GUÍA | PROTECCIÓN DE DATOS PERSONALES 1

UNA PUBLICACIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

GUÍA DE PROTECCIÓN
DE DATOS PERSONALES
2021
¿Cómo implementarla
y evitar sanciones?
2 GUÍA | PROTECCIÓN DE DATOS PERSONALES GUÍA | PROTECCIÓN DE DATOS PERSONALES 3

En esta edición Elementos clave

La presente guía tiene como objetivo contribuir a un mejor entendimiento de la Ley de Protección de Datos Personales ¿QUÉ SON DATOS PERSONALES?
por parte de las organizaciones, lo que les permitirá estar mejor preparadas y mitigar posibles riesgos de sanción por
incumplimiento. Toda información que identifica o hace identificable a una persona natural, como el nombre, DNI, correo electrónico, número
telefónico, una imagen, entre otros.

CONTENIDO ¿QUÉ SON DATOS SENSIBLES?

Datos personales que revelan circunstancias o información sobre la esfera más íntima y personal, como los ingresos económicos,
datos biométricos, salud y vida sexual, entre otros.
ELEMENTOS CLAVE DE LA PROTECCIÓN DE DATOS PERSONALES 3 LEY DE PROTECCIÓN DE DATOS PERSONALES

1. ¿Qué son datos personales? 3 Garantiza y protege el derecho fundamental de toda persona a tener el control de aquellos datos que puedan identificarla y
dispone de un conjunto de medidas jurídicas, organizativas y técnicas orientadas a salvaguardar los datos de carácter personal,
2. ¿Qué son datos sensibles? 3
resguardando su honor e intimidad personal.
3. Ley de Protección de Datos Personales 3
Para ello, establece reglas, requisitos y obligaciones que deberán cumplir las empresas, titulares de los bancos de datos, al recopilar,
registrar, almacenar, conservar, transferir y utilizar los datos personales. Asimismo, deberán poner en marcha procedimientos para
INFRACCIONES Y SANCIONES ADMINISTRATIVAS 4 atender los derechos de las personas naturales (denominado “Derechos ARCO”).

CONTEXTO DE LA PANDEMIA DE COVID-19 6

CÓMO IMPLEMENTARLA CON ÉXITO 7

El Oficial de Datos Personales 7

Declaración
del flujo
SOSTENIBILIDAD DE LA IMPLEMENTACIÓN 8 transfronterizo
Inscripción
1. Necesidades de negocio que conllevan a una actualización 8 del banco
2. Privacidad por defecto 9 Derechos
de datos
3. Plan de auditoría 9 ARCO
personales

Implementación
Consentimiento de medidas de
informado seguridad
 4 GUÍA | PROTECCIÓN DE DATOS PERSONALES GUÍA | PROTECCIÓN DE DATOS PERSONALES 5

Infracciones y sanciones administrativas

El procedimiento sancionador se inicia de oficio, por la Autoridad Nacional de Protección de Datos Personales (ANPD) o por
denuncia de parte, ante la presunta comisión de actos contrarios a lo dispuesto en la presente ley. SE CONSIDERAN INFRACCIONES GRAVES SE CONSIDERAN INFRACCIONES MUY GRAVES

