¿Principio u Obligación de Confidencialidad en la Protección de los Datos Personales del RGPD y la Normativa Peruana ?

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

[email protected]

La interrogante es válida sí queremos diferenciar sus alcances y el ámbito de aplicación, tanto como la interpretación u  obligación concreta de las normas aplicables a la protección de los datos personales.

Los Principios son normas generales, abstractas y orientadoras  que guían la interpretación, aplicación y creación de normas jurídicas. Los principios no establecen conductas específicas aplicables a cada caso de figura sino son reglas y valores aplicables a las normas.  Los principios tienden a ser interpretados, considerados, a fin de evaluar su influencia y aplicación en cada caso concreto.

Las obligaciones sí establecen vínculos jurídicos concretos que obligan a una persona a realizar una conducta o un acto determinado (dar, hacer o no hacer) en favor de otra persona, pudiéndosele exigir su ejecución legalmente.  Las obligaciones son específicas y tienen un alcance delimitado.

Podemos concluir entonces que la principal diferencia es que los principios son directrices generales que orientan el ordenamiento jurídico y requieren interpretación, mientras que las obligaciones son actos jurídicos concretos, de obligaciones específicas aplicables y exactas, y que su inejecución puede ser requerida legal y/o judicialmente.

El problema es que la principal norma de protección de los datos personales, el Reglamento General de Protección de Datos Personales Europeo N° 2016/679/CE, RGPD, considera la confidencialidad  como un Principio, mientras la normativa peruana Ley N° 29733 y su Reglamento reciente D.S. N° 003/ /2024/JUS, lo asocian a una obligación o un deber.

1. EL PRINCIPIO DE CONFIDENCIALIDAD EN EL RGPD

Uno de los principios del tratamiento de los datos personales es el principio de confidencialidad, el mismo que ha sido señalado como tal en los Considerandos y en la parte resolutiva del RGPD.

1.1. Parte Considerativa

(39)Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas  debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.

(49)Constituye un interés legítimo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información, es decir la capacidad de una red o de un sistema información de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos ofrecidos por, o accesibles a través de, estos sistemas y redes, por parte de autoridades públicas, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad. En lo anterior cabría incluir, por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de «denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas.

(75) Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.

(83) A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado debe evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.

(85) Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida.

(162) El presente Reglamento debe aplicarse al tratamiento de datos personales con fines estadísticos. El contenido estadístico, el control de accesos, las especificaciones para el tratamiento de datos personales con fines estadísticos y las medidas adecuadas para salvaguardar los derechos y las libertades de los interesados y garantizar la confidencialidad estadística deben ser establecidos, dentro de los límites del presente Reglamento, por el Derecho de la Unión o de los Estados miembros. Por fines estadísticos se entiende cualquier operación de recogida y tratamiento de datos personales necesarios para encuestas estadísticas o para la producción de resultados estadísticos. Estos resultados estadísticos pueden además utilizarse con diferentes fines, incluidos fines de investigación científica. El fin estadístico implica que el resultado del tratamiento con fines estadísticos no sean datos personales, sino datos agregados, y que este resultado o los datos personales no se utilicen para respaldar medidas o decisiones relativas a personas físicas concretas.

(163) Debe protegerse la información confidencial que las autoridades estadísticas de la Unión y nacionales recojan para la elaboración de las estadísticas oficiales europeas y nacionales. Las estadísticas europeas deben desarrollarse, elaborarse y difundirse con arreglo a los principios estadísticos fijados en el artículo 338, apartado 2, del TFUE, mientras que las estadísticas nacionales deben cumplir asimismo el Derecho de los Estados miembros. El Reglamento (CE) n.^o 223/2009 del Parlamento Europeo y del Consejo facilita especificaciones adicionales sobre la confidencialidad estadística aplicada a las estadísticas europeas.

1.2.Parte Dispositiva

1. Disposiciones.

El Artículo 5.1.f del RGPD exige que los datos personales sean tratados de manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito, la destrucción o el daño accidental, mediante la aplicación de medidas técnicas, organizativas y legales adecuadas.

CAPÍTULO II

Principios

Artículo 5

Principios relativos al tratamiento

1. Los datos personales serán:
2. f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad yconfidencialidad»).

El Artículo 14.5.d del  RGPD sobre Información que deberá facilitarse cuando los datos personales no hayan sido recabados del propio interesado

1. d) cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.

