Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
La interrogante es válida sí queremos diferenciar sus alcances y el ámbito de aplicación, tanto como la interpretación u obligación concreta de las normas aplicables a la protección de los datos personales.
Los Principios son normas generales, abstractas y orientadoras que guían la interpretación, aplicación y creación de normas jurídicas. Los principios no establecen conductas específicas aplicables a cada caso de figura sino son reglas y valores aplicables a las normas. Los principios tienden a ser interpretados, considerados, a fin de evaluar su influencia y aplicación en cada caso concreto.
Las obligaciones sí establecen vínculos jurídicos concretos que obligan a una persona a realizar una conducta o un acto determinado (dar, hacer o no hacer) en favor de otra persona, pudiéndosele exigir su ejecución legalmente. Las obligaciones son específicas y tienen un alcance delimitado.
Podemos concluir entonces que la principal diferencia es que los principios son directrices generales que orientan el ordenamiento jurídico y requieren interpretación, mientras que las obligaciones son actos jurídicos concretos, de obligaciones específicas aplicables y exactas, y que su inejecución puede ser requerida legal y/o judicialmente.
El problema es que la principal norma de protección de los datos personales, el Reglamento General de Protección de Datos Personales Europeo N° 2016/679/CE, RGPD, considera la confidencialidad como un Principio, mientras la normativa peruana Ley N° 29733 y su Reglamento reciente D.S. N° 003/ /2024/JUS, lo asocian a una obligación o un deber.
1.
EL
PRINCIPIO DE CONFIDENCIALIDAD EN EL RGPD
Uno de los principios del
tratamiento de los datos personales es el principio de confidencialidad, el
mismo que ha sido señalado como tal en los Considerandos y en la parte
resolutiva del RGPD.
1.1. Parte
Considerativa
(39)Todo tratamiento de datos personales debe ser
lícito y leal. Para las personas físicas debe quedar totalmente claro que se están
recogiendo, utilizando, consultando o tratando de otra manera datos personales
que les conciernen, así como la medida en que dichos datos son o serán
tratados. El principio de transparencia exige que toda información y comunicación
relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de
entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se
refiere en particular a la información de los interesados sobre la identidad
del responsable del tratamiento y los fines del mismo y a la información
añadida para garantizar un tratamiento leal y transparente con respecto a las
personas físicas afectadas y a su derecho a obtener confirmación y comunicación
de los datos personales que les conciernan que sean objeto de tratamiento. Las
personas físicas deben tener conocimiento de los riesgos, las normas, las
salvaguardias y los derechos relativos al tratamiento de datos personales así
como del modo de hacer valer sus derechos en relación con el tratamiento. En
particular, los fines específicos del tratamiento de los datos personales deben
ser explícitos y legítimos, y deben determinarse en el momento de su recogida.
Los datos personales deben ser adecuados, pertinentes y limitados a lo
necesario para los fines para los que sean tratados. Ello requiere, en
particular, garantizar que se limite a un mínimo estricto su plazo de
conservación. Los datos personales solo deben tratarse si la finalidad del
tratamiento no pudiera lograrse razonablemente por otros medios. Para
garantizar que los datos personales no se conservan más tiempo del necesario,
el responsable del tratamiento ha de establecer plazos para su supresión o
revisión periódica. Deben tomarse todas las medidas razonables para garantizar
que se rectifiquen o supriman los datos personales que sean inexactos. Los
datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de
los datos personales, inclusive para impedir el acceso o uso no autorizados de
dichos datos y del equipo utilizado en el tratamiento.
(49)Constituye un interés legítimo del responsable del
tratamiento interesado el tratamiento de datos personales en la medida
estrictamente necesaria y proporcionada para garantizar la seguridad de la red
y de la información, es decir la capacidad de una red o de un sistema
información de resistir, en un nivel determinado de confianza, a
acontecimientos accidentales o acciones ilícitas o malintencionadas que
comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o
transmitidos, y la seguridad de los servicios conexos ofrecidos por, o
accesibles a través de, estos sistemas y redes, por parte de autoridades
públicas, equipos de respuesta a emergencias informáticas (CERT), equipos de
respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y
servicios de comunicaciones electrónicas y proveedores de tecnologías y
servicios de seguridad. En lo anterior cabría incluir, por ejemplo, impedir el
acceso no autorizado a las redes de comunicaciones electrónicas y la
distribución malintencionada de códigos, y frenar ataques de «denegación de
servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas.
