Compendio NewEdition BAJA

COMPENDI O
Autori dad Naci onal de

Protecci n de Datos Personal es
Ley de Protecci n de Datos Personal es y su Regl amento - Per
COMPENDIO
Autoridad Nacional de
Proteccin de Datos Personales
MINISTERIO DE JUSTICIA Y
DERECHOS HUMANOS
Segunda Edicin, noviembre 2013
Ministerio de Justicia y Derechos Humanos
Calle Scipin Llona 350, Miraores
Lima - Per
Telfono: 204 8020
www.minjus.gob.pe
apdp@minjus.gob.pe
Ministro de Justicia y Derechos Humanos:
Dr. Daniel Figallo Rivadeneyra
Director de la Autoridad Nacional de
Proteccin de Datos Personales:
Dr. Jos lvaro Quiroga Len
Colaboradoras:
Mara Cecilia Chumbe
Olga Escudero
Mara Alejandra Gonzalez
Violeta Carln
Diseo, diagramacin y cuidado de edicin:
Mary Reymundo Aguilar
Preprensa e impresin:
LITHO & ARTE S.A.C.
Hecho el Depsito Legal en la Biblioteca Nacional del Per:
N 2013-18548
COMPENDI O
Autori dad Naci onal de
Protecci n de Datos Personal es
Ley de Protecci n de Datos Personal es y su Regl amento - Per
2
NDICE
PRLOGO
Dr. Daniel Figallo Rivadeneyra
PREFACIO
Dr. Jos vila Herrera
PRESENTACIN
Dr. Jos lvaro Quiroga
CONSTITUCIN POLTICA DEL PER
(Parte pertinente)
CDIGO PROCESAL CONSTITUCIONAL
(Parte pertinente)
LEY DE TRANSPARENCIA Y ACCESO A LA
INFORMACIN PBLICA
(Parte pertinente)
LEY DE PROTECCIN DE DATOS PERSONALES
TTULO PRELIMINAR
DISPOSICIONES GENERALES
TTULO I
Principios rectores
TTULO II
Tratamiento de datos personales
TTULO III
Derechos del titular de datos personales
TTULO IV
Obligaciones del titular y del encargado
del banco de datos personales
TTULO V
Bancos de datos personales
TTULO VI
Autoridad Nacional de Proteccin de Datos Personales
TTULO VII
Infracciones y sanciones administrativas
Disposiciones complementarias nales
4
6
8
12
14
16
20
20
23
24
27
30
31
32
35
37
3
41
43
47
48
59
67
73
80
81
REGLAMENTO DE LA LEY DE PROTECCIN
DE DATOS PERSONALES
TTULO I
Disposiciones generales
TTULO II
Principios rectores
TTULO III
Tratamiento de datos personales
Captulo I consentimiento
Captulo II limitaciones al consentimiento
Captulo III transferencia de datos personales
Captulo IV tratamientos especiales de datos personales
Captulo V medidas de seguridad
TTULO IV
Derechos del titular de datos personales
Captulo I disposiciones generales
Captulo II disposiciones especiales
Captulo III procedimiento de tutela
TTULO V
Registro Nacional de Proteccin de Datos Personales
Captulo I disposiciones generales
Captulo II procedimiento de inscripcin
Captulo III procedimiento de inscripcin de los
cdigos de conducta
TTULO VI
Infracciones y sanciones
Captulo I procedimiento scalizador
Captulo II procedimiento sancionador
Captulo III sanciones
Disposiciones complementarias nales
Disposiciones complementarias transitorias
4
La recopilacin y circulacin de millones de datos personales es parte de
nuestra forma de vida y los entregamos sin ser conscientes de que mantene-
mos titularidad sobre ellos y que, por ello, no pueden ser usados de cualquier
forma. A pesar que muy pocos lo conocen, existe el derecho fundamental a la
proteccin de datos personales.
El 3 de julio del 2011 fue publicada en el diario ocial El Peruano la Ley N
29733 Ley de Proteccin de Datos Personales, con el objetivo de garantizar
el derecho fundamental a la proteccin de datos personales, previsto en el
artculo 2 numeral 6 de la Constitucin Poltica del Per.
La Ley desarrolla la forma en que los datos pueden ser tratados sin afectar
a su titular y en un marco de respeto de los dems derechos fundamentales.
Por mandato de la Constitucin tenemos derecho: A que los servicios infor-
mticos, computarizados o no, pblicos o privados no suministren informa-
ciones que afecten la intimidad personal y familiar.
El Reglamento de la Ley de Proteccin de Datos Personales fue aprobado
recientemente mediante Decreto Supremo N 003-2013-JUS, con fecha 22
de marzo, el cual entr en vigencia el 8 de mayo del 2013. Sus disposiciones
constituyen normas de orden pblico y de cumplimiento obligatorio.
El objeto del reglamento es desarrollar la Ley a n de garantizar el derecho
fundamental a la proteccin de datos personales, regulando un adecuado
tratamiento, tanto por las entidades pblicas, como por las instituciones per-
tenecientes al sector privado.
Para el cumplimiento de dicha nalidad, y en el mbito de competencias que
corresponden al Ministerio de Justicia y Derechos Humanos, se ha creado la
Autoridad Nacional de Proteccin de Datos Personales
1
, a la que le corres-
ponde realizar todas las acciones necesarias para el cumplimiento del objeto
y dems disposiciones de la Ley N 29733, as como su respectivo Reglamen-
to, ejerciendo para ello funciones administrativas, orientadoras, normativas,
resolutivas, scalizadoras y sancionadoras.
PRLOGO
5
Como se puede advertir, se trata de funciones muy delicadas que tienen que
ser observadas con mucho celo por parte de la Autoridad Nacional, porque
de lo contrario, un uso indebido de los datos personales no slo afectar as-
pectos de la intimidad de la persona sino que adems puede ser un factor
crimingeno que afecte la seguridad ciudadana.
Como puede advertirse, la expedicin de normas especiales de proteccin de
datos personales, representan acciones decididas para la concrecin de una
verdadera cultura de proteccin de los datos personales en el pas, de modo
tal que la ciudadana sea plenamente consciente de la existencia de ste de-
recho y, en consecuencia, exija su cumplimiento, tutela y respeto a quienes,
de un modo u otro, realizan el tratamiento de sus datos personales.
En tales circunstancias, aquellas personas que se vean afectadas por el uso
inadecuado de sus datos personales, sea, por ejemplo, en la solicitud de un
crdito, de un servicio pblico o privado, cuentan ya con un marco normativo
que los respalda y protege.
Daniel Figallo Rivadeneyra
Ministro de Justicia y Derechos Humanos
1
La Autoridad Nacional de Proteccin de Datos Personales es ejercida por la Direccin General
de Proteccin de Datos Personales, rgano de lnea del Viceministerio de Derechos Humanos y
Acceso a la Justicia.
6
La doctrina ha reconocido que el desarrollo de las nuevas tecnologas y, en espe-
cial, la informtica, traen consigo problemas nuevos de relevancia constitucional,
en concreto, en la proteccin a los mbitos ms ntimos de la persona humana.
Los aspectos ms difciles que suscita la proteccin de la intimidad frente a la in-
formtica no es tanto el impedir el progreso electrnico de informaciones, que son
necesarias para el funcionamiento de cualquier Estado moderno, sino el asegurar
un uso democrtico de la tecnologa informtica (Enrique Prez Luo: 1979).
Tan cierta es la utilidad de estas tecnologas para que cualquier gobierno mo-
derno pueda cumplir sus nes, como el peligro que entraa el uso indebido o
abusivo de la tecnologa informtica por parte del Estado o de determinados
grupos privados que amenazara de muerte el desarrollo de las instituciones
democrticas, centrndose, entonces, el problema jurdico en los mecanismos
de control social de aquella realidad (Prez Luo, 1979).
En las sociedades desarrolladas por su ciencia y tcnica las posibilidades de
reunir, almacenar y transmitir informacin permiten que los poderes pblicos y
los poderes privados, puedan tener conocimiento de amplias esferas de nues-
tras vidas y puedan utilizar dicha informacin para su benecio causndonos
notorios daos, con lo cual se imponen nuevos retos a la proteccin y vigencia de
los derechos fundamentales.
De otro lado, la informacin es poder y, ms an, si ella permite conocer e inuir
en las esferas ms ntimas de las personas, la concentracin de estas tecnologas
en el aparato estatal imponen nuevos desafos: la limitacin del poder.
Estas dos miradas de reexin convierten a la proteccin de datos personales en
un problema que lo debemos tomar en serio ya que atae a la esfera ms ntima
del ser humano al ser una expresin de la privacidad y por cuanto mediante su
consagracin y efectivo respeto es posible concebir una sociedad como democr-
tica. De este modo, su proteccin y garanta exigen un adecuado anclaje legal.
En ese contexto, la sancin de normas especiales y una institucionalizacin
fuerte en materia de proteccin de datos personales es una necesidad en
nuestro ordenamiento jurdico.
Sin embargo, en la dcada de los aos 70`, ya Europa iniciaba el proceso de expe-
dicin de leyes de proteccin de datos personales, ello como respuesta al avance
tecnolgico e informtico que, sin dudas, implicaba una mayor y ms veloz recopi-
lacin, transferencia e intercambio de datos personales de los individuos.
PREFACIO
7
En la misma dcada e incluso en la de los aos 80`, aunque con una orienta-
cin y profusin diferente a la europea, ya en los Estados Unidos de Amrica se
aprobaron algunas leyes sobre el tema, aunque relacionadas a sectores espe-
ccos tales como los registros estatales, informes crediticios, comunicaciones
electrnicas, entre otros.
En la doctrina internacional este es un concepto que ha ido evolucionando. Na-
cido como una interferencia en el derecho a la vida privada del individuo, se
transforma en la libertad negativa de rechazar u oponerse al uso de informacin
personal y evoluciona al concepto de la libertad positiva que permite supervisar
el uso de la informacin personal. Es de esta manera, un medio de preservar la
identidad, la dignidad y la libertad, conocido como el derecho del individuo a la
autodeterminacin informativa.
No obstante ello y al margen de las razones que retardaron en el Per la expe-
dicin de leyes especcas de proteccin de datos personales, lo cierto es que al
da de hoy, contamos con un marco legislativo que nos sitan en posiciones de
vanguardia y de garanta.
El xito en la tutela del derecho a la proteccin de datos personales, que pasa
por la internalizacin en nuestro pas de una verdadera cultura de respeto de
los derechos fundamentales, es un compromiso que el Ministerio de Justicia
y Derechos Humanos, a travs de la Direccin General de Proteccin de Datos
Personales, asume con la mayor responsabilidad y dedicacin.
Precisamente, el primer paso de nuestro Sector, en aras de concretar el objetivo
descrito, es difundir la Ley N 29733 Ley de Proteccin de Datos Personales y
su Reglamento a travs de esta publicacin, que estamos seguros llegar a ma-
nos no slo de la comunidad acadmica y de los sectores profesionales del pas,
sino tambin de aquellas personas que de un modo u otro se constituyen como
partes concernidas, ya sea como obligados o como tutelados.
El derecho a la proteccin de datos personales tiene un marco legal que servir
de garanta y desde el Ministerio de Justicia y Derechos Humanos articulare-
mos esfuerzos en aras que dicho derecho fundamental sea valorado, en su real
dimensin, por las personas y el propio Estado en su conjunto.
Jos vila Herrera
Viceministro de Derechos Humanos y Acceso a la Justicia
8
El compendio que hoy ponemos en sus manos forma parte
de los materiales de difusin que ha preparado la Autoridad
Nacional de Proteccin de Datos Personales - APDP, con
ocasin de la plena vigencia de la Ley N 29733 Ley de
Proteccin de Datos Personales, como consecuencia del
inicio de la vigencia de su reglamento en mayo de 2013.
La APDP se encuentra culminando una primera etapa y
comenzando una segunda, que requiere difundir el derecho
a la proteccin de los datos personales, tan importante y a la
vez tan desconocido en nuestro pas.
La primera etapa de la APDP se inicia con la Ley N 29733 -
Ley de Proteccin de Datos Personales, que en el artculo 32,
establece que el Ministerio de Justicia, a travs de la Direccin
Nacional de Justicia, es la Autoridad Nacional de Proteccin
de Datos Personales. De acuerdo a la primera disposicin
complementaria nal de la misma norma, la APDP ejerci la
presidencia de la Comisin Multisectorial encargada de elaborar
el proyecto de reglamento, en el brevsimo plazo de 120 das.
Como resultado de un arduo trabajo, que incluy la apertura a
la participacin de personas y entidades interesadas, dentro del
plazo sealado, la Comisin Multisectorial aprob el proyecto
y lo entreg al Ministro de Justicia. El proyecto fue publicado
en el Portal Institucional del Ministerio de Justicia y Derechos
Humanos el 13 de marzo de 2012 por un perodo de 30 das, a
n de recibir aportes de la ciudadana, los que se recibieron en
gran cantidad, incluyendo comentarios, sugerencias, crticas
y felicitaciones, que fueron cuidadosamente procesados para
enriquecer el proyecto de reglamento.
PRESENTACIN
9
Al tratarse de una reglamentacin completamente novedosa
y de gran trascendencia, el Ministerio de Justicia y Derechos
Humanos consider que era necesario involucrar una mayor
presencia de opiniones, tanto del sector pblico como privado;
por lo que, el proyecto de reglamento se public por segunda vez el
22 de setiembre de 2012, en una separata especial del diario
ocial El Peruano y en el Portal Institucional del Ministerio de
Justicia y Derechos Humanos, por un plazo de 15 das a n de
que los interesados formulen sus comentarios.
En paralelo, el 20 de abril de 2012 se public el Reglamento de
Organizacin y Funciones del Ministerio de Justicia y Derechos
Humanos, Decreto Supremo N 011-2012-JUS, en el que la
APDP deja de ser parte de la Direccin Nacional de Justicia
y pasa a ser la Direccin General de Proteccin de Datos
Personales, bajo la esfera del Despacho Viceministerial de
Derechos Humanos y Acceso a la Justicia.
Finalmente, el 22 de marzo de 2013 se public el Decreto
Supremo N 003-2013-JUS, que aprob el Reglamento de la Ley
N 29733 - Ley de Proteccin de Datos Personales, cuya
vigencia se inici el 08 de mayo de 2013.
Hoy, al inicio de la segunda etapa, con el esfuerzo de cada
uno de los colaboradores de la APDP estamos difundiendo la
cultura de la proteccin de los datos personales como un tema
que resulta completamente transversal para los ciudadanos,
en el contexto de la sociedad que nos toca vivir.
10
En este compendio se incluyen la Ley N 29733 - Ley de
Proteccin de Datos Personales y su Reglamento, con la
nalidad de otorgar una herramienta que permita el adecuado
tratamiento de los datos personales, y as contribuir al
respeto del derecho fundamental a la proteccin de los datos
personales, tambin se incluyen extractos, en las partes
pertinentes, de la Constitucin Poltica del Per, del Cdigo
Procesal Constitucional y de la Ley de Transparencia y Acceso
a la Informacin Pblica, de forma que en este pequeo tomo
se pueda encontrar el texto de las normas ms importantes en
materia de proteccin de datos personales.
Jos lvaro Quiroga Len
Director de la Autoridad Nacional de Proteccin de Datos Personales
11
12
PREMBULO
El Congreso Constituyente Democrtico, invocando a Dios Todopoderoso,
obedeciendo el mandato del pueblo peruano y recordando el sacricio de
todas las generaciones que nos han precedido en nuestra Patria, ha resuelto
dar la siguiente Constitucin:
TTULO I
DE LA PERSONA Y DE LA SOCIEDAD
CAPITULO I DERECHOS FUNDAMENTALES DE LA PERSONA
Defensa de la persona humana
Artculo 1.- La defensa de la persona humana y el respeto de su dignidad son
el n supremo de la sociedad y del Estado.
Derechos fundamentales de la persona
Artculo 2.- Toda persona tiene derecho:
()
6. A que los servicios informticos, computarizados o no, pblicos o
privados, no suministren informaciones que afecten la intimidad
personal y familiar.
()
CONSTITUCIN POLTICA
DEL PER
(30/12/1993)
13
TTULO V
DE LAS GARANTAS CONSTITUCIONALES
Acciones de Garanta
Artculo 200.- Son garantas constitucionales:
()
3. La Accin de Hbeas Data, que procede contra el hecho u omisin, por parte
de cualquier autoridad, funcionario o persona, que vulnera o amenaza los
derechos a que se reere el artculo 2, incisos 5) y 6) de la Constitucin.(*)
()
(*) Inciso modicado por el Artculo nico de la Ley N 26470, publicada el 12 junio 1995.
14
()
TTULO I
DISPOSICIONES GENERALES DE LOS PROCESOS DE HBEAS CORPUS,
AMPARO, HABEAS DATA Y CUMPLIMIENTO
Finalidad de los Procesos
Artculo 1.- Los procesos a los que se reere el presente ttulo tienen por
nalidad proteger los derechos constitucionales, reponiendo las cosas al estado
anterior a la violacin o amenaza de violacin de un derecho constitucional, o
disponiendo el cumplimiento de un mandato legal o de un acto administrativo.
Si luego de presentada la demanda cesa la agresin o amenaza por decisin
voluntaria del agresor, o si ella deviene en irreparable, el Juez, atendiendo al
agravio producido, declarar fundada la demanda precisando los alcances de
su decisin, disponiendo que el emplazado no vuelva a incurrir en las acciones u
omisiones que motivaron la interposicin de la demanda, y que si procediere de
modo contrario se le aplicarn las medidas coercitivas previstas en el artculo 22
del presente Cdigo, sin perjuicio de la responsabilidad penal que corresponda.
Procedencia
Artculo 2.- Los procesos constitucionales de hbeas corpus, amparo y hbeas
data proceden cuando se amenace o viole los derechos constitucionales por
accin u omisin de actos de cumplimiento obligatorio, por parte de cualquier
autoridad, funcionario o persona. Cuando se invoque la amenaza de violacin,
sta debe ser cierta y de inminente realizacin. El proceso de cumplimiento
procede para que se acate una norma legal o se ejecute un acto administrativo.
()
CDIGO PROCESAL
CONSTITUCIONAL
LEY N 28237
(PUBLICADO: 31-05-2004)
15
TTULO IV
PROCESO DE HBEAS DATA
Derechos protegidos
Artculo 61.- El hbeas data procede en defensa de los derechos constitucionales
reconocidos por los incisos 5) y 6) del artculo 2 de la Constitucin. En consecuencia,
toda persona puede acudir a dicho proceso para:
1) Acceder a informacin que obre en poder de cualquier entidad pblica,
ya se trate de la que generen, produzcan, procesen o posean, incluida la
que obra en expedientes terminados o en trmite, estudios, dictmenes,
opiniones, datos estadsticos, informes tcnicos y cualquier otro documento
que la administracin pblica tenga en su poder, cualquiera que sea la forma
de expresin, ya sea grca, sonora, visual, electromagntica o que obre en
cualquier otro tipo de soporte material.
2) Conocer, actualizar, incluir y suprimir o recticar la informacin o datos
referidos a su persona que se encuentren almacenados o registrados en forma
manual, mecnica o informtica, en archivos, bancos de datos o registros
de entidades pblicas o de instituciones privadas que brinden servicio o
acceso a terceros. Asimismo, a hacer suprimir o impedir que se suministren
datos o informaciones de carcter sensible o privado que afecten derechos
constitucionales.
Requisito especial de la demanda
Artculo 62.- Para la procedencia del hbeas data se requerir que el
demandante previamente haya reclamado, por documento de fecha cierta, el
respeto de los derechos a que se reere el artculo anterior, y que el demandado
se haya raticado en su incumplimiento o no haya contestado dentro de los diez
das tiles siguientes a la presentacin de la solicitud tratndose del derecho
reconocido por el artculo 2 inciso 5) de la Constitucin, o dentro de los dos das
si se trata del derecho reconocido por el artculo 2 inciso 6) de la Constitucin.
Excepcionalmente se podr prescindir de este requisito cuando su exigencia
genere el inminente peligro de sufrir un dao irreparable, el que deber ser
acreditado por el demandante. Aparte de dicho requisito, no ser necesario
agotar la va administrativa que pudiera existir.
()
16
TTULO I
Alcance de la Ley
Artculo 1.- La presente Ley tiene por nalidad promover la transparencia de los
actos del Estado y regular el derecho fundamental del acceso a la informacin
consagrado en el numeral 5 del Artculo 2 de la Constitucin Poltica del Per.
El derecho de acceso a la informacin de los Congresistas de la Repblica
se rige conforme a lo dispuesto por la Constitucin Poltica del Per y el
Reglamento del Congreso.
()
Responsabilidades y Sanciones
Artculo 4.- Todas las entidades de la Administracin Pblica quedan obligadas
a cumplir lo estipulado en la presente norma.
Los funcionarios o servidores pblicos que incumplieran con las disposiciones
a que se reere esta Ley sern sancionados por la comisin de una falta grave,
pudiendo ser incluso denunciados penalmente por la comisin de delito de
Abuso de Autoridad a que hace referencia el Artculo 377 del Cdigo Penal.
El cumplimiento de esta disposicin no podr dar lugar a represalias contra los
funcionarios responsables de entregar la informacin solicitada.
()
TEXTO NICO ORDENADO
DE LA LEY N 27806, LEY DE
TRANSPARENCIA Y ACCESO A LA
INFORMACIN PBLICA
DECRETO SUPREMO N 043-2003-PCM
LEY DE TRANSPARENCIA Y ACCESO A LA INFORMACIN PBLICA
17
TTULO III
ACCESO A LA INFORMACIN PBLICA DEL ESTADO
Legitimacin y requerimiento inmotivado
Artculo 7.- Toda persona tiene derecho a solicitar y recibir informacin de cualquier
entidad de la Administracin Pblica. En ningn caso se exige expresin de causa
para el ejercicio de este derecho.
