Boletín de prensa

15 ene. 2024

EY Perú: Multas por infracción a la normativa en protección de datos personales pueden ascender a S/ 515,000

Desde el año 201, existe en el Perú toda una normativa que regula esta materia.

Contacto para prensa
Miya Mishima
Miya Mishima

Brand, Marketing & Communications Leader, EY Perú

Ayudo a que las cosas sucedan, a través de equipos excepcionales que sepan hacer brillar sus ideas, con propósito y energía. Comunicadora, mamá de dos y aficionada al diseño.

email LinkedIn
Temas relacionados EY Law - Servicios legales
  • Las multas que impone la Autoridad Nacional de Protección de Datos Personales (ANPDP) son independientes entre sí y, por tanto, son sumatorias.
  • La infracción más común cometidas por las empresas supervisadas por la ANPDP suele ser el incumplimiento en la inscripción o actualización de sus bancos de datos personales.

Hasta S/ 515,000 ascenderían las multas que puede imponer la Autoridad Nacional de Protección de Datos Personales (ANPDP) a las empresas por infracciones en materia de protección de datos personales, dependiendo de la gravedad de la falta.

Los datos personales comprenden todo un abanico de opciones que van desde la propia información personal de trabajadores, clientes, proveedores y, en general, de terceros, hasta el registro de imágenes en cámaras de videovigilancia. Cabe señalar que la ANPDP toma como base dos aspectos para iniciar sus fiscalizaciones: (i) antecedentes o casos previos en el sector donde opera la empresa fiscalizada y (ii) publicaciones sobre la materia en redes sociales o noticias en diversos medios de comunicación.

Desde el año 2011, existe en el Perú toda una normativa que regula esta materia, independientemente del rubro en el que se encuentre la empresa. No cumplir con estas disposiciones no es una opción, ya que se pueden generar consecuencias jurídicas importantes que podrían poner en apuros a una organización, no solo a nivel económico sino también generando un daño a su reputación
Bruno Mejía
Competition & Markets Manager, EY Law

Además de una multa, la ANPDP tiene la facultad de ordenar medidas correctivas para revertir la situación en la que se encontraba el titular de los datos personales antes de la vulneración de sus derechos. Para cumplir las medidas correctivas, la ANPDP brinda a las empresas, en promedio, plazos entre 15 y 30 días hábiles, dependiendo de la naturaleza de la infracción cometida en cada caso en particular. 

Entre las principales infracciones que cometen las compañías y que pueden ser multadas, figuran: 

  • Incumplimiento en la inscripción o actualización de bancos de datos personales

    Al implementar, por ejemplo, softwares o contratar proveedores para el almacenamiento de datos personales, es necesario informar de ello a la ANPDP. El procedimiento es sumamente sencillo, consiste en declarar qué tipo de información de carácter personal las empresas recopilan y almacenan de sus trabajadores, clientes, proveedores y, en general de terceros.  Dicha declaración se debe realizar a través de un formato virtual que el Ministerio de Justicia y Derechos Humanos pone a disposición. No realizarlo implica la comisión de una infracción y, por tanto, la imposición de una multa.

  • Falta de publicación de una Política de Privacidad en la web y otros canales de comunicación

    Todas las compañías que utilizan datos personales están obligadas a publicar su Política de Privacidad, ya sea en plataformas digitales (sitio web o aplicativo) o en sus propias instalaciones.  Con la difusión de este documento de gestión a través se da cumplimiento al “deber de informar”, pues permite conocer, entre otros aspectos, el responsable del tratamiento, los tipos de datos personales que se recopilan, el banco de datos personales donde se almacena dicha información, su plazo de conservación, la identificación de las entidades a las cuales se podrá transferir los datos personales y los mecanismos para atender los derechos reconocidos a los titulares de datos personales.  

  • No contar con cláusulas de privacidad

    Es de suma importancia que las empresas cuenten con cláusulas de privacidad para cada uno de los tipos de titulares de datos personales respecto de los cuales se recopila su información.  Por ejemplo, los datos personales de los trabajadores de una empresas suelen tener datos sensibles (información médica o ingresos económicos) y, por tanto, resulta necesario diseñar e implementar cláusulas de privacidad que, precisamente, informen sobre el tratamiento específico que se dará a dichos datos personales.  Lo mismo ocurre con los datos personales que puedan obtenerse de clientes, proveedores y, en general, de terceros.

  • No contar con acuerdos que regulen las transferencias de datos personales entre empresas

    Es innegable que los datos personales son un activo valioso para las empresas y sus negocios.  Por este motivo, resulta de relevancia que las empresas tengan reglas claras al momento de transferir o recibir dicho tipo de información de terceras empresas.  Por este motivo, es determinante que las empresas puedan implementar acuerdos o compromisos para la transferencia de datos personales con sus socios estratégicos o aliados comerciales, identificando claramente para cada una de las partes su rol de responsable o encargado del tratamiento de datos personales y, por tanto, sus obligaciones, responsabilidades y facultades en el marco de dicha transferencia.

  • No implementar medidas de seguridad organizacionales, jurídicas y técnicas en el tratamiento de los datos personales

    La regulación en materia de datos personales dispone que las compañías implementen medidas de seguridad en tres niveles: 

    • Organizacional: A través de manuales o formatos a seguir en todos sus procesos internos que involucren el tratamiento de datos personales.
    • Jurídico: A través de cláusulas, acuerdos y políticas a ejecutarse en caso de eventuales incumplimientos a la normativa de protección de datos personales.
    • Técnico: A través de soportes físicos y virtuales que garanticen la seguridad y accesibilidades de los datos personales que manejan.
Lo que suele hacerse en la práctica, para realizar un transferencia de datos personales, es que las empresas responsable del tratamiento de los datos personales, por la dinamicidad del mercado y especialización de los procesos, encargan dicha función a un tercero. Para que ello ocurra sin exponerse a riesgos, este último debe también implementar las medidas de seguridad necesarias, garantizar la confidencialidad de los datos personales que reciban de los responsables y conservar los datos personales por un plazo máximo de dos años, posteriores a la culminación de su relación comercial
Bruno Mejía
Competition & Markets Manager, EY Law

- Fin -

 

Nota

Acerca de EY 

EY es la firma líder en servicios de auditoría, impuestos, estrategia, transacciones y consultoría. La calidad de servicio y conocimientos que aportamos ayudan a brindar confianza en los mercados de capitales y en las economías del mundo. Desarrollamos líderes excepcionales que trabajan en equipo para cumplir nuestro compromiso con nuestros stakeholders. Así, jugamos un rol fundamental en la construcción de un mundo mejor para nuestra gente, nuestros clientes y nuestras comunidades.