El Artículo 28.3.b del RGPD sobre el Encargado del tratamiento, señala que el tratamiento por el encargado se regirá por un contrato u otro acto jurídico que garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;

Sección 1

Obligaciones generales

Artículo 28

Encargado del tratamiento

3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
4. b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar laconfidencialidado estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;

El Artículo 32.1.b del RGPD sobre la seguridad del tratamiento, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento

Sección 2

Seguridad de los datos personales

Artículo 32

Seguridad del tratamiento

1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
2. b) la capacidad de garantizar laconfidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

El Artículo 38.5. del RGPD sobre la Posición del Delegado de Protección de Datos Personales, estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.

Sección 4

Delegado de protección de datos

Artículo 38

Posición del delegado de protección de datos

5. El delegado de protección de datos estará obligado a mantener el secreto o laconfidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.

El Artículo 54.2 del RGPD sobre Normas relativas al establecimiento de la Autoridad de Control.

Artículo 54

Normas relativas al establecimiento de la autoridad de control

2. El miembro o miembros y el personal de cada autoridad de control estarán sujetos, de conformidad con el Derecho de la Unión o de los Estados miembros, al deber de secreto profesional, tanto durante su mandato como después del mismo, con relación a las informaciones confidenciales de las que hayan tenido conocimiento en el cumplimiento de sus funciones o el ejercicio de sus poderes. Durante su mandato, dicho deber de secreto profesional se aplicará en particular a la información recibida de personas físicas en relación con infracciones del presente Reglamento.

El Artículo 76.1. del RGPD sobre el Comité Europeo de Protección de Datos Personales, Confidencialidad, resuelve facultando al Comité que sus debates serán confidenciales cuando el mismo lo considere necesario, tal como establezca su reglamento interno.

Sección 3

Comité europeo de protección de datos

Artículo 76

Confidencialidad

1. Los debates del Comité serán confidenciales cuando el mismo lo considere necesario, tal como establezca su reglamento interno.

1. Sanciones por incumplimiento

El RGPD es un régimen sancionador muy estricto. Las infracciones del principio de privacidad sólo se consideran graves, especialmente si implican violaciones de seguridad o acceso no autorizado a datos personales.

1.- Sanciones económicas

• Hasta 10 millones de euros o el 2% del volumen global anual de comercio (y la mayoría), por infracciones leves (art. 83.4 RGPD).
•  Hasta 20 millones de euros o el 4% del volumen de comercio mundial anual (que es el mayor), si la infracción afecta a los derechos y libertades de las personas jurídicas, y especialmente si la violación de la confidencialidad tiene consecuencias graves (art. 83.5 RGPD).

2.- Otras sanciones

• Cese del tratamiento de datos.
• Obligación de comunicar la brecha de seguridad a la Agencia de Protección de Datos y a las personas afectadas.
• Responsabilidad civil por daños y perjuicios a los titulares de datos.
• Daño a la reputación y pérdida de confianza de los usuarios y clientes.

Ejemplo práctico

Una empresa, organización en el rubro de datos relacionados a la salud, que permita, por error, desconocimiento o negligencia, el acceso de personas no autorizadas a información personal de sus pacientes, personas discapacitadas, usuarios (Historias clínicas, registros médicos, datos genéticos, biométricos, análisis psiquiátricos,…), viola el principio de confidencialidad y es sujeto susceptible de imposición de sanciones por las autoridades de control, además de la exigencia de notificación a los afectados.

El RGPD, a diferencia de las Directivas que requieren que cada Estado genere una ley nacional para implementarlas o transponerlas, se aplica directamente a todos los países que forman la Union Europea. El RGPD ha creado un marco de protección de datos homogéneo, válido para todos los países de la UE, evitando las diferencias entre las legislaciones nacionales que existían bajo la anterior Directiva 95/46/CE derogada por el propio RGPD.

2. LA OBLIGACION O DEBER DE CONFIDENCIALIDAD EN LA NORMATIVA PERUANA.

Las obligaciones de confidencialidad en la normativa peruana provienen de: la Ley N° 29733, su Reglamento, D.S. N° 006-2024-JUS, La Directiva N° 001-2014-JUS-DGPDP Ley que adecúa el uso de las TICs en el Sistema de Remates Judiciales, el Reglamento de la Ley N° 29907 Ley de Prevención para la prevención y tratamiento de la ludopatía. D.S. N° 007-2013-MINCETUR y la Directiva de Seguridad de la Información. Aprobada por R.D. N° 019-2013-JUS/DGPDP.