()
Denegatoria de acceso
Artculo 13.- La entidad de la Administracin Pblica a la cual se solicite
informacin no podr negar la misma basando su decisin en la identidad del
solicitante.
La denegatoria al acceso a la informacin solicitada debe ser debidamente
fundamentada en las excepciones del Artculo 15 de esta Ley, sealndose
expresamente y por escrito las razones por las que se aplican esas excepciones
y el plazo por el que se prolongar dicho impedimento.
La solicitud de informacin no implica la obligacin de las entidades de la
Administracin Pblica de crear o producir informacin con la que no cuente
o no tenga obligacin de contar al momento de efectuarse el pedido. En este
caso, la entidad de la Administracin Pblica deber comunicar por escrito
que la denegatoria de la solicitud se debe a la inexistencia de datos en su
poder respecto de la informacin solicitada. Esta Ley tampoco permite que los
solicitantes exijan a las entidades que efecten evaluaciones o anlisis de la
informacin que posean.
Si el requerimiento de informacin no hubiere sido satisfecho o si la respuesta
hubiere sido ambigua, se considerar que existi negativa tcita en brindarla.
()
Excepciones al ejercicio del derecho: Informacin condencial
Artculo 17.- El derecho de acceso a la informacin pblica no podr ser ejercido
respecto de lo siguiente:
()
18
5. La informacin referida a los datos personales cuya publicidad constituya
una invasin de la intimidad personal y familiar. La informacin referida a la
salud personal, se considera comprendida dentro de la intimidad personal.
En este caso, slo el juez puede ordenar la publicacin sin perjuicio de lo
establecido en el inciso 5 del artculo 2 de la Constitucin Poltica del Estado.
Por su parte, no opera la presente reserva cuando la Superintendencia de
Banca, Seguros y Administradoras Privadas de Fondos de Pensiones requiera
informacin respecto a los bienes e ingresos de los funcionarios pblicos,
o cuando requiera otra informacin pertinente para el cumplimiento de las
funciones de la Unidad de Inteligencia Financiera del Per - UIF-Per. (*)
()
(*) Inciso modicado por la Tercera Disposicin Complementaria Modicatoria del Decreto
Legislativo N 1106, publicado el 19 abril 2012.
19
20
LEY DE PROTECCIN DE DATOS
PERSONALES
Ttulo Preliminar: Disposiciones
generales.
Ttulo I: Principios rectores.
Ttulo II: Tratamiento de datos personales.
Ttulo III: Derechos del titular de datos
personales.
Ttulo IV: Obligaciones del titular y
del encargado del banco de datos
personales.
Ttulo V: Bancos de datos personales.
Ttulo VI: Autoridad Nacional de Pro-
teccin de Datos Personales.
Ttulo VII: Infracciones y sanciones
administrativas.
Disposiciones complementarias nales.
TTULO PRELIMINAR
Artculo 1. Objeto de la Ley
La presente Ley tiene el objeto de garan-
tizar el derecho fundamental a la protec-
cin de los datos personales, previsto en
el artculo 2 numeral 6 de la Constitucin
Poltica del Per, a travs de su adecua-
do tratamiento, en un marco de respeto
de los dems derechos fundamentales
que en ella se reconocen.
Artculo 2. Deniciones
Para todos los efectos de la presente
Ley, se entiende por:
1. Banco de datos personales. Con-
junto organizado de datos personales,
automatizado o no, independientemen-
te del soporte, sea este fsico, magnti-
co, digital, ptico u otros que se creen,
cualquiera fuere la forma o modalidad
Domingo, 03 de julio de 2011
CONGRESO DE LA REPUBLICA
LEY DE PROTECCIN DE DATOS
PERSONALES
LEY N 29733
EL PRESIDENTE DE LA REPBLICA POR CUANTO:
El Congreso de la Repblica ha dado la Ley siguiente:
EL CONGRESO DE LA REPBLICA;
Ha dado la Ley siguiente:
21
de su creacin, formacin, almacena-
miento, organizacin y acceso.
2. Banco de datos personales de ad-
ministracin privada. Banco de datos
personales cuya titularidad corres-
ponde a una persona natural o a una
persona jurdica de derecho privado,
en cuanto el banco no se encuentre
estrictamente vinculado al ejercicio
de potestades de derecho pblico.
3. Banco de datos personales de ad-
ministracin pblica. Banco de datos
personales cuya titularidad corres-
ponde a una entidad pblica.
4. Datos personales. Toda informa-
cin sobre una persona natural que
la identica o la hace identicable a
travs de medios que pueden ser ra-
zonablemente utilizados.
5. Datos sensibles. Datos persona-
les constituidos por los datos bio-
mtricos que por s mismos pueden
identicar al titular; datos referidos
al origen racial y tnico; ingresos
econmicos, opiniones o conviccio-
nes polticas, religiosas, loscas o
morales; aliacin sindical; e infor-
macin relacionada a la salud o a la
vida sexual.
6. Encargado del banco de datos
personales. Toda persona natural,
persona jurdica de derecho privado
o entidad pblica que sola o actuan-
do conjuntamente con otra realiza el
tratamiento de los datos personales
por encargo del titular del banco de
datos personales.
7. Entidad pblica. Entidad compren-
dida en el artculo I del Ttulo Prelimi-
nar de la Ley 27444, Ley del Procedi-
miento Administrativo General, o la
que haga sus veces.
8. Flujo transfronterizo de datos
personales. Transferencia interna-
cional de datos personales a un des-
tinatario situado en un pas distinto
al pas de origen de los datos perso-
nales, sin importar el soporte en que
estos se encuentren, los medios por
los cuales se efectu la transferencia
ni el tratamiento que reciban.
9. Fuentes accesibles para el p-
blico. Bancos de datos personales
de administracin pblica o priva-
da, que pueden ser consultados por
cualquier persona, previo abono de
la contraprestacin correspondiente,
de ser el caso. Las fuentes accesibles
para el pblico son determinadas en
el reglamento.
10. Nivel suciente de proteccin
para los datos personales. Nivel de
proteccin que abarca por lo menos la
consignacin y el respeto de los prin-
cipios rectores de esta Ley, as como
medidas tcnicas de seguridad y con-
dencialidad, apropiadas segn la ca-
tegora de datos de que se trate.
11. Persona jurdica de derecho
privado. Para efectos de esta Ley,
la persona jurdica no comprendida
en los alcances del artculo I del T-
tulo Preliminar de la Ley 27444, Ley
del Procedimiento Administrativo
General.
22
12. Procedimiento de anonimizacin.
Tratamiento de datos personales que
impide la identicacin o que no hace
identicable al titular de estos. El
procedimiento es irreversible.
13. Procedimiento de disociacin.
Tratamiento de datos personales que
impide la identicacin o que no hace
identicable al titular de estos. El
procedimiento es reversible.
14. Titular de datos personales. Per-
sona natural a quien corresponde los
datos personales.
15. Titular del banco de datos per-
sonales. Persona natural, persona
jurdica de derecho privado o entidad
pblica que determina la nalidad y
contenido del banco de datos perso-
nales, el tratamiento de estos y las
medidas de seguridad.
16. Transferencia de datos persona-
les. Toda transmisin, suministro o
manifestacin de datos personales,
de carcter nacional o internacional,
a una persona jurdica de derecho
privado, a una entidad pblica o a una
persona natural distinta del titular de
datos personales.
17. Tratamiento de datos persona-
les. Cualquier operacin o procedi-
miento tcnico, automatizado o no,
que permite la recopilacin, regis-
tro, organizacin, almacenamiento,
conservacin, elaboracin, modi-
cacin, extraccin, consulta, utiliza-
cin, bloqueo, supresin, comunica-
cin por transferencia o por difusin
o cualquier otra forma de procesa-
miento que facilite el acceso, corre-
lacin o interconexin de los datos
personales.
El reglamento de esta Ley puede rea-
lizar un mayor desarrollo de las de-
niciones existentes.
Artculo 3. mbito de aplicacin
La presente Ley es de aplicacin a los
datos personales contenidos o desti-
nados a ser contenidos en bancos de
datos personales de administracin
pblica y de administracin privada,
cuyo tratamiento se realiza en el te-
rritorio nacional. Son objeto de espe-
cial proteccin los datos sensibles.
Las disposiciones de esta Ley no son
de aplicacin a los siguientes datos
personales:
1. A los contenidos o destinados a ser
contenidos en bancos de datos perso-
nales creados por personas naturales
para nes exclusivamente relaciona-
dos con su vida privada o familiar.
2. A los contenidos o destinados a ser
contenidos en bancos de datos de ad-
ministracin pblica, solo en tanto su
tratamiento resulte necesario para el
estricto cumplimiento de las compe-
tencias asignadas por ley a las res-
pectivas entidades pblicas, para la
defensa nacional, seguridad pblica,
y para el desarrollo de actividades en
materia penal para la investigacin y
represin del delito.
23
TTULO I
PRINCIPIOS RECTORES
Artculo 4. Principio de legalidad
El tratamiento de los datos persona-
les se hace conforme a lo establecido
en la ley. Se prohbe la recopilacin de
los datos personales por medios frau-
dulentos, desleales o ilcitos.
Artculo 5. Principio de consentimiento
Para el tratamiento de los datos per-
sonales debe mediar el consenti-
miento de su titular.
Artculo 6. Principio de nalidad
Los datos personales deben ser recopi-
lados para una nalidad determinada,
explcita y lcita. El tratamiento de los
datos personales no debe extenderse
a otra nalidad que no haya sido la es-
tablecida de manera inequvoca como
tal al momento de su recopilacin, ex-
cluyendo los casos de actividades de
valor histrico, estadstico o cientco
cuando se utilice un procedimiento de
disociacin o anonimizacin.
Artculo 7. Principio de proporcionalidad
Todo tratamiento de datos personales
debe ser adecuado, relevante y no ex-
cesivo a la nalidad para la que estos
hubiesen sido recopilados.
Artculo 8. Principio de calidad
Los datos personales que vayan a ser
tratados deben ser veraces, exactos
y, en la medida de lo posible, actuali-
zados, necesarios, pertinentes y ade-
cuados respecto de la nalidad para
la que fueron recopilados. Deben con-
servarse de forma tal que se garanti-
ce su seguridad y solo por el tiempo
necesario para cumplir con la nali-
dad del tratamiento.
Artculo 9. Principio de seguridad
El titular del banco de datos persona-
les y el encargado de su tratamiento
deben adoptar las medidas tcnicas,
organizativas y legales necesarias
para garantizar la seguridad de los
datos personales. Las medidas de se-
guridad deben ser apropiadas y acor-
des con el tratamiento que se vaya a
efectuar y con la categora de datos
personales de que se trate.
Artculo 10. Principio de disposicin
de recurso
Todo titular de datos personales
debe contar con las vas administra-
tivas o jurisdiccionales necesarias
para reclamar y hacer valer sus de-
rechos, cuando estos sean vulnera-
dos por el tratamiento de sus datos
personales.
Artculo 11. Principio de nivel de pro-
teccin adecuado
Para el ujo transfronterizo de datos
personales, se debe garantizar un ni-
vel suciente de proteccin para los
datos personales que se vayan a tra-
tar o, por lo menos, equiparable a lo
previsto por esta Ley o por los estn-
dares internacionales en la materia.
24
Artculo 12. Valor de los principios
La actuacin de los titulares y encar-
gados de los bancos de datos per-
sonales y, en general, de todos los
que intervengan con relacin a datos
personales, debe ajustarse a los prin-
cipios rectores a que se reere este
Ttulo. Esta relacin de principios rec-
tores es enunciativa.
Los principios rectores sealados
sirven tambin de criterio interpreta-
tivo para resolver las cuestiones que
puedan suscitarse en la aplicacin de
esta Ley y de su reglamento, as como
de parmetro para la elaboracin de
otras disposiciones y para suplir va-
cos en la legislacin sobre la materia.
TTULO II
TRATAMIENTO DE DATOS
PERSONALES
Artculo 13. Alcances sobre el trata-
miento de datos personales
13.1 El tratamiento de datos perso-
nales debe realizarse con pleno res-
peto de los derechos fundamentales
de sus titulares y de los derechos que
esta Ley les conere. Igual regla rige
para su utilizacin por terceros.
13.2 Las limitaciones al ejercicio del
derecho fundamental a la proteccin
de datos personales solo pueden ser
establecidas por ley, respetando su
contenido esencial y estar justicadas
en razn del respeto de otros dere-
chos fundamentales o bienes consti-
tucionalmente protegidos.
13.3 Mediante reglamento se dictan
medidas especiales para el tratamien-
to de los datos personales de los nios
y de los adolescentes, as como para la
proteccin y garanta de sus derechos.
Para el ejercicio de los derechos que
esta Ley reconoce, los nios y los ado-
lescentes actan a travs de sus re-
presentantes legales, pudiendo el re-
glamento determinar las excepciones
aplicables, de ser el caso, teniendo en
cuenta para ello el inters superior del
nio y del adolescente.
13.4 Las comunicaciones, telecomu-
nicaciones, sistemas informticos o
sus instrumentos, cuando sean de
carcter privado o uso privado, solo
pueden ser abiertos, incautados, in-
terceptados o intervenidos por man-
damiento motivado del juez o con
autorizacin de su titular, con las ga-
rantas previstas en la ley. Se guarda
secreto de los asuntos ajenos al he-
cho que motiva su examen. Los datos
personales obtenidos con violacin de
este precepto carecen de efecto legal.
13.5 Los datos personales solo pue-
den ser objeto de tratamiento con
consentimiento de su titular, salvo ley
autoritativa al respecto. El consenti-
miento debe ser previo, informado,
expreso e inequvoco.
13.6 En el caso de datos sensibles,
el consentimiento para efectos de su
tratamiento, adems, debe efectuarse
25
por escrito. Aun cuando no mediara
el consentimiento del titular, el tra-
tamiento de datos sensibles puede
efectuarse cuando la ley lo autorice,
siempre que ello atienda a motivos
importantes de inters pblico.
13.7 El titular de datos personales
puede revocar su consentimiento en
cualquier momento, observando al
efecto los mismos requisitos que con
ocasin de su otorgamiento.
13.8 El tratamiento de datos persona-
les relativos a la comisin de infrac-
ciones penales o administrativas solo
puede ser efectuado por las entidades
pblicas competentes, salvo convenio
de encargo de gestin conforme a la
Ley 27444, Ley del Procedimiento Ad-
ministrativo General, o la que haga
sus veces. Cuando se haya producido
la cancelacin de los antecedentes
penales, judiciales, policiales y admi-
nistrativos, estos datos no pueden ser
suministrados salvo que sean reque-
ridos por el Poder Judicial o el Minis-
terio Pblico, conforme a ley.
13.9 La comercializacin de datos
personales contenidos o destinados
a ser contenidos en bancos de datos
personales se sujeta a los principios
previstos en la presente Ley.
Artculo 14. Limitaciones al consen-
timiento para el tratamiento de da-
tos personales
No se requiere el consentimiento del
titular de datos personales, para los
efectos de su tratamiento, en los si-
guientes casos:
1. Cuando los datos personales se re-
copilen o transeran para el ejercicio
de las funciones de las entidades pbli-
cas en el mbito de sus competencias.
2. Cuando se trate de datos persona-
les contenidos o destinados a ser con-
tenidos en fuentes accesibles para el
pblico.
les relativos a la solvencia patrimonial
y de crdito, conforme a ley.
4. Cuando medie norma para la pro-
mocin de la competencia en los mer-
cados regulados emitida en ejercicio
de la funcin normativa por los orga-
nismos reguladores a que se reere
la Ley 27332, Ley Marco de los Orga-
nismos Reguladores de la Inversin
Privada en los Servicios Pblicos, o
la que haga sus veces, siempre que
la informacin brindada no sea utili-
zada en perjuicio de la privacidad del
usuario.
5. Cuando los datos personales sean
necesarios para la ejecucin de una re-
lacin contractual en la que el titular de
datos personales sea parte, o cuando
se trate de datos personales que deri-
ven de una relacin cientca o profe-
sional del titular y sean necesarios para
su desarrollo o cumplimiento.
les relativos a la salud y sea necesa-
rio, en circunstancia de riesgo, para la
prevencin, diagnstico y tratamiento
mdico o quirrgico del titular, siempre
que dicho tratamiento sea realizado
26
en establecimientos de salud o por
profesionales en ciencias de la salud,
observando el secreto profesional;
o cuando medien razones de inters
pblico previstas por ley o cuando
deban tratarse por razones de salud
pblica, ambas razones deben ser ca-
licadas como tales por el Ministerio
de Salud; o para la realizacin de es-
tudios epidemiolgicos o anlogos, en
tanto se apliquen procedimientos de
disociacin adecuados.
7. Cuando el tratamiento sea efectua-
do por organismos sin nes de lucro
cuya nalidad sea poltica, religiosa o
sindical y se reera a los datos per-
sonales recopilados de sus respecti-
vos miembros, los que deben guardar
relacin con el propsito a que se
circunscriben sus actividades, no pu-
diendo ser transferidos sin consenti-
miento de aquellos.
8. Cuando se hubiera aplicado un pro-
cedimiento de anonimizacin o diso-
ciacin.
9. Cuando el tratamiento de los datos
personales sea necesario para salva-
guardar intereses legtimos del titular
de datos personales por parte del ti-
tular de datos personales o por el en-
cargado de datos personales.
10. Otros establecidos por ley, o por el
reglamento otorgado de conformidad
con la presente Ley.
Artculo 15. Flujo transfronterizo de
datos personales
El titular y el encargado del banco de
datos personales deben realizar el
ujo transfronterizo de datos perso-
nales solo si el pas destinatario man-
tiene niveles de proteccin adecuados
conforme a la presente Ley.
En caso de que el pas destinatario
no cuente con un nivel de proteccin
adecuado, el emisor del ujo trans-
fronterizo de datos personales debe
garantizar que el tratamiento de los
datos personales se efecte conforme
a lo dispuesto por la presente Ley.
No se aplica lo dispuesto en el segun-
do prrafo en los siguientes casos:
1. Acuerdos en el marco de tratados
internacionales sobre la materia en
los cuales la Repblica del Per sea
parte.
2. Cooperacin judicial internacional.
3. Cooperacin internacional entre
organismos de inteligencia para la lu-
cha contra el terrorismo, trco ilcito
de drogas, lavado de activos, corrup-
cin, trata de personas y otras formas
de criminalidad organizada.
4. Cuando los datos personales sean
necesarios para la ejecucin de una
relacin contractual en la que el ti-
tular de datos personales sea parte,
incluyendo lo necesario para acti-
vidades como la autenticacin de
usuario, mejora y soporte del servicio,
monitoreo de la calidad del servicio,
soporte para el mantenimiento y fac-
turacin de la cuenta y aquellas acti-
vidades que el manejo de la relacin
contractual requiera.
27
5. Cuando se trate de transferencias
bancarias o burstiles, en lo relativo a
las transacciones respectivas y con-
forme a la ley aplicable.
6. Cuando el ujo transfronterizo de
datos personales se realice para la
proteccin, prevencin, diagnstico o
tratamiento mdico o quirrgico de su
titular; o cuando sea necesario para la
realizacin de estudios epidemiolgicos
o anlogos, en tanto se apliquen proce-
dimientos de disociacin adecuados.
7. Cuando el titular de los datos perso-
nales haya dado su consentimiento pre-
vio, informado, expreso e inequvoco.
8. Otros que establezca el reglamento
de la presente Ley, con sujecin a lo
dispuesto en el artculo 12.
Artculo 16. Seguridad del trata-
miento de datos personales
Para nes del tratamiento de datos
personales, el titular del banco de da-
tos personales debe adoptar medidas
tcnicas, organizativas y legales que
garanticen su seguridad y eviten su
alteracin, prdida, tratamiento o ac-
ceso no autorizado.
Los requisitos y condiciones que de-
ben reunir los bancos de datos perso-
nales en materia de seguridad son es-
tablecidos por la Autoridad Nacional
de Proteccin de Datos Personales,
salvo la existencia de disposiciones
especiales contenidas en otras leyes.
Queda prohibido el tratamiento de
datos personales en bancos de datos
que no renan los requisitos y las con-
diciones de seguridad a que se reere
este artculo.
Artculo 17. Condencialidad de da-
tos personales
El titular del banco de datos per-
sonales, el encargado y quienes in-
tervengan en cualquier parte de su
tratamiento estn obligados a guar-
dar condencialidad respecto de los
mismos y de sus antecedentes. Esta
obligacin subsiste aun despus de -
nalizadas las relaciones con el titular
del banco de datos personales.
El obligado puede ser relevado de la
obligacin de condencialidad cuando
medie consentimiento previo, infor-
mado, expreso e inequvoco del titular
de los datos personales, resolucin
judicial consentida o ejecutoriada, o
cuando medien razones fundadas re-
lativas a la defensa nacional, seguri-
dad pblica o la sanidad pblica, sin
perjuicio del derecho a guardar el se-
creto profesional.
TTULO III
DERECHOS DEL TITULAR
DE DATOS PERSONALES
Artculo 18. Derecho de informacin
del titular de datos personales
El titular de datos personales tiene
derecho a ser informado en forma de-
tallada, sencilla, expresa, inequvoca
28
y de manera previa a su recopilacin,
sobre la nalidad para la que sus da-
tos personales sern tratados; qui-
nes son o pueden ser sus destinata-
rios, la existencia del banco de datos
en que se almacenarn, as como la
identidad y domicilio de su titular y,
de ser el caso, del encargado del tra-
tamiento de sus datos personales; el
carcter obligatorio o facultativo de
sus respuestas al cuestionario que se
le proponga, en especial en cuanto a
los datos sensibles; la transferencia
de los datos personales; las conse-
cuencias de proporcionar sus datos
personales y de su negativa a hacerlo;
el tiempo durante el cual se conser-
ven sus datos personales; y la posi-
bilidad de ejercer los derechos que la
ley le concede y los medios previstos
para ello.
