Diry n de Tra cia y

Acceso ormación Publi

ZAV LA H.

soCA

(¿—<c("s

Resolución Directoral N° 027-2018-JUS/DGTAIPD-DTAIP

Lima, 22 de marzo de 2018 Expediente N°

49-2017-JUS/DPDP-PS

VISTOS: El escrito del 14 de febrero de 2018 (Registro N° 10423), que contiene el recurso de reconsideración presentado por Clínica Cayetano Heredia S.A. contra la Resolución Directoral N° 002-2018-JUS/DGTAIPD-DTAIP del 15 de enero de 2018, emitida por la Dirección de Transparencia y Acceso a la Información Pública, y;

CONSIDERANDO:

I. Antecedentes

1. Mediante la Resolución Directoral N° 009-2017-JUS/DGPDP-DS del 16 de agosto de 2017, notificada el 24 de agosto de 2017, la Dirección de Fiscalización e Instrucción (en adelante, la DFI) resolvió iniciar el presente procedimiento administrativo sancionador a Clínica Cayetano Heredia S.A. (en adelante, la administrada), por la presunta comisión de las siguientes infracciones a la Ley N° 29733, Ley de Protección de Datos Personales (en adelante, la LPDP) y su reglamento, aprobado por Decreto Supremo N° 003-2003- JUS (en adelante, Reglamento de la LPDP):

• No haber implementado alguna cláusula o dispositivo referido a políticas de privacidad que informe sobre la realización del flujo transfronterizo de los datos personales de los visitantes de la página web de la entidad (http://clinicacayetanoheredia.com), que estos remiten a través de los formularios "Consultas" y "Citas en Línea", en inobservancia de lo dispuesto en el artículo 18 de la LPDP.

• No inscribir ante el Registro Nacional de Protección de Datos Personales, la comunicación del flujo transfronterizo de los datos personales recopilados a través de los mencionados formularios de la página web, incumpliendo con lo dispuesto en el artículo 26 del reglamento de la LPDP.

• Inobservancia de las medidas de seguridad dispuestas en el Reglamento de la LPDP para el tratamiento no automatizado de datos personales, al haberse detectado que las historias clínicas de los pacientes son almacenadas en un ambiente aislado con una mampara sin llave y que no cuenta con archivadores con llave, habiéndose encontrando dichas historias sobre los escritorios, incumpliendo de tal manera con el artículo 42 del mencionado reglamento.

Página 1 de 6

Resolución Directoral N° 027-2018-JUS/DGTAIPD-DTAIP 2. El 15 de septiembre de 2017, la administrada presentó sus descargos (Registro N° 55699).

3. Por medio de la Resolución Directoral N° 045-2017-JUS/DGTAIPD-DFI del 12 de diciembre de 2017, notificada el 19 de diciembre de 2017, la DFI dio por concluidas las actuaciones instructivas correspondientes al presente procedimiento administrativo sancionador.

4. A través del Informe N° 31-2017-JUS/DGTAIPD-DFI del 12 de diciembre de 2017, la DFI remitió a la Dirección de Protección de Datos Personales (en adelante, la DPDP) el expediente del presente procedimiento.

5. Por medio de la Resolución Directoral N° 37-2017-JUS-DGTAIPD del 12 de diciembre de 2017, la Directora General (e) de Transparencia, Acceso a la Información Pública y Protección de Datos Personales aceptó la abstención formulada por María Alejandra González Luna, Directora (e) de Protección de Datos Personales, designando a la señora Anaís Caridad Zavala Huaisara, Directora (e) de Transparencia y Acceso a la Información Pública para que continúe conociendo el presente procedimiento administrativo sancionador.

6. Mediante el Oficio N° 19-2018-JUS/DGTAIPD-DPDP del 9 de enero de 2018, la DPDP remitió a esta dirección el expediente del presente procedimiento administrativo sancionador, a fin de emitir resolución.

7. Mediante la Resolución Directoral N° 002-2018-JUS/DGTAIPD-DTAIP del 15 de enero de 2018, notificada el 25 de enero de 2018, esta dirección resolvió lo siguiente:

"Artículo 1.- Sancionar a CLÍNICA CAYETANO HEREDIA S.A. con la multa ascendente a dos coma cinco (2,5) UIT, por no informar a los usuarios de los formularios "Consultas y Citas en Línea" y "Contáctanos" de la página web http://clinicacayetanoheredia.com acerca del flujo transfronterizo de los datos personales que consignan, tal como lo exige el artículo 18 de la LPDP; conducta prevista como infracción leve en el literal del numeral 1 del artículo 132 del Reglamento de la LPDP, esto es, `Dar tratamiento a los datos personales contraviniendo las disposiciones de la Ley y su Reglamento'.

