10

mircoles 7 de enero del 2015 Gestin

economa
ENTREVISTA
Fiscalizacin se realiza desde setiembre del 2014

Mayora de empresas no cumple an

con ley de bases de datos personales
A la fecha hay registradas 750 bases de datos de
empresas pblicas y privadas, que es un porcentaje
mnimo del universo de
firmas encargadas de poner en marcha la ley, dijo
Jos Quiroga Len.

en corto

Principales respuestas a consultas de la APDP

Desconocimiento. El especialista scar Montezuma

advirti que no hay una poltica especfica de difusin
del contenido de la ley y el
reglamento, por parte de la
APDP, que se refleja en el amplio desconocimiento sobre
la norma de parte del sector
pblico y privado.

miguel alonso juape pinto

miguel.juape@diariogestion.com.pe

En el 2011 se puso en vigencia la legislacin de la proteccin de datos personales.

Desde entonces el cumplimiento est lejos de abarcar
a la mayora de empresas.
La norma contempla en
primer lugar, el tratamiento
de la base de datos personales, es decir, contar con la autorizacin expresa del titular
de los datos personales (el
ciudadano).
En segundo lugar, registrar las bases de datos ante la
Autoridad Nacional de Proteccin de Datos Personales
(APDP); a la fecha 750 empresas han cumplido con las
dos primeras obligaciones,
siendo un porcentaje mnimo
del universo de obligadas, reconoci Jos lvaro Quiroga
Len, jefe de la APDP.
De acuerdo a la informacin de la Sunat, existen
1.4 millones de empresas
pblicas y privadas, sin incluir a las informales o a las
que solo tienen licencia de
funcionamiento.
Y por ltimo, la ley seala
la implementacin de medidas de seguridad a las bases
de datos, que van desde tener
un responsable de las bases
de datos hasta el control de
acceso a la informacin, entre otros.
Desde el 2013 son materia
de fiscalizacin las dos primeras obligaciones y ya exis-

Temas

Respuestas

mbito de aplicacin

La regla general es que todo tratamiento de datos personales administrados por entidades pblicas o
privadas se regula por la proteccin de datos personales y la excepcin, solo a entidades pblicas si la informacin se relaciona con la defensa nacional, seguridad pblica y otros. Estn fuera del mbito de aplicacin los datos de contacto de una persona natural que representa a una empresa.

Datos personales relacionados con la salud

Son datos sensibles los del Ministerio de Salud, que es su titular (historias clnicas electrnicas), cada
establecimiento de salud es considerado encargado de bases de datos personales. Como regla en los
datos sensibles se requiere un consentimiento escrito y solo en casos especficos sin consentimiento
como riesgo quirrgico, salud pblica y otros.

Principios de tratamiento de base de datos

personales

Principio de finalidad, por el cual los datos personales se tratan de acuerdo a la finalidad explcita, inequvoca, lcita y autorizada por el titular de los datos (el ciudadano). Principio de proporcionalidad, solo los
datos imprescindibles para la finalidad autorizada.

Lineamientos para la atencin de solicitudes de acceso a la informacin pblica

No se requiere consentimiento del titular de base de datos (el ciudadano) cuando sea necesario para salvaguardar los intereses legtimos del titular de la base de datos o el encargado de la misma.

Inscripcin y modificacin de bases de datos

Basesdedatospersonalesnoautomatizados-consentimiento expreso - mbito de aplicacin territorial
Fuente: Apdp

te una empresa multada (ver

pg. 11), siendo la nica obligacin suspendida, hasta
mayo del 2015, la de implementar medidas de seguridad a los datos personales.
Quiroga Len dijo que desde setiembre del 2014 se realizan fiscalizaciones a las empresas y que en este 2015 se
harn con igual intensidad.
Obligacin de registro
Las empresas y entidades pblicas que han cumplido con

Las empresas deben inscribir ante la APDP antes de recopilar y almacenar las bases de datos como la informacin de sus trabajadores y otras bases de datos.
Basta que una informacin est destinada a tener un tratamiento como base de datos para que se incluya dentro de las obligaciones de la ley. Es decir, puede ser la informacin en un depsito pero destinada
a tener algn tipo de organizacin.

Las claves
Dato personal. Toda informacin sobre una persona
natural que la identifica o la
hace identificable.
Encargado. Toda persona
natural o jurdica, privado o
entidad pblica, que realiza
el tratamiento de los datos
personales

Datos sensibles. Datos biomtricos; los referidos al origen racial y tnico; ingresos
econmicos, relacionada a la
salud o a la vida sexual, y otros.
Tratamiento. Cualquier operacin o procedimiento tcnico, que permite la organizacin de datos personales.

registrar sus bases de datos

personales han consignado
informacin de nombres y
apellidos, direccin, DNI, telfonos, correos electrnicos,
RUC, estado civil, fecha de nacimiento, nacionalidad, sexo,
entre otras informaciones.
El registro que debe realizar la empresa es que cuenta
con una base de datos, no del
detalle de la informacin con
la que cuenta, usando para
ello los formatos consignados en la web de la APDP.

