resolución directoral n° 1091-2018-jus/dgtaipd …...(i) se recomienda imponer sanción...

Resolución Directoral N° 1091-2018-JUS/DGTAIPD-DPDP

Expediente N° Resolución N° 1091-2018-JUS/DGTAIPD-DPDP

065-2017-JUS/DPDP-PS Lima, 30 de mayo de 2018

VISTOS:

El Informe N° 086-2016-JUS/DGPDP-DSC1 del 07 de diciembre de 2016 (Expediente de Fiscalización N° 038-2016-DSC), emitido por la Dirección de Supervisión y Control de la Dirección General de Protección de Datos Personales, y demás documentos que obran en el respectivo expediente, y;

CONSIDERANDO:

I. Antecedentes

1. Mediante Orden de Visita de Fiscalización N° 041-2016-JUS/DGPDP-DSC2, de 26 de julio de 2016, la Dirección de Supervisión y Control de la Dirección General de Protección de Datos Personales (en adelante, DSC) dispuso la realización de una visita de fiscalización a DIVECENTER S.A.C. (DIVEMOTOR) (en adelante, la administrada).

2. Mediante Acta de Fiscalización N° 01-20163 y anexos4, se deja constancia de los hallazgos encontrados durante la visita de supervisión realizada a las instalaciones de la administrada el día 26 de julio de 2016, en su domicilio Av. Canadá N° 1160, Urb. Santa Catalina, Distrito de la Victoria, Provincia y Departamento de Lima.

3. Mediante Acta de Fiscalización N° 02-20165 y anexos6 se deja constancia de los hallazgos encontrados durante la segunda visita de supervisión realizada a las

Folio 135 a 138 2 Folio 12 3 Folio 18 a 22 " Folio 23 a 25

Folio 33 a 37 6 Folio 38 a 114

Página 1 de 28

Resolución Director al N° I 091-2018-JUS/DGTAIPD-DPDP

instalaciones de la administrada el día 03 de agosto de 2016, en su domicilio Av. Canadá, N° 1160, Urb. Santa Catalina, Distrito de la Victoria, Provincia y Departamento ce Lima.

4. Mediante Oficio N° 207-2016-JUS/DGPDP-DSC7 recibido por la administrada el 10 de agosto de 2016, se requirió información complementaria para la evaluación de los hallazgos encontrados en las visitas de fiscalización.

5. Mediante escrito de 24 de agosto de 20168, la administrada dio respuesta al requerimiento de información complementaria dispuesto por el Oficio N° 207-2016- JUS/DGPOP-DSC.

6. Mediante Informe N° 050-2016-DSC-VARS° y anexol° de fecha 19 de setiembre de 2016, se emitió el informe de visita de fiscalización y evaluación de cumplimiento de las Medidas de Seguridad.

7. Mediante Informe N° 086-2016-JUS/DGPDP-DSC" de fecha 07 de diciembre de 2016, se emitió el informe sobre el procedimiento de fiscalización a la administrada, remitiendo a la Dirección de Sanciones de la Dirección General de Protección de Datos Personales el resultado de la fiscalización realizada, adjuntando el acta de fiscalización así como los demás anexos y documentos que conforman el respectivo expediente administrativo; dicho informe fue notificado con Oficio N° 356-2016- JUS/DGPDP-DSC12 el 19 de diciembre de 2016.

8. Mediante escrito' 3 y anexos-4 defecha 25 de enero de 2017, la administrada presentó información adicional para responder al Informe de Fiscalización N° 086-2016- JUS/DGPDP-DSC.

9. Mediante Resolución Directoral N° 022-2017-JUS/DGTAIPD-DFI15 de fecha 11 de setiembre de 2017, la Dirección de Fiscalización e Instrucción de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, en adelante DFI, resolvió iniciar procedimiento administrativo sancionador a la administrada, por las siguientes infracciones:

(i) Habría realizado tratamiento de datos personales sin informar a los visitantes de su página web que realizaba flujo transfronterizo de los datos personales que recopilaba, incumpliendo de esa forma el artículo 18 de la LPDP; configurándose la Infracción leve tipificada en el literal a. del numeral 2 del artículo 38 de la Ley N° 29733 (en adelante, LPDP) consistente en: "Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento."

(ii) Habría incumplido lo dispuesto por los artículos 26 y 77 del Reglamento de la LPDP), ya que no habría comunicado al Registro Nacional de Protección de Datos Personales, la realización de flujo transfronterizo; configurándose la Infracción grave tipificada en el literal a. del numeral 2 del artículo 38 de la consistente en: "Dar tratamiento a los datos personales contraviniendo los principios establecidos

Folio 116 8 Folio 118 9 Folio 120 a 122 10 Folio 123 a 125 " Folio 135 a 138 '2 Folio 139 13 Folio 141 a 142 14 Folio 143 a 146 15 Folio 147 a 152

Página 2 de 28


en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento".

10. Mediante Oficio N° 99-2017-JUS/DGTAIPD-DFI16, el 15 de setiembre de 2017 se notificó a la administrada la Resolución Directoral N° 022-2017-JUS/DGTAIPD-DFI que inicia el procedimiento administrativo sancionador.

11. Mediante escrito presentado con hoja de trámite 59841-2017MSC17 el 03 de octubre de 2017, la administrada presentó sus descargos y anexos".

12. Mediante Proveído N° 01619 de fecha 21 de noviembre de 2017, se resolvió ampliar el plazo de la etapa de instrucción del procedimiento administrativo sancionador iniciado a la administrada por treinta días hábiles adicionales, notificándose a la administrada con Oficio N° 175-2017-JUS/DGTAIPD-DF120, el 27 de noviembre de 2017.

13. Mediante Informe N° 067-2017-DFI-VARS21 de fecha 29 de diciembre de 2017 y anexos22, personal técnico de la Dirección de Fiscalización e Instrucción, emitió un informe de evaluación de la realización de flujo transfronterizo por parte de la administrada.

14. Mediante Resolución Directoral N° 083-2017-JUS/DGTAIPD-DF123 de fecha 29 de diciembre de 2017, la DFI dio por concluidas las actuaciones inslructivas correspondientes al procedimiento sancionador. Dicha resolución fue notificada a la administrada el 15 de enero de 2018, a través del Oficio N° 306-2017-JUS/DGTAIPD-DF124.

16 Folio 153 17 Folio 155 a 163 18 Folio 164 a 175 19 Folio 176 20 Folio 177 21 Folio 179 22 Folio 180 a 181 23 Folio 182 a 183 24 Folio 186 a 187

Página 3 de 28


15. Mediante Informe N° 054-2017-JUS/DGTAIPD-DFI25 de fecha 29 de diciembre de 2017, la Dirección de Fiscalización e Instrucción emitió el Informe Final de Instrucción, remitiendo a la Dirección de Protección de Datos Personales los actuados para que resuelva en primera instancia el procedimiento administrativo sancionador iniciado, recomendando lo siguiente:

(i) Se recomienda imponer sanción administrativa de multa ascendente a dos (2) UIT a Divecenter S.A.0 por el cargo acotado en el Hecho Imputado N° 01, por infracción tipificada en el literal f, numeral 1, articulo 132 del RLPDP: "Dar tratamiento a los datos personales contraviniendo las disposiciones de la Ley y su Reglamento".

(ii) Se recomienda imponer sanción administrativa de multa ascendente a dos (2) UIT a Divecenter S.A.0 por el cargo acotado en el Hecho Imputado N° 02, por infracción tipificada en el literal f, numeral 1, articulo 132 del RLPDP: "Dar tratamiento a los datos personales contraviniendo las disposiciones de la Ley y su Reglamento".

16. Mediante escrito presentado con hoja de trámite 4830-2018MSC26 de 23 de enero de 2018, la administrada solicitó fecha de programación de informe oral.

17. Mediante Oficio N° 13-2018-JUS/DGTAIPD-DTAIP27 de 12 de febrero de 2018, se programó la audiencia de informe oral para el día 23 de enero de 2018, llevándose a cabo en dicha fecha28.

18. Mediante escrito presentado con hoja de trámite 11790-2018MSC29 de 21 de febrero de 2018, la administrada presentó alegatos adicionales.

19. Mediante Oficio N° 20-2018-JUS/DGTAIPD-DTAIP3° de 26 de febrero de 2018, se requirió a la DFI la emisión de un informe técnico de evaluación de los alegatos presentados el 21 de febrero de 2018.

