X

rea Derecho de la Competencia y Propiedad Intelectual

Contenido
Cules son las obligaciones en la regulacin de bancos de datos
personales?

informe especial

X-1

Cules son las obligaciones en la regulacin de

bancos de datos personales?
Ficha Tcnica
Autor : Dr. Cristhian Northcote Sandoval
Ttulo : Cules son las obligaciones en la regulacin de bancos de datos personales?
Fuente : Actualidad Empresarial N. 326 - Primera
Quincena de Mayo 2015

1. Introduccin
En el ao 2011 se public la Ley N.
29733, Ley de Proteccin de Datos Personales, la cual fue reglamentada a travs
del Decreto Supremo N. 003-2013-JUS,
del 21 de marzo de 2013.
Si bien en sentido estricto la Ley y su
reglamento entraron en vigencia a los
treinta das hbiles de la publicacin de
este ltimo, en la prctica las obligaciones
correspondientes al registro de los bancos
de datos y la capacidad de la Direccin
Nacional de Justicia para sancionar las
infracciones a la normatividad haban
estado en suspenso.
Esta suspensin ha quedado levantada
a partir del 8 de mayo de 2015, y en
ese sentido, todas las empresas que
cuentan con bancos de datos personales, deben proceder a registrarlos ante
la autoridad nacional y cumplir con las
dems formalidades previstas en la Ley
y su reglamento.
Por estos motivos, veremos en este
informe las principales obligaciones y
consideraciones que se derivan de la Ley
N. 29733 y su reglamento.

2. Marco legal
Para efectos del presente informe, se han
considerado las disposiciones contenidas
en la Ley N. 29733 y su reglamento
aprobado por el Decreto Supremo N.
003-2013-JUS.
N 326

Primera Quincena - Mayo 2015

3. mbito de aplicacin
Tal y como lo establece el artculo 1 de la
Ley N. 29733, su objetivo es el de garantizar el respeto del derecho a la proteccin
de los datos personales, consagrado en el
numeral 6 del artculo 2 de la Constitucin
Poltica del Per.
Las disposiciones de la Ley N. 29733 y
su reglamento son aplicables a los datos
personales contenidos o destinados a
estar contenidos en bancos de datos de
administracin pblica o privada, dentro
del territorio nacional. La Ley N. 29733
no ser aplicable a los siguientes datos
personales:
A los contenidos o destinados a ser
contenidos en bancos de datos personales creados por personas naturales
para fines exclusivamente relacionados con su vida privada o familiar.
A los contenidos o destinados a ser
contenidos en bancos de datos de
administracin pblica, solo en tanto su tratamiento resulte necesario
para el estricto cumplimiento de las
competencias asignadas por ley a las
respectivas entidades pblicas, para la
defensa nacional, seguridad pblica,
y para el desarrollo de actividades en
materia penal para la investigacin y
represin del delito.
Adems de las definiciones que contiene
la Ley, el reglamento estableci las siguientes definiciones para su aplicacin:
Banco de datos personales no automatizado: conjunto de datos de
personas naturales no computarizado
y estructurado conforme a criterios
especficos, que permita acceder sin
esfuerzos desproporcionados a los
datos personales, ya sea aquel centralizado, descentralizado o repartido
de forma funcional o geogrfica.
Bloqueo: es la medida por la que el
encargado del banco de datos perso-

nales impide el acceso de terceros a

los datos y estos no pueden ser objeto
de tratamiento, durante el periodo
en que se est procesando alguna
solicitud de actualizacin, inclusin,
rectificacin o supresin, en concordancia con lo que dispone el tercer
prrafo del artculo 20 de la Ley.
Se dispone tambin como paso previo a la cancelacin por el tiempo
necesario para determinar posibles
responsabilidades en relacin a los
tratamientos, durante el plazo de
prescripcin legal o previsto contractualmente.
Cancelacin: es la accin o medida que en la Ley se describe como
supresin, cuando se refiere a datos
personales, que consiste en eliminar
o suprimir los datos personales de un
banco de datos.
Datos personales: es aquella informacin numrica, alfabtica, grfica,
fotogrfica, acstica, sobre hbitos
personales, o de cualquier otro tipo
concerniente a las personas naturales
que las identifica o las hace identificables a travs de medios que puedan
ser razonablemente utilizados.
Datos personales relacionados con
la salud: es aquella informacin concerniente a la salud pasada, presente
o pronosticada, fsica o mental, de
una persona, incluyendo el grado de
discapacidad y su informacin gentica.
Datos sensibles: es aquella informacin relativa a datos personales referidos a las caractersticas fsicas, morales
o emocionales, hechos o circunstancias
de su vida afectiva o familiar, los hbitos personales que corresponden a
la esfera ms ntima, la informacin
relativa a la salud fsica o mental u otras
anlogas que afecten su intimidad.
Das: das hbiles.
Actualidad Empresarial

