COVID-19: Normas para los datos personales

En EY Law - Servicios legales

En esta sección respondemos a las preguntas más frecuentes de empresas y usuarios, y detallamos las normas y comunicados oficiales emitidos en el contexto del COVID-19. Ello con el objetivo de mantenerlo permanentemente informado y ayudarlo a gestionar los retos en este contexto.

Temas relacionados EY Law - Servicios legales Talento Impuestos Servicios financieros Cliente medio ambiente, salud y seguridad Consultoría

Equipo

EY Perú

EY Perú

Organización multidisciplinaria de servicios profesionales

  La información se encuentra actualizada al 07 abril de 2020

  • Preguntas frecuentes

    • Estamos recogiendo información de nuestros empleados con la finalidad de tomar acciones para proteger su salud, ¿debo cumplir con alguna formalidad o paso previo?

      Sí. Los datos sobre la salud de las personas son considerados “datos sensibles” y el consentimiento que se requiere para recolectar datos personales debe ser, además otorgado en forma escrita, sea mediante firma manuscrita, digital o cualquier otro mecanismo de autenticación que garantice la voluntad inequívoca del titular. Si ya recabaste datos, pero no has cumplido con la formalidad, es posible regularizar este permiso. Además, la base de datos donde se almacenen estos datos debe ser inscrita ante la Autoridad Nacional de Protección de Datos Personales. 

    • ¿Puedo conocer si alguno de mis empleados está contagiado con COVID-19?

      Sí puedes conocer si tus empleados están contagiados o no, pues ello resulta necesario para diseñar a través de tu servicio de prevención los planes de contingencia necesarios, así como las acciones previstas por el Ministerio de Salud – MINSA.

    • ¿Puedo informar a medios de comunicación u otros terceros sobre un empleado con sospechas de contagio o contagiados con COVID-19?

      No. Debes proteger la identidad del paciente, limitando el acceso público a dicha información. Recuerda que la única institución oficial autorizada de brindar información sobre casos confirmados con COVID-19 es el MINSA. 

    • ¿Puedo informar al interno de mi empresa sobre un empleado con sospechas de contagio o contagiado con COVID-19?

      Sí, en la medida que ello sea indispensable para tomar acciones para proteger a otros trabajadores o funcionarios de la empresa; pero, en la medida de lo posible, se debe comunicar sin identificar a la persona específica.

    • ¿Cómo puedo implementar en mi empresa medidas preventivas relativas al COVID-19?

      Para implementar medidas preventivas y contener la propagación del COVID-19, debes recabar estrictamente los datos personales mínimos necesarios para este fin y no utilizarlos para propósitos distintos. De esta manera, garantizarás que el titular de los datos personales conozca previamente las finalidades para las cuales estás recopilándolos.

    • ¿Existe alguna limitación al consentimiento para el tratamiento de datos personales relativos a la salud?

      Sí, en circunstancias de riesgo (prevención, diagnóstico y tratamiento médico realizado por establecimientos o profesionales de la salud) o por razones de interés público o de salud pública, ambas calificadas como tales por el MINSA.

    • ¿Puedo ser pasible de sanción por divulgar datos personales de pacientes con coronavirus?

      Sí, la Autoridad Nacional de Protección de Datos Personales, órgano adscrito al Ministerio de Justicia y Derechos Humanos, puede imponerte una multa máxima de 50 UIT (S/ 215 mil), pues dicha conducta la cataloga como infracción grave.

    • ¿Cuál es la diferencia entre “consentimiento de los datos personales” y “consentimiento informado”?

      Sí. El primero tiene un carácter general (para todo tipo de servicios ofrecidos) y debe ser obtenido, de forma libre, previa, informada, expresa e inequívoca, por el titular del banco de datos personales o quien resulte responsable de su tratamiento.

       

      El segundo se refiere específicamente a servicios de salud y está vinculado a la conformidad expresa del paciente sobre una atención médica, en forma libre, voluntaria y consciente, después de que el médico le informó sobre la naturaleza de dicha atención, sus riesgos y sus beneficios.

    • ¿Pueden los titulares de datos personales revocar su consentimiento para el tratamiento de sus datos?

      Sí. Los titulares de datos personales pueden revocar, en cualquier momento sin justificación previa y sin atribuir efectos retroactivos, el consentimiento que han brindado, cumpliéndose los mismos requisitos previstos con ocasión de su otorgamiento.

    • ¿Qué debo realizar si el titular de datos personales revoca su consentimiento?

      En caso de revocación, tienes la obligación de adecuar los nuevos tratamientos a la revocación y los tratamientos que estuvieran en proceso de efectuarse, en el plazo que resulte de una actuación diligente, que no podrá ser mayor a cinco (5) días.

    • ¿Qué ocurre si la revocación afecta la totalidad del tratamiento de datos personales?

      En este supuesto, debes aplicar las reglas de cancelación o supresión de datos personales y establecer mecanismos fácilmente accesibles e incondicionales, sencillos, rápidos y gratuitos para hacer efectiva la revocación.

    • ¿Cómo puedo resguardar los datos personales que recopilo de mis empleados, clientes y proveedores?

      Debes establecer medidas técnicas y organizativas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que recopila, a fin de evitar su pérdida, filtración y/o su difusión sin su consentimiento.

    • Si cuento con sistemas informáticos que realizan tratamiento de datos personales, ¿qué medidas debo implementar en mi empresa?

      • Procedimientos de autenticación y autorización (uso de usuario y contraseña no compartidos).
      • Procedimientos documentados (gestión de acceso y gestión de verificación periódica).
      • Registros de interacción lógica de los usuarios (de inicio y cierre de sesión).
      • Controles de seguridad (ambiente aislado, extintores, riesgo eléctrico, etc.).
      • Procedimientos para realizar copias de respaldo de la información.
      • Transferencia de datos (con autorización del titular, evitando la pérdida y el acceso no autorizado).