20. Mediante Informe Técnico N°50-2018-DFI-ORQR31 de 02 de marzo de 2018, la DFI emitió el informe solicitado por Oficio N° 20-2018-JUS/DGTAIPD-DTAIP.

II. Competencia

21. Mediante Decreto Supremo N° 013-2017-JUS de fecha 21 de junio de 2017, se. aprobó el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos (en adelante, ROF del MINJUS), derogando el Decreto Supremo N° 011-2012-JUS.

22. El artículo 70 del ROF del MINJUS crea la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales como órgano de línea encargado de ejercer la Autoridad Nacional de Protección de Datos Personales, para el cumplimiento de sus funciones fiscalizadoras y sancionadoras en materia de protección de datos personales.

25 Folio 188 a 193 26 Folio 196 a 197 27 Folio 203 29 Folio 204 29 Folio 206 a 211 3° Folio 212 31 Folio 214 a 215

Página 4 de 28

Resolución Directoral N° 1091-2018-JUS/DGT4IPD-DPDP

23. Conforme a lo dispuesto en el artículo 74 del ROF del MINJUS, la Dirección de Protección de Datos Personales, es la unidad orgánica competente para resolver en primera instancia, los procedimientos administrativos sancionadores iniciados por la Dirección de Fiscalización e Instrucción.

24. Sin embargo, mediante Resolución Directoral N° 43-2017-JUS/DGTAIPD32, de 29 de diciembre de 2017, se designó a la señora Anais Caridad Zavala Huaisara, Directora (e) de Transparencia y Acceso a la Información Pública, como autoridad administrativa que resolverá el procedimiento sancionador iniciado a DIVECENTER S.A.C, debido a que se aceptó la abstención presentada por la Directora de Protección de Datos Personales.

25. Dado que, la encargatura de la Dirección de Transparencia y Acceso a la Información Pública a la señora Anais Caridad Zavala Huaisara culminó el 03 de abril del presente; mediante Resolución Directoral N° 74-2018-JUS/DGTAIPD, se dejó sin efecto la abstención aceptada para resolver el procedimiento sancionador iniciado a DIVECENTER S.A.C. (DIVEMOTOR) señalando que la autoridad administrativa que resolverá el mencionado procedimiento sancionador será la Directora de Protección de Datos Personales.

26. En tal sentido, en ejercicio de sus facultades, corresponde a la Dirección de Protección de Datos Personales de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales determinar si se ha cometido infracción a la LPDP y a su Reglamento.

III. Normativa sancionadora aplicable

27. Mediante el Decreto Supremo N° 019-2017-JUS de fecha 15 de setiembre de 2017, se aprobó el reglamento del Decreto Legislativo N° 1353 que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses (en adelante, Decreto Legislativo N° 1353).

32 Folio 194 a 195

Página 5 de 28


28. La Tercera Disposición Complementaria Modificatoria del mencionado reglamento incorpora el capítulo de infracciones al Título VI del Reglamento de la LPDP, agregando el artículo 132 que tipifica las infracciones.

29. Por su parte, el presente procedimiento sancionador se inició estando vigente el artículo 38 de la LPDP.

30. Entonces, el sistema jurídico ha permitido una excepción en torno al principio de irretroactividad33 en materia penal y administrativo sancionador, conocido como la retroactividad benigna.

31. La retroactividad benigna se hace efectiva si luego de la comisión de un ilícito administrativo, se produce una modificación normativa y dicha norma establece una consecuencia más beneficiosa para el infractor, ya sea la destipificación o el establecimiento de una sanción menor, en comparación con la norma anterior (vigente al momento que se cometió la infracción), por lo que debe aplicarse retroactivamente la nueva norma. Cabe señalar, que la retroactividad debe ser el resultado de una evaluación integral por parte de la Administración y como tal debe verificarse los supuestos y requisitos que la norma exija de manera que produzca consecuencias jurídicas favorables para el administrado.

32. En este sentido, el artículo 2 del Decreto Legislativo N° 1272 modificó el principio de irretroactividad recogido en el TUO de la LPAG, en el cual se precisó los supuestos sobre los cuales se podría aplicar la excepción, siendo los siguientes:

- Tipificación de la infracción más favorable - Previsión de la sanción más favorable, incluso de aquellas que se encuentran en

etapa de ejecución. - Plazos de prescripción más favorables.

33. En la línea de lo expuesto, apreciándose que los supuestos de hechos (incumplimiento de la obligación) en los cuales habría incurrido la administrada ha variado de tipificación y de sanción (al momento en que se detectó la infracción); en atención a la excepción (retroactividad benigna) establecida en el principio de irretroactividad que rige la potestad sancionadora administrativa, se aplicará la disposición que resulte más favorable al administrado.

34. Sobre la obligación de informar el tratamiento de los datos personales a su titular, entre ellos la realización de flujo transfronterizo de datos personales:

Norma Regulación anterior Regulación actual Sustantiva Obligación regulada en el Obligación regulada en el

artículo 18 de la Ley de artículo 18 de la Ley de Protección de Datos Protección de Datos

33 Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS. "Artículo 246.- Principios de la potestad sancionadora administrativa La potestad sancionadora de todas las entidades está regida adicionalmente por los siguientes principios especiales:

5.- Irretroactividad.- Son aplicables las disposiciones sancionadoras vigentes en el momento de incurrir el administrado en la conducta a sancionar, salvo que las posteriores le sean más favorables. Las disposiciones sancionadoras producen efecto retroactivo en cuanto favorecen al presunto infractor o al infractor. tanto en lo referido a la tipificación de la infracción como a la sanción y a sus plazos de prescripción, incluso respecto de las sanciones en ejecución al entrar en vigor la nueva disposición. (El subrayado es nuestro) (...)"

Página 6 de 28

Resolución Directoral N° 1091-2018-JUS/DGTAIPD-D.PDP

Personales, Ley N° 29733 (LPDP). Literal a. del numeral 2 del artículo 38 de la LPDP, esto es: "Dar tratamiento a los datos personales contraviniendo los principios establecidos en

Personales, Ley N° 29733 (LPDP). Literal f. del numeral 1 del artículo 132 del Reglamento de la LPDP, esto es: "Dar tratamiento a los datos personales contraviniendo las

Tipificadora

la presente Ley o disposiciones de la Ley y incumpliendo sus demás disposiciones o las de su

su Reglamento".

Reglamento". Eventual sanción Numeral 2 del artículo 39 Numeral 1 del artículo 39

de la LPDP que establece de la LPDP que establece la infracción grave la infracción leve sancionada con más de 5 sancionada con más de a 50 UIT. 0,5 UIT hasta 5 UIT.

35. En atención a lo anterior, se evidencia que el marco normativo actual (norma que entró en vigencia el 16 de setiembre de 2017) es más favorable para la administrada en comparación con la norma anterior a la fecha en la que se cometió la infracción (26 de julio de 2016), toda vez que actualmente la sanción conforme a la tipificación resulta más beneficiosa al haber cambiado de grave a leve.

En ese sentido, en virtud de la excepción al principio de irretroactividad (retroactividad benigna) establecido en el artículo 246 del TUO de la LPAG34, corresponde aplicar la tipificación más favorable a la administrada, esto es el literal f. del numeral 1 del artículo 132 del Reglamento de la LPDP: "Dar tratamiento a los datos personales

34 Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS. "Artículo 246.- Principios de la potestad sancionadora administrativa La potestad sancionadora de todas las entidades está regida adiciona/mente por los siguientes principios especiales:

5.- Irretroactividad.-Son aplicables las disposiciones sancionadoras vigentes en el momento de incurrir el administrado en la conducta a sancionar, salvo que las posteriores le sean más favorables. Las disposiciones sancionadoras producen efecto retroactivo en cuanto favorecen al presunto infractor o al infractor, tanto en lo referido a la tipificación de la infracción como a la sanción y a sus plazos de prescripción, incluso respecto de las sanciones en ejecución al entrar en vigor la nueva disposición.

Página 7 de 28


contraviniendo las disposiciones de la Ley y su Reglamento"; al presunto incumplimiento de la disposición legal del artículo 18 de la LPDP, al no informar sobre el tratamiento que se realizará sobre los datos personales a su titular, entre ellos, no comunicar el flujo transfronterizo.

36. Sobre la obligación de comunicar la realización de flujo transfronterizo a la Autoridad Nacional de Protección de Datos Personales:

Norma Regulación anterior Regulación actual Sustantiva Obligación regulada en el

artículo 26 y 77 del Reglamento de la LPDP.