Si los datos personales son recogidos
en lnea a travs de redes de comuni-
caciones electrnicas, las obligaciones
del presente artculo pueden satisfa-
cerse mediante la publicacin de pol-
ticas de privacidad, las que deben ser
fcilmente accesibles e identicables.
Artculo 19. Derecho de acceso del
titular de datos personales
derecho a obtener la informacin que
sobre s mismo sea objeto de trata-
miento en bancos de datos de admi-
nistracin pblica o privada, la forma
en que sus datos fueron recopilados,
las razones que motivaron su recopi-
lacin y a solicitud de quin se realiz
la recopilacin, as como las trans-
ferencias realizadas o que se prevn
hacer de ellos.
Artculo 20. Derecho de actualizacin,
inclusin, recticacin y supresin
derecho a la actualizacin, inclusin,
recticacin y supresin de sus datos
personales materia de tratamiento,
cuando estos sean parcial o totalmen-
te inexactos, incompletos, cuando se
hubiere advertido omisin, error o
falsedad, cuando hayan dejado de ser
necesarios o pertinentes a la nalidad
para la cual hayan sido recopilados o
cuando hubiera vencido el plazo esta-
blecido para su tratamiento.
Si sus datos personales hubieran sido
transferidos previamente, el encarga-
do del banco de datos personales debe
comunicar la actualizacin, inclusin,
recticacin o supresin a quienes se
hayan transferido, en el caso que se
mantenga el tratamiento por este lti-
mo, quien debe tambin proceder a la
actualizacin, inclusin, recticacin
o supresin, segn corresponda.
Durante el proceso de actualizacin,
inclusin, recticacin o supresin
de datos personales, el encargado
del banco de datos personales dis-
pone su bloqueo, quedando impedido
de permitir que terceros accedan a
ellos. Dicho bloqueo no es aplicable a
las entidades pblicas que requieren
de tal informacin para el adecuado
ejercicio de sus competencias, segn
ley, las que deben informar que se en-
cuentra en trmite cualquiera de los
mencionados procesos.
29
La supresin de datos personales
contenidos en bancos de datos per-
sonales de administracin pblica se
sujeta a lo dispuesto en el artculo 21
del Texto nico Ordenado de la Ley
27806, Ley de Transparencia y Acce-
so a la Informacin Pblica, o la que
haga sus veces.
Artculo 21. Derecho a impedir el su-
ministro
derecho a impedir que estos sean su-
ministrados, especialmente cuando
ello afecte sus derechos fundamenta-
les. El derecho a impedir el suminis-
tro no aplica para la relacin entre el
titular del banco de datos personales
y el encargado del banco de datos
personales para los efectos del trata-
miento de estos.
Artculo 22. Derecho de oposicin
Siempre que, por ley, no se disponga
lo contrario y cuando no hubiera pres-
tado consentimiento, el titular de da-
tos personales puede oponerse a su
tratamiento cuando existan motivos
fundados y legtimos relativos a una
concreta situacin personal. En caso
de oposicin justicada, el titular o el
encargado del banco de datos perso-
nales, segn corresponda, debe pro-
ceder a su supresin, conforme a ley.
Artculo 23. Derecho al tratamiento
objetivo
derecho a no verse sometido a una
decisin con efectos jurdicos sobre
l o que le afecte de manera signi-
cativa, sustentada nicamente en un
tratamiento de datos personales des-
tinado a evaluar determinados aspec-
tos de su personalidad o conducta,
salvo que ello ocurra en el marco de
la negociacin, celebracin o ejecu-
cin de un contrato o en los casos de
evaluacin con nes de incorporacin
a una entidad pblica, de acuerdo a
ley, sin perjuicio de la posibilidad de
defender su punto de vista, para sal-
vaguardar su legtimo inters.
Artculo 24. Derecho a la tutela
En caso de que el titular o el encarga-
do del banco de datos personales de-
niegue al titular de datos personales,
total o parcialmente, el ejercicio de
los derechos establecidos en esta Ley,
este puede recurrir ante la Autoridad
Nacional de Proteccin de Datos Per-
sonales en va de reclamacin o al Po-
der Judicial para los efectos de la co-
rrespondiente accin de hbeas data.
El procedimiento a seguir ante la Au-
toridad Nacional de Proteccin de Da-
tos Personales se sujeta a lo dispues-
to en los artculos 219 y siguientes de
la Ley 27444, Ley del Procedimiento
Administrativo General, o la que haga
sus veces.
La resolucin de la Autoridad Nacio-
nal de Proteccin de Datos Personales
agota la va administrativa y habilita la
imposicin de las sanciones adminis-
trativas previstas en el artculo 39. El
reglamento determina las instancias
correspondientes.
30
Contra las resoluciones de la Autori-
dad Nacional de Proteccin de Datos
Personales procede la accin conten-
cioso-administrativa.
Artculo 25. Derecho a ser indemnizado
El titular de datos personales que sea
afectado a consecuencia del incum-
plimiento de la presente Ley por el ti-
tular o por el encargado del banco de
datos personales o por terceros, tiene
derecho a obtener la indemnizacin
correspondiente, conforme a ley.
Artculo 26. Contraprestacin
La contraprestacin que debe abonar
el titular de datos personales por el
ejercicio de los derechos contempla-
dos en los artculos 19, 20, 21, 22 y 23
ante los bancos de datos personales
de administracin pblica se sujeta a
las disposiciones previstas en la Ley
27444, Ley del Procedimiento Admi-
nistrativo General.
Ante los bancos de datos personales
de administracin privada, el ejerci-
cio de los derechos mencionados se
sujeta a lo dispuesto por las normas
especiales sobre la materia.
Artculo 27. Limitaciones
Los titulares y encargados de los
bancos de datos personales de ad-
ministracin pblica pueden dene-
gar el ejercicio de los derechos de
acceso, supresin y oposicin por
razones fundadas en la proteccin
de derechos e intereses de terceros
o cuando ello pueda obstaculizar
actuaciones judiciales o administra-
tivas en curso vinculadas a la inves-
tigacin sobre el cumplimiento de
obligaciones tributarias o previsio-
nales, a las investigaciones penales
sobre la comisin de faltas o delitos,
al desarrollo de funciones de control
de la salud y del medio ambiente, a
la vericacin de infracciones admi-
nistrativas, o cuando as lo disponga
la ley.
TTULO IV
OBLIGACIONES
DEL TITULAR Y DEL
ENCARGADO DEL BANCO
DE DATOS PERSONALES
Artculo 28. Obligaciones
El titular y el encargado del banco de
datos personales, segn sea el caso,
tienen las siguientes obligaciones:
1. Efectuar el tratamiento de datos
personales, solo previo consentimien-
to informado, expreso e inequvoco del
titular de los datos personales, salvo
ley autoritativa, con excepcin de los
supuestos consignados en el artculo
14 de la presente Ley.
2. No recopilar datos personales por
medios fraudulentos, desleales o ilcitos.
3. Recopilar datos personales que
sean actualizados, necesarios, per-
tinentes y adecuados, con relacin a
31
nalidades determinadas, explcitas y
lcitas para las que se hayan obtenido.
4. No utilizar los datos personales
objeto de tratamiento para nalida-
des distintas de aquellas que moti-
varon su recopilacin, salvo que me-
die procedimiento de anonimizacin
o disociacin.
5. Almacenar los datos personales de
manera que se posibilite el ejercicio
de los derechos de su titular.
6. Suprimir y sustituir o, en su caso,
completar los datos personales ob-
jeto de tratamiento cuando tenga co-
nocimiento de su carcter inexacto o
incompleto, sin perjuicio de los dere-
chos del titular al respecto.
7. Suprimir los datos personales ob-
jeto de tratamiento cuando hayan de-
jado de ser necesarios o pertinentes
a la nalidad para la cual hubiesen
sido recopilados o hubiese vencido el
plazo para su tratamiento, salvo que
medie procedimiento de anonimiza-
cin o disociacin.
8. Proporcionar a la Autoridad Na-
cional de Proteccin de Datos Per-
sonales la informacin relativa al
tratamiento de datos personales que
esta le requiera y permitirle el acceso
a los bancos de datos personales que
administra, para el ejercicio de sus
funciones, en el marco de un proce-
dimiento administrativo en curso so-
licitado por la parte afectada.
9. Otras establecidas en esta Ley y en
su reglamento.
TTULO V
BANCOS DE DATOS
PERSONALES
Artculo 29. Creacin, modicacin o
cancelacin de bancos de datos per-
sonales
La creacin, modicacin o cancela-
cin de bancos de datos personales
de administracin pblica y de ad-
ministracin privada se sujetan a lo
que establezca el reglamento, salvo la
existencia de disposiciones especia-
les contenidas en otras leyes. En todo
caso, se garantiza la publicidad sobre
su existencia, nalidad, identidad y
el domicilio de su titular y, de ser el
caso, de su encargado.
Artculo 30. Prestacin de servicios
de tratamiento de datos personales
Cuando, por cuenta de terceros, se
presten servicios de tratamiento de
datos personales, estos no pueden
aplicarse o utilizarse con un n distin-
to al que gura en el contrato o con-
venio celebrado ni ser transferidos a
otras personas, ni aun para su con-
servacin.
Una vez ejecutada la prestacin mate-
ria del contrato o del convenio, segn
el caso, los datos personales trata-
dos deben ser suprimidos, salvo que
medie autorizacin expresa de aquel
por cuenta de quien se prestan tales
servicios cuando razonablemente se
presuma la posibilidad de ulteriores
32
encargos, en cuyo caso se pueden
conservar con las debidas condiciones
de seguridad, hasta por el plazo que
determine el reglamento de esta Ley.
Artculo 31. Cdigos de conducta
Las entidades representativas de los
titulares o encargados de bancos de
datos personales de administracin
privada pueden elaborar cdigos de
conducta que establezcan normas
para el tratamiento de datos persona-
les que tiendan a asegurar y mejorar
las condiciones de operacin de los
sistemas de informacin en funcin
de los principios rectores establecidos
en esta Ley.
TTULO VI
AUTORIDAD NACIONAL DE
PROTECCIN DE DATOS
PERSONALES
Artculo 32. rgano competente y r-
gimen jurdico
El Ministerio de Justicia, a travs de
la Direccin Nacional de Justicia, es la
Autoridad Nacional de Proteccin de
Datos Personales. Para el adecuado
desempeo de sus funciones, puede
crear ocinas en todo el pas.
La Autoridad Nacional de Proteccin
de Datos Personales se rige por lo
dispuesto en esta Ley, en su regla-
mento y en los artculos pertinentes
del Reglamento de Organizacin y
Funciones del Ministerio de Justicia.
Corresponde a la Autoridad Nacional
de Proteccin de Datos Personales
realizar todas las acciones necesa-
rias para el cumplimiento del objeto
y dems disposiciones de la presen-
te Ley y de su reglamento. Para tal
efecto, goza de potestad sancionado-
ra, de conformidad con la Ley 27444,
Ley del Procedimiento Administrativo
General, o la que haga sus veces, as
como de potestad coactiva, de confor-
midad con la Ley 26979, Ley de Pro-
cedimiento de Ejecucin Coactiva, o la
que haga sus veces.
de Datos Personales debe presentar
peridicamente un informe sobre sus
actividades al Ministro de Justicia.
Para el cumplimiento de sus funcio-
nes, la Autoridad Nacional de Protec-
cin de Datos Personales cuenta con
el apoyo y asesoramiento tcnico de la
Ocina Nacional de Gobierno Electr-
nico e Informtica (ONGEI) de la Pre-
sidencia del Consejo de Ministros, o la
que haga sus veces.
Artculo 33. Funciones de la Autori-
Personales
de Datos Personales ejerce las fun-
ciones administrativas, orientadoras,
normativas, resolutivas, scalizado-
ras y sancionadoras siguientes:
1. Representar al pas ante las instancias
33
internacionales en materia de protec-
cin de datos personales.
2. Cooperar con las autoridades ex-
tranjeras de proteccin de datos per-
sonales para el cumplimiento de sus
competencias y generar mecanismos
de cooperacin bilateral y multilateral
para asistirse entre s y prestarse de-
bido auxilio mutuo cuando se requiera.
3. Administrar y mantener actualizado
el Registro Nacional de Proteccin de
Datos Personales.
4. Publicitar, a travs del portal ins-
titucional, la relacin actualizada de
bancos de datos personales de admi-
nistracin pblica y privada.
5. Promover campaas de difusin y
promocin sobre la proteccin de da-
tos personales.
6. Promover y fortalecer una cultura
de proteccin de los datos personales
de los nios y de los adolescentes.
7. Coordinar la inclusin de informa-
cin sobre la importancia de la vida
privada y de la proteccin de datos
personales en los planes de estudios
de todos los niveles educativos y fo-
mentar, asimismo, la capacitacin de
los docentes en estos temas.
8. Supervisar el cumplimiento de las
exigencias previstas en esta Ley, para el
ujo transfronterizo de datos personales.
9. Emitir autorizaciones, cuando co-
rresponda, conforme al reglamento
de esta Ley.
10. Absolver consultas sobre protec-
cin de datos personales y el sentido
de las normas vigentes en la materia,
particularmente sobre las que ella
hubiera emitido.
11. Emitir opinin tcnica respecto de
los proyectos de normas que se ree-
ran total o parcialmente a los datos
personales, la que es vinculante.
12. Emitir las directivas que corres-
pondan para la mejor aplicacin de
lo previsto en esta Ley y en su regla-
mento, especialmente en materia
de seguridad de los bancos de datos
personales, as como supervisar su
cumplimiento, en coordinacin con
los sectores involucrados.
13. Promover el uso de mecanismos
de autorregulacin como instrumento
complementario de proteccin de da-
tos personales.
14. Celebrar convenios de coopera-
cin interinstitucional o internacional
con la nalidad de velar por los dere-
chos de las personas en materia de
proteccin de datos personales que
son tratados dentro y fuera del terri-
torio nacional.
15. Atender solicitudes de inters par-
ticular del administrado o general de
la colectividad, as como solicitudes
de informacin.
16. Conocer, instruir y resolver las
reclamaciones formuladas por los
titulares de datos personales por
la vulneracin de los derechos que
les conciernen y dictar las medidas
34
cautelares o correctivas que establez-
ca el reglamento.
17. Velar por el cumplimiento de la le-
gislacin vinculada con la proteccin
de datos personales y por el respeto
de sus principios rectores.
18. En el marco de un procedimiento
administrativo en curso, solicitado por
la parte afectada, obtener de los titula-
res de los bancos de datos personales
la informacin que estime necesaria
para el cumplimiento de las normas
sobre proteccin de datos personales
y el desempeo de sus funciones.
19. Supervisar la sujecin del trata-
miento de los datos personales que
efecten el titular y el encargado del
banco de datos personales a las dis-
posiciones tcnicas que ella emita y,
en caso de contravencin, disponer
las acciones que correspondan con-
forme a ley.
20. Iniciar scalizaciones de ocio o
por denuncia de parte por presuntos
actos contrarios a lo establecido en
la presente Ley y en su reglamento y
aplicar las sanciones administrativas
correspondientes, sin perjuicio de las
medidas cautelares o correctivas que
establezca el reglamento.
21. Las dems funciones que le asig-
nen esta Ley y su reglamento.
Artculo 34. Registro Nacional de
Proteccin de Datos Personales
Crase el Registro Nacional de Pro-
teccin de Datos Personales como
registro de carcter administrativo
a cargo de la Autoridad Nacional de
Proteccin de Datos Personales, con
la nalidad de inscribir en forma dife-
renciada, a nivel nacional, lo siguiente:
1. Los bancos de datos personales de ad-
ministracin pblica o privada, as como
los datos relativos a estos que sean ne-
cesarios para el ejercicio de los derechos
que corresponden a los titulares de datos
personales, conforme a lo dispuesto en
esta Ley y en su reglamento.
El ejercicio de esta funcin no posibili-
ta el conocimiento del contenido de los
bancos de datos personales por parte
de la Autoridad Nacional de Protec-
cin de Datos Personales, salvo pro-
cedimiento administrativo en curso.
2. Las autorizaciones emitidas confor-
me al reglamento de la presente Ley.
3. Las sanciones, medidas cautelares
o correctivas impuestas por la Autori-
Personales conforme a esta Ley y a su
reglamento.
4. Los cdigos de conducta de las en-
tidades representativas de los titula-
res o encargados de bancos de datos
personales de administracin privada.
5. Otros actos materia de inscripcin
conforme al reglamento.
Cualquier persona puede consultar
en el Registro Nacional de Proteccin
de Datos Personales la existencia
de bancos de datos personales, sus
nalidades, as como la identidad y
35
domicilio de sus titulares y, de ser el
caso, de sus encargados.
Artculo 35. Condencialidad
El personal de la Autoridad Nacional
est sujeto a la obligacin de guardar
condencialidad sobre los datos per-
sonales que conozca con motivo de
sus funciones. Esta obligacin sub-
siste aun despus de nalizada toda
relacin con dicha autoridad nacional,
bajo responsabilidad.
Artculo 36. Recursos de la Autori-
Personales
Son recursos de la Autoridad Nacio-
nal de Proteccin de Datos Persona-
les los siguientes:
1. Las tasas por concepto de derecho de
trmite de los procedimientos adminis-
trativos y servicios de su competencia.
2. Los montos que recaude por con-
cepto de multas.
3. Los recursos provenientes de la
cooperacin tcnica internacional no
reembolsable.
4. Los legados y donaciones que reciba.
5. Los recursos que se le transeran
conforme a ley.
Los recursos de la Autoridad Nacional
son destinados a nanciar los gastos
necesarios para el desarrollo de sus
operaciones y para su funcionamiento.
TTULO VII
INFRACCIONES Y SANCIO-
NES ADMINISTRATIVAS
Artculo 37. Procedimiento sancio-
nador
El procedimiento sancionador se ini-
cia de ocio, por la Autoridad Nacio-
nal de Proteccin de Datos Persona-
les o por denuncia de parte, ante la
presunta comisin de actos contra-
rios a lo dispuesto en la presente Ley
o en su reglamento, sin perjuicio del
procedimiento seguido en el marco
de lo dispuesto en el artculo 24.
Las resoluciones de la Autoridad Na-
cional de Proteccin de Datos Perso-
nales agotan la va administrativa.
Contra las resoluciones de la Autori-
Personales procede la accin conten-
cioso-administrativa.
Artculo 38. Infracciones
Constituye infraccin sancionable
toda accin u omisin que contraven-
ga o incumpla alguna de las disposi-
ciones contenidas en esta Ley o en su
reglamento.
Las infracciones se calican como le-
ves, graves y muy graves.
1. Son infracciones leves:
a. Dar tratamiento a datos personales
sin recabar el consentimiento de sus
36
titulares, cuando el mismo sea necesa-
rio conforme a lo dispuesto en esta Ley.
b. No atender, impedir u obstaculizar
el ejercicio de los derechos del titular
de datos personales reconocidos en el
ttulo III, cuando legalmente proceda.
c. Obstruir el ejercicio de la funcin
scalizadora de la Autoridad Nacional
de Proteccin de Datos Personales.
2. Son infracciones graves:
a. Dar tratamiento a los datos per-
sonales contraviniendo los principios
establecidos en la presente Ley o in-
cumpliendo sus dems disposiciones
o las de su Reglamento.
b. Incumplir la obligacin de conden-
cialidad establecida en el artculo 17.
c. No atender, impedir u obstaculizar,
en forma sistemtica, el ejercicio de
los derechos del titular de datos per-
sonales reconocidos en el ttulo III,
cuando legalmente proceda.
d. Obstruir, en forma sistemtica, el
ejercicio de la funcin scalizadora de
la Autoridad Nacional de Proteccin
de Datos Personales.
e. No inscribir el banco de datos per-
sonales en el Registro Nacional de
Proteccin de Datos Personales.
3. Son infracciones muy graves:
a. Dar tratamiento a los datos perso-
nales contraviniendo los principios es-
tablecidos en la presente Ley o incum-
pliendo sus dems disposiciones o las
de su Reglamento, cuando con ello se
impida o se atente contra el ejercicio
de los derechos fundamentales.
b. Crear, modicar, cancelar o man-
tener bancos de datos personales sin
cumplir con lo establecido por la pre-
sente Ley o su reglamento.
c. Suministrar documentos o infor-
macin falsa o incompleta a la Autori-
Personales.
d. No cesar en el tratamiento ilcito de
datos personales, cuando existiese un
previo requerimiento de la Autoridad
sonales para ello.
e. No inscribir el banco de datos per-
sonales en el Registro Nacional de
Proteccin de Datos Personales, no
obstante haber sido requerido para
ello por la Autoridad Nacional de Pro-
La calicacin, la graduacin del
monto de las multas, el procedimien-
to para su aplicacin y otras tipica-
ciones se efectan en el reglamento
de la presente Ley.
Artculo 39. Sanciones administrativas
En caso de violacin de las normas de
esta Ley o de su reglamento, la Auto-
ridad Nacional de Proteccin de Datos
Personales puede aplicar las siguien-
tes multas:
1. Las infracciones leves son sancio-
nadas con una multa mnima desde
37
cero coma cinco de una unidad impo-
sitiva tributaria (UIT) hasta cinco uni-
dades impositivas tributarias (UIT).