(75) Los riesgos para los derechos y libertades de las
personas físicas, de gravedad y probabilidad variables, pueden deberse al
tratamiento de datos que pudieran provocar daños y perjuicios físicos,
materiales o inmateriales, en particular en los casos en los que el tratamiento
pueda dar lugar a problemas de discriminación, usurpación de identidad o
fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos
sujetos al secreto profesional, reversión no autorizada de la seudonimización o
cualquier otro perjuicio económico o social significativo; en los casos en los
que se prive a los interesados de sus derechos y libertades o se les impida
ejercer el control sobre sus datos personales; en los casos en los que los
datos personales tratados revelen el origen étnico o racial, las opiniones
políticas, la religión o creencias filosóficas, la militancia en sindicatos y
el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la
vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas;
en los casos en los que se evalúen aspectos personales, en particular el
análisis o la predicción de aspectos referidos al rendimiento en el trabajo,
situación económica, salud, preferencias o intereses personales, fiabilidad o
comportamiento, situación o movimientos, con el fin de crear o utilizar
perfiles personales; en los casos en los que se traten datos personales de
personas vulnerables, en particular niños; o en los casos en los que el
tratamiento implique una gran cantidad de datos personales y afecte a un gran
número de interesados.
(83) A fin de mantener la seguridad y evitar que el
tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o
el encargado debe evaluar los riesgos inherentes al tratamiento y aplicar
medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un
nivel de seguridad adecuado, incluida la confidencialidad,
teniendo en cuenta el estado de la técnica y el coste de su aplicación con
respecto a los riesgos y la naturaleza de los datos personales que deban
protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se
deben tener en cuenta los riesgos que se derivan del tratamiento de los datos
personales, como la destrucción, pérdida o alteración accidental o ilícita de datos
personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a dichos datos, susceptibles en particular
de ocasionar daños y perjuicios físicos, materiales o inmateriales.
(85) Si no se toman a tiempo medidas adecuadas, las
violaciones de la seguridad de los datos personales pueden entrañar daños y
perjuicios físicos, materiales o inmateriales para las personas físicas, como
pérdida de control sobre sus datos personales o restricción de sus derechos,
discriminación, usurpación de identidad, pérdidas financieras, reversión no
autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos
sujetos al secreto profesional, o cualquier otro perjuicio económico o social
significativo para la persona física en cuestión. Por consiguiente, tan pronto
como el responsable del tratamiento tenga conocimiento de que se ha producido
una violación de la seguridad de los datos personales, el responsable debe, sin
dilación indebida y, de ser posible, a más tardar 72 horas después de que
haya tenido constancia de ella, notificar la violación de la seguridad de los
datos personales a la autoridad de control competente, a menos que el
responsable pueda demostrar, atendiendo al principio de responsabilidad
proactiva, la improbabilidad de que la violación de la seguridad de los datos
personales entrañe un riesgo para los derechos y las libertades de las personas
físicas. Si dicha notificación no es posible en el plazo de 72 horas,
debe acompañarse de una indicación de los motivos de la dilación, pudiendo
facilitarse información por fases sin más dilación indebida.
(162) El presente Reglamento debe aplicarse al
tratamiento de datos personales con fines estadísticos. El contenido
estadístico, el control de accesos, las especificaciones para el tratamiento de
datos personales con fines estadísticos y las medidas adecuadas para
salvaguardar los derechos y las libertades de los interesados y garantizar la confidencialidad estadística
deben ser establecidos, dentro de los límites del presente Reglamento, por el
Derecho de la Unión o de los Estados miembros. Por fines estadísticos se
entiende cualquier operación de recogida y tratamiento de datos personales
necesarios para encuestas estadísticas o para la producción de resultados
estadísticos. Estos resultados estadísticos pueden además utilizarse con
diferentes fines, incluidos fines de investigación científica. El fin
estadístico implica que el resultado del tratamiento con fines estadísticos no
sean datos personales, sino datos agregados, y que este resultado o los datos
personales no se utilicen para respaldar medidas o decisiones relativas a
personas físicas concretas.