Obligación regulada en el numeral 2 del artículo 34 de la LPDP, en concordancia con el artículo 26 y 77 del Reglamento de la LPDP.

Tipificadora Literal a. del numeral 2 del artículo 38 de la LPDP, esto es: "Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento"

Literal e. del numeral 1 del artículo 132 del Reglamento de la LPDP, esto es: "No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley'.

Eventual sanción Numeral 2 del artículo 39 de la LPDP que establece la infracción grave sancionada con más de 5 a 50 UIT.

Numeral 1 del artículo 39 de la LPDP que establece la infracción leve sancionada con 0,5 UIT hasta 5 UIT.

37. En atención a lo anterior, cabe señalar que el incumplimiento de la obligación de comunicar al Registro Nacional de Protección de Datos Personales en la actual regulación de infracciones, se subsume en una tipificación específica que comprende dicho hecho infractor, por lo que corresponde aplicar dicha tipificación.

Asimismo, se evidencia que el marco normativo actual (norma que entró en vigencia el 16 de setiembre de 2017) es más favorable para la administrada en comparación con la norma anterior a la fecha en la que se cometió la infracción (26 de julio de 2016), toda vez que actualmente la sanción conforme a la tipificación resulta más beneficiosa al haber cambiado de grave a leve.

En ese sentido, en virtud de la excepción al principio de irretroactividad (retroactividad benigna) establecido en el artículo 246 del TUO de la LPAG35, corresponde aplicar la

35 Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS. "Artículo 246.- Principios de la potestad sancionadora administrativa La potestad sancionadora de todas las entidades está regida adicionalmente por los siguientes principios especiales: (...) 5.- Irretroactividad.-Son aplicables las disposiciones sancionadoras vigentes en el momento de incurrir el administrado en la conducta a sancionar, salvo que las posteriores le sean más favorables. Las disposiciones sancionadoras producen efecto retroactivo en cuanto favorecen al presunto infractor o al infractor, tanto en lo referido a la tipificación de la infracción como a la sanción y a sus plazos de prescripción, incluso respecto de las sanciones en ejecución al entrar en vigor la nueva disposición. (..)"

Página 8 de 28


tipificación más favorable a la administrada, esto es el literal e. del numeral 1 del artículo 132 del Reglamento de la LPDP: "No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley"; al presunto incumplimiento de las disposiciones de los artículos 26 y 77 del Reglamento de la LPDP; al no haber presuntamente comunicado/inscrito la realización de flujo transfronterizo.

38. De otro lado, acerca de la responsabilidad de la administrada, se debe tener en cuenta que el literal f) del numeral 1 del artículo 25536 del Texto Único Ordenado de la Ley del Procedimiento Administrativo General, aprobado mediante Decreto Supremo N° 006-2017-JUS (en adelante, LPAG), establece como una causal eximente de la responsabilidad por infracciones, la subsanación voluntaria del acto imputado como infractor, si es realizada de forma previa a la notificación de imputación de cargos.

39. Asimismo, se debe atender a lo dispuesto en el artículo 12637 del Reglamento de la LPDP, que considera como atenuantes la colaboración con las acciones de la autoridad y el reconocimiento espontáneo de las infracciones conjuntamente con la adopción de medidas de enmienda; dichas atenuantes, de acuerdo con la oportunidad del reconocimiento y las fórmulas de enmienda puede permitir la reducción motivada de la sanción por debajo del rango previsto en la LPDP.

40. Dicho artículo debe leerse conjuntamente con lo previsto en el numeral 2 del artículo 25538 de la LPAG, que establece como condición atenuante el reconocimiento de la

36 Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS. "Artículo 255.- Eximentes y atenuantes de responsabilidad por infracciones 1.- Constituyen condiciones eximentes de la responsabilidad por infracciones las siguientes: (...) f) La subsanación voluntaria por parte del posible sancionado del acto u omisión imputado como constitutivo de infracción administrativa, con anterioridad a la notificación de la imputación de cargos a que se refiere el inciso 3) del artículo 253." 3' Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo N° 003-2013-JUS. "Artículo 126.- Atenuantes. La colaboración con las acciones de la autoridad y el reconocimiento espontáneo de las infracciones acompañado de acciones de enmienda se considerarán atenuantes. Atendiendo a la oportunidad del reconocimiento y a las fórmulas de enmienda, la atenuación permitirá incluso la reducción motivada de la sanción por debajo del rango previsto en la Ley" 38 Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS. "Artículo 255.- Eximentes y atenuantes de responsabilidad por infracciones (...)

Página 9 de 28


responsabilidad por parte del infractor de forma expresa y por escrito, debiendo reducir la malta a imponérsele hasta no menos de la mitad del monto de su importe; y por otro lado, las que se contemplen como atenuantes en las normas especiales.

IV. Análisis de la cuestión en discusión

41. Para emitir pronunciamiento en el presente caso, se debe determinar lo siguiente:

(i) Si la administrada habría incumplido el deber de información establecido en el artículo 18 de la LPDP, al no informar a los visitantes de su página web que realizaba flujo transfronterizo de los datos personales que recopilaba; y si en consecuencia, la administrada incurrió en la infracción leve tipificada en el literal f. del numeral 1 del artículo 132 del Reglamento de la LPDP: "Dar tratamiento a los datos personales contraviniendo las disposiciones de la Ley y su Reglamento".

(ii) Si la administrada no habría comunicado e inscrito en la Autoridad Nacional de Protección de Datos Personales, la realización de flujo transfronterizo de datos personales, de acuerdo a lo dispuesto por los artículos 26 y 77 del Reglamento de la LPDP y el artículo 34 de la LPDP; y si en consecuencia, la administrada incurrió en la infracción leve tipificada en el literal e. del numeral 1 del artículo 132 del Reglamento de la LPDP: "No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley".

(1) Sobre el deber de informar la realización de flujo transfronterizo de datos personales a sus titulares

42. Se imputa a la administrada que habría efectuado tratamiento de datos personales incumpliendo las disposiciones de la Ley y su Reglamento, dado que habría incumplido la disposición legal del artículo 18 de la LPDP, en tanto que no habría informado que realizaba flujo transfronterizo de datos personales a sus titulares (visitantes de su página web); por lo que habría incurrido en la infracción leve tipificada en el literal f. del numeral 1 del artículo 132 del Reglamento de la LPDP, esto es: "Dar tratamiento a los datos personales contraviniendo las disposiciones de la Ley y su Reglamento".

En tal sentido corresponde analizar la normativa vigente y aplicable sobre la materia, los medios probatorios que dejan constancia de los hallazgos encontrados en el procedimiento, y los descargos presentados por la administrada para desvirtuar el hecho imputado.

43. Así, se tiene que el artículo 2 de la LPDP modificado por la Tercera Disposición Complementaria Modificatoria del Decreto Legislativo N° 1353, establece las definiciones de los términos que coadyuvan a la comprensión de la LPDP y su Reglamento y la protección que otorgan; entre aquellas definiciones, para este caso, importa resaltar lo que se entiende por datos personales, titular de datos personales,

2.- Constituyen condiciones atenuantes de la responsabilidad por infracciones las siguientes: a) Si iniciado un procedimiento administrativo sancionador el infractor reconoce su responsabilidad de forma expresa y por escrito. En los casos en que la sanción aplicable sea una multa esta se reduce hasta un monto no menor de la mitad de su importe. b) Otros que se establezcan por norma especial."

Página 10 de 28

Resolución Directoral N° 1091-2018-JUSYDGTAIPD-DPDP

titular del banco de datos personales y tratamiento de datos personales; los que se detallan a continuación:

"Artículo 2. Definiciones Para todos los efectos de la presente Ley, se entiende por: (.. 9 4. Datos personales. Toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados."

(. 9 16. Titular de datos personales. Persona natural a quien corresponde los datos personales. (. .9 17. Titular del banco de datos personales. Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad. (. 9 19. Tratamiento de datos personales. Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales."

44. Por su parte, el numeral 4 del artículo 2 del Reglamento de la LPDP define los datos personales en los siguientes términos:

"4. Datos personales: Es aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a las personas naturales que las identifica o las hace identificables a través de medios que puedan ser razonablemente utilizados."

