1. - 1 -
LEY DE PROTECCIÓN DE DATOS PERSONALES
1.- Marco Legal.
El 21 de junio de 2011 se aprobó mediante Ley Nº 29733, la Ley de
Protección de Datos Personales a fin de salvaguardar la información que las
empresas tengan sobre las personas.
2.- Análisis.
La Ley de Protección de Datos Personales, tiene como objetivo garantizar el
derecho fundamental a la protección de los datos personales, previsto en la
Constitución Política del Perú. Esta Ley regula los datos contenidos o destinados
a ser contenidos en Bancos de Datos Personales de administración pública y de
administración privada.
En ese sentido, ésta Ley no será aplicable en los casos en que los datos
personales estén destinados a ser contenidos en Banco de Datos Personales
creados por personas naturales para fines exclusivamente relacionados con su
vida o a los contenidos y destinados que forman parte de un Banco de Datos de
Administración Publica. Esto sólo se producirá en el caso de que su tratamiento
resulte necesario para el estricto cumplimiento de las competencias asignadas por
ley a las respectivas entidades públicas (Defensa Nacional, Seguridad Pública y
para el desarrollo de actividades en materia penal para la investigación y
represión de Delitos).
De esta forma los titulares del derecho a la información deberán gozar de lo
indicado a continuación:
a) Derecho de información del titular de datos personales:
El titular de datos personales tiene derecho a ser informado en forma
detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación. Es
decir, deberá ser informado respecto a la finalidad para la que sus datos
personales serán recopilados, quienes son o pueden ser sus destinatarios y el
lugar en donde éstos se almacenarán.
b) Derecho de acceso del titular de datos personales:
El titular de datos personales tiene derecho a obtener la información que
esté siendo tratada sobre él en los bancos de datos de la administración pública o
privada, así como la forma en que sus datos fueron recopilados, las razones que
motivaron su recopilación, a solicitud de quién se realizó dicha recopilación y las
transferencias realizadas o previstas.
c) Derecho de actualización, inclusión, rectificación y supresión:
El titular de datos personales tiene derecho a solicitar la actualización,
inclusión, rectificación y supresión de los datos personales, cuando éstos sean
parcial o totalmente inexactos, incompletos, cuando se hubiere advertido omisión,
error o falsedad, cuando hayan dejado de ser necesarios o pertinentes a la
finalidad para la cual hayan sido recopilados o cuando hubiera vencido el plazo
establecido para su tratamiento.
2. - 2 -
d) Derecho a impedir el suministro:
El titular de datos personales tiene derecho a impedir que estos últimos sean
suministrados, especialmente cuando ello afecte sus derechos fundamentales.
e) Derecho de oposición:
El titular de datos personales puede oponerse al tratamiento de sus datos
cuando existan motivos fundados y legítimos respecto de una situación concreta y
personal, siempre que no hubiese prestado consentimiento o por ley, no se haya
dispuesto lo contrario.
f) Derecho al tratamiento objetivo:
El titular de datos personales no podrá ser afectado jurídicamente por una
decisión basada en un tratamiento de datos personales únicamente.
g) Derecho a la tutela:
En caso de que el titular o el encargado del banco de datos personales
deniegue al titular de datos personales, total o parcialmente, el ejercicio de sus
derechos, éste puede recurrir ante la Autoridad Nacional de Protección de Datos
Personales en vía de reclamación o al Poder Judicial para interponer una acción
de hábeas data.
h) Derecho a ser indemnizado:
El titular de datos personales que sea afectado como consecuencia del
incumplimiento de la Ley por el titular o por el encargado del banco de datos
personales o por terceros, tiene derecho a obtener la indemnización
correspondiente.
En consecuencia, los datos personales solo pueden ser objeto de
tratamiento con consentimiento del titular, el cual debe ser previo, informado,
expreso e inequívoco, salvo que haya una ley que lo autorice.
Respecto de las comunicaciones, telecomunicaciones, sistemas informáticos o
sus instrumentos, cuando sean de carácter privado o uso privado, éstos solo
pueden ser abiertos, incautados, interceptados o intervenidos por mandamiento
motivado del juez o con autorización de su titular, con las garantías previstas en la
ley.
Cabe señalar que la norma ha regulado aquellos supuestos en los que no es
necesario el consentimiento del titular para el uso de dicha información:
i. Cuando los datos personales sean recopilados para las entidades públicas
competentes.
ii. Cuando se trate de datos personales accesibles para el público.
iii. Cuando se trate de datos personales relativos a la solvencia patrimonial y
de crédito.
iv. Cuando se trate de mercados regulados y los organismos reguladores a
que se refiere la Ley Marco de los Organismos Reguladores de la Inversión
Privada en los Servicios Públicos que ejerzan función normativa.
v. Cuando los datos personales sean necesarios para la ejecución de una
relación contractual, científica o personal en la que el titular de datos
personales sea parte y sean necesarios para su desarrollo o cumplimiento.
