Por: Carlos A. FERREYROS SOTO
A propósito de la inminente vigencia, el 30 de marzo próximo, del Nuevo Reglamento de la Ley N° 29733 de Protección de Datos Personales, aprobado por el D.S. N° 016-2024-JUS, en adelante Reglamento Perú, es oportuno enfocarse sobre el alcance de las nociones Oficial de Protección de Datos Personales y la de Delegado de Protección de Datos Personales, utilizada en su referente, el Reglamento (UE) 2016/67/CE de Protección de Datos Personales europeo, en adelante Reglamento UE.
El Reglamento Perú, ampliamente influenciado por el Reglamento UE, asocia ambas nociones de forma sinónima, aunque estrictamente su diferencia pudiera venir de la traducción del inglés al castellano del Data Protection Officer, (DPO) del Reglamento UE devenido Oficial de Protección de Datos en el Reglamento Perú.
La normativa europea sí establece una diferencia sustantiva entre el Data Protection Officer, (DPO) y el Compliance Officer, o Delegado de Conformidad o Cumplimento, persona a cargo, de forma general, del cumplimiento normativo de una empresa, organización.
Ambos términos, Oficial y Delegado de Protección de Datos Personales, han sido identificados en los Considerandos y el Articulado de los Reglamentos de Perú y de la UE sobre la Protección de Datos Personales con el propósito de destacar algunos de sus elementos para una investigación de mayor análisis: definiciones, designaciones, misiones, funciones y/o deberes.
La idea inicial de este ejercicio era destacar estas nociones en ambas fuentes a fin de que sirvan como elementos para una investigación que establezca comparaciones, coincidencias, diferencias en los dos Reglamentos. El presente artículo presenta algunos de estos elementos.
Una primera constatación es que el Reglamento UE no define la noción de delegado de protección de datos, mientra) el Reglamento Perú, sí.
Una segunda observación destacable es la fecha a partir de las cuales cobraron vigencia: casi tres años por la más antigua, el Reglamento Perú 2013, en relación al Reglamento UE 2016. Sin embargo, este último deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) de 1995, denotando con ello una mas antigua, prolífica e íntegra regulación con la Directiva 2002/58/CE, incluidas amplias modificaciones por el avance y convergencias tecnologicas.
Una tercera indagación es que los Reglamentos Europeos, y el Reglamento de Protección de Datos, en particular, son de aplicación directa en los veintisiete (27) Estados miembros mientras que el Reglamento Perú solo es de aplicación nacional.
Una cuarta observación es que el Reglamento UE ha sido considerado doctrinariamente como un instrumento jurídico de alcance extraterritorial mientras el alcance del Reglamento Perú tiene estrictamente vocación nacional. Las reglas sobre la extraterritorialidad se encuentran en el artículo 3 apartado 2 del Reglamento UE, las mismas que según López 2019/: “establecen una serie de supuestos en los que responsables o encargados del tratamiento de datos personales que estén ubicados fuera de la Unión Europea (UE) pueden quedar sujetos a las reglas establecidas en el RGPD, a la monitorización de los tratamientos por parte de las autoridades de los Estados miembros de la UE y a su régimen sancionador[1]. En síntesis el Reglamento UE se aplica a un responsable o encargado del tratamiento de datos personales aún cuando no se encuentre establecido (resida o domicilie) en la Unión. El criterio de extraterritorialidad será un elemento importante en la norma sobre el flujo transfronterizo de datos.
Una quinta constatación estriba en la doble regulación de la protección de los datos personales por la Unión Europea: el Tratamiento de datos personales y la libre circulación de estos datos (Reglamento (UE) 2016/679/CE); y el Tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva 2002/58/CE). Sin embargo, ambos instrumentos complementarios, presentan diferencias cuanto a la forma legislativa y a su aplicación: las Directivas de la Unión Europea (UE) requieren transposición, es decir, desencadenan un proceso de incorporación, adecuación a las legislaciones nacionales de los Estados miembros.