(163) Debe protegerse la información confidencial que las autoridades
estadísticas de la Unión y nacionales recojan para la elaboración de las
estadísticas oficiales europeas y nacionales. Las estadísticas europeas deben
desarrollarse, elaborarse y difundirse con arreglo a los principios
estadísticos fijados en el artículo 338, apartado 2, del TFUE,
mientras que las estadísticas nacionales deben cumplir asimismo el Derecho de
los Estados miembros. El Reglamento (CE) n.o 223/2009 del Parlamento Europeo y del
Consejo facilita especificaciones adicionales sobre la confidencialidad estadística
aplicada a las estadísticas europeas.
1.2.Parte
Dispositiva
a. Disposiciones.
El Artículo 5.1.f del RGPD exige que los
datos personales sean tratados de manera que se garantice su seguridad,
incluida la protección contra el tratamiento no autorizado o ilícito, la destrucción
o el daño accidental, mediante la aplicación de medidas técnicas, organizativas
y legales adecuadas.
CAPÍTULO II
Principios
Artículo 5
Principios relativos al
tratamiento
1. Los datos personales serán:
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
El Artículo 14.5.d del
RGPD sobre Información que
deberá facilitarse cuando los datos personales no hayan sido recabados del
propio interesado
d) cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.
El Artículo 28.3.b del RGPD sobre el Encargado del tratamiento, señala que
el tratamiento por el
encargado se regirá por un contrato u otro acto jurídico que garantizará que las personas autorizadas para tratar
datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza
estatutaria;
Artículo 28
Encargado del
tratamiento
3. El tratamiento por el encargado se
regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión
o de los Estados miembros, que vincule al encargado respecto del responsable y
establezca el objeto, la duración, la naturaleza y la finalidad del
tratamiento, el tipo de datos personales y categorías de interesados, y las
obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará,
en particular, que el encargado:
b) garantizará que las personas autorizadas para tratar datos personales se
hayan comprometido a respetar la confidencialidad
o estén sujetas a una obligación de confidencialidad
de naturaleza estatutaria;
El Artículo 32.1.b del RGPD sobre la seguridad del
tratamiento, el responsable y el encargado del
tratamiento aplicarán medidas técnicas y organizativas apropiadas para
garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya,
entre otros: la capacidad de garantizar la confidencialidad, integridad, disponibilidad
y resiliencia permanentes de los sistemas y servicios de tratamiento
Artículo 32
Seguridad del
tratamiento
1. Teniendo en cuenta el estado de la
técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y
los fines del tratamiento, así como riesgos de probabilidad y gravedad
variables para los derechos y libertades de las personas físicas, el
responsable y el encargado del tratamiento aplicarán medidas técnicas y
organizativas apropiadas para garantizar un nivel de seguridad adecuado al
riesgo, que en su caso incluya, entre otros:
b) la capacidad de garantizar la confidencialidad,
integridad, disponibilidad y resiliencia permanentes de los sistemas y
servicios de tratamiento;
El Artículo 38.5. del RGPD sobre la Posición del Delegado de Protección de Datos Personales, estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
Artículo 38
Posición del delegado de protección de datos
5. El delegado de protección de
datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus
funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
El Artículo 54.2 del RGPD sobre Normas relativas al establecimiento de
la Autoridad de Control.
Artículo 54
Normas relativas al establecimiento de la autoridad de
control
2. El
miembro o miembros y el personal de cada autoridad de control estarán sujetos,
de conformidad con el Derecho de la Unión o de los Estados miembros, al deber
de secreto profesional, tanto durante su mandato como después del mismo, con
relación a las informaciones confidenciales de las que hayan tenido
conocimiento en el cumplimiento de sus funciones o el ejercicio de sus poderes.
