Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GUÍA DE PROTECCIÓN
DE DATOS PERSONALES
2021
¿Cómo implementarla
y evitar sanciones?
2 GUÍA | PROTECCIÓN DE DATOS PERSONALES GUÍA | PROTECCIÓN DE DATOS PERSONALES 3
1. ¿Qué son datos personales? 3 Garantiza y protege el derecho fundamental de toda persona a tener el control de aquellos datos que puedan identificarla y
dispone de un conjunto de medidas jurídicas, organizativas y técnicas orientadas a salvaguardar los datos de carácter personal,
2. ¿Qué son datos sensibles? 3
resguardando su honor e intimidad personal.
3. Ley de Protección de Datos Personales 3
Para ello, establece reglas, requisitos y obligaciones que deberán cumplir las empresas, titulares de los bancos de datos, al recopilar,
registrar, almacenar, conservar, transferir y utilizar los datos personales. Asimismo, deberán poner en marcha procedimientos para
INFRACCIONES Y SANCIONES ADMINISTRATIVAS 4 atender los derechos de las personas naturales (denominado “Derechos ARCO”).
Implementación
Consentimiento de medidas de
informado seguridad
4 GUÍA | PROTECCIÓN DE DATOS PERSONALES GUÍA | PROTECCIÓN DE DATOS PERSONALES 5
El procedimiento sancionador se inicia de oficio, por la Autoridad Nacional de Protección de Datos Personales (ANPD) o por
denuncia de parte, ante la presunta comisión de actos contrarios a lo dispuesto en la presente ley. SE CONSIDERAN INFRACCIONES GRAVES SE CONSIDERAN INFRACCIONES MUY GRAVES
En principio, las infracciones se califican como leves, graves y muy graves. • No atender, impedir u obstaculizar el ejercicio de • Dar tratamiento a los datos personales contraviniendo
los derechos del titular de datos personales, cuando las obligaciones contenidas en la Ley, cuando con ello
legalmente proceda. se impida o se atente contra el ejercicio de los derechos
No inscribir o actualizar el banco de datos personales • Dar tratamiento a datos personales sin recabar el fundamentales.
Infracción leve de su organización ante el Registro Nacional de
Protección de Datos Personales
5 UIT consentimiento de sus titulares, cuando el mismo sea • Recopilar datos personales mediante medios
necesario. fraudulentos, desleales o ilícitos.
• Realizar tratamiento de datos personales sensibles • Suministrar documentos o información falsa a la
incumpliendo las medidas de seguridad establecidas en Autoridad.
Dar tratamiento a los datos personales sin el
la Ley. • No cesar en el indebido tratamiento de datos personales
Infracción grave consentimiento libre, expreso, inequívoco, previo e 50 UIT • Recopilar datos personales sensibles que no sean cuando existiese un previo requerimiento de la Autoridad
informado del titular
necesarios, pertinentes ni adecuados con relación a las como resultado de un procedimiento sancionador o de
finalidades determinadas, explícitas y lícitas para las que un procedimiento trilateral de tutela.
requieren ser obtenidos. • No cumplir con las medidas correctivas establecidas
Infracción Suministrar documentos o información falsa a la
muy grave Autoridad 100 UIT • Utilizar los datos personales obtenidos lícitamente
para finalidades distintas de aquellas que motivaron
por la Autoridad como resultado de un procedimiento
trilateral de tutela.
su recopilación, salvo que medie procedimiento de
anonimización o disociación.
EJEMPLOS DE INFRACCIONES A LA LEY • Obstruir el ejercicio de la función fiscalizadora de la
Autoridad.
• Incumplir la obligación de confidencialidad.
• No inscribir o actualizar los bancos de datos personales,
SE CONSIDERAN INFRACCIONES LEVES a pesar de haber sido requerido por la Autoridad en el
marco de un procedimiento sancionador.
• Realizar el tratamiento de datos personales incumpliendo las medidas de seguridad establecidas en la Ley.
• Recopilar datos personales que no sean necesarios, pertinentes ni adecuados con relación a las finalidades determinadas,
explícitas y lícitas para las que requieren ser obtenidos.
• No modificar o rectificar los datos personales objeto de tratamiento cuando se tenga conocimiento de su carácter
inexacto o incompleto.
• No suprimir los datos personales objeto de tratamiento cuando hayan dejado de ser necesarios, pertinentes o adecuados
para la finalidad para la cual fueron recopilados o cuando hubiese vencido el plazo para su tratamiento.
• No inscribir o actualizar los bancos de datos personales.
• Dar tratamiento a los datos personales contraviniendo las disposiciones de la Ley y su Reglamento.
IMPORTANTE
Inscripción del Una entidad del sector salud fue sancionada por no haber
banco de datos S/ 11,000 registrado el banco de datos personales de los usuarios de
personales su página web.
