La regulación impulsora del compliance y la protección de datos en Perú

El histórico de casos de corrupción y lavado de activos, así como la amplia desprotección en materia de filtración de datos —hace apenas una semana fue sancionada por este supuesto la Superintendencia Nacional de Migraciones—, son escenarios que se pueden leer como tendencias para las firmas. Tal es el caso de Payet Rey Cauvi Pérez (PRCP), que recientemente anunció la apertura de estas prácticas.

Para reforzar sus servicios empresariales, PRCP ha articulado equipos para su nueva área de compliance, integrada por los socios Carlos Patrón, José Cúneo y Juan Diego Ugaz y por los asociados Giancarlo Baella y Erick Palao, y para la recién creada área de privacidad y protección de datos personales convocó a los socios Carlos Patrón, Giancarlo Baella y a las asociadas Ana Lucía Figueroa, Jimena Pérez y Luciana Márquez.

Tanto las y los asociados de la segunda área de práctica están certificados como expertos en protección de datos personales por el Institute of Audit & IT-Governance de España.

La iniciativa constituye un esfuerzo transversal, coordinando las capacidades y habilidades de distintos socios y asociados de diversas áreas de práctica del estudio. 

LexLatin conversó con los especialistas líderes de cada área, Juan Diego Ugaz y Carlos Patrón, quienes compartieron sus perspectivas y proyecciones de crecimiento para el 2022.

Compliance: construcción, inmobiliario y minero, los sectores clave

Desde su experiencia en litigios, consultoría penal y cumplimiento, Juan Diego Ugaz ve un gran interés en las empresas por adoptar “un sistema integral de compliance que contenga matrices, políticas y protocolos para detectar y prevenir a tiempo los riesgos que podrían afectar a la compañía en el ámbito legal, trayendo consigo un daño reputacional y económico”.

A decir de Ugaz, el reto principal al iniciar un proyecto para implementar estos procedimientos es “asistir a la compañía en la construcción y maduración de soluciones a medida. Esto último, refiere, implica conocer a profundidad la cultura y los procesos de la empresa, para saber dónde priorizar acciones de mayor impacto.  

El abogado, quien colidera esta práctica junto a Carlos Patrón, explica los puntos claves en la materia. 

De acuerdo con el contexto peruano y las tendencias para 2022, ¿en qué práctica se prevé que se ejercerá de forma más activa esta materia? 

Juan Diego Ugaz: Principalmente en dos: se mantiene vigente la preocupación en las empresas por implementar un programa de compliance penal, no solo para generar una cultura de cumplimiento en la organización, sino para prevenir actos ilícitos que pudieran traer consecuencias legales y reputacionales para la compañía. Esta preocupación viene aparejada con un alto índice de corrupción, tal como lo ha señalado el último reporte de Transparencia Internacional.

Segundo, encontramos la aprobación de lineamientos en materia de compliance para libre competencia y protección al consumidor por parte del Indecopi, lo que se traduce en beneficios concretos, como por ejemplo reducción de sanciones. Esto hace probable el incremento de empresas interesadas en su implementación. Adicionalmente, proyectamos que el compliance se extienda en la prevención de riesgos laborales, ambientales y protección de datos personales, debido al aumento de fiscalizaciones y sanciones en dichos ámbitos. 

¿Cuáles son las industrias más activas en incorporar el compliance? 

De nuestra experiencia del año pasado, las empresas de los rubros construcción, inmobiliario y minero han sido las más interesadas en tener asesorías de compliance.

Su motivación principal ha sido prevenir riesgos penales en materia anticorrupción y lavado de activos, aunque ha habido también interés en atender este tipo de procedimientos en materia de libre competencia, datos personales, consumo y publicidad. 

¿Cuáles serán sus desafíos considerando la regulación vigente?

Si bien nuestra regulación define claramente cómo es que se debe implementar un programa de compliance, consideramos que es un desafío el implementar estos programas no solo tomando en cuenta la normativa local, sino también normas como el ISO 37001 sobre el sistema de gestión antisoborno y el ISO 37301, sobre los sistemas de gestión del compliance.

El reto está en el enfoque integral y más amplio que brindan respecto de lo establecido en nuestra normativa. La parte ventajosa de estas normas ISO es una implementación integral del programa de compliance y la posibilidad de certificarlo. 

Protección de datos: los desafíos de una digitalidad acelerada

Como especialista en derecho de competencia, regulatorio y civil, Carlos Patrón, apunta que la pandemia ha sido un factor detonante en el crecimiento de esta área de práctica. Desde su rol, asegura que el incremento de la actividad fiscalizadora y sancionadora de la Autoridad Nacional de Protección de Datos Personales (ANPDP) en el escenario global ha aumentado las consultas de sus clientes. Para Patrón, el potencial de crecimiento de la práctica se debe también a los vacíos legales de la normativa peruana.