2. Las infracciones graves son sancio-
nadas con multa desde ms de cinco
unidades impositivas tributarias (UIT)
hasta cincuenta unidades impositivas
tributarias (UIT).
3. Las infracciones muy graves son
sancionadas con multa desde ms de
cincuenta unidades impositivas tribu-
tarias (UIT) hasta cien unidades impo-
sitivas tributarias (UIT).
En ningn caso, la multa impuesta
puede exceder del diez por ciento de
los ingresos brutos anuales que hu-
biera percibido el presunto infractor
durante el ejercicio anterior.
de Datos Personales determina la
infraccin cometida y el monto de la
multa imponible mediante resolu-
cin debidamente motivada. Para la
graduacin del monto de las multas,
se toman en cuenta los criterios es-
tablecidos en el artculo 230, numeral
3), de la Ley 27444, Ley del Procedi-
miento Administrativo General, o la
que haga sus veces.
La imposicin de la multa se efecta
sin perjuicio de las sanciones dis-
ciplinarias sobre el personal de las
entidades pblicas en los casos de
bancos de datos personales de ad-
ministracin pblica, as como de la
indemnizacin por daos y perjuicios
y de las sanciones penales a que hu-
biera lugar.
Artculo 40. Multas coercitivas
En aplicacin de lo dispuesto en el
artculo 199 de la Ley 27444, Ley del
Procedimiento Administrativo Gene-
ral, o la que haga sus veces, la Autori-
Personales puede imponer multas
coercitivas por un monto que no su-
pere las diez unidades impositivas
tributarias (UIT), frente al incumpli-
miento de las obligaciones accesorias
a la sancin, impuestas en el procedi-
miento sancionador. Las multas coer-
citivas se imponen una vez vencido el
plazo de cumplimiento.
La imposicin de las multas coerciti-
vas no impide el ejercicio de otro me-
dio de ejecucin forzosa, conforme a
lo dispuesto en el artculo 196 de la
Ley 27444, Ley del Procedimiento Ad-
ministrativo General.
El reglamento de la presente Ley re-
gula lo concerniente a la aplicacin de
las multas coercitivas.
DISPOSICIONES COMPLE-
MENTARIAS FINALES
PRIMERA. Reglamento de la Ley
Para la elaboracin del proyecto de
reglamento, se constituye una comi-
sin multisectorial, la que es presidi-
da por la Autoridad Nacional de Pro-
El proyecto de reglamento es elabo-
rado en un plazo mximo de cien-
to veinte das hbiles, a partir de la
38
instalacin de la comisin multisecto-
rial, lo que debe ocurrir en un plazo no
mayor de quince das hbiles, contado
a partir del da siguiente de la publica-
cin de la presente Ley.
SEGUNDA. Directiva de seguridad
de Datos Personales elabora la direc-
tiva de seguridad de la informacin
administrada por los bancos de datos
personales en un plazo no mayor de
ciento veinte das hbiles, contado a
partir del da siguiente de la publica-
cin de la presente Ley.
En tanto se apruebe y rija la referida
directiva, se mantienen vigentes las
disposiciones sectoriales sobre la
materia.
TERCERA. Adecuacin de documen-
tos de gestin y del Texto nico de
Procedimientos Administrativos del
Ministerio de Justicia
Estando a la creacin de la Autoridad
sonales, en un plazo mximo de cien-
to veinte das hbiles, contado a partir
del da siguiente de la publicacin de
la presente Ley, el Ministerio de Jus-
ticia elabora las modicaciones perti-
nentes en sus documentos de gestin
y en su Texto nico de Procedimientos
Administrativos.
CUARTA. Adecuacin normativa
Dentro del plazo de sesenta das hbi-
les, el Poder Ejecutivo remite al Con-
greso de la Repblica un proyecto de ley
que contenga las modicaciones nece-
sarias a las leyes existentes a efectos de
su adecuacin a la presente Ley.
Para las normas de rango inferior,
las entidades pblicas competentes
revisan la normativa correspondiente
y elaboran las propuestas necesarias
para su adecuacin a lo dispuesto en
esta Ley.
En ambos casos se requiere la opi-
nin tcnica favorable previa de la Au-
toridad Nacional de Proteccin de Da-
tos Personales, de conformidad con el
artculo 33 numeral 11.
QUINTA. Bancos de datos personales
preexistentes
Los bancos de datos personales crea-
dos con anterioridad a la presente Ley
y sus respectivos reglamentos deben
adecuarse a esta norma dentro del
plazo que establezca el reglamen-
to. Sin perjuicio de ello, sus titulares
deben declararlos ante la Autoridad
sonales, con sujecin a lo dispuesto
en el artculo 29.
SEXTA. Hbeas data
Las normas establecidas en el Cdigo
Procesal Constitucional sobre el pro-
ceso de hbeas data se aplican en el
mbito constitucional, independien-
temente del mbito administrativo
materia de la presente Ley. El proce-
dimiento administrativo establecido
en la presente Ley no constituye va
previa para el ejercicio del derecho
va proceso constitucional.
39
STIMA. Competencias del Instituto
Nacional de Defensa de la Compe-
tencia y de la Proteccin de la Pro-
piedad Intelectual (Indecopi)
de Datos Personales es competente
para salvaguardar los derechos de
los titulares de la informacin admi-
nistrada por las Centrales Privadas
de Informacin de Riesgos (Cepirs) o
similares conforme a los trminos es-
tablecidos en la presente Ley.
Sin perjuicio de ello, en materia de in-
fraccin a los derechos de los consu-
midores en general mediante la pres-
tacin de los servicios e informacin
brindados por las Cepirs o similares,
en el marco de las relaciones de con-
sumo, son aplicables las normas so-
bre proteccin al consumidor, siendo
el ente competente de manera exclu-
siva y excluyente para la supervisin
de su cumplimiento la Comisin de
Proteccin al Consumidor del Institu-
to Nacional de Defensa de la Compe-
tencia y de la Proteccin de la Propie-
dad Intelectual (Indecopi), la que debe
velar por la idoneidad de los bienes y
servicios en funcin de la informacin
brindada a los consumidores.
OCTAVA. Informacin sensible
Para los efectos de lo dispuesto en la
Ley 27489, Ley que Regula las Cen-
trales Privadas de Informacin de
Riesgos y de Proteccin al Titular de
la Informacin, se entiende por infor-
macin sensible la denida como dato
sensible por la presente Ley.
Igualmente, precsase que la infor-
macin condencial a que se reere
el numeral 5) del artculo 17 del Texto
nico Ordenado de la Ley 28706, Ley de
Transparencia y Acceso a la Informa-
cin Pblica, constituye dato sensible
conforme a los alcances de esta Ley.
NOVENA. Inafectacin de facultades
de la administracin tributaria
Lo dispuesto en la presente Ley no se
debe interpretar en detrimento de las
facultades de la administracin tributa-
ria respecto de la informacin que obre
y requiera para sus registros, o para el
cumplimiento de sus funciones.
DCIMA. Financiamiento
La realizacin de las acciones nece-
sarias para la aplicacin de la pre-
sente Ley se ejecuta con cargo al
presupuesto institucional del pliego
Ministerio de Justicia y de los recur-
sos a los que hace referencia el art-
culo 36, sin demandar recursos adi-
cionales al Tesoro Pblico.
DUODCIMA. Vigencia de la Ley
La presente Ley entra en vigencia
conforme a lo siguiente:
1. Las disposiciones previstas en el
Ttulo II, en el primer prrafo del ar-
tculo 32 y en las primera, segun-
da, tercera, cuarta, novena y dcima
disposiciones complementarias nales
rigen a partir del da siguiente de la pu-
blicacin de esta Ley.
2. Las dems disposiciones rigen
en el plazo de treinta das hbiles,
40
contado a partir de la publicacin del
reglamento de la presente Ley.
Comunquese al seor Presidente de
la Repblica para su promulgacin.
En Lima, a los veintin das del mes
de junio de dos mil once.
CSAR ZUMAETA FLORES
Presidente del Congreso de la Repblica
ALDA LAZO ROS DE HORNUNG
Segunda Vicepresidenta del Congreso
de la Repblica
AL SEOR PRESIDENTE CONSTITU-
CIONAL DE LA REPBLICA
POR TANTO:
Mando se publique y cumpla.
Dado en la Casa de Gobierno, en
Lima, a los dos das del mes de julio
del ao dos mil once.
ALAN GARCA PREZ
Presidente Constitucional de la Re-
pblica
ROSARIO DEL PILAR FERNNDEZ
FIGUEROA
Presidenta del Consejo de Ministros y
Ministra de Justicia
41
Que, el artculo 2 numeral 6 de la
Constitucin Poltica del Per seala
que toda persona tiene derecho a que
los servicios informticos, computari-
zados o no, pblicos o privados, no su-
ministren informaciones que afecten
la intimidad personal y familiar;
Que, la Ley N 29733, Ley de Protec-
cin de Datos Personales, tiene el
objeto de garantizar el derecho fun-
damental a la proteccin de los datos
personales, previsto en la Constitucin
Poltica del Per;
Que, el artculo 32 de la acotada Ley
N 29733, dispone que el Ministerio de
Justicia y Derechos Humanos asume
la Autoridad Nacional de Proteccin
de Datos Personales;
Que, la Primera Disposicin Comple-
mentaria Final de la Ley N 29733, dis-
puso que se constituya una Comisin
Multisectorial, presidida por la Autori-
Personales, para la elaboracin del
correspondiente Reglamento;
Que, la Comisin Multisectorial confor-
mada mediante Resolucin Suprema
N 180-2011-PCM ha elaborado el pro-
yecto de Reglamento de la Ley N 29733,
Ley de Proteccin de Datos Personales,
el que ha sido prepublicado conforme a
ley, recibindose los aportes de la ciuda-
dana y comunidad en general;
Que, en tal sentido, corresponde apro-
bar el Reglamento de la Ley N 29733,
Ley de Proteccin de Datos Personales;
De conformidad con lo establecido por
la Ley N 29733, Ley de Proteccin de
Datos Personales; la Ley N 29158, Ley
Orgnica del Poder Ejecutivo; y la Ley
N 29809, Ley de Organizacin y Fun-
ciones del Ministerio de Justicia y De-
rechos Humanos;
DECRETA:
Artculo 1.- Aprobacin
Aprubese el Reglamento de la Ley
N 29733, Ley de Proteccin de Datos
Personales, que consta de VI Ttulos,
Viernes, 22 de marzo de 2013
REGLAMENTO DE LA LEY
DE PROTECCIN DE DATOS
PERSONALES
DECRETO SUPREMO N 003-2013-JUS
EL PRESIDENTE DE LA REPBLICA
CONSIDERANDO:
42
REGLAMENTO DE LA LEY DE PROTECCIN DE DATOS PERSONALES
ciento treinta y un (131) Artculos, tres
(03) Disposiciones Complementarias
Finales y tres (03) Disposiciones Com-
plementarias Transitorias, que forma
parte integrante del presente Decreto
Supremo.
Artculo 2.- Publicacin
El presente Decreto Supremo y el
Reglamento de la Ley N 29733, Ley
aprobado por el artculo precedente,
debern ser publicados en el Portal
Institucional del Ministerio de Justicia
y Derechos Humanos (www.minjus.
gob.pe).
Artculo 3.- Vigencia
El Reglamento aprobado entrar en
vigencia en el plazo de treinta (30) das
hbiles contados a partir del da si-
guiente de la publicacin del presente
Decreto Supremo en el Diario O cial
El Peruano.
Artculo 4.- Refrendo
El presente Decreto Supremo ser re-
frendado por la Ministra de Justicia y
Derechos Humanos.
Dado en la Casa de Gobierno, en
Lima, a los veintin das del mes de
marzo del ao dos mil trece.
OLLANTA HUMALA TASSO
Presidente Constitucional de la Rep-
blica
EDA A. RIVAS FRANCHINI
Ministra de Justicia y Derechos Hu-
manos
REGLAMENTO DE LA
LEY N 29733 LEY DE
PROTECCIN DE DATOS
PERSONALES
ndice
Ttulo I Disposiciones generales.
Ttulo II Principios rectores.
Ttulo III Tratamiento de datos personales.
Captulo I Consentimiento.
Captulo II Limitaciones al consentimiento.
Captulo III Transferencia de datos
personales.
Captulo IV Tratamientos especiales
de datos personales.
Captulo V Medidas de seguridad.
Ttulo IV Derechos del titular de datos
personales.
Captulo I Disposiciones generales.
Captulo II Disposiciones especiales.
Captulo III Procedimiento de tutela.
Ttulo V Registro Nacional de Protec-
cin de Datos Personales.
Captulo I Disposiciones generales.
Captulo II Procedimiento de inscripcin.
Captulo III Procedimiento de inscrip-
cin de los cdigos de conducta.
43
Ttulo VI Infracciones y sanciones.
Captulo I Procedimiento scalizador.
Captulo II Procedimiento sancionador.
Captulo III Sanciones.
Disposiciones Complementarias Fi-
nales y Transitorias
TTULO I
DISPOSICIONES
GENERALES
Artculo 1.- Objeto.
El presente reglamento tiene por ob-
jeto desarrollar la Ley N 29733, Ley
en adelante la Ley, a n de garantizar
el derecho fundamental a la protec-
cin de datos personales, regulando
un adecuado tratamiento, tanto por
las entidades pblicas, como por las
instituciones pertenecientes al sec-
tor privado. Sus disposiciones cons-
tituyen normas de orden pblico y de
cumplimiento obligatorio.
Artculo 2.- Deniciones.
Para los efectos de la aplicacin del
presente reglamento, sin perjuicio de
las deniciones contenidas en la Ley,
complementariamente, se entiende
las siguientes deniciones:
1. Banco de datos personales no
automatizado: Conjunto de datos de
personas naturales no computarizado
y estructurado conforme a criterios
especcos, que permita acceder sin
esfuerzos desproporcionados a los
datos personales, ya sea aquel cen-
tralizado, descentralizado o repartido
de forma funcional o geogrca.
2. Bloqueo: Es la medida por la que el
nales impide el acceso de terceros a
los datos y stos no pueden ser objeto
de tratamiento, durante el periodo en
que se est procesando alguna solici-
tud de actualizacin, inclusin, recti
cacin o supresin, en concordancia
con lo que dispone el tercer prrafo
del artculo 20 de la Ley.
Se dispone tambin como paso pre-
vio a la cancelacin por el tiempo
necesario para determinar posibles
responsabilidades en relacin a los
tratamientos, durante el plazo de
prescripcin legal o previsto contrac-
tualmente.
3. Cancelacin: Es la accin o me-
dida que en la Ley se describe como
supresin, cuando se re ere a datos
personales, que consiste en eliminar
o suprimir los datos personales de un
banco de datos.
4. Datos personales: Es aquella infor-
macin numrica, alfabtica, grca,
fotogrca, acstica, sobre hbitos
personales, o de cualquier otro tipo
concerniente a las personas natura-
les que las identica o las hace iden-
ticables a travs de medios que pue-
dan ser razonablemente utilizados.
44
5. Datos personales relacionados con
la salud: Es aquella informacin con-
cerniente a la salud pasada, presente
o pronosticada, fsica o mental, de una
persona, incluyendo el grado de disca-
pacidad y su informacin gentica.
6. Datos sensibles: Es aquella infor-
macin relativa a datos personales
referidos a las caractersticas fsicas,
morales o emocionales, hechos o
circunstancias de su vida afectiva o
familiar, los hbitos personales que
corresponden a la esfera ms ntima,
la informacin relativa a la salud fsica
o mental u otras anlogas que afecten
su intimidad.
7. Das: Das hbiles.
8. Direccin General de Proteccin
de Datos Personales: Es el rgano
encargado de ejercer la Autoridad
sonales a que se reere el artculo 32
de la Ley, pudiendo usarse indistinta-
mente cualquiera de dichas denomi-
naciones.
9. Emisor o exportador de datos per-
sonales: Es el titular del banco de
datos personales o aqul que resulte
responsable del tratamiento situado
en el Per que realice, conforme a lo
dispuesto en el presente reglamento,
una transferencia de datos persona-
les a otro pas.
10. Encargado del tratamiento: Es
quien realiza el tratamiento de los
datos personales, pudiendo ser el
propio titular del banco de datos per-
sonales o el encargado del banco de
datos personales u otra persona por
encargo del titular del banco de datos
personales en virtud de una relacin
jurdica que le vincula con el mismo
y delimita el mbito de su actuacin.
Incluye a quien realice el tratamien-
to de datos personales por orden del
responsable del tratamiento cuando
este se realice sin la existencia de un
banco de datos personales.
11. Receptor o importador de datos
personales: Es toda persona natural
o jurdica de derecho privado, inclu-
yendo las sucursales, liales, vincula-
das o similares; o entidades pblicas,
que recibe los datos en caso de trans-
ferencia internacional, ya sea como
titular o encargado del banco de datos
personales, o como tercero.
12. Recticacin: Es aquella accin
genrica destinada a afectar o modi-
car un banco de datos personales ya
sea para actualizarlo incluir informa-
cin en l o especcamente recticar
su contenido con datos exactos.
13. Repertorio de jurisprudencia: Es
el banco de resoluciones judiciales
o administrativas que se organizan
como fuente de consulta y destinadas
al conocimiento pblico.
14. Responsable del tratamiento: Es
aqul que decide sobre el tratamiento
de datos personales, aun cuando no
se encuentren en un banco de datos
personales.
45
15. Tercero: Es toda persona natural,
persona jurdica de derecho privado
o entidad pblica, distinta del titu-
lar de datos personales, del titular
o encargado del banco de datos per-
sonales y del responsable del trata-
miento, incluyendo a quienes tratan
los datos bajo autoridad directa de
aquellos.
La referencia a tercero que hace el
artculo 30 de la Ley constituye una
excepcin al signicado previsto en
este numeral.
Artculo 3.- mbito de aplicacin.
El presente reglamento es de apli-
cacin al tratamiento de los datos
personales contenidos en un banco
de datos personales o destinados a
ser contenidos en bancos de datos
personales.
Conforme a lo dispuesto por el nume-
ral 6 del artculo 2 de la Constitucin
Poltica del Per y el artculo 3 de la
Ley, el presente reglamento se apli-
car a toda modalidad de tratamiento
de datos personales, ya sea efectua-
do por personas naturales, entidades
pblicas o instituciones del sector
privado e independientemente del
soporte en el que se encuentren.
La existencia de normas o regmenes
particulares o especiales, aun cuan-
do incluyan regulaciones sobre datos
personales, no excluye a las entida-
des pblicas o instituciones privadas
a las que dichos regmenes se apli-
can del mbito de aplicacin de la Ley
y del presente reglamento.
Lo dispuesto en el prrafo precedente
no implica la derogatoria o inaplica-
cin de las normas particulares, en
tanto su aplicacin no genere la afec-
tacin del derecho a la proteccin de
datos personales.
Artculo 4.- Excepciones al mbito de
aplicacin.
Las disposiciones de este reglamento
no sern de aplicacin a:
1. El tratamiento de datos personales
realizado por personas naturales para
nes exclusivamente domsticos,
personales o relacionados con su vida
privada o familiar.
2. Los contenidos o destinados a
ser contenidos en bancos de datos
personales de la administracin p-
blica, solo en tanto su tratamiento
resulte necesario para el estric-
to cumplimiento de competencias
asignadas por ley a las respectivas
entidades pblicas siempre que
tengan por objeto:
2.1 La defensa nacional.
2.2 La seguridad pblica y,
2.3 El desarrollo de actividades en
materia penal para la investigacin y
represin del delito.
Artculo 5.- mbito de aplicacin te-
rritorial.
Las disposiciones de la Ley y del pre-
sente reglamento son de aplicacin
al tratamiento de datos personales
cuando:
46
1. Sea efectuado en un establecimien-
to ubicado en territorio peruano co-
rrespondiente al titular del banco de
datos personales o de quien resulte
responsable del tratamiento.
2. Sea efectuado por un encargado
del tratamiento, con independencia
de su ubicacin, a nombre de un ti-
tular de banco de datos personales
establecido en territorio peruano o
de quien sea el responsable del tra-
tamiento.
3. El titular del banco de datos per-
sonales o quien resulte responsable
del tratamiento no est establecido
en territorio peruano, pero le resulte
aplicable la legislacin peruana, por
disposicin contractual o del derecho
internacional; y
4. El titular del banco de datos per-
sonales o quien resulte responsable
no est establecido en territorio pe-
ruano, pero utilice medios situados
en dicho territorio, salvo que tales
medios se utilicen nicamente con
nes de trnsito que no impliquen un
tratamiento.
Para estos efectos, el responsable
deber proveer los medios que re-
sulten necesarios para el efectivo
cumplimiento de las obligaciones
que imponen la Ley y el presente
reglamento y designar un repre-
sentante o implementar los meca-
nismos sucientes para estar en
posibilidades de cumplir de manera
efectiva, en territorio peruano, con
las obligaciones que impone la le-
gislacin peruana.
Cuando el titular del banco de da-
tos personales o quien resulte el
responsable del tratamiento no se
encuentre establecido en territo-
rio peruano, pero el encargado del
tratamiento lo est, a este ltimo
le sern aplicables las disposicio-
nes relativas a las medidas de se-
guridad contenidas en el presente
reglamento.
En el caso de personas naturales,
el establecimiento se entende-
r como el local en donde se en-
cuentre el principal asiento de sus
negocios, o el que utilicen para el
desempeo de sus actividades o su
domicilio.
Tratndose de personas jurdicas, se
entender como el establecimien-
to el local en el que se encuentre la
administracin principal del nego-
cio. Si se trata de personas jurdi-
cas residentes en el extranjero, se
entender que es el local en el que
se encuentre la administracin prin-
cipal del negocio en territorio perua-
no, o en su defecto el que designen,
o cualquier instalacin estable que
permita el ejercicio efectivo o real de
una actividad.
