Empresas obligadas a informar sobre tratamientos de datos

Multas de hasta 100 UIT, que representan un valor superior a los 515,000 soles, podrían afrontar las empresas que no cumplan con informar a los usuarios y a la Autoridad Nacional de Protección de Datos Personales adscrita al Ministerio de Justicia sobre el tratamiento de sus datos personales, advirtió José Francisco Espinoza Céspedes, docente de la Facultad de Derecho de la Universidad Católica Sedes Sapientiae (UCSS).

“La Ley N° 29733 sobre protección de datos personales obliga a las empresas a informar a los usuarios si es que sus datos personales se alojarán o tratarán en un servidor fuera del país. Además, se deberá comunicar a la Autoridad Nacional de Protección de Datos Personales del Ministerio de Justicia en qué servidor se almacenarán y qué medidas de seguridad se disponen, por ejemplo, si están en otro país entonces existe el flujo transfronterizo de datos personales y es necesario comunicarlo”, afirmó el especialista.

Las multas se aplican por infracciones leves, graves o muy graves y van desde las 0.5 UIT hasta las 100 UIT. Se imponen por carecer de protocolos de seguridad en el manejo de los datos de los clientes, no tener el consentimiento de los usuarios para trasladarlos fuera del país o no indicar a la Autoridad Nacional de Protección de Datos Personales dónde están los datos, quién los trata o precisar el responsable del tratamiento.

Aunque la norma está vigente desde el 2011, se requiere una mayor difusión. Es necesario que las empresas tomen conciencia de las responsabilidades legales que asumen en el tratamiento transfronterizo de datos personales en la nube, advirtió Renato Del Castillo, gerente general de Smartteg. “En la práctica puede suceder que por desconocimiento de la ley no se cumplan con estas obligaciones. O, cuando se cumplen, se puede incurrir en gastos administrativos adicionales”, mencionó.

Debe tenerse en cuenta que la autoridad está cada vez más pendiente de su cumplimiento, pues la vulnerabilidad de la información puede acarrear actos delincuenciales como extorsiones y secuestros, considerando que existen empresas que, por la naturaleza de su servicio no solo poseen datos de los usuarios, sino también fotos, videos, partidas de nacimiento u otros.

“Por ejemplo, una clínica fue multada con 10 UIT por no inscribir su banco de datos en el Registro Nacional de Datos Personales. La autoridad le dio plazo para realizar la inscripción, pero ante el incumplimiento recibió una nueva sanción. Hoy, las empresas están obligadas a informar a sus clientes y rendir confidencialidad hasta por las imágenes que generan sus cámaras de videovigilancia”, precisó Espinoza.

La Autoridad Nacional de Protección de Datos Personales del Ministerio de Justicia vela por la protección de datos de los usuarios y exige que se le informe dónde está alojada la información de las empresas porque el tratamiento legal puede variar según la región.

“En Estados Unidos rige la libertad contractual. Ante una controversia. El juez se limitará a las responsabilidades que se adquieren en el contrato, mientras que en Europa prima el respeto a la legislación del país”, dijo el especialista de la UCSS.

Publicaciones relacionadas

Panduit garantiza la continuidad operativa en Centros de datos con soluciones de vanguardia

Día Internacional del Data Center: El “invisible” pilar del mundo digital

La importancia de los Data Centers en la era digital