resolución directoral n° 551-2021-jus/dgtaipd-dpdp

Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda.
Página 1 de 61
Resolución Directoral N° 551-2021-JUS/DGTAIPD-DPDP
Lima, 18 de marzo de 2021
VISTOS: El Informe Nº046-2020-JUS/DGTAIPD-DFI del 30 de junio de 20201, emitido por la Dirección de Fiscalización e Instrucción de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (en adelante, la “DFI”), junto con los demás documentos que obran en el respectivo expediente; y,
CONSIDERANDO:
I. Antecedentes 1. Mediante Orden de Fiscalización N°130-2018-JUS/DGTAIPD-DFI, del 13 de noviembre de 20182, la DFI dispuso fiscalizar el sitio web b www.falabella.com.pe/falabella-pe/ de SAGA FALABELLA S.A. identificada con R.U.C N° 20100128056 (en adelante, la “administrada”) con objeto de determinar si dicha entidad, en el desarrollo de sus actividades, cumple las disposiciones de la Ley N°29733, Ley de Protección de Datos Personales (en adelante, la “LPDP”) y su reglamento aprobado por Decreto Supremo Nº 003-2013-JUS (en adelante, el “Reglamento de la LPDP”) 2. A través del Informe Técnico N° 271-2018-DFI-VARS del 14 de noviembre de 20183, el analista de fiscalización en seguridad de la información de la DFI, por las razones que detalla, formula sus conclusiones sobre la fiscalización realizada al sitio web www.falabella.com.pe/falabella-pe/
3. Mediante Oficio N° 781-2018-JUS/DGTAIPD-DFI, notificado el 11 de diciembre de 20184 se requirió a la administrada que en el plazo de cinco (5) días hábiles informe si solicita el consentimiento de las personas titulares de las imágenes que aparecen en su sitio web.
1 Folios 1033 a 1054 2 Folio 1 3 Folios 3 a 19 4 Folios 23
Expediente N°
Página 2 de 61
4. Mediante escrito ingresado con Hoja de Trámite N°80930-2018MSC el 18 de diciembre de 20185, la administrada da respuesta al Oficio N° 781-2018-JUS/DGTAIPD- DFI, señalando que cumple en todos los casos con solicitar el consentimiento de las personas titulares de las imágenes que aparecen en el sitio web www.falabella.com.pe/falabella-pe/. Adjuntó Contratos Locación de Servicios de Modelaje, así como Contratos para el formato E-Commerce suscritos con diversos modelos (Contrato Modelo Sesión Fotos-Estudio E-Commerce). 5. El 20 de diciembre de 2018, mediante escrito ingresado con Hoja de Trámite N° 81535-2018MSC6, la administrada adjunta otros Contratos de Locación de Servicios de Modelaje que omitió presentar con el escrito del 18 de diciembre de 2018, a fin de subsanar el requerimiento efectuado mediante Oficio N° 781-2018-JUS/DGTAIPD-DFI. En dicho escrito la administrada solicitó dar tratamiento confidencial al contenido de los contratos adjuntos.
6. El 9 de enero de 2019, mediante Oficio N° 897-2018-JUS/DGTAIPD-DFI7, se notificó a la administrada la orden de visita de fiscalización y el CD que contiene la fiscalización realizada al sitio web www.falabella.com.pe/falabella-pe/ ,y se le otorga el plazo de cinco (5) días hábiles para que presente las manifestaciones u observaciones a la fiscalización realizada de considerarlo conveniente.
7. Mediante Proveído de 21 de marzo de 20198, notificado el 25 de marzo de 2019 a través del Oficio N°236-2019-JUS/DGTAIPD-DFI9, la DFI dispuso ampliar el plazo de la fiscalización por cuarenta y cinco (45) días hábiles adicionales, a ser contados desde el 25 de marzo de 2019.
8. El 11 de abril de 2019, mediante Orden de Fiscalización N°033-2019- JUS/DGTAIPD- DFI10, la DFI dispuso la realización de una fiscalización al local de la administrada con la finalidad de determinar si dicha entidad, en el desarrollo de sus actividades, cumple las disposiciones de la LPDP y su Reglamento.
9. El 11 de abril de 2019 se realizó la primera visita de fiscalización, dejándose constancia de los hechos en el Acta de Fiscalización N° 01-2019 y actuados11.
10. El 26 de abril de 2019 se realizó la segunda visita de fiscalización, dejándose constancia de los hechos en el Acta de Fiscalización N° 02-2019 y actuados12.
11. El 13 de mayo de 2019 se realizó la tercera visita de fiscalización, dejándose constancia de los hechos en el Acta de Fiscalización N° 03-2019 y actuados13 .
5 Folios 26 a 454 6 Folios 455 a 527 7 Folio 529 8 Folio 530 9 Folios 531 a 532 10 Folio 533 11 Folios 534 a 543 12 Folios 544 a 604 13 Folios 605 a 639
Página 3 de 61
12. El 27 de mayo de 2019 mediante escrito ingresado con Hoja de Trámite N°37020- 2019MSC14, la administrada remitió documentación complementaria sobre los hechos materia de fiscalización. 13. Mediante el Informe Técnico N° 82-2019-DFI-ETG del 29 de mayo de 201915, el analista de fiscalización en seguridad de la información de la DFI, por las razones que detalla, formula sus conclusiones sobre la evaluación de la implementación de las medidas de seguridad. 14. La DFI efectuó de oficio la búsqueda en el sistema web del Registro Nacional de Protección de Datos Personales (en adelante, el “RNPDP”)16, constatándose que sobre la administrada figuran inscritos lo siguientes bancos de datos personales, así como, la siguiente información:
• CLIENTES con código RNPDP-PJP N°9566 (Folio 685)
• VIDEOVIGILANCIA con código RNPDP-PJP N° 9567 (Folio 686)
• PROVEEDORES con código RNPDPPJP N° 9568 (Folio 687)
• RECURSOS HUMANOS con código RNPDP-PJP N° 9569 (Folios 688 a 689)
• PREVENCION Y SEGURIDAD con código RNPDP-PJP N° 14487 (Folios 698 a 699)
• Inscripciones de comunicación de flujo transfronterizo (Folio 700) 15. Por medio del Informe de Fiscalización N°076-2019-JUS/DGTAIPD-DFI-AARM del 28 de mayo de 201917 (en adelante, el “Informe de Fiscalización”), el Analista Legal de la DFI, por los argumentos que desarrolla y la documentación que obra en el expediente, concluye que se han determinado con carácter preliminar las circunstancias que justifican la instauración de un procedimiento administrativo sancionador. Se remitió a la DFI el resultado de la fiscalización realizada a la administrada, adjuntando documentos que conforman el expediente administrativo. Dicho Informe de Fiscalización fue notificado a la administrada el 28 de junio de 2019 mediante Oficio N°520-2019- JUS/DGTAIPD-DFI18. 16. El 21 de junio de 2019, por medio del escrito ingresado con Hoja de Trámite N° 44176-2019MSC19, la administrada remite documentación complementaria sobre los hechos materia de fiscalización. 17. El 25 de julio de 2019, por medio del escrito ingresado con Hoja de Trámite N° 53405-2019MSC20, la administrada remite documentación complementaria sobre los hechos materia de fiscalización. 18. A través del Informe Técnico N° 236-2019-DFI-VARS del 22 de noviembre de 201921, el analista de fiscalización en seguridad de la información de la DFI, informa sobre la supervisión técnica realizada a la administrada.
