La Ley de Protección de Datos Personales entró hoy en vigencia en su integridad, luego de que venciera el plazo para la adecuación a su Directiva de Seguridad de la Información, marco de referencia y único aspecto que quedó pendiente desde la entrada en vigencia de la referida norma a mediados del 2013.
Al cumplirse el plazo para la adecuación a la Directiva de Seguridad, las empresas y entidades públicas están obligadas ahora a garantizar la protección de los datos con los que cuentan en sus sistemas informáticos, evitando que terceros no autorizados accedan a ellos.
[Lea también: A partir del 8 de mayo se aplicará integralmente la Ley de Protección de Datos Personales ]
“La ley está dirigida a fiscalizar las organizaciones públicas y privadas, así como las personas naturales. Por ello, es importante que las organizaciones y personas que gestionen información de sus recursos humanos, clientes, proveedores u otros terceros, conozcan las obligaciones y responsabilidades que implicará la administración de datos personales y sensibles”, señaló Nancy Yong, Socia de PwC.
Agregó que si bien venció recién venció el plazo para la adecuación a la Directiva de Seguridad, como marco de referencia, otras obligaciones de la ley están en vigencia desde el año 2013 (por su reglamento), pero que muchas empresas y personas las desconocen.
La primera obligación que tienen las organizaciones al gestionar datos personales es obtener el consentimiento del titular de los datos, el cual debe otorgarse para un fin específico y de manera libre, previa, expresa e inequívoca. El consentimiento debe darse de manera expresa, verbal o física y por escrito si es que se trata de datos sensibles.
Cabe agregar que para obtener datos por medios digitales, se debe contar con políticas de privacidad. Asimismo, la ley prohíbe administrar datos de menores de edad sin el consentimiento de sus tutores.
En segundo lugar, la organización tiene la obligación de informar sobre los datos que ha obtenido al Registro Nacional de Protección de Datos Personales, unidad que depende de la Autoridad Nacional de Protección de Datos Personales (ANPDP) del Ministerio de Justicia.
Un tercer aspecto que deben tener en cuenta las empresas y las entidades públicas es que de ahora en adelante deben responder a cualquier interpelación efectuada por los usuarios, en el sentido que todas las personas naturales podrán exigir el cumplimiento de sus derechos.
Estos derechos se denominan ARCO: acceso, rectificación, cancelación de datos personales, y de oposición al tratamiento de los mismos. De no hacerlo, podrían ser auditadas y sancionadas, no sólo en el ámbito administrativo sino también en el judicial (tanto en el campo civil como penal).
“Hay ciertos sectores que son más susceptibles al cumplimiento de esta norma, como por ejemplo el de salud, financiero (bancos, compañías de seguro, AFP, fondos mutuos), educativo, retail, entre otros. En ellos se manejan datos personales y sensibles, tales como sueldos, préstamos y cuentas de ahorro, entre otros”, añadió Yong.
El incumplimiento de las disposiciones de esta ley conlleva a sanciones que van desde 0.5 UIT hasta 100 UIT. La severidad de las multas será determinada por la naturaleza de los datos vulnerados, la intencionalidad de la acción, la omisión del infractor y la recurrencia.
Finalmente, es importante que las organizaciones orienten sus esfuerzos hacia el cumplimiento de las obligaciones antes descritas de una manera sistémica. “Tiene que realizarse un trabajo coordinado e integrado entre las diversas áreas de la organización para gestionar adecuadamente los datos personales con los que se cuentan y evitar cualquier sanción que las afecte”, finalizó Yong.