ABC de PDP
ABC de PDP
ABC de la Protección de Datos Personales
¿Qué son los datos personales?
El dato personal es el eje central de la protección de datos personales, aquel que permite no solo la identificación del individuo, sino su distinción frente al resto. Conforme al artículo 2 del Reglamento de la Ley 29733, Ley de Protección de Datos Personales (LPDP), es «aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a las personas naturales, que las identifica o las hace identificables a través de medios que puedan ser razonablemente utilizados».
¿Dónde se almacenan los datos personales?
Un banco de datos personales es el soporte, ya sea físico o virtual, en el que se registran y se tratan los datos. Conforme al artículo 2 la LPDP, es el «conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso».
Podemos encontrar dos tipos de bancos de datos personales:
- Banco de datos personales de administración privada: Por ejemplo, el banco de datos que alberga Facebook de los usuarios que se registran en su plataforma.
- Banco de datos personales de administración pública: Por ejemplo, los bancos de datos administrados por el MINSA de los pacientes de COVID-19.
La creación, modificación o cancelación de bancos de datos personales se debe inscribir en el Registro Nacional de Protección de Datos Personales (RNPDP) a cargo de la ANPDP.
Los sujetos que realizan el tratamiento de datos personales son los siguientes:
- El titular del banco de datos personales: Determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad (artículo 2, num. 17, de LPDP).
- El encargado de tratamiento de datos personales: Realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales, en virtud de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación (artículo 2, num. 7, de LPDP).
- El responsable del tratamiento: Decide sobre el tratamiento de datos personales, aun cuando no se encuentren en un banco de datos personales (artículo 2, num. 14, de LPDP).
¿Quiénes son los sujetos que realizan el tratamiento de datos personales?
Los datos personales serán tratados válidamente cuando se haya recabado el consentimiento del titular de datos, de manera informada, previa, expresa e inequívoca (artículo 12 de Reglamento LPDP).
Algunos casos en los que no se requiere el consentimiento para el tratamiento de datos personales son los siguientes (artículo 14 de LPDP):
- Los datos son recopilados por entidades públicas para el cumplimiento de sus funciones.
- Los datos están contenidos en fuentes accesibles al público.
- Los datos son necesarios para la preparación, celebración y ejecución de un contrato en el que el titular de los datos es parte.
- Los datos personales de salud, en casos de emergencia.
- Los datos de los clientes requeridos por la UIF para la prevención del LAFT.
- Para salvaguardar intereses propios del titular.
- Para prevenir delitos.
¿Cuáles son las condiciones para el tratamiento de datos personales? ¿Existen límites para ello?
¿Cuáles son los derechos del titular de datos personales?
El titular de datos personales tiene el derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa sobre quién realizará el tratamiento de sus datos, la finalidad el tratamiento, las posibles transferencias de sus datos, el banco donde se almacenarán sus datos, el tiempo de conservación, entre otros (artículo 18 LPDP).
Asimismo, es titular de los derechos «ARCO»:
- Acceso: Permite obtener (solicitar) la información que sobre sí mismo sea objeto de tratamiento en bancos de datos de titularidad pública o privada.
- Rectificación: Permite solicitar que se modifiquen sus datos cuando sean inexactos, incompletos o se hubiere advertido omisión, error o falsedad.
- Cancelación: Permite solicitar que sus datos personales se eliminen de los archivos, registros, expedientes, sistemas, bases de datos del responsable que los posee, almacena o utiliza, cuando ya no cumplan una finalidad, cuando se haya revocado el consentimiento o haya transcurrido el plazo para dicho tratamiento.
- Oposición: Otorga el derecho a que no se realice el tratamiento de datos o se cese en el mismo, por la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, y siempre que una ley no disponga lo contrario.
¿Qué es la transferencia de datos personales?
Es toda transmisión, suministro o manifestación de datos personales, de carácter nacional o internacional, a una persona jurídica de derecho privado, a una entidad pública o a una persona natural distinta del titular de datos personales (Capítulo III, Reglamento LPDP).
Algunas recomendaciones para la transferencia de datos son las siguientes:
- Los datos deben ser pertinentes y no excesivos con relación a la finalidad para la cual se transfieren.
- El receptor de los datos debe adoptar medidas técnicas y organizativas adecuadas a los riesgos que presente el tratamiento de los datos y, toda persona que actúe bajo su autoridad deberá cumplir con tales medidas.
- Verificar antes de la transferencia que el receptor tenga un nivel adecuado de protección de datos personales.