X-1

Informe Especial

X-4

GLOSARIO

Informe Especial

Direccin General de Proteccin

de Datos Personales: es el rgano
encargado de ejercer la Autoridad
Nacional de Proteccin de Datos
Personales a que se refiere el artculo 32 de la Ley, pudiendo usarse
indistintamente cualquiera de dichas
denominaciones.
Emisor o exportador de datos
personales: es el titular del banco de
datos personales o aquel que resulte
responsable del tratamiento situado
en el Per que realice, conforme a lo
dispuesto en el presente reglamento,
una transferencia de datos personales
a otro pas.
Encargado del tratamiento: es
quien realiza el tratamiento de los
datos personales, pudiendo ser el
propio titular del banco de datos
personales o el encargado del banco
de datos personales u otra persona
por encargo del titular del banco de
datos personales en virtud de una
relacin jurdica que le vincula con
el mismo y delimita el mbito de su
actuacin. Incluye a quien realice el
tratamiento de datos personales por
orden del responsable del tratamiento
cuando este se realice sin la existencia
de un banco de datos personales.
Receptor o importador de datos
personales: es toda persona natural o jurdica de derecho privado,
incluyendo las sucursales, filiales,
vinculadas o similares; o entidades
pblicas, que recibe los datos en caso
de transferencia internacional, ya sea
como titular o encargado del banco
de datos personales, o como tercero.
Rectificacin: es aquella accin genrica destinada a afectar o modificar
un banco de datos personales ya sea
para actualizarlo, incluir informacin
en l o especficamente rectificar su
contenido con datos exactos.
Repertorio de jurisprudencia: es
el banco de resoluciones judiciales
o administrativas que se organizan
como fuente de consulta y destinadas
al conocimiento pblico.
Responsable del tratamiento: es
aquel que decide sobre el tratamiento
de datos personales, aun cuando no
se encuentren en un banco de datos
personales.
Tercero: es toda persona natural,
persona jurdica de derecho privado
o entidad pblica, distinta del titular
de datos personales, del titular o
encargado del banco de datos personales y del responsable del tratamiento, incluyendo a quienes tratan
los datos bajo autoridad directa de
aquellos.
Resulta importante tambin tener en
cuenta que el reglamento prev algunas exclusiones, en virtud de las cuales

X-2

Instituto Pacfico

determinados bancos de datos no estn

incluidos en el mbito de aplicacin.
As, el artculo 4 del reglamento establece
lo siguiente:
Artculo 4.- Excepciones al mbito de
aplicacin
Las disposiciones de este reglamento no
sern de aplicacin a:
1. El tratamiento de datos personales realizado por personas naturales para fines
exclusivamente domsticos, personales o
relacionados con su vida privada o familiar.
2. Los contenidos o destinados a ser contenidos en bancos de datos personales de la
administracin pblica, solo en tanto su tratamiento resulte necesario para el estricto
cumplimiento de competencias asignadas
por ley a las respectivas entidades pblicas
siempre que tengan por objeto:
2.1 La defensa nacional.
2.2 La seguridad pblica y,
2.3 El desarrollo de actividades en materia
penal para la investigacin y represin
del delito.

