Fecha de publicación: 19/09/2024
Por Kaylí Casma
En la actualidad nos encontramos inmersos en una creciente era digital, la información que maneja cada organización se ha convertido en uno de sus activos más valiosos. Entendiendo ello, es evidente que se acrecienten los riesgos derivados del manejo de información, especialmente cuando se trata de la manipulación de datos personales durante auditorías forenses.
La práctica de las auditorías forenses cumple un rol crucial en la detección de fraudes, delitos cibernéticos, y demás hechos que pueden subsumirse en la comisión de delitos. En ese entender es fundamental que cuando las mismas se realicen, esto se haga verificando un estricto cumplimiento de la norma de protección de datos personales a fin de que no se transgredan derechos de terceros.
En esa línea, la creciente legislación sobre protección de datos personales contenida en la presente ley 29733 y su Reglamento, explaya tres aspectos clave que resultan aplicables al tratamiento de datos en las auditorías forenses:
Consentimiento y Transparencia
Cualquier tratamiento de datos en una auditoría forense debe contar con el consentimiento previo y expreso del titular de los datos, asimismo cuando se realice una transmisión de la información o de un banco de datos, los titulares previamente deben estar informados de este accionar a fin de que puedan ejercer sus derechos ARCO de manera eficiente; esto con el fin de que las personas sean conscientes de cómo y por qué se están utilizando sus datos. La Ley de Protección de Datos Personales es clara al exigir que los titulares sean informados sobre el uso de sus datos. Sin embargo, existe un supuesto en el cual se puede prescindir del consentimiento y ello es cuando la investigación es requerida por una autoridad judicial o administrativa. (Art.14 de LPDP).
Confidencialidad y Seguridad
La normativa de protección de datos exige que las organizaciones adopten medidas de seguridad para proteger dichos datos frente a los accesos no autorizados, usos indebidos o filtración de los mismos.
En el ámbito de la auditoría forense, se sabe que se manejan grandes volúmenes de información confidencial por lo que es entendible que está protección se vuelva aún más crucial. Por lo expuesto, las auditorías en pro del cumplimiento normativo deben adoptar técnicas forenses que aseguren la integridad de los datos y eviten su manipulación y/o filtración/ exposición hacia terceros.
Responsabilidad y Sanciones
La legislación peruana no solo establece obligaciones a las empresas en cuanto al manejo de los datos, sino que también impone sanciones severas en caso de incumplimiento.
La Autoridad Nacional de Protección de Datos Personales puede imponer multas significativas las cuales van desde la 0.5 UIT hasta las 100 UIT, si se detectan violaciones en el tratamiento de la información personal durante una auditoría forense.
De lo expuesto se concluye que si bien la normativa peruana no cuenta con una norma que regule de manera expresa como debe llevarse a cabo una auditoría forense, ello no excluye el tratamiento de datos y el manejo de los mismos, si existe una mala práctica, fuga o afectación de los titulares del dato o del banco de datos personales. Las empresas auditoras no se encuentran exentas de responsabilidad y, por lo tanto, son susceptibles de contar con sanciones. Por último, la importancia de la protección de datos personales exige que las auditorías forenses sean realizadas bajo estrictos criterios de seguridad y transparencia, ya que el adecuado cumplimiento de la normativa no solo evita sanciones, sino que también fortalece la confianza de los stakeholders y la reputación de la empresa auditora.