Sobre su Reglamentación, el 9 de marzo de 2021, la presidenta del Comité Europeo de Protección de Datos adoptó ya una Declaración N° 03/2021, relativa al Reglamento sobre la privacidad y las comunicaciones electrónicas[2]. No obstante, hasta agosto de 2024, el Reglamento sobre Privacidad y las comunicaciones electrónicas todavía era objeto de debates tripartitos entre el Parlamento Europeo, el Consejo Europeo y la Comisión Europea. Obviamente uno de los puntos a considerar en el Reglamento final será el relativo a la regulación de los Delegados de Protección de Datos Personales en ese ámbito.
Es sobre estos rasgos, constataciones que pudiera iniciarse una investigación de más largo aliento, a fin de evaluar, particularmente el alcance de la misión, deberes y obligaciones del Oficial de Protección de Datos Personales en el Reglamento Perú y su relación a su referente el Reglamento UE.
[1] Leticia López-Lapuente Abogada del Área de Derecho Mercantil y Responsable de las Áreas de Protección de Datos e Internet de Uría Menéndez (Madrid). “LA APLICACIÓN EXTRATERRITORIAL DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS https://www.uria.com/documentos/publicaciones/6682/documento/foro11.pdf?id=8967
"Artículo 3 Ambito territorial
Leticia López-Lapuente Abogada del Área de Derecho Mercantil y
Responsable de las Áreas de Protección de Datos e Internet de Uría Menéndez
(Madrid). “LA APLICACIÓN EXTRATERRITORIAL DEL REGLAMENTO GENERAL DE
PROTECCIÓN DE DATOS
https://www.uria.com/documentos/publicaciones/6682/documento/foro11.pdf?id=8967
Artículo 3 Ambito territorial
1. (...)
2. El presente Reglamento se aplica
al tratamiento de datos personales de interesados que residan en la Unión por
parte de un responsable o encargado no establecido en la Unión, cuando las
actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente
de si a estos se les requiere su pago, o
b) el control de su comportamiento, en la medida en que este tenga lugar en
la Unión."
[2] https://www.edpb.europa.eu/system/files/2021-06/edpb_statement_032021_eprivacy_regulation_es.pdf
.jpeg)
Delegado vs Oficial de Protección de Datos Personales en UE y
PERU. Elementos para Investigación.
.jpeg)
A propósito de la vigencia del Nuevo Reglamento de Proteccion de Datos Personales aprobado por el D.S. N° 016-2024-JU
UNION
EUROPEA
REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO del 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Noción: Delegado de
proteccion de Datos
CONSIDERANDOS
(77) Las
orientaciones sobre la aplicación de medidas adecuadas y sobre la demostración
por parte del responsable o del encargado del tratamiento del cumplimiento del
presente Reglamento, en particular en lo que se refiere a la identificación de
los riesgos relacionados con el tratamiento, su evaluación en términos de
origen, naturaleza, probabilidad y gravedad, y la identificación de las mejores
prácticas para mitigar el riesgo, podrían proporcionarse en particular mediante
códigos de conducta aprobados, certificaciones aprobadas y directrices
impartidas por el Comité o indicaciones dadas por un
delegado de protección de datos. El Comité también podrá emitir
directrices sobre las operaciones de tratamiento que se considere poco probable
que entrañen un alto riesgo para los derechos y libertades de las personas
físicas e indicar qué medidas pueden ser suficientes en tales casos para
abordar dicho riesgo.
ARTICULOS
Artículo
30 Registro de actividades de procesamiento
1. Cada responsable del tratamiento y, en su caso, su representante
deberán mantener un registro de las actividades de tratamiento realizadas bajo
su responsabilidad. Este registro contiene toda la siguiente información:
a) el nombre y los datos de contacto del responsable
del tratamiento y, en su caso, del corresponsable del tratamiento, del
representante del responsable y del delegado de
protección de datos;
b) los fines del tratamiento;
c) una descripción de las categorías de personas
interesadas y de las categorías de datos personales;
d) las categorías de destinatarios a los que se han
comunicado o se comunicarán los datos personales, incluidos destinatarios en
terceros países u organizaciones internacionales;
e) en su caso, las transferencias de datos personales
a un tercer país o una organización internacional, incluida la identificación
de dicho tercer país u organización internacional y, en el caso de las
transferencias a que se refiere el artículo 49, apartado 1, párrafo segundo, la
documentación que acredite la existencia de garantías adecuadas;
f) cuando sea posible, los plazos para la supresión de
las distintas categorías de datos;
g) cuando sea posible, una descripción general de las
medidas técnicas y organizativas de seguridad a que se refiere el artículo 32,
apartado 1.