45. De las normas acotadas se desprende que los datos personales consisten en toda información, incluida la información fotográfica, que sirve para identificar o hacer identificables a las personas naturales; estos datos son susceptibles de conformar bancos de datos personales diferenciados a cargo de personas naturales o jurídicas encargadas de administrarlos, determinando su finalidad y contenido, así como el

Página 11 de 28


tratamiento que se dará a dicha información, a través de las operaciones o procedimientos técnicos, que entre otros, permitan la recopilación, registro, almacenamiento, conservación, utilización de los datos personales..

46. De otro lado, el artículo 18 de la LPDP establece el derecho de los titulares de los datos personales sobre el tratamiento que se realizará sobre aquellos, indicando:

"Artículo 18. Derecho de información del titular de datos personales El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del o de los encargados del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello."

47. Así, de la normas acotadas se desprende que los titulares de los datos personales deben ser informados sobre el tratamiento que se realizará respecto de los mismos, se trate de información gráfica, fotográfica, sonora o conductual, indicándoles la finalidad de dicho tratamiento, como por ejemplo el fin de la recopilación y almacenamiento de los datos, informando además si existe una base de datos que conservará la información (sea nacional o internacional) y el tiempo de la conservación, qué personas se encargarán de administrar la información y los terceros destinarlos de aquella si los hubiera.

48. En este caso, en el Acta de Fiscalización N° 01-201639, se dejó constancia de la primera visita de supervisión realizada a la administrada el 26 de julio de 2016, indicando lo siguiente:

"(...) Se informó al personal fiscalizador que no encargan tratamiento de sus datos personales de clientes ni de prospectos de clientes a terceros. Se informó que no realizan transferencia nacional ni internacional de los datos personales de sus clientes ni de sus prospectos de clientes (...); (...) El sistema con el que realizan el tratamiento de datos personales de clientes se denomina SAP (...); (...) Respecto al sistema SAP se informó que es un sistema de tipo cliente servidor y su almacenamiento está a cargo de IBM en Chile (...)".

49. En el Acta de Fiscalización N° 02-2016", se dejó constancia de la segunda visita de supervisión realizada a la administrada el 03 de agosto de 2016, indicando lo siguiente:

"(...) Se informó que los datos personales recopilados a través de la opción "contáctenos" se derivan a responsables establecidos por Divecenter. Durante la visita de fiscalización se señaló que para establecer el enlace con el servidor de datos en el cual se almacenan los datos personales de los clientes a través del sistema CRM en Chile, se cuenta con un router (...)".

39 Folio 18 a 22 4° Folio 33 a 37

Página 12 de 28

izeciovecd. Resolución Directoral N° 1091-2018-JUS/DGTAIPD-DPDP

50. En el Informe N° 050-2016-DSC-VARS41 de 19 de setiembre de 2016, sobre la visita de fiscalización, el personal técnico de la DSC señala:

"(...) Conclusiones 2. Divecenter S.A. C. Realiza Flujo transfronterizo de datos personales ya que el servidor de datos de la página web, se encuentra ubicado en los Estados Unidos de Norteamérica."

51. Por su parte, el Informe N° 086-2016-JUS/DGPDP-DSC42 de 07 de diciembre de 2016 que recoge las conclusiones sobre el procedimiento de fiscalización de la administrada, indica:

"(...) IV. Conclusiones (...) 2. Divecenter S.A. C. recopila datos personales a través de la opción "Escríbenos de la página web sin cumplir con informar a los titulares de los datos personales de acuerdo a lo establecido en el artículo 18 de la LPDP (...); 3. Divecenter S.A. C. no ha comunicado la realización de flujo transfronterizo de los datos personales que recopila a través de la opción "Escríbenos" de la página web www.divemotorcom (...)."

52. Cabe agregar que, en la impresión de pantalla web http://www.divemotor.com/contactenos/43, consultada el 18 de julio de 2016, se aprecia que la administrada recopilaba datos personales de los visitantes de dicha página, consistentes en sus nombres y apellidos, DNI, Email, teléfono, provincia, ciudad; y en la impresión de pantalla web https://www.sencier base.orci/45 consultada el 18 de julio de 2016, herramienta especializada denominada "Sender base" de CISCO Systems, que permite ver la ubicación geográfica del servidor de los datos de las páginas web, se verifica que la web www.divemotor.como se encuentra localizada en Culver City — Estados Unidos.

" Folio 120 a 122 42 Folio 135 a 138 43 Folio 04 a 05 44 Folio 11 45 Folio 11

Página 13 de 28


53. En esa línea, de los documentos antes descritos se puede colegir que la administrada al momento de la fiscalización contaba con la página web http://wnw.civetnotor.comicontactenos cuyo servidor se ubicaba en Culver City —Estados Unidos, y a través de la opción "escríbenos" de dicha web, recopilaba datos personales como nombres y apellidos, DNI, Email, teléfono, provincia, ciudad; de ello se puede colegir que al momento de registrar tales datos en la página web aludida, los mismos se derivaban automáticamente al servidor de la misma ubicado fuera del territorio nacional, configurándose la realización de flujo transfronterizo de tales datos.

54. La administrada por su parte, con escrito de fecha 25 de enero de 201746 señaló que si bien recopila datos en la sección "escríbanos" de su página web, estos no se almacenaban en un servidor de datos ubicado en Estados Unidos, ya que los mismos son enviados directamente mediante correo electrónico a diferentes sucursales de su empresa, dependiendo del área de consulta y localidad seleccionada; lo que acredita con un cd que contiene los grupos de correos electrónicos destinatarios de los datos.

55. Asimismo, mediante escrito de descargos de 03 de octubre de 201747 y anexos", indicó que los datos no se transfieren a ningún servidor de Estados Unidos, y no se almacenan en ninguna base de datos, por el contrario, indica que dicha información es ingresada en el sistema SAP, cuyo almacenamiento se encuentra a cargo de IBM Chile.

56. Al respecto, con Informe N° 067-2017-DFI-VARS49 de fecha 29 de diciembre de 2017, personal técnico de la DFI, concluyó:

"(...) IV. Conclusión DIVECENTER S.A. C. realiza flujo transfronterizo debido a que el servidor que aloja los datos personales recopilados a través del formulario web "escríbanos" se encuentra ubicado en Estados Unidos".

57. Posteriormente, con escrito de fecha 20 de febrero de 20185°, la administrada reiteró los argumentos de sus descargos, detallando que cuando los datos se ingresaban a la página web, estos se enviaban automáticamente como un mensaje electrónico al correo [email protected] que es un grupo de correos con acceso restringido sólo a determinados trabajadores de la empresa. Señala que realiza una validación de los datos ingresados y en caso sean datos válidos de un potencial cliente, los mismos se registran en un sistema SAP, siendo que el almacenamiento de la información que recopila está a cargo de IBM Chile, flujo transfronterizo que se sí ha sido informado

58. Sobre el particular, con el Informe Técnico N° 50-2018-DFI-ORQR51 de 02 de marzo de 2018, se concluyó lo siguiente:

"(...) Al respecto, es necesario precisar que para que este procedimiento se ejecute, inicialmente el navegante debe registrar sus datos personales en el formulario "Escribanos", los mismos que según lo informado son enviados de

46 Folio 141 a 142 47 Folio 155 a 163 48 Folio 164 a 175 49 Folio 179 6° Folio 207 a 211 51 Folio 214 a 215

Página 14 de 28


forma automática a la cuenta vozclienteadivemotor campe. evidenciando la realización de una transferencia de datos personales realizada a través del formulario "Escríbenos", cuya localización del mismo y del sitio web que lo contiene es la ciudad de Culver, Estados de California en Los Estados Unidos de América, configurando un flujo trasfronterizo de datos personales."

59. Respecto de los alegatos expuestos por la administrada, es conveniente acudir a la definición de flujo transfronterizo de datos personales que realiza la LPDP en su artículo 2°, la cual indica que se entiende por tal a la transferencia internacional de datos a un destinatario situado en un país distinto al país de origen de aquellos, sin importar el soporte en que estos se encuentren, los medios por los cuales se efectuó la transferencia, ni el tratamiento que reciban; definición acorde con lo dispuesto en el artículo 18 del Reglamento de la LPDP según el cual, se denomina flujo transfronterizo de datos personales a la transferencia de datos personales fuera del territorio nacional.

60. Es decir que, aun cuando el servidor de la web a través de la cual se recopilan los datos solo sirva de respaldo y estos lleguen a aquella por una transferencia de fracción de minuto, el sólo hecho de que el servidor de la web se ubique en otro país y reciba los datos por una fracción de tiempo como un medio para facilitar su destino de almacenamiento final, ya configura la realización de flujo transfronterizo, ya que la norma es clara al señalar que sin importar los medios por los cuales se efectuó la transferencia (respaldo de la web que sirve como medio), ya existe flujo transfronterizo de datos.

