Las multas que puede imponer la Autoridad Nacional de Protección de Datos Personales (ANPD) por infracciones en materia de protección de informacion personal Van desde los S/ 2,475 hasta los S/ 495,000. Solo en 2022, esta institución supervisó a 317 entidades e impuso sanciones por un total de más de S/ 8 millones.
Cabe mencionar que existen tres tipos de multas, dependiendo de la gravedad de la infracción. En primer lugar, están las infracciones leves, cuyas multas oscilan entre 0,5 UIT (S/ 2.475) y 5 UIT (S/ 24.750). Esta sanción se impone cuando la empresa no registra los bancos de datos personales o no rectifica o suprime los datos.
Asimismo, las infracciones graves, por las que multas de entre 5 UIT (S/ 24.750) y 50 UIT (S/ 247.500), aplicable en casos tales como no atender, impedir o dificultar el ejercicio de derechos, tratar datos personales sin consentimiento o incumplir la obligación de confidencialidad.
LEA TAMBIÉN: La Autoridad de Protección de Datos Personales de las Naciones Unidas sugiere no utilizar solicitudes de préstamos informales
Las infracciones muy graves, con multas que oscilan entre las 50 UIT (S/ 247.500) y las 100 UIT (S/ 495.000), y son consecuencia del cobro datos personales a a través de medios fraudulentos, desleales o ilegales, o el suministro de información falsa a la ANPD.
“Además de las sanciones impuestas, la ANPD puede ordenar medidas correctivas a las empresas, con el fin de corregir o revertir los efectos que la conducta infractora haya podido causar o evitar que vuelva a ocurrir”explicó Bruno Mejía, Gerente de EY Law.
“Todas las áreas están expuestas a fugas de datos personales; Sin embargo, sectores como el financiero (bancos, aseguradoras y centrales de riesgo), el sanitario (clínicas, hospitales y laboratorios médicos) o el de telecomunicaciones (empresas de telefonía e internet) podrían presentar mayores riesgos”, Observo.
¿Cómo evitar violaciones?
Ante esto, Mejía brindó tres recomendaciones para que las empresas eviten cometer infracciones en esta materia:
LEA TAMBIÉN: Aumenta el número de ciberataques a través de formularios de ofertas de trabajo
- Informar de forma clara y sencilla, a través de políticas y cláusulas de privacidad: Las finalidades (principales y adicionales) del tratamiento; el nombre del banco de datos personales; y el período de retención de datos.
- Obtener el consentimiento del titular de los datos personalescuando así lo requiera la Ley de Protección de Datos Personales y sus reglamentos. “Ello se debe a que existen supuestos previstos por la ley en los que no será necesario solicitar dicho consentimiento, por ejemplo, cuando el tratamiento de datos personales sea necesario en el marco de una relación contractual o laboral”, preciso Mejía.
- Registrar y mantener actualizados los bancos de datos personales ante la ANPD. Para ello, las organizaciones deben verificar, por ejemplo, a qué empresas (ubicadas en Perú o en el extranjero) se transfieren los datos personales y comunicar sobre el flujo transfronterizo que realizan.
ofensas más comunes
Mejía también recordó algunos de los delitos más comunes que pueden cometer las organizaciones, como el tratamiento de datos personales para fines adicionales sin consentimiento y no registrar bancos de datos personales ni notificar el flujo transfronterizo.
Asimismo, no atender, impedir o dificultar la presentación de solicitudes para el ejercicio de los derechos ARCO o utilizar sistemas de videovigilancia para el tratamiento de datos personales sin implementar las medidas de seguridad previstas en la normativa.
Agregó que los sistemas regulatorios de los países de Latinoamérica han venido reforzando, en los últimos años, sus sistemas de protección de datos personales y, debido a la transferencia nacional e internacional de datos, las empresas deben mantenerse actualizadas para continuar con sus operaciones de manera óptima.
Titulares de Perú