Durante su mandato, dicho deber de secreto profesional se aplicará en
particular a la información recibida de personas físicas en relación con
infracciones del presente Reglamento.
El Artículo 76.1. del RGPD sobre el Comité Europeo de Protección
de Datos Personales, Confidencialidad, resuelve facultando al Comité que sus debates serán confidenciales
cuando el mismo lo considere necesario, tal como establezca su reglamento
interno.
Artículo 76
Confidencialidad
1.
Los debates del Comité serán confidenciales cuando el mismo
lo considere necesario, tal como establezca su reglamento interno.
b. Sanciones
por incumplimiento
El RGPD es
un régimen sancionador muy estricto. Las infracciones del principio de
privacidad sólo se consideran graves, especialmente si implican
violaciones de seguridad o acceso no autorizado a datos personales.
1.- Sanciones económicas
·
Hasta
10 millones de euros o el 2% del volumen global anual de comercio (y la
mayoría), por infracciones leves (art. 83.4 RGPD).
· Hasta
20 millones de euros o el 4% del volumen de comercio mundial anual (que es
el mayor), si la infracción afecta a los derechos y libertades de las personas
jurídicas, y especialmente si la violación de la confidencialidad tiene
consecuencias graves (art. 83.5 RGPD).
2.- Otras sanciones
·
Cese del
tratamiento de datos.
·
Obligación
de comunicar la brecha de seguridad a la Agencia de Protección de Datos y
a las personas afectadas.
·
Responsabilidad
civil por daños y perjuicios a los titulares de datos.
·
Daño
a la reputación y pérdida de confianza de los usuarios y clientes.
Ejemplo práctico
Una empresa, organización
en el rubro de datos relacionados a la salud, que permita, por error,
desconocimiento o negligencia, el acceso de personas no autorizadas a
información personal de sus pacientes, personas discapacitadas, usuarios (Historias
clínicas, registros médicos, datos genéticos, biométricos, análisis psiquiátricos,…),
viola el principio de confidencialidad y es sujeto susceptible de imposición de
sanciones por las autoridades de control, además de la exigencia de notificación
a los afectados.
El RGPD, a
diferencia de las Directivas que requieren que cada Estado genere una ley
nacional para implementarlas o transponerlas, se aplica directamente a todos
los países que forman la Union Europea. El RGPD ha creado un marco de
protección de datos homogéneo, válido para todos los países de la UE, evitando
las diferencias entre las legislaciones nacionales que existían bajo la
anterior Directiva 95/46/CE derogada por el propio RGPD.
2. LA
OBLIGACION O DEBER DE CONFIDENCIALIDAD EN LA NORMATIVA PERUANA.
Las
obligaciones de confidencialidad en la normativa peruana provienen de: la Ley
N° 29733, su Reglamento, D.S. N° 006-2024-JUS, La Directiva N° 001-2014-JUS-DGPDP
Ley que adecúa el uso de las TICs en el Sistema de Remates Judiciales, el
Reglamento de la Ley N° 29907 Ley de Prevención para la prevención y
tratamiento de la ludopatía. D.S. N° 007-2013-MINCETUR y la Directiva de
Seguridad de la Información. Aprobada por R.D. N° 019-2013-JUS/DGPDP.
2.1. Ley N° 29733
· La
Ley N° 29733 ha previsto dos artículos sobre la obligación de la
confidencialidad: Artículo 1.10
Objeto de la Ley y Artículo 3.12 Definiciones,
ambos con el mismo título: Nivel suficiente de protección para los datos
personales. Ver: Lámina Power point 14-1.
· El
artículo 14.11 Limitaciones al
consentimiento para el tratamiento de datos personales, referido a las
salvaguardas de los datos personales en el caso de grupos económicos. Ver:
Lámina Power point 14-2.
· El
artículo 17. Confidencialidad de
los datos personales, por parte del titular de los bancos de datos, el
encargado y toda persona interviniente en el tratamiento, incluyendo
determinadas limitaciones. Ver Lámina: Power point 14-3.
