Category: Proteccion de Datos Personales
Propuestas, sugerencias y comentarios de @ialaw al Proyecto De Reglamento De La Ley N° 29733 – Ley De Protección De Datos Personales
| 12 abril, 2012 | Publicado en Proteccion de Datos Personales |
Fuente: http://iriartelaw.com/Propuesta-comentarios-Proyecto-de-Reglamento-Ley-29733-Ley-PDP
1. Datos de carácter personal relacionados con la salud (Artículo 2.8° del Proyecto del Reglamento de la Ley N° 29733 – Ley de Protección de Datos Personales, en adelante llamado simplemente “Proyecto de Reglamento”).
Los datos de carácter personal relacionados con la salud no solo corresponden a aquellos concernientes a salud pasada, presente o pronosticada, física o mental de una persona, incluyendo el grado de discapacidad y su información genética; sino que también incluyen a aquellos datos relacionados al dominio de la salud, razonamiento tomado en la definición del Proyecto de Reglamento.
En tal sentido, la definición contenida en el numeral 2.8 del Proyecto de Reglamento no ha previsto de manera plena la protección de la información de carácter administrativo relacionada a la salud de las personas, el mismo que pueden estar presentada por las características demográficas de las personas, situación de su aseguramiento de salud o sobre la gestión de la misma. Así tenemos, por ejemplo, el número de la seguridad social, los datos de un tratamiento específico, entre otros.
Por lo anterior, consideramos que se sería necesario incluir en la definición del artículo 2.8 del Proyecto de Reglamento, uno relativo las informaciones administrativas relativas a la salud.
• Aporte sugerido:
“8.- Datos de carácter personal relacionados con la salud: incluye toda información concerniente a la salud pasada, presente o pronosticada, física o mental, aun la relacionada a la información administrativa, de una persona, incluyendo el grado de discapacidad y su información genética.”
2. Datos sensibles (Artículo 2.9° del Proyecto de Reglamento).
Tanto la Ley de Protección de Datos Personales, como el Proyecto de su Reglamento, exponen como objeto de las mismas el garantizar el derecho fundamental de protección de datos personales, derecho expuesto en el inciso 6 del Artículo 2° de la Constitución Política del Perú.
El indicado artículo 2° de la Constitución regula, además, otros derechos fundamentales que pueden guardar relación con el derecho expuesto en la Ley, como por ejemplo el derecho a la imagen personal, al secreto de las comunicaciones y a la privacidad; pero son finalidades distintas de protección y gozan de legislación especializada y garantías propias. Por ello, tales derechos no deben ser confundidos en su relación con la protección de datos personales. Este hecho se constata en la redacción del Artículo 2.9 del Proyecto de Reglamento, motivo por el cual sugerimos eliminar algunos supuestos que no se constituyen de manera correcta como datos sensibles.
En efecto, los “hechos o circunstancias de su vida afectiva o familiar” no son datos privados, sino información privada, hecho regulado por el artículo 2.6 de la Constitución.
Sobre la inclusión del término “hábitos personales”, este es un concepto muy vago y amplio, y cualquier actividad de marketing y/o segmentación de mercado podría quedar incluida en ese concepto, que eventualmente podrían ser considerados como datos personales, pero no datos sensibles.
En forma alternativa, sugerimos modificar tal redacción por la frase “hábitos personales de la vida íntima”
• Aporte sugerido:
“9.- Datos sensibles: incluye datos personales referidos a las características físicas, morales o emocionales, los hábitos personales de la vida íntima, la información relativa a los estados de salud físicos o mentales u otras análogas que afecten su intimidad.”
3. Rectificación (Artículo 2.16° del Proyecto de Reglamento).
La Ley de Protección de Datos Personales prevé el derecho de rectificación para beneficio del titular de los datos personales.
Si bien tal derecho es uno legítimamente otorgado y justificado, el proceso de ejercicio del mismo podría acarrear ciertas dificultades prácticas para el obligado a atenderla.
