Ley de Protección de Datos Personales: sanciones al sector salud y educación

La Ley 29733 - Ley de Protección de Datos Personales pretende salvaguardar el respeto a la privacidad, dignidad e información de las personas. Es de obligatorio cumplimiento para todas las empresas del país y en su alcance está proteger la información personal que las personas naturales brindan a las compañías o instituciones.

Desde su promulgación y la publicación de su reglamento, la Dirección Nacional de Protección de Datos Personales, perteneciente al Ministerio de Justicia ha venido realizando esfuerzos en su difusión a nivel nacional. Desde el 5 de mayo del 2015, se están llevando a cabo visitas de fiscalización, que están generando sanciones importantes. Los dos sectores más afectados están siendo los de educación y salud con seis y tres empresas en procedimientos administrativos sancionadores respectivamente.

¿Qué tipo de sanciones se están efectuando?


1. Consentimiento inválido: la recopilación de datos personales por cualquier medio (físico o electrónico) requiere de una fórmula válida para obtener el consentimiento dispuesta en la Ley. Por ejemplo, el consentimiento debe ser otorgado con anterioridad a la recopilación de datos personales y no se admiten formas de consentimiento en donde este no haya sido expresado de forma directa. Las sanciones impuestas por este aspecto han llegado hasta cinco(5) unidades impositivas tributarias (S/. 19,750.00)

2. No inscripción de bancos de datos: existen empresas que no han registrado sus bancos de datos, o que no han registrado todos los bancos de datos personales que utilizan en sus operaciones. Por ejemplo, una empresa ha sido sancionada por no registrar el banco de datos de pacientes con veinticinco (25) unidades impositivas tributarias (S/. 98,750.00).

3. Incumplimiento de disposiciones de flujo transfronterizo de datos: no comunicar que los datos personales son transferidos a otras entidades fuera del territorio nacional genera sanciones por parte del ente rector, las cuales han ascendido hasta quince (15) unidades impositivas tributarias (S/. 59,250.00).

4. Utilización de imágenes de alumnos o clientes, sin consentimiento: para efectos de marketing o eventos institucionales se utilizan imágenes del personal o clientes, sin embargo, no contar con un consentimiento explícito genera sanciones por el ente rector. Se han impuesto multas de hasta cinco (5) unidades impositivas tributarias (S/. 19,750.00) por el incumplimiento.

Considerando las sanciones impuestas por la Autoridad, es muy relevante que las empresas realicen los esfuerzos para adecuarse en su totalidad a la Ley de Protección de Datos Personales. Solamente registrar los bancos de datos ante el ente rector es insuficiente. Se deben establecer medidas de seguridad organizacionales, jurídicas y técnicas para cumplir con la adecuación a fin de evitar exponer a la organización a una penalidad y daño en su reputación.