Ministerio de Justicia y Derechos Humanos Despacho · Viceministerial de Derechos Humanos . ..' ~ "Decénio d..e l3s Pers.or)aS co.i Dis.capacidad en el Perú~ "Mo de. la OiverSificación Productiva y clel For;tá1~nfo de ta Educación· Mlraflores, 3' lUL ZUl5 Oficio N°.~5' -201 5-JUS/DGPDP Señor. San Miguel.- • Referencia : Doc. con Reg. N4 38236-2015 Asunto : Consulta sobre protección de datos personales Me dirijo a usted con relación al asunto indicado formuladas. a fin de absolver las .consultas Como marco general, es oportun.o mencior:iar ·que la Autl!>rídad Nacional de Protección de Datos Personales , en adelante-la APDP, conforme con lo establecldli> por el numeral 1O del artfci.J.lo 33 de la Ley Nº 29733, Ley de Protección de Datos Personales, en adelante la LPOP, t.iene la 'facuttad para absolver consultas ·Sobre pr()tección de· <;tatos pers.o nales y el s·entido de las normas vigentes··en la mate.ria, particularmente sobre las · · ·que ella hubiera efnltido. En consecuencia, no absolyemos consultas sobre casos concreto.s e particulares que constituyan asesoria jurídica; sino sobre la interpretación de· alguna disposición contenida en la LPDP y su Reglamento, aprobado por Decreto Supremo Nº 003-201 3JUS. En ese orden de Ideas, atE!ndernos la consulta formulada en los sig.u ientes términos: Marco legal: La Constitución Pli>litica del Perü dispone, en el numeral 6 del articulo 2, que toda persona tiene derecho "( •..) a que los servicios informáticos, computarizados o no, públicos o privados, no suministfen informaciones que -afecten la intimidad personal y familiar ( ...)". En desarrollo del mencíonado dereél:lo constitucional se publicó el 3. JUL2011 la LPDP, que establece en su articu.lo 1 que tiene como objeto •garanfjzar el derecho fundamental a la protección de /os datos personales, previsto en el artículo 2 numeral 6 da la Conslitución Polltica del Perú, a través de su adecuado tratamiento, en un marco de respeto de los demlis·derechos fundamerrtales q¡ie en ella se reconocen". El Reglamentó de la LPDP se aprobó el 22,MAR2013 y el 8.MAY.2013 entró en plena vigencia conjuntamente con la LPDP. i ll M1r1steno ce Justicia y Derechos Humano<; Despacho V1cem111istenal de Derechos Humanos Objeto de la consulta: El solicitante con documento de la referencia ha efectuado la siguiente consulta: 'Si puede entenderse que el encargo (regulado en el artículo 36 del Reglamento de la LPDP) no requiere un consentimiento (entíéndase del titular del dato personal) en virtud de que es necesario para la ejecución de una relación contractual (artículo 14, numeral 5 de la LPDP), y sin perjuicio de las responsabllidades que debe asumir el titular del banco de datos personales respecto de sus encargados, y de la responsabilidad directa de los encargados·. Para atender la consulta es necesario establecer un marcb general . Et numeral 17 del articulo 2 de la LPDP define al tratamiento de datos personales como "cualquier operación o procedimiento técnico, automatizado o no, que permite ta recopílación, registro. organización, almacenamiento, conservación, elaboración, modificación, extraccíón. consulta, utifización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales• (el subrayado es nuestro). • La regla general para el tratamiento de los datos personales es que debe realizarse con consent!miento de su titular, salvo las excepciones. El consentimiento deberá ser previo, Informado, expreso e inequívoco, en virtud de lo dispuesto en el numeral 13.5 del artículo 13 de la LPDP. Por un IRno. el Articulo 14 de la LPDP regula las situaciones excepciones en las que no se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento. En el numeral 5) se dispone que no se requiere consentimiento cuando los datos personales sean necesarios para la ejecución de una relación contractual en la que el titular de datos personales sea parte. Por otro lado. el Reglamento de la LPDP regula la prestación de servicios o tratamiento por encargo en el artículo 36, el cual dispone que ' Para efectos de la Ley, la entrega de datos personales del tituiar del banco de datos personales al encargado no constituve transferencia de datos personales. a encargado del banco de datos personales se encuentra prohibido de transferir a terceros los datos personales objeto de la prestación de servicios de tratamiento, a menos que el titular del banco de datos personales que le encargó el tratamiento lo haya autorizado y el titular del dato personal haya brindado su consentimiento. ( .. .)" Por lo expuesto hasta aquí, la transferencia de d,atos pers<!lnales supone una comunicación de Un responsable a otro responsable, mientras que si los datos personales se transmiten a un encargado, dicha comunicación no se considera transferencia; ya que el responsable original se mantiene como responsable, mientras que el encargado no asume re.sponsabilidad, en tanto cump~ en estricto con el encargo recibido de un responsable