Entre las bases de datos

que se han registrado encontramos listas de cumpleaos
de los trabajadores, planillas
de personal, listado de personas con perfil de riesgo crediticio, transacciones comerciales, datos comerciales y de
proveedores, marketing, matrcula de estudiantes, informacin mdica de pacientes,
entre otros.
Pese a que la obligacin
de registro es para todo tipo de empresa, sea pblica
o privada, las que han registrado sus bases de datos
pertenecen al sector financiero (bancos, financieras,
cajas, bolsa de valores, fondos y ot ros), educat ivo
(universidades, institutos),
mdico (clnicas, entidades
de salud), telecomunicaciones, servicios editoriales per iodst icos, ent re
otros.
Entre las entidades pblicas figuran algunos ministerios y superintendencias.
Segn conoci Gestin,
solo un medio periodstico
registr como base de datos
la que se genera durante la
relacin laboral, que es utilizada como fuente de consulta para necesidades propias
de la relacin laboral.

11

mircoles 7 de enero del 2015 Gestin

FALTA mucha mayor DIFUSIN

DE LA LEY DE BASES DE DATOS
PERSONALES

Manuel Melgar

Autorizacin. Esta debe ser previa y expresa por parte del titular del dato personal, segn la ley vigente.

Gobierno considera que

no todo lo difundido es
informacin pblica
Una empresa de comunicaciones no recibi sancin por el tratamiento
que realiz de la informacin que un ciudadano
consider personal, pero
aun as la retir de su web,
dijo Jos Quiroga Len.
Hace algunos meses la Autoridad Nacional de Datos
(APDP), impuso una sancin a la empresa datosperu.org por S/. 228,000 por
cuatro infracciones a la regulacin sobre datos personales y provoc la reaccin
de algunos especialistas
que consideran que lo que
realiza esta empresa es ordenar la informacin pblica del Estado.

para recordar
Vigilancia. La videovigilancia, el registro de ingreso de
las personas a sus centros
de trabajo, son considerados
como tratamiento de bases
de datos
Planeamiento. La empresa debe realizar un mapeo
de ingreso de informacin de
datos personales para proceder a establecer los bancos de datos que se maneja
al interior y luego al registro, y
adoptar las medidas de seguridad, dijo el especialista scar Montezuma.

Puede haber colisin con

normas sectoriales
Existen regulaciones
sectoriales o especiales
sobre el manejo de
cierta informacin y de
privacidad como el secreto
tributario, bancario, de
telecomunicaciones,
informacin mdica,
el secreto estadstico,
las centrales de riesgo
crediticio, que puede
colisionar con la
legislacin de proteccin
de datos personales,

asegur el especialista
scar Montezuma.
As, explic, la
interaccin entre estas
regulaciones no es clara, ya
que las normas sectoriales a
veces no son tan detalladas
y la ley de proteccin de
datos personales y su
reglamento podra ser la
norma que debera primar,
pero ello genera mucha
incertidumbre en las
empresas.

Al respecto, el jefe de la Autoridad Nacional de Datos

(APDP), Jos Quiroga Len
explic que no toda informacin que se difunda puede ser
considerada como pblica, ya
que puede ser informacin
personal pero que se publica.
La sancin a datosperu.
org, dijo, corresponde al tratamiento de actos administrativos que por disposicin
legal se publican (como sanciones, ascensos y otros), pero respecto de los cuales la
empresa realiz un tratamiento (ordenamiento de informacin personal), sin tener la autorizacin expresa
del titular de esos datos.
scar Montezuma, explic que la APDP interpreta
que el plazo de adecuacin
de la aplicacin de la norma,
solo se refiere a la implementacin de medidas de seguridad, por lo que la autorizacin previa y expresa del titular del dato personal es
una obligacin vigente desde
mayo del 2013, as como la
otra obligacin del registro
de datos personales (ver
pg. 10).
Esta infraccin fue notificada en el diario oficial ya
que no se pudo ubicar a la empresa que trat los datos en
la direccin consignada como domicilio legal, explic
Quiroga.
El jefe de la APDP, agreg,
que aunque a la empresa no
se le logre cobrar la multa impuesta, el efecto de la sancin fue su salida de Internet,
ya que su dominio web no pudo recibir publicidad.
Otras fiscalizaciones
El jefe de la APDP tambin
coment que existen varios
casos de fiscalizaciones y acciones, entre ellos el de un
medio de comunicacin que
no recibi una sancin ya que
la autoridad consider que
no se infringi la ley de proteccin de datos personales
alegado por el ciudadano, no
obstante la informacin fue
retirada de la pgina web del
medio de comunicacin.

opinin
scar
Montezuma

SOCIO DE MONTEZUMA
& PORTO

EXISTE MUCHO
trabajo
POR HACER

l principal problema es el tema de la

informalidad y de
una poca cultura del respeto a la privacidad. La ley
da un buen paso al crear la
necesidad de proteger la
privacidad.
Sin embargo, las empresas por desconocimiento
consideran que la informacin personal con la que
cuentan es de su propiedad
y eso es un error, por lo que
su primera tarea ser buscar la autorizacin previa y
expresa de los titulares de
esos datos personales. No
es algo tan intuitivo que

Las empresas
consideran que la
informacin
personal que obra en
sus registros es de su
propiedad y eso es
un error, existe un
problema de difusin
de la ley.
pueda ser entendido por las
empresas por lo que existe
un problema de difusin.
La principal barrera para
que esta norma se cumpla
es el desconocimiento, por
lo que se necesita una autoridad que difunda la norma
como ocurre, por ejemplo,
con normas de consumo como el libro de reclamaciones. Las pocas empresas
que cumplen la norma son
por aplicacin de cultura
organizacional o porque
sus matrices la cumplen.