La abogada Márllury Valdez, socia fundadora de Terry & Valdez Abogados Corporativos y especialista en Derecho Tributario, Corporativo y Protección de Datos Personales, compartió en esta entrevista con la Revista CASINO una visión clara sobre los cambios que trae el nuevo reglamento de datos personales para el sector de juegos de azar. Entre los cambios clave, destaca la obligatoriedad de nombrar un oficial de cumplimiento, realizar estudios de impacto de privacidad y aplicar el principio de Privacy by Design desde la fase de diseño de cualquier sala o plataforma de juego.
Advirtió que las infracciones muy graves pueden acarrear sanciones de más de medio millón de soles y dañar seriamente la reputación de los operadores. Sin embargo, hizo hincapié en ver esta adecuación normativa como una inversión que genera confianza y valor empresarial. Más allá de los plazos —el 30 de noviembre es la fecha límite para las empresas con ingresos superiores a 12 millones de soles—, Valdez destacó la necesidad de un cambio cultural: implementar medidas de seguridad técnica y legal en todos sus procesos, asegurar un consentimiento informado evidente, incluir cláusulas de confidencialidad y consentimiento informado en contratos, implementar videovigilancia con protocolos de seguridad y señalización clara, establecer canales para ejercer los derechos ARCO y conformar equipos multidisciplinarios de especialistas en seguridad de la información alineados con los objetivos del negocio.
¿Cuál es el cambio más relevante del nuevo reglamento que los operadores de juegos deben tener en cuenta de inmediato?
El nuevo reglamento se inspira en las normas internacionales de seguridad de la información y establece una serie de obligaciones para los operadores de salas físicas, plataformas digitales y casas de apuestas deportivas. Dado que estos operadores manejan datos sensibles, se introduce la figura obligatoria del oficial de cumplimiento y se establece la obligación de realizarestudios de impacto de la privacidad, esto con la finalidad de proteger los derechos de los titulares de datos personales, establecer garantías respecto de la seguridad de la información y garantizar el cumplimiento de la normativa legal, entre otras obligaciones.
¿Qué implica en la práctica implementar el principio de “privacy by design” en una sala de juegos tradicional?
Significa que desde la etapa más temprana de desarrollo de una actividad, sistema informático, plataforma digital, infraestructura tecnológica o procedimiento organizacional que implique tratamiento de datos personales, deben adoptarse medidas técnicas y organizativas adecuadas que garanticen la privacidad y la protección de los datos personales.
¿Qué riesgos enfrentan quienes no han actualizado sus protocolos?
Las sanciones pueden ser millonarias. Las infracciones muy graves, como no implementar un estudio de impacto a la privacidad cuando se tratan datos sensibles, pueden costar hasta 100 UIT, es decir, más de medio millón de soles.
¿Quiénes están obligados este año?
Todas las empresas, al tratar datos personales, se encuentran obligadas a adecuarse a la Ley de Protección de datos personales, no obstante el reglamento establece que las empresas con ingresos superiores a 12 millones de soles deben adecuarse a las nuevas disposiciones antes del 30 de noviembre.
Es importante aclarar que, aunque ese es el plazo de adecuación para las nuevas disposiciones, la Autoridad Nacional de Protección de Datos Personales puede fiscalizar a las empresas sin importar su nivel de ingresos, en cualquier momento sobre aspectos ya regulados previamente, como el consentimiento informado, que debe ser claro, específico, informado y libre.
¿Qué pasos deben seguir estas empresas para adecuarse correctamente?
Primero, deben realizar un análisis de cumplimiento normativo con asesoría profesional. Este es un proceso interdisciplinario que involucra abogados e ingenieros especialistas en protección de datos.
Es recomendable comenzar con un estudio de impacto a la privacidad que permita detectar brechas y definir medidas correctivas. También es necesario revisar los contratos con proveedores, clientes y trabajadores para asegurarse de que incluyan cláusulas de consentimiento informado y confidencialidad, e identificar los bancos de datos personales para proceder a inscribirlos.
En cuanto a los sistemas de videovigilancia, deben implementarse protocolos que entre otros aspectos permitan a los usuarios ejercer sus derechos ARCO, además de señalizar adecuadamente que se están realizando grabaciones, indicando el banco de datos en el que se almacenan y el fundamento legal de dicha recolección.
¿Por qué este tema debería ser una prioridad para las empresas operadoras de salas de juego, tragamonedas y apuestas?
Porque se trata de un sector que por naturaleza trata una enorme cantidad de datos y muchos de ellos sensibles.. Desde el momento en que un cliente ingresa a una sala de juegos o se registra en una plataforma, se están recolectando datos personales.
Más allá de evitar sanciones, proteger los datos es clave para salvaguardar la reputación empresarial. Una filtración puede ser mucho más costosa que cualquier multa. La adecuación normativa no debe verse como un gasto, sino como una inversión en confianza y sostenibilidad.
¿Qué implican las principales modificaciones del nuevo reglamento?
El reglamento busca proteger la privacidad de la información conforme a estándares internacionales y fortalece la facultad fiscalizadora de la autoridad.
En el caso de los operadores de juego, se consideran datos sensibles aquellos relacionados con patrones de juego, especialmente si pueden vincularse a temas de salud como la ludopatía. Por ello, estos operadores deben realizar un estudio de impacto de privacidad.
Asimismo, si hay transferencia internacional de datos, se deben cumplir exigencias adicionales para garantizar la seguridad de la información.
¿Cómo deberían prepararse los operadores que manejan videovigilancia y bases de datos de fidelización para cumplir con las nuevas exigencias?
Deben considerar estos datos como sensibles y, en consecuencia, realizar un estudio de impacto de privacidad para identificar posibles brechas.
En el caso de la videovigilancia, además de registrar las grabaciones en un banco de datos, es indispensable implementar protocolos de seguridad, colocar carteles visibles que informen a los usuarios de ello y detallen cómo pueden ejercer sus derechos ARCO.
¿Qué errores comunes están cometiendo actualmente los operadores del sector frente a la Ley de Protección de Datos?
Uno de los más frecuentes es el uso incorrecto del consentimiento informado. Este debe ser libre, pero también claro, específico e informado.
El cliente tiene que saber quién usará sus datos, para qué fines y qué derechos puede ejercer. La ambigüedad en este aspecto es una infracción frecuente.
¿Qué recomendaciones daría a las empresas que ya han sido observadas o sancionadas previamente por esta ley?
Lo primero que deben hacer es realizar de inmediato un análisis de cumplimiento, con el apoyo de especialistas en protección de datos y tecnología.
Es fundamental identificar las brechas, implementar medidas correctivas, revisar contratos y ejecutar estudios de impacto de privacidad, especialmente cuando se tratan datos sensibles.
¿Considerando la regulación de infracción y sanciones, qué tan graves pueden ser las consecuencias?
Bueno, las multas son altísimas, las sanciones por infracciones más graves ascienden a 100 unidades impositivas tributarias, es decir, más de medio millón de soles. Pero el tema regulatorio, el tema sancionatorio, no es solamente lo que les debe preocupar, ¿no? El costo reputacional que enfrentan los operadores de salas de juego ante la filtración de información es altísimo.
Por eso, el la adecuarse a la ley de protección de datos personales no se debe ver como un costo, sino como una inversión empresarial estratégica, debido a que esto va a generar mayor confianza en sus clientes, porque existe la garantía que sus datos personales están seguros y protegidos. Adicionalmente, un operador que cumple genera confianza en los órganos reguladores, lo que a la larga reditúa en un mayor valor para la empresa.
