Entre 2,475 y 495,000 soles oscilan las multas que puede imponer la Autoridad Nacional de Protección de Datos Personales (ANPD) por infracciones en materia de protección de datos personales. Solo en el 2022, esta institución fiscalizó a 317 entidades e impuso multas por un total superior a 8 millones de soles.
PUBLICIDAD
La ANPD aplica las multas según la gravedad de la infracción. Existen 3 tipos de infracciones: infracciones leves, cuyas multas rondan entre las 0.5 UIT (2,475 soles) y 5 UIT (24,750 soles). Esta sanción se impone cuando la empresa no inscribe los bancos de datos personales o no rectifica o suprime los datos.
Asimismo, infracciones graves, por las cuales pueden imponerse multas de entre 5 UIT (24,750 soles) y 50 UIT (247,500 soles), aplicables en casos como el no atender, impedir u obstaculizar el ejercicio de los derechos, dar tratamiento a los datos personales sin consentimiento o incumplir la obligación de confidencialidad.
Infracciones muy graves, con multas que oscilan entre las 50 UIT (247,500 soles) y 100 UIT (495,000 soles), y son consecuencia de la recopilación datos personales a través de medios fraudulentos, desleales o ilícitos, o el suministro de información falsa a la ANPD.
“Adicionalmente a las sanciones impuestas, la ANPD puede ordenar medidas correctivas a las empresas, a fin de corregir o revertir los efectos que la conducta infractora hubiere ocasionado o evitar que esta se produzca nuevamente”, explicó Bruno Mejía, Gerente de EY Law.
“Todos los rubros están expuestos a las filtraciones de datos personales; sin embargo, sectores como el financiero (entidades bancarias, aseguradoras y centrales de riesgo), salud (clínicas, hospitales y laboratorios médicos) o telecomunicaciones (compañías de teléfono y de internet) podrían presentar mayores riesgos”, anotó.
Recomendaciones
Frente a ello, Mejía brindó tres recomendaciones para que las empresas eviten cometer infracciones en esta materia:
Informar de forma clara y sencilla, a través de políticas y cláusulas de privacidad: Las finalidades (principal y adicionales) del tratamiento; la denominación del banco de datos personales; y el período de conservación de los datos.
Obtener el consentimiento del titular de los datos personales, cuando así lo exija la Ley de Protección de Datos Personales y su reglamento.
“Esto debido a que existen supuestos previstos legalmente en los que no será necesario solicitar dicho consentimiento, por ejemplo, cuando el tratamiento de los datos personales sea necesario en el marco de relación una contractual o laboral”, precisa Mejía.
Inscribir y mantener actualizados los bancos de datos personales ante la ANPD. Para ello, las organizaciones deberán verificar, por ejemplo, a qué empresas (ubicadas en Perú o en el extranjero) se transfiere los datos personales y comunicar sobre el flujo transfronterizo que realicen.
Infracciones más comunes
Mejía, además, recordó algunas de las infracciones más comunes que pueden cometer las organizaciones, tales como el tratamiento de datos personales para finalidades adicionales sin consentimiento y el no inscribir los bancos de datos personales ni comunicar el flujo transfronterizo.
Asimismo, no atender, impedir u obstaculizar la presentación de solicitudes para el ejercicio de derechos ARCO o utilizar sistemas de videovigilancia para el tratamiento de datos personales sin implementar las medidas de seguridad previstas en la normativa.
Agregó que los sistemas normativos de los países en América Latina están reforzando, en los últimos años, sus sistemas de protección de datos personales y, debido a la transferencia nacional e internacional de datos, las empresas deben mantenerse actualizadas para continuar sus operaciones óptimamente.
Por ello, EY Law pone a disposición de las personas interesadas el documento “Protección de datos personales en LATAM – Guía de consulta rápida”, una herramienta clave que brinda información precisa en materia de protección de datos personales para desarrollar negocios a nivel local y regional, y evitar incurrir en riesgos legales, económicos y reputacionales.