Si no fuera posible establecer la
direccin del domicilio o del esta-
blecimiento, se le considerar con
domicilio desconocido en territorio
peruano.
47
TTULO II
PRINCIPIOS RECTORES
Artculo 6.- Principios rectores.
El titular del banco de datos perso-
nales, o en su caso, quien resulte
responsable del tratamiento, debe
cumplir con los principios rectores de
la proteccin de datos personales, de
conformidad con lo establecido en la
Ley, aplicando los criterios de desa-
rrollo que se establecen en el presen-
te ttulo del reglamento.
Artculo 7.- Principio de consenti-
miento.
En atencin al principio de consen-
timiento, el tratamiento de los datos
personales es lcito cuando el titular
del dato personal hubiere prestado
su consentimiento libre, previo, ex-
preso, informado e inequvoco. No se
admiten frmulas de consentimiento
en las que ste no sea expresado de
forma directa, como aquellas en las
que se requiere presumir, o asumir
la existencia de una voluntad que no
ha sido expresa. Incluso el consen-
timiento prestado con otras declara-
ciones, deber manifestarse en for-
ma expresa y clara.
Artculo 8.- Principio de nalidad.
En atencin al principio de nalidad
se considera que una nalidad est
determinada cuando haya sido expre-
sada con claridad, sin lugar a confu-
sin y cuando de manera objetiva se
especi ca el objeto que tendr el tra-
tamiento de los datos personales.
Tratndose de banco de datos perso-
nales que contengan datos sensibles,
su creacin solo puede justicarse si
su nalidad adems de ser legtima,
es concreta y acorde con las activi-
dades o nes explcitos del titular del
banco de datos personales.
Los profesionales que realicen el
tratamiento de algn dato personal,
adems de estar limitados por la -
nalidad de sus servicios, se encuen-
tran obligados a guardar secreto
profesional.
Artculo 9.- Principio de calidad.
En atencin al principio de calidad,
los datos contenidos en un banco de
datos personales, deben ajustarse
con precisin a la realidad. Se pre-
sume que los datos directamente fa-
cilitados por el titular de los mismos
son exactos.
Artculo 10.- Principio de seguridad.
En atencin al principio de seguridad,
en el tratamiento de los datos perso-
nales deben adoptarse las medidas
de seguridad que resulten necesarias
a n de evitar cualquier tratamiento
contrario a la Ley o al presente re-
glamento, incluyndose en ellos a la
adulteracin, la prdida, las desvia-
ciones de informacin, intencionales
o no, ya sea que los riesgos proven-
gan de la accin humana o del medio
tcnico utilizado.
48
TTULO III
TRATAMIENTO DE DATOS
PERSONALES
CAPTULO I
Consentimiento
Artculo 11.- Disposiciones genera-
les sobre el consentimiento para el
tratamiento de datos personales.
El titular del banco de datos persona-
les o quien resulte como responsable
del tratamiento, deber obtener el
consentimiento para el tratamiento
de los datos personales, de conformi-
dad con lo establecido en la Ley y en
el presente reglamento, salvo los su-
puestos establecidos en el artculo 14
de la Ley, en cuyo numeral 1) queda
comprendido el tratamiento de datos
personales que resulte imprescindi-
ble para ejecutar la interoperabilidad
entre las entidades pblicas.
La solicitud del consentimiento deber
estar referida a un tratamiento o serie
de tratamientos determinados, con
expresa identicacin de la nalidad o
nalidades para las que se recaban los
datos; as como las dems condiciones
que concurran en el tratamiento o tra-
tamientos, sin perjuicio de lo dispuesto
en el artculo siguiente sobre las carac-
tersticas del consentimiento.
Cuando se solicite el consentimiento
para una forma de tratamiento que in-
cluya o pueda incluir la transferencia
nacional o internacional de los datos,
el titular de los mismos deber ser in-
formado de forma que conozca inequ-
vocamente tal circunstancia, adems
de la nalidad a la que se destinarn
sus datos y el tipo de actividad desa-
rrollada por quien recibir los mismos.
Artculo 12.- Caractersticas del con-
sentimiento.
Adems de lo dispuesto en el artculo
18 de la Ley y en el artculo preceden-
te del presente reglamento, la obten-
cin del consentimiento debe ser:
1. Libre: Sin que medie error, mala fe,
violencia o dolo que puedan afectar la
manifestacin de voluntad del titular
de los datos personales.
La entrega de obsequios o el otorga-
miento de benecios al titular de los
datos personales con ocasin de su
consentimiento no afectan la condicin
de libertad que tiene para otorgarlo,
salvo en el caso de menores de edad,
en los supuestos en que se admite su
consentimiento, en que no se conside-
rar libre el consentimiento otorgado
mediando obsequios o benecios.
El condicionamiento de la presta-
cin de un servicio, o la advertencia o
amenaza de denegar el acceso a be-
necios o servicios que normalmente
son de acceso no restringido, s afecta
la libertad de quien otorga consenti-
miento para el tratamiento de sus da-
tos personales, si los datos solicitados
no son indispensables para la presta-
cin de los benecios o servicios.
49
2. Previo: Con anterioridad a la reco-
pilacin de los datos o en su caso, an-
terior al tratamiento distinto a aquel
por el cual ya se recopilaron.
3. Expreso e Inequvoco: Cuando el
consentimiento haya sido manifes-
tado en condiciones que no admitan
dudas de su otorgamiento.
Se considera que el consentimiento
expreso se otorg verbalmente cuan-
do el titular lo exterioriza oralmente
de manera presencial o mediante el
uso de cualquier tecnologa que per-
mita la interlocucin oral.
Se considera consentimiento escrito
a aqul que otorga el titular mediante
un documento con su rma autgrafa,
huella dactilar o cualquier otro meca-
nismo autorizado por el ordenamiento
jurdico que queda o pueda ser impre-
so en una supercie de papel o similar.
La condicin de expreso no se limita a
la manifestacin verbal o escrita.
En sentido restrictivo y siempre de
acuerdo con lo dispuesto por el ar-
tculo 7 del presente reglamento, se
considerar consentimiento expreso
a aquel que se manieste mediante la
conducta del titular que evidencie que
ha consentido inequvocamente, dado
que de lo contrario su conducta, nece-
sariamente, hubiera sido otra.
Tratndose del entorno digital, tam-
bin se considera expresa la mani-
festacin consistente en hacer clic,
cliquear o pinchar, dar un toque,
touch o pad u otros similares.
En este contexto el consentimien-
to escrito podr otorgarse mediante
rma electrnica, mediante escri-
tura que quede grabada, de forma
tal que pueda ser leda e impresa, o
que por cualquier otro mecanismo o
procedimiento establecido permita
identi car al titular y recabar su con-
sentimiento, a travs de texto escrito.
Tambin podr otorgarse mediante
texto preestablecido, fcilmente visi-
ble, legible y en lenguaje sencillo, que
el titular pueda hacer suyo, o no, me-
diante una respuesta escrita, grca
o mediante clic o pinchado.
La sola conducta de expresar voluntad
en cualquiera de las formas reguladas
en el presente numeral no elimina, ni
da por cumplidos, los otros requisitos
del consentimiento referidos a la li-
bertad, oportunidad e informacin.
4. Informado: Cuando al titular de
los datos personales se le comunique
clara, expresa e indubitablemente,
con lenguaje sencillo, cuando menos
de lo siguiente:
a. La identidad y domicilio o direccin
del titular del banco de datos per-
sonales o del responsable del trata-
miento al que puede dirigirse para
revocar el consentimiento o ejercer
sus derechos.
b. La nalidad o nalidades del tra-
tamiento a las que sus datos sern
sometidos.
c. La identidad de los que son o pue-
den ser sus destinatarios, de ser el
caso.
50
d. La existencia del banco de datos
personales en que se almacenarn,
cuando corresponda.
e. El carcter obligatorio o facultativo
de sus respuestas al cuestionario que
se le proponga, cuando sea el caso.
f. Las consecuencias de proporcionar
sus datos personales y de su negativa
a hacerlo.
g. En su caso, la transferencia nacional e
internacional de datos que se efecten.
Artculo 13.- Polticas de privacidad.
La publicacin de polticas de priva-
cidad, de acuerdo a lo previsto en el
segundo prrafo del artculo 18 de la
Ley, debe entenderse como una for-
ma de cumplimiento del deber de in-
formacin que no exonera del requi-
sito de obtener el consentimiento del
titular de los datos personales.
Artculo 14.- Consentimiento y datos
sensibles.
Tratndose de datos sensibles, el con-
sentimiento debe ser otorgado por es-
crito, a travs de su rma manuscrita,
rma digital o cualquier otro mecanis-
mo de autenticacin que garantice la
voluntad inequvoca del titular.
Artculo 15.- Consentimiento y carga
de la prueba.
Para efectos de demostrar la obtencin
del consentimiento en los trminos
establecidos en la Ley y en el presente
reglamento, la carga de la prueba re-
caer en todos los casos en el titular
del banco de datos personales o quien
resulte el responsable del tratamiento.
Artculo 16.- Negacin, revocacin y
alcances del consentimiento.
El titular de los datos personales po-
dr revocar su consentimiento para el
tratamiento de sus datos personales
en cualquier momento, sin justica-
cin previa y sin que le atribuyan efec-
tos retroactivos. Para la revocacin
del consentimiento se cumplirn los
mismos requisitos observados con
ocasin de su otorgamiento, pudiendo
ser estos ms simples, si as se hu-
biera sealado en tal oportunidad.
dr negar o revocar su consentimiento
al tratamiento de sus datos personales
para nalidades adicionales a aque-
llas que dan lugar a su tratamiento
autorizado, sin que ello afecte la re-
lacin que da lugar al consentimiento
que s ha otorgado o no ha revocado.
En caso de revocatoria, es obligacin
de quien efecta el tratamiento de los
datos personales adecuar los nuevos
tratamientos a la revocatoria y los tra-
tamientos que estuvieran en proceso
de efectuarse, en el plazo que resulte
de una actuacin diligente, que no po-
dr ser mayor a cinco (5) das.
Si la revocatoria afecta la totalidad del
tratamiento de datos personales que
se vena haciendo, el titular o encarga-
do del banco de datos personales, o en
su caso el responsable del tratamien-
to, aplicar las reglas de cancelacin o
supresin de datos personales.
51
nales o quien resulte responsable del
tratamiento debe establecer meca-
nismos fcilmente accesibles e incon-
dicionales, sencillos, rpidos y gratui-
tos para hacer efectiva la revocacin.
CAPTULO II
Limitaciones al consentimiento
Artculo 17.- Fuentes accesibles al
pblico.
Para los efectos del artculo 2, inciso
9) de la Ley, se considerarn fuentes
accesibles al pblico, con indepen-
dencia de que el acceso requiera con-
traprestacin, las siguientes:
1. Los medios de comunicacin elec-
trnica, ptica y de otra tecnologa,
siempre que el lugar en el que se en-
cuentren los datos personales est
concebido para facilitar informacin
al pblico y est abierto a la consulta
general.
2. Las guas telefnicas, independien-
temente del soporte en el que estn
a disposicin y en los trminos de su
regulacin especca.
3. Los diarios y revistas independien-
temente del soporte en el que estn
a disposicin y en los trminos de su
regulacin especca.
4. Los medios de comunicacin social.
5. Las listas de personas pertenecien-
tes a grupos profesionales que con-
tengan nicamente los datos de nom-
bre, ttulo, profesin, actividad, grado
acadmico, direccin postal, nmero
telefnico, nmero de fax, direccin
de correo electrnico y aquellos que
establezcan su pertenencia al grupo.
En el caso de colegios profesionales,
podrn indicarse adems los siguien-
tes datos de sus miembros: nmero
de colegiatura, fecha de incorporacin
y situacin gremial en relacin al ejer-
cicio profesional.
6. Los repertorios de jurisprudencia,
debidamente anonimizados.
7. Los Registros Pblicos administrados
por la Superintendencia Nacional de
Registros Pblicos - SUNARP, as como
todo otro registro o banco de datos cali-
cado como pblico conforme a ley.
8. Las entidades de la Administracin
Pblica, en relacin a la informacin
que deba ser entregada en aplicacin
de la Ley N 27806, Ley de Transparen-
cia y Acceso a la Informacin Pblica.
Lo dispuesto en el numeral precedente
no quiere decir que todo dato personal
contenido en informacin administrada
por las entidades sujetas a la Ley de
Transparencia y Acceso a la Informa-
cin Pblica sea considerado informa-
cin pblica accesible. La evaluacin
del acceso a datos personales en po-
sesin de entidades de administracin
pblica se har atendiendo a las cir-
cunstancias de cada caso concreto.
El tratamiento de los datos persona-
les obtenidos a travs de fuentes de
acceso pblico deber respetar los
52
principios establecidos en la Ley y en
el presente reglamento.
CAPTULO III
Transferencia de datos personales
Artculo 18.- Disposiciones generales.
La transferencia de datos personales
implica la comunicacin de datos per-
sonales dentro o fuera del territorio
nacional realizada a persona distinta
al titular de los datos personales, al
nales o al encargado del tratamiento
Se denomina ujo transfronterizo de
datos personales a la transferencia de
datos personales fuera del territorio-
nacional.
Aqul a quien se transeran los datos
personales se obliga, por el solo he-
cho de la transferencia, a la observan-
cia de las disposiciones de la Ley y del
presente reglamento.
Artculo 19.- Condiciones para la
transferencia.
Toda transferencia de datos persona-
les requiere el consentimiento de su
titular, salvo las excepciones previstas
en el artculo 14 de la Ley y debe li-
mitarse a la nalidad que la justique.
Artculo 20.- Prueba del cumpli-
miento de las obligaciones en mate-
ria de transferencias.
Para efectos de demostrar que la
transferencia se realiz conforme a
lo que establece la Ley y el presente
reglamento, la carga de la prueba re-
caer, en todos los casos, en el emi-
sor de datos.
Artculo 21.- Transferencia dentro
de un sector o grupo empresarial y
cdigo de conducta.
En el caso de transferencias de da-
tos personales dentro de grupos em-
presariales, sociedades subsidiarias
aliadas o vinculadas bajo el control
comn del mismo grupo del titular
del banco de datos personales o res-
ponsable del tratamiento, o a aquellas
aliadas o vinculadas a una sociedad
matriz o a cualquier sociedad del mis-
mo grupo del titular del banco de da-
tos o responsable del tratamiento, se
cumple con garantizar el tratamiento
de datos personales, si se cuenta con
un cdigo de conducta que establez-
ca las normas internas de proteccin
de datos personales con el contenido
previsto por el artculo 31 de la Ley, e
inscrito segn lo previsto por los art-
culos 89 a 97 del presente reglamento.
Artculo 22.- Receptor de los datos
personales.
El receptor de los datos personales
asume la condicin de titular del banco
de datos personales o responsable del
tratamiento en lo que se reere la Ley
y el presente reglamento, y deber rea-
lizar el tratamiento de los datos perso-
nales cumpliendo lo establecido en la
informacin que el emisor dio de ma-
nera previa al consentimiento recabado
del titular de los datos personales.
53
Artculo 23.- Formalizacin de las
transferencias nacionales.
La transferencia deber formalizarse
mediante mecanismos que permitan
demostrar que el titular del banco de
datos personales o el responsable del
tratamiento comunic al responsable
receptor las condiciones en las que el
titular de los datos personales con-
sinti el tratamiento de los mismos.
Artculo 24.- Flujo transfronterizo de
datos personales.
Los ujos transfronterizos de datos
personales sern posibles cuando el
receptor o importador de los datos
personales asuma las mismas obli-
gaciones que corresponden al titular
ponsable del tratamiento que como
emisor o exportador transri los da-
tos personales.
De conformidad con el artculo 15 de
la Ley, adems de los supuestos pre-
vistos en el primer y tercer prrafo
de dicho artculo, lo dispuesto en el
segundo prrafo del mismo tampoco
aplica cuando se traten de datos per-
sonales que deriven de una relacin
cientca o profesional del titular y
sean necesarios para su desarrollo o
cumplimiento.
Artculo 25.- Formalizacin del ujo
transfronterizo de datos personales.
Para los efectos del artculo prece-
dente, el emisor o exportador podr
valerse de clusulas contractuales u
otros instrumentos jurdicos en los
que se establezcan cuando menos
las mismas obligaciones a las que se
encuentra sujeto, as como las condi-
ciones en las que el titular consinti el
tratamiento de sus datos personales.
Artculo 26.- Participacin de la Di-
reccin General de Proteccin de
Datos Personales respecto del ujo
transfronterizo de datos personales.
Los titulares del banco de datos per-
sonales o responsables del trata-
miento, podrn solicitar la opinin de
la Direccin General de Proteccin de
Datos Personales respecto a si el u-
jo transfronterizo de datos persona-
les que realiza o realizar cumple con
lo dispuesto por la Ley y el presente
reglamento.
En cualquier caso, el ujo transfron-
terizo de datos personales se pondr
en conocimiento de la Direccin Ge-
neral de Proteccin de Datos Per-
sonales, incluyendo la informacin
que se requiere para la transferencia
de datos personales y el registro de
banco de datos.
CAPTULO IV
Tratamientos especiales de datos
personales
Artculo 27.- Tratamiento de los da-
tos personales de menores.
Para el tratamiento de los datos per-
sonales de un menor de edad, se re-
querir el consentimiento de los titu-
lares de la patria potestad o tutores,
segn corresponda.
54
Artculo 28.- Consentimiento excep-
cional.
Podr hacerse tratamiento de los datos
personales de mayores de catorce y me-
nores de dieciocho aos con su consen-
timiento, siempre que la informacin
proporcionada haya sido expresada en
un lenguaje comprensible por ellos, sal-
vo en los casos que la ley exija para su
otorgamiento la asistencia de los titula-
res de la patria potestad o tutela.
En ningn caso el consentimiento para
el tratamiento de datos personales
de menores de edad podr otorgarse
para que accedan a actividades, vincu-
ladas con bienes o servicios que estn
restringidos para mayores de edad.
Artculo 29.- Prohibicin de recopi-
lacin.
En ningn caso se podr recabar de
un menor de edad datos que permitan
obtener informacin sobre los dems
miembros de su grupo familiar, como
son los datos relativos a la actividad
profesional de sus progenitores, in-
formacin econmica, datos sociol-
gicos o cualquier otro, sin el consenti-
miento de los titulares de tales datos.
Slo podr recabarse los datos de
identidad y direccin de los padres o
de los tutores con la nalidad de obte-
ner el consentimiento a que se reere
el artculo 27 del presente reglamento.
Artculo 30.- Fomento de la proteccin.
Es obligacin de todos los titulares de
bancos de datos personales y especial-
mente de las entidades pblicas cola-
borar con el fomento del conocimiento
del derecho a la proteccin de datos
personales de los nios, nias y ado-
lescentes, as como de la necesidad de
que su tratamiento se realice con espe-
cial responsabilidad y seguridad.
Artculo 31.- Tratamiento de datos
personales en el sector comunica-
ciones y telecomunicaciones.
Los operadores de los servicios de co-
municaciones o telecomunicaciones
tienen la responsabilidad de velar por
la condencialidad, seguridad, uso
adecuado e integridad de los datos
personales que obtengan de sus abo-
nados y usuarios, en el curso de sus
operaciones comerciales.
En tal sentido, no podrn realizar un
tratamiento de los citados datos per-
sonales para nalidades distintas a las
autorizadas por su titular, salvo orden
judicial o mandato legal expreso.
Artculo 32.- Condencialidad y se-
guridad.
Los operadores de comunicaciones
o telecomunicaciones debern velar
por la con dencialidad, seguridad y
uso adecuado de cualquier dato per-
sonal obtenido como consecuencia de
su actividad y adoptarn las medidas
tcnicas, legales y organizativas, con-
forme a lo establecido en la Ley y el
presente reglamento, sin perjuicio de
las medidas establecidas en las nor-
mas del sector de comunicaciones y
telecomunicaciones que no se opon-
gan a lo establecido en la Ley y el pre-
sente reglamento.
55
Artculo 33.- Tratamiento de los da-
tos personales por medios tecnol-
gicos tercerizados.
El tratamiento de datos personales
por medios tecnolgicos tercerizados,
entre los que se encuentran servicios,
aplicaciones, infraestructura, entre
otros, est referido a aquellos, en los
que el procesamiento es automtico,
sin intervencin humana.
Para los casos en los que en el trata-
miento exista intervencin humana se
aplican los artculos 37 y 38.
El tratamiento de datos personales por
medios tecnolgicos tercerizados, sea
completo o parcial, podr ser contrata-
do por el responsable del tratamiento
de datos personales siempre y cuando
para la ejecucin de aquel se garantice
el cumplimiento de lo establecido en la
Ley y el presente reglamento.
Artculo 34.- Criterios a considerar para
el tratamiento de datos personales por
medios tecnolgicos tercerizados.
Al realizar el tratamiento de los datos
personales por medios tecnolgicos
tercerizados se deber considerar
como prestaciones mnimas las si-
guientes:
1. Informar con transparencia las sub-
contrataciones que involucren la infor-
macin sobre la que presta el servicio.
2. No incluir condiciones que autori-
cen o permitan al prestador asumir la
titularidad sobre los bancos de datos
personales tratados en la tercerizacin.
3. Garantizar la condencialidad res-
pecto de los datos personales sobre
los que preste el servicio.
4. Mantener el control, las decisiones
y la responsabilidad sobre el proceso
mediante el cual se realiza el trata-
miento de los datos personales.
5. Garantizar la destruccin o la im-
posibilidad de acceder a los datos
personales despus de concluida la
prestacin.