14 Folios 640 a 663 15 Folios 664 a 683 16 Folio 684 17 Folios 709 a 721 18 Folios 764 a 765 19 Folios 722 a 763 20 Folios 766 a 830 21 Folios 831 a 832
Resolución Directoral N° 551 -2021-JUS/DTAIPD-DPDP
Página 4 de 61
19. Por medio de la Resolución Directoral N°269-2019-JUS/DGTAIPD-DFI del 31 de diciembre de 201922 (en adelante, la “RD de Inicio”), la DFI resolvió iniciar procedimiento
administrativo sancionador a la administrada, por la presunta comisión de los siguientes hechos infractores:
• La administrada estaría realizando tratamiento de datos personales de sus clientes y trabajadores para finalidades adicionales a la ejecución de la relación contractual, sin obtener válidamente el consentimiento de los titulares de los datos personales. Obligación establecida en el artículo 13, numeral 13.5 de la LPDP y el artículo 12 del Reglamento de la LPDP.
• La administrada estaría realizando tratamiento de datos personales a través de: (i) el contrato modelo de sesión de fotos; y (ii) de los formatos físicos y sistema automatizado; sin informar a los titulares de los datos lo requerido por el artículo 18° de la LPDP
• La administrada no habría cumplido con inscribir en el RNPDP, los bancos de datos personales de: "prospectos de clientes", “libro de reclamaciones”, “usuarios del sitio web” y “novios”, detectados en la fiscalización. Obligación establecida en el artículo 78° del Reglamento de la LPDP.
• La administrada no habría cumplido con implementar las medidas de seguridad para el tratamiento de datos personales, al: A. No generar ni registrar la interacción lógica del banco de datos personales
de clientes. Obligación establecida en el numeral 2 del artículo 39° del Reglamento de la LPDP.
B. No contar con las medidas de seguridad apropiadas en su centro de datos, Obligación establecida en el primer párrafo del artículo 40° del Reglamento de la LPDP.
C. No garantizar el respaldo del banco de datos personales de clientes, Obligación establecida en el segundo párrafo del artículo 40° del Reglamento de la LPDP.
D. No restringir la generación de copias o reproducción de documentos. Obligación establecida en el artículo 43° del Reglamento de la LPDP.
20. Mediante el Oficio N°1079-2019-JUS/DGTAIPD-DFI23, se notificó la RD de Inicio a la administrada el día 10 de enero de 2020. 21. Mediante escrito ingresado con Hoja de Trámite N°7372-2020MSC el 3 de febrero de 202024, la administrada presentó sus descargos, señalando principalmente lo siguiente: 21.1. Respecto al Hecho Imputado N°1:
• Se allanan a la imputación efectuada por la DFI
• Se modificó el contrato que suscriben las personas naturales para participar del "programa de novios".
• Se modificó el documento denominado "Declaración de consentimiento de captación de tratamiento de datos personales para empleados", a fin de subsanar las observaciones hechas por la DFI
22 Folios 875 a 890 23 Folios 892 24 Folios 893 a 1023
Página 5 de 61
21.2. Respecto al Hecho Imputado N°2:
• El único contrato que utiliza es el de locación de servicios de modelaje, habiendo dado de baja el de sesión de fotos estudio E-Commerce. Asimismo, el contrato de locación de servicios de modelaje se ha modificado para poder cumplir con lo señalado por la Autoridad, para acreditar lo alegado adjuntan el nuevo contrato de locación de servicios de modelaje.
• Con respecto al tratamiento de los datos personales en soporte automatizado y no automatizado de clientes y trabajadores, señalan que respecto al formulario denominado "Talón de servicio" a la fecha se entrega el mismo con la política de privacidad que adjunta.
• Respecto al formulario denominado "Constancia de retiro en tienda", este se utiliza como medida de control por el área de prevención con el cual se deja constancia que efectivamente ese paquete se compró en la página web y que se recogió en tienda a través de un sello que recoge datos personales; no obstante, a la fecha Saga ya no solicita la firma ni datos del cliente al momento del retiro, es decir, ya no se utiliza el sello en el documento; por tanto, a la fecha no hay necesidad de comunicar como se tratarán los datos personales, pues este documento no contiene datos personales.
• En lo que se refiere a los demás documentos, en línea con lo requerido por el artículo 18° de la LPDP, Saga modificó los documentos mencionados.
• Han cumplido con subsanar lo señalado por la Autoridad durante la fiscalización y posterior informe, asimismo, se allanan a la imputación de la Autoridad.
• El artículo 78° del Reglamento de la LPDP no exige que el soporte o formulario mediante el cual se recopilen datos personales se constituya o registre como una base de datos y registro independientes.
• Respecto a los datos personales de clientes, libro de reclamaciones, usuarios del sitio web, y novios, los cuales la Autoridad indica deberían ser registrados en una base de datos diferentes, Saga considera que no hay una base legal para hacerlo, los datos personales de prospectos de clientes, libro de reclamaciones, usuarios del sitio web, y novios, se encuentran almacenados en la base de datos de clientes, debidamente registrada.
