Sugieren a organizaciones diseñar programas de cumplimiento para evitar sanciones.

Las sanciones impuestas a las empresas por incumplir las normas de protección de datos personales cada vez se centran en factores más complejos, como el no haber inscrito el flujo transfronterizo, que es cuando la información sale del país o no establecer privilegios de usuarios, entre otros.

Así lo advirtió el experto en compliance y protección de datos personales Fernando Nakaya, quien sugirió a las organizaciones establecer programas de cumplimiento de esta legislación.

Remarcó que a diferencia de las sanciones iniciales referidas a la falta de inscripción del banco de datos o por no proteger los datos personales, ahora la autoridad se vuelve más exigente y rigurosa.

Obligaciones

De acuerdo con la Ley de protección de datos personales, toda empresa que cuente con banco de datos personales de personas naturales deben, en primer lugar, tener el consentimiento de los titulares de la información para su tratamiento, registrar dicha data ante la autoridad correspondiente y tener esta información organizada de manera adecuada, a fin de protegerlos.

El experto remarcó que la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (DGPDP) del sector Justicia sancionó hasta el 2018 con 1,246 unidades impositivas tributarias (UIT) a más de 100 empresas por el mal manejo de bancos de datos, lo cual suma un total de 5 millones 233,200 soles.

En su mayoría corresponden a los rubros de educación, hoteles, salud, financiero, transporte, comercial, entre otros, anotó el especialista y miembro del Estudio Torres y Torres Lara.

Así, entre las empresas castigadas figuran universidades multadas con 15 UIT por no inscribir el banco de datos de sus trabajadores y obstruir el ejercicio de la función fiscalizadora de dicha dirección como Autoridad Nacional de Protección de Datos Personales.

También una central de riesgo, a la cual se le impuso una multa de 42 UIT por tratamiento de datos personales excediendo la finalidad autorizada, así como diversas clínicas multadas –por ejemplo– con 8 UIT por tratamiento de los datos personales referido a la religión de los postulantes a un puesto de trabajo.

Recomendaciones

De acuerdo con la Ley de protección de datos personales, se encuentran obligados a cumplir con esta normativa las personas naturales, personas jurídicas, entidades públicas, que sean titulares de uno o más bancos de datos personales que manejen información sobre personas naturales.

Respecto a las sanciones, estas van desde leves, con 0.5 a 5 unidades impositivas tributarias (UIT); graves, de 5 a 50 UIT; y muy graves, de 50 a 100 UIT.

Hasta el año pasado, ninguna empresa en el país ha sido sancionada con la falta muy grave, manifestó el experto en compliance y protección de datos personales.