Artculo 35.- Mecanismos para la
prestacin del servicio de tratamien-
to de datos personales por medios
tecnolgicos tercerizados.
El prestador del servicio deber con-
tar con los siguientes mecanismos:
1. Dar a conocer los cambios en sus
polticas de privacidad o en las con-
diciones del servicio que presta al
responsable del tratamiento, para ob-
tener el consentimiento si ello signi-
cara incrementar sus facultades de
tratamiento.
2. Permitir al responsable del trata-
miento limitar el tipo de tratamiento
de los datos personales sobre los que
presta el servicio.
3. Establecer y mantener medidas de
seguridad adecuadas para la protec-
cin de los datos personales sobre los
que presta el servicio.
4. Garantizar la supresin de los datos
personales una vez que haya conclui-
do el servicio prestado al responsable
56
y que este ltimo los haya podido re-
cuperar.
5. Impedir el acceso a los datos per-
sonales a quienes no cuenten con pri-
vilegios de acceso, o bien en caso sea
solicitada por la autoridad competente
informar de ese hecho al responsable.
Artculo 36.- Prestacin de servicios
o tratamiento por encargo.
Para efectos de la Ley, la entrega de da-
tos personales del titular del banco de
datos personales al encargado no cons-
tituye transferencia de datos personales.
El encargado del banco de datos per-
sonales se encuentra prohibido de
transferir a terceros los datos perso-
nales objeto de la prestacin de ser-
vicios de tratamiento, a menos que el
que le encarg el tratamiento lo haya
autorizado y el titular del dato perso-
nal haya brindado su consentimiento,
en los supuestos que dicho consenti-
miento sea requerido conforme a Ley.
El plazo para la conservacin de los da-
tos ser de dos (2) aos contado desde la
nalizacin del ltimo encargo realizado.
Lo dispuesto en el presente artculo
ser aplicable, en lo que correspon-
da, a la subcontratacin de la pres-
tacin de servicios de tratamiento de
datos personales.
Artculo 37.- Tratamiento a travs de
subcontratacin.
El tratamiento de datos personales
puede realizarse por un tercero dife-
rente al encargado del tratamiento, a
travs de un convenio o contrato entre
estos dos.
Para este supuesto se requerir de
manera previa una autorizacin por
parte del titular del banco de datos per-
sonales o responsable del tratamiento.
Dicha autorizacin se entender tam-
bin concedida si estaba prevista en el
instrumento jurdico mediante el cual
se formaliz la relacin entre el res-
ponsable del tratamiento y el encarga-
do del mismo. El tratamiento que haga
el subcontratista se realizar en nom-
bre y por cuenta del responsable del
tratamiento, pero la carga de probar la
autorizacin le corresponde al encar-
gado del tratamiento.
Artculo 38.- Responsabilidad del
tercero subcontratado.
La persona natural o jurdica sub-
contratada asume las mismas obli-
gaciones que se establezcan para el
encargado del tratamiento en la Ley,
el presente reglamento y dems dis-
posiciones aplicables. Sin embargo,
asumir las obligaciones del titular
del banco de datos personales o en-
cargado del tratamiento cuando:
1. Destine o utilice los datos persona-
les con una nalidad distinta a la au-
torizada por el titular del banco de da-
tos o responsable del tratamiento; o
2. Efecte una transferencia, incum-
pliendo las instrucciones del titular
del banco de datos personales, aun
cuando sea para la conservacin de
dichos datos.
57
CAPTULO V
Medidas de seguridad
Artculo 39.- Seguridad para el tra-
tamiento de la informacin digital.
Los sistemas informticos que mane-
jen bancos de datos personales debe-
rn incluir en su funcionamiento:
1. El control de acceso a la informa-
cin de datos personales incluyendo
la gestin de accesos desde el regis-
tro de un usuario, la gestin de los
privilegios de dicho usuario, la identi
cacin del usuario ante el sistema,
entre los que se encuentran usuario-
contrasea, uso de certicados digi-
tales, tokens, entre otros, y realizar
una vericacin peridica de los pri-
vilegios asignados, los cuales deben
estar denidos mediante un procedi-
miento documentado a n de garanti-
zar su idoneidad.
2. Generar y mantener registros que
provean evidencia sobre las interac-
ciones con los datos lgicos, inclu-
yendo para los nes de la trazabilidad,
la informacin de cuentas de usuario
con acceso al sistema, horas de ini-
cio y cierre de sesin y acciones re-
levantes. Estos registros deben ser
legibles, oportunos y tener un proce-
dimiento de disposicin, entre los que
se encuentran el destino de los re-
gistros, una vez que stos ya no sean
tiles, su destruccin, transferencia,
almacenamiento, entre otros.
Asimismo, se deben establecer las
medidas de seguridad relacionadas
con los accesos autorizados a los da-
tos mediante procedimientos de iden-
ticacin y autenticacin que garan-
ticen la seguridad del tratamiento de
los datos personales.
Artculo 40.- Conservacin, respaldo y
recuperacin de los datos personales.
Los ambientes en los que se proce-
se, almacene o transmita la informa-
cin debern ser implementados, con
controles de seguridad apropiados,
tomando como referencia las reco-
mendaciones de seguridad fsica y
ambiental recomendados en la NTP
ISO/IEC 17799 EDI. Tecnologa de la
Informacin. Cdigo de Buenas Prc-
ticas para la Gestin de Seguridad de
la Informacin. en la edicin que se
encuentre vigente.
Adicionalmente, se deben contem-
plar los mecanismos de respaldo
de seguridad de la informacin de
la base de datos personales con un
procedimiento que contemple la veri-
cacin de la integridad de los datos
almacenados en el respaldo, inclu-
yendo cuando sea pertinente, la recu-
peracin completa ante una interrup-
cin o dao, garantizando el retorno
al estado en el que se encontraba al
momento en que se produjo la inte-
rrupcin o dao.
Artculo 41.- Transferencia lgica o
electrnica de los datos personales.
El intercambio de datos personales
desde los ambientes de procesamien-
to o almacenamiento hacia cualquier
destino fuera de las instalaciones
58
fsicas de la entidad, solo procede-
r con la autorizacin del titular del
banco de datos personales y se har
utilizando los medios de transporte
autorizados por el mismo, tomando
las medidas necesarias, entre las
que se encuentran cifrado de datos,
rmas digitales, informacin, check-
sum de vericacin, entre otros, des-
tinados a evitar el acceso no autori-
zado, prdida o corrupcin durante el
trnsito hacia su destino.
Artculo 42.- Almacenamiento de do-
cumentacin no automatizada.
Los armarios, archivadores u otros
elementos en los que se almacenen
documentos no automatizados con
datos personales debern encon-
trarse en reas en las que el acceso
est protegido con puertas de acce-
so dotadas de sistemas de apertu-
ra mediante llave u otro dispositivo
equivalente. Dichas reas debern
permanecer cerradas cuando no sea
preciso el acceso a los documentos
incluidos en el banco de datos.
Si por las caractersticas de los loca-
les que se dispusiera no fuera posible
cumplir lo establecido en el apartado
anterior, se adoptarn las medidas
alternativas, conforme a las directivas
de la Direccin General de Proteccin
de Datos Personales.
Artculo 43.- Copia o reproduccin.
La generacin de copias o la repro-
duccin de los documentos nica-
mente podrn ser realizadas bajo el
control del personal autorizado.
Deber procederse a la destruccin
de las copias o reproducciones des-
echadas de forma que se evite el ac-
ceso a la informacin contenida en las
mismas o su recuperacin posterior.
Artculo 44.- Acceso a la documentacin.
El acceso a la documentacin se li-
mitar exclusivamente al personal
autorizado.
Se establecern mecanismos que
permitan identicar los accesos rea-
lizados en el caso de documentos que
puedan ser utilizados por mltiples
usuarios.
El acceso de personas no incluidas
en el prrafo anterior deber quedar
adecuadamente registrado de acuer-
do a las directivas de seguridad que
emita la Direccin General de Protec-
Artculo 45.- Traslado de documen-
tacin no automatizada.
Siempre que se proceda al traslado
fsico de la documentacin contenida
en un banco de datos, debern adop-
tarse medidas dirigidas a impedir el
acceso o manipulacin de la informa-
cin objeto de traslado.
Artculo 46.- Prestaciones de servi-
cios sin acceso a datos personales.
El responsable o el encargado de la
informacin o tratamiento adoptarn
las medidas adecuadas para limitar
el acceso del personal a datos perso-
nales, a los soportes que los conten-
gan o a los recursos del sistema de
59
informacin, para la realizacin de
trabajos que no impliquen el trata-
miento de datos personales.
Cuando se trate de personal ajeno, el
contrato de prestacin de servicios re-
coger expresamente la prohibicin de
acceder a los datos personales y la obli-
gacin de secreto respecto a los datos
que el personal hubiera podido conocer
con motivo de la prestacin del servicio.
TTULO IV
DERECHOS DEL TITULAR
DE DATOS PERSONALES
CAPTULO I
Artculo 47.- Carcter personal.
Los derechos de informacin, acceso,
recticacin, cancelacin, oposicin y
tratamiento objetivo de datos perso-
nales slo pueden ser ejercidos por el
titular de datos personales, sin per-
juicio de las normas que regulan la
representacin.
Artculo 48.- Ejercicio de los dere-
chos del titular de datos personales.
El ejercicio de alguno o algunos de
los derechos no excluye la posibilidad
de ejercer alguno o algunos de los
otros, ni puede ser entendido como
requisito previo para el ejercicio de
cualquiera de ellos.
Artculo 49.- Legitimidad para ejer-
cer los derechos.
El ejercicio de los derechos conteni-
dos en el presente ttulo se realiza:
1. Por el titular de datos personales,
acreditando su identidad y presentan-
do copia del Documento Nacional de
Identidad o documento equivalente.
El empleo de la rma digital conforme
a la normatividad vigente, sustituye la
presentacin del Documento Nacio-
nal de Identidad y su copia.
2. Mediante representante legal acre-
ditado como tal.
3. Mediante representante expresa-
mente facultado para el ejercicio del
derecho, adjuntando la copia de su
Documento Nacional de Identidad o
documento equivalente, y del ttulo
que acredite la representacin.
Cuando el titular del banco de datos
personales sea una entidad pblica,
podr acreditarse la representacin
por cualquier medio vlido en dere-
cho que deje constancia dedigna,
conforme al artculo 115 de la Ley
N 27444, Ley del Procedimiento Ad-
ministrativo General.
4. En caso se opte por el procedimien-
to sealado en el artculo 51 del pre-
sente reglamento, la acreditacin de
la identidad del titular se sujetar a lo
dispuesto en dicha disposicin.
Artculo 50.- Requisitos de la solicitud.
El ejercicio de los derechos se lleva a
60
cabo mediante solicitud dirigida al ti-
tular del banco de datos personales o
responsable del tratamiento, la mis-
ma que contendr:
1. Nombres y apellidos del titular del
derecho y acreditacin de los mismos,
y en su caso de su representante con-
forme al artculo precedente.
2. Peticin concreta que da lugar a la
solicitud.
3. Domicilio, o direccin que puede ser
electrnica, a efectos de las notica-
ciones que correspondan.
4. Fecha y rma del solicitante.
5. Documentos que sustenten la peti-
cin, de ser el caso.
6. Pago de la contraprestacin, tratn-
dose de entidades pblicas siempre
que lo tengan previsto en sus procedi-
mientos de fecha anterior a la vigencia
del presente reglamento.
Artculo 51.- Servicios de atencin al
pblico.
Cuando el titular del banco de datos
personales o responsable del trata-
miento disponga de servicios de cual-
quier naturaleza para la atencin a su
pblico o el ejercicio de reclamaciones
relacionadas con el servicio prestado
o productos ofertados, podr tambin
atender las solicitudes para el ejerci-
cio de los derechos comprendidos en
el presente ttulo a travs de dichos
servicios, siempre que los plazos no
sean mayores a los establecidos en el
En este caso, la identidad del titu-
lar de datos personales se considera
acreditada por los medios estableci-
dos por el titular del banco de datos
miento para la identicacin de aqul,
siempre que se acredite la misma,
conforme a la naturaleza de la presta-
cin del servicio o producto ofertado.
Artculo 52.- Recepcin y subsana-
cin de la peticin.
Deben ser recibidas todas las solicitudes
presentadas, dejndose constancia de su
recepcin por parte del titular del banco
de datos personales o responsable del
tratamiento. En caso de que la solicitud
no cumpla con los requisitos sealados
en el artculo anterior, el titular del ban-
co de datos personales o responsable de
su tratamiento, en un plazo de cinco (5)
das, contado desde el da siguiente de la
recepcin de la solicitud, formula las ob-
servaciones por incumplimiento que no
puedan ser salvadas de ocio, invitando
al titular a subsanarlas dentro de un pla-
zo mximo de cinco (5) das.
Transcurrido el plazo sealado sin
que ocurra la subsanacin se tendr
por no presentada la solicitud.
Las entidades pblicas aplican el ar-
tculo 126 de la Ley N 27444, Ley del
ral, sobre observaciones a la docu-
mentacin presentada.
Artculo 53.- Facilidades para el
ejercicio del derecho.
El titular del banco de datos personales
61
o responsable del tratamiento est
obligado a establecer un procedi-
miento sencillo para el ejercicio de
los derechos. Sin perjuicio de lo se-
alado e independientemente de los
medios o mecanismos que la Ley y
el presente reglamento establezcan
para el ejercicio de los derechos co-
rrespondientes al titular de datos
personales, el titular del banco de
datos personales o el responsable
del tratamiento, podr ofrecer me-
canismos que faciliten el ejercicio
de tales derechos en benecio del
titular de datos personales.
Para efectos de la contraprestacin
que debe abonar el titular de datos
personales para el ejercicio de sus
derechos ante la administracin
pblica se estar a lo dispuesto en
el primer prrafo del artculo 26 de
la Ley.
El ejercicio por el titular de datos
personales de sus derechos ante
los bancos de datos personales de
administracin privada ser de ca-
rcter gratuito, salvo lo establecido
en normas especiales de la materia.
En ningn caso el ejercicio de estos
derechos implicar ingreso adicional
para el titular del banco de datos per-
sonales o responsable del tratamien-
to ante el cual se ejercen.
No se podr establecer como medios
para el ejercicio de los derechos nin-
guno que implique el cobro de una
tarifa adicional al solicitante o cual-
quier otro medio que suponga un
costo excesivo.
Artculo 54.- Forma de la respuesta.
o responsable del tratamiento deber
dar respuesta a la solicitud en la forma
y plazo establecido en el presente re-
glamento, con independencia de que -
guren o no datos personales del titular
de los mismos en los bancos de datos
personales que administre.
La respuesta al titular de datos per-
sonales deber referirse nicamente
a aquellos datos que especcamente
se hayan indicado en su solicitud y de-
ber presentarse en forma clara, le-
gible, comprensible y de fcil acceso.
En caso de ser necesario el empleo
de claves o cdigos, debern propor-
cionarse los signicados correspon-
dientes.
Corresponder al titular del banco
de datos personales o responsable
del tratamiento la prueba del cum-
plimiento del deber de respuesta,
debiendo conservar los medios para
hacerlo. Lo sealado ser de aplica-
cin, en lo que fuera pertinente, para
acreditar la realizacin de lo estable-
cido en el segundo prrafo del artculo
20 de la Ley.
Artculo 55.- Plazos de respuesta.
1. El plazo mximo de respuesta del
o responsable del tratamiento ante el
ejercicio del derecho de informacin
ser de ocho (08) das contados desde
el da siguiente de la presentacin de
la solicitud correspondiente.
62
2. El plazo mximo para la respuesta
del titular del banco de datos perso-
nales o responsable del tratamiento
ante el ejercicio del derecho de acce-
so ser de veinte (20) das contados
desde el da siguiente de la presen-
tacin de la solicitud por el titular de
datos personales.
Si la solicitud fuera estimada y el ti-
tular del banco de datos personales o
responsable del tratamiento no acom-
paase a su respuesta la informacin
solicitada, el acceso ser efectivo
dentro de los diez (10) das siguientes
a dicha respuesta.
3. Tratndose del ejercicio de los
otros derechos como los de recti-
cacin, cancelacin u oposicin, el
plazo mximo de respuesta del titu-
lar del banco de datos personales o
responsable del tratamiento ser de
diez (10) das contados desde el da
siguiente de la presentacin de la so-
licitud correspondiente.
Artculo 56.- Requerimiento de in-
formacin adicional.
En el caso que la informacin propor-
cionada en la solicitud sea insucien-
te o errnea de forma que no permita
su atencin, el titular del banco de
datos personales podr requerir den-
tro de los siete (7) das siguientes de
recibida la solicitud, documentacin
adicional al titular de los datos perso-
nales para atenderla.
En un plazo de diez (10) das de reci-
bido el requerimiento, contado desde
el da siguiente de la recepcin del
mismo, el titular de datos persona-
les acompaar la documentacin
adicional que estime pertinente para
fundamentar su solicitud. En caso
contrario, se tendr por no presenta-
da dicha solicitud.
Artculo 57.- Ampliacin de los plazos.
Salvo el plazo establecido para el
ejercicio del derecho de informacin,
los plazos que correspondan para la
respuesta o la atencin de los dems
derechos, podrn ser ampliados una
sola vez, y por un plazo igual, como
mximo, siempre y cuando las cir-
cunstancias lo justiquen.
La justicacin de la ampliacin del
plazo deber comunicarse al titular
del dato personal dentro del plazo que
se pretenda ampliar.
Artculo 58.- Aplicacin de legisla-
cin especca.
Cuando las disposiciones aplicables a
determinados bancos de datos perso-
nales conforme a la legislacin especial
que los regule establezcan un procedi-
miento especco para el ejercicio de
los derechos regulados en el presente
ttulo, sern de aplicacin las mismas
en cuanto ofrezcan iguales o mayores
garantas al titular de los datos perso-
nales y no contravengan lo dispuesto
en la Ley y el presente reglamento.
Artculo 59.- Denegacin parcial o
total ante el ejercicio de un derecho.
La respuesta total o parcialmente ne-
gativa por parte del titular del banco
de datos personales o del responsable
63
del tratamiento ante la solicitud de un
derecho del titular de datos perso-
nales, debe estar debidamente justi
cada y debe sealar el derecho que
le asiste al mismo para recurrir ante
Datos Personales en va de reclama-
cin, en los trminos del artculo 24 de
la Ley y del presente reglamento.
CAPTULO II
Disposiciones especiales
Artculo 60.- Derecho a la informacin.
El titular de datos personales tiene de-
recho, en va de acceso, a que se le brin-
de toda la informacin sealada en el
artculo 18 de la Ley y el numeral 4 del
artculo 12 del presente reglamento.
La respuesta contendr los extremos
previstos en los artculos citados en el
prrafo anterior, salvo que el titular
haya solicitado la informacin referida
slo a alguno de ellos.
Ser de aplicacin para la respuesta
al ejercicio del derecho a la informa-
cin, en lo que fuere pertinente, lo es-
tablecido en los artculos 62 y 63 del
Artculo 61.- Derecho de acceso.
Sin perjuicio de lo sealado en el ar-
tculo 19 de la Ley, el titular de los
datos personales tiene derecho a ob-
tener del titular del banco de datos
miento la informacin relativa a sus
datos personales, as como a todas
las condiciones y generalidades del
tratamiento de los mismos.
Artculo 62.- Medios para el cumpli-
miento del derecho de acceso.
La informacin correspondiente al
derecho de acceso, a opcin del ti-
tular de los datos personales, podr
suministrarse por escrito, por medios
electrnicos, telefnicos, de imagen u
otro idneo para tal n.
dr optar a travs de algunos o varios
de las siguientes formas:
1. Visualizacin en sitio.
2. Escrito, copia, fotocopia o facsmil.
3. Transmisin electrnica de la res-
puesta, siempre que est garantizada
la identidad del interesado y la con-
dencialidad, integridad y recepcin de
la informacin.
4. Cualquier otra forma o medio que
sea adecuado a la conguracin o
implantacin material del banco de
datos personales o a la naturaleza del
tratamiento, establecido por el titular
ponsable del tratamiento.
Cualquiera sea la forma a emplear, el
acceso debe ser en formato claro, le-
gible e inteligible, sin utilizar claves o
cdigos que requieran de dispositivos
mecnicos para su adecuada com-
prensin y en su caso acompaada de
una explicacin. Asimismo, el acce-
so debe ser en lenguaje accesible al
64
conocimiento medio de la poblacin, de
los trminos que se utilicen. Sin perjui-
cio de lo cual, con el objeto de usar los
medios de comunicacin ms ecol-
gicos disponibles en cada caso, el res-
ponsable del tratamiento podr acordar
con el titular el uso de medios de repro-
duccin de la informacin distintos a los
establecidos en el presente reglamento.
Artculo 63.- Contenido de la infor-
macin.
La informacin que con ocasin del
ejercicio del derecho de acceso se pon-
ga a disposicin del titular de los datos
personales, debe ser amplia y com-
prender la totalidad del registro corres-
pondiente al titular de datos persona-
les, aun cuando el requerimiento slo
comprenda un aspecto de dichos da-
tos. El informe no podr revelar datos
pertenecientes a terceros, aun cuando
se vinculen con el interesado.
Artculo 64.- Actualizacin.
Es derecho del titular de datos perso-
nales, en va de recticacin, actualizar
aquellos datos que han sido modica-
dos a la fecha del ejercicio del derecho.
La solicitud de actualizacin deber
sealar a qu datos personales se re
ere, as como la modicacin que haya
de realizarse en ellos, acompaando
la documentacin que sustente la pro-
cedencia de la actualizacin solicitada.
Artculo 65.- Recticacin.