Artículo 2.- Sancionar a CLÍNICA CAYETANO HEREDIA S.A. con la multa ascendente a dos (2) UIT, por no inscribir ante el Registro Nacional de Protección de Datos Personales el flujo transfronterizo de los datos personales realizado a través de la página web de los mencionados formularios http://clinicacayetanoheredia.com, tal como lo exige el artículo 26 del reglamento de la LPDP; conducta prevista como infracción leve en el literal del numeral 1 del artículo 132 del Reglamento de la LPDP, esto es, `Dar tratamiento a los datos personales contraviniendo las disposiciones de la Ley y su Reglamento'."

n de Tm s a encia y

Anes•la formación %hl ca

A. ZAVÁLA H.

8. Por medio del documento del 14 de febrero de 2018 (Registro N° 10423), la administrada presentó un recurso de reconsideración contra la Resolución Directoral N° 002-2018-JUS/DGTAIPD-DTAIP, sustentado en los siguientes argumentos:

• En la resolución impugnada no se han valorado las pruebas aportadas a lo largo del procedimiento, entre ellas las referentes al flujo transfronterizo de datos personales de los pacientes y/o clientes, puesto que si bien entre febrero y agosto de 2016 se tomaba datos de los pacientes que visitaban su página web, tal recopilación estaba sujeta a los términos y condiciones publicados, tal como señala el Informe N° 001-

Página 2 de 6

D

MIPS e

Transi ', dia y Acceso a f ',num

Public

Resolución Directoral N° 027-2018-JUS/DGTAIPD-DTAIP 2018/Sistemas/CCH del 31 de enero de 2018, emitido por su Jefe de Sistemas y Comunicaciones.

• Tampoco se ha valorado que después de la fiscalización que se le realizó, dieron de baja a su anterior página web, pese a tener directa vinculación con los hechos materia de infracción, vulnerando el derecho a la debida motivación de la resolución y el debido procedimiento.

• Presentan como nueva prueba el Informe N° 001-2018/Sistemas/CCH, referido a la configuración de su página web de agosto de 2016, el cual adjunta capturas de pantalla facilitadas por la empresa contratada para desarrollar su página web.

II. Competencia

9. La Directora (e) de Transparencia y Acceso a la Información Pública, en mérito de lo resuelto mediante la Resolución Directoral N° 37-2017-JUS-DGTAIPD, es la designada para resolver en primera instancia el presente procedimiento administrativo sancionador por la abstención formulada por la Directora (e) de Protección de Datos Personales y por ende, es competente para dar trámite al recurso de reconsideración presentado contra la Resolución Directoral N° 002-2018-JUS/DGTAIPD-DTAIP, de acuerdo con lo dispuesto en el artículo 217 del Texto Único Ordenado de la Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS (en adelante, la LPAG), en concordancia con lo dispuesto en el artículo 123 del Reglamento de la LPDP, y en el artículo 74 del Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, aprobado por Decreto Supremo N° 019-2017-JUS.

III. Análisis de las cuestiones controvertidas

10. Para emitir pronunciamiento respecto del recurso de reconsideración presentado, se debe determinar lo siguiente:

10.1 Si se ha presentado una nueva prueba que sustente su pretensión impugnatoria, a fin de determinar la procedencia del recurso de reconsideración.

10.2 En caso de que se haya presentado una nueva prueba, si el recurso de reconsideración es o no fundado.

10.3 En caso de ser fundado el recurso de reconsideración, si corresponde o no reformar o dejar sin efecto la sanción impuesta en los extremos impugnados.

Sobre el recurso de reconsideración

11. El artículo 217 de la LPAG establece que el recurso de reconsideración se interpondrá contra el mismo órgano que emitió la resolución de primera instancia, siendo un requisito para su procedencia la presentación de una prueba nueva, que permita sustentar un nuevo criterio de la autoridad.

12. Debido a que la pretensión impugnatoria busca un cambio de criterio de la autoridad, se entiende que esta variación solo podría obedecer a la evaluación de un nuevo hecho o prueba que no haya sido presentado o cuya actuación no se haya solicitado a dicha autoridad, a causa del desconocimiento de su existencia por parte de la administrada, por lo que no habría sido objeto de valoración para la emisión de la resolución impugnada.