61. En ese sentido, se puede concluir que no sólo el almacenamiento final de los datos configura un flujo transfronterizo sino también la transferencia misma; por otro lado, si bien se advierte que en la política de privacidad52 que se exhibe a los visitantes de la web se consigna la realización de transferencia internacional de datos, no se cumple con informar a qué país se destinan los mismos, por lo que no constituye la información que se requiere otorgar a los usuarios.

62. En consecuencia, habiendo quedado acreditado a través de los documentos generados en el marco del procedimiento de fiscalización que la administrada recopilaba datos personales de los usuarios de su página web cuando estos

52 Folio 8 a 9

Página 15 de 28


registraban sus datos a través de las opciones "Escribanos", y que a su vez el servidor de dicha web se ubicaba en Estados Unidos, por lo que tales datos automáticamente se enviaban a dicho servidor, por una fracción de tiempo mínima, está probada la realización de flujo transfronterizo de datos personales, siendo que la administrada no ha podido desvirtuar la comisión de tal hecho infractor, ni acreditar acciones de enmienda al respecto, lo que será requerido a través de la imposición de una medida correctiva.

(ii)Sobre el deber de comunicar la realización de flujo transfronterizo de datos personales al Rqaistro de Protección de Datos Personales

63. Se imputa a la administrada que no habría comunicado al Registro Nacional de Protección de Datos Personales, la realización de flujo transfronterizo de datos personales; por lo que habría incurrido en la infracción tipificada en el literal e. del numeral 1 del artículo 132 del Reglamento de la LPDP consistente en: "No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley";

En tal sentido corresponde analizar la normativa vigente y aplicable sobre la materia, los medios probatorios que dejan constancia de los hallazgos encontrados en el procedimiento, y los descargos presentados por la administrada para desvirtuar el hecho imputado.

64. Así, se tiene que el artículo 2 de la LPDP modificado por la Tercera Disposición Complementaria Modificatoria del Decreto Legislativo N° 1353, establece las definiciones de los términos que coadyuvan a la comprensión de la LPDP y su Reglamento y la protección que otorgan; entre aquellas definiciones, para este caso, importa resaltar lo que se entiende por datos personales, titular de datos personales, titular del banco de datos personales, tratamiento de datos personales y flujo transfronterizo de datos personales; los que se detallan a continuación:

"Artículo 2. Definiciones Para todos los efectos de la presente Ley, se entiende por: (...) 4. Datos personales. Toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados."

(. .) 10. Flujo transfronterizo de datos personales. Transferencia internacional de datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, sin importar el soporte en que estos se encuentren, los medios por los cuales se efectuó la transferencia, ni el tratamiento que reciban. 16. Titular de datos personales. Persona natural a quien corresponde los datos personales.

(---) 17. Titular del banco de datos personales. Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad. (- -) 19. Tratamiento de datos personales. Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o

Página 16 de 28


cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales."

65. Por su parte, el Reglamento de la LPDP respecto de la obligación de comunicación de flujo transfronterizo señala lo siguiente:

"Artículo 26.- Participación de la Dirección General de Protección de Datos Personales respecto del flujo transfronterizo de datos personales. Los titulares del banco de datos personales o responsables del tratamiento, podrán solicitar la opinión de la Dirección General de Protección de Datos Personales respecto a si el flujo transfronterizo de datos personales que realiza o realizará cumple con lo dispuesto por la Ley y el presente reglamento." En cualquier caso, el flujo transfronterizo de datos personales se pondrá en conocimiento de la Dirección General de Protección de Datos Personales, incluyendo la información que se requiere para la transferencia de datos personales y el registro de banco de datos."

"Artículo 77.- Actos y documentos inscribibles en el Registro. Serán objeto de inscripción en el Registro Nacional de Protección de Datos Personales con arreglo a lo dispuesto en la Ley y en este título: (• • .) 5. Las comunicaciones referidas al flujo transfronterizo de datos personales. (...)"

66. De las normas legales antes citadas se desprende que el flujo transfronterizo de datos personales es la transferencia internacional de datos personales a un destinatario situado en un país distinto al país de origen de los datos, transferencia que debe ser comunicada a la Dirección de Protección de Datos Personales, con la finalidad que aquella pueda llevar a cabo la supervisión del cumplimiento de las exigencias legales para la realización del flujo transfronterizo.

67. Ahora bien, de la impresión de pantalla web http://www.divemotor.com/contactenos/53 consultada el 18 de julio de 2016, se aprecia que la administrada recopilaba datos personales de los visitantes de dicha página, consistentes en sus nombres y apellidos, DNI, Email, teléfono, provincia, ciudad; y de la impresión de pantalla web

53 Folio 04 a 05

Página 17 de 28


https://www.senderbase.org/55 consultada el 18 de julio de 2016, herramienta especializada denominada "Sender base" de CISCO Systems, que permite ver la ubicación geográfica del servidor de los datos de las páginas web, se verifica que la web www.divemotor.como se encuentra localizada en Culver City — Estados Unidos.

68. En el Informe N° 050-2016-DSC-VARS56 de 19 de setiembre de 2016, sobre la visita de fiscalización, el personal técnico de la DSC señala:

"(...) Conclusiones 2. Divecenter S.A.C. Realiza Flujo transfronterizo de datos personales ya que el servidor de datos de la página web, se encuentra ubicado en los Estados Unidos de Norteamérica."

69. En el Informe N° 086-2016-JUS/DGPDP-DSC57 de 07 de diciembre de 2016, que recoge las conclusiones sobre el procedimiento de fiscalización de la administrada, se indica:

"(...) IV. Conclusiones (-..) 2. Divecenter S.A. C. recopila datos personales a través de la opción "Escríbenos de la página web sin cumplir con informar a los titulares de los datos personales de acuerdo a lo establecido en el artículo 18 de la LPDP (...); 3. Divecenter S.A. C. no ha comunicado la realización de flujo transfronterizo de los datos personales que recopila a través de la opción "Escríbenos" de la página web www.divemotorcom (...)."

70. La administrada por su parte, con escrito de 25 de enero de 201758 señaló que si bien recopila datos en la sección "escríbanos" de su página web, estos no se almacenaban en un servidor de datos ubicado en Estados Unidos, ya que los mismos son enviados directamente mediante correo electrónico a diferentes sucursales de su empresa, dependiendo del área de consulta y localidad seleccionada, lo que significa que no realiza flujo transfronterizo de datos y por ende no tenía que comunicar nada al Registro.

71. Asimismo, mediante escrito de descargos de fecha 03 de octubre de 201759 y anexos", indicó que los datos no se transfieren a ningún servidor de Estados Unidos, y no se almacenan en ninguna base de datos, por el contrario, indica que dicha información es ingresada en el sistema SAP, cuyo almacenamiento se encuentra a cargo de IBM Chile; así también indica que la entrega de datos al encargado de su tratamiento no constituye transferencia de datos. Finalmente, señala que no realiza flujo transfronterizo de datos y que por ello no se encontraba obligada a comunicar nada al Registro.

54 Folio 11 55 Folio 11 56 Folio 120 a 122 57 Folio 135 a 138 58 Folio 141 a 142 59 Folio 155 a 163 60 Folio 164 a 175

Página 18 de 28

Resolución Directoral N° 1091-2018-JUSYDGTAIPD-DPDP

72. Al respecto, con Informe N° 067-2017-DFI•VARS61 de 29 de diciembre de 2017, personal técnico de la DFI, concluyó:

"(...) IV. Conclusión DIVECENTER S.A. C. realiza flujo transfronterizo debido a que el servidor que aloja los datos personales recopilados a través del formulario web "escribanos" se encuentra ubicado en Estados Unidos".