• Sin perjuicio de ello, siguiendo las recomendaciones de la Autoridad ingresó una nueva base de datos con la información del libro de reclamaciones, e, ingresar la solicitud de ampliación de la finalidad de la base de datos de clientes ya registrada, incluyendo dentro de esta finalidad a novios, prospectos de clientes y usuarios del sitio web.
• Por ello, han cumplido con subsanar lo señalado por la Autoridad en su inspección y posterior informe, y, asimismo, se allanan a la imputación de la Autoridad.
• Respecto a que no cuentan con la interacción lógica de los sistemas con los que se trata el banco de datos de clientes, los cuales de acuerdo a las visitas: de inspección son SIEBEL, SRX, OMS, CRONOS, POS, para ello adjuntan el registro de interacción lógica de SIEBEL, SRX, OMS, en lo que respecta a CRONOS y POS, tal como se pudo verificar en la visita de fiscalización el sistema CRONOS no es utilizado para tratar la información del banco de datos de clientes, como el hecho imputado lo señala, sino que este es utilizado para
Página 6 de 61
verificar los antecedentes penales y policiales de postulantes a empleos en SAGA.
• El uso del sistema CRONOS se realiza en virtud de un contrato de servicios suscrito con la empresa ANDRICK CONSULTORES S.A.C., la cual posee la licencia de este sistema y como consecuencia no estamos en la posibilidad de presentar el registro de interacción lógica de este sistema, por no tener acceso a él. En el mencionado contrato se señala claramente el tratamiento de esta empresa en relación a los datos personales que reciben estando obligados a las medidas de seguridad y privacidad correspondientes.
• Acerca del sistema POS, cabe precisar que es una plataforma mediante la cual se procesa el detalle de las operaciones realizadas por los servidores POS de sus tiendas, estos servidores acumulan en un archivo encriptado todas las operaciones correspondientes del día y tienen un rol de pasarela de información al sistema SRX, que se alimenta de dichos datos para tratar esta información. Es decir, la información del sistema POS no es tratada, sino simplemente sirve como un sistema de transmisión de información al sistema SRX, por este motivo el sistema POS no genera interacciones lógicas, tal como lo requiere la Autoridad.
• Respecto a las medidas de seguridad apropiadas en su centro de datos, SAGA mantiene su centro de datos en Chile y este es gestionado por la empresa Falabella Tecnología Corporativa Limitada, la misma que contrata el servicio de Housing a la Empresa Nacional de Telecomunicaciones S.A.- Ente! Chile, contrato que contiene diversas cláusulas mediante las cuales el proveedor garantiza la seguridad de sus instalaciones. Sin perjuicio de ser un tercero el que gestiona el centro de datos, y de haber procedido con diligencia al establecer obligaciones en el contrato de servicios acerca de las medidas de seguridad necesarias, adjuntan dichas medidas de seguridad.
• Sobre la garantía de las copias de respaldo de los sistemas SRX, CRONOS, y POS por parte de SAGA, sobre esto consideran que CRONOS y POS no deberían incluirse dentro de la solicitud de la Autoridad, pues no son sistemas con los que se realice el tratamiento de la base de datos de clientes y además en el caso de CRONOS el sistema pertenece a la empresa ANDRICK. Sobre las copias de respaldo del Sistema SRX, estas por error no fueron enviadas en el escrito del 26 de abril, por lo cual a la fecha cumplen con su presentación.
• Sobre la no restricción de la generación de copias o reproducción de documentos en el área de retiro de productos, adjuntan la acreditación de la clave de las fotocopiadoras en el área antes mencionada.
• Por ello, han cumplido con subsanar lo señalado por la Autoridad en su inspección y posterior informe, y, asimismo, se allanan a la imputación de la Autoridad.
22. Mediante Informe Técnico N° 066-2020-DFI-VARS del 4 de marzo de 202025, el analista de fiscalización en seguridad de la información de la DFI, por las razones que detalla, formula sus conclusiones sobre la implementación de las medidas de seguridad por parte de la administrada.
25 Folios 1025 a 1026
Página 7 de 61
23. Mediante Proveído de fecha 16 de junio de 202026, se dispuso ampliar el plazo de la etapa instructiva por cincuenta (50) días hábiles adicionales, los mismos que se contarán a partir del 18 de junio de 2020. Dicho proveído fue notificado a la administrada mediante Oficio N°397-2020-JUS/DGTAIPD-DFI27 el día 14 de julio de 202028. 24. Por medio de la Resolución Directoral N°047-2020-JUS/DGTAIPD-DFI del 30 de junio de 202029, la DFI dio por concluidas las actuaciones instructivas correspondientes al procedimiento sancionador. 25. Mediante Informe Final de Instrucción N°046-2020-JUS/DGTAIPD-DFI del 30 de junio de 202030 (en adelante, el “IFI”), la DFI remitió a la DPDP los actuados para que resuelva en primera instancia el procedimiento administrativo sancionador iniciado, recomendando lo siguiente:
• Imponer sanción administrativa de multa ascendente a trece coma cinco unidades impositivas tributarias (13,5 UIT) a la administrada por el cargo acotado en el Hecho Imputado N°1, por la infracción grave tipificada en el literal b) del numeral 2 del artículo 132 del Reglamento de la LPDP: "Dar tratamiento a los datos personales sin el consentimiento libre, expreso, inequívoco, previo e informado del titular, cuando el mismo sea necesario conforme a lo dispuesto en la Ley n° 29733 y su Reglamento".
• Imponer sanción administrativa de multa ascendente a doce unidades impositivas tributarias (12 UIT) a la administrada por el cargo acotado en el Hecho Imputado N°2, por la infracción grave tipificada en el literal a) del numeral 2 del artículo 132 del Reglamento de la LPDP: "No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales reconocidos en el título III de la Ley n.° 29733 y su Reglamento".
• Imponer sanción administrativa de multa ascendente a tres unidades impositivas tributarias (3 UIT) a la administrada por el cargo acotado en el Hecho Imputado N°3, por la infracción leve tipificada en el literal e) del numeral 1 del artículo 132 del Reglamento de la LPDP: "No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34° de la Ley".