2.1. Ley N° 29733

• La Ley N° 29733 ha previsto dos artículos sobre la obligación de la confidencialidad: Artículo 1.10 Objeto de la Ley y Artículo 3.12 Definiciones, ambos con el mismo título: Nivel suficiente de protección para los datos personales. Ver: Lámina Power point 14-1.
•    Elartículo 14.11 Limitaciones al consentimiento para el tratamiento de datos personales, referido a las salvaguardas de los datos personales en el caso de grupos económicos. Ver: Lámina Power point 14-2.
•      Elartículo 17. Confidencialidad de los datos personales, por parte del titular de los bancos de datos, el encargado y toda persona interviniente en el tratamiento, incluyendo determinadas limitaciones. Ver Lámina: Power point 14-3.
• El artículo 35. Confidencialidad, por parte del personal de la Autoridad Nacional de Protección de Datos, la duración de esta obligación y las responsabilidades. Ver: Lámina Power point 14-4.

2.2.  Reglamento de la Ley N° 29733  D.S. N° 006-2024-JUS

•    El artículo 29.3 Criterios a considerar para el tratamiento de datos personales por medios tecnológicos tercerizados, en el que para su realización debe considerarse como prestación mínima: garantizar la confidencialidad de los datos personales sobre los cuales se preste el servicio. Ver: Lámina Power point 14-5.
•     Elartículo 60.2 Contenidos, asociado a los Códigos de conducta adecuados a la Ley que incluye como mínimo mecanismos para asegurar la confidencialidad. Ver: Lámina Power point 14-6.
•  El artículo 133.11 Infracciones graves, que señala como tal la obligación de  confidencialidad el incumplimiento del artículo 17 de la Ley. Ver: Lámina Power point 14-7.

2.3.Directiva N° 001-2014-JUS-DGPDP Datos Personales vinculados a Programas Sociales

•  VI Disposiciones Específicas.6.4 en sus Lineamientos de confidencialidad establece que tanto el MIDIS como las entidades que administran programas sociales y subsidios del estado deberán definir los lineamientos dirigidos a garantizar la seguridad y confidencialidad de la información que administran… Ver: Lámina Power point 14-8.

2.4.Ley N° 30029. Artículo 4a); 4b) de la  Ley que adecua el uso de las TICs en el Sistema de Remates Judiciales.

•  El Artículo 4a) y 4b) ordena que el Poder Judicial debe cumplir a) con las exigencias de administrar la información contenida en el Sistema de Remates Electrónicos Judiciales, y b) Garantizar, bajo responsabilidad administrativa, civil o penal a que hubiera lugar, la confidencialidad de la identidad de los usuarios postores, así como la integridad, disponibilidad, confiabilidad y trazabilidad de la información ingresada. Ver: Lámina Power point 14-9.
•    El Artículo 6 establece que todos aquellos que intervengan en la gestión de la información del Remate Electrónico Judicial están obligados a guardar su confidencialidad, acorde con la Constitución, Ley N° 29733 y demás normas, bajo responsabilidad. Ver: Lámina Power point 14-10.

2.5.Reglamento de la Ley N° 29907 Ley de Prevención para la prevención y tratamiento de la ludopatía. D.S. N° 007-2013-MINCETUR.

El Artículo 10.1; 10.2 De la confidencialidad de la información prevé que los funcionarios y servidores de la Dirección General de Juegos de Casino y Máquinas Tragamonedas de MINCETUR, DGJCMT, están obligados a guardar confidencialidad de la información contenida en el Registro. Ver: Lámina Power point 14-11.

El Artículo 20.1; 20.2 De la confidencialidad del Dictamen ordena que el Dictamen que emita la Junta Médica para el diagnóstico de la ludopatía, colegiada e individualmente, está obligada a guardar confidencialidad de su dictamen, y que éste poda ser entregado a la familia que solicito el diagnostico a inscribir en el Registro de personas prohibidas de acceder a salas de juego de casino y máquinas tragamonedas, a cargo de la Dirección General de Juegos de Casino y Máquinas Tragamonedas de MINCETUR. Ver: Lámina Power point 14-12.

2.6.Directiva de Seguridad de la Información. Aprobada por R.D. N° 019-2013-JUS/DGPDP.

1. DISPOSICIONES GENERALES

1.3. Requisitos de Seguridad

  1.3.1. Cumplimiento de requisitos

2.3. Medidas de Seguridad Técnicas

2.3.2. Medidas de Seguridad Técnicas relacionadas a la alteración no autorizada del banco de datos personales.

2.3.2.4. Seguridad en la copia o reproducción de documentos.

Cuando sea necesario, el titular del banco de datos personales debe designar a las personas autorizadas a generar y/o eliminar fas copias o reproducciones de los datos personales.

Se deben implementar las siguientes medidas para preservar la confidencialidad de los datos personales:

1. a) Utilizar impresoras, fotocopiadoras, scanner u otros equipos de reproducción autorizados.
2. b) Supervisar el proceso de copia o reproducción de los documentos.

