COVID-19: Normas para los datos personales

No. Debes proteger la identidad del paciente, limitando el acceso público a dicha información. Recuerda que la única institución oficial autorizada de brindar información sobre casos confirmados con COVID-19 es el MINSA. 

Para implementar medidas preventivas y contener la propagación del COVID-19, debes recabar estrictamente los datos personales mínimos necesarios para este fin y no utilizarlos para propósitos distintos. De esta manera, garantizarás que el titular de los datos personales conozca previamente las finalidades para las cuales estás recopilándolos.

Para implementar medidas preventivas y contener la propagación del COVID-19, debes recabar estrictamente los datos personales mínimos necesarios para este fin y no utilizarlos para propósitos distintos. De esta manera, garantizarás que el titular de los datos personales conozca previamente las finalidades para las cuales estás recopilándolos.

Sí, en circunstancias de riesgo (prevención, diagnóstico y tratamiento médico realizado por establecimientos o profesionales de la salud) o por razones de interés público o de salud pública, ambas calificadas como tales por el MINSA.

Sí, la Autoridad Nacional de Protección de Datos Personales, órgano adscrito al Ministerio de Justicia y Derechos Humanos, puede imponerte una multa máxima de 50 UIT (S/ 215 mil), pues dicha conducta la cataloga como infracción grave.

Sí. El primero tiene un carácter general (para todo tipo de servicios ofrecidos) y debe ser obtenido, de forma libre, previa, informada, expresa e inequívoca, por el titular del banco de datos personales o quien resulte responsable de su tratamiento.

El segundo se refiere específicamente a servicios de salud y está vinculado a la conformidad expresa del paciente sobre una atención médica, en forma libre, voluntaria y consciente, después de que el médico le informó sobre la naturaleza de dicha atención, sus riesgos y sus beneficios.

Sí. Los titulares de datos personales pueden revocar, en cualquier momento sin justificación previa y sin atribuir efectos retroactivos, el consentimiento que han brindado, cumpliéndose los mismos requisitos previstos con ocasión de su otorgamiento.

En caso de revocación, tienes la obligación de adecuar los nuevos tratamientos a la revocación y los tratamientos que estuvieran en proceso de efectuarse, en el plazo que resulte de una actuación diligente, que no podrá ser mayor a cinco (5) días.

En este supuesto, debes aplicar las reglas de cancelación o supresión de datos personales y establecer mecanismos fácilmente accesibles e incondicionales, sencillos, rápidos y gratuitos para hacer efectiva la revocación.

Debes establecer medidas técnicas y organizativas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que recopila, a fin de evitar su pérdida, filtración y/o su difusión sin su consentimiento.

• Procedimientos de autenticación y autorización (uso de usuario y contraseña no compartidos).
• Procedimientos documentados (gestión de acceso y gestión de verificación periódica).
• Registros de interacción lógica de los usuarios (de inicio y cierre de sesión).
• Controles de seguridad (ambiente aislado, extintores, riesgo eléctrico, etc.).
• Procedimientos para realizar copias de respaldo de la información.
• Transferencia de datos (con autorización del titular, evitando la pérdida y el acceso no autorizado).

• Debes ubicar los archivadores que cuentan con datos personales en un lugar aislado de la empresa, esto es, con acceso restringido y, de ser el caso, asegurados con una llave.
• Al momento de trasladar físicamente los documentos con datos personales, debes contar con medidas de seguridad dirigidas a impedir que terceras personas accedan o manipulan la información.
• Debes asignar un usuario y una contraseña al personal encargado de efectuar copias e impresiones de documentos que contengan datos personales.
   

Sí, e incluso se recomienda tomar precauciones adicionales, ya que los datos relativos a la salud son considerados legalmente como datos sensibles (de mayor protección). Todos los establecimientos de salud públicos y privados del país están obligados a proteger la confidencialidad de los datos personales que recopilan de sus pacientes.

Sí. No implementar medidas de seguridad es un incumplimiento al principio de seguridad y, por tanto, es considerado como una infracción grave sancionada con una multa máxima de 50 UIT (S/ 215 mil).

• Infracciones leves (de 1 UIT a 5 UIT). Por ejemplo, dar tratamiento de datos personales sin recabar el consentimiento de sus titulares o no atender el ejercicio de los derechos del titular.
• Infracciones graves (de 5 UIT a 50 UIT). Por ejemplo, no implementar medidas de seguridad o no inscribir el banco de datos personales en el Registro Nacional de Protección de Datos Personales.
• Infracciones muy graves (de 50 UIT a 100 UIT). Por ejemplo, no cesar el tratamiento ilícito de datos personales o no inscribir el banco de datos personales, pese a haber sido requerido por la autoridad.
   

Ley de Protección de Datos Personales (Ley 29733): garantiza el derecho fundamental a la protección de los datos personales, a través de su adecuado tratamiento, en un marco de respeto de los demás derechos fundamentales reconocidos en la Constitución Política del Perú.

Reglamento de la Ley 29733 (Decreto Supremo 003-2013-JUS): desarrolla la Ley 29733, regulando su adecuado tratamiento, tanto por las entidades públicas, como por las instituciones privadas. Sus disposiciones constituyen normas de orden público y de obligatorio cumplimiento.

Directiva de Seguridad de la Información administrada por los Bancos de Datos Personales: Garantizar la seguridad de los datos personales contenidos o destinados a ser contenidos en bancos de datos personales, mediante medidas de seguridad que protejan a los bancos de datos personales

Guía Práctica para la observancia del “Deber de Informar”: orienta, de forma práctica y sencilla, a toda persona natural o jurídica, así como entidad pública, que realiza tratamiento de datos personales sobre cómo dar cumplimiento al derecho-deber de información previsto en la Ley.

Directiva sobre Tratamiento de Datos Personales mediante Sistemas de Videovigilancia: establece las disposiciones para el tratamiento de datos personales captados a través de sistemas de videovigilancia con fines de seguridad, control laboral y otros.

Carding: uso no autorizado de una tarjeta de crédito, cuenta bancaria u otro producto financiero, con los datos obtenidos a través de compras on-line fraudulentas (productos a bajo costo o imitaciones de artículos).

Phishing: a través de un correo electrónico supuestamente enviado por una entidad financiera, se solicitan datos bancarios y contraseñas, para acceder a un enlace web similar al de dicha entidad. Luego, con los datos ingresados se realizan consumos fraudulentos.

Pharming: similar al Phishing pero, en lugar de remitirse a otra página web, lo que ocurre es que aprovecha una vulnerabilidad de la página web real para consignar una fraudulenta a fin de obtener los datos y, una vez en esta, utilizan los datos ingresados para efectuar operaciones y consumos.

Vishing o Smishing: variante del Phishing, al realizar a través de llamadas o mensajes de texto, incitando a que se comuniquen con un número de teléfono determinado para acceder a sorteos, ofertas o regalos, previamente habiendo brindado sus datos personales. 

Ley de Delitos Informáticos (Ley 30096): previene y sanciona las conductas ilícitas que afectan los sistemas y datos informáticos, cometidas mediante la utilización de tecnologías de la información o de la comunicación, a fin de garantizar la lucha eficaz contra la ciberdelincuencia.

Convenio sobre la Ciberdelincuencia (Convenio de Budapest): mecanismo de cooperación entre Estados Miembros de Europa y las demás economías firmantes ―ratificado por el Perú mediante Decreto Supremo 010-2019-RE―, para proteger a la sociedad frente a la “ciberdelincuencia”.