• Imponer sanción administrativa de multa ascendente a cuatro coma cinco unidades impositivas tributarias (4,5 UIT) a la administrada por el cargo acotado en el Hecho Imputado N°4, por la infracción leve tipificada en el literal a) del numeral 1 del artículo 132 del Reglamento de la LPDP: "Realizar tratamiento de datos personales incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia".
26. El Informe Final de Instrucción N°046-2020-JUS/DGTAIPD-DFI y la Resolución Directoral N°047-2020-JUS/DGTAIPD-DFI fueron notificados a la administrada mediante Oficio N°410-2020-JUS/DGTAIPD-DFI el día 15 de julio de 202031 27. A través del escrito ingresado con código N°2020MSC-25670 el 23 de julio de 202032,
la administrada presentó sus descargos al IFI, señalando principalmente lo siguiente:
26 Folios 1027 a 1028 27 Folio 1028 28 Folio 1123 29 Folios 1029 a 1031 30 Folios 1033 a 1054 31 Folios 1032 y 1124 32 Folios 1055 a 1091
Página 8 de 61
• Respecto al Programa de Novios (Contrato de afiliación al programa lista de novios Falabella/Crate & Barrel) la DFI observó que solo se adjuntó un formato a implementar. En tal sentido, adjuntó una muestra del documento firmado (Anexo 1)
• Respecto a la Declaración de Consentimiento de captación de tratamiento de datos personales para empleados la DFI observó que solo se adjuntó un formato a implementar. En tal sentido, indicó que adjuntaba una muestra del documento firmado (Anexo 2). Sin embargo, dicho documento no fue presentado.
• Sobre los contratos de locación de servicios de modelaje y contrato modelo de sesión de fotos estudio E-Commerce, reiteró que dichos contratos los firma la agencia de medios a quien contrata.
• Sobre el Talón de Servicio indicó que adjuntaba una muestra del documento firmado por un cliente (Anexo 3). Sin embargo, dicho documento no fue presentado.
• Respecto a la Constancia de Retiro en Tienda, señaló que es imposible adjuntar un medio probatorio que demuestre que la administrada ya no firma Constancias de Retiro en Tienda, justamente porque ya no se entregan a los clientes.
• Respecto a los demás formatos físicos (Constancia de entrega, Solicitud de despacho, Solicitud de liquidación y premio) adjuntó muestra de los documentos firmados (Anexo 4)
• Respecto al banco de datos vinculado al libro de reclamaciones, adjuntó cargo de presentación de solicitud de inscripción (Anexo 5)
• Respecto al cambio de finalidad del banco de datos de clientes, la solicitud presentada fue observada mediante el oficio N°726-2020- JUS/DGTAIPD/DPDP, señalando que correspondería tener bancos de datos distintos por cada finalidad (Anexo 6)
28. Mediante Oficio N° 1391-2020-JUS/DGTAIPD-DPDP, notificado el 29 de setiembre de 202033, la DPDP realizó requerimiento de información complementaria al escrito de descargos al IFI presentado por la administrada. 29. Mediante escrito ingresado con código 2020MSC-43886 el 5 de octubre de 202034la administrada presentó el contenido de los Anexos N° 2 (Declaración de Consentimiento de captación de tratamiento de datos personales para empleados firmada, la cual se encuentra entre los diversos documentos firmados por nuestros trabajadores a su ingreso) y N° 3 (Talones de Servicio firmados que incluye nuestra Política de Privacidad) que no se encontraban adjuntos en su escrito de descargos al IFI, asimismo cumplió con establecer direcciones electrónicas para notificaciones relacionadas al presente procedimiento.
33 Folios 1092 a 1093 34 Folios 1094 a 1116
Página 9 de 61
30. Mediante Resolución Directoral N°2168-2020-JUS/DGTAIPD-DPDP de 14 de diciembre de 202035, la DPDP dispuso ampliar por tres meses el plazo de caducidad para resolver el presente procedimiento, plazo adicional que comenzará a contarse desde el 2 de enero de 2021. Dicha resolución fue notificada a la administrada el 14 de diciembre de 2020, mediante Oficio N°2182-2020-JUS/DGTAIPD-DPDP.36
II. Competencia 31. De conformidad con el artículo 74 del Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, aprobado por Decreto Supremo N°013- 2017-JUS, la DPDP es la unidad orgánica competente para resolver en primera instancia, los procedimientos administrativos sancionadores iniciados por la DFI. 32. En tal sentido, la autoridad que debe conocer el presente procedimiento sancionador, a fin de emitir resolución en primera instancia, es la Directora de Protección de Datos Personales.
III. Normas concernientes a la responsabilidad de la administrada 33. Acerca de la responsabilidad de la administrada, se deberá tener en cuenta que el literal f) del numeral 1 del artículo 257 del Texto Único Ordenado de la Ley del Procedimiento Administrativo General (en adelante, la “LPAG”), establece como una causal eximente de la responsabilidad por infracciones, la subsanación voluntaria del hecho imputado como infractor, si es realizada de forma previa a la notificación de imputación de cargos37.
34. Asimismo, se debe atender a lo dispuesto en el artículo 126 del Reglamento de la LPDP, que considera como atenuantes la colaboración con las acciones de la autoridad y el reconocimiento espontáneo de las infracciones conjuntamente con la adopción de medidas de enmienda; dichas atenuantes, de acuerdo con la oportunidad del reconocimiento y las fórmulas de enmienda, pueden permitir la reducción motivada de la sanción por debajo del rango previsto en la LPDP38.