No dejar desatendido el equipo.

1. c) Retirar los documentos originales y las copias del equipo inmediatamente después de finalizada la copia o reproducción.

Se deben registrar las copias o reproducciones de los documentos con
datos personales realizadas indicando como mínimo:

1. a) Nombre de la persona que solicita la copia
2. b)Nombre de la persona autorizada a realizar copias.
3. c)Descripción de los datos personales copiados.
4. d)Número de copias.
5. e)
6. f)Nombre de la persona que recibe la copia.
7. g)Lugar de destino.
8. h)Periodo de validez de la copia.

Las copias o reproducciones de los documentos deben tener una marca

que identifique el periodo de validez de las mismas.

2.3.4.5. Medidas específicas

A manera de Conclusión:

Existen diferencias marcadas entre los conceptos de Principios de Confidencialidad, en la normativa europea, respecto a las Obligaciones de Confidencialidad, en la legislación peruana.

Mientras en el primero, los Principios del RGPD se caracterizan por ser generales, abstractos y orientadores, basados en reglas, valores, en el segundo, la legislacion peruana  postula normas específicas y aplicables a vínculos jurídicos y conductas concretas.

En los Considerandos del RGPD se tienen en cuenta varios alcances referidos al principio de confidencialidad en el tratamiento de los datos personales: en relación a la seguridad adecuada para impedir el acceso o el uso no autorizado de los mismos; o los acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos conservados o transmitidos; o que puedan dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo.

Otros Considerandos apuntan a la responsabilidad del encargado o responsable del tratamiento en la evaluación de riesgos, la aplicación de medidas para mitigarlo, teniendo en cuenta el estado de la técnica, los costes de su aplicación; los plazos para notificar a la autoridad de control, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas; y la aplicación del principio de confidencialidad al tratamiento de datos personales con fines estadísticos, como datos agregados, y que el resultado o los datos personales no sean utilizados para respaldar medidas o decisiones relativas a personas físicas concretas; y su contribución como parte de la confidencialidad a la estadística europea.

La Parte Dispositiva del RGPD se centra en el Artículo 5.1.f del RGPD ordenando el tratamiento de los datos personales de manera que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito, la destrucción o el daño accidental, mediante la aplicación de medidas técnicas, organizativas y legales adecuadas.

El Artículo 14.5.d del  RGPD incide sobre la Información que deberá facilitarse cuando los datos personales no hayan sido recabados del propio interesado.

El Artículo 28.3.b señala que el tratamiento de datos personales por el encargado, responsable se regirá por un contrato u otro acto jurídico garante del compromiso de las personas autorizadas para tratar datos personales a respetar la confidencialidad o se encuentren sujetas a una obligación de confidencialidad de naturaleza estatutaria.

El Artículo 32.1.b sobre la seguridad del tratamiento, ordena que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo;

El Artículo 38.5. sobre la Posición del Delegado de Protección de Datos Personales, revela la obligación de éste a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones.

Igualmente el Artículo 54.2 del RGPD sobre Normas relativas al establecimiento de la Autoridad de Control, decidiendo que el miembro o miembros y el personal de cada autoridad de control estarán sujetos, de conformidad con el Derecho de la Unión o de los Estados miembros, al deber de secreto profesional, tanto durante su mandato como después del mismo, con relación a las informaciones confidenciales de las que hayan tenido conocimiento en el cumplimiento de sus funciones o el ejercicio de sus poderes.

La misma facultad propone el Artículo 76.1 del RGPD sobre el Comité Europeo de Protección de Datos Personales, acerca de la confidencialidad, de sus debates, los mismos que serán confidenciales cuando este mismo colegiado lo considere necesario, tal como se establezca en su reglamento interno.

Finalmente, el RGPD impone severas sanciones económicas y otras sanciones en caso de incumplimiento.

La normativa peruana relativa a la obligación de confidencialidad se asienta en cinco textos normativos muy distantes del enfoque europeo basado en el Principio de Confidencialidad:

• La Ley N° 29733, trata en el concepto de Nivel suficiente de protección de datos la obligación de confidencialidad. Artículo 1.10 Objeto de la Ley y Artículo 3.12 Definiciones.

Las Limitaciones al consentimiento para el tratamiento de datos personales, referido a las        salvaguardas de los datos personales, en el artículo 14.11.

La confidencialidad de los datos personales, por parte del titular de los bancos de datos, el encargado y toda persona interviniente en el tratamiento en el artículo 35.