Es derecho del titular de datos persona-
les que se modiquen los datos que re-
sulten ser inexactos, errneos o falsos.
La solicitud de recticacin deber in-
dicar a qu datos personales se ree-
re, as como la correccin que haya de
realizarse en ellos, acompaando la
documentacin que sustente la pro-
cedencia de la recticacin solicitada.
Artculo 66.- Inclusin.
Es derecho del titular de datos perso-
nales que, en va de recticacin, sus
datos sean incorporados a un banco
de datos personales, as como que al
tratamiento de sus datos personales
se incorpore aquella informacin fal-
tante que la hace incompleta, omitida
o eliminada en atencin a su relevan-
cia para dicho tratamiento.
La solicitud de inclusin deber indicar
a qu datos personales se re ere, as
como la incorporacin que haya de rea-
lizarse en ellos, acompaando la docu-
mentacin que sustente la procedencia
e inters fundado para el mismo.
Artculo 67.- Supresin o cancelacin.
dr solicitar la supresin o cancela-
cin de sus datos personales de un
banco de datos personales cuando
stos hayan dejado de ser necesarios
o pertinentes para la nalidad para la
cual hayan sido recopilados, cuando
hubiere vencido el plazo establecido
para su tratamiento, cuando ha revo-
cado su consentimiento para el trata-
miento y en los dems casos en los
que no estn siendo tratados confor-
me a la Ley y al presente reglamento.
La solicitud de supresin o cancelacin
65
podr referirse a todos los datos per-
sonales del titular contenidos en un
banco de datos personales o slo a
alguna parte de ellos.
Dentro de lo establecido por el artcu-
lo 20 de la Ley y el numeral 3) del art-
culo 2 del presente reglamento, la so-
licitud de supresin implica el cese en
el tratamiento de los datos personales
a partir de un bloqueo de los mismos
y su posterior eliminacin.
Artculo 68.- Comunicacin de la su-
presin o cancelacin.
nales o responsable del tratamiento
deber documentar ante el titular de
los datos personales haber cumplido
con lo solicitado e indicar las transfe-
rencias de los datos suprimidos, iden-
ti cando a quin o a quines fueron
transferidos, as como la comunica-
cin de la supresin correspondiente.
Artculo 69.- Improcedencia de la su-
presin o cancelacin.
La supresin no proceder cuando los
datos personales deban ser conser-
vados en virtud de razones histricas,
estadsticas o cientcas de acuerdo
con la legislacin aplicable o, en su
caso, en las relaciones contractuales
entre el responsable y el titular de los
datos personales, que justiquen el
tratamiento de los mismos.
Artculo 70.- Proteccin en caso de de-
negatoria de supresin o cancelacin.
Siempre que sea posible, segn la na-
turaleza de las razones que sustenten
la denegatoria prevista en el prrafo
precedente, se debern emplear me-
dios de disociacin o anonimizacin
para continuar el tratamiento.
Artculo 71.- Oposicin.
derecho a que no se lleve a cabo el tra-
tamiento de sus datos personales o se
cese en el mismo, cuando no hubiere
prestado su consentimiento para su
recopilacin por haber sido tomados
de fuente de acceso al pblico.
Aun cuando hubiera prestado con-
sentimiento, el titular de datos per-
sonales tiene derecho a oponerse al
tratamiento de sus datos, si acredita
la existencia de motivos fundados y
legtimos relativos a una concreta si-
tuacin personal que justiquen el
ejercicio de este derecho.
En caso que la oposicin resulte jus-
ticada el titular del banco de datos
personales o responsable de su tra-
tamiento deber proceder al cese del
tratamiento que ha dado lugar a la
oposicin.
Artculo 72.- Derecho al tratamiento
objetivo de datos personales.
Para garantizar el ejercicio del dere-
cho al tratamiento objetivo de confor-
midad con lo establecido en el artculo
23 de la Ley, cuando se traten datos
personales como parte de un proceso
de toma de decisiones sin participa-
cin del titular de los datos persona-
les, el titular del banco de datos per-
sonales o responsable del tratamiento
66
deber informrselo a la brevedad po-
sible, sin perjuicio de lo regulado para
el ejercicio de los dems derechos en
la Ley y el presente reglamento.
CAPTULO III
Procedimiento de tutela
Artculo 73.- Procedimiento de tute-
la directa.
El ejercicio de los derechos regulados
por la Ley y el presente reglamento
se inicia con la solicitud que el titular
de los datos personales debe dirigir
directamente al titular del banco de
datos personales o responsable del
tratamiento, de acuerdo a las carac-
tersticas que se regulan en los art-
culos precedentes del presente ttulo.
o responsable del tratamiento deber
dar respuesta, en los plazos previstos
en el artculo 55 del presente regla-
mento, expresando lo correspondiente
a cada uno de los extremos de la solici-
tud. Transcurrido el plazo sin haber re-
cibido la respuesta el solicitante podr
considerar denegada su solicitud.
La denegatoria o la respuesta insatis-
factoria habilitan al solicitante a iniciar
el procedimiento administrativo ante
Datos Personales, de acuerdo al art-
culo 74 del presente reglamento.
Artculo 74.- Procedimiento trilate-
ral de tutela.
El procedimiento administrativo de
tutela de los derechos regulados por
la Ley y el presente reglamento, se
sujeta a lo dispuesto por los artculos
219 al 228 de la Ley N 27444, Ley del
ral en lo que le sea aplicable, y ser
resuelto mediante resolucin del Di-
rector General de Proteccin de Datos
Personales. Contra esta resolucin
solo procede recurso de reconsidera-
cin, el que, una vez resuelto, agota la
va administrativa.
Para iniciar el procedimiento admi-
nistrativo a que se reere este art-
culo, sin perjuicio de los requisitos
generales previstos en el presente
reglamento, el titular de los datos
personales deber presentar con su
solicitud de tutela:
1. El cargo de la solicitud que previa-
mente envi al titular del banco de
datos personales o responsable del
tratamiento para obtener de l, direc-
tamente, la tutela de sus derechos.
2. El documento que contenga la res-
puesta del titular del banco de datos
miento que, a su vez, contenga la de-
negatoria de su pedido o la respuesta
que considere no satisfactoria, de ha-
berla recibido.
El plazo mximo en que debe resolver-
se la solicitud de tutela de derechos
ser treinta (30) das, contado desde
el da siguiente de recibida la contes-
tacin del reclamado o desde el ven-
cimiento del plazo para formularla y
podr ampliarse hasta por un mximo
67
de treinta (30) das adicionales, aten-
diendo a la complejidad del caso.
La orden de realizar la visita de s-
calizacin suspende el plazo previsto
para resolver hasta que se reciba el
informe correspondiente.
Artculo 75.- Visita de scalizacin.
Para mejor resolver, se podr ordenar a
la Direccin de Supervisin y Control la
realizacin de una visita de scalizacin,
que se efectuar conforme a lo previsto
en los artculos 108 a 114 del presente
reglamento, dentro de los cinco (5) das
siguientes de recibida la orden.
TTULO V
REGISTRO NACIONAL DE
PROTECCIN DE DATOS
PERSONALES
CAPTULO I
Artculo 76.- Inscripcin registral.
El Registro Nacional de Proteccin de
Datos Personales es la unidad de al-
macenamiento destinada a contener
principalmente la informacin sobre
los bancos de datos personales de titu-
laridad pblica o privada y tiene por -
nalidad dar publicidad de la inscripcin
de dichos bancos de tal forma que sea
posible ejercer los derechos de acceso
a la informacin, recti cacin, cance-
lacin, oposicin y otros regulados en
Artculo 77.- Actos y documentos
inscribibles en el Registro.
Sern objeto de inscripcin en el Re-
gistro Nacional de Proteccin de Da-
tos Personales con arreglo a lo dis-
puesto en la Ley y en este ttulo:
1. Los bancos de datos personales de
la administracin pblica, con las ex-
cepciones previstas en la Ley y el pre-
sente reglamento.
2. Los bancos de datos personales de
administracin privada, con la excep-
cin prevista en el numeral 1) del art-
culo 3 de la Ley.
3. Los cdigos de conducta a que se
reere el artculo 31 de la Ley.
4. Las sanciones, medidas cautelares
o correctivas impuestas por la Direc-
cin General de Proteccin de Datos
Personales conforme a la Ley y el pre-
sente reglamento.
5. Las comunicaciones referidas al u-
jo transfronterizo de datos personales.
Cualquier persona puede consultar la
informacin a que se re ere el artcu-
lo 34 de la Ley y cualquier otra conte-
nida en el Registro.
Artculo 78.- Obligacin de inscripcin.
Las personas naturales o jurdicas
del sector privado o entidades pbli-
cas que creen, modiquen o cancelen
68
bancos de datos personales estn
obligadas a tramitar la inscripcin de
estos actos ante el Registro Nacional
CAPTULO II
Procedimiento de inscripcin
Artculo 79.- Requisitos.
Los titulares de los bancos de datos
personales debern inscribirlos en el
Registro Nacional de Proteccin de
Datos Personales proporcionando la
siguiente informacin:
1. La denominacin y ubicacin del
banco de datos personales, sus na-
lidades y los usos previstos.
2. La identicacin del titular del ban-
co de datos personales, y en su caso,
la identicacin del encargado del
tratamiento.
3. Tipos de datos personales someti-
dos a tratamiento en dicho banco.
4. Procedimientos de obtencin y el
sistema de tratamiento de los datos
personales.
5. La descripcin tcnica de las medi-
das de seguridad.
6. Los destinatarios de transferencias
Artculo 80.- Modelos o formularios.
La Direccin General de Proteccin de
Datos Personales publicar median-
te resolucin los modelos o formula-
rios electrnicos de las solicitudes de
creacin, modicacin o cancelacin
de bancos de datos personales, que
permitan su presentacin a travs de
medios telemticos o en soporte papel,
de conformidad al procedimiento esta-
blecido en el presente reglamento.
Los modelos o formularios electrni-
cos se podrn obtener gratuitamente
en el Portal Institucional del Ministe-
rio de Justicia y Derechos Humanos.
Artculo 81.- Inicio.
El procedimiento se iniciar con la
presentacin, ante la Direccin de
Registro Nacional de Proteccin de
Datos Personales, de la solicitud de
creacin, modicacin o cancelacin
del banco de datos personales for-
mulada por su titular o representante
debidamente acreditado.
Tratndose de la solicitud de inscripcin
deber contener los requisitos exigidos
por el presente reglamento, de faltar al-
guno de los requisitos, se requerir que
se subsane la omisin, conforme a lo
dispuesto en el siguiente artculo.
Asimismo, tratndose de la solicitud
de la modicacin o cancelacin de
un banco de datos personales, debe-
r indicarse en la misma el cdigo de
inscripcin del banco de datos perso-
nales en el Registro Nacional de Pro-
En la solicitud, se deber declarar
un domicilio o direccin, a efectos de
remitir las noticaciones relativas al
respectivo procedimiento.
69
Artculo 82.- Subsanacin de los de-
fectos y archivamiento.
Si la solicitud presentada no cumple
con los requisitos exigidos por el re-
glamento, la Direccin de Registro
sonales requerir al solicitante que en
el plazo de diez (10) das subsane la
omisin. Vencido el plazo mximo, sin
que el interesado haya cumplido con
subsanar dicha omisin, se proceder
al archivamiento de la solicitud.
Artculo 83.- Resolucin de inscripcin.
El Director de la Direccin de Regis-
tro Nacional de Proteccin de Datos
Personales emitir la resolucin dis-
poniendo la inscripcin del banco de
datos personales, siempre que se
ajuste a los requisitos exigidos en la
Ley y el presente reglamento.
La resolucin debe consignar:
1. El cdigo asignado por el Registro.
2. La identicacin del banco de datos
personales.
3. La descripcin de la nalidad y usos
previstos.
4. La identicacin del titular del ban-
co de datos personales.
5. La categora de los datos persona-
les que contiene.
6. Los procedimientos de obtencin.
7. El sistema de tratamiento de los
datos personales y la indicacin de las
medidas de seguridad.
Asimismo, se incluirn, en su caso,
la identicacin del encargado del
tratamiento en donde se encuentre
ubicado el banco de datos personales
y los receptores de los datos persona-
les y del ujo transfronterizo.
Una vez inscrito el banco de datos
personales en el Registro Nacional de
Proteccin de Datos, se noticar la
decisin al interesado.
La inscripcin de un banco de datos
personales en el Registro Nacional
de Proteccin de Datos no exime al
titular del cumplimiento del resto de
las obligaciones previstas en la Ley y
el presente reglamento.
Artculo 84.- Modicacin o cancela-
cin de bancos de datos personales.
La inscripcin de un banco de da-
tos personales deber mantener-
se actualizada en todo momento.
Cualquier modicacin que afecte al
contenido de la inscripcin deber
ser previamente comunicada a la Di-
reccin de Registro Nacional de Pro-
teccin de Datos Personales para su
inscripcin.
Cuando el titular de un banco de
datos personales decida su can-
celacin, deber comunicarla a la
Direccin de Registro Nacional de
Proteccin de Datos Personales, a
efectos de que proceda a la cancela-
cin de la inscripcin. El solicitante
precisar el destino que va a darse
a los datos o las previsiones para su
destruccin.
70
Artculo 85.- Duracin del procedi-
miento.
El plazo mximo para emitir la resolucin
acerca de la inscripcin, modicacin o
cancelacin ser de treinta (30) das.
Si en dicho plazo no se hubiese emitido
resolucin expresa, se entender inscri-
to, modicado o cancelado el banco de
datos personales, para todos los efectos.
Artculo 86.- Improcedencia o dene-
gacin de la inscripcin.
El Director de la Direccin de Regis-
tro Nacional de Proteccin de Datos
emitir resolucin denegando la ins-
cripcin cuando la solicitud no cum-
pla con los requisitos dispuestos en
la Ley y en el presente reglamento u
otras disposiciones que dicte la Direc-
Personales de conformidad a las fa-
cultades legales conferidas.
La resolucin debe estar debidamen-
te motivada, con indicacin expresa de
las causas que impiden la inscripcin,
modicacin o cancelacin.
Artculo 87.- Impugnacin.
Contra la resolucin que deniega la
inscripcin proceden los recursos de
reconsideracin y apelacin, confor-
me al procedimiento sealado en la
Ley N 27444, Ley del Procedimiento
Administrativo General.
Artculo 88.- Las instancias.
La Direccin de Registro Nacional
constituye la primera instancia para
efectos de atender los recursos ad-
ministrativos interpuestos contra la
denegatoria de inscripcin de un ban-
co de datos personales. Resolver los
recursos de reconsideracin y elevar
los de apelacin a la Direccin Gene-
ral de Proteccin de Datos Persona-
les que resolver en ltima instancia
administrativa por la procedencia o
improcedencia de la inscripcin.
CAPTULO III
Procedimiento de inscripcin de los
cdigos de conducta
Artculo 89.- mbito de aplicacin de
los cdigos de conducta.
1. Los cdigos de conducta tendrn
carcter voluntario.
2. Los cdigos de conducta de carc-
ter sectorial podrn referirse a la to-
talidad o a parte de los tratamientos
llevados a cabo por el sector, debien-
do ser formulados por organizaciones
representativas del mismo.
3. Los cdigos de conducta promovidos
por una empresa o grupo empresarial
debern referirse a la totalidad de los
tratamientos llevados a cabo por los
mismos.
Artculo 90.- Contenido.
1. Los cdigos de conducta deben es-
tar redactados en trminos claros y
accesibles.
2. Los cdigos de conducta deben
estar adecuados a lo establecido en
71
la Ley e incluir como mnimo los si-
guientes aspectos:
2.1. La delimitacin clara y precisa de
su mbito de aplicacin, las activida-
des a que el cdigo se reere y los tra-
tamientos sometidos al mismo.
2.2. Las previsiones especcas para
la aplicacin de los principios de pro-
teccin de datos personales.
2.3. El establecimiento de estndares
homogneos para el cumplimien-
to por los adheridos al cdigo de las
obligaciones establecidas en la Ley.
2.4. El establecimiento de procedi-
mientos que faciliten el ejercicio por
los afectados de sus derechos de in-
formacin, acceso, recticacin, can-
celacin y oposicin.
2.5. La determinacin de las transfe-
rencias nacionales e internacionales
de datos personales que, en su caso,
se prevean con indicacin de las ga-
rantas que deban adoptarse.
2.6. Las acciones de fomento y difu-
sin en materia de proteccin de da-
tos personales dirigidas a quienes los
traten, especialmente en cuanto a su
relacin con los afectados.
2.7. Los mecanismos de supervisin
a travs de los cuales se garantice el
cumplimiento por los adheridos de lo
establecido en el cdigo de conducta.
3. En particular, deber consignarse
en el cdigo:
3.1 Clusulas para la obtencin del
consentimiento de los titulares de
los datos personales al tratamiento o
transferencia de sus datos personales.
3.2 Clusulas para informar a los ti-
tulares de los datos personales del
tratamiento, cuando los datos no sean
obtenidos de los mismos.
3.3 Modelos para el ejercicio por los
afectados de sus derechos de infor-
macin, acceso, recticacin, cance-
lacin y oposicin.
3.4 De ser el caso, modelos de clu-
sulas para el cumplimiento de los
requisitos formales exigibles para la
contratacin de un encargado del tra-
tamiento.
Artculo 91.- Inicio del procedimiento.
El procedimiento para la inscripcin
en el Registro Nacional de Proteccin
de Datos Personales de los cdigos de
conducta se iniciar siempre a solici-
tud de la entidad, rgano o asociacin
promotora del cdigo de conducta.
La solicitud, adems de reunir los
requisitos legalmente establecidos,
cumplir los siguientes requisitos
adicionales:
1. Acreditacin de la representacin
con que cuente la persona que pre-
sente la solicitud.
2. Contenido del acuerdo, convenio o
decisin por la que se aprueba en el
mbito correspondiente el contenido
del cdigo de conducta presentado.
72
3. En caso de que el cdigo de con-
ducta proceda de un acuerdo sec-
torial o una decisin de empresa, se
adjuntar la certicacin referida a la
adopcin del acuerdo y legitimacin
del rgano que lo adopt y copia de los
estatutos de la asociacin, organiza-
cin sectorial o entidad en cuyo marco
haya sido aprobado el cdigo.
4. En caso de cdigos de conducta
presentados por asociaciones u or-
ganizaciones de carcter sectorial, se
adjuntar documentacin relativa a
su representatividad en el sector.
5. En caso de cdigos de conducta
basados en decisiones de empresa,
se adjuntar descripcin de los trata-
mientos a los que se reere.
Artculo 92.- Subsanacin de los defectos.
Analizados los aspectos sustantivos
del cdigo de conducta, si resultase
necesaria la aportacin de nuevos
documentos o la modicacin de su
contenido, la Direccin de Registro
sonales requerir al solicitante que
en el plazo de diez (10) das realice las
modi caciones precisadas.
Artculo 93.- Trmite.
Transcurrido el plazo sealado en el
artculo anterior, la Direccin de Re-
gistro Nacional de Proteccin de Da-
tos Personales elaborar un informe
sobre las caractersticas del proyecto
de cdigo de conducta que ser en-
viado a la Direccin de Normatividad
y Asistencia Legal, para que informe
en el plazo de siete (07) das si cumple
con lo requerido por la Ley y el pre-
sente reglamento.
Artculo 94.- Emisin de la resolucin.
Cumplido lo establecido en los artcu-
los precedentes, el Director de la Di-
reccin de Registro Nacional de Pro-
teccin de Datos Personales emitir
la resolucin disponiendo la inscrip-
cin del cdigo de conducta, siempre
que se ajuste a los requisitos exigidos
en la Ley y el presente reglamento.
Artculo 95.- Duracin del procedi-
miento.
El plazo mximo para emitir la resolu-
cin ser de treinta (30) das, contado
desde la fecha de presentacin de la
solicitud ante la Direccin de Registro
sonales. Si en dicho plazo no se hubie-
se emitido la resolucin, el solicitante
podr considerar estimada su solicitud.
Artculo 96.- Improcedencia o dene-
gacin de la inscripcin.
La denegatoria de la inscripcin del
cdigo de conducta ser resuelta
mediante resolucin del Director de
la Direccin de Registro Nacional
cuando dicha solicitud no cumpla con
los requisitos dispuestos en la Ley,
el presente reglamento y aquellas
disposiciones que dicte la Direccin
General de Proteccin de Datos Per-
sonales, en el marco de sus compe-
tencias legales y estatutarias.
Contra la resolucin que deniega la
73
inscripcin proceden los recursos de
reconsideracin y apelacin, conforme
al procedimiento sealado en los art-
culos 87 y 88 del presente reglamento.
Artculo 97.- Publicidad
El Registro Nacional de Proteccin de
Datos Personales dar publicidad al
contenido de los cdigos de conducta
utilizando para ello medios electrni-
cos o telemtico.
TTULO VI
INFRACCIONES Y
SANCIONES
CAPTULO I
Procedimiento scalizador
Artculo 98.- Objeto.
El procedimiento de scalizacin ten-
dr por objeto determinar si concu-
rren las circunstancias que justiquen
la iniciacin del procedimiento san-
cionador, con identicacin del titular
del banco de datos personales o del
responsable del tratamiento y la pre-
sunta comisin de actos contrarios a
la Ley y al presente reglamento.
Artculo 99.- Inicio del procedimien-
to de scalizacin.
El procedimiento de scalizacin se
inicia siempre de ocio como conse-
cuencia de:
1. Iniciativa directa de la Direccin de Su-
pervisin y Control o del Director Gene-
ral de Proteccin de Datos Personales.
2. Por denuncia de cualquier entidad
pblica, persona natural o jurdica.