Implementación Una entidad financiera fue sancionada por no NOVEDADES ASOCIADAS A LA NORMA: EL OFICIAL DE DATOS PERSONALES
de medidas de S/ 176,000 implementar las medidas de seguridad necesarias para
El Decreto Supremo que aprueba el Reglamento del Decreto Legislativo N° 1412 (Ley de Gobierno Digital), publicado el 19 de
seguridad el resguardo de los datos personales de sus clientes. febrero de 2021, obliga a las empresas del sector público a contar con un Oficial de Datos Personales que actuará como enlace con
la Autoridad Nacional de Protección de Datos Personales (ANPD).
Para reducir los riesgos de infracciones, las empresas deben contar con un Plan de Implementación de la Ley de Protección de El Oficial de Datos Personales debió ser designado hasta el 5 de marzo de 2021 y comunicado de manera inmediata a la
Datos Personales, asegurando el cumplimiento de las obligaciones dispuestas por Ley, en términos de medidas de seguridad ANPD.
técnicas, organizativas y jurídicas.
Las organizaciones deben disponer de un proceso de supervisión, verificación y evaluación del estado de la implementación de las
medidas de seguridad técnicas, organizativas y jurídicas de la Ley, dado que la Directiva de Seguridad de la Información de la Ley
indica que se realice como mínimo una (1) auditoría anual.
8 GUÍA | PROTECCIÓN DE DATOS PERSONALES GUÍA | PROTECCIÓN DE DATOS PERSONALES 9
Sostenibilidad de la implementación
El cumplimiento de la Ley de Protección de Datos Personales debe mantenerse vigente para evitar sanciones de la entidad PRIVACIDAD POR DEFECTO
reguladora, por ende debe ser considerada en los procesos de negocio que tienen alguna implicancia con el tratamiento de datos
personales. Basado en ello, se presentan algunas necesidades de negocio que llevarán como consecuencia la actualización de la En toda iniciativa de negocio que considere el tratamiento
implementación de la Ley. de datos personales, se requiere velar por la protección de la
privacidad de dicha información.
PLAN DE AUDITORÍA
Una buena práctica para velar por el continuo cumplimiento
Necesidades Actualización del de la normativa es que se desarrolle una auditoría respecto
de capturar cumplimiento a las medidas de seguridad técnicas, organizativas y
nuevos datos normativo jurídicas implementadas, a fin de mantener vigente la
implementación de la Ley de Protección de Datos Personales
en las compañías. Se recomienda que la ejecución de este
Ejemplo: Nuevas disposiciones procedimiento se realice una (1) vez al año.
Nuevas campañas complementarias a
de Marketing la norma
Se debe desarrollar programas de creación de conciencia
Desarrollo de y entrenamiento en materia de protección de datos
nuevas Apertura de personales dirigido a todo el personal de la organización.
aplicaciones nuevas sedes
Cambios en
Migración a los sistemas de
la nube información
Ejemplo: Ejemplo:
Amazon WS, Gestión de
Microsoft Azure contraseñas y accesos
PARA MAYOR INFORMACIÓN: Esta publicación ha sido elaborada detenidamente; sin embargo, ha sido redactada en
términos generales y debe ser considerada, interpretada y asumida únicamente como
una referencia general. Esta publicación no puede utilizarse como base para amparar
situaciones específicas y usted no debe actuar o abstenerse de actuar de conformidad
con la información contenida en este documento sin obtener asesoramiento profesional
específico. Póngase en contacto con BDO Consulting S.A.C. para tratar estos asuntos en el
VICTOR VERA TUDELA marco de sus circunstancias particulares. BDO Consulting S.A.C., sus socios, empleados y
Socio de Consultoría de Negocios agentes no aceptan ni asumen ninguna responsabilidad o deber de cuidado ante cualquier
pérdida derivada de cualquier acción realizada o no por cualquier individuo al amparo de
vveratudela@bdo.com.pe la información contenida en esta publicación o ante cualquier decisión basada en ella.
Cualquier uso de esta publicación o dependencia de ella para cualquier propósito o en
cualquier contexto es bajo su propio riesgo, sin ningún derecho de recurso contra BDO
Consulting S.A.C. o cualquiera de sus socios, empleados o agentes.
BDO Consulting S.A.C., una sociedad anónima cerrada peruana, es miembro de BDO
International Limited, una compañía limitada por garantía del Reino Unido, y forma parte
de la red internacional BDO de empresas independientes asociadas.
BDO es el nombre comercial de la red BDO y de cada una de las empresas asociadas de
BDO.
Copyright © Marzo 2021, BDO Consulting S.A.C. Todos los derechos reservados. Publicado
en Perú.
www.bdo.com.pe