Derecho y NBIC: ¿TITULARES, ENCARGADOS DE BANCO DE DATOS Y RESPONSABLES DE TRATAMIENTO DE DATOS PERSONALES SON LO MISMO?

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

Una de las exigencias del lenguaje científico es la univocidad del lenguaje a fin de evitar la polisemia que empleamos en el lenguaje natural, en el habla corriente. Por ello nos interrogamos sobre las derivas vinculadas a voces aparentemente sinónimas o equivalentes Titulares, Encargados de Banco de Datos y Responsables de Tratamiento de Datos.

La Ley de Protección de Datos Personales y su Nuevo Reglamento, presentan un caso de figura interesante respecto de la afirmación anterior, sobre la precisión exigible a los legisladores, acerca de los conceptos de Titular del banco de datos personales, Encargado del banco de datos personales y Responsable de Tratamiento.

La Ley de Protección de datos en el Perú es bastante precisa respecto a dos figuras que asumen la responsabilidad, en general, del tratamiento de los datos personales: el Titular del Banco de Datos Personales y el Encargado del Banco de datos Personales.

Ley N° 29733. Art.2, Incs. 15 y 6:

15. Titular del banco de datos personales. Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad.

6. Encargado del banco de datos personales. Toda persona natural, persona jurídica de derecho privado o entidad pública que sola o actuando conjuntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales.

El articulo L. Art.2, Inc.17, precisa las acciones – tratamiento – a las cuales se relacionan:

17. Tratamiento de datos personales. Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.

No obstante, el Nuevo Reglamento de la Ley N° 29733, aprobado por el D.S. 016-2024-JUS añade un nuevo sujeto: el Responsable del tratamiento de datos, que amplía las funciones ligadas al banco de datos.

El Artículo III Definiciones, inciso 13. Evaluación de impacto, equipara al titular del banco de datos al de responsable del tratamiento:

13. Evaluación de impacto relativo a la protección de datos personales: Es el mecanismo de responsabilidad proactiva que consiste en que el titular del banco de datos personales o responsable del tratamiento de datos realice, de forma previa al tratamiento de los mismos, un análisis o evaluación del impacto o riesgos que implica el tratamiento de esos datos.

En el mismo Artículo III Definiciones, inciso 22. Amplía el término de responsable de tratamiento: a cualquier persona que decida sobre el tratamiento de datos personales, aun cuando no se encuentre en un banco de datos.

22. Responsable del tratamiento: Es la persona natural, persona jurídica de derecho privado o entidad pública que decide sobre la finalidad y medios del tratamiento de datos personales. Esta definición no se restringe al titular del banco de datos, sino que incluye a cualquier persona que decida sobre el tratamiento de datos personales, aun cuando no se encuentre en un banco de datos personales. Esta definición (Responsable del tratamiento) no se restringe al titular del banco de datos, sino que incluye a cualquier persona que decida sobre el tratamiento de datos personales, aun cuando no se encuentre en un banco de datos personales. (Las negritas son nuestras)

Similares funciones le atribuye el Artículo 6 Consentimiento Informado, inciso 6.1. cuanto a la identidad del titular del banco de datos y al responsable del tratamiento.

Cuando los datos personales son obtenidos directamente del titular de los datos personales se le debe comunicar de forma clara, con lenguaje sencillo, cuando menos lo siguiente:

La identidad y domicilio o dirección del titular del banco de datos personales o del responsable del tratamiento al que puede dirigirse para revocar el consentimiento o ejercer sus derechos.

Igualmente en el Artículo 34. Notificación del incidente de seguridad de datos personales Inc. 34.3

34.3 El titular del banco de datos o responsable del tratamiento que advierta un incidente de seguridad de datos personales que afecte al titular de los mismos en otros de sus derechos, debe comunicarlo dentro de las 48 horas a dicho titular sin dilación indebida, en un lenguaje sencillo y claro para su comprensión, así como de las medidas adoptadas para mitigar sus efectos. Si dicha comunicación se efectúa en un tiempo superior a las 48 horas debe ir acompañada de la indicación de los motivos de tal dilación.

Del mismo modo en el Artículo 20. Garantías para el flujo transfronterizo de datos personales Inc. 20.2

20.2 La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales emite modelos de cláusulas contractuales a fin de que los receptores o importadores asuman las obligaciones que corresponden al titular del banco de datos o responsable del tratamiento, y se establezca los derechos y libertades de los titulares de los datos personales y las obligaciones de los responsables de tratamiento.