35. Dicho artículo debe leerse conjuntamente con lo previsto en el numeral 2 del artículo 257 de la LPAG39, que establece como condición atenuante el reconocimiento de la
35 Folios 1117 a 1118 36 Folios 1119 a 1122 37 Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo Nº 004-2019-JUS “Artículo 257.- Eximentes y atenuantes de responsabilidad por infracciones 1.- Constituyen condiciones eximentes de la responsabilidad por infracciones las siguientes: (…) f) La subsanación voluntaria por parte del posible sancionado del acto u omisión imputado como constitutivo de infracción administrativa, con anterioridad a la notificación de la imputación de cargos a que se refiere el inciso 3) del artículo 255.” 38 Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo Nº 003-2013-JUS “Artículo 126.- Atenuantes. La colaboración con las acciones de la autoridad y el reconocimiento espontáneo de las infracciones acompañado de acciones de enmienda se considerarán atenuantes. Atendiendo a la oportunidad del reconocimiento y a las fórmulas de enmienda, la atenuación permitirá incluso la reducción motivada de la sanción por debajo del rango previsto en la Ley” 39 Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo Nº 004-2019-JUS “Artículo 257.- Eximentes y atenuantes de responsabilidad por infracciones (…) 2.- Constituyen condiciones atenuantes de la responsabilidad por infracciones las siguientes: a) Si iniciado un procedimiento administrativo sancionador el infractor reconoce su responsabilidad de forma expresa y por escrito.
Página 10 de 61
responsabilidad por parte del infractor de forma expresa y por escrito, debiendo reducir la multa a imponérsele hasta no menos de la mitad del monto de su importe; y por otro lado, las que se contemplen como atenuantes en las normas especiales. IV. Primer cuestión previa: Sobre la vinculación entre el Informe de Instrucción y el pronunciamiento de esta Dirección 36. El artículo 254 de la LPAG establece como carácter fundamental del procedimiento administrativo sancionador, la separación entre la autoridad instructora y la autoridad sancionadora o resolutora: “Artículo 254.- Caracteres del procedimiento sancionador 254.1 Para el ejercicio de la potestad sancionadora se requiere obligatoriamente haber seguido el procedimiento legal o reglamentariamente establecido caracterizado por: 1. Diferenciar en su estructura entre la autoridad que conduce la fase instructora y la que decide la aplicación de la sanción. (…)”
37. Por su parte, el artículo 255 de la LPAG, establece lo siguiente: “Artículo 255.- Procedimiento sancionador Las entidades en el ejercicio de su potestad sancionadora se ciñen a las siguientes disposiciones: (…) 5. Concluida, de ser el caso, la recolección de pruebas, la autoridad instructora del procedimiento concluye determinando la existencia de una infracción y, por ende, la imposición de una sanción; o la no existencia de infracción. La autoridad instructora formula un informe final de instrucción en el que se determina, de manera motivada, las conductas que se consideren probadas constitutivas de infracción, la norma que prevé la imposición de sanción; y, la sanción propuesta o la declaración de no existencia de infracción, según corresponda. Recibido el informe final, el órgano competente para decidir la aplicación de la sanción puede disponer la realización de actuaciones complementarias, siempre que las considere indispensables para resolver el procedimiento. El informe final de instrucción debe ser notificado al administrado para que formule sus descargos en un plazo no menor de cinco (5) días hábiles.”
38. De los artículos transcritos, se desprende que la separación de las dos autoridades, así como la previsión de ejercicio de actuaciones por parte de la autoridad sancionadora o resolutora implican la autonomía de criterios de ambas, siendo que la autoridad sancionadora o resolutora puede hacer suyos todos los argumentos, conclusiones y recomendaciones expuestos por la autoridad instructora en su informe final de instrucción, así como, en sentido distinto, puede efectuar una distinta evaluación de los hechos comprobados o inclusive, cuestionar estos hechos o evaluar situaciones que si bien fueron tomadas en cuenta al momento de efectuar la imputación, no fueron evaluadas al finalizar la instrucción. 39. Por tal motivo, la resolución que emita una autoridad sancionadora o resolutora, puede apartarse de las recomendaciones del informe final de instrucción o incluso cuestionar los hechos expuestos y su valoración, haciendo una evaluación diferente, considerando su naturaleza no vinculante, y sin que ello implique una vulneración de la predictibilidad o de la expectativa legítima del administrado, la cual no encuentra asidero en la normativa referida al procedimiento administrativo.
En los casos en que la sanción aplicable sea una multa esta se reduce hasta un monto no menor de la mitad de su importe. b) Otros que se establezcan por norma especial.”
Página 11 de 61
40. Por supuesto, la divergencia de criterios mencionada, no puede implicar vulneraciones al debido procedimiento, como el impedir el derecho de defensa de los administrados, ni ampliar o variar los hechos imputados y su valoración como presuntas infracciones.
V. Segunda cuestión previa: Sobre el concurso de infracciones 41. El numeral 6 del artículo 248 de la LPAG establece como uno de los principios de la potestad sancionadora el del Concurso de Infracciones, en los siguientes términos: “Artículo 248.- Principios de la potestad sancionadora administrativa La potestad sancionadora de todas las entidades está regida adicionalmente por los siguientes principios especiales: (…) 6. Concurso de Infracciones. - Cuando una misma conducta califique como más de una infracción se aplicará la sanción prevista para la infracción de mayor gravedad, sin perjuicio que puedan exigirse las demás responsabilidades que establezcan las leyes.”