·
El
artículo 35. Confidencialidad,
por parte del personal de la Autoridad Nacional de Protección de Datos, la duración
de esta obligación y las responsabilidades. Ver: Lámina Power point 14-4.
2.2. Reglamento
de la Ley N° 29733 D.S. N° 006-2024-JUS
· El
artículo 29.3 Criterios a
considerar para el tratamiento de datos personales por medios tecnológicos
tercerizados, en el que para su realización debe considerarse como prestación
mínima: garantizar la confidencialidad de los datos personales sobre los cuales
se preste el servicio. Ver: Lámina Power point 14-5.
· El
artículo 60.2 Contenidos, asociado
a los Códigos de conducta adecuados a la Ley que incluye como mínimo mecanismos
para asegurar la confidencialidad. Ver: Lámina Power point 14-6.
· El
artículo 133.11 Infracciones
graves, que señala como tal la obligación de confidencialidad el incumplimiento del
artículo 17 de la Ley. Ver: Lámina Power point 14-7.
2.3.Directiva
N° 001-2014-JUS-DGPDP Datos Personales vinculados a Programas Sociales
· VI Disposiciones Específicas.6.4 en sus Lineamientos de
confidencialidad establece que tanto el MIDIS como las entidades que administran programas sociales y
subsidios del estado deberán definir los lineamientos dirigidos a garantizar la
seguridad y confidencialidad de la información que administran… Ver: Lámina Power point 14-8.
2.4.Ley N° 30029. Artículo
4a); 4b) de la Ley que adecua el uso de las TICs en
el Sistema de Remates Judiciales.
· El
Artículo 4a) y 4b) ordena que el
Poder Judicial debe cumplir a) con las exigencias de administrar la información
contenida en el Sistema de Remates Electrónicos Judiciales, y b) Garantizar,
bajo responsabilidad administrativa, civil o penal a que hubiera lugar, la
confidencialidad de la identidad de los usuarios postores, así como la
integridad, disponibilidad, confiabilidad y trazabilidad de la información
ingresada. Ver: Lámina Power point 14-9.
· El
Artículo 6 establece que todos
aquellos que intervengan en la gestión de la información del Remate Electrónico
Judicial están obligados a guardar su confidencialidad, acorde con la Constitución,
Ley N° 29733 y demás normas, bajo responsabilidad. Ver: Lámina Power point
14-10.
2.5.Reglamento
de la Ley N° 29907 Ley de Prevención para la prevención y tratamiento de la
ludopatía. D.S. N° 007-2013-MINCETUR.
El Artículo 10.1; 10.2 De la
confidencialidad de la información prevé que los funcionarios y servidores
de la Dirección General de Juegos de Casino y Máquinas Tragamonedas de
MINCETUR, DGJCMT, están obligados a guardar confidencialidad de la información
contenida en el Registro. Ver: Lámina Power point 14-11.
El Artículo 20.1; 20.2 De la confidencialidad
del Dictamen ordena que el Dictamen que emita la Junta Médica para el
diagnóstico de la ludopatía, colegiada e individualmente, está obligada a
guardar confidencialidad de su dictamen, y que éste poda ser entregado a la
familia que solicito el diagnostico a inscribir en el Registro de personas
prohibidas de acceder a salas de juego de casino y máquinas tragamonedas, a
cargo de la Dirección General de Juegos de Casino y Máquinas Tragamonedas de
MINCETUR. Ver: Lámina Power point 14-12.
2.6.Directiva
de Seguridad de la Información. Aprobada por R.D. N° 019-2013-JUS/DGPDP.