    • Y si, además, cuento con documentos físicos que contienen datos personales, ¿qué debo hacer?

      • Debes ubicar los archivadores que cuentan con datos personales en un lugar aislado de la empresa, esto es, con acceso restringido y, de ser el caso, asegurados con una llave.
      • Al momento de trasladar físicamente los documentos con datos personales, debes contar con medidas de seguridad dirigidas a impedir que terceras personas accedan o manipulan la información.
      • Debes asignar un usuario y una contraseña al personal encargado de efectuar copias e impresiones de documentos que contengan datos personales.

    • Si mi empresa brinda servicios de salud, ¿las exigencias son las mismas?

      Sí, e incluso se recomienda tomar precauciones adicionales, ya que los datos relativos a la salud son considerados legalmente como datos sensibles (de mayor protección). Todos los establecimientos de salud públicos y privados del país están obligados a proteger la confidencialidad de los datos personales que recopilan de sus pacientes.

    • ¿Puedo ser pasible de sanción si no implemento medidas de seguridad adecuadas que resguarden los datos personales que manejo?

      Sí. No implementar medidas de seguridad es un incumplimiento al principio de seguridad y, por tanto, es considerado como una infracción grave sancionada con una multa máxima de 50 UIT (S/ 215 mil).

    • ¿Qué tipos de sanciones administrativas puede imponerme la Autoridad Nacional de Protección de Datos Personales?

      • Infracciones leves (de 1 UIT a 5 UIT). Por ejemplo, dar tratamiento de datos personales sin recabar el consentimiento de sus titulares o no atender el ejercicio de los derechos del titular.
      • Infracciones graves (de 5 UIT a 50 UIT). Por ejemplo, no implementar medidas de seguridad o no inscribir el banco de datos personales en el Registro Nacional de Protección de Datos Personales.
      • Infracciones muy graves (de 50 UIT a 100 UIT). Por ejemplo, no cesar el tratamiento ilícito de datos personales o no inscribir el banco de datos personales, pese a haber sido requerido por la autoridad.

    • ¿Cuáles son las principales normas en el Perú que regulan la protección de datos personales?

      Ley de Protección de Datos Personales (Ley 29733): garantiza el derecho fundamental a la protección de los datos personales, a través de su adecuado tratamiento, en un marco de respeto de los demás derechos fundamentales reconocidos en la Constitución Política del Perú.

      Reglamento de la Ley 29733 (Decreto Supremo 003-2013-JUS): desarrolla la Ley 29733, regulando su adecuado tratamiento, tanto por las entidades públicas, como por las instituciones privadas. Sus disposiciones constituyen normas de orden público y de obligatorio cumplimiento.

      Directiva de Seguridad de la Información administrada por los Bancos de Datos Personales:       Garantizar la seguridad de los datos personales contenidos o destinados a ser contenidos en bancos de datos personales, mediante medidas de seguridad que protejan a los bancos de datos personales

      Guía Práctica para la observancia del “Deber de Informar”:       orienta, de forma práctica y sencilla, a toda persona natural o jurídica, así como entidad pública, que realiza tratamiento de datos personales sobre cómo dar cumplimiento al derecho-deber de información previsto en la Ley.

      Directiva sobre Tratamiento de Datos Personales mediante Sistemas de Videovigilancia:       establece las disposiciones para el tratamiento de datos personales captados a través de sistemas de videovigilancia con fines de seguridad, control laboral y otros.

    • ¿Qué modalidades de fraudes o estafas se pueden realizar por Internet?

      Carding: uso no autorizado de una tarjeta de crédito, cuenta bancaria u otro producto financiero, con los datos obtenidos a través de compras on-line fraudulentas (productos a bajo costo o imitaciones de artículos).

      Phishing: a través de un correo electrónico supuestamente enviado por una entidad financiera, se solicitan datos bancarios y contraseñas, para acceder a un enlace web similar al de dicha entidad. Luego, con los datos ingresados se realizan consumos fraudulentos.

      Pharming: similar al Phishing pero, en lugar de remitirse a otra página web, lo que ocurre es que aprovecha una vulnerabilidad de la página web real para consignar una fraudulenta a fin de obtener los datos y, una vez en esta, utilizan los datos ingresados para efectuar operaciones y consumos.

      Vishing o Smishing: variante del Phishing, al realizar a través de llamadas o mensajes de texto, incitando a que se comuniquen con un número de teléfono determinado para acceder a sorteos, ofertas o regalos, previamente habiendo brindado sus datos personales. 

    • ¿Cuáles son las principales normas en el Perú que regulan la ciberdelincuencia?

      Ley de Delitos Informáticos (Ley 30096): previene y sanciona las conductas ilícitas que afectan los sistemas y datos informáticos, cometidas mediante la utilización de tecnologías de la información o de la comunicación, a fin de garantizar la lucha eficaz contra la ciberdelincuencia.

      Convenio sobre la Ciberdelincuencia (Convenio de Budapest): mecanismo de cooperación entre Estados Miembros de Europa y las demás economías firmantes ―ratificado por el Perú mediante Decreto Supremo 010-2019-RE―, para proteger a la sociedad frente a la “ciberdelincuencia”.

    *Las respuestas aquí contenidas representan opiniones generales. Cada caso deberá ser analizado considerando sus particularidades.

  • Normas

COVID-19: Explore los sectores y su normativa

Preguntas frecuentes, normas y comunicados oficiales emitidos en el contexto del COVID-19. 

 

Obtén más información
Man above the clouds on mountain Lofoten Norway

Contáctanos

¿Te interesó el contenido? Contáctanos para mas información