73. Posteriormente, con escrito de fecha 20 de febrero de 201862, la administrada reiteró los argumentos de sus descargos, detallando que cuando los datos se ingresaban a la página web, estos se enviaban automáticamente como un mensaje electrónico al correo vonlienteadivemotorcom.pe que es un grupo de correos con acceso restringido sólo a determinados trabajadores de la empresa. Señala que realiza una validación de los datos ingresados y en caso sean datos válidos de un potencial cliente, los mismos se registran en un sistema SAP, siendo que el almacenamiento de la información que recopila está a cargo de IBM Chile, flujo transfronterizo que se sí ha sido informado

74. Sobre el particular, con el Informe Técnico N° 50-2018-DFI-ORQR63 de fecha 02 de marzo de 2018, se concluyó lo siguiente:

"(...) Al respecto, es necesario precisar que para que este procedimiento se ejecute, inicialmente el navegante debe registrar sus datos personales en el formulario "Escribanos", los mismos que según lo informado son enviados de forma automática a la cuenta vozclienteRcrivemotorcom.pe evidenciando la realización de una transferencia de datos personales realizada a través del formulario "Escríbenos", cuya localización del mismo y del sitio web que lo contiene es la ciudad de Culver, Estados de California en Los Estados Unidos de América, configurando un flujo trasfronterizo de datos personales."

75. Teniendo en cuenta los documentos generados en el marco del procedimiento de fiscalización y los argumentos esgrimidos por la administrada, se concluye que al momento de la fiscalización tenía la página web

61 Folio 179 62 Folio 207 a 211 63 Folio 214 a 215

Página 19 de 28


http://www.civetnctoncomicntactenos cuyo servidor se ubicaba en Culver City —Estados Unidos de América, y a través de la opción "escríbenos" de dicha web, recopilaba datos personales como nombres y apellidos, DNI, Email, teléfono, provincia, cijdad, lo cual implica que al momento de registrar tales datos en la página web aludida, los mismos se derivaban automáticamente al servidor de la misma ubicado fuera del territorio nacional, configurándose la realización de flujo transfronterizo de tales datos.

76. En cuanto a lo alegado por la administrada, como se ha indicado ya anteriormente, la definición de flujo transfronterizo establecida en el artículo 2° de la LPDP establece que el flujo transfronterizo consiste en la transferencia internacional de datos a un destinatario situado en un país distinto al país de origen de aquellos, sin importar el soporte en que estos se encuentren, los medios por los cuales se efectuó la transferencia, ni el tratamiento que reciban.

77. Es decir que, aun cuando el servidor de la web a través de la cual se recopilan los datos solo sirva de respaldo y estos lleguen a aquella por una transferencia de fracción de minuto, el sólo hecho de que el servidor de la web se ubique en otro país y reciba los datos por una fracción de tiempo como un medio para facilitar su destino de almacenamiento final, ya configura la realización de flujo transfronterizo, ya que la norma es clara al señalar que sin importar los medios por los cuales se efectuó la transferencia (respaldo de la web que sirve como medio), ya existe flujo transfronterizo de datos.

78. De otro ladc, en cuanto a lo alegado por la administrada indicando que el artículo 36 del Reglamento de la LPDP establece que la entrega de datos al encargado del tratamiento no constituye transferencia de datos; al respecto, cabe recordar que las normas deben interpretarse de manera concordada a fin de comprender la finalidad de las mismas, en tal sentido, dicho artículo debe ser leído conjuntamente con el artículo 2 de la LPDP y el articulo 18 del Reglamento de la LPDP según los cuales el flujo transfronterizo de datos se configura con la transferencia de los datos fuera del territorio nacional, es decir la definición de esta figura se centra en la comunicación de datos a otro país, independientemente si dicha comunicación se hizo al encargado del tratamiento u otro destino.

79. Así pues, habiéndose determinado que la administrada realizaba flujo transfronterizo de los datos personales que recopilaba a través de su página web con la opción "Escríbenos", ya que el servidor de dicha página se encontraba en Estados Unidos de América, se colige que tenía la obligación legal de comunicar la realización de flujo transfronterizo al Registro Nacional de Protección de Datos Personales.

80. Al respecto, mediante correo electrónico de fecha 11 de noviembre de 201664, se solicitó a la DSC informar sobre la comunicación de flujo transfronterizo que hubiera realizado la administrada, siendo que con correo electrónico de fecha 23 de noviembre de 201655, se absolvió la consulta, indicando que a dicha fecha solo existían el registro de flujos transfronterizos a la República de Chile, lo que se advierte además con la Resoluciones Directorales N° 3609-2015-JUS/DGPDP-DRN66, N° 2182-2016-JUS/DGPDP-DRN67, N° 2183-2016-JUS/DGPDP-DRN68, N° 2184-2016-

64 Folio 124 65 Folio 125 66 Folio 127 67 Folio 128 " Folio 130

Página 20 de 28


JUS/DGPDP-DRN69; sin embargo, no se advierte la comunicación de flujo transfronterizo de los datos que recopila a través de su página web y que se envían a Estados Unidos de América.

81 En consecuencia, ha quedado acreditado que la administrada realiza flujo transfronterizo de datos personales a Estados Unidos y que no ha comunicado la realización de dicho flujo al Registro Nacional de Protección de Datos Personales hasta la fecha, siendo que no se ha logrado desvirtuar tal hecho infractor, así como tampoco se han acreditado acciones de enmienda al respecto, por lo que en la oportunidad pertinente se impondrá la medida correctiva que corresponda a fin que se dé cumplimiento a la norma legal vulnerada.

Sobre las sanciones a a • licar a los hechos analizados

82. La Tercera Disposición Complementaria Modificatoria del Reglamento del Decreto Legislativo N° 1353, aprobado mediante Decreto Supremo N° 019-2017-JUS70, de fecha 15 de setiembre de 2017, modificó el artículo 38 de la LPDP que tipificaba las infracciones a la LPDP y su Reglamento, incorporando el artículo 132° al Título VI Sobre Infracciones y Sanciones al Reglamento de la LPDP, que en adelante tipifica las infracciones.

83. Por su parte, el artículo 39 de la LPDP establece las sanciones administrativas calificándolas como leves, graves o muy graves y su imposición va desde una multa de 0,5 de una unidad impositiva tributaria hasta una multa de 100 unidades impositivas tributarias71, sin perjuicio de las medidas correctivas que puedan

69 Folio 132 70 Decreto Supremo N° 019-2017-JUS, que aprueba el Reglamento del Decreto Legislativo N° 1153

"Tercera.- Incorporación del Capítulo IV de Infracciones al Título VI de Infracciones y Sanciones al Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales Incorpórese el Capítulo IV de Infracciones al Título VI al Reglamento de la de la Ley N' 29733, Ley de Protección de Datos Personales, aprobado por el Decreto Supremo N° 003-2013-JUS, en los siguientes términos: TÍTULO VI INFRACCIONES Y SANCIONES CAPÍTULO IV INFRACCIONES Artículo 132.- Infracciones Las infracciones a la Ley N° 29733, Ley de Protección de Datos Personales, o su Reglamento se califican como leves, graves y muy graves y se sancionan con multa de acuerdo al artículo 39 de la citada Ley."

71 Ley N° 29733, Ley de Proteccion de Datos Personales

Página 21 de 28


determinarse de acuerdo a lo establecido en el artículo 118 del Reglamento de la LPDP72.

84. En el presente caso, en aplicación del principio de irretroactividad y la excepción establecida en el mismo (retroactividad benigna) se ha determinado la comisión de las siguientes infracciones:

(i)Infracción leve tipificada en el literal f. del numeral 1 del artículo 132 del Reglamento de la LPDP: "Dar tratamiento a los datos personales contraviniendo las disposiciones de la Ley y su Reglamento"; ya que al momento de la fiscalización se detectó que la administrada no informaba a los visitantes de su página web que realizaba flujo transfronterizo de los datos personales que recopilaba, incumpliendo de esa forma el deber de información establecido en el artículo 18 de la LPDP. Infracción leve que de acuerdo con el artículo 39 de la LPDP, es sancionable con una multa desde cero coma cinco (0,5) UIT hasta cinco (5) UIT73, sin perjuicio de las medidas correctivas a determinarse según el artículo 118 del Reglamento de la LPDP74.

"Artículo 39. Sanciones administrativas En caso de violación de las normas de esta Ley o de su reglamento, la Autoridad Nacional de Protección de Datos Personales puede aplicar las siguientes multas: 1. Las infracciones leves son sancionadas con una multa mínima desde cero coma cinco de una unidad impositiva tributaria (UIT) hasta circo unidades impositivas tributarias (UIT). 2. Las infracciones graves son sancionadas con multa desde más de cinco unidades impositivas tributarias (UIT) hasta cincuenta unidades impositivas tributarias (UIT). 3. Las infracciones muy graves son sancionadas con multa desde más de cincuenta unidades impositivas tributarias (UIT) hasta cien unidades impositivas tributarias (UIT)."