42. La Autoridad Administrativa tiene la obligación, en casos de concurso de infracciones, de aplicar la sanción por la infracción que considere más grave, sin que ello, necesariamente, deba determinarse solo por lo gravoso de la sanción -como bien señala Morón- sino por diversas cuestiones como la trascendencia de la norma infringida, de las obligaciones incumplidas o su influencia en los derechos de terceros. 43. En el presente caso, se detecta que uno de los hechos que configura la presunta comisión de la infracción grave tipificada en el literal b) del numeral 2 del artículo 132 del Reglamento de la LPDP es que la administrada no obtenía válidamente el consentimiento a través de los documentos "Contrato de afiliación al programa lista de novios Falabella/Crate&Barrel” (Folios 572 a 579) y "Declaración de consentimiento de captación y tratamiento de datos personales para empleados" (Folio 596) en tanto no se reunían, en distintos órdenes, las características (libre, expreso e inequívoco, e informado) del consentimiento, previstas en el artículo 12 del Reglamento de la LPDP. 44. Por su parte, entre los hechos que componen la comisión de la infracción grave tipificada en el literal a) del numeral 2 del artículo 132 del Reglamento de la LPDP, se encuentra la recopilación de datos personales por medio de los documentos citados en el considerando inmediato anterior, sin informar lo requerido en el artículo 18 de la LPDP. 45. En consecuencia, la omisión referida afecta a más de una norma jurídica, al incumplir la administrada, dos obligaciones autónomas con el mismo hecho, considerando que los factores informados tienen la misma relevancia tanto para el tratamiento efectuado para la ejecución de la relación contractual comercial y laboral, respectivamente (y que no requiere consentimiento), como para el realizado con fines no necesarios para la relación con el cliente y el trabajador (que sí requiere del consentimiento), con lo que se está ante un supuesto de concurso de infracciones, debiendo decidirse cuál de las detectadas reviste una mayor gravedad. 46. El derecho a recibir información acerca del tratamiento, contemplado en el artículo 18 de la LPDP, es exigible al responsable del tratamiento en todos los casos; vale decir que incluso cuando no es necesario el consentimiento, es obligatorio brindar al titular la
Página 12 de 61
información sobre el tratamiento a efectuar, señalando los elementos mencionados en dicho artículo, constituyendo su inobservancia un supuesto de tratamiento ilícito por implicar la restricción de un derecho del titular de los datos personales. 47. De otro lado, es pertinente tomar en cuenta que los principios rectores representan obligaciones que determinan la licitud del tratamiento de los datos personales, tanto en lo que concierne a los tipos, cantidades u oportunidad de los datos personales (principio de Finalidad, Proporcionalidad y Calidad), como a los requisitos para efectuar tal tratamiento (principio de Consentimiento, principio de Seguridad y, entendido como principio, el deber de conceder información al titular de los datos personales). 48. En tal sentido, esta Dirección considera que, si bien solo el principio de Consentimiento se encuentra literalmente reconocido como un principio rector en el artículo 5 de la LPDP y desarrollado en el artículo 13 de la misma ley, no se excluye la posibilidad de admitir la misma calidad del artículo 18 de la LPDP, debiendo entenderse también que el listado de principios rectores es enunciativo, no cerrado, de acuerdo con el artículo 12 de la LPDP: “Artículo 12. Valor de los principios La actuación de los titulares y encargados de tratamiento de datos personales y, en general, de todos los que intervengan con relación a datos personales, debe ajustarse a los principios rectores a que se refiere este Título. Esta relación de principios rectores es enunciativa. Los principios rectores señalados sirven también de criterio interpretativo para resolver las cuestiones que puedan suscitarse en la aplicación de esta Ley y de su reglamento, así como de parámetro para la elaboración de otras disposiciones y para suplir vacíos en la legislación sobre la materia.”
49. Entonces, tomando en cuenta factores generales, como el mayor ámbito de exigibilidad del cumplimiento del artículo 18 de la LPDP, así como su valoración como principio rector del tratamiento de datos personales, es que el incumplimiento de tal artículo, subsumido como infracción en la tipificación del literal a) del numeral 2 del artículo 132 del Reglamento de la LPDP, es la infracción de mayor gravedad. 50. En tal sentido, en caso de verificarse el incumplimiento del requisito de validez de obtención del consentimiento en el extremo de informado, tal hecho infractor no será tomado en cuenta al momento de aplicar la sanción correspondiente a la infracción tipificada en el literal b) del numeral 2 del artículo 132 del mencionado reglamento.
VI. Cuestiones en discusión 51. Para emitir pronunciamiento en el presente caso, se debe determinar si la administrada es responsable por los siguientes hechos infractores:
• La administrada estaría realizando tratamiento de datos personales de sus clientes y trabajadores para finalidades adicionales a la ejecución de la relación contractual, sin obtener válidamente el consentimiento de los titulares de los datos personales. Obligación establecida en el artículo 13, numeral 13.5 de la LPDP y el artículo 12 del Reglamento de la LPDP.
• La administrada estaría realizando tratamiento de datos personales a través de: (i) el contrato modelo de sesión de fotos; y (ii) de los formatos físicos y sistema automatizado; sin informar a los titulares de los datos lo requerido por el artículo 18° de la LPDP
Página 13 de 61
• La administrada no habría cumplido con inscribir en el RNPDP, los bancos de datos personales de: "prospectos de clientes", “libro de reclamaciones", "usuarios del sitio web” y “novios”, detectados en la fiscalización. Obligación establecida en el artículo 78° del Reglamento de la LPDP.
• La administrada no habría cumplido con implementar las medidas de seguridad para el tratamiento de datos personales, al: A. No generar ni registrar la interacción lógica del banco de datos personales
de clientes. Obligación establecida en el numeral 2 del artículo 39° del Reglamento de la LPDP.
B. No contar con las medidas de seguridad apropiadas en su centro de datos, Obligación establecida en el primer párrafo del artículo 40° del Reglamento de la LPDP.
C. No garantizar el respaldo del banco de datos personales de clientes, Obligación establecida en el segundo párrafo del artículo 40° del Reglamento de la LPDP.
D. No restringir la generación de copias o reproducción de documentos. Obligación establecida en el artículo 43° del Reglamento de la LPDP.
52. En el supuesto de resultar responsable, si debe aplicarse la exención de responsabilidad por la subsanación de la infracción, prevista en el literal f) del numeral 1 del artículo 257 de la LPAG, o las atenuantes, de acuerdo con lo dispuesto en el artículo 126 del reglamento de la LPDP.
53. Determinar en cada caso, la multa que corresponde imponer, tomando en consideración los criterios de graduación contemplados en el numeral 3 del artículo 248 de la LPAG.
VI. Análisis de las cuestiones en discusión Sobre el presunto tratamiento de datos personales sin haber obtenido válidamente el consentimiento para ello 54. El principio de consentimiento se tiene previsto en el artículo 5 de la LPDP: “Artículo 5. Principio de consentimiento Para el tratamiento de los datos personales debe mediar el consentimiento de su titular”
55. Según lo dispone el inciso 13.5 del artículo 13 de la LPDP, los datos personales solo pueden ser objeto de tratamiento mediando el consentimiento del titular de los mismos, el cual deberá ser otorgado de manera previa, informada, expresa e inequívoca:
“Artículo 13. Alcances sobre el tratamiento de datos personales (…) 13.5 Los datos personales solo pueden ser objeto de tratamiento con consentimiento de su
titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco.”