En principio, las infracciones se califican como leves, graves y muy graves. • No atender, impedir u obstaculizar el ejercicio de • Dar tratamiento a los datos personales contraviniendo
los derechos del titular de datos personales, cuando las obligaciones contenidas en la Ley, cuando con ello
legalmente proceda. se impida o se atente contra el ejercicio de los derechos
No inscribir o actualizar el banco de datos personales • Dar tratamiento a datos personales sin recabar el fundamentales.
Infracción leve de su organización ante el Registro Nacional de
Protección de Datos Personales
5 UIT consentimiento de sus titulares, cuando el mismo sea • Recopilar datos personales mediante medios
necesario. fraudulentos, desleales o ilícitos.
• Realizar tratamiento de datos personales sensibles • Suministrar documentos o información falsa a la
incumpliendo las medidas de seguridad establecidas en Autoridad.
Dar tratamiento a los datos personales sin el
la Ley. • No cesar en el indebido tratamiento de datos personales
Infracción grave consentimiento libre, expreso, inequívoco, previo e 50 UIT • Recopilar datos personales sensibles que no sean cuando existiese un previo requerimiento de la Autoridad
informado del titular
necesarios, pertinentes ni adecuados con relación a las como resultado de un procedimiento sancionador o de
finalidades determinadas, explícitas y lícitas para las que un procedimiento trilateral de tutela.
requieren ser obtenidos. • No cumplir con las medidas correctivas establecidas
Infracción Suministrar documentos o información falsa a la
muy grave Autoridad 100 UIT • Utilizar los datos personales obtenidos lícitamente
para finalidades distintas de aquellas que motivaron
por la Autoridad como resultado de un procedimiento
trilateral de tutela.
su recopilación, salvo que medie procedimiento de
anonimización o disociación.
EJEMPLOS DE INFRACCIONES A LA LEY • Obstruir el ejercicio de la función fiscalizadora de la
Autoridad.
• Incumplir la obligación de confidencialidad.
• No inscribir o actualizar los bancos de datos personales,
SE CONSIDERAN INFRACCIONES LEVES a pesar de haber sido requerido por la Autoridad en el
marco de un procedimiento sancionador.
• Realizar el tratamiento de datos personales incumpliendo las medidas de seguridad establecidas en la Ley.
• Recopilar datos personales que no sean necesarios, pertinentes ni adecuados con relación a las finalidades determinadas,
explícitas y lícitas para las que requieren ser obtenidos.
• No modificar o rectificar los datos personales objeto de tratamiento cuando se tenga conocimiento de su carácter
inexacto o incompleto.
• No suprimir los datos personales objeto de tratamiento cuando hayan dejado de ser necesarios, pertinentes o adecuados
para la finalidad para la cual fueron recopilados o cuando hubiese vencido el plazo para su tratamiento.
• No inscribir o actualizar los bancos de datos personales.
• Dar tratamiento a los datos personales contraviniendo las disposiciones de la Ley y su Reglamento.

IMPORTANTE

En el año 2020, la Autoridad Nacional de Protección de Datos Personales fiscalizó a 305

entidades e impuso multas por más 3.5 millones de soles.
6 GUÍA | PROTECCIÓN DE DATOS PERSONALES GUÍA | PROTECCIÓN DE DATOS PERSONALES 7

Contexto de la pandemia de Covid-19 ¿Cómo implementarla con éxito?

La actual emergencia sanitaria, ha impulsado el uso intensivo de plataformas digitales por parte de las empresas para la
promoción de sus productos o servicios en el mercado. Esto ha generado un elevado volumen de transacciones en las cuales se
incluye el tratamiento de datos personales y datos sensibles para la adquisición de bienes y servicios, trámites con entidades
gubernamentales, atención de reclamos, entre otras; incrementando los escenarios de riesgo relacionados con la privacidad.
Es por ello, que es necesario que las empresas implementen medidas de seguridad y verifiquen su efectividad continuamente,
considerando a su vez que la entidad reguladora se encuentra en permanente fiscalización.
Es importante, tomar en consideración los tipos de sanciones que están siendo impuestas por la ANPD a las compañías y entidades
en el contexto de la pandemia de Covid-19. A continuación, presentamos un breve resumen de infracciones relacionadas al
incumplimiento de los elementos clave de la protección de datos personales:
La coyuntura actual ocasionada por la pandemia de COVID-19 ha acelerado la transformación digital de las empresas. El creciente
uso de plataformas digitales para captar información del mercado ha definido nuevas formas de ofrecer productos y servicios.
Los datos personales son parte de la información que se está captando y sobre los cuales las organizaciones deben tener estricto
cuidado en su administración para proteger la privacidad de las personas. Por ello, cumplir con la implementación de la Ley permite
reducir los riesgos de cumplimiento, así como, ayuda a mantener una sólida reputación empresarial.
Para lograr un equilibrio entre protección y eficiencia, nuestro modelo de Diagnóstico de la Ley de Protección de Datos Personales,
determina principios y criterios a implementar con un enfoque en fases, que permite abordar de forma gradual y clara todo el
proceso de implementación:

Inscripción del Una entidad del sector salud fue sancionada por no haber
banco de datos S/ 11,000 registrado el banco de datos personales de los usuarios de
personales su página web.

Declaración Una empresa pesquera fue sancionada por no haber

del flujo S/ 4,400 comunicado que los datos personales recopilados a través
transfronterizo de su página web estaban alojados en el exterior del país. FASE 1 FASE 2 FASE 3 FASE 4
DIAGNÓSTICO DE DISEÑO Y EJECUCIÓN DE MONITOREO Y AUDITORÍA DE
Una empresa de telecomunicaciones fue sancionada CUMPLIMIENTO PLAN DE REMEDIACIÓN GESTIÓN (PMO) CUMPLIMIENTO
Consentimiento
informado S/ 79,200 por utilizar los datos personales de sus clientes para
una finalidad distinta por la que fueron recopilados. Identificar brechas Diseño del Plan de Diseñar una PMO y Ejecutar una Auditoria de
respecto al cumplimiento Remediación para cerrar las supervisar la resolución de Cumplimiento
Una institución educativa fue sancionada por no de la Ley brechas las brechas identificadas
informar a los titulares de datos personales de forma
Derechos ARCO S/ 52,800 detallada, sencilla, expresa e inequívoca sobre el uso
que se realizará a su información personal. A través del conocimiento profundo de su organización, identificamos los riesgos a los que se encuentran expuestos sus datos
personales, lo que nos permite diseñar una solución a medida de los requerimientos de su organización.

Implementación Una entidad financiera fue sancionada por no NOVEDADES ASOCIADAS A LA NORMA: EL OFICIAL DE DATOS PERSONALES
de medidas de S/ 176,000 implementar las medidas de seguridad necesarias para
El Decreto Supremo que aprueba el Reglamento del Decreto Legislativo N° 1412 (Ley de Gobierno Digital), publicado el 19 de
seguridad el resguardo de los datos personales de sus clientes. febrero de 2021, obliga a las empresas del sector público a contar con un Oficial de Datos Personales que actuará como enlace con
la Autoridad Nacional de Protección de Datos Personales (ANPD).

Para reducir los riesgos de infracciones, las empresas deben contar con un Plan de Implementación de la Ley de Protección de
Datos Personales, asegurando el cumplimiento de las obligaciones dispuestas por Ley, en términos de medidas de seguridad
técnicas, organizativas y jurídicas.
El Oficial de Datos Personales debió ser designado hasta el 5 de marzo de 2021 y comunicado de manera inmediata a la
ANPD.
Las organizaciones deben disponer de un proceso de supervisión, verificación y evaluación del estado de la implementación de las
medidas de seguridad técnicas, organizativas y jurídicas de la Ley, dado que la Directiva de Seguridad de la Información de la Ley
indica que se realice como mínimo una (1) auditoría anual.
8 GUÍA | PROTECCIÓN DE DATOS PERSONALES GUÍA | PROTECCIÓN DE DATOS PERSONALES 9

Sostenibilidad de la implementación
El cumplimiento de la Ley de Protección de Datos Personales debe mantenerse vigente para evitar sanciones de la entidad PRIVACIDAD POR DEFECTO
reguladora, por ende debe ser considerada en los procesos de negocio que tienen alguna implicancia con el tratamiento de datos
personales. Basado en ello, se presentan algunas necesidades de negocio que llevarán como consecuencia la actualización de la En toda iniciativa de negocio que considere el tratamiento
implementación de la Ley. de datos personales, se requiere velar por la protección de la
privacidad de dicha información.