4. Principios previstos en el reglamento

La Ley N. 29733 estableca una serie
de principios rectores, segn el siguiente
detalle:
Principio de legalidad
El tratamiento de los datos personales se
hace conforme a lo establecido en la ley.
Se prohbe la recopilacin de los datos
personales por medios fraudulentos,
desleales o ilcitos.
Principio de consentimiento
Para el tratamiento de los datos personales debe mediar el consentimiento de
su titular.
Principio de finalidad
Los datos personales deben ser recopilados para una finalidad determinada,
explcita y lcita. El tratamiento de los
datos personales no debe extenderse a
otra finalidad que no haya sido la establecida de manera inequvoca como tal al
momento de su recopilacin, excluyendo
los casos de actividades de valor histrico,
estadstico o cientfico cuando se utilice
un procedimiento de disociacin o anonimizacin.
Principio de proporcionalidad
Todo tratamiento de datos personales
debe ser adecuado, relevante y no excesivo a la finalidad para la que estos
hubiesen sido recopilados.
Principio de calidad
Los datos personales que vayan a ser
tratados deben ser veraces, exactos y, en
la medida de lo posible, actualizados,
necesarios, pertinentes y adecuados res-

pecto de la finalidad para la que fueron

recopilados. Deben conservarse de forma
tal que se garantice su seguridad y solo
por el tiempo necesario para cumplir con
la finalidad del tratamiento.
Principio de seguridad
El titular del banco de datos personales
y el encargado de su tratamiento deben
adoptar las medidas tcnicas, organizativas y legales necesarias para garantizar
la seguridad de los datos personales. Las
medidas de seguridad deben ser apropiadas y acordes con el tratamiento que
se vaya a efectuar y con la categora de
datos personales de que se trate.
Principio de disposicin de recurso
Todo titular de datos personales debe
contar con las vas administrativas o
jurisdiccionales necesarias para reclamar
y hacer valer sus derechos, cuando estos
sean vulnerados por el tratamiento de sus
datos personales.
Principio de nivel de proteccin
adecuado
Para el flujo transfronterizo de datos
personales, se debe garantizar un nivel
suficiente de proteccin para los datos
personales que se vayan a tratar o, por lo
menos, equiparable a lo previsto por esta
Ley o por los estndares internacionales
en la materia.
Por su parte, el reglamento tambin ha
establecido principios en su artculos 6,
7, 8, 9 y 10:
Artculo 6.- Principios rectores
El titular del banco de datos personales, o
en su caso, quien resulte responsable del
tratamiento, debe cumplir con los principios
rectores de la proteccin de datos personales, de conformidad con lo establecido en
la Ley, aplicando los criterios de desarrollo
que se establecen en el presente ttulo del
reglamento.
Artculo 7.- Principio de consentimiento
En atencin al principio de consentimiento,
el tratamiento de los datos personales es
lcito cuando el titular del dato personal
hubiere prestado su consentimiento libre,
previo, expreso, informado e inequvoco.
No se admiten frmulas de consentimiento
en las que este no sea expresado de forma
directa, como aquellas en las que se requiere
presumir, o asumir la existencia de una
voluntad que no ha sido expresa. Incluso
el consentimiento prestado con otras declaraciones, deber manifestarse en forma
expresa y clara.
Artculo 8.- Principio de finalidad
En atencin al principio de finalidad se considera que una finalidad est determinada
cuando haya sido expresada con claridad,
sin lugar a confusin y cuando de manera
objetiva se especifica el objeto que tendr el
tratamiento de los datos personales.
Tratndose de banco de datos personales
que contengan datos sensibles, su creacin
solo puede justificarse si su finalidad adems

N 326

Primera Quincena - Mayo 2015

rea Derecho de la Competencia y Propiedad Intelectual

de ser legtima, es concreta y acorde con las
actividades o fines explcitos del titular del
banco de datos personales.
Los profesionales que realicen el tratamiento
de algn dato personal, adems de estar
limitados por la finalidad de sus servicios,
se encuentran obligados a guardar secreto
profesional.
Artculo 9.- Principio de calidad
En atencin al principio de calidad, los datos
contenidos en un banco de datos personales,
deben ajustarse con precisin a la realidad.
Se presume que los datos directamente
facilitados por el titular de los mismos son
exactos.
Artculo 10.- Principio de seguridad
En atencin al principio de seguridad, en el
tratamiento de los datos personales deben
adoptarse las medidas de seguridad que
resulten necesarias a fin de evitar cualquier
tratamiento contrario a la Ley o al presente
reglamento, incluyndose en ellos a la
adulteracin, la prdida, las desviaciones de
informacin, intencionales o no, ya sea que
los riesgos provengan de la accin humana
o del medio tcnico utilizado.