56. El numeral citado define entonces requisitos constitutivos del consentimiento, vale decir, los elementos sin los cuales no existe un consentimiento válidamente otorgado, conjuntamente con lo recogido en los artículos 11 y 1240 del Reglamento de la LPDP,
40 Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo Nº 003-2013-JUS
Página 14 de 61
siendo tales requisitos de ser otorgado de forma previa, libre, expresa e inequívoca, y de manera informada. 57. Por otro lado, es preciso tener en cuenta que la obligación de obtener el consentimiento tiene excepciones, las cuales se encuentran previstas en el artículo 14 de la LPDP41; sin embargo, la administrada no se encuentra inmersa dentro de dichos supuestos.
“Artículo 11.- Disposiciones generales sobre el consentimiento para el tratamiento de datos personales. “El titular del banco de datos personales o quien resulte como responsable del tratamiento, deberá obtener el consentimiento para el tratamiento de los datos personales, de conformidad con lo establecido en la Ley y en el presente reglamento […] La solicitud del consentimiento deberá estar referida a un tratamiento o serie de tratamientos determinados, con expresa identificación de la finalidad o finalidades para las que se recaban los datos; así como las demás condiciones que concurran en el tratamiento o tratamientos […]. Cuando se solicite el consentimiento para una forma de tratamiento que incluya o pueda incluir la transferencia nacional o internacional de los datos, el titular de los mismos deberá ser informado de forma que conozca inequívocamente tal circunstancia, además de la finalidad a la que se destinarán sus datos y el tipo de actividad desarrollada por quien recibirá los mismos.” (El resaltado es nuestro) Artículo 12.- Características del consentimiento. Además de lo dispuesto en el artículo 18 de la Ley y en el artículo precedente del presente reglamento, la obtención del consentimiento debe ser: 1. Libre: Sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de voluntad del titular de los datos personales. La entrega de obsequios o el otorgamiento de beneficios al titular de los datos personales con ocasión de su consentimiento no afectan la condición de libertad que tiene para otorgarlo, salvo en el caso de menores de edad, en los supuestos en que se admite su consentimiento, en que no se considerará libre el consentimiento otorgado mediando obsequios o beneficios. El condicionamiento de la prestación de un servicio, o la advertencia o amenaza de denegar el acceso a beneficios o servicios que normalmente son de acceso no restringido, sí afecta la libertad de quien otorga consentimiento para el tratamiento de sus datos personales, si los datos solicitados no son indispensables para la prestación de los beneficios o servicios. 2. Previo: Con anterioridad a la recopilación de los datos o en su caso, anterior al tratamiento distinto a aquel por el cual ya se recopilaron. 3. Expreso e Inequívoco: Con anterioridad a la recopilación de los datos o en su caso, anterior al tratamiento distinto a aquel por el cual ya se recopilaron queda o pueda ser impreso en una superficie de papel o similar. La condición de expreso no se limita a la manifestación verbal o escrita. En sentido restrictivo y siempre de acuerdo con lo dispuesto por el artículo 7 del presente reglamento, se considerará consentimiento expreso a aquel que se manifieste mediante la conducta del titular que evidencie que ha consentido inequívocamente, dado que de lo contrario su conducta, necesariamente, hubiera sido otra. Tratándose del entorno digital, también se considera expresa la manifestación consistente en “hacer clic”, “cliquear” o “pinchar”, “dar un toque”, “touch” o “pad” u otros similares. En este contexto el consentimiento escrito podrá otorgarse mediante firma electrónica, mediante escritura que quede grabada, de forma tal que pueda ser leída e impresa, o que por cualquier otro mecanismo o procedimiento establecido permita identificar al titular y recabar su consentimiento, a través de texto escrito. También podrá otorgarse mediante texto preestablecido, fácilmente visible, legible y en lenguaje sencillo, que el titular pueda hacer suyo, o no, mediante una respuesta escrita, gráfica o mediante clic o pinchado. La sola conducta de expresar voluntad en cualquiera de las formas reguladas en el presente numeral no elimina, ni da por cumplidos, los otros requisitos del consentimiento referidos a la libertad, oportunidad e información. 4. Informado: Cuando al titular de los datos personales se le comunique clara, expresa e indubitablemente, con lenguaje sencillo, cuando menos de lo siguiente a. La identidad y domicilio o dirección del titular del banco de datos personales o del responsable del tratamiento al que puede dirigirse para revocar el consentimiento o ejercer sus derechos. b. La finalidad o finalidades del tratamiento a las que sus datos serán sometidos. c. La identidad de los que son o pueden ser sus destinatarios, de ser el caso. d. La existencia del banco de datos personales en que se almacenarán, cuando corresponda. e. El carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, cuando sea el caso. f. Las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo. g. En su caso, la transferencia nacional e internacional de datos que se efectúen.” 41 Ley N° 29733, Ley de Protección de Datos Personales “Artículo 14. Limitaciones al consentimiento para el tratamiento de datos personales No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes
casos:
1. Cuando los datos personales se recopilen o transfieran para el ejercicio de las funciones de las entidades públicas en
el ámbito de sus competencias.
2. Cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público. 3. Cuando se trate de datos personales relativos a la solvencia patrimonial y de crédito, conforme a ley. 4. Cuando medie norma para la promoción de la competencia en los mercados regulados emitida en ejercicio de la función normativa por los organismos reguladores a que se refiere la Ley 27332, Ley Marco de los Organismos Reguladores de la Inversión Privada en los Servicios Públicos, o la que haga sus veces, siempre que la información brindada no sea utilizada en perjuicio de la privacidad del usuario.
Página 15 de 61
58. Mediante la RD de Inicio, la DFI imputó a la administrada realizar tratamiento de datos personales de sus clientes y trabajadores para finalidades adicionales a la ejecución de la relación contractual; sin obtener válidamente el consentimiento de los titulares de los datos personales (al carecer de las características de ser libre, expreso e inequívoco e informado).