72 Decreto Supremo N° 003-2013-JUS, que aprueba el Reglamento de la Ley de Protección de Datos Personales "Artículo 118.- Medidas cautelares y correctivas. Una vez iniciado e! procedimiento sancionador, la Dirección de Sanciones podrá disponer, mediante acto motivado, la adopción de medidas de carácter provisional que aseguren la eficacia de la resolución final que pudiera recaer en el referido procedimiento, con observancia de las normas aplicables de la Ley N° 27444, Ley del Procedimiento Administrativo General. Asimismo, sin perjuicio de la sanción administrativa que corresponda por una infracción a las disposiciones contenidas en la Ley y el presente reglamento, se podrán dictar, cuando sea posible, medidas correctivas destinadas a eliminar,, evitar o detener los efectos de las infracciones."

73 Ley N° 29733, Ley de Protección de Datos Personales: "Artículo 38. Infracciones Constituye infracción sancionable toda acción u omisión que contravenga o incumpla alguna de las disposiciones contenidas en esta Ley o en su reglamento. Las infracciones se califican como leves. graves y muy graves. (..)" "Artículo 39. Sanciones administrativas En caso de violación de las normas de esta Ley o de su reglamento, la Autoridad Nacional de Protección de Datos Personales puede aplicar las siguientes multas: 1. Las infracciones leves son sancionadas con una multa mínima desde cero coma cinco de una unidad impositiva tributaria (UIT) hasta cinco unidades impositivas tributarias (UIT). 2. Las infracciones graves son sancionadas con multa desde más de cinco unidades impositivas tributarias (UIT) hasta cincuenta unidades impositivas tributarias (UIT). 3. Las infracciones muy graves son sancionadas con multa desde más de cincuenta unidades impositivas tributarias (UIT) hasta cien unidades impositivas tributarias (UIT).

74 Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo N° 003-2013-JUS: "Artículo 118.- Medidas cautelares y correctivas Una vez iniciado e' procedimiento sancionador, la Dirección de Sanciones podrá disponer, mediante acto motivado, la adopción de medidas de carácter provisional que aseguren la eficacia de la resolución final que pudiera recaer en el referido procedimiento, con observancia de las normas aplicables de la Ley N° 27444, Ley del Procedimiento Administrativo General. Asimismo, sin perjuicio de la sanción administrativa que corresponda por una infracción a las disposiciones contenidas en la Ley y el presente reglamento, se podrán dictar, cuando sea posible, medidas correctivas destinadas a eliminar, evitar o detener los efectos de las infracciones."

Página 22 de 28


(ii) Infracción leve tipificada en el literal e. del numeral 1 del artículo 132 del Reglamento de la LPDP: "No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley"; ya que al momento de la fiscalización se detectó que la administrada no había comunicado e inscrito en el Registro de Protección de Datos Personales, la comunicación de realización de flujo transfronterizo de datos personales, de acuerdo a lo dispuesto por los artículos 26 y 77 del Reglamento de la LPDP y el artículo 34 de la LPDP. Infracción leve que de acuerdo con el artículo 39 de la LPDP, es sancionable con una multa desde cero coma cinco (0,5) UIT hasta cinco (5) UIT75, sin perjuicio de las medidas correctivas a determinarse según el artículo 118 del Reglamento de la LPDP76; sin perjuicio de las medidas correctivas a determinarse según el artículo 118 del Reglamento de la LPDP77.

75 Ley N° 29733, Ley de Protección de Datos Personales: "Artículo 38. Infracciones Constituye infracción sancionable toda acción u omisión que contravenga o incumpla alguna de las disposiciones contenidas en esta Ley o en su reglamento. Las infracciones se califican como leves, graves y muy graves.

"Artículo 39. Sanciones administrativas En caso de violación de las normas de esta Ley o de su reglamento. la Autoridad Nacional de Protección de Datos Personales puede aplicar las siguientes multas: 1. Las infracciones leves son sancionadas con una multa mínima desde cero coma cinco de una unidad impositiva tributaria (UIT) hasta cinco unidades impositivas tributarias (UIT). 2. Las infracciones graves son sancionadas con multa desde más de cinco unidades impositivas tributarias (UIT) hasta cincuenta unidades impositivas tributarias (UIT). 3. Las infracciones muy graves son sancionadas con multa desde más de cincuenta unidades impositivas tributarias (UlT) hasta cien unidades impositivas tributarias (UlT). (-

76 Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo N° 003-2013-JUS: "Artículo 118.- Medidas cautelares y correctivas Una vez iniciado el procedimiento sancionador, la Dirección de Sancicnes podrá disponer, mediante acto motivado, la adopción de medidas de carácter provisional que aseguren la eficacia de la resolución final que pudiera recaer en el referido procedimiento, con observancia de las normas aplicables de la Ley N° 27444, Ley del Procedimiento Administrativo General. Asimismo, sin perjuicio de la sanción administrativa que corresponda por una infracción a las disposiciones contenidas en la Ley y el presente reglamento, se podrán dictar, cuando sea posible, medidas correctivas destinadas a eliminar, evitar o detener los efectos de las infracciones."

77 Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo N° 003-2013-JUS: "Artículo 118.- Medidas cautelares y correctivas Una vez iniciado el procedimiento sancionador, la Dirección de Sanciones podrá disponer, mediante acto motivado, la adopción de medidas de carácter provisional que aseguren la eficacia de la resolución final que pudiera recaer en el referido procedimiento, con observancia de las normas aplicables de la Ley N° 27444, Ley del Procedimiento Administrativo General.

Página 23 de 28


85. Cabe señalar que la Dirección de Protección de Datos Personales determina el monto de las multas a ser impuestas tomando en cuenta para su graduación los criterios establecidos en el numeral 3 del artículo 246 del TUO de la LPAG. En tal sentido, debe prever que la comisión de las conductas sancionables no resulten más ventajosas para el infractor que cumplir las normas infringidas o asumir la sanción administrativa, por lo que la sanción deberá ser proporcional al incumplimiento calificado como infracción, observando para ello los criterios que dicha disposición señala para su graduación.

86. En el presente caso, se considera como criterios relevantes para graduar las infracciones evidenciadas los siguientes:

a) El beneficio ilícito resultante por la comisión de las infracciones:

No se ha evidenciado un beneficio ilícito resultante de la comisión de las infracciones cometidas.

b) La probabilidad de detección de la infracción:

Respecto a la comisión de las infracciones imputadas se tiene que la probabilidad de detección de las conductas infractoras descritas es baja puesto que ha sido necesario realizar dos fiscalizaciones para la detección de las mismas, así como para anáizar las medidas adoptadas por la administrada.

c) La gravedad del daño al interés público y/o bien jurídico protegido:

Las infracciones detectadas afectan el derecho fundamental a la protección de datos personales, el cual se encuentra reconocido en el numeral 6 del artículo 2 de la Constitución Política del Perú, siendo desarrollado por la LPDP y su reglamento.

En el presente caso, ha quedado acreditada la responsabilidad de la administrada por las infracciones imputadas.

Tales infracciones afectan el derecho de los ciudadanos a que se dé un tratamiento adecuado de sus datos personales.

1

d) El perjuicio económico causado:

No se ha evidenciado un perjuicio económico causado resultante de la comisión de las infracciones imputadas.

e) La reincidencia en la comisión de la infracción:

DIVECENTER S.A.C. no es reincidente, ya que no ha sido sancionada en alguna otra ocasión por la infracción imputada en el presente procedimiento sancionador.

Asimismo, sin perjuicio de la sanción administrativa que corresponda por una infracción a las disposiciones contenidas en la Ley y el presente reglamento, se podrán dictar. cuando sea posible, medidas correctivas destinadas a eliminar, evitar o detener los efectos de las infracciones."

Página 24 de 28


f) Las circunstancias de la comisión de la infracción:

(i) Respecto de la comisión de la infracción imputada consistente en no informar a los visitantes de la página web http://www.divemotorcon/contacteros que registraban sus datos personales a través de la opción "Escríbenos", que realizaba flujo transfronterizo de tales datos; se aprecia que se encuentra acreditada la comisión de dicha infracción y que no se han realizado acciones de enmienda al respecto, por lo que corresponde la imposición de una medida correctiva que restablezca el cumplimiento de la normativa vulnerada, consistente en: la exhibición de formatos/formularios en los que se incluya información a los usuarios de la web sobre la realización de flujo transfronterizo a Estados Unidos.

