¿Cuáles son las obligaciones en la regulación de bancos de datos personales?

Jhon D. Ticona Ruelas -
1. Introducción: En el año 2011 se publicó la Ley N.º 29733, Ley de Protección de Datos Personales, la cual fue reglamentada a través del Decreto Supremo N.° 003-2013-JUS, del 21 de marzo de 2013. Si bien en sentido estricto la Ley y su reglamento entraron en vigencia a los treinta días hábiles de la publicación de este último, en la práctica las obligaciones correspondientes al registro de los bancos de datos y la capacidad de la Dirección Nacional de Justicia para sancionar las infracciones a la normatividad habían estado en suspenso. Esta suspensión ha quedado levantada a partir del 8 de mayo de 2015, y en ese sentido, todas las empresas que cuentan con bancos de datos personales, deben proceder a registrarlos ante la autoridad nacional y cumplir con las demás formalidades previstas en la Ley y su reglamento. Por estos motivos, veremos en este informe las principales obligaciones y consideraciones que se derivan de la Ley N.º 29733 y su reglamento. 

2. Marco legal: Para efectos del presente informe, se han considerado las disposiciones contenidas en la Ley N.º 29733 y su reglamento aprobado por el Decreto Supremo N.° 003-2013-JUS. 

3. Ámbito de aplicación: Tal y como lo establece el artículo 1 de la Ley N.º 29733, su objetivo es el de garantizar el respeto del derecho a la protección de los datos personales, consagrado en el numeral 6 del artículo 2 de la Constitución Política del Perú. Las disposiciones de la Ley N.º 29733 y su reglamento son aplicables a los datos personales contenidos o destinados a estar contenidos en bancos de datos de administración pública o privada, dentro del territorio nacional. La Ley N.º 29733 no será aplicable a los siguientes datos personales: 

  • A los contenidos o destinados a ser contenidos en bancos de datos personales creados por personas naturales para fines exclusivamente relacionados con su vida privada o familiar.
  • A los contenidos o destinados a ser contenidos en bancos de datos de administración pública, solo en tanto su tratamiento resulte necesario para el estricto cumplimiento de las competencias asignadas por ley a las respectivas entidades públicas, para la defensa nacional, seguridad pública, y para el desarrollo de actividades en materia penal para la investigación y represión del delito.
Además de las definiciones que contiene la Ley, el reglamento estableció las siguientes definiciones para su aplicación:

  • Banco de datos personales no automatizado: conjunto de datos de personas naturales no computarizado y estructurado conforme a criterios específicos, que permita acceder sin esfuerzos desproporcionados a los datos personales, ya sea aquel centralizado, descentralizado o repartido de forma funcional o geográfica.
  • Bloqueo: es la medida por la que el encargado del banco de datos personales impide el acceso de terceros a los datos y estos no pueden ser objeto de tratamiento, durante el periodo en que se esté procesando alguna solicitud de actualización, inclusión, rectificación o supresión, en concordancia con lo que dispone el tercer párrafo del artículo 20 de la Ley. Se dispone también como paso previo a la cancelación por el tiempo necesario para determinar posibles responsabilidades en relación a los tratamientos, durante el plazo de prescripción legal o previsto contractualmente.
  • Cancelación: es la acción o medida que en la Ley se describe como supresión, cuando se refiere a datos personales, que consiste en eliminar o suprimir los datos personales de un banco de datos.
  • Datos personales: es aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a las personas naturales que las identifica o las hace identificables a través de medios que puedan ser razonablemente utilizados.
  • Datos personales relacionados con la salud: es aquella información concerniente a la salud pasada, presente o pronosticada, física o mental, de una persona, incluyendo el grado de discapacidad y su información genética.
  • Datos sensibles: es aquella información relativa a datos personales referidos a las características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la salud física o mental u otras análogas que afecten su intimidad. 
  • Días: días hábiles.
  • Dirección General de Protección de Datos Personales: es el órgano encargado de ejercer la Autoridad Nacional de Protección de Datos Personales a que se refiere el artículo 32 de la Ley, pudiendo usarse indistintamente cualquiera de dichas denominaciones.
  • Emisor o exportador de datos personales: es el titular del banco de datos personales o aquel que resulte responsable del tratamiento situado en el Perú que realice, conforme a lo dispuesto en el presente reglamento, una transferencia de datos personales a otro país.
  • Encargado del tratamiento: es quien realiza el tratamiento de los datos personales, pudiendo ser el propio titular del banco de datos personales o el encargado del banco de datos personales u otra persona por encargo del titular del banco de datos personales en virtud de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación. Incluye a quien realice el tratamiento de datos personales por orden del responsable del tratamiento cuando este se realice sin la existencia de un banco de datos personales. 
  • Receptor o importador de datos personales: es toda persona natural o jurídica de derecho privado, incluyendo las sucursales, filiales, vinculadas o similares; o entidades públicas, que recibe los datos en caso de transferencia internacional, ya sea como titular o encargado del banco de datos personales, o como tercero.
  • Rectificación: es aquella acción genérica destinada a afectar o modificar un banco de datos personales ya sea para actualizarlo, incluir información en él o específicamente rectificar su contenido con datos exactos.
  • Repertorio de jurisprudencia: es el banco de resoluciones judiciales o administrativas que se organizan como fuente de consulta y destinadas al conocimiento público.
  • Responsable del tratamiento: es aquel que decide sobre el tratamiento de datos personales, aun cuando no se encuentren en un banco de datos personales.
  • Tercero: es toda persona natural, persona jurídica de derecho privado o entidad pública, distinta del titular de datos personales, del titular o encargado del banco de datos personales y del responsable del tratamiento, incluyendo a quienes tratan los datos bajo autoridad directa de aquellos.
Resulta importante también tener en cuenta que el reglamento prevé algunas exclusiones, en virtud de las cuales determinados bancos de datos no están incluidos en el ámbito de aplicación. Así, el artículo 4 del reglamento establece lo siguiente:


4. Principios previstos en el reglamento: La Ley N.º 29733 establecía una serie de principios rectores, según el siguiente detalle:

  • Principio de legalidad: El tratamiento de los datos personales se hace conforme a lo establecido en la ley. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos.
  • Principio de consentimiento: Para el tratamiento de los datos personales debe mediar el consentimiento de su titular.
  • Principio de finalidad: Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización.
  • Principio de proporcionalidad: Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.
  • Principio de calidad: Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados. Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento.
  • Principio de seguridad: El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate.
  • Principio de disposición de recurso: Todo titular de datos personales debe contar con las vías administrativas o jurisdiccionales necesarias para reclamar y hacer valer sus derechos, cuando estos sean vulnerados por el tratamiento de sus datos personales. 
  • Principio de nivel de protección adecuado: Para el flujo transfronterizo de datos personales, se debe garantizar un nivel suficiente de protección para los datos personales que se vayan a tratar o, por lo menos, equiparable a lo previsto por esta Ley o por los estándares internacionales en la materia.
Por su parte, el reglamento también ha establecido principios en su artículos 6, 7, 8, 9 y 10:


Tanto los principios de la Ley como los del reglamento constituyen reglas generales que deben ser cumplidas por todas las personas que administran o manejan bancos de datos personales. 

5. Tratamiento de datos personales: Sin perjuicio de las reglas y disposiciones que contiene la Ley, el reglamento prevé una serie de consideraciones sobre el tratamiento de los datos personales. Pero probablemente, de todos los aspectos que desarrolla, el referido al consentimiento sea el más importante. 

Veamos qué dice el artículo 12 del reglamento:


6. Fuentes accesibles al público: Otro de los aspectos importantes del reglamento es que determina cuáles son las fuentes de datos personales que no requieren consentimiento para su acceso. El artículo 17 del reglamento dispone lo siguiente:


7. Registro Nacional de Protección de Datos: En este registro se deberán inscribir los siguientes elementos:
  • Los bancos de datos personales de la administración pública, con las excepciones previstas en la Ley y el presente reglamento.
  • Los bancos de datos personales de administración privada, con la excepción prevista en el numeral 1) del artículo 3 de la Ley.
  • Los códigos de conducta a que se refiere el artículo 31 de la Ley.
  • Las sanciones, medidas cautelares o correctivas impuestas por la Dirección General de Protección de Datos Personales conforme a la Ley y el presente reglamento.
  • Las comunicaciones referidas al flujo transfronterizo de datos personales.
Es obligatoria la inscripción en el Registro, tanto para los bancos de datos públicos como para los privados. Para tal efecto, se debe proporcionar la siguiente información al presentar la solicitud de inscripción:
  • La denominación y ubicación del banco de datos personales,sus finalidades y los usos previstos.
  • La identificación del titular del banco de datos personales, y en su caso, la identificación del encargado del tratamiento.
  • Tipos de datos personales sometidos a tratamiento en dicho banco.
  • Procedimientos de obtención y el sistema de tratamiento de los datos personales.
  • La descripción técnica de las medidas de seguridad.
  • Los destinatarios de transferencias de datos personales.
8. Procedimiento sancionador: Finalmente, otro de los aspectos importantes del reglamento es la regulación del procedimiento sancionador que se aplica para determinar y sancionar las infracciones tipificadas por la Ley.

Para tal efecto, el reglamento ha previsto un procedimiento en dos instancias, primero ante la Dirección de Sanciones y en segunda instancia ante al Dirección General de Protección de Datos Personales.

Ahora bien, como recordaremos, la Ley ha establecido una escala de infracciones leves, graves y muy graves:

a) Infracciones leves: 
  • Dartratamiento a datos personalessin recabar el consentimiento de sus titulares, cuando el mismo sea necesario conforme a lo dispuesto en la Ley.
  • No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales reconocidos en la Ley, cuando legalmente proceda.
  • Obstruir el ejercicio de la función fiscalizadora de la Dirección Nacional de Justicia.
b) Infracciones graves: 
  • Dar tratamiento a los datos personales contraviniendo los principios establecidos en la Ley o incumpliendo sus demás disposiciones o las de su reglamento.
  • Incumplir la obligación de confidencialidad establecida en el artículo 17 de la Ley.
  • No atender, impedir u obstaculizar, en forma sistemática, el ejercicio de los derechos del titular de datos personales reconocidos en la Ley, cuando legalmente proceda.
  • Obstruir, en forma sistemática, el ejercicio de la función fiscalizadora de la Dirección Nacional de Justicia.
  • No inscribir el banco de datos personales en el Registro Nacional de Protección de Datos Personales.
c) Infracciones muy graves:
  • Dar tratamiento a los datos personales contraviniendo los principios establecidos en la Ley o incumpliendo sus demás disposiciones o las de su reglamento, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.
  • Crear, modificar, cancelar o mantener bancos de datos personales sin cumplir con lo establecido por la Ley o su reglamento.
  • Suministrar documentos o información falsa o incompleta a la Dirección Nacional de Justicia.
  • No cesar en el tratamiento ilícito de datos personales, cuando existiese un previo requerimiento de la Dirección Nacional de Justicia.
  • No inscribir el banco de datos personales en el Registro Nacional de Protección de Datos Personales, no obstante haber sido requerido para ello por la Dirección Nacional de Justicia.
Las multas a imponerse tendrán la siguiente escala:
  • Las infracciones leves serán sancionadas con una multa mínima desde 0,5 de una unidad impositiva tributaria (UIT) hasta 5 unidades impositivas tributarias (UIT).
  • Las infracciones graves serán sancionadas con multa desde más de 5 unidades impositivas tributarias (UIT) hasta 50 unidades impositivas tributarias (UIT).
  • Las infracciones muy graves serán sancionadas con multa desde más de 50 unidades impositivas tributarias (UIT) hasta 100 unidades impositivas tributarias (UIT).
La Ley prevé que las multas a imponerse no podrán superar el diez por ciento de los ingresos brutos anuales que hubiera percibido el infractor durante el ejercicio anterior.

9. Conclusiones: Como indicamos en la introducción del presente informe, la aplicación de las obligaciones de la Ley y su reglamento ha comenzado a partir del 8 de mayo de 2015.

Para estos efectos, es necesario tomar en cuenta las disposiciones legales y también las formalidades y requisitos previstos en el TUPA de la Dirección Nacional de Justicia, que pueden ser revisados en la página web www.minjus.gob.pe.