que está dentro del ámbito de la LPDP. Adicionalmente, es importante advertir que si acaso el encargado realizara tratamientos ajenos al encargo, entonces se hará responsable por ellos y estará también dentro del ámbito de aplicación de la LPDP. . • Despacho Viceministerial de rv11n: ster•o de Justicia y Derechos Humanos DerechoscHU!l§l10~. , Entonces, la prestación de servicios o tratamiento por encargo se realí:za siguiendo las reglas señaladas en el articule 36 del Reglamento de la LPDP, ql.Je como ya se dijo, no suponen transferencia; por tanto; no existe tratamiento de información personal que requiera consentimiento o autorización. Por lo dicho, su consulta intenta encontrar justifü;ación a la no necesidad de consentimiento (para el caso del ·encargo") en una norma que regula supuestos distintos {la excepción al consentimiento en el marco de una relación contractual), siendo que la propia figura de la comunicación para constituir el encargo, en tanto no constituye transferencia, no requiere consentimiento. • Debe quedar claro que nuestra respuesta se refiere a la comunicación de datos para el encargo y no a los tratamientas que constituyen el núcleo del ·encargo" que si se sujetan a la regla general del consentimiento. Atentamente, _J 0 0 0 :iost"íitVARO..ÜÜiROGA LEÓÑ ~ttto: Gent411 clf Prolte<-Qr: OOtii!i..'i. 'Per:>0iizi!s \l'iNsterio df M(lc:é 10~-ed.x ii.~.os • -· • M1n.steric ée Jult'C'< y Del't'.'i hosHum).nc,s Despacho DlruciOn General.d.e. ~ro~ Derecho~ Humanos d..-Olt01 ~•.son1le~ Vl(emini~terial de Jl ••·eoNSULTA De conformidad con el numeral 5 del articulo 14 de la Lev de Prolecetón de Datos Personales, no se requieie el consentimiento del titular de datos personales. para tratar su 1níormaclón, cuando los datos s.on necesarios para la ejecución de una re!aaón contractual en la que el tiWlar es parte. En este contexto, resulta evidente y es práctica pemün que terceros col;aboren con una o vanas partes de la relación eontractual en el cumplinilento de las obligaciones·a su cargo. y que ello Implique el acceso a cienos datos person.ales de cíienies o trabajadores de la con\raparte.(por ejemplo, s.erv!clos de mensajeria..serviciP.s lo~_lstícos, digitalización de Ciocumentós, centrales telefónicas, administración-de la.página web, entre muchos otros). Estos pro.veédores ge servicios. pueden ser de distinta nátur.aleza·úiuecien variar en el tie.mpo. en tanto surja ta necesidad de teréeriz¡¡r·ciert_6s pro·~sos y de contar c0·n empres.as espeeiallzaci:as en dlct'las activid.ades. sin embargo, las actividades qué re:alizan se hacen en nombre y por cuenta de la parte que los contrato. • Al reSP.EiCtp, el articult> 18 del Reglamento de la Ley de Protección de Dates Personales establece que "la transf'erencia de datos personales lmpllca. la comunicación de datos.personales dentro o fuera deHerritorio nacional realizada -a perSóna distinta al titular de los c¡lates pemmales, al encargada del banco de. datos personales o al ertcargado del tratamiento de datos personales·. De iguiil forma, el articulo 36 del Reglamento señala que •Para efectos de la Ley, la entrega de datos personales del titular del bancQ ce datos personales al encarg¡¡do no consilluye transferencia de datos personales·. En tal sentido, s.e.e+ltenderia que el supuesto de una persona natural o jurídica que oomparte·qatos personales {de sus \:!lentes-o trabajadores) con un tercero que le bñndara ser.viclós ne~arios para Ja ejecución de una relación contraclt1al con el titular de tos dato.s personales (el cliente p tral)ajador) no callllca como una transfei:encia de datos personales, puesto que dicho tercero obraría oomo un encargadg. Teniendo ello.en consi(leracl6n, se consulta alá Dirección General de Protección de Datos Personales si es que puede entenderse que e.ste encargo no requiere un cÓnseritimiento eti virtud de que es neéesario para la ejecución de.una re.lacipn contractual (articulo 14, num~ral s·de l¡rLeY.). siempre que se realice éxclusivamente P.~rá é'I firi contrac:ttfal (l11rtícvro 3.0 <le la Ley). y si n perjuicio de '"" ri>•poMahilicfades que dél><! Ri;umir Al titular del banco de datos personales respecto de su's encargados. y d.e la responsabiiidad directa de los énearg·ados. flilas"aún , considerando qué los te·reeros que pueden ·intervenir para cumplir. con el objeto ele la relación contractual pueden ser cie·;jistinta nat11raleza, variar en el tiempo, y lo dificil ·que resultária identificar de antemano-a tocios los sujetos que podrían colaborar para la ejecución de la relación ccntractual para electos de solicitar el consentimiento· del titular de los datos personales cada vez que se contrate a un te.rearo• • En virtud de to señatado, SOLICITO la abs·otución de consulta a la Dirección General de Protección de Datos Personales. conforme al numeral 10 del '· lo 33° de la Ley Nº 2~733- Ley de Protección de Oatos Personales. P.ágina 2 - -- - - - - - -- -- - - -