2. Cada encargado del tratamiento y, en su caso, su representante, mantendrán un registro de todas las categorías de actividades de tratamiento realizadas por cuenta del responsable del tratamiento, incluyendo:
a) el nombre y los datos de contacto del encargado o
encargados y de cada responsable por cuenta del cual actúe el encargado y, en
su caso, los nombres y datos de contacto del representante del responsable o
encargado y los del delegado de protección de datos;
b) las categorías de tratamientos efectuados por
cuenta de cada responsable del tratamiento;
c) en su caso, las transferencias de datos personales
a un tercer país o una organización internacional, incluida la identificación
de dicho tercer país u organización internacional y, en el caso de las
transferencias a que se refiere el artículo 49, apartado 1, párrafo segundo, la
documentación que acredite la existencia de garantías adecuadas;
d) cuando sea posible, una descripción general de las
medidas técnicas y organizativas de seguridad a que se refiere el artículo 32,
apartado 1.
Articulo 33 Notificación de una violación de datos personales a la autoridad de control
- En caso
de violación de datos personales, el responsable del tratamiento lo
notificará a la autoridad de control competente de conformidad con el
artículo 55 sin dilación indebida y, cuando sea posible, a más tardar 72
horas después de haber tenido conocimiento de la violación, a menos que
sea poco probable que esta entrañe un riesgo para los derechos y
libertades de las personas físicas. Cuando la notificación a la autoridad
de control no se produzca en el plazo de 72 horas, deberá ir acompañada de
los motivos del retraso.
- El
encargado del tratamiento deberá notificar al responsable del tratamiento
cualquier violación de datos personales lo antes posible después de tener
conocimiento de ella.
- La
notificación a que se refiere el apartado 1 deberá, como mínimo:
(a) describir la naturaleza de la violación de datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados;
b) proporcionar el nombre y los datos de contacto del responsable de protección de datos u otro punto de contacto del que pueda obtenerse más información;
(c) describir las probables consecuencias de la violación de datos personales;
(d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para abordar la violación de datos personales, incluidas, cuando proceda, las medidas para mitigar sus posibles consecuencias negativas.
Artículo 35 Evaluación de impacto de la protección de datos
1. Cuando sea probable que un tipo de tratamiento, en particular mediante
el uso de nuevas tecnologías, y teniendo en cuenta la naturaleza, el alcance,
el contexto y los fines del tratamiento, entrañe un alto riesgo para los
derechos y las libertades de las personas físicas, el responsable del
tratamiento realizará, antes del tratamiento, un análisis del impacto de las
operaciones de tratamiento previstas en la protección de los datos personales.
Un único análisis puede abarcar un conjunto de operaciones de procesamiento
similares que presenten riesgos elevados similares.
2. Al realizar una evaluación de impacto relativa a la protección de datos,
el responsable del tratamiento recabará el asesoramiento del delegado de protección de
datos, si se ha designado uno.
Artículo
36 Consulta previa
3. Cuando el
responsable del tratamiento consulte a la autoridad de control con arreglo al
apartado 1, comunicará a esta:
a) en su caso, las respectivas responsabilidades del
responsable, de los corresponsables y de los encargados del tratamiento que
participen en el tratamiento, en particular en el caso del tratamiento dentro
de un grupo de empresas;
b) los fines y medios del tratamiento previsto;
c) las medidas y garantías previstas para proteger los
derechos y libertades de los interesados en virtud del presente Reglamento;
d) en su caso, los datos de
contacto del delegado de protección de datos;
e) la evaluación de impacto sobre la protección de
datos prevista en el artículo 35; Y
f) cualquier otra información solicitada por la
autoridad de control.
Artículo 37 Designación del delegado de protección de datos
1. El responsable y el encargado del tratamiento
designarán en todo caso un delegado de protección de datos cuando:
a) el
tratamiento lo realice una autoridad u organismo público, con excepción de los
tribunales que actúen en el ejercicio de sus funciones jurisdiccionales;
b) las
actividades principales del responsable o del encargado del tratamiento
consisten en operaciones de tratamiento que, por su naturaleza, alcance y/o
finalidad, requieren una vigilancia regular y sistemática a gran escala de los
interesados; O
c) Las
actividades principales del responsable o del encargado del tratamiento
consisten en el tratamiento a gran escala de categorías especiales de datos a
que se refiere el artículo 9 y de datos personales relativos a condenas e
infracciones penales a que se refiere el artículo 10.