En efecto, con la solicitud de rectificación se producirá todo un proceso de ejercicio de tal derecho que, en algunos casos, podría incluir el bloqueo de la información en cuestión; proceso en el cual se podrían originar acciones desproporcionadas e injustificadas de parte del solicitante, sea por motivos voluntarios o no. El inicio de la vigencia de este derecho podría llevar a confusiones al solicitante por creerse con un derecho sobre un hecho del cual no tiene sustento para el ejercicio, sobre todo cuando se cree acreedor de tal derecho por razonamiento o cuestiones subjetivas o personales que podrían estar muy alejadas de la realidad. Tales actos no solo podrían perjudicar a terceros por una rectificación que no calza con la realidad, sino también porque va en contra de una de las justificaciones de tal derecho, que es albergar datos CORRECTOS en las bases de datos de carácter personal.
Por lo expuesto, y en la concepción del ejercicio de tal derecho, se debe también caracterizar la condición de justificar debidamente la solicitud de rectificación.
• Aporte sugerido:
“18.- Rectificación: comprende como concepto genérico la acción destinada a afectar o modificar una base de datos ya sea para, actualizarla, incluir información en ella o específicamente rectificar su contenido con datos correctos, siempre que tal acción esté debidamente justificada.”
4. Ámbito de aplicación (Artículo 3° del Proyecto de Reglamento).
Una de las razones sociales de la dación de este tipo de normativa es el control de tratamientos ilícitos o fuera del orden legal que se realizan en el mercado de tratamientos de datos personales.
Es usual el agrupamiento de personas naturales para el tráfico, así como para la transferencia en el tratamiento desleal, ilícito o ilegal de los datos personales. Así vemos como ejemplo en nuestra realidad nacional, la venta de bancos de datos personales llevados a cabo por comerciantes en locales dedicados a la venta de suministros informáticos, como los ubicados en la avenida Wilson del Cercado de Lima.
Estos comerciantes no necesariamente han constituido una persona jurídica, o realizan tales actividades de manera aislada; sino que por lo general, se agrupan entre ellos para obtener de personas inescrupulosas estos datos con gran valor comercial.
Por ello, a fin de incluir a tales personas de manera más clara en las obligaciones y demás disposiciones de la Ley de Protección de Datos Personales, sugerimos necesario el complementar el texto del Proyecto de Reglamento, comprendiendo en la misma a las personas naturales que tales actividades, tanto manera individual como de manera colectiva o en forma agrupada.
• Aporte sugerido:
“Artículo 3.- Ámbito de aplicación.
El presente reglamento es de aplicación al tratamiento de datos personales contenidos en banco de datos personales o destinados a ser contenidos en bancos de datos personales;
Conforme a los dispuesto por el inciso 6 del artículo 2 de la Constitución Política del Estado y el artículo 3 de la Ley Nº 29733, Ley de Protección de Datos Personales se aplicará a toda modalidad de tratamiento de datos personales, ya sea efectuado por personas naturales sea de manera individual o agrupadas, entidades públicas o entidades del sector privado e independientemente del soporte en el que se encuentren.
La existencia de normas o regímenes particulares o especiales en el ámbito de la administración pública, aun cuando incluyan regulaciones sobre datos personales no excluye a las entidades públicas, a las que dichos regímenes se aplican, del ámbito de aplicación de la Ley y el reglamento.
Lo dispuesto en el párrafo precedente tampoco implica la derogatoria o inaplicación de las normas particulares, en tanto su aplicación no genere la afectación del derecho a la protección de datos personales.”
5. Consentimiento (Artículo 7° del Proyecto de Reglamento).
Si bien la Ley de Protección de Datos Personales condiciona el consentimiento con la fórmula de ser libre, previo, expreso, informado e inequívoco; la aclaración de estos requisitos en el Principio de Consentimiento no estaría contemplando fórmulas de consentimiento ya previstos en el Código Civil vigente, el cual contempla un consentimiento más acorde a las necesidades y evoluciones de las nuevas tecnologías de información y comunicaciones (TIC´s).