1. DISPOSICIONES
GENERALES
1.3. Requisitos de Seguridad
1.3.1. Cumplimiento de requisitos
Ítem |
Requisito |
Aplica a la Categoría de Tratamiento :
|
||||
|
|
Básico |
Simple |
Intermedio |
Complejo |
Crítico |
1.3.1.8 |
Desarrollar y
mantener actualizado un documento de compromiso de confidencialidad en
el tratamiento de datos personales (artículo 17 de la Ley N° 29733),
aplicable al personal relacionado con el tratamiento de datos personales. |
Declaración
jurada simple indicando nombres, apellidos, DNI y firme (puede estar incluido
en el cuaderno de seguridad (ver anexo B). |
Declaración
jurada simple indicando nombres, apellidos, DNI y firme (puede estar
incluido en el cuaderno de seguridad (ver anexo B). |
incorporar el
requisito dentro de los formatos, procedimientos o procesos apropiados en la
organización |
incorporar el
requisito dentro de los formatos, procedimientos o procesos apropiados en la
organización |
incorporar el
requisito dentro de los formatos, procedimientos o procesos apropiados en la
organización |
2.3. Medidas de Seguridad Técnicas
2.3.2. Medidas de
Seguridad Técnicas relacionadas a la alteración no autorizada del banco de
datos personales.
2.3.2.4.
Seguridad en la copia o reproducción de documentos.
Cuando sea necesario, el titular del
banco de datos personales debe designar a las personas autorizadas a generar
y/o eliminar fas copias o reproducciones de los datos personales.
Se deben implementar las siguientes
medidas para preservar la confidencialidad de los datos personales:
a) Utilizar impresoras,
fotocopiadoras, scanner u otros equipos de reproducción autorizados.
b) Supervisar el proceso de copia o
reproducción de los documentos.
No
dejar desatendido el equipo.
c)
Retirar los documentos originales y las copias del equipo inmediatamente
después de finalizada la copia o reproducción.
Se deben registrar las copias o
reproducciones de los documentos con
datos personales realizadas indicando como mínimo:
a) Nombre de la persona que solicita la copia
b) Nombre de la persona autorizada a realizar copias.
c) Descripción de los datos personales copiados.
d) Número de copias.
e) Motivo.
f) Nombre de la persona que recibe la copia.
g) Lugar de destino.
h) Periodo de validez de la copia.
2.3.4.5.
Medidas específicas
Ítem |
Requisito |
Aplica a la Categoría de Tratamiento :
|
||||
|
|
Básico |
Simple |
Intermedio |
Complejo |
Crítico |
2.3.4.5. |
Toda información electrónica que contiene datos personales debe ser
almacenada en forma segura empleando mecanismos de control de acceso y
cifrada para preservar su confidencialidad. |
Opcional |
Opcional |
Requerido |
Requerido |
Requerido |
2.3.4.6. |
La
información de datos, |
Opcional |
Implementar
ítem 2.3.5.3
|
Implementar
ítem 2.3.5.3
|
Implementar
ítem 2.3.5.3
|
Implementar
ítem 2.3.5.3
|
2.3.4.9. |
Todo
evento identificado que afecte la confidencialidad, integridad y
disponibilidad de los datos personales, o que indique un posible
incumplimiento de las medidas de seguridad establecidas, debe ser reportado inmediatamente
al encargado del banco de datos personales.
|
Registrar el incidente
con una descripción 12.3.5.7 2357 detallada del mismo y
las medidas correctivas adoptadas (pueden estar registradas en el cuaderno de seguridad citado en el anexo B).
|
Implementar
ítem 2.3.5.7
|
Implementar
ítem 2.3.5.7
|
Implementar
ítem 2.3.5.7
|
Implementar
ítem 2.3.5.7
|
A manera de Conclusión:
Existen diferencias marcadas entre los conceptos de Principios de Confidencialidad, en la normativa europea, respecto a las Obligaciones de Confidencialidad, en la legislación peruana.
Mientras en el primero, los Principios del RGPD se caracterizan por ser generales, abstractos y orientadores, basados en reglas, valores, en el segundo, la legislacion peruana postula normas específicas y aplicables a vínculos jurídicos y conductas concretas.
En los Considerandos del RGPD se tienen en cuenta varios alcances referidos al principio de confidencialidad en el tratamiento de los datos personales: en relación a la seguridad adecuada para impedir el acceso o el uso no autorizado de los mismos; o los acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos conservados o transmitidos; o que puedan dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo.