2. Un grupo de empresas podrá designar un único
delegado de protección de datos, siempre que éste sea fácilmente localizable
desde cada lugar de establecimiento.
3. Cuando el responsable o el encargado del
tratamiento sea una autoridad u organismo público, se podrá designar un único
delegado de protección de datos para varias de dichas autoridades u organismos,
teniendo en cuenta su estructura organizativa y su tamaño.
4. En casos distintos de los contemplados en el
apartado 1, el responsable o el encargado del tratamiento o las asociaciones y
demás organismos que representen a categorías de responsables o encargados del
tratamiento podrán designar o, si así lo exige el Derecho de la Unión o de los
Estados miembros, designarán a un delegado de protección de datos. El Delegado
de Protección de Datos podrá actuar en nombre de estas asociaciones y otros
organismos que representen a los responsables o encargados del tratamiento.
5. El delegado de protección de datos será
designado en función de sus cualidades profesionales y, en particular, de sus
conocimientos especializados de la legislación y las prácticas en materia de
protección de datos, así como de su capacidad para llevar a cabo las tareas a
que se refiere el artículo 39.
6. El delegado de protección de datos podrá ser
miembro del personal del responsable o del encargado del tratamiento, o ejercer
sus funciones sobre la base de un contrato de servicios.
7. El responsable o el encargado del tratamiento
publicará los datos de contacto del delegado de protección de datos y los
comunicará a la autoridad de control.
Artículo 38 Función del delegado de
protección de datos
1. El responsable y el encargado del tratamiento
garantizarán que el delegado de protección de datos participe, de forma
adecuada y oportuna, en todos los asuntos relacionados con la protección de
datos personales.
2. El responsable y el encargado del tratamiento
asistirán al delegado de protección de datos en el desempeño de las tareas a
que se refiere el artículo 39 proporcionándole los recursos necesarios para
llevar a cabo dichas tareas, así como acceso a los datos personales y a las
operaciones de tratamiento, y permitiéndole mantener sus conocimientos
especializados.
3. El responsable y el encargado del tratamiento
garantizarán que el delegado de protección de datos no reciba instrucciones
sobre el ejercicio de sus funciones. El delegado de protección de datos no
podrá ser relevado de sus funciones ni sancionado por el responsable del
tratamiento o el subcontratista por el ejercicio de sus funciones. El Delegado
de Protección de Datos reporta directamente al más alto nivel directivo del
responsable o del encargado del tratamiento.
4. Los interesados podrán dirigirse al
Delegado de Protección de Datos en relación con todas las cuestiones
relacionadas con el tratamiento de sus datos personales y el ejercicio de sus
derechos en virtud del presente Reglamento.
5. El delegado de protección de datos estará sujeto
al secreto profesional o a una obligación de confidencialidad en lo que
respecta al ejercicio de sus funciones, de conformidad con el Derecho de la
Unión o de los Estados miembros.
6. El Delegado de Protección de Datos podrá
desempeñar otras funciones y cometidos. El responsable o el encargado del
tratamiento garantizará que estas misiones y tareas no den lugar a un conflicto
de intereses.
Artículo 39 Misiones del delegado de
protección de datos
1. Las funciones del delegado de protección de
datos serán, al menos, las siguientes:
a) informar y asesorar al responsable o encargado
del tratamiento y a los empleados que lleven a cabo el tratamiento sobre sus
obligaciones en virtud del presente Reglamento y otras disposiciones de la
Unión o de los Estados miembros en materia de protección de datos;
b) supervisar
el cumplimiento del presente Reglamento, de otras disposiciones de la Unión o
de los Estados miembros en materia de protección de datos y de las normas
internas del responsable o del encargado del tratamiento en materia de protección
de datos personales, incluso en lo relativo a la asignación de
responsabilidades, la sensibilización y la formación del personal que participa
en las operaciones de tratamiento y las auditorías relacionadas;
c) proporcionar
asesoramiento, previa solicitud, sobre la evaluación de impacto de la
protección de datos y supervisar su ejecución de conformidad con el artículo
35;
d) cooperar
con la autoridad de control;
f) actuar
como punto de contacto de la autoridad de control en cuestiones relacionadas
con el tratamiento, incluida la consulta previa a que se refiere el artículo
36, y realizar consultas, en su caso, sobre cualquier otro asunto.
