base de datos-computadora-internet-tramitesSi tienes una base de datos en tu poder, por más simple que esta sea, esta ley te afecta y por su incumplimiento podrías recibir una sanción o multa de hasta 50 UIT (unos S/.192.500).

La norma sobre bases de datos no es nueva -fue promulgada en el 2011- pero ha ido entrando en vigencia por partes y la última sección de la ley que aún no regía lo hará a partir del 7 de mayo de este año, por lo tanto ya no habrán más plazos para pensar en cómo cumplirla. 

La norma sobre bases de datos no es nueva -fue promulgada en el 2011- pero ha ido entrando en vigencia por partes y la última sección de la ley que aún no regía lo hará a partir del 7 de mayo de este año, por lo tanto ya no habrán más plazos para pensar en cómo cumplirla.

¿QUÉ ENTRÓ A REGIR PRIMERO?
Desde mayo del 2013 se dispuso, según nos explica el abogado Oscar Montezuma, que en las organizaciones tenían que obtener el consentimiento previo y expreso de los clientes o personas con las que se relacionan para acceder, manejar o compartir sus datos personales. De no hacerlo pueden ser sancionados por la autoridad competente.

Los datos personales no son otra cosa que aquella información que te permite identificar una persona (dirección del hogar, e-mail, etc.), añade la abogada Claudia Mansen, y los datos sensibles aquellos que afectan tu intimidad (orientación sexual, enfermedades, etc.). Cualquier persona natural o jurídica que tenga en su poder un Excel con cualquiera de esos datos de otras personas, debe tener el consentimiento de dichas personas para poseerlas.

Además, explica Mansen, quienes posean esas bases de datospersonales están obligados desde entonces a registrarlos o inscribirlos en la dirección pertinente manejada por el Ministerio de Justicia y también serán sujetos de sanción si en un proceso de supervisión se descubre que no lo han hecho.

Valga aclarar que no es necesario entregar una copia de todas lasbases de datos a la citada autoridad, sino que hay que acercarse a ella y llenar un formulario donde se indica de manera general qué campos y tipos de datos personales se incluyen en la base de datos y quien es el responsable de su cuidado.

¿QUÉ ENTRARÁ A REGIR AHORA EN MAYO?
Montezuma nos explica que el 7 de mayo todas las empresas o personas que manejan bases de datos personales deberán implementar además una serie de medidas de seguridad para proteger dichos datos y si no lo hacen también serán sancionados.

Mansen añade que se trata de tener “candados”, los cuales en la mayoría de los casos van desde el uso de software de seguridad hasta políticas de confidencialidad y acceso a las bases de datos dependiendo de la sensibilidad de los mismos.

¿Tu empresa maneja bases de datos? Aprende cómo cumplir la ley

¿SABEMOS IDENTIFICAR CUÁLES SON LOS DATOS PERSONALES?
Mansen considera que en general la mayoría de personas y empresas desconocen del tema, no saben que existe una ley, no entienden que están incumpliendo una norma vigente y no se imaginan que pueden recibir una sanción por eso. De hecho, solo el 1% de las empresas locales ha cumplido hasta ahora con lo que dictamina la ley, aun cuando afecta al 100% de las empresas.

Montezuma nos explica que existen muchos mitos y confusiones al respecto. Hay empresas que creen que los datos personales de trabajadores, clientes y proveedores son propiedad de la empresa, lo cual es falso: pertenecen a dichas personas y son ellos los que nos autorizan a tener una copia de dichos datos.

Eso no significa que no podamos usarlos para el marketing o para fines comerciales, sí se pueden usar pero se debe pedir permiso, aclara. Además, recalca, es bueno considerar que no solo se trata debases de datos de clientes, trabajadores y proveedores, también hay otras que deben ser consideradas como por ejemplo el registro de visitantes que realiza el área de seguridad física de la empresa y los vídeos de vigilancia que capturan las imágenes de individuos.

¿CÓMO SE PUEDE UNO ADECUAR A LA LEY Y CUMPLIRLA?
Montezuma nos sugiere cuatro pasos:

► Identificar quién capta los datos en la empresa, quién los conserva, si son transferidos a terceros, dónde y cuánto tiempo se estarán almacenando.

Una vez hecho el análisis interno de cómo fluyen los datos personales en la organización, hay que detectar cuáles son losbancos de datos que recogen dicha información. Por lo general no hay una sola base de datos y no está en una sola área de la empresa. Por ejemplo si recursos humanos recopila varias hojas de vida y hace un listado de candidatos con sus señas principales y las guarda en una computadora, ya tienes el flujo de una base de datosque debe ser reportada a la autoridad. No sólo se trata de la lista de los clientes que dejan sus coordenadas a los vendedores en la tienda porque están interesados en que les manden un correo informando sobre los nuevos productos que lance la empresa.

► Un siguiente paso consiste en contrastar cómo manejamos los datos en la empresa y cómo dice la norma que debo asegurar esos datos mientras los utilizo o guardo. Para hacerlo es mejor pedir asesoría o ayuda a alguien que sepa de seguridad de datos. Por ejemplo, está el tema de quién puede acceder a los datos: un practicante no debería poder ingresar a ver la planilla completa de la empresa o toda la lista de potenciales clientes de retro virales. Para evitarlo hay que diseñar una serie de controles.

► Una vez identificados las bases de datos y evaluado si su manejo y cuidad es acorde a lo que ha establecido la autoridad pertinente, es necesario implementar un plan para remediar los problemas encontrados, tomando en cuenta los riesgos más urgentes. Subsanados los errores, podemos dormir tranquilos porque no seremos sujeto de sanción alguna.

El Comercio