En ambos casos, la Direccin de Su-
pervisin y Control requerir al titular
del banco de datos personales, al en-
cargado o a quien resulte responsable,
informacin relativa al tratamiento de
datos personales o la documentacin
necesaria. En el caso de las visitas de
scalizacin a las sedes de las enti-
dades pblicas o privadas donde se
encuentren los bancos de datos per-
sonales que administran, los scali-
zadores tendrn acceso a los mismos.
Artculo 100.- Reconduccin del pro-
cedimiento.
En caso que, de la denuncia presenta-
da pueda percibirse que no se dirige a
los objetivos de un procedimiento de
scalizacin, sino a los de la tutela de
derechos, se derivar al procedimien-
to correspondiente.
Artculo 101.- Fe pblica.
En el ejercicio de las funciones de s-
calizacin, el personal de la Direccin
de Supervisin y Control estar dota-
do de fe pblica para constatar la ve-
racidad de los hechos en relacin con
los trmites a su cargo.
Artculo 102.- Requisitos de la de-
nuncia.
La denuncia deber indicar lo si-
guiente:
74
1. Nombre del denunciante y el domi-
cilio para efectos de recibir las noti-
caciones.
2. Relacin de los hechos en los que
basa su denuncia y los documentos
que la sustenten.
3. Nombre y domicilio del denunciado
o, en su caso, datos para su ubicacin.
Artculo 103.- Forma de la denuncia.
La denuncia podr presentarse en so-
porte fsico o segn los formatos tipo
automatizados, que se exhiban en el
Portal Institucional del Ministerio de
Justicia y Derechos Humanos.
Cuando la denuncia se presente por
medios electrnicos a travs del sis-
tema que establezca la Direccin Ge-
neral de Proteccin de Datos Perso-
nales, se entender que se acepta que
las noticaciones sean efectuadas por
dicho sistema o a travs de otros me-
dios electrnicos generados por ste,
salvo que se seale un medio distinto.
Artculo 104.- Requerimiento de in-
formacin.
Cuando se formule denuncia, la Di-
reccin de Supervisin y Control po-
dr solicitar la documentacin que
estime oportuna al denunciante para
el desarrollo del procedimiento.
Artculo 105.- Desarrollo de la sca-
lizacin.
El procedimiento de scalizacin ten-
dr una duracin mxima de noventa
(90) das, este plazo corre desde la fe-
cha en que la Direccin de Supervisin
y Control recibe la denuncia o da inicio
de ocio al procedimiento y concluir
con el informe que se pronunciar
sobre la existencia de elementos que
sostengan o no, la presunta comisin
de infracciones previstas en la Ley.
El plazo establecido podr ser amplia-
do por una vez y hasta por un periodo
de cuarenta y cinco (45) das, por de-
cisin motivada, atendiendo a la com-
plejidad de la materia scalizada y con
conocimiento del Director General de
Proteccin de Datos Personales.
Artculo 106.- Programa de visitas.
La scalizacin podr incluir diversas
visitas para obtener los elementos de
conviccin necesarios, las cuales se
desarrollarn con un plazo mximo
de diez (10) das entre cada una. Lue-
go de la primera visita, se noticar
un programa de visitas al titular del
banco de datos personales o al encar-
gado o al responsable del tratamiento
y, en su caso, al denunciante.
Artculo 107.- Identicacin del per-
sonal scalizador.
Al iniciar la visita, el personal scaliza-
dor deber exhibir credencial vigente
con fotografa, expedida por la Direc-
Personales que lo acredite como tal.
Artculo 108.- Visitas de scalizacin.
El personal que lleve a cabo las visitas
de scalizacin deber estar provisto
de orden escrita motivada con rma
autgrafa del funcionario, de la que
75
dejar copia, con cargo, a la persona
que atendi la visita.
En la orden deber precisarse el lugar
o los lugares en donde se encuentra
la entidad pblica o privada o la per-
sona natural que se scalizar, o don-
de se encuentren los bancos de datos
personales objeto de scalizacin, el
objeto genrico de la visita y las dispo-
siciones legales que lo fundamenten.
Artculo 109.- Acta de scalizacin.
Las visitas de scalizacin requieren el
levantamiento del acta correspondien-
te, en la que quedar constancia de
las actuaciones practicadas durante
la visita de vericacin. Dicha acta se
levantar en presencia de dos testigos
propuestos por la persona con quien
se entendi la diligencia. Si se hubiera
negado a proponerlos o no hubieran
participado los propuestos, bastar la
rma de la persona con quien se en-
tendi la diligencia o la constancia de
su negativa a rmar, de ser el caso.
El acta se elaborar por duplicado y
ser rmada por el personal scaliza-
dor y quienes hayan participado en la
diligencia. El acta puede incluir la ma-
nifestacin que los participantes con-
sideren que conviene a su derecho.
Se entregar al scalizado uno de los
originales del acta de scalizacin, in-
corporndose el otro a los actuados.
Artculo 110.- Contenido de las actas
de scalizacin.
En las actas de scalizacin se har
constar:
1. Nombre, denominacin o razn so-
cial del scalizado.
2. Hora, da, mes y ao en que se inicie
y concluya la scalizacin.
3. Los datos que identiquen plenamen-
te el lugar donde se realiz la scaliza-
cin, tales como calle, avenida, pasaje,
nmero, distrito, cdigo postal, la enti-
dad pblica o privada en que se encuen-
tre ubicado el lugar en que se practic
la scalizacin, as como el nmero te-
lefnico u otra forma de comunicacin
disponible con el scalizado.
4. Nmero y fecha de la orden de s-
calizacin que la motiv.
5. Nombre y cargo de la persona que
atendi a los scalizadores.
6. Nombre y domicilio de las personas
que participaron como testigos.
7. Datos y detalles relativos a la actuacin.
8. Declaracin del scalizado si lo so-
licitase.
9. Nombre y rma de quienes intervinie-
ron en la scalizacin, incluyendo los de
quienes la hubieran llevado a cabo. Si se
negara a rmar el scalizado, su repre-
sentante legal o la persona que atendi
al scalizador, ello no afectar la validez
del acta, debiedo el personal scaliza-
dor asentar la respectiva razn.
La rma del scalizado no supondr
su conformidad con el contenido, sino
tan slo su participacin y la recep-
cin de la misma.
76
Artculo 111.- Obstruccin a la sca-
lizacin.
Si el scalizado se negara directa-
mente a colaborar u observara una
conducta obstructiva, demorando
injusticadamente su colaboracin,
planteando cuestionamientos no ra-
zonables a la labor scalizadora, des-
atendiendo las indicaciones de los
scalizadores o cualquier otra conducta
similar o equivalente, se dejar cons-
tancia en el acta, con precisin del
acto o los actos obstructivos y de su
naturaleza sistemtica, de ser el caso.
Artculo 112.- Observaciones en el
acto de scalizacin o posteriores.
Sin perjuicio de que los scalizados pue-
dan formular observaciones en el acto
de la scalizacin y manifestar lo que a
su derecho convenga en relacin a los
hechos contenidos en el acta, tambin
podrn hacerlo por escrito dentro del
trmino de los cinco (5) das siguientes
a la fecha en que se hubiere levantado.
Artculo 113.- Informe.
El procedimiento de scalizacin con-
cluir con el informe que expida la
Direccin de Supervisin y Control, en
el que determinar con carcter pre-
liminar las circunstancias que justi
quen la instauracin del procedimien-
to sancionador o la ausencia de ellas.
De ser el caso, se establecern las me-
didas que deber ordenarse al presunto
responsable, en va cautelar. La instruc-
cin del procedimiento sancionador se
llevar a cabo conforme a lo dispuesto
por la Ley y el presente reglamento.
La determinacin de la presunta res-
ponsabilidad por actos contrarios a
lo establecido en la Ley y el presente
reglamento contenida en el Informe,
ser noticada al scalizado y al de-
nunciante, de ser el caso, en un plazo
que no exceder de cinco (5) das.
Artculo 114.- Improcedencia de me-
dios de impugnacin.
En contra del informe de scalizacin
que expide la Direccin de Supervisin
y Control no procede la interposicin de
recurso alguno, la contradiccin de su
contenido y cualquier forma de defensa
respecto de l se harn valer en el pro-
cedimiento sancionador, de ser el caso.
CAPTULO II
Procedimiento sancionador
Artculo 115.- Autoridades del pro-
cedimiento sancionador.
Para efectos de la aplicacin de las
normas sobre el procedimiento san-
cionador establecido en la Ley, las au-
toridades son:
1. El Director de la Direccin de San-
ciones es la autoridad que instruye y
resuelve, en primera instancia, sobre
la existencia de infraccin e imposicin
o no de sanciones y sobre obligaciones
accesorias tendientes a la proteccin
de los datos personales. Asimismo, es
competente para conducir y desarro-
llar la fase de investigacin, y es res-
ponsable de llevar a cabo las actua-
ciones necesarias para determinar las
circunstancias de la comisin, o no, de
77
los actos contrarios a lo establecido en
2. El Director General de Proteccin
de Datos Personales resuelve en se-
gunda y ltima instancia el proce-
dimiento sancionador y su decisin
agota la va administrativa.
Artculo 116.- Inicio del procedi-
miento sancionador.
El procedimiento sancionador ser
promovido siempre de ocio, en aten-
cin a un informe de la Direccin de
Supervisin y Control que puede obe-
decer a una denuncia de parte o a de-
cisin motivada del Director General
Artculo 117.- Rechazo liminar.
La Direccin de Sanciones puede,
mediante resolucin expresa y moti-
vada, decidir el archivamiento de los
casos que no ameriten el inicio del
procedimiento sancionador, no obs-
tante el informe de la Direccin de
Supervisin y Control. Contra esta de-
cisin puede recurrir el denunciante.
Artculo 118.- Medidas cautelares y
correctivas.
Una vez iniciado el procedimiento san-
cionador, la Direccin de Sanciones
podr disponer, mediante acto motiva-
do, la adopcin de medidas de carcter
provisional que aseguren la ecacia de
la resolucin nal que pudiera recaer
en el referido procedimiento, con ob-
servancia de las normas aplicables de
la Ley N 27444, Ley del Procedimien-
to Administrativo General.
Asimismo, sin perjuicio de la sancin
administrativa que corresponda por
una infraccin a las disposiciones
contenidas en la Ley y el presente re-
glamento, se podrn dictar, cuando
sea posible, medidas correctivas des-
tinadas a eliminar, evitar o detener los
efectos de las infracciones.
Artculo 119.- Contenido de la reso-
lucin de inicio del procedimiento
sancionador.
1. La Direccin de Sanciones notica
la resolucin de inicio del procedi-
miento sancionador que contendr:
2. La identicacin de la autoridad
que emite la noticacin.
3. La indicacin del expediente co-
rrespondiente y la mencin del acta
de scalizacin, de ser el caso.
4. La identicacin de la entidad p-
blica o privada a quien se le abre pro-
cedimiento.
5. La decisin de abrir procedimiento
sancionador.
6. El relato de los antecedentes que
motivan el inicio del procedimiento
sancionador, que incluye la manifes-
tacin de los hechos que se atribuyen
al administrado y de la calicacin
de las infracciones que tales hechos
puedan constituir.
7. La sancin o sanciones, que en su
caso se pudieran imponer.
8. El plazo para presentar los descar-
gos y pruebas.
78
Artculo 120.- Presentacin de des-
cargos y pruebas.
El administrado en un plazo mximo
de quince (15) das, contado a partir
del da siguiente de la noticacin
correspondiente presentar su des-
cargo, en el cual podr pronunciarse
concretamente respecto de cada uno
de los hechos que se le imputan de
manera expresa, armndolos, ne-
gndolos, sealando que los igno-
ra por no ser propios o exponiendo
como ocurrieron, segn sea el caso.
Asimismo podr presentar los argu-
mentos por medio de los cuales des-
virte la infraccin que se presuma y
las pruebas correspondientes.
En caso se ofrezca prueba pericial o
testimonial, se precisarn los hechos
sobre los que versarn y se sealarn
los nombres y domicilios del perito o de
los testigos, exhibindose el cuestio-
nario o el interrogatorio respectivo en
preparacin de las mismas. Sin estos
requisitos dichas pruebas se tendrn
por no ofrecidas.
Artculo 121.- Actuaciones para la
instruccin de los hechos.
Vencido el plazo de los quince (15) das
para la presentacin del descargo,
con o sin l, la Direccin de Sanciones
realizar de o cio todas las actuacio-
nes necesarias para el examen de los
hechos y podr disponer una visita de
scalizacin a cargo de la Direccin de
Supervisin y Control, si no se hubiere
hecho antes, con la nalidad de reca-
bar la informacin que sea necesaria o
relevante para determinar, en su caso,
la existencia de infracciones suscepti-
bles de sancin.
Artculo 122.- Cierre de instruccin y tr-
mino del procedimiento sancionador.
Concluidas las actuaciones instructi-
vas, la Direccin de Sanciones emitir
resolucin cerrando la etapa instructiva
dentro de los cincuenta (50) das conta-
dos desde el inicio del procedimiento.
Dentro de los veinte (20) das posterio-
res a la noticacin de la resolucin
de cierre de la etapa instructiva, la Di-
reccin de Sanciones deber resolver
en primera instancia.
Podr solicitarse informe oral dentro
de los cinco (5) das posteriores a la
noticacin de la resolucin de cierre
de la etapa instructiva.
Cuando haya causa justicada, la Di-
reccin de Sanciones podr ampliar
por una vez y hasta por un perodo
igual, el plazo de cincuenta (50) das
al que reere el presente artculo.
La resolucin que resuelve el proce-
dimiento sancionador ser noticada
a todas las partes intervinientes en el
procedimiento.
Artculo 123.- Impugnacin.
Contra la resolucin que resuelve el
procedimiento sancionador proceden
los recursos de reconsideracin o ape-
lacin dentro de los quince (15) das de
noti cada la resolucin al administrado.
El recurso de reconsideracin se susten-
tar en nueva prueba y ser resuelto por
79
la Direccin de Sanciones en un plazo
que no exceder de los treinta (30) das.
El recurso de apelacin ser resuelto
por el Director General de Proteccin
de Datos Personales, debiendo dirigir-
se a la misma autoridad que expidi el
acto que se impugna, para que eleve lo
actuado. El recurso de apelacin de-
ber ser resuelto en un plazo no ma-
yor de treinta (30) das.
CAPTULO III
Sanciones
Artculo 124.- Determinacin de la
sancin administrativa de multa.
Las multas se determinan en fun-
cin a la Unidad Impositiva Tributaria
vigente a la fecha en que se cometi
la infraccin y cuando no sea posible
establecer tal fecha, la que estuviere
vigente a la fecha en que la Direccin
sonales detect la infraccin.
Artculo 125.- Graduacin del monto
de la sancin administrativa de multa.
Para graduar la sancin a imponerse
debe observarse el principio de razo-
nabilidad de la potestad sancionadora
reconocido en el numeral 3 del artculo
230 de la Ley N 27444, Ley del Procedi-
miento Administrativo General, as como
la condicin de sancionado reincidente y
la conducta procedimental del infractor.
En caso de que las infracciones con-
tinen, luego de haber sido sancio-
nado, debe imponerse una sancin
mayor a la previamente impuesta
conforme a los trminos establecidos
en el numeral 7 del artculo 230 de la
Ley N 27444, Ley del Procedimiento
Administrativo General.
Artculo 126.- Atenuantes.
La colaboracin con las acciones de la
autoridad y el reconocimiento espont-
neo de las infracciones acompaado de
acciones de enmienda se considerarn
atenuantes. Atendiendo a la oportunidad
del reconocimiento y a las frmulas de
enmienda, la atenuacin permitir inclu-
so la reduccin motivada de la sancin
por debajo del rango previsto en la Ley.
Artculo 127.- Mora en el pago de las
multas.
El administrado que no realiza el pago
oportuno de las multas incurre en mora
automtica, en consecuencia el monto
de las multas impagas devengar in-
ters moratorio que se aplicar diaria-
mente desde el da siguiente de la fecha
del vencimiento del plazo de cancelacin
de la multa hasta la fecha de pago inclu-
sive, multiplicando el monto de la multa
impaga por la Tasa de Inters Moratoria
(TIM) diaria vigente. La Tasa de Inters
Moratoria (TIM) diaria vigente resulta de
dividir la Tasa de Inters Moratoria (TIM)
vigente entre treinta (30).
Artculo 128.- Incentivos para el
pago de la sancin de multa.
Se considerar que el sancionado
ha cumplido con pagar la sancin de
multa si, antes de vencer el plazo otor-
gado para pagar la multa, deposita en
80
la cuenta bancaria determinada por
la Direccin General de Proteccin
de Datos Personales el sesenta por
ciento (60%) de su monto. Para que
surta efecto dicho benecio deber
comunicar tal hecho a la Direccin
sonales, adjuntando el comprobante
del depsito bancario correspon-
diente. Luego de dicho plazo, el pago
slo ser admitido por el ntegro de la
multa impuesta.
Artculo 129.- Ejecucin de la san-
cin de multa.
La ejecucin de la sancin de multa se
rige por la ley de la materia referida al
procedimiento de ejecucin coactiva.
Artculo 130.- Registro de sanciones,
medidas cautelares y correctivas.
La Direccin de Registro Nacional de
Proteccin de Datos Personales ten-
dr a su cargo el Registro de Sancio-
nados por incumplimiento de la Ley
y el presente reglamento, el Registro
de Medidas Cautelares y el Registro
de Medidas Correctivas, los mismos
que sern publicados en el Portal
Institucional del Ministerio de Justicia
y Derechos Humanos.
Artculo 131.- Aplicacin de multas
coercitivas
En caso de incumplimiento de obli-
gaciones accesorias a la sancin de
multa impuesta por infraccin a la Ley
y el presente reglamento, la Direccin
de Sanciones podr imponer multas
coercitivas de acuerdo a la siguiente
graduacin:
1. Por incumplimiento de obligacio-
nes accesorias a la sancin de mul-
ta impuestas por infracciones leves,
la multa coercitiva ser desde cero
coma dos a dos Unidades Impositivas
Tributarias (0,2 a 2 UIT).
2. Por incumplimiento de obligaciones
accesorias a la sancin de multa im-
puestas por infracciones graves, la mul-
ta coercitiva ser de dos a seis Unidades
Impositivas Tributarias (2 a 6 UIT).
3. Por incumplimiento de obligacio-
nes accesorias a la sancin de multa
impuestas por infracciones muy gra-
ves, la multa coercitiva ser de seis a
diez Unidades Impositivas Tributarias
(6 a 10 UIT).
MENTARIAS FINALES
PRIMERA.- Interoperabilidad entre
entidades pblicas.
La denicin, los alcances y el conteni-
do de la interoperabilidad, a que hace
referencia el primer prrafo del art-
culo 11 del presente reglamento, as
como los lineamientos para su aplica-
cin y funcionamiento en concordancia
con las normas de proteccin de datos
personales, son competencia de la
Ocina Nacional de Gobierno Electr-
nico e Informtica ONGEI de la Pre-
sidencia del Consejo de Ministros, en
su calidad de Ente Rector del Sistema
Nacional de Informtica. La interope-
rabilidad entre entidades se regular
en cuanto a su implementacin en el
marco de lo dispuesto por el numeral
81
76.2.2 del inciso 76.2 del artculo 76 de
la Ley N 27444, Ley del Procedimien-
to Administrativo General.
SEGUNDA.- Proteccin de datos per-
sonales y competitividad.
Las competencias establecidas en el
presente reglamento son ejercidas
por la Autoridad Nacional de Protec-
cin de Datos Personales, en concor-
dancia con las polticas de competiti-
vidad del pas establecidas por el ente
correspondiente.
TERCERA.- Proteccin de datos per-
sonales y programas sociales.
Conforme a lo previsto en el numeral 12
del artculo 33 de la Ley, los trminos en
que debe concordarse el cumplimiento
de la Ley y el presente Reglamento con
las normas o polticas de transparencia
y scalizacin que rigen la administra-
cin de los bancos de datos vinculados
con los Programas Sociales y el Siste-
ma de Focalizacin de Hogares sern
desarrollados mediante directiva y en
coordinacin con el Ministerio de Desa-
rrollo e Inclusin Social MIDIS.
MENTARIAS TRANSITORIAS
PRIMERA.- Adecuacin de bancos de
datos personales.
En el plazo de dos (2) aos de la entrada
en vigenci del presente reglamento, los
bancos de datos personales existentes,
deben adecuarse a lo establecido por la
Ley y el presente reglamento, sin per-
juicio de la inscripcin a que se reere
la Quinta Disposicin Complementaria
Final de la Ley N 29733, Ley de Protec-
SEGUNDA.- Facultad sancionadora.
La facultad sancionadora de la Direc-
Personales, en relacin a los bancos de
datos personales existentes a la fecha
de la entrada en vigencia del presente
reglamento, queda suspendida hasta
el vencimiento del plazo de adecuacin
establecido en la Primera Disposicin
Complementaria Transitoria.
TERCERA.- Formatos.
La Direccin General de Proteccin de
Datos Personales crear los formatos
tipo necesarios para la tramitacin de los
procedimientos regulados en el presente
reglamento en un plazo que no exceder
de sesenta (60) das de la entrada en vi-
gencia del presente reglamento.
Este documento se termin de imprimir
en los talleres grcos de la imprenta
LITHO & ARTE S.A.C.
Jr. Iquique N 046, Brea.
Calle Scipin Llona N 350, Miraores
Lima - Per
Telfono: 204 8020
www.minjus.gob.pe
"Tu tambi n ti enes derechos
y deberes"

Compendio NewEdition BAJA

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Compendio NewEdition BAJA

Uploaded by

Copyright:

Available Formats

COMPENDI O

Autori dad Naci onal de

You might also like