Tanto los principios de la Ley como los del

reglamento constituyen reglas generales
que deben ser cumplidas por todas las
personas que administran o manejan
bancos de datos personales.

5. Tratamiento de datos personales

Sin perjuicio de las reglas y disposiciones
que contiene la Ley, el reglamento prev
una serie de consideraciones sobre el
tratamiento de los datos personales. Pero
probablemente, de todos los aspectos que
desarrolla, el referido al consentimiento
sea el ms importante.
Veamos qu dice el artculo 12 del reglamento:
Artculo 12.- Caractersticas del consentimiento
Adems de lo dispuesto en el artculo 18
de la Ley y en el artculo precedente del
presente reglamento, la obtencin del consentimiento debe ser:
1. Libre: Sin que medie error, mala fe,
violencia o dolo que puedan afectar la
manifestacin de voluntad del titular de
los datos personales.
La entrega de obsequios o el otorgamiento de beneficios al titular de los
datos personales con ocasin de su consentimiento no afectan la condicin de
libertad que tiene para otorgarlo, salvo
en el caso de menores de edad, en los
supuestos en que se admite su consentimiento, en que no se considerar libre
el consentimiento otorgado mediando
obsequios o beneficios.
El condicionamiento de la prestacin de
un servicio, o la advertencia o amenaza
de denegar el acceso a beneficios o servicios que normalmente son de acceso no
restringido, s afecta la libertad de quien
otorga consentimiento para el tratamien-

N 326

Primera Quincena - Mayo 2015

to de sus datos personales, si los datos

solicitados no son indispensables para la
prestacin de los beneficios o servicios.
2. Previo: Con anterioridad a la recopilacin
de los datos o en su caso, anterior al
tratamiento distinto a aquel por el cual
ya se recopilaron.
3. Expreso e inequvoco: Cuando el consentimiento haya sido manifestado en
condiciones que no admitan dudas de su
otorgamiento.
Se considera que el consentimiento expreso se otorg verbalmente cuando el
titular lo exterioriza oralmente de manera
presencial o mediante el uso de cualquier
tecnologa que permita la interlocucin
oral.
Se considera consentimiento escrito a
aquel que otorga el titular mediante un
documento con su firma autgrafa, huella dactilar o cualquier otro mecanismo
autorizado por el ordenamiento jurdico
que queda o pueda ser impreso en una
superficie de papel o similar.
La condicin de expreso no se limita a la
manifestacin verbal o escrita.
En sentido restrictivo y siempre de
acuerdo con lo dispuesto por el artculo
7 del presente reglamento, se considerar
consentimiento expreso a aquel que se
manifieste mediante la conducta del
titular que evidencie que ha consentido
inequvocamente, dado que de lo contrario su conducta, necesariamente, hubiera
sido otra.
Tratndose del entorno digital, tambin
se considera expresa la manifestacin
consistente en hacer clic, cliquear
o pinchar, dar un toque, touch o
pad u otros similares.
En este contexto el consentimiento
escrito podr otorgarse mediante firma
electrnica, mediante escritura que quede grabada, de forma tal que pueda ser
leda e impresa, o que por cualquier otro
mecanismo o procedimiento establecido
permita identificar al titular y recabar su
consentimiento, a travs de texto escrito.
Tambin podr otorgarse mediante texto
preestablecido, fcilmente visible, legible
y en lenguaje sencillo, que el titular
pueda hacer suyo, o no, mediante una
respuesta escrita, grfica o mediante clic
o pinchado.
La sola conducta de expresar voluntad
en cualquiera de las formas reguladas
en el presente numeral no elimina, ni da
por cumplidos, los otros requisitos del
consentimiento referidos a la libertad,
oportunidad e informacin.
4. Informado: Cuando al titular de los datos
personales se le comunique clara, expresa
e indubitablemente, con lenguaje sencillo,
cuando menos de lo siguiente:
a. La identidad y domicilio o direccin del
titular del banco de datos personales
o del responsable del tratamiento al
que puede dirigirse para revocar el
consentimiento o ejercer sus derechos.
b. La finalidad o finalidades del tratamiento a las que sus datos sern
sometidos.
c. La identidad de los que son o pueden
ser sus destinatarios, de ser el caso.
d. La existencia del banco de datos personales en que se almacenarn, cuando
corresponda.