Y finalmente, la Confidencialidad, por parte del personal de la Autoridad Nacional de Protección de Datos, la duración de esta obligación y las responsabilidades en el artículo 35.

•  El Reglamento de la Ley N° 29733  D.S. N° 006-2024-JUS, estable en los Criterios a considerar para el tratamiento de datos personales por medios tecnológicos tercerizados, la Garantía de la confidencialidad en el artículo 29.3; los mecanismos para asegurar la confidencialidad en el Contenido de los Códigos de conducta, artículo 60.2; y el incumplimiento de la obligación de confidencialidad como Infracción muy grave en el artículo 133.11
•  La Directiva N° 001-2014-JUS-DGPDP Datos Personales vinculados a Programas Sociales establece en las VI Disposiciones específicas, 6.4 los lineamientos de confidencialidad  de la información que administran.
•  La Ley N° 30029. Ley que adecúa el uso de las TICs en el Sistema de Remates Judiciales ordena al Poder Judicial el cumplimiento de Artículo 4a); las exigencias de administrar la información contenida en el Sistema de Remates Electrónicos Judiciales, y 4b): garantizar, bajo responsabilidad administrativa, civil o penal a que hubiera lugar, la confidencialidad de la identidad de los usuarios y otros.; y las exigencias de la confidencialidad, de otros intervinientes en la gestión de la información del Remate Electrónico Judicial. Artículo 6.
• El Reglamento de la Ley N° 29907 Ley de Prevención para la prevención y tratamiento de la ludopatía. D.S. N° 007-2013-MINCETUR sobre la Confidencialidad de la información prevé que los funcionarios y servidores de la Dirección General de Juegos de Casino y Máquinas Tragamonedas de MINCETUR, DGJCMT, están obligados a guardar confidencialidad Artículo 10.1. Así mismo está obligada a guardar confidencialidad del Dictamen que emita la Junta Médica para el diagnóstico de la ludopatía, colegiada e individualmente Artículo 10.2.
•  La Directiva de Seguridad de la Información, aprobada por R.D. N° 019-2013-JUS/DGPDP, en las 1. DISPOSICIONES GENERALES, 1.3. Requisitos de Seguridad,   1.3.1. Cumplimiento de requisitos, el ítem 1.3.1.8 plantea como Requisito: Desarrollar y mantener actualizado un documento de compromiso de confidencialidad en el tratamiento de datos personales, aplicable a las cinco categorías de tratamiento.

En 2.3. Medidas de Seguridad Técnicas, 2.3.2. Medidas de Seguridad Técnicas relacionadas a la alteración no autorizada del banco de datos personales, 2.3.2.4. Seguridad en la copia o reproducción de documentos, indica que el titular del banco de datos personales debe designar a las personas autorizadas a generar y/o eliminar fas copias o reproducciones de los datos personales. Debiéndose implementar determinadas medidas para preservar la confidencialidad de los datos personales.

En 2.3.4.5. Medidas específicas, plantea como Requisito: Toda información electrónica que contiene datos personales debe ser almacenada en forma segura empleando mecanismos de control de acceso y cifrada para preservar su confidencialidad. Agregando que la información de datos, personales que se transmite electrónicamente  debe ser protegida para preservar su confidencialidad e integridad. El Requisito de esta medida es opcional para la Categoría de Tratamiento Básico, pero Requerido para las cuatro otras Categorías: Simple, Intermedio, Complejo y Crítico.

En 2.3.4.6. Medidas específicas, se instituye que la información de datos,
personales que se transmite electrónicamente debe ser protegida para preservar su confidencialidad e integridad. El Requisito de esta medida es opcional para la Categoría de Tratamiento Básico, pero Requerido para las cuatro otras Categorías: Simple, Intermedio, Complejo y Crítico.

Y finalmente, en 2.3.4.6. Medidas específicas, se establece que Todo evento identificado que afecte la confidencialidad, integridad y disponibilidad de los datos personales, o que indique un posible incumplimiento de las medidas de seguridad establecidas, debe ser reportado inmediatamente al encargado del banco de datos personales.  El Requisito de esta medida es Registrar el incidente con una descripción detallada del mismo y las medidas correctivas adoptadas para la Categoría de Tratamiento Básico, e Implementar el ítem 23.5.7.  para las cuatro otras Categorías: Simple, Intermedio, Complejo y Crítico.

Finalmente, el principio de confidencialiad de los datos personales del RGPD es un concepto abstracto, orientador, sujeto a interpretación que permiten definir la finalidad, el ámbito y el alcance del tratamiento. Mientras las obligaciones de confidencialidad son normas, acciones concretas, especificas de poco margen teleológico.