En efecto, las TIC´s han originado múltiples cambios y nuevas necesidades para la protección de derechos, tales como el de la protección de datos personales que han derivado en la dación de la ley especializada que debe seguir la línea modernizadora de aceptar un consentimiento expreso, el cual se estaría limitando al introducir el término “directa” tal cual está contemplado en el Artículo 7° del Proyecto de Reglamento.
Dado que el Código Civil en su artículo 141-A, prevé formas de manifestación de la voluntad por medio electrónicos, los cuales pueden ser no directos, la cual tiene la misma validez que la manifestación de la voluntad por medios tradicionales. En tal sentido, y teniendo como marco una era tecnológica, la mayoría de procesos de recopilación de datos se da por medios electrónicos, motivo por el cual tornaría casi imposible de recabar tal consentimiento de forma “directa”.
Por lo antes expuesto se sugiere que sea eliminado del Proyecto de Reglamento el siguiente texto: “No se admiten formulas de consentimiento en las que éste no sea expresado de forma directa, como aquellas en las que se requiere presumir, o asumir la existencia de una voluntad que no ha sido expresa. Incluso el consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y clara.”
• Aporte sugerido:
“Artículo 7.- Consentimiento.
En atención al principio de consentimiento el tratamiento de los datos personales es lícito cuando el titular hubiere prestado su consentimiento libre, previo, expreso, informado e inequívoco.”
6. Título III – Tratamiento de Datos Personales, Capítulo I – Consentimiento.
La Ley de Protección de Datos Personales ha determinado una protección muy especial para los datos sensibles, motivo por lo cual dicha ley habilita a realizar una distinción en su Artículo 3°, específicamente en el siguiente texto: “son objeto de especial protección los datos sensibles”; pero esta restrictiva regulación, la cual está debidamente justificada por la delicada naturaleza de los datos sensibles, parece haber sido trasladada también a los demás datos personales que no necesitan tal grado de protección, cayendo en tales casos en una sobre regulación.
En tal sentido, creemos que sería necesario preverse métodos, formas o concesiones alternas para ciertos casos en donde exista una imposibilidad de obtener un consentimiento expreso.
Por ello, en forma adicional o alternativa, creemos que se podría prever medidas compensatorias, tal como se lo está incluyendo el Reglamento de la Ley de Protección de Datos de México, a través de las cuales se puede requerir el consentimiento de los particulares en casos donde el consentimiento expreso resultaría imposible.
A fin de no caer en contradicción con la Ley peruana, creemos que lo acertado sería incorporar en el Proyecto de Reglamento medidas compensatorias a tales casos, sin hacer uso del consentimiento tácito, el mismo que no está previsto en la Ley.
A manera ejemplificativa, a continuación presentamos la transcripción de algunos artículos de la reglamentación homóloga de México que, consideramos, resultarían de gran interés para su adaptación e inclusión en el Proyecto de Reglamento Peruano:
• Aporte sugerido:
“Artículo X- A. Sobre Medidas compensatorias.
Cuando resulte imposible obtener el consentimiento expreso del titular o exija esfuerzos desproporcionados, en consideración al número de titulares o a la antigüedad de los datos, o alguna otra consideración, el encargado o titular del banco de datos podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los supuestos que se mencionan en el artículo siguiente. Estas medidas no resultarán de aplicación en caso de tratamiento de datos sensibles.
Los casos que no se ubiquen expresamente en los supuestos previstos en el artículo siguiente deberán ser autorizados por la Autoridad, previo a la instrumentación de la medida compensatoria, quien tendrá un plazo de diez días siguientes a la recepción de la solicitud de medida compensatoria del responsable, para emitir la resolución correspondiente.
Si la Autoridad no resuelve en el plazo establecido, la solicitud de medida compensatoria se entenderá como autorizada.
Artículo X- B Consideración de esfuerzo desproporcionado.
Para los efectos de la aplicación de medidas compensatorias, se considerarán desproporcionados los esfuerzos cuando:
(i) el número de titulares de la base de datos supere los diez mil.