13. Por consiguiente, no todos los elementos probatorios nuevos resultan idóneos para efectos del recurso de reconsideración; si no que para ello deben constituir nuevos

Página 3 de 6

A. ZAVILA H.

Resolución Directoral N° 027-2018-JUS/DGTAIPD-DTAIP hechos de los que la administrada tomó conocimiento después de la instrucción. Como señala MORÓN URBINA, no asegura la procedencia de dicho recurso, la presentación de una nueva argumentación jurídica sobre hechos ya evaluados o una explicación técnica de los mismos'.

Sobre la infracción sancionada por el artículo 1 de la Resolución Directoral N° 002-2018- JUS/DGTAIPD-DTAIP

14. En el recurso presentado, la administrada señaló que para determinar la existencia o no de la infracción, no se tomó en cuenta los cambios realizados a su página web antes de la fecha de imputación de cargos, el 24 de agosto de 2017, presentando como pruebas lo siguiente:

• Informe N° 001-2018/Sistemas/CCH • Formulario de inscripción de Banco de Datos Personales de Administración Privada,

para el banco de datos "Base de Datos de Postulantes Administrativos, Asistenciales y Médicos"

15. Sobre el formulario mencionado, debe precisarse que el mismo no cuenta con sello que consigne la fecha de recepción, por lo que no sirve para sustentar el inicio de algún procedimiento de inscripción; así también, se advierte que dicho formulario no es el que se utiliza para la inscripción de comunicación de flujo transfronterizo de datos personales. Siendo que el formulario no sustenta ninguna situación y por ende, no constituye prueba a fin de constatar la subsanación de la infracción, se deberá realizar la evaluación del Informe N° 001-2018/Sistemas/CCH.

16. En dicho informe, se menciona que la administrada tuvo contacto con su proveedor de desarrollo inicial de su página web, con la finalidad de obtener capturas de las modificaciones de la misma, toda vez que después de la visita de fiscalización que se le realizó, se sugirió dar de baja la página y el alojamiento.

17. Al respecto, conviene tener presente que durante la visita de fiscalización que atendió el personal de la administrada, señaló que los datos recopilados por medio de los formularios "Consultas en Línea" y "Contáctanos" son administrados por personal externo que a su vez, tenía a cargo la construcción de la página web2.

18. En tal sentido, debe considerarse que si bien a través de dicha página web se recopilaba información para la administrada, esta no tenía el control sobre el diseño o configuración de la misma, por lo que en el caso del Informe N° 001-2018/Sistemas/CCH contiene información que no necesariamente era accesible para la administrada en la fecha consignada, como es el caso de las capturas de pantalla que datan del 15 de septiembre de 20163, que configuraría prueba nueva, por lo que corresponde a esta dirección pronunciarse sobre los hechos materia de probanza.

19. Es preciso analizar tales capturas de pantalla conjuntamente con las presentadas por la administrada en su descargo y con la presentada en su comunicación del 13 de enero de 2017, en la que se aprecia la configuración de la página web en un período posterior a su desactivación (la cual tuvo lugar el 18 de septiembre de 2016), cuando se encontraba en período de reestructuración.

1 MORÓN URBINA, Juan Carlos: "Comentarios a la Ley del Procedimiento Administrativo General". Lima, Gaceta Jurídica, 2015. Ps. 663-664. 2 Ver folio 11 3 Ver folios 560 a 565.

Página 4 de 6

c eón de Tansf renCia y

AccnSO are akdormación Oca

A. ZAVALA H.

Resolución Directoral N° 027-2018-JUS/DGTAIPD-DTAIP 20. El elemento de prueba presentado en el recurso bajo análisis, corrobora el hecho que se pretende sustentar mediante la documentación presentada el 13 de enero de 2017: Los formularios con los que se realizaba recopilación de datos personales presentes en la página web de la administrada, habían sido desactivados antes de la fecha de notificación de la imputación de cargos, por lo cual la página web, en lugar de dichos formularios, comenzó a mostrar los teléfonos y la cuenta de correo electrónico para la atención de comunicaciones.

21. Respecto de los sustentos presentados por la administrada, cabe señalar que sobre los mismos reposa la presunción de veracidad contemplada en el artículo IV del Título Preliminar de la LPAG4, toda vez que no existen en el expediente elementos que permitan haber probado la falsedad de la documentación.