Y así lo confirma en los artículos:

Artículo 26 Tratamiento de datos para publicidad y prospección comercial;

Artículo 64. Requisitos de la solicitud;

Artículo 65. Servicios de atención al público; Artículo 64. Requisitos de la solicitud;

Artículo 67. Facilidades para el ejercicio del derecho;

Artículo 68. Forma de la respuesta para el ejercicio del derecho;

Artículo 69. Plazos de respuesta para el ejercicio del derecho;

Artículo 70. Requerimiento de información o documentación adicional;

Artículo 73. Denegación parcial o total ante el ejercicio de un derecho;

Artículo 76. Sobre Portabilidad de datos personales; incisos 76.1 al 76.4;

Artículo 77. Medios para el cumplimiento del derecho de acceso;

Artículo 82. Supresión o cancelación;

Artículo 83. Comunicación de la Supresión o cancelación;

Artículo 84. Improcedencia de la supresión o cancelación;

Artículo 85. Protección en caso de denegatoria de supresión o cancelación;

Artículo 86. Oposición;

Artículo 87. Derecho al tratamiento objetivo de datos personales;

Artículo 88. Procedimiento de tutela directa.

Sin embargo, en los Artículos 66; 89; 96; y 97, atribuyen funciones similares al Titular del banco de datos, el Encargado del banco de datos y el Responsable del tratamiento. Incluso, el artículo 97, incorpora funciones complementarias a los representantes de las personas naturales y jurídicas.

Artículo 66. Recepción y subsanación de la solicitud,

66.1 Todas las solicitudes presentadas deben ser recibidas dejándose constancia de su recepción por parte del titular del banco de datos personales o responsable del tratamiento o encargado de tratamiento, cuando así corresponda.

Artículo 89. Requisitos para el inicio del procedimiento trilateral de tutela

El ejercicio de los derechos se lleva a cabo mediante solicitud dirigida al titular del banco de datos personales o responsable del tratamiento o ante el encargado de tratamiento, si como consecuencia del encargo se establece en el contrato o relación jurídica que los vincule a la obligación de atender las solicitudes o se considere un responsable de tratamiento por administrar la base de datos personales, la misma que debe contener:

Artículo 96. Inicio de la actividad de fiscalización

96.1 La actividad de fiscalización se inicia siempre de oficio como consecuencia de:

1. Iniciativa directa de la Dirección de Fiscalización e Instrucción; o,

2. Por denuncia de cualquier entidad pública, persona natural o jurídica.

96.2 En todos los casos, la Dirección de Fiscalización e Instrucción requiere al titular del banco de datos personales, al encargado o a quien resulte responsable, información relativa al tratamiento de datos personales o la documentación necesaria.

(…)

Artículo 97. Tipos de actividad de fiscalización

La actividad de fiscalización se clasifica en:

1. Presencial: Acción de fiscalización que se realiza fuera de las sedes de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, en presencia del titular del banco de datos personales, el encargado o quien resulte responsable o sus representantes.

2. En gabinete: Acción de fiscalización que se realiza desde las sedes de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales y que implica el acceso y evaluación a través de medios digitales a las actividades que realiza el titular del banco de datos personales, el encargado o quien resulte responsable del tratamiento de datos personales.

Creo que un análisis más acucioso de la Exposición de Motivos del Nuevo Reglamento pudiera explicarnos las funciones comunes y/o específicas de cada uno de los Titulares, Encargados de Banco de Datos y Responsables de Tratamiento de Datos, incluso de los Representantes.

Todos ellos responsables de formas de cumplimiento de los principios rectores de la protección de datos, garantes de los derechos de los titulares de los datos personales y particularmente, responsables de las diferentes formas de tratamiento pero cuyos alcances no han sido netamente diferenciados.

Igualmente, esperamos que una precisión mayor pudiera ser reclamada a los órganos técnicos-normativos de la Autoridad Nacional de Protección de Datos Personales; a las Autoridades del procedimiento sancionador por la casuística que pudiera ser extraída de sus resoluciones; y obviamente, de las investigaciones sobre este tema.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com

______________________________________________________________

Derecho y NBIC

viernes, 4 de abril de 2025

¿TITULARES, ENCARGADOS DE BANCO DE DATOS Y RESPONSABLES DE TRATAMIENTO DE DATOS PERSONALES SON LO MISMO?

No hay comentarios:

Publicar un comentario