Otros Considerandos apuntan a la responsabilidad del encargado o responsable del tratamiento en la evaluación de riesgos, la aplicación de medidas para mitigarlo, teniendo en cuenta el estado de la técnica, los costes de su aplicación; los plazos para notificar a la autoridad de control, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas; y la aplicación del principio de confidencialidad al tratamiento de datos personales con fines estadísticos, como datos agregados, y que el resultado o los datos personales no sean utilizados para respaldar medidas o decisiones relativas a personas físicas concretas; y su contribución como parte de la confidencialidad a la estadística europea.
La Parte Dispositiva del RGPD se centra en el Artículo 5.1.f del RGPD ordenando el tratamiento de los datos personales de manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito, la destrucción o el daño accidental, mediante la aplicación de medidas técnicas, organizativas y legales adecuadas.
El Artículo 14.5.d del RGPD incide sobre la Información que deberá facilitarse cuando los datos personales no hayan sido recabados del propio interesado.
El Artículo 28.3.b señala que el tratamiento de datos personales por el encargado, responsable se regirá por un contrato u otro acto jurídico garante del compromiso de las personas autorizadas para tratar datos personales a respetar la confidencialidad o se encuentren sujetas a una obligación de confidencialidad de naturaleza estatutaria.
El Artículo
32.1.b sobre la seguridad del tratamiento, ordena que el responsable y el encargado del tratamiento aplicarán
medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado al riesgo;
El Artículo
38.5. sobre la Posición del Delegado de Protección de Datos Personales, revela
la obligación de éste a mantener el secreto o la
confidencialidad en lo que respecta al desempeño de sus funciones.
Igualmente el Artículo 54.2 del RGPD sobre Normas relativas al
establecimiento de la Autoridad de Control, decidiendo que el miembro o miembros y el personal de cada autoridad de
control estarán sujetos, de conformidad con el Derecho de la Unión o de los
Estados miembros, al deber de secreto profesional, tanto durante su mandato
como después del mismo, con relación a las informaciones confidenciales de las
que hayan tenido conocimiento en el cumplimiento de sus funciones o el
ejercicio de sus poderes.
La misma facultad propone el Artículo
76.1
del RGPD sobre el Comité Europeo de Protección de Datos Personales, acerca de
la confidencialidad, de sus debates, los mismos que
serán confidenciales cuando este mismo colegiado lo considere necesario, tal
como se establezca en su reglamento interno.
Finalmente, el RGPD impone severas sanciones económicas y otras sanciones en caso de incumplimiento.
La normativa peruana relativa a
la obligación de confidencialidad se asienta en cinco textos normativos muy
distantes del enfoque europeo basado en el Principio de Confidencialidad:
·
La Ley N° 29733, trata en el concepto de Nivel
suficiente de protección de datos la obligación de confidencialidad. Artículo 1.10 Objeto de la Ley y Artículo 3.12 Definiciones.
Las Limitaciones al consentimiento para el tratamiento de datos personales, referido a las salvaguardas de los datos personales, en el artículo 14.11.
La confidencialidad
de los datos personales, por parte del titular de los bancos de datos, el
encargado y toda persona interviniente en el tratamiento en el artículo 35.
Y
finalmente, la Confidencialidad, por parte del personal de la Autoridad Nacional
de Protección de Datos, la duración de esta obligación y las responsabilidades
en el artículo 35.
· El
Reglamento de la Ley N° 29733 D.S. N° 006-2024-JUS, estable en los Criterios
a considerar para el tratamiento de datos personales por medios tecnológicos
tercerizados, la Garantía de la confidencialidad en el artículo 29.3; los mecanismos para asegurar la confidencialidad en
el Contenido de los Códigos de conducta, artículo
60.2; y el incumplimiento de la obligación de confidencialidad como Infracción
muy grave en el artículo 133.11
· La Directiva N° 001-2014-JUS-DGPDP Datos
Personales vinculados a Programas Sociales establece en las VI Disposiciones específicas, 6.4 los
lineamientos de confidencialidad de la información
que administran.