e. El carcter obligatorio o facultativo de

sus respuestas al cuestionario que se le
proponga, cuando sea el caso.
f. Las consecuencias de proporcionar
sus datos personales y de su negativa
a hacerlo.
g. En su caso, la transferencia nacional
e internacional de datos que se efecten.

6. Fuentes accesibles al pblico

Otro de los aspectos importantes del
reglamento es que determina cules son
las fuentes de datos personales que no
requieren consentimiento para su acceso.
El artculo 17 del reglamento dispone lo
siguiente:
Artculo 17.- Fuentes accesibles al
pblico
Para los efectos del artculo 2, inciso 9) de
la Ley, se considerarn fuentes accesibles
al pblico, con independencia de que
el acceso requiera contraprestacin, las
siguientes:
1. Los medios de comunicacin electrnica,
ptica y de otra tecnologa, siempre que
el lugar en el que se encuentren los datos
personales est concebido para facilitar
informacin al pblico y est abierto a la
consulta general.
2. Las guas telefnicas, independientemente del soporte en el que estn a disposicin y en los trminos de su regulacin
especfica.
3. Los diarios y revistas independientemente
del soporte en el que estn a disposicin
y en los trminos de su regulacin especfica.
4. Los medios de comunicacin social.
5. Las listas de personas pertenecientes
a grupos profesionales que contengan
nicamente los datos de nombre, ttulo,
profesin, actividad, grado acadmico,
direccin postal, nmero telefnico,
nmero de fax, direccin de correo
electrnico y aquellos que establezcan su
pertenencia al grupo.
En el caso de colegios profesionales, podrn
indicarse adems los siguientes datos de sus
miembros: nmero de colegiatura, fecha de
incorporacin y situacin gremial en relacin
al ejercicio profesional.
6. Los repertorios de jurisprudencia, debidamente anonimizados.
7. Los Registros Pblicos administrados por
la Superintendencia Nacional de Registros
Pblicos - SUNARP, as como todo otro
registro o banco de datos calificado como
pblico conforme a ley.
8. Las entidades de la Administracin Pblica, en relacin a la informacin que deba
ser entregada en aplicacin de la Ley
N. 27806, Ley de Transparencia y Acceso
a la Informacin Pblica.
Lo dispuesto en el numeral precedente
no quiere decir que todo dato personal
contenido en informacin administrada
por las entidades sujetas a la Ley de
Transparencia y Acceso a la Informacin
Pblica sea considerado informacin
pblica accesible. La evaluacin del
acceso a datos personales en posesin

Actualidad Empresarial

X-3

Informe Especial

de entidades de administracin pblica

se har atendiendo a las circunstancias
de cada caso concreto.
El tratamiento de los datos personales
obtenidos a travs de fuentes de acceso
pblico deber respetar los principios
establecidos en la Ley y en el presente
reglamento.

7. Registro Nacional de Proteccin de Datos

En este registro se debern inscribir los
siguientes elementos:
Los bancos de datos personales de
la administracin pblica, con las
excepciones previstas en la Ley y el
presente reglamento.
Los bancos de datos personales de administracin privada, con la excepcin
prevista en el numeral 1) del artculo
3 de la Ley.
Los cdigos de conducta a que se
refiere el artculo 31 de la Ley.
Las sanciones, medidas cautelares o
correctivas impuestas por la Direccin
General de Proteccin de Datos Personales conforme a la Ley y el presente
reglamento.
Las comunicaciones referidas al
flujo transfronterizo de datos personales.
Es obligatoria la inscripcin en el Registro,
tanto para los bancos de datos pblicos
como para los privados. Para tal efecto, se debe proporcionar la siguiente
informacin al presentar la solicitud de
inscripcin:
La denominacin y ubicacin del banco de datos personales, sus finalidades
y los usos previstos.
La identificacin del titular del banco
de datos personales, y en su caso,
la identificacin del encargado del
tratamiento.
Tipos de datos personales sometidos
a tratamiento en dicho banco.
Procedimientos de obtencin y el
sistema de tratamiento de los datos
personales.
La descripcin tcnica de las medidas
de seguridad.
Los destinatarios de transferencias de
datos personales.