(ii) el Responsable no disponga de los datos de localización actualizados del Titular para comunicarle personalmente el aviso de privacidad;
(iii) cuando el Responsable no tenga un trato o contacto habitual o periódico con el Titular a través del cual se hubiese podido recabar el consentimiento;
(iv) cuando los datos se hubiesen obtenido con anterioridad a la vigencia de la ley.
Artículo X- C Medidas compensatorias de comunicación masiva
Las medidas compensatorias de comunicación masiva podrán ser cualquiera de las siguientes:
I. Publicación del aviso de privacidad en un diario de circulación nacional;
II. Publicación del aviso de privacidad en un diario local o en una revista especializada, cuando se acredite que los titulares de los datos personales residan en una determinada entidad federativa o pertenezcan a una determinada actividad;
III. Publicación del aviso de privacidad en una página de Internet del responsable;
IV. Publicación del aviso de privacidad en un hiperenlace o hipervínculo en una página de Internet que se habilite para dicho fin por parte de la Secretaría o del Instituto, cuando el responsable no cuente con una página de Internet propia;
V. Publicación del aviso de privacidad a través de carteles;
VI. Difusión del aviso de privacidad en cápsulas informativas en radiodifusoras, o
VII. Otros medios alternos de comunicación masiva.”
7. Fuentes accesibles al público (Artículo 16° del Proyecto de Reglamento).
Las fuentes de acceso al público son grandes bancos de datos que, pudiendo ser datos públicos o datos personales con carácter público accesibles por terceros, justifica la introducción de una excepción especial para su libre acceso. Estos datos muchas veces responden a necesidades de seguridad jurídica para relaciones entre privados, o de facilidad para el titular del dato en su relación con terceros.
Bajo este razonamiento se puede concluir que resulta imposible regular con coherencia y en toda su extensión, las fuentes de acceso público. Aún cuando se hiciera un gran esfuerzo por relevar las mismas, éstas seguramente resultarían desactualizadas al poco tiempo de ser sancionado el reglamento.
En tal sentido, se recomienda la inclusión de dos supuestos adicionales (numerales 8 y 9) en el Proyecto del Reglamento:
• Aporte sugerido:
“Artículo 16.- Fuentes accesibles al público.
Para los efectos del artículo 2, inciso 9. de la Ley se considerarán, con independencia de que el acceso requiera contraprestación, fuentes accesibles al público a:
1. Los medios de comunicación electrónica, óptica y de otra tecnología, siempre que el sitio donde se encuentre los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general,
2. Las guías telefónicas, independientemente del soporte en el que estén a disposición y en los términos de su regulación específica;
3. Los diarios y revistas independientemente del soporte en el que estén a disposición y en los términos de su regulación específica;
4. Los medios de comunicación social;
5. Las listas de personas pertenecientes a grupos profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección postal, número telefónico, número de fax y correo electrónico y aquellos que establezcan su pertenencia al grupo.
En el caso de Colegios Profesionales, podrán indicarse además los siguientes datos de sus miembros: número de colegiatura, fecha de incorporación y situación gremial en relación al ejercicio profesional;
6. Los repertorios de jurisprudencia;
7. Los Registros Públicos administrados por la Superintendencia Nacional de Registros Públicos – SUNARP, así como todo otro registro o base de datos calificado como público conforme a ley;
8. La Información que deba ser entregada por las entidades de la Administración Pública a quien lo solicite en aplicación de la Ley de Transparencia y Acceso a la Información Pública, lo que no quiere decir que todo dato personal contenido en información administrada por las entidades sujetas a la Ley de Transparencia y Acceso a la información Pública sea considerado información pública;
8. Aquellos bancos de datos personales cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa;
9. Toda información que pueda asociarse con certeza e independientemente de otra información a una persona natural determinada o razonablemente determinable relativa a su vida pública, profesional o de naturaleza comercial, así como también los datos que deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento.
El tratamiento de los datos obtenidos a través de fuentes de acceso público deberán respetar los principios establecidos en la Ley y el Reglamento.”