PLAN DE AUDITORÍA
Una buena práctica para velar por el continuo cumplimiento
Necesidades Actualización del de la normativa es que se desarrolle una auditoría respecto
de capturar cumplimiento a las medidas de seguridad técnicas, organizativas y
nuevos datos normativo jurídicas implementadas, a fin de mantener vigente la
implementación de la Ley de Protección de Datos Personales
en las compañías. Se recomienda que la ejecución de este
Ejemplo: Nuevas disposiciones procedimiento se realice una (1) vez al año.
Nuevas campañas complementarias a
de Marketing la norma
Se debe desarrollar programas de creación de conciencia
Desarrollo de y entrenamiento en materia de protección de datos
nuevas Apertura de personales dirigido a todo el personal de la organización.
aplicaciones nuevas sedes

Ejemplo: Ejemplo: CÓMO AGREGA VALOR BDO

Aplicación Web/Móvil NECESIDADES DE Avisos de seguridad
BDO cuenta con experiencia asesorando a
de videovigilancia
NEGOCIO QUE corporaciones, empresas e instituciones en el proceso
de adecuación a la Ley de Protección de Datos
CONLLEVAN A UNA Personales, realizando auditorías periódicas a la norma
ACTUALIZACIÓN DEL para darle sostenibilidad y asesorando en el proceso de
CUMPLIMIENTO DE LA fiscalización de la Autoridad. Minimizar la exposición
Actualización al riesgo normativo de nuestros clientes es nuestro
de los procesos NORMA EN LA EMPRESA Tercerización de objetivo.
comerciales procesos
MÁS INFORMACIÓN
Ejemplo: Ejemplo:
Canales de atención Almacenamiento de
no presenciales documentación física

Cambios en
Migración a los sistemas de
la nube información

Ejemplo: Ejemplo:
Amazon WS, Gestión de
Microsoft Azure contraseñas y accesos
PARA MAYOR INFORMACIÓN:
VICTOR VERA TUDELA
Socio de Consultoría de Negocios
vveratudela@bdo.com.pe
Esta publicación ha sido elaborada detenidamente; sin embargo, ha sido redactada en
términos generales y debe ser considerada, interpretada y asumida únicamente como
una referencia general. Esta publicación no puede utilizarse como base para amparar
situaciones específicas y usted no debe actuar o abstenerse de actuar de conformidad
con la información contenida en este documento sin obtener asesoramiento profesional
específico. Póngase en contacto con BDO Consulting S.A.C. para tratar estos asuntos en el
marco de sus circunstancias particulares. BDO Consulting S.A.C., sus socios, empleados y
agentes no aceptan ni asumen ninguna responsabilidad o deber de cuidado ante cualquier
pérdida derivada de cualquier acción realizada o no por cualquier individuo al amparo de
la información contenida en esta publicación o ante cualquier decisión basada en ella.
Cualquier uso de esta publicación o dependencia de ella para cualquier propósito o en
cualquier contexto es bajo su propio riesgo, sin ningún derecho de recurso contra BDO
Consulting S.A.C. o cualquiera de sus socios, empleados o agentes.
BDO Consulting S.A.C., una sociedad anónima cerrada peruana, es miembro de BDO
International Limited, una compañía limitada por garantía del Reino Unido, y forma parte
de la red internacional BDO de empresas independientes asociadas.
BDO es el nombre comercial de la red BDO y de cada una de las empresas asociadas de
BDO.
Copyright © Marzo 2021, BDO Consulting S.A.C. Todos los derechos reservados. Publicado
en Perú.
www.bdo.com.pe
AUDITORÍA | TAX & LEGAL | CONSULTORÍA DE NEGOCIOS | OUTSOURCING