2. El delegado de protección de datos, al realizar
sus funciones, tendrá debidamente en cuenta el riesgo asociado a las
operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el
contexto y los fines del tratamiento.
Artículo
47 Normas corporativas vinculantes
1. La autoridad de control competente
aprobará normas corporativas vinculantes de conformidad con el mecanismo de
coherencia previsto en el artículo 63, siempre que:
a) estas normas son
jurídicamente vinculantes y son aplicadas por todas las entidades pertinentes
del grupo de empresas o del grupo de empresas que realizan una actividad
económica conjunta, incluidos sus empleados;
b) otorgan expresamente a los interesados derechos exigibles con respecto al tratamiento de sus
datos personales; Y
c) cumplan los requisitos
establecidos en el apartado 2.
2. Las normas corporativas vinculantes a
que se refiere el apartado 1 especificarán, como mínimo:
a) la estructura y los
datos de contacto del grupo de empresas o del conjunto de empresas que ejercen
una actividad económica conjunta y de cada una de sus entidades;
b) las transferencias o el
conjunto de transferencias de datos, incluidas las categorías de datos
personales, el tipo de tratamiento y sus finalidades, el tipo de interesados afectados y el nombre del tercer país o países de que se trate;
c) su carácter jurídicamente
vinculante, tanto interno como externo;
d) la aplicación de los
principios generales de protección de datos, incluida la limitación de la
finalidad, la minimización de datos, la limitación de los periodos de
conservación de datos, la calidad de los datos, la protección de datos desde el
diseño y la protección de datos por defecto, la base jurídica para el
tratamiento, el tratamiento de categorías especiales de datos personales, las
medidas para garantizar la seguridad de los datos y los requisitos para las
transferencias posteriores a entidades no sujetas a normas corporativas
vinculantes;
e) los derechos de los
interesados con respecto al tratamiento
y los medios para ejercer estos derechos, incluido el derecho a no ser objeto
de decisiones basadas únicamente en el tratamiento automatizado, incluida la
elaboración de perfiles, de conformidad con el artículo 22, el derecho a
presentar una reclamación ante la autoridad de control competente y ante los
tribunales competentes de los Estados miembros de conformidad con el artículo
79 y a obtener reparación y, en su caso, indemnización por el incumplimiento de
las normas corporativas vinculantes;
f) la aceptación por parte
del responsable o del encargado del tratamiento establecido en el territorio de
un Estado miembro de la responsabilidad por cualquier incumplimiento de las
normas corporativas vinculantes por parte de cualquier entidad pertinente no
establecida en la Unión; el responsable o encargado del tratamiento sólo podrá
ser exonerado, total o parcialmente, de esta responsabilidad si prueba que el
hecho generador del daño no es imputable al interesado;
g) la forma en que se
facilita a los interesados información sobre las normas
corporativas vinculantes, en particular en lo que respecta a los elementos a
que se refieren las letras d), e) y f) del presente apartado, además de la
información a que se refieren los artículos 13 y 14;
h) las funciones de
cualquier delegado de protección de datos designado
de conformidad con el artículo 37 o de cualquier otra persona o entidad
encargada de supervisar el cumplimiento de las normas corporativas vinculantes
dentro del grupo de empresas, o grupo de empresas que realicen una actividad
económica conjunta, así como de supervisar la formación y tramitar las
reclamaciones;
Artículo 57 Misiones
- Sin
perjuicio de otras funciones previstas en el presente Reglamento, cada
autoridad de control, en su territorio:
(…)
f) tramitar las
reclamaciones presentadas por un interesado o por un organismo, organización o
asociación, de conformidad con el artículo 80, examinar el objeto de la
reclamación, en la medida necesaria, e informar al reclamante de la evolución y
los resultados de la investigación en un plazo razonable, en particular si es
necesaria una investigación adicional o una coordinación con otra autoridad de
control;
2. Cada
autoridad de control facilitará la presentación de las reclamaciones a que se
refiere el apartado 1, letra f), mediante medidas como la puesta a disposición
de un formulario de reclamación que también podrá cumplimentarse electrónicamente,
sin excluir otros medios de comunicación.
