Aplica-se a qualquer pessoa natural ou jurídica, pública ou privada, que trate dados pessoais dentro do Peru. Também se aplica a entidades fora do Peru, caso usem meios situados no país (p. 887; §1)
A legislação diferencia o “controlador” (responsável pela base de dados) do “operador” (quem processa os dados sob as instruções do controlador). Ambos devem garantir a confidencialidade e integridade dos dados processados (p. 889; §2)
Informações que identifiquem ou possam identificar uma pessoa, incluindo hábitos pessoais (p. 887; §1)
Dados que incluem origem racial, convicções políticas, saúde, vida sexual e biometria (p. 887; §2)
Consentimento informado, execução de contrato, proteção da saúde, interesse público, entre outros (p. 888; §3)
Devem ser adotadas medidas técnicas, organizacionais e legais para garantir a segurança dos dados, conforme a Diretriz de Segurança (p. 890; §1)
Acesso, retificação, cancelamento e oposição aos dados, entre outros direitos (p. 888; §2)
Transferências só são permitidas para países com nível adequado de proteção ou mediante contrato com cláusulas específicas (p. 889; §2)
Não é obrigatório para o setor privado, mas pode haver um “Gestor de Segurança” para a base de dados (p. 888; §4)
Incidentes que afetem significativamente os direitos dos titulares devem ser comunicados a eles assim que confirmados (p. 891; §3)
“Sem informação” (p. 893; §2)
Multas variam de S/ 2,575 a S/ 515,000, dependendo da gravidade da infração (p. 891; §2)
2024 | Cyber Law Brasil | Todos os Direitos Reservados