“Teniendo en consideración la importancia actual de los datos personales y la privacidad del usuario, así como el protagonismo de la ANPDP sobre su protección, en adelante los servicios legales deberán tener un enfoque multidisciplinario que integre necesariamente la observancia de estos aspectos. El dinamismo de esta práctica generará que, en muchas oportunidades, las asesorías en datos personales deban estar orientadas a atender, sobre la base de las mejores prácticas comparadas, las deficiencias de la norma peruana”. 

A continuación su balance sobre las áreas de oportunidad y desafío de la materia. 

Desde su expertise y a la luz de las normas vigentes, ¿considera que esta práctica está bien regulada en el país?, ¿qué tendencias que ya están aprobadas en otros lugares del mundo sería importante discutir?

Carlos Patrón: La normativa peruana ha quedado desfasada en tanto la norma que la inspiró, la antigua norma española, fue derogada por la actual Ley Española del 2018. Esta última se adaptó al nuevo contenido del Reglamento General de Protección de Datos, que es una norma transversal a nivel europeo. Todo ello estableció nuevas obligaciones y mayores topes de multa para los infractores. 

En cuanto a las tendencias, estas responden, en su mayoría, a los avances tecnológicos que generan una mayor exposición de los datos personales. Entre estas se encuentran el tratamiento de datos a través de cookies, las gestiones de brechas de seguridad, el tratamiento de datos a través de reconocimiento facial e identificación biométrica y el uso de inteligencia artificial, por ejemplo. Estas materias no se encuentran reguladas a nivel nacional, ya sea a través de normas o directivas. Sin embargo, son consultadas constantemente por los clientes, por lo que sería adecuado que la ANPDP se pronuncie, tal como ha sucedido en otras jurisdicciones.

¿Cuáles son sus observaciones sobre la Ley de Servicios Digitales que se discute en la Unión Europea?

El Parlamento Europeo recientemente aprobó la Ley de Servicios Digitales (DSA, por sus siglas en inglés) que introduce nuevas obligaciones para los proveedores de servicios de intermediación online. La finalidad de estas obligaciones, que afectan a los servicios de alojamiento, a las plataformas en línea y la infraestructura de red, es crear un espacio digital más seguro. 

Asimismo, la DSA establece disposiciones relativas a la recopilación de datos online y su empleo para la publicidad personalizada. De esta manera, dispone obligaciones de transparencia en cuanto al uso de datos personales de los usuarios de plataformas online y brinda un mayor control a los usuarios sobre sus datos.

Ciertamente, la configuración de un sistema basado en datos plantea numerosos retos, desde la revisión de las normas relativas a la responsabilidad de las plataformas en línea y la forma en que moderan los contenidos, hasta la garantía de que los datos personales sean tratados adecuadamente. En cualquier caso, la nueva legislación configura una pieza importante en la regulación de servicios digitales, complementando lo establecido en el Reglamento General de Protección de Datos.

¿Cuál es el gran reto regulatorio del país para proteger adecuadamente los datos personales?

El gran reto regulatorio para proteger adecuadamente los datos personales radica en hacer frente a la revolución digital que diariamente transforma nuestro entorno social, económico y cultural y que, además, expone la privacidad del usuario. Sin embargo, conseguirlo resulta complejo, en tanto implicaría legislar y reglamentar a la velocidad que los nuevos tiempos requieren. Sin perjuicio de ello, podría satisfacerse dicha necesidad a través de la emisión de guías, directrices o lineamientos que permitan dar a conocer los alcances de las principales obligaciones de los titulares de bancos de datos personales, los derechos de los titulares de datos personales, de acuerdo con los nuevos tratamientos que se generen como efecto de la revolución digital.  

¿Cuáles son las inquietudes frecuentes de sus clientes que, en parte, motivaron también la apertura de esta nueva práctica? 

En los últimos años, las inquietudes de los clientes han estado vinculadas al tratamiento de los datos relacionados con temas de salud, debido a la pandemia del COVID-19. Asimismo, producto del contexto económico, se han producido distintas operaciones de reorganización societaria en las que los datos personales constituyen activos relevantes que deberán ser trasladados de acuerdo con la normativa vigente para mitigar riesgos frente a la ANPDP.

Por otro lado, debido a los avances tecnológicos, existen diversas consultas vinculadas al desarrollo de proyectos de marketing digital e implementación de inteligencia artificial que deben abordarse desde la perspectiva de datos personales.

Finalmente, el incremento de las fiscalizaciones, procedimientos sancionadores y nuevos criterios de la ANPDP conllevan a que los clientes busquen asesoría especializada para reforzar sus programas o políticas corporativas de protección de datos. Esto se ve reflejado, por ejemplo, en el uso de cláusulas de datos personales, políticas de privacidad, formatos de consentimiento, atención de derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) y registro o actualizaciones de bancos.