUMA PANEZ
SOCIO DE MONTEZUMA & PORTO

El nuevo Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) es la mayor reforma en protección de datos personales en el mundo.

Entrará en vigencia en toda Europa este 25 de mayo.

De hecho, la ley peruana tomó mucho de la Directiva Europea de Protección de Datos de 1995, antecesora al GDPR. El GDPR nace en un contexto de sucesos mundiales de amplia discusión como Cambridge Analytics y un sin número de brecha e incidentes de seguridad que han afectado a corporaciones multinacionales y han expuesto millones de datos personales.

GDPR ha sido anunciado como "el estándar normativo de protección de datos personales más busto a nivel Internacional". Algunas de sus novedades son: (i) cualquier incidente de seguridad que exponga datos personales debe ser notificado a las autoridades dentro de las siguientes 72 horas y a las partes afectadas; (ii) la norma exige la designación de un oficial de cumplimiento de datos personales ("Data Protection Officer") en la organización; (iii) refuerza los derechos de los individuos respecto de su información personal, regulando el polémico y controvertido "derecho al olvido" y la portabilidad de los datos personales, es decir, la posibilidad de solicitar a cualquier organización que trata mis datos personales que entregue mi información cuando finalice mi relación con ella; y, finalmente, (iv) las multas pueden ser hasta 20 millones de euros o 4% de la facturación bruta anual.

Lo anterior es una muestra rápida de algunas nuevas obligaciones, sin embargo, la implementación del GDPR viene exigiendo un trabajo de adecuación minuciosa de sus programas de cumplimiento y el plazo límite para hacerlo es este 25 de mayo.

¿Por qué es importante para el Perú?

Básicamente, porque la norma tiene un alcance global y se aplica incluso fuera del territorio europeo. En ese sentido, podría aplicar a cualquier negocio peruano que cuente con una establecimiento en territorio europeo. Para una organización peruana no establecida en territorio europeo, el GDPR le sería aplicable al tratamiento de datos personales relacionado con actividades que impliquen la oferta de bienes o servicios individuales ubicados en territorio europeo o el monitoreo de individuos ubicados en territorio europeo (por ejemplo, actividades de "profiling" de clientes).

En ambos casos, resulta poco claro -incluso para las propias autoridades europeas- cómo podrán extender la estricta observancia de la norma a jurisdicciones que escapan a su control. Sin embargo, es un tema muy relevante para el Perú en vista de que nuestro país mantiene un Tratado de Libre Comercio con la Union Europea y, a cinco años de su vigencia, según la Cámara de Comercio de Lima, son más de 2,500 empresas peruanas que exportan a la Union Europea.

Si bien nuestra Ley de Protección de Datos Personales data del año 2013 y ya cuenta con más de una modificación (y otras en curso), es altamente probable que el DGRP tendrá un efecto muy importante en Perú y la región.

Publicado en Gestión, 24 de mayo del 2018