X-4

Instituto Pacfico

8. Procedimiento sancionador
Finalmente, otro de los aspectos importantes del reglamento es la regulacin
del procedimiento sancionador que se
aplica para determinar y sancionar las
infracciones tipificadas por la Ley.
Para tal efecto, el reglamento ha previsto
un procedimiento en dos instancias,
primero ante la Direccin de Sanciones y
en segunda instancia ante al Direccin General de Proteccin de Datos Personales.
Ahora bien, como recordaremos, la Ley
ha establecido una escala de infracciones
leves, graves y muy graves:
a) Infracciones leves
Dar tratamiento a datos personales sin
recabar el consentimiento de sus titulares, cuando el mismo sea necesario
conforme a lo dispuesto en la Ley.
No atender, impedir u obstaculizar
el ejercicio de los derechos del titular
de datos personales reconocidos en
la Ley, cuando legalmente proceda.
Obstruir el ejercicio de la funcin
fiscalizadora de la Direccin Nacional
de Justicia.
b) Infracciones graves
Dar tratamiento a los datos personales contraviniendo los principios
establecidos en la Ley o incumpliendo
sus dems disposiciones o las de su
reglamento.
Incumplir la obligacin de confidencialidad establecida en el artculo 17
de la Ley.
No atender, impedir u obstaculizar,
en forma sistemtica, el ejercicio de
los derechos del titular de datos personales reconocidos en la Ley, cuando
legalmente proceda.
Obstruir, en forma sistemtica, el
ejercicio de la funcin fiscalizadora
de la Direccin Nacional de Justicia.
No inscribir el banco de datos personales en el Registro Nacional de
Proteccin de Datos Personales.
c) Infracciones muy graves
Dar tratamiento a los datos personales
contraviniendo los principios establecidos en la Ley o incumpliendo sus
dems disposiciones o las de su re-

glamento, cuando con ello se impida

o se atente contra el ejercicio de los
derechos fundamentales.
Crear, modificar, cancelar o mantener
bancos de datos personales sin cumplir con lo establecido por la Ley o su
reglamento.
Suministrar documentos o informacin falsa o incompleta a la Direccin
Nacional de Justicia.
No cesar en el tratamiento ilcito de
datos personales, cuando existiese un
previo requerimiento de la Direccin
Nacional de Justicia.
No inscribir el banco de datos personales en el Registro Nacional de
Proteccin de Datos Personales, no
obstante haber sido requerido para
ello por la Direccin Nacional de
Justicia.
Las multas a imponerse tendrn la siguiente escala:
Las infracciones leves sern sancionadas con una multa mnima desde 0,5
de una unidad impositiva tributaria
(UIT) hasta 5 unidades impositivas
tributarias (UIT).
Las infracciones graves sern sancionadas con multa desde ms de
5 unidades impositivas tributarias
(UIT) hasta 50 unidades impositivas
tributarias (UIT).
Las infracciones muy graves sern
sancionadas con multa desde ms de
50 unidades impositivas tributarias
(UIT) hasta 100 unidades impositivas
tributarias (UIT).
La Ley prev que las multas a imponerse
no podrn superar el diez por ciento de
los ingresos brutos anuales que hubiera
percibido el infractor durante el ejercicio
anterior.

9. Conclusiones
Como indicamos en la introduccin del
presente informe, la aplicacin de las obligaciones de la Ley y su reglamento ha comenzado a partir del 8 de mayo de 2015.
Para estos efectos, es necesario tomar en
cuenta las disposiciones legales y tambin
las formalidades y requisitos previstos
en el TUPA de la Direccin Nacional de
Justicia, que pueden ser revisados en la
pgina web www.minjus.gob.pe.

N 326

Primera Quincena - Mayo 2015