8. Confidencialidad y seguridad (Artículo 32° del Proyecto de Reglamento).
El estado de seguridad de un banco de datos personales está caracterizado por la confidencialidad, integridad y disponibilidad de la información que alberga o contiene.
Con esta introducción se pretende aclarar que la configuración de confidencialidad es parte del cumplimiento del deber de seguridad. En este establecimiento de relación se propone la inclusión de un párrafo que sustente un principio de proporcionalidad para el cumplimiento de vigilancia propuesto en el Artículo 32° del Proyecto de Reglamento.
• Aporte sugerido:
“Artículo 32.- Confidencialidad y seguridad.
Los operadores de comunicaciones o telecomunicaciones deberán velar especialmente, por la confidencialidad, seguridad, uso adecuado e integridad de:
1. El contenido de cualquier comunicación de voz o de datos, incluyendo mensajes de texto (SMS) y multimedia (MMS), entrantes y salientes, cursados a través de las redes de telecomunicaciones o cualquier otro medio tecnológico existente o que llegara a existir, que contengan datos personales.
2. La información del tráfico de un abonado o usuario y los datos codificados y decodificados de los registros de llamadas.
3. La información de facturación de sus abonados o usuarios, así como la información sobre consumos y deudas.
4. La información referida al origen de la suspensión del servicio, distinto a la falta de pago, que hubiera motivado o generado la conexión o desconexión del servicio.
La lista anterior no es limitativa, por lo que los operadores de comunicaciones o telecomunicaciones deberán velar por la confidencialidad, seguridad y uso adecuado de cualquier otro dato personal obtenido como consecuencia de su actividad.
La seguridad dependerá de la configuración de la confidencialidad, integridad y disponibilidad de la información según el nivel de sensibilidad de los datos personales.”
9. Tratamiento de datos personales en cómputo en la nube o “cloud computing”. (Artículo 35° del Proyecto de Reglamento).
La transferencia de datos personales ha sido definida en la Ley de Protección de Datos Personales, pero está definición no ha sido esclarecida para nuevos supuestos introducidos en el Proyecto de Reglamento, como el de “cloud computing”.
Por ello creemos que resulta necesario determinar una aclaración respecto de la definición de transferencia internacional de datos personales, a fin de determinar si la misma es una que comprenda los servicios de cloud computing o no.
Dado que el lugar de almacenamiento de la información en los servicios de cloud computing es desconocido en la mayoría de las veces, resulta difícil determinar si en tales casos se trata una transferencia internacional de datos o no y, por tanto, determinar las reglas aplicables se dificultaría enormemente.
De otro lado, respecto al término cómputo en la nube o “cloud computing”, el Proyecto de reglamento es tal vez la primera legislación de la región que se atreve a regularlo y a proponer una conceptualización del mismo. Sin embargo, el Proyecto de Reglamento lo señala sin dar una definición precisa del mismo, lo cual consideramos imprescindible a fin de distinguir dicho servicio de otros similares.
No obstante lo anterior, sería recomendable que el tratamiento del servicio de cloud computing se diera en una ley o disposición especial, por lo extenso y complejo que resulta el tema, y así evitar un tratamiento incipiente e incompleto en el Reglamento del Proyecto. Por tales consideraciones recomendamos la eliminación, por esta ocasión, de toda referencia al servicio de cloud computing del Reglamento de la Ley.
• Aporte sugerido:
Eliminar el Artículo 35° del Proyecto de Reglamento referido a los servicios de cloud computing.
10. Derecho al tratamiento objetivo de datos personales (Artículo 72° del Proyecto de Reglamento).
La Ley de Centrales de Riesgo (CEPIRS) es una excepción que la legislación peruana ha previsto para la comercialización de datos personales y se debe regir por sus propias normas, tal como lo autoriza el artículo 13.9 de la Ley de Protección de Datos Personales (relativo a la comercialización de datos personales).
• Aporte sugerido:
“Artículo 72.- Derecho al tratamiento objetivo de datos personales.
