La nueva regulación europea de datos personales y su impacto en nuestro país

La Regulación General de Protección de Datos (GDPR, por sus siglas en inglés), diseñada por la Unión Europea (UE), se encuentra vigente desde el 25 de mayo de 2018 y tiene un alcance global. En efecto, esta legislación es la más importante en materia de privacidad de datos que se ha hecho en los últimos 20 años en la UE, teniendo repercusiones más allá de sus fronteras, ya que aplica a todas las empresas que recolecten y almacenen información de personas y organizaciones de dicha comunidad.

Dichas disposiciones normativas tienen un impacto significativo en nuestra legislación de Protección de Datos Personales (PDP) -regulada por la Ley N° 29733 y sus normas vinculadas- y, por ende, en la actividad de las empresas peruanas que recolecten y almacenen datos de los ciudadanos de la UE, pues tienen que cumplir con la GDPR, aunque sus oficinas estén fuera de esta región.

En ese orden de ideas, las empresas deben obtener el consentimiento expreso de los usuarios para recolectar, almacenar y manejar sus datos personales, por lo que sus políticas de términos y condiciones tienen que presentarse de una forma más accesible, en un lenguaje claro y sencillo, y con un menor uso de “jergas” legales. Asimismo, retirar el consentimiento para la recolección de datos deberá ser tan fácil como darlo.

La GDPR reconoce otros derechos de los titulares de datos personales que, si bien en algunos casos se pueden considerar ya regulados por la normativa peruana (por ejemplo, el derecho al acceso), es necesario actualizarla para comprender taxativamente el “derecho al olvido”, que obliga a las empresas a borrar los datos personales de quien lo solicite e impide que terceros los sigan procesando y la garantía en la portabilidad de datos.

Asimismo, la GDPR exige que la protección de datos se incluya desde el inicio del diseño de los sistemas (privacy by design), y si bien este término es mencionado por la Directiva de Seguridad emitida por el regulador peruano, es considerada como una buena práctica. No obstante, a la luz de la aplicación de la GDPR, tal concepto tendría un enfoque distinto.

Otro aspecto novedoso de la GDPR consiste en que las organizaciones deben notificar al regulador sobre incidentes de seguridad de la información, y los usuarios también deben ser informados de estos eventos “sin demora indebida”. En este punto, ¿cómo reaccionaría su empresa y qué procedimientos pondría en marcha si ocurriera alguna situación que afecte datos personales como sucedió con Facebook, Target, Sony, LinkedIn, EBay, Ashley Madison, entre otros casos públicos?

Cabe mencionar que la GDPR dispone la designación de un oficial de protección de datos (DPO, por sus siglas en inglés) que establezca y revise los controles necesarios para mantener actualizado el ciclo de vida o inventario de datos personales de ciudadanos de la UE. Este cargo también tiene como funciones: educar a la empresa y a los empleados sobre los requisitos de cumplimiento; realizar auditorías para garantizar el cumplimiento y abordar posibles problemas de forma proactiva; servir como punto de contacto entre la empresa y las autoridades supervisoras de GDPR, entre otras. Sin duda alguna, este nuevo rol podría ser incorporado por la normativa local, a fin de considerar una función de cumplimiento en materia de PDP de forma expresa.

En resumen, la GDPR tiene efecto directo en las implementaciones de PDP que las empresas peruanas efectuaron en su momento para dar cumplimiento a la Ley N° 29733 y sus vinculadas, puesto que tales implementaciones deberían responder a las siguientes inquietudes en la medida que las empresas peruanas sean sujetos obligados a la GDPR:

Finalmente, confiar en que no es necesario cumplir con las disposiciones de alcance internacional de la GDPR tiene fuertes consecuencias a nivel económico, pero, sobre todo, en la imagen y reputación corporativa. Los consumidores están dispuestos a premiar o castigar a las empresas que no tomen las precauciones debidas…. Recordemos a Benjamín Haydon: “La reputación contiene tres dificultades: la primera consiste en ganar un buen prestigio; la segunda, en conservarlo toda la vida; y la tercera, en preservarlo después de la muerte.”… por ello, si construir la reputación lleva toda una vida, ¿vale la pena hacer lo necesario para preservarla?