3 ` lUL ZUl5 - Ministerio de Justicia

Anuncio
Ministerio
de Justicia
y Derechos Humanos
Despacho
·
Viceministerial de
Derechos
Humanos
.
..'
~
"Decénio d..e l3s Pers.or)aS co.i Dis.capacidad en el Perú~
"Mo de. la OiverSificación Productiva y clel For;tá1~nfo de ta Educación·
Mlraflores,
3' lUL ZUl5
Oficio N°.~5' -201 5-JUS/DGPDP
Señor.
San Miguel.-
•
Referencia : Doc. con Reg. N4 38236-2015
Asunto
: Consulta sobre protección de datos personales
Me dirijo a usted con relación al asunto indicado
formuladas.
a
fin de absolver las .consultas
Como marco general, es oportun.o mencior:iar ·que la Autl!>rídad Nacional de Protección
de Datos Personales , en adelante-la APDP, conforme con lo establecldli> por el numeral
1O del artfci.J.lo 33 de la Ley Nº 29733, Ley de Protección de Datos Personales, en
adelante la LPOP, t.iene la 'facuttad para absolver consultas ·Sobre pr()tección de· <;tatos
pers.o nales y el s·entido de las normas vigentes··en la mate.ria, particularmente sobre las
·
·
·que ella hubiera efnltido.
En consecuencia, no absolyemos consultas sobre casos concreto.s e particulares que
constituyan asesoria jurídica; sino sobre la interpretación de· alguna disposición
contenida en la LPDP y su Reglamento, aprobado por Decreto Supremo Nº 003-201 3JUS.
En ese orden de Ideas, atE!ndernos la consulta formulada en los sig.u ientes términos:
Marco legal:
La Constitución Pli>litica del Perü dispone, en el numeral 6 del articulo 2, que toda
persona tiene derecho "( •..) a que los servicios informáticos, computarizados o no,
públicos o privados, no suministfen informaciones que -afecten la intimidad personal y
familiar ( ...)".
En desarrollo del mencíonado dereél:lo constitucional se publicó el 3. JUL2011 la LPDP,
que establece en su articu.lo 1 que tiene como objeto •garanfjzar el derecho fundamental
a la protección de /os datos personales, previsto en el artículo 2 numeral 6 da la
Conslitución Polltica del Perú, a través de su adecuado tratamiento, en un marco de
respeto de los demlis·derechos fundamerrtales q¡ie en ella se reconocen".
El Reglamentó de la LPDP se aprobó el 22,MAR2013 y el 8.MAY.2013 entró en plena
vigencia conjuntamente con la LPDP.
i ll
M1r1steno
ce Justicia
y Derechos Humano<;
Despacho
V1cem111istenal de
Derechos Humanos
Objeto de la consulta:
El solicitante con documento de la referencia ha efectuado la siguiente consulta:
'Si puede entenderse que el encargo (regulado en el artículo 36 del Reglamento de la
LPDP) no requiere un consentimiento (entíéndase del titular del dato personal) en virtud
de que es necesario para la ejecución de una relación contractual (artículo 14, numeral
5 de la LPDP), y sin perjuicio de las responsabllidades que debe asumir el titular del
banco de datos personales respecto de sus encargados, y de la responsabilidad directa
de los encargados·.
Para atender la consulta es necesario establecer un marcb general .
Et numeral 17 del articulo 2 de la LPDP define al tratamiento de datos personales como
"cualquier operación o procedimiento técnico, automatizado o no, que permite ta
recopílación, registro. organización, almacenamiento, conservación, elaboración,
modificación, extraccíón. consulta, utifización, bloqueo, supresión, comunicación por
transferencia o por difusión o cualquier otra forma de procesamiento que facilite el
acceso, correlación o interconexión de los datos personales• (el subrayado es nuestro).
•
La regla general para el tratamiento de los datos personales es que debe realizarse con
consent!miento de su titular, salvo las excepciones. El consentimiento deberá ser previo,
Informado, expreso e inequívoco, en virtud de lo dispuesto en el numeral 13.5 del
artículo 13 de la LPDP.
Por un IRno. el Articulo 14 de la LPDP regula las situaciones excepciones en las que no
se requiere el consentimiento del titular de datos personales, para los efectos de su
tratamiento. En el numeral 5) se dispone que no se requiere consentimiento cuando los
datos personales sean necesarios para la ejecución de una relación contractual en la
que el titular de datos personales sea parte.
Por otro lado. el Reglamento de la LPDP regula la prestación de servicios o tratamiento
por encargo en el artículo 36, el cual dispone que ' Para efectos de la Ley, la entrega de
datos personales del tituiar del banco de datos personales al encargado no constituve
transferencia de datos personales.
a
encargado del banco de datos personales se encuentra prohibido de transferir a
terceros los datos personales objeto de la prestación de servicios de tratamiento, a
menos que el titular del banco de datos personales que le encargó el tratamiento lo
haya autorizado y el titular del dato personal haya brindado su consentimiento. ( .. .)"
Por lo expuesto hasta aquí, la transferencia de d,atos pers<!lnales supone una
comunicación de Un responsable a otro responsable, mientras que si los datos
personales se transmiten a un encargado, dicha comunicación no se considera
transferencia; ya que el responsable original se mantiene como responsable, mientras
que el encargado no asume re.sponsabilidad, en tanto cump~ en estricto con el encargo
recibido de un responsable que está dentro del ámbito de la LPDP.