Para efectos del ejercicio del derecho al tratamiento objetivo de conformidad con lo establecido en el artículo 23º de la Ley, cuando se traten datos personales como parte de un proceso de toma de decisiones sin que intervenga la valoración de una persona física, el titular del banco de datos o responsable del tratamiento deberá informar a la brevedad posible al titular de datos personales que dicha situación ocurre, sin perjuicio de lo regulado para el ejercicio de los demás derechos en la Ley y el presente Reglamento.
Las centrales de riesgo reguladas en la Ley se sujetarán a lo ya establecido en su legislación especial.”
Documento: Comentarios al proyecto de Reglamento Ley PDP – I&A v1.pdf
Que no hacer con el reglamento de la ley de protección de datos
| 23 febrero, 2012 | Publicado en Proteccion de Datos Personales |
Estamos prontos a que se publique o el borrador o el reglamento de la ley de proteccion de datos personales (a esta altura no esta claro que publicara la Comisión redactora del Reglamento), pero habiendo sido participe de la redacción de la ley y que esta estaba inspirada en un equilibrio entre un modelo reglamentarista y un modelo abierto, que respete al usuario y que brinde las posibilidades de seguir creciendo económicamente facilitando el desarrollo de una industria respetuosa de la privacidad de los usuarios, es en este contexto que escribo estas líneas de lo que “No Se Debe Hacer” con dicho Reglamento, esperando que las palabras despues de tantos años que costo tener esta ley sean escuchadas y esperanzado en que no repitamos modelos de texto sino que realicemos una realización de vanguardia basado en la realidad y en la protección del invididuo.
a. No debe afectar la competitividad del país. La Meta 45 de la Agenda de Competitividad dice: “Permitir que los datos de registro de personas y empresas sean de acceso abierto para todo el sector publico”, siendo con ello necesario para el desarrollo de las actividades de todos los sectores, se debe establecer claramente los parametros de bases de acceso publica, que permitan tanto la gestión pública como su uso privado en aras de una mejora en la competitividad.
b. No debe impedir la innovación y el desarrollo de la industria, en todas sus vertientes. Siendo entonces que antes que normas restrictivas y taxativas se debe dar fuerza a la innovación en la gestión de datos, permitiendo el crecimiento de servicios que le sean utiles al ciudadano, respetando su privacidad, pero basados en la libertad contractual de los individuos. El Estado es un facilitador del desarrollo no un gendarme.
c. No debe buscar un reglamentarismo exagerado que termine afectando actividades vigentes. Se debe respetar el principio de especialidad y sectorialización, respetando la ley de protección de datos, pero reconociendo las peculiaridades de los diversos sectores. Se debe por tanto permitir el desarrollo de industria en torno a la gestión adecuada de la protección de datos.
d. No debe crear elementos contrarios a la libertad de los individuos. Siendo entonces que el individuo debe estar informado de sus derechos y sus deberes en relación a sus datos personales, pero también generarle opciones para que vía contractual y sobre todo en un proceso de Sociedad de la Información pueda compartir libremente su información.
e. No debe impedir el uso de medios electrónicos para manifestar la voluntad. El reconocimiento explícito del articulo 141A del Código Civil debe ser norte del Reglamento, de esta manera se facilitara mucho de los servicios que brinda el sector público y privado, siendo así se abre toda un camino nuevo hacia un Perú Digital.
f. No debe ir contra la corriente en la apertura de open data para la transparencia. La lucha contra la corrupción y el acceso a la información pública son el otro lado de la moneda de la protección de datos personales, no son una confrontación sino que debemos velar que no se abuse de la protección de datos personales para impedir una lucha contra la corrupción y sobre todo se impida un adecuado “control y veeduría ciudadana” sobre los actos gubernamentales.
g. No debe olvidar que estamos insertos en APEC. Y con ello debemos crear una reglamentación abierta y pensando en los acuerdos que ya hemos firmado y estamos firmando, que nos piden normativa sobre Protección de Datos en el Marco del Privacy Framework de APEC. Solo enfocarnos en un modelo nos llevará a comprometer compromisos con otras regiones donde también actuamos y tenemos intereses comerciales y sociales.
h. No debe afectar la estabilidad económica y el crecimiento del pais. Uno de los pilares básicos para el crecimiento económico es la predictibilidad jurídica de esta manera conocer la normativa de manera anticipada para comentarios será clave para el proceso, pero ademas reconocer que la transparentización de la gestión pública conjugada con mecanismos de interoperabilidad de datos ayudan al gobierno electrónico; sumados a la información que debe existir para una predictibilidad sobre el comportamiento de empresas y usuarios en la gestión de datos y sobre su compartamiento económico (de esta manera las acciones de lucha contra el lavado de dinero, entre otros proveniente del narcotráfico, no se verán afectadas).
