Zegarra Law – Trabajo remoto: Obligaciones de las empresas en torno a la protección de datos personales

Desde la declaratoria del Estado de Emergencia en marzo del 2020, el Estado Peruano estableció, a través del Decreto de Urgencia N° 026-2020, la facultad de las empresas de modificar el lugar de la prestación de servicios de sus trabajadores a fin de implementar el trabajo remoto debido a la emergencia sanitaria generada por el COVID-19.

Alejandro Quintanilla Perea – Área de Compliance de Zegarra Aguilar & Delgado Zegarra-Ballón Abogados, aquintanilla@zegarralaw.com

Esta norma indica que los trabajadores tienen la obligación de “cumplir con la normativa vigente sobre seguridad de la información, protección y confidencialidad de los datos, así como guardar confidencialidad de la información proporcionada por el empleador para la prestación de servicios”[1]. Esta norma también especifica que para la ejecución de las funciones a cargo del trabajador se permite que los equipos y medios informáticos que se utilicen puedan ser tanto de la empresa como del trabajador[2].

Sucríbase a nuestro boletín diario, el mejor resumen de noticias sobre las regiones del Perú

Posteriormente, el Ministerio de Trabajo y Promoción del Empleo mediante el Decreto Supremo N° 010-2020-TR desarrolló disposiciones particulares para la aplicación de esta modalidad debido a que será utilizada por un largo periodo con el objeto de evitar la propagación del virus. Con ello se exige a las empresas que brinden las facilidades necesarias a los trabajadores a fin de que puedan acceder a los sistemas, plataformas, o aplicativos informáticos necesarios para el desarrollo de sus funciones. En ese sentido, las empresas deben otorgar instrucciones específicas para la adecuada utilización de dichos sistemas, así como las reglas de confidencialidad y protección de datos aplicables[3].

La Ley de Protección de Datos Personales (en adelante LPDP) determina diversas obligaciones para las empresas al momento de realizar algún tratamiento de datos personales. En esa medida, como se ha señalado, con la adopción del trabajo remoto, las empresas deben asegurar el cumplimiento de estas disposiciones frente a los riesgos que genera la utilización de esta modalidad.

Por un lado, las empresas deben corroborar que todos los trabajadores hayan suscrito un acuerdo de confidencialidad en materia de datos personales[4], ya sea a través de su contrato de trabajo o de un documento específico. Ello a fin de que el trabajador se comprometa a realizar el tratamiento de datos personales únicamente dentro del marco de sus funciones.  

Por otro lado, el Reglamento de la LPDP exige que se adopten las medidas de seguridad necesarias para la debida protección de la información, como el control de accesos a los datos personales, así como la debida gestión de privilegios de todos los usuarios, quienes deberán estar debidamente identificados. Ello significa que las empresas deben asegurarse de que los accesos remotos de los trabajadores a los sistemas de la empresa que contengan datos personales se encuentren supervisados y se realicen siempre mediante un usuario y contraseña[5]. Adicionalmente, estos accesos deben generar evidencia de las interacciones con los datos lógicos, lo que implica que cada acceso a los sistemas se encuentre registrado, tanto la hora de inicio como de cierre de sesión[6].

Para una gestión adecuada de lo mencionado, es importante que las empresas cuenten con un Documento de Gestión de Accesos y Privilegios en el cual se tenga plenamente clasificado cada uno de los accesos que tienen los puestos de trabajo dentro de la organización de acuerdo a las funciones que desempeñen.

En relación a la conservación de los datos personales, el Reglamento de la LPDP exige que deben existir mecanismos de respaldo de seguridad de la información contenida en la base de datos, así como un procedimiento que contemple la verificación de la integridad de dicha información[7]. En el contexto que vivimos actualmente, las áreas de TI de las empresas deben asegurar la existencia de copias de respaldo de los datos existente en todos los sistemas de la organización, de modo que ante alguna interrupción o daño puedan ser recuperados.

Síganos en Facebook

Asimismo, es importante recordar que toda salida de información de las instalaciones de la empresa debe encontrarse debidamente autorizada[8]. Por lo tanto, es fundamental que el área de TI tenga conocimiento de qué información ha salido debido a la implementación del trabajo remoto de ciertos cargos, no solo con la finalidad de identificarlas y autorizarlas, sino también para adoptar las medidas de seguridad pertinentes para su traslado.

Finalmente, es pertinente recordar que el incumplimiento de alguna de estas obligaciones puede generar la imposición de sanciones por parte de la Dirección General de Protección de Datos Personales.

En el caso de no cumplir con la obligación de confidencialidad, la empresa puede ser sancionada con una multa de hasta 50 UIT. En cuanto a la obligación de adoptar las medidas de seguridad señaladas, su incumplimiento puede generar que la empresa sea multada con el pago de hasta 5 UIT, sin embargo, cuando la información que contenga sea de carácter sensible[9] la multa puede ascender hasta 50 UIT.

En suma, es importante que las empresas se aseguren de que las medidas de seguridad que venían ejecutando dentro de las instalaciones del centro de trabajo continúen respetándose y se adecúen a la naturaleza del trabajo remoto. Para ello, pueden seguirse los lineamientos que se encuentran en la Directiva de Seguridad que ha sido aprobada por el Estado[10], documento que tiene como finalidad orientar a los responsables de tratamiento de datos personales[11].


[1] Artículo 18.2.1 del Decreto de Urgencia N° 026-2020  

[2] Artículo 19 del Decreto de Urgencia N° 026-2020

[3] Artículo 6 del Decreto Supremo N° 010-2020-TR

[4] Artículo 17 de la Ley N° 29733, Ley de Protección de Datos Personales

[5] Artículo 39.1 del Decreto Supremo N° 003-2013-JUS, Reglamento de la Ley de Protección de Datos Personales

[6] Artículo 39.2 del Decreto Supremo N° 003-2013-JUS, Reglamento de la Ley de Protección de Datos Personales

[7] Artículo 40 del Decreto Supremo N° 003-2013-JUS, Reglamento de la Ley de Protección de Datos Personales

[8] Artículo 41 del Decreto Supremo N° 003-2013-JUS, Reglamento de la Ley de Protección de Datos Personales

[9] Datos sensibles: datos biométricos, datos referidos al origen racial y étnico, ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical e información relacionada a la salud o a la vida sexual. Cfr. Artículo 2.5 de la Ley N° 29733, Ley de Protección de Datos Personales

[10] Puede acceder a la Directiva de Seguridad a través del siguiente link: https://www.minjus.gob.pe/wp-content/uploads/2014/02/Cartilla-de-Directiva-de-Seguridad.pdf

[11] Oficio N° 471-2017-JUS/DGPDP de fecha 14 de octubre del 2015.

Sea el primero en comentar sobre "Zegarra Law – Trabajo remoto: Obligaciones de las empresas en torno a la protección de datos personales"

Deje un comentario