· La Ley N° 30029. Ley que adecúa el uso de las
TICs en el Sistema de Remates Judiciales ordena al Poder Judicial el cumplimiento
de Artículo 4a); las exigencias de
administrar la información contenida en el Sistema de Remates Electrónicos
Judiciales, y 4b): garantizar, bajo
responsabilidad administrativa, civil o penal a que hubiera lugar, la
confidencialidad de la identidad de los usuarios y otros.; y las exigencias de la confidencialidad, de otros intervinientes
en la gestión de la información del Remate Electrónico Judicial. Artículo 6.
· El Reglamento de la Ley N° 29907 Ley de
Prevención para la prevención y tratamiento de la ludopatía. D.S. N°
007-2013-MINCETUR sobre la Confidencialidad de la información prevé que los
funcionarios y servidores de la Dirección General de Juegos de Casino y
Máquinas Tragamonedas de MINCETUR, DGJCMT, están obligados a guardar
confidencialidad Artículo 10.1. Así
mismo está obligada a guardar confidencialidad del Dictamen que emita la Junta
Médica para el diagnóstico de la ludopatía, colegiada e individualmente Artículo 10.2.
· La
Directiva de Seguridad de la Información,
aprobada por R.D. N° 019-2013-JUS/DGPDP, en las 1. DISPOSICIONES GENERALES, 1.3.
Requisitos de Seguridad, 1.3.1.
Cumplimiento de requisitos, el ítem 1.3.1.8 plantea como Requisito: Desarrollar
y mantener actualizado un documento de compromiso de confidencialidad en
el tratamiento de datos personales, aplicable a las cinco categorías de
tratamiento.
En 2.3. Medidas de Seguridad Técnicas, 2.3.2. Medidas de Seguridad
Técnicas relacionadas a la alteración no autorizada del banco de datos
personales, 2.3.2.4. Seguridad en la copia o reproducción de documentos,
indica que el titular del banco de datos personales debe designar a las personas
autorizadas a generar y/o eliminar fas copias o reproducciones de los datos
personales. Debiéndose implementar determinadas medidas para preservar la confidencialidad
de los datos personales.
En 2.3.4.5. Medidas específicas, plantea como Requisito:
Toda información electrónica que contiene datos personales debe ser almacenada
en forma segura empleando mecanismos de control de acceso y cifrada para preservar
su confidencialidad. Agregando que la
información de datos, personales que se transmite electrónicamente debe ser protegida para preservar su confidencialidad
e integridad. El Requisito de esta medida es opcional para la Categoría de
Tratamiento Básico, pero Requerido para las cuatro otras Categorías: Simple,
Intermedio, Complejo y Crítico.
En 2.3.4.6. Medidas específicas, se instituye que la información de datos,
personales que se transmite electrónicamente debe ser protegida para preservar
su confidencialidad e integridad. El Requisito de esta medida es opcional para
la Categoría de Tratamiento Básico, pero Requerido para las cuatro otras Categorías:
Simple, Intermedio, Complejo y Crítico.
Y
finalmente, en 2.3.4.6. Medidas específicas, se establece
que Todo evento
identificado que afecte la confidencialidad, integridad y disponibilidad de los
datos personales, o que indique un posible incumplimiento de las medidas de
seguridad establecidas, debe ser reportado inmediatamente al encargado del banco
de datos personales. El Requisito de esta
medida es Registrar el incidente con una descripción detallada del mismo y las medidas
correctivas adoptadas para la Categoría de Tratamiento Básico, e Implementar el
ítem 23.5.7. para las cuatro otras Categorías:
Simple, Intermedio, Complejo y Crítico.
Finalmente, el principio de confidencialiad de los datos personales del RGPD es un concepto abstracto, orientador, sujeto a interpretación que permiten definir la finalidad, el ámbito y el alcance del tratamiento. Mientras las obligaciones de confidencialidad son normas, acciones concretas, especificas de poco margen teleológico.
No hay comentarios:
Publicar un comentario