22. Entonces, de la situación descrita, se deduce que la administrada había cesado de recopilar datos personales de los visitantes de su página web desde una fecha anterior a la notificación de la imputación de cargos y que en dicha situación, no existe la necesidad de informar a los visitantes de la página web; en tal sentido, se entiende que la administrada ha subsanado voluntariamente su conducta infractora.

23. Con ello, operaría lo establecido en el literal f) del numeral 1 del artículo 255 de la LPAG5, vale decir la exención de la responsabilidad administrativa derivada de la subsanación voluntaria de la infracción señalada en el artículo 1 de la Resolución Directoral N° 002-2018-JUS/DGTAIPD-DTAIP, correspondiendo declarar fundado el recurso de reconsideración en este extremo, debiendo dejar sin efecto la sanción impuesta.

Sobre la infracción sancionada por el artículo 2 de la Resolución Directoral N° 002-2018- JUS/DGTAIPD-DTAIP

24. Al respecto, es pertinente tomar en cuenta el hecho esclarecido a través del Informe N° 001-2018/Sistemas/CCH, cuya naturaleza de nueva prueba ya fue evaluada, vale decir la supresión de los formularios de la página web de la administrada en fecha anterior a la notificación de imputación de cargos, según se detalla en los considerandos 17 al 21 de la presente resolución.

25. Entonces, al haber sustentado el cese del tratamiento a través de la página web mencionada, debe entenderse que esta circunstancia implica también el cese de transmisión de la información recopilada hacia el servidor de datos de dicha página web, al no efectuarse más el flujo transfronterizo de datos que debía ser reportado a la Autoridad.

Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS. "Articulo IV.- Principios del Procedimiento Administrativo 1. El procedimiento administrativo se sustenta fundamentalmente en los siguientes principios, sin perjuicio de la vigencia de otros principios generales del Derecho Administrativo: (...) 1.7 Principio de presunción de veracidad.- En la tramitación del procedimiento administrativo, se presume que los documentos y declaraciones formulados por los administrados en la forma prescrita por esta Ley, responden a la verdad de los hechos que ellos afirman. Esta presunción admite prueba en contrario." 5 Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS. "Artículo 255.- Eximentes y atenuantes de responsabilidad por infracciones 1.- Constituyen condiciones eximentes de la responsabilidad por infracciones las siguientes: (...) t) La subsanación voluntaria por parte del posible sancionado del acto u omisión imputado como constitutivo de infracción administrativa, con anterioridad a la notificación de la imputación de cargos a que se refiere el inciso 3) del artículo 253"

Página 5 de 6

Resolución Directoral N° 027-2018-JUS/DGTAIPD-DTAIP 26. Por lo expuesto, en el caso de esta segunda infracción, existe la subsanación voluntaria de la misma, por lo que debe operar la causal de exención de responsabilidad administrativa del literal f) del numeral 1 del artículo 255 de la LPAG respecto del artículo 2 de la Resolución Directoral N° 002-2018-JUS/DGTAIPD-DTAIP, correspondiendo declarar fundado el recurso de reconsideración en este extremo, debiendo dejar sin efecto la sanción impuesta.

Por las consideraciones expuestas y de conformidad con lo dispuesto por la Ley N° 29733, Ley de Protección de Datos Personales, su reglamento aprobado por el Decreto Supremo N° 003-2013-JUS, el Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017- JUS, y el Reglamento del Decreto Legislativo N° 1353 que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses aprobado por Decreto Supremo N° 019-2017-JUS;

SE RESUELVE:

Artículo 1.- Declarar FUNDADO el recurso de reconsideración interpuesto por Clínica Cayetano Heredia S.A. contra la Resolución Directoral N° 002-2018- JUS/DGTAIPD-DTAIP, dejando sin efecto las sanciones impuestas en los artículos 1 y 2 de dicha resolución.

Artículo 2.- Declarar la inexistencia de la responsabilidad administrativa de Clínica Cayetano Heredia S.A., respecto de las infracciones imputadas por medio de la Resolución Directoral N° 009-2017-JUS/DGPDP-DS.

Artículo 3.- Notificar a Clínica Cayetano Heredia S.A. la presente resolución.

Regístrese y comuníquese.

A CARID D,ZAVALA HUAISARA Direct ra (e) de la ireccIón de Transparencia y

Acceso a la Información Pública Ministerio de Justicia y Derechos Humanos

Página 6 de 6