Adicionalmente, es importante advertir que si acaso el encargado realizara tratamientos
ajenos al encargo, entonces se hará responsable por ellos y estará también dentro del
ámbito de aplicación de la LPDP.
. •
Despacho
Viceministerial de
rv11n: ster•o
de Justicia
y Derechos Humanos
DerechoscHU!l§l10~. ,
Entonces, la prestación de servicios o tratamiento por encargo se realí:za siguiendo las
reglas señaladas en el articule 36 del Reglamento de la LPDP, ql.Je como ya se dijo, no
suponen transferencia; por tanto; no existe tratamiento de información personal que
requiera consentimiento o autorización.
Por lo dicho, su consulta intenta encontrar justifü;ación a la no necesidad de
consentimiento (para el caso del ·encargo") en una norma que regula supuestos
distintos {la excepción al consentimiento en el marco de una relación contractual),
siendo que la propia figura de la comunicación para constituir el encargo, en tanto no
constituye transferencia, no requiere consentimiento.
•
Debe quedar claro que nuestra respuesta se refiere a la comunicación de datos para el
encargo y no a los tratamientas que constituyen el núcleo del ·encargo" que si se
sujetan a la regla general del consentimiento.
Atentamente,
_J
0 0
0
:iost"íitVARO..ÜÜiROGA LEÓÑ
~ttto: Gent411 clf Prolte<-Qr: OOtii!i..'i. 'Per:>0iizi!s
\l'iNsterio df M(lc:é 10~-ed.x ii.~.os
•
-·
•
M1n.steric
ée Jult'C'<
y Del't'.'i hosHum).nc,s
Despacho
DlruciOn General.d.e. ~ro~
Derecho~ Humanos
d..-Olt01 ~•.son1le~
Vl(emini~terial de
Jl ••·eoNSULTA
De conformidad con el numeral 5 del articulo 14 de la Lev de Prolecetón de Datos Personales, no se requieie el
consentimiento del titular de datos personales. para tratar su 1níormaclón, cuando los datos s.on necesarios para la
ejecución de una re!aaón contractual en la que el tiWlar es parte.
En este contexto, resulta evidente y es práctica pemün que terceros col;aboren con una o vanas partes de la relación
eontractual en el cumplinilento de las obligaciones·a su cargo. y que ello Implique el acceso a cienos datos
person.ales de cíienies o trabajadores de la con\raparte.(por ejemplo, s.erv!clos de mensajeria..serviciP.s lo~_lstícos,
digitalización de Ciocumentós, centrales telefónicas, administración-de la.página web, entre muchos otros). Estos
pro.veédores ge servicios. pueden ser de distinta nátur.aleza·úiuecien variar en el tie.mpo. en tanto surja ta necesidad
de teréeriz¡¡r·ciert_6s pro·~sos y de contar c0·n empres.as espeeiallzaci:as en dlct'las activid.ades. sin embargo, las
actividades qué re:alizan se hacen en nombre y por cuenta de la parte que los contrato.
•
Al reSP.EiCtp, el articult> 18 del Reglamento de la Ley de Protección de Dates Personales establece que "la
transf'erencia de datos personales lmpllca. la comunicación de datos.personales dentro o fuera deHerritorio nacional
realizada -a perSóna distinta al titular de los c¡lates pemmales, al encargada del banco de. datos personales o al
ertcargado del tratamiento de datos personales·. De iguiil forma, el articulo 36 del Reglamento señala que •Para
efectos de la Ley, la entrega de datos personales del titular del bancQ ce datos personales al encarg¡¡do no consilluye
transferencia de datos personales·. En tal sentido, s.e.e+ltenderia que el supuesto de una persona natural o jurídica
que oomparte·qatos personales {de sus \:!lentes-o trabajadores) con un tercero que le bñndara ser.viclós ne~arios
para Ja ejecución de una relación contraclt1al con el titular de tos dato.s personales (el cliente p tral)ajador) no callllca
como una transfei:encia de datos personales, puesto que dicho tercero obraría oomo un encargadg.
Teniendo ello.en consi(leracl6n, se consulta alá Dirección General de Protección de Datos Personales si es que
puede entenderse que e.ste encargo no requiere un cÓnseritimiento eti virtud de que es neéesario para la ejecución
de.una re.lacipn contractual (articulo 14, num~ral s·de l¡rLeY.). siempre que se realice éxclusivamente P.~rá é'I firi
contrac:ttfal (l11rtícvro 3.0 <le la Ley). y si n perjuicio de '"" ri>•poMahilicfades que dél><! Ri;umir Al titular del banco de
datos personales respecto de su's encargados. y d.e la responsabiiidad directa de los énearg·ados. flilas"aún ,
considerando qué los te·reeros que pueden ·intervenir para cumplir. con el objeto ele la relación contractual pueden ser
cie·;jistinta nat11raleza, variar en el tiempo, y lo dificil ·que resultária identificar de antemano-a tocios los sujetos que
podrían colaborar para la ejecución de la relación ccntractual para electos de solicitar el consentimiento· del titular de
los datos personales cada vez que se contrate a un te.rearo•
•
En virtud de to señatado, SOLICITO la abs·otución de consulta a la Dirección General de Protección de
Datos Personales. conforme al numeral 10 del
'· lo 33° de la Ley Nº 2~733- Ley de Protección de
Oatos Personales.
P.ágina 2 - -- - - - - - -- -- - - -
Descargar