La Ley de Protección de Datos Personales y su reglamentación es una oportunidad para el Peru de demostrar que es un país que es punto de encuentro de la Cuenca del Pacífico con Europa, modelo a seguir en la región por su equilibrio y sobre todo un instrumento para seguir con el desarrollo humano de todos y todas.
Es pues saber que el reglamento de la ley de protección de datos, puede terminar siendo un elemento diferenciador del Perú en la región, pero sobre todo clave para no afectar el flujo de inversión, las oportunidades de acceso a la información, la lucha contra la corrupción y la transparencia de la acción del estado. ¿Será entonces que el Reglamento reflejará esta importante misión que tiene?
*Erick Iriarte es coordinador del Grupo de Aspectos Legales del Comite de TICs de la Sociedad Nacional de Industrias. Socio Principal de Iriarte & Asociados
@ialaw publica Clausula Modelo para incorporar en webs y contratos para cumplir la Ley de Protección de Datos Personales
| 13 julio, 2011 | Publicado en Proteccion de Datos Personales |
Cláusula Modelo para ser incorporada a Webs y Contratos para Protección de Datos Personales. Esta cláusula ha sido desarrollada por Iriarte & Asociados, como cláusula tipo, cada institución deberá desarrollar sus propias cláusulas de acuerdo al tipo de datos que recabara y su utilización.
“De conformidad con la Ley N° 29733, Ley de Protección de Datos Personales, desde el momento de su ingreso y/o utilización al portal el usuario da expresamente su consentimiento para el tratamiento de los datos personales que por el sean facilitados o que se faciliten a través de su ingreso al portal o por cualquier medio. Asimismo, el usuario consiente expresamente que XXX pueda ceder los datos personales, a terceros en los términos y condiciones anteriormente indicados.
Los datos personales serán incorporados al fichero de Clientes de titularidad de XXX. Sus datos serán utilizados en la gestión administrativa y comercial de la petición del usuario.
Los datos se mantendrán en el fichero mientras se consideren útiles con el fin XXX pueda prestar y ofrecer su servicios y darles trámite, enviarle información y publicidad sobre las ofertas, promociones y recomendaciones de XXX.
En cuanto entre en vigencia las disposiciones pertinentes de la Ley N° 29733, al Usuario le asiste de ejercer los derechos de acceso, rectificación, oposición y cancelación de los datos personales, los cuales podrá ejercer mediante la opción de contacto que ponemos a su disposición.”
MAYOR INFORMACIÓN.
Si tiene alguna consulta o duda respecto, no dude en contactarse con nuestra división de Proteccion de Datos Personales de Iriarte & Asociados (contacto@iriartelaw.com)
Alerta IA-Law – Perú promulga y publica "Ley de Protección de Datos Personales"
| 3 julio, 2011 | Publicado en Proteccion de Datos Personales |
Fuente: http://www.alfa-redi.org/noticia.shtml?x=17826
Hoy, 3 de julio de 2011, un día luego de su promulgación, se ha publicado en el Diario Oficial El Peruano la Ley N° 29733 “Ley de Protección de Datos Personales”. Ley que tiene por objeto la protección de los datos personales en el Perú.
Luego, de ocho años desde el primer borrador mediante un anteproyecto, el gobierno peruano promulga esta Ley que es producto de la colaboración de muchos sectores de la sociedad, tales como el Estudio Iriarte & Asociados, ONG Alfa-Redi, empresas nacionales, entidades públicas, entre otros.
