La gestión de datos personales en las instituciones educativas privadas implica una gran responsabilidad por el tratamiento adecuado y seguro de la información personal de estudiantes, familias y trabajadores no solo protege los derechos fundamentales de los titulares de los datos, sino que también previene contingencias legales.
La Ley N° 29733, Ley de Protección de Datos Personales cuenta con un reglamento desde el año 2013. No obstante, la Autoridad Nacional de Protección de Datos Personales consideró que era necesario actualizar dicho reglamento en atención a los avances tecnológicos y nuevas tendencias en la materia. En ese sentido, desde el 30 de marzo entrará en vigencia el nuevo Reglamento, aprobado mediante el Decreto Supremo N° 016-2024-JUS y es necesario reiterar sus nuevas disposiciones.
1. ¿Cuáles son las principales disposiciones del nuevo Reglamento?
a. Registro Nacional de Protección de Datos Personales: Inscribir en este registro el(los) banco(s) de datos personales que correspondan, debiendo considerar que el procedimiento de inscripción será gratuito y de aprobación automática desde el 30 de marzo, debiendo registrar los bancos de datos personales de postulantes, estudiantes, padres de familia, trabajadores, usuarios web, videovigilancia.
b. Autorización de uso de imagen fotográfica, audio y/o video: Es muy común que en las páginas web, redes sociales, entre otros similares se difunda imágenes y videos; y es necesario antes de esta difusión que se obtenga la autorización de estas personas para tal fin; en ese caso debe obtenerse la autorización de trabajadores, de padres o tutores legales para el tratamiento de sus datos personales y el de los estudiantes.
Estas declaraciones deben contener la finalidad parala que los datos personales serán tratados; quiénes son o pueden ser sus destinatarios; la existencia del banco de datos en que se almacenarán; las consecuencias de proporcionar sus datos y de su negativa a hacerlo; el plazo durante el cual se conservarán; la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello; etc.
c. Capacitación: Diseñar e implementar un plan de capacitación que verse tanto sobre los deberes y derechos generales aplicables a nivel de toda la institución, como las obligaciones específicas que corresponden a cada área.
d. Medidas de seguridad: Diseñar y velar por el cumplimiento de una Política que regule:
- Los accesos y gestión de privilegios a la información, sea que ésta se encuentre en formato digital o físico, previendo medidas como el uso de llaves o contraseñas, la asignación y retiro de permisos sobre bases de datos y archivos físicos.
El mantenimiento de copias de respaldo; así como los procedimientos de eliminación segura de archivos digitales y físicos.
Restricciones y medidas reforzadas al acceso de datos sensibles (información médica, antecedentes penales, etc).
Asimismo, se establecen plazos vinculados a la implementación de las medidas de seguridad:
- Verificación periódica de la gestión de privilegios: Como mínimo, de forma semestral.
Copias de respaldo seguras y continuas: Como mínimo, con una frecuencia semanal.
Registros de interacciones lógicas: Estos deben realizarse de forma continua y conservarse, como mínimo, por dos (2) años.
e. Plan de respuesta ante incidentes de seguridad: Diseñar un protocolo para gestionar violaciones de datos personales, como filtraciones, accesos no autorizados, etc. contando con un canal de reporte de incidentes.
- Se deberá notificar a la Autoridad Nacional de Protección de Datos personales en un máximo de 48 horas sobre la ocurrencia de estos incidentes.
Se deberá comunicar a los titulares de datos personales sobre dicho incidente de seguridad si este afecta otros de sus derechos. La comunicación debe ser un lenguaje sencillo y claro.
Si el incidente de seguridad se generó a través de un entorno digital, también deberá ser comunicado al Centro Nacional de Seguridad Digital.
Los titulares de banco de datos o responsables tienen el deber de documentar cualquier incidente de seguridad, incluyendo los hechos, efectos y medidas adoptadas.
f. Derechos de los titulares de datos personales: Se establece un nuevo derecho de los titulares de datos personales: el derecho de portabilidad como manifestación del derecho de acceso. Por medio de este derecho, el titular de los datos puede solicitar sus datos personales en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable de datos cuando el tratamiento esté basado en el consentimiento o en una relación contractual en la que el titular es parte; y se realice de manera automatizada. El ejercicio de los derechos ARCO podrá realizarse ante los encargados de tratamiento. Sin embargo, estos deberán trasladar la solicitud a los titulares o responsables de tratamiento en un plazo máximo de tres (3) días hábiles, para que estos últimos la atiendan.
g. Transferencia de datos a terceros: Cuando se comparten datos de los estudiantes o trabajadores con terceros (p.e. proveedores de servicios de planilla), se debe asegurar de que estos cumplan con la normativa de protección de datos (p.e. a través de declaraciones de confidencialidad o de contar con un sistema de protección de datos personales).
h. Flujo transfronterizo de datos personales: Si se envía datos personales fuera del país, debe asegurarse de que el receptor o importador de los mismos se encuentre en un país que cuente con un nivel “adecuado” de protección de datos (lo cual será determinado por la Autoridad Nacional de Protección de Datos Personales). En el caso de dicho país no cumpliera dicha condición, como regla general, la empresa local debe otorgar garantías para asegurar el tratamiento adecuado de los datos personales fuera del Perú.
i. Designación de Oficial de Cumplimiento de Datos Personales: Esta obligación se implementará de manera progresiva. El titular de un banco de datos personales o responsable y encargado del tratamiento deben designar a un Oficial de Cumplimiento de Datos Personales cuando se realice tratamiento de grandes volúmenes de datos personales, en cantidad o tipo de datos, o que pueda afectar a un gran número de personas o cuando se trate de datos sensibles o cuando se produzca un perjuicio evidente a otros derechos o libertades del titular del dato personal.
2. ¿Cuáles son las consecuencias del incumplimiento de estas nuevas disposiciones?
El incumplimiento de estas obligaciones puede derivar en sanciones económicas significativas impuestas por la Autoridad Nacional de Protección de Datos Personales, que pueden oscilar entre 0.5 y 100 UIT (Unidad Impositiva Tributaria), según la gravedad de la infracción.
Recomendaciones Stella:
- Revisión y actualización de políticas: Asegurar que las políticas de privacidad sean claras y accesibles para la comunidad educativa.
Capacitación continua: Sensibilizar al personal sobre la importancia y el correcto manejo de los datos personales.
Evaluación de riesgos: Identificar y mitigar riesgos relacionados con el manejo de información personal.
Formalización contractual: Incluir cláusulas específicas de protección de datos personales en los contratos con proveedores y locadores de servicios.
