Aplicación Territorial de la Ley Peruana de Protección de Datos
Comprendiendo los Alcances y Obligaciones Legales
En un mundo cada vez más digitalizado, la protección de los datos personales se ha convertido en un tema que involucra transversalmente a individuos, gobiernos, organizaciones y empresas. Muchos países tienen sus propias legislaciones y regulaciones en torno a la privacidad y la protección de datos personales, a fin de tutelar los derechos de las personas respecto del uso de sus datos.
En el Perú, la Ley de Protección de Datos Personales y su reglamento regulan el tratamiento de los datos personales. Esta normativa define el “tratamiento de datos personales” como “Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, corrección o interconexión de los datos personales.”
En atención a ello, si en el ejercicio de su actividad empresarial en el territorio peruano, o su negocio dirigido a un público ubicado en el Perú, usted identifica que desarrollará actividades que podrían involucrar tratamiento de datos personales, deberá tener en cuenta el ámbito de aplicación territorial de la Ley de Protección de Datos Personales, a fin de cumplir con sus disposiciones.
¿A quién se aplica la Ley Peruana de Protección de Datos?
La Ley Peruana de Protección de Datos (y las disposiciones de su reglamento) se aplica a todas las personas naturales y jurídicas establecidas en Perú o en el extranjero, que realicen el tratamiento de datos personales dentro del territorio peruano, cuando: (i) el tratamiento se realice en un establecimiento ubicado en territorio peruano, (ii) el tratamiento se efectúe a nombre (o por encargo) de un titular de banco de datos personales o por un responsable del tratamiento de datos personales establecido en territorio peruano, (iii) la ley peruana resulte aplicable en virtud de una disposición contractual o del derecho internacional, (iv) en el tratamiento de datos personales se utilice medios situados en territorio peruano.
Si bien se ha descrito varios supuestos, como regla general, para la aplicación de la Ley comentada, las entidades que desarrollen el tratamiento de datos personales deben estar establecidas en territorio peruano: no es necesario que tengan domicilio legal en el Perú para que la Ley de Protección de Datos Personales resulte aplicable.
La extraterritorialidad de la Ley Peruana de Protección de Datos
En ese sentido, puede decirse que la ley peruana también tiene un alcance extraterritorial, lo que implica que puede aplicarse a las entidades establecidas fuera de Perú en ciertos casos. Específicamente, la ley se aplica a los titulares de bancos de datos personales, responsables o encargados del tratamiento ubicados fuera del territorio peruano, pero que utilicen medios o instrumentos ubicados en territorio peruano para el tratamiento de datos personales (por ejemplo, el servidor de una página web ubicada en el Perú, centros de contacto ubicados en Perú, etc.)
Obligaciones legales para las entidades sujetas a la Ley de Protección de Datos
Si tu empresa se encuentra dentro de alguno de los supuestos anteriores, está sujeta a la Ley Peruana de Protección de Datos y deberá cumplir con una serie de obligaciones legales, entre las cuales se destacan:
- Registrar ante la Autoridad Nacional de Protección de Datos Personales los bancos de datos personales que elabore o modifique.
- Obtener el consentimiento informado de los titulares de los datos personales antes de su tratamiento.
- Mantener medidas de seguridad adecuadas para proteger los datos personales utilizados contra accesos no autorizados o pérdidas de la información.
- Proporcionar a los titulares de los datos personales información clara y precisa sobre el tratamiento que se realiza.
- Permitir el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, entre otros, por parte de los titulares de los datos personales, estableciendo un procedimiento que permita la debida atención de dichas solicitudes.
- Comunicar a la Autoridad Nacional de Protección de Datos Personales el flujo transfronterizo de los datos personales.
Conclusión
Para garantizar el cumplimiento de la Ley Peruana de Protección de Datos, es esencial comprender su ámbito de aplicación territorial. Esto es relevante cuando la empresa que realice tratamiento de datos esté establecida en el Perú, también, cuando se realiza el tratamiento de datos personales en un establecimiento dentro del territorio peruano o cuando las actividades de procesamiento de datos se encuentran dentro del ámbito de aplicación de la ley peruana por otros factores.
Incluso si su empresa no tiene presencia física en el territorio peruano, podría estar sujeta a la ley peruana si utiliza medios o instrumentos ubicados en dicho territorio para el tratamiento de datos personales. Lo mismo sucederá si ha suscrito un contrato que establezca la sujeción a la ley peruana en materia de protección de datos personales o si resulta aplicable un convenio internacional que determine la aplicación de la ley peruana.
Cumplir con las obligaciones legales establecidas en esta ley garantizará la protección de los datos personales y evitará posibles sanciones. Asegúrese de obtener el consentimiento adecuado, implementar medidas de seguridad sólidas y brindar información clara a los titulares de los datos. Al comprender y cumplir con la Ley Peruana de Protección de Datos, podrá salvaguardar la privacidad y protección de los datos personales en su organización y evitar sanciones monetarias.