Al manejar datos personales es necesario cumplir con ciertas obligaciones legales, conócelas aquí.
Hoy en día es normal que un negocio recoja información de sus clientes. Esta suele almacenarse en bases de datos y son utilizadas de distinta manera, casi siempre con fines comerciales.
La amplia circulación de datos sensibles implica una responsabilidad, tanto para los titulares como para cualquier empresa que los recoja. Esto ha propiciado la aparición de normas y deberes para proteger los datos sensibles de las personas.
En el Perú contamos con la Autoridad Nacional de Protección de Datos Personales (ANPDP), entre cuyas tareas se encuentra la observación del cumplimiento de la Ley de Protección de Datos Personales (LPDP). Conoce todo al respecto y evita sanciones a tu negocio.
Datos personales, ¿cuáles son?
Los datos personales de tus clientes están definidos como toda la información que permita identificarlos como individuos. En primera instancia se trata de los nombres y apellidos, así como su DNI (también carnet de extranjería o pasaporte) y dirección de domicilio.
A este conjunto de datos se suman otros, que en la LPDP se denominan como “datos sensibles”. Estos requieren incluso más protección. En esta lista se incluyen los datos biométricos (retina, iris, huella digital), origen racial y étnico, opiniones o creencias de tipo religiosas y políticas, y cualquier información pertinente a su salud o vida sexual.
Obligaciones legales y éticas al manejar datos personales
Las responsabilidades que tiene tu empresa al manejar una base de datos están divididas en dos partes. La primera, al momento previo a obtener la información y, la segunda, una vez que los tienes en tu base de datos.
Previo a obtener los datos
Desde el momento en que decides que tu empresa recoja datos de los clientes, empieza tu responsabilidad legal. Estos son los puntos que debes cumplir antes de hacerte con cualquier información personal.
1. Contar con una Política de Privacidad:
Según lo estipula el Art. 18° de la LPDP, debes contar con este mecanismo para informar a tus clientes que su información está siendo guardada. Allí tendrás que notificar, además, quién hará el manejo de esta y cuál será su destino.
2. Obtener la información con consentimiento:
La recolección de datos personales tiene que hacerse de forma consensuada. Esto quiere decir que, tras presentar la Política de Privacidad, tienes la obligación de facilitar al cliente la posibilidad de aceptar o rechazar que guardes cualquier información que te facilite.
3. Inscribir tu base de datos frente a la ANPDP:
Al contar con una base de datos, debes añadirla al Registro Nacional de Protección de Datos Personales. De esta manera la autoridad estará al tanto de su existencia, su finalidad y responsables.
4. Proteger los datos personales:
Cuando se trata de datos personales, incluso si no son datos sensibles, se requiere un alto nivel de seguridad.
Estas medidas de protección tienen que incluir aspectos tecnológicos, administrativos y jurídicos, es decir, tienes que resguardar esa base de datos de posibles robos o personas que se apropien de la información de tus clientes.
5. Obtenlos de forma transparente:
La obtención de datos de clientes tiene que hacerse con total transparencia, por lo que métodos como la compra o venta de bases de datos están sancionadas.
Una vez que tienes los datos
Al obtener los datos de los clientes, tus responsabilidades son mayores. En especial si deseas operar de forma correcta y evitar sanciones.
1. Dales el uso indicado en la Política de Privacidad:
Al establecer en tu Política de Privacidad un uso específico para los datos recogidos, no puedes cambiarlo o expandirlo. Para hacerlo, en todo caso, necesitas un nuevo consentimiento por parte de los titulares de la información.
Los clientes, titulares de los datos recogidos, cuentan con una serie de derechos que bajo ninguna circunstancia puedes violentar. Esto incluye la posibilidad de rectificar o cancelar los datos almacenados.
3. No modifiques o cambies información:
Aunque la base de datos te pertenece, la información que contiene no. Los datos personales siguen siendo propiedad de sus dueños. Es por esto que por ninguna razón puedes hacerle ajustes, incluso si fuese para corregir o borrar datos.
4. Cumple con la vigencia establecida:
Al registrar la base de datos, así como en las Políticas de Privacidad, determinas por cuánto tiempo se guardará la información recogida. Al cumplirse este plazo tienes que borrarla de manera segura.
5. No negocies con la información:
La Ley de Protección de Datos Personales penaliza cualquier transacción comercial alrededor de la información de tus clientes. Así como no es correcto comprarlos, tampoco debes poner en venta los datos que recojas de tus clientes.
¿A quién aplican estos aspectos legales?
Todos estos aspectos legales, plasmados en la LPDP, solo aplican a las personas naturales. Esto implica que ninguna persona jurídica está amparada por estos. Además, los Derechos ARCO relativos a esta ley son de carácter intransferible.
Atención de reclamos
Si ocurriese que el titular de datos personales recogidos por tu empresa presentase un reclamo, tienes la responsabilidad de responder en los siguientes plazos:
- Acceso: 20 días.
- Rectificación: 10 días.
- Cancelación: 10 días.
- Oposición: 10 días.
De no hacerlo, la persona puede interponer la queja ante la ANPDP para recibir tutela sobre las acciones legales a tomar. El incumplimiento de estos lineamientos puede suponer multas que oscilan entre 0.5 (S/ 2,200) y 100 UIT (S/ 440,000).
Recuerda entonces que, si planeas hacer una base de datos de clientes, tendrás que cumplir con todos estos parámetros para no ser sancionado.