(ii) Respecto de la comisión de la infracción imputada consistente en no comunicar al Registro Nacional de Protección de Datos Personales, la realización de flujo transfronterizo y no registrarlo; se aprecia que se encuentra acreditada la comisión de dicha infracción y que no se han realizado acciones de enmienda al respecto, por lo que corresponde la imposición de una medida correctiva que restablezca el cumplimiento de la normativa vulnerada, consistente en: la exhibición de los documentos que acrediten la comunicación de la realización de flujo transfronterizo de datos personales al Registro Nacional de Protección de Datos Personales con el fin de su inscripción en éste.

g) La existencia o no de intencionalidad en la conducta del infractor:

No se ha evidenciado que haya elementos que acrediten la no intencionalidad de las infracciones cometidas.

Cabe mencionar que, la administrada ha inscrito flujos transfronterizos ante el Registro Nacional de Protección de Datos Personales.

87. En consecuencia, habiéndose realizado el análisis de las conductas infractoras aplicando el principio de irretroactividad de la potestad sancionadora administrativa establecido en el numeral 5 del artículo 246 del Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS; se ha determinado que los hechos infractores en los cuales incurrió la administrada se subsumen en las infracciones que a continuación

Página 25 de 28


se citan, correspondiéndoles además la imposición de sanciones en el rango que se describe de la siguiente forma:

(i)No cumplir con el deber de informar a los visitantes de la página web http://www.divernotor.cornicontactenos sobre la realización de flujo transfronterizo de sus datos personales, incumpliendo lo dispuesto por el artículo 18 de la LPDP; hecho que constituye la infracción leve tipificada en el literal f. del numeral 1 del artículo 132 del Reglamento de la LPDP: "Dar tratamiento a los datos personales contraviniendo las disposiciones de la Ley y su Reglamento"; siendo que conforme al numeral 1 del artículo 39 de la LPDP, para infracciones leves, corresponde la imposición de una sanción de multa entre 0,5 UIT hasta 5 UIT.

(ii) No inscribir y comunicar en el Registro Nacional de Protección de Datos Personales, la realización de flujo transfronterizo de datos personales, hecho que constituye la infracción leve tipificada en el literal e. del numeral 1 del artículo 132 del Reglamento de la LPDP: "No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley"; siendo que conforme al numeral 1 del artículo 39 de la LPDP, para infracciones leves, corresponde la imposición de una sanción de multa entre 0,5 UIT hasta 5 UIT.

88. Es pertinente indicar que el rango medio de la sanción a imponer para la infracciones cometidas es de dos punto setenta y cinco (2.75) unidades impositivas tributarias por cada infracción; por lo que es razonable que a partir de allí se apliquen los atenuantes, para cada caso, para ello se tendrá en cuenta la suma de todos los criterios que permiten graduar la sanción conforme a los argumentos desarrollados en el considerando 95 de la presente resolución directoral.

Por las consideraciones expuestas y de conformidad con lo dispuesto por la Ley N° 29733, Ley de Protección de Datos Personales, su reglamento aprobado por el Decreto Supremo N° 003-2013-JUS, el Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017- JUS, y el Reglamento del Decreto Legislativo N° 1353 que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses, aprobado por Decreto Supremo N° 019-2017-JUS;

SE RESUELVE:

Artículo 1.- Sancionar a DIVECENTER S.A.C. con RUC 20520588486 con la multa ascendente a una unidad impositiva tributaria (1 UIT) por la comisión de la infracción leve tipificada en el literal f. del numeral 1 del artículo 132 del Reglamento de la LPDP: "Dar tratamiento a los datos personales contraviniendo las disposiciones de la Ley y su Reglamento"; al haberse acreditado el incumplimiento del artículo 18 de la LPDP al no informar la realización de flujo transfronterizo a los visitantes de la página web de la administrada.

Artículo 2.- Sancionar a DIVECENTER S.A.C. con RUC 20520588486 con la multa ascendente a una unidad impositivas tributarias (1 UIT) por la comisión de la infracción leve tipificada en el literal e. del numeral 1 del artículo 132 del Reglamento de la LPDP: "No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley"; al haberse acreditado que al momento de la fiscalización, no había

Página 26 de 28


comunicado ni inscrito en el Registro de Protección de Datos Personales, la realización de flujo transfronterizo de datos personales.

Artículo 3.- Imponer Medida Correctiva a DIVECENTER S.A.C. con RUC 20520588486, consistente en: (i) la exhibición de formatos/formularios en los que se incluya información a los usuarios de la web sobre la realización de flujo transfronterizo a Estados Unidos; (ii) la exhibición de los documentos que acrediten la comunicación de la realización de flujo transfronterizo de datos personales al Registro Nacional de Protección de Datos Personales con el fin de su inscripción en éste; medida que deberá cumplirse en un plazo de 30 días hábiles contados a partir de la notificación que declare consentida o firme la presente resolución, debiendo informar además que su incumplimiento puede acarrear responsabilidades de acuerdo a lo dispuesto en el literal d) del numeral 3 del artículo 132 del Reglamento de la LPDP78.

Artículo 4.- Notificar a DIVECENTER S.A.C. que contra la presente resolución, de acuerdo a lo indicado en el artículo 216 del Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS, proceden los recursos de reconsideración o apelación dentro de los quince (15) días hábiles posteriores a su notificación79.

"Reglamento del Decreto Legislativo N° 1353, Decreto Legislativo que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses DECRETO SUPREMO N° 019-2017-JUS Tercera.- Incorporación del Capítulo IV de Infracciones al Título VI de Infracciones y Sanciones al Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales Incorpórase el Capítulo IV de Infracciones al Título VI al Reglamento de la de la Ley N° 29733, Ley de Protección de Datos Personales, aprobado por el Decreto Supremo N° 003-2013-JUS, en los siguientes términos: TÍTULO VI INFRACCIONES Y SANCIONES CAPÍTULO IV INFRACCIONES Artículo 132.- infracciones Las infracciones a la Ley N° 29733, Ley de Protección de Datos Personales, o su Reglamento se califican como leves, graves y muy graves y se sancionan con multa de acuerdo al artículo 39 de la citada Ley. 3.Son infracciones muy graves: d) No cesar en el indebido tratamiento de datos personales cuando existiese un previo requerimiento de la Autoridad como resultado de un procedimiento sancionador o de un procedimiento trilateral de tutela.

79 Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS "Artículo 216. Recursos administrativos 216.1 Los recursos administrativos son: a) Recurso de reconsideración b) Recurso de apelación

Página 27 de 28


Articulo 5.- Informar que el pago de la multa será requerido una vez que la resolución que impone la sanción quede firme. En el requerimiento de pago se le otorgará diez (10) días hábiles para realizarlo y se entiende que cumplió con pagar la multa impuesta, si antes de que venza el plazo establecido en el requerimiento de pago, cancela el 60% de la multa impuesta conforme a lo dispuesto en el artículo 128° del reglamento de la LPDP80.

Artículo 6.- Notificar a DIVECENTER S.A.C. la presente resolución, en su domicilio sito en: Av. Pardo y Aliaga N° 699, Of. 802, Distrito de San Isidro, Provincia y Departamento de Lima.

Regístrese y comuníquese.

ARIA ALEJANII: A GONZÁLEZ LUNA Directora (e) de la Direcciorde Protección de

Datos Personales Ministerio de Justicia y-Derechos Humanos

Solo en caso que por ley o decreto legislativo se establezca expresamente, cabe la interposición del recurso administrativo de revisión. 216.2 El término para la interposición de los recursos es de quince (15) días perentorios, y deberán resolverse en el plazo de treinta (30) días."

80 Decreto Supremo N° 003-2013-JUS, aprobado por Reglamento de la Ley de Protección de Datos Personales, aprobado por "Artículo 128.- Incentivos para el pago de la sanción de multa. Se considerará que el sancionado ha cumplido con pagar la sanción de multa si, antes de vencer el plazo otorgado para pagar la multa, deposita en la cuenta bancaria determinada por la Dirección General de Protección de Datos Personales el sesenta por ciento (60%) de su monto. Para que surta efecto dicho beneficio deberá comunicar tal hecho a la Dirección General de Protección de Datos Personales, adjuntando el comprobante del depósito bancario correspondiente. Luego de dicho plazo, el pago sólo será admitido por el íntegro de la multa impuesta."

Página 28 de 28

resolución directoral n° 1091-2018-jus/dgtaipd …...(i) se recomienda imponer sanción...

Documents