3. El
desempeño de las funciones de cada autoridad de control será gratuito para el
interesado y, en su caso, para el delegado de protección de datos.
PERU
D.S. 016-2024-JUS NUEVO
REGLAMENTO DE LA LEY N° 29733
Noción: Oficial de Proteccion
de Datos
CONSIDERANDOS
No existe referencia alguna a la noción de
Oficial de Datos Personales
Articulo
III Definiciones
10. Encargado
de tratamiento de datos personales: Es la persona natural, persona jurídica de
derecho privado o entidad pública que realiza tratamiento de datos por
cuenta u orden del responsable de tratamiento o titular del banco de datos
personales.
17. Oficial
de Datos Personales: Es la persona designada por el responsable de
tratamiento o encargado del tratamiento de datos personales para la
verificación, asesoramiento e implementación del cumplimiento del régimen
jurídico sobre protección de datos personales.
22. Responsable del tratamiento: Es la persona natural, persona jurídica de derecho privado o entidad pública que decide sobre la finalidad y medios del tratamiento de datos personales. Esta definición no se restringe al titular del banco de datos, sino que incluye a cualquier persona que decida sobre el tratamiento de datos personales, aun cuando no se encuentre en un banco de datos personales.
Artículo 34. Notificación del incidente de
seguridad de datos personales
34.2 La notificación del incidente
de seguridad de datos personales debe señalar y describir como mínimo lo
siguiente:
1. La naturaleza del incidente de
seguridad de los datos personales, inclusive, cuando sea posible, los tipos de
datos y el número aproximado de titulares de datos afectados.
2. El nombre y los datos de contacto del Oficial de datos personales o de otro punto de contacto en el que pueda obtenerse más información.
Artículo 37. Designación del Oficial de Datos
Personales
37.1 El titular del
banco de datos personales o responsable y el encargado de tratamiento deben designar a un Oficial de Datos Personales cuando:
1. El tratamiento lo lleve a cabo
una entidad pública, de conformidad con lo establecido en el párrafo 68.6 del
artículo 68 del Reglamento del Decreto Legislativo N° 1412, Decreto Legislativo
que aprueba la Ley de Gobierno Digital, y establece disposiciones sobre las
condiciones, requisitos y uso de las tecnologías y medios electrónicos en el procedimiento
administrativo, aprobado por Decreto Supremo N.° 029-2021-PCM.
2. El titular del banco de datos o
responsable del tratamiento o el encargado de tratamiento realicen tratamientos
de grandes volúmenes de datos personales, en cantidad o tipo de datos, o que
pueda afectar a un gran número de personas o cuando se trate de datos sensibles
o cuando se produzca un perjuicio evidente a otros derechos o libertades del
titular del dato personal.
3. El titular del banco de datos o
responsable de tratamiento o el encargado del tratamiento realicen actividades
principales o de giro de negocio que comprendan el tratamiento de datos
sensibles.
37.2 Un grupo empresarial puede
nombrar un único Oficial de datos personales
siempre que sea fácil contactarlo desde cada establecimiento.
37.3 Cuando el titular del banco de
datos o el responsable del tratamiento sea una autoridad u organismo público,
se puede designar un único Oficial de datos personales para
varias de estas autoridades u organismos, teniendo en cuenta su estructura
organizativa y tamaño.
37.4 El titular del banco de datos o
el responsable o encargado del tratamiento debe publicar los datos de contacto
del Oficial de datos personales en un lugar
visible que permita a los titulares de datos personales tomar conocimiento de
ello.
37.5 Los datos de contacto del Oficial de datos personales designado, y cualquier
actualización, deben ser comunicados a la Autoridad Nacional de Protección de
Datos Personales dentro de los 15 días siguientes a la designación o actualización
respectiva.
Artículo 38. Perfil del Oficial de datos personales
38.1 El Oficial de datos personales es designado
atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos
y práctica en materia de protección de datos personales, debidamente
acreditados, lo cual le debe permitir desempeñar eficientemente las funciones
del artículo 39 del presente Reglamento.