3. - 3 -
vi. Cuando se trate de datos personales relativos a la salud y sea necesario,
en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento
médico o quirúrgico del titular, siempre que dicho tratamiento sea realizado
en establecimientos de salud o por profesionales en ciencias de la salud
que respeten el secreto profesional.
vii. Cuando el tratamiento sea efectuado por organismos sin fines de lucro
cuya finalidad sea política, religiosa o sindical y se refiera a los datos
personales recopilados de sus respectivos miembros, mismos que deben
guardar relación con el propósito a que se circunscriben sus actividades.
viii. Cuando se hubiera aplicado un procedimiento de anonimización o
disociación.
ix. Cuando el tratamiento de los datos personales sea necesario para
salvaguardar intereses legítimos del titular de datos personales.
x. Otros establecidos por ley, o por el reglamento de la norma.
En relación al flujo transfronterizo de datos personales, el titular y el
encargado del banco de datos personales deben realizar dicho flujo solo si el país
destinatario mantiene niveles de protección adecuados.
Si el país destinatario no contara con un nivel de protección adecuado, el emisor
del flujo transfronterizo debe garantizar que el tratamiento de los datos personales
se efectúe conforme a ley. Sin embargo, esto no se aplica en los siguientes
casos:
a. Acuerdos en el marco de tratados internacionales sobre la materia en los
cuales la República del Perú sea parte.
b. Cooperación judicial internacional.
c. Cooperación internacional entre organismos de inteligencia para la lucha
contra el terrorismo, tráfico ilícito de drogas, lavado de activos, corrupción,
trata de personas y otras formas de criminalidad organizada.
d. Cuando los datos personales sean necesarios para la ejecución de una
relación contractual en la que el titular de datos personales sea parte,
incluyendo lo necesario para actividades como la autentificación de
usuario, mejora y soporte del servicio.
e. Cuando se trate de transferencias bancarias o bursátiles, en lo relativo a
las transacciones respectivas y conforme a la ley aplicable.
f. Cuando el flujo transfronterizo de datos personales se realice para la
protección, prevención, diagnóstico o tratamiento médico o quirúrgico de su
titular; o cuando sea necesario para la realización de estudios
epidemiológicos o análogos, en tanto se apliquen procedimientos de
disociación adecuados.
g. Cuando el titular de los datos personales haya dado su consentimiento
previo, informado, expreso e inequívoco.
h. Otros que establezca el reglamento de la norma.
Respecto al ámbito de la seguridad del tratamiento de datos personales, el
titular del banco de datos personales debe optar medidas técnicas, organizativas
y legales que garanticen su seguridad y eviten su alteración, perdida, tratamiento
o acceso no autorizado.
Asimismo, el titular del banco de datos personales, el encargado y quienes
intervengan en cualquier parte de su tratamiento están obligados a guardar
4. - 4 -
confidencialidad respecto de los mismos y de sus antecedentes. Esta obligación
subsiste aun después de finalizadas las relaciones con el titular del banco de
datos personales.
En caso exista una vulneración a los derechos de los titulares, éstos pueden
recurrir ante la Autoridad Nacional de Protección de Datos Personales, a través
de una reclamación, o ante el Poder Judicial, a través de una Acción de Habeas
Data.
En ese sentido, la Autoridad Nacional de Protección de Datos Personales tiene a
cargo desarrollar las acciones correspondientes para cumplir lo establecido en la
Ley, gozando de potestad sancionadora en casos de infracciones, con multas que
van desde las 0,5 hasta 100 UIT. Asimismo, tiene a su cargo el Registro Nacional
de Protección de Datos Personales.
Por último, en lo referido a infracciones a los derechos de los consumidores sobre
los servicios brindados por las Centrales Privadas de Riesgos, corresponderá al
INDECOPI la aplicación de las sanciones correspondientes.
3.- Ley N° 27309: Ley que incorpora los delitos informáticos al
código penal.
CAPÍTULO X DELITOS INFORMÁTICOS
Artículo 207°-A.- El que utiliza o ingresa indebidamente a una base de datos,
sistema o red de computadoras o cualquier parte de la misma, para diseñar,
ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder
o copiar información en tránsito o contenida en una
base de datos, será reprimido con pena privativa de libertad no mayor de dos
años o con prestación de servicios comunitarios de cincuentidos a ciento cuatro
jornadas.
Si el agente actuó con el fin de obtener un beneficio económico, será reprimido
con pena privativa de la libertad no mayor de tres años o con prestación de
servicios comunitarios no menor de ciento cuatro jornadas.
Artículo 207°-B.- El que utiliza, ingresa o interfiere indebidamente una base de
datos, sistema, red o programa de computadoras o cualquier parte de la misma
con el fin de alterarlos, dañarlos o destruirlos, será reprimido con pena privativa
de libertad no menor de tres ni mayor de cinco años y con setenta a noventa días
multas.
Artículo 207°-C.- En los casos de los Artículos 207°-A y 207°-B, la pena será
privativa de libertad no menor de cinco ni mayor de siete años, cuando:
1. El agente accede a una base de datos, sistema o red de computadora,
haciendo uso de información privilegiada, obtenida en función a su cargo.
2. El agente pone en peligro la seguridad nacional.