Esta Ley se caracteriza por tener conceptos y principios acordes con los últimos avances en legislación en la materia, además de un especial cuidado para la situación de protección a menores de edad.
Uno de los objetivos de dicha norma no solo es poner al país como una posición de puerto seguro en la región sino alcanzar los estándares internacionales como el europeo y el norteamericano, reconocidos por su larga data de líderes de legislación en la materia. Lo cual permitirá una fluidez ventajosa de este tipo de información con dichas regiones y aprovechar en mejor manera las condiciones de Tratados de Libre comercio que se tiene con ellos.
Dicha norma, clarifica y reconoce los derechos conexos para la protección de los datos personales, otorga un nuevo proceso alternativo para brindar un mejor y eficaz instrumento de protección de dicho derecho constitucional, así como un Autoridad de Control Nacional que se dedicará en forma exclusiva al cumplimiento de dicha Ley, evitando así entre otros el problema de la carga procesal judicial.
La entrada en vigencia de esta norma, será de forma progresiva para facilitar la implementación normativa en las distintas entidades, así como la elaboración del Reglamento, implementación de la Autoridad de Control y concientización de las nuevas obligaciones y derechos que se prevén. A partir de mañana entrará en vigencia el Título II “Principios Rectores”, en otras disposiciones complementarias de la Ley.
Iriarte & Asociados felicita dicha promulgación y prontísima publicación por su importancia en el resguardo del derecho fundamental de la protección de la información personal y la apertura al Perú a un sector internacional del tratamiento de datos.
Asimismo, Iriarte & Asociados reconfirma su compromiso y labor de alentar y vigilar el progreso normativo de la esta Ley que en su defecto más próximo es la redacción del Reglamento, como lo viene haciendo de manera pionera desde varios años, en su compromiso social con el desarrollo de la sociedad de la información.
Conceptos base
La Ley define a los datos personales como toda información sobre una persona NATURAL que la identifica o la hace identificable a través de medios que puedan ser razonablemente utilizados.
Dentro de ellos están los datos sensibles que son datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afi liación sindical; e información relacionada a la salud o a la vida sexual.
Entre los derechos que se reconoce al titular de los datos personales están: derecho de información, acceso de actualización, inclusión rectificación y supresión; derecho al bloqueo del acceso a los datos, a impedir el suministro, de oposición, al tratamiento objetivo, a la tutela y a ser indemnizado.
Consentimiento
La norma condiciona que podrá ser objeto de tratamiento un dato personal previo consentimiento de su titular, salvo ley autoritativa al respecto. El consentimiento deberá ser previo, informado, expreso e inequívoco; en el caso particular de los datos sensibles, el consentimiento además debe efectuarse por escrito; el consentimiento puede ser revocado por el titular en cualquier momento con los mismos requisitos para su otorgamiento.
Autoridad competente.
La Autoridad Nacional de Protección de Datos tendrá a su cargo el Registro Nacional de Protección de Datos Personales, registro de carácter administrativo. En el ejercicio de sus funciones no posibilitará el conocimiento del contenido de los bancos de datos personales por parte de la Autoridad Nacional de Protección de Datos Personales, salvo procedimiento administrativo en curso, quedando así a salvo la preocupación que el Estado tuviera acceso libre a esta data.
Sanciones.
Por último, la norma señala las infracciones a la Ley, que pueden ser calificadas como leves, graves y muy graves, así como los aspectos del procedimiento sancionador, las sanciones y multas coercitivas a aplicarse.
Puede revisar el texto completo de la norma en el siguiente enlace:
http://es.scribd.com/doc/59234159/LEY-29733-PDP
MAYOR INFORMACIÓN.
Si desea mayor información o realizar una consulta en relación a la Ley o al tema de protección de datos personales en el Perú comuníquese con nosotros, que nuestra División especializada en Protección de Datos y Acceso a la información lo atenderá. . Seguiremos colaborando con el debate y el proceso de implementación de dicha norma.
Área de prensa: contacto@iriartelaw.com
Últimos comentarios