38.2 El Oficial
de datos personales puede ser una persona que desempeñe otras funciones
en la empresa, entidad pública, sin que sea necesario que desempeñe con
exclusividad las funciones vinculadas a su designación, pudiendo incluso ser
una persona externa a la organización privada.
Artículo 39. Funciones del Oficial de Datos
Personales
39.1 El Oficial de datos personales tiene como mínimo las
siguientes funciones:
1. Informar y asesorar al titular
del banco de datos personales o al responsable del tratamiento y a los
empleados que se ocupen del tratamiento de los datos personales respecto de las
obligaciones que les incumben en virtud de la Ley, el presente Reglamento y de
otras disposiciones de protección de datos.
2. Verificar e informar sobre el
cumplimiento de lo dispuesto en la Ley, el presente Reglamento y de otras
disposiciones de protección de datos personales, así como del cumplimiento de
las políticas del titular del banco de datos o del encargado del tratamiento en
materia de protección de datos personales, incluida la asignación de
responsabilidades, la sensibilización y formación del personal que participa en
las operaciones de tratamiento, y las auditorías que se realicen.
3. Cooperar, en lo que resulte
pertinente, con la Autoridad Nacional de Protección de Datos Personales para el
desempeño de sus fines y atribuciones.
4. Actuar como punto de contacto de
la Autoridad Nacional de Protección de Datos Personales para cuestiones
relativas al tratamiento de datos personales.
39.2 El Oficial
de datos personales desempeña sus funciones prestando la debida atención
a los riesgos asociados a las operaciones de tratamiento de datos personales,
teniendo en cuenta la naturaleza, el alcance, el contexto y fines de tal
tratamiento.
Artículo 132. Infracciones leves
Son infracciones leves, las siguientes:
1. Realizar tratamiento de datos
personales que no sean necesarios, pertinentes ni adecuados con relación a las
finalidades determinadas, explícitas y lícitas para las que requieren ser obtenidos.
2. No modificar o rectificar los
datos personales objeto de tratamiento cuando se tenga conocimiento de su
carácter inexacto o incompleto.
3. No suprimir los datos personales
objeto de tratamiento cuando hayan dejado de ser necesarios, pertinentes o
adecuados para la finalidad para la cual fueron recopilados o cuando hubiese
vencido el plazo para su tratamiento. En estos casos, no se configura la
infracción cuando medie procedimiento de anonimización o disociación.
4. No inscribir o actualizar en el Registro
Nacional de Protección de Datos Personales los actos establecidos en el
artículo 34 de la Ley.
5. Informar de forma incompleta de
dos o menos de dos condiciones del tratamiento de los datos personales
señaladas en el artículo 18 de la Ley.
6. Realizar tratamiento de datos
personales incumpliendo las medidas de seguridad establecidas en la normativa
sobre la materia.
7. Atender fuera de plazo el
ejercicio material de los derechos del titular de datos personales, cuando
legalmente proceda.
8. No comunicar el flujo
transfronterizo de datos personales a la Dirección de Protección de Datos
Personales de la Dirección General de Transparencia, Acceso a la Información
Pública y Protección de Datos Personales para su inscripción en el Registro
Nacional de Protección de Datos Personales.
9. No
designar al Oficial de Datos Personales, cuando así corresponda.
DISPOSICIONES COMPLEMENTARIAS FINALES
Primera. Vigencia
El presente Reglamento entra en vigencia a partir de los 120 días calendario
siguientes de su publicación en el diario oficial El Peruano.
Las disposiciones previstas para el
titular del banco de datos personales, responsable o encargado de tratamiento
que se encuentren comprendidos en los supuestos previstos en los numerales 2 y
3 del párrafo 37.1 del artículo 37 del presente Reglamento, referidas a la
designación del Oficial de datos personales, entran en vigencia de modo
progresivo, de acuerdo al siguiente cronograma:
|
Titular del banco de datos |
Fecha de entrada en |
|
Para empresas con ventas anuales |
1 año después de la |
|
Para empresas medianas con ventas |
2 años después de la |
|
Para pequeñas empresas con ventas |
3 años después de la |
|
Para microempresas con ventas |
4 años después de la |
