Tip# 13. 1-13 MEDIDAS DE SEGURIDAD - NUEVO REGLAMENTO DE LA LEY N° 29733

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

El Nuevo Reglamento de la Ley N° 29733 Ley de Protección de Datos Personales aprobado por D.S. N° 006/JUS-2024, en el Capítulo VI Medidas de Seguridad del Nuevo Reglamento  amplia los conceptos de seguridad previstos en la Ley, enmarcándolos en  los artículos 46° al 58°, incluyendo algunas medidas técnicas y organizativas. Además en el Artículo 47° Documento de Seguridad faculta al responsable del tratamiento: a tomar como referencia los requisitos y controles indicados en la NTP-ISO/IEC 27001 (Seguridad de la información, ciberseguridad y protección de la privacidad.) vigente o alguna mejor práctica o estándar ampliamente reconocido en su sector.

 Sin embargo, si comparamos las medidas de seguridad en la Ley N° 29733 y el nuevo Reglamento con dos de los referente legislativos internacionales,  el Reglamento (UE) 2016/679/CE del Parlamento Europeo y del Consejo y la Directiva 2002/58/CE del Parlamento Europeo y del Consejo relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas las diferencias son enormes.

A modo de comparación  entre  la Ley N° 29733 y el Nuevo Reglamento  aprobado por D.S. N° 006/JUS-2024 con el Reglamento (UE) 2016/679/CE, RGPD, veamos algunas diferencias. 

En el Reglamento europeo el enfoque se basa en el riesgo (risked-based approch) que obliga a los responsables del tratamiento (Mas que al Titular del banco de datos o encargado del banco de datos en Perú) a implementar las medidas técnicas y organizativas apropiadas en función del riesgo para las libertades y derechos de las personas físicas. 

Ello supone que las obligaciones dependen del tipo de datos, el contexto y los riesgos asociados a la transacción entre el titular de los datos y el responsable del tratamiento. Las leyes de protección en el Perú son más bien prescriptivas, generalistas, con obligaciones específicas para los titulares y encargados de banco de datos e incluso para el responsable del tratamiento, pero sin que se adopte una política de gestión de datos, característica del RGPD.  

Algunos ejemplos comparativos grafican algunas diferencias: Primero, el RGPD es obligatorio un análisis de impacto en el tratamiento de alto riesgo (Art. 35 °) mientras que en la Ley N° 29733 ni en su Reglamento son obligatorios. Un segundo ejemplo es la Protección contra defectos del diseño  y de funcionamiento (Art. 25°) en el RGPD mientras que en la Ley N° 29733 ni en su Reglamento constituyen un principio explícito. En un tercer ejemplo, el RGPD obliga a notificar las violaciones de seguridad a la autoridad de control y, en todos los casos, en los que se hayan visto afectados, en lugares y condiciones estrictas (arts. 33° y 34°). La normativa peruana contempla la notificación, pero no contiene el mismo nivel de detalle ni exige los mismos requisitos. Una cuarta diferencia estriba, en la exigencia del RGPD de certificación del cumplimiento y la adhesión a los códigos de conducta como mecanismo de garantía (arts. 40° y 42°), elementos ausentes en la Ley y en el Capítulo VI del Reglamento Peruano.

Una quinta pero importante diferencia es que el RGPD se aplica a responsables y encargados de los bancos de datos y responsables de tratamiento de datos fuera de la UE incluyendo sanción y multa si la hubiere (Aplicable en el Perú, por ejemplo) si se tratan datos de residentes en la UE (art. 3°) ámbito de aplicación del RGPD mientras el ámbito de aplicación en la Ley y Reglamento peruanos, su influencia es solo nacional.  

Tener en cuenta estas diferencias podría servir a las empresas u organizaciones para preparar un adecuado tratamiento de datos, el establecimiento de prácticas de reciprocidad o de modelos contractuales para la transferencia internacional de datos.

Adjunto las láminas referidas a las Medidas de Seguridad, Arts. 46° al 58° del Nuevo Reglamento, incluidas algunas interrogantes a ser propuestas a los titulares y encargados de los bancos de datos y responsables de tratamiento.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com

_________________________________________________________________