59.Particularmente, la DFI sustentó su imputación respecto al tratamiento de datos de sus clientes con el análisis del "Contrato de afiliación al programa lista de novios Falabella/Crate&Barrel” (Folios 572 a 579, Folios 850 a 853), mientras que para el caso del tratamiento de los datos personales de sus trabajadores centra su análisis en el documento "Declaración de consentimiento de captación y tratamiento de datos personales para empleados" (Folio 596)
60. Respecto al "Contrato de afiliación al programa lista de novios Falabella/Crate&Barrel” (Folios 572 a 579, Folios 850 a 853), del análisis de las actuaciones de fiscalización y la documentación obrante en el presente expediente, mediante la RD de Inicio, la DFI evaluó e imputó de la siguiente manera (Folios 879 a 880):
“Tratamiento de datos personales a través de formatos físicos
d) En tal sentido, el analista legal de fiscalización a través del Informe de Fiscalización n° 076- 2019-JUS/DGTAIPD-DFI-AARM (f. 714 reverso a 716), señaló lo siguiente:
"V. ANÁLISIS DE LOS HECHOS IMPUTADOS Y PRESUNTAS INFRACCIONES
(...)
d) De la evaluación al texto denominado "Contrato de afiliación al programa lista de novios Falabella / Crate&Barrer (f. 572 a 579), se observa que si bien la administrada no se encuentra en la obligación de solicitar el consentimiento de los clientes para determinar la ejecución contractual a través del citado contrato, al encontrarse dentro del supuesto de excepción del consentimiento señalado en el numeral 5 del artículo 14° de la LPDP; sin embargo, se advierte
5. Cuando los datos personales sean necesarios para la preparación, celebración y ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento. 6. Cuando se trate de datos personales relativos a la salud y sea necesario, en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho tratamiento sea realizado en establecimientos de salud o por profesionales en ciencias de la salud, observando el secreto profesional; o cuando medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones deben ser calificadas como tales por el Ministerio de Salud; o para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados. 7. Cuando el tratamiento sea efectuado por organismos sin fines de lucro cuya finalidad sea política, religiosa o sindical
y se refiera a los datos personales recopilados de sus respectivos miembros, los que deben guardar relación con el propósito a que se circunscriben sus actividades, no pudiendo ser transferidos sin consentimiento de aquellos. 8. Cuando se hubiera aplicado un procedimiento de anonimización o disociación. 9. Cuando el tratamiento de los datos personales sea necesario para salvaguardar intereses legítimos del titular de datos personales por parte del titular de datos personales o por el encargado de tratamiento de datos personales. 10. Cuando el tratamiento sea para fines vinculados al sistema de prevención de lavado de activos y financiamiento del terrorismo u otros que respondan a un mandato legal. 11. En el caso de grupos económicos conformados por empresas que son consideradas sujetos obligados a informar, conforme a las normas que regulan a la Unidad de Inteligencia Financiera, que éstas puedan compartir información entre sí de sus respectivos clientes para fines de prevención de lavado de activos y financiamiento del terrorismo, así como otros de cumplimiento regulatorio, estableciendo las salvaguardas adecuadas sobre la confidencialidad y uso de la información intercambiada. 12. Cuando el tratamiento se realiza en ejercicio constitucionalmente válido del derecho fundamental a la libertad de información. 13. Otros que deriven del ejercicio de competencias expresamente establecidas por Ley.”
Página 16 de 61
que emplea una fórmula de consentimiento para usar los datos con fines publicitarios, con el siguiente texto:
"CONTRATO DE AFILIACIÓN AL PROGRAMA LISTA DE NOVIOS FALABELLA / CRATE&BARREL (…) DATOS PERSONALES
1. SAGA FALABELLA S.A. declara que los datos personales de los NOVIOS serán tratados en cumplimiento de lo dispuesto en la Ley N° 29733, Ley de Protección de Datos Personales y su Reglamento aprobado por Decreto Supremo N° 003-2013-JUS. 2. EL PROGRAMA recopila, almacena, gestiona, administra y procesa los datos personales de los NOVIOS los cuales forman parte del Banco de Datos Personales de Novios de titularidad de SAGA FALABELLA S.A., ubicado en Av. Paseo de la República n° 3220, San Isidro Lima, con la finalidad de ejecutar el presente CONTRATO y durante el tiempo necesario para cumplir con las obligaciones previstas en el mismo. (…) 6. Con la finalidad de brindar un mejor servicio, se recomienda mantener actualizados los siguientes datos: i) teléfono fijo y móvil; ii) dirección de domicilio de los NOVIOS; iii) dirección de despacho; iv) correo electrónico; v) fecha de boda. Los NOVIOS deberán comunicar hasta 60 días antes de la fecha de boda (...). 7. Los NOVIOS autorizan de forma libre, previa, inequívoca y expresa al tratamiento de sus datos personales en el banco de datos de titularidad de SAGA FALLABELA S.A. descrito en el numeral 2 precedente, siendo utilizados los mismos para fines publicitarios, promocionales, de comunicaciones e información para despacho de productos, para responder consultas acerca de productos y servicios, envío de invitaciones a actividades convocadas por SAGA FALABELLA S.A., encuestas, historial de compras, historial de hábitos y preferencias de consumo, para fines estadísticos y futuras compras que se realicen por este canal de comercialización. Asimismo, los NOVIOS aceptan que los datos personales proporcionados sean susceptibles de transferencia a empresas filiales y/o vinculadas al mismo grupo económico (empresas dedicadas al sistema financiero, bancario, tiendas por departamento y/o supermercados, llámese por ejemplo Banco Falabella, Hipermercados Tottus, Viajes Falabella, y Saga Falabella, así como cualquier otra empresa vinculada del Grupo Falabella), sean estas empresas constituidas en el Perú o en el extranjero. (...)". El subrayado es nuestro.
Revisado el referido documento (f. 572 a 579), se observa lo siguiente:
i. Se señalan finalidades necesarias para la prestación del servicio y/o producto (para las cuales no necesitaría consentimiento), con finalidades adicionales como envío de publicidad, lo que hace que este consentimiento no sea libre; asimismo, no figura casillas que permitan aceptar o no aceptar cada una de estas finalidades por lo que no sería expreso.
e) Por lo expuesto, se deduce que la administrada estaría realizando tratamiento de datos personales, sin recabar un consentimiento libre de los clientes a través del texto contenido en el formulario físico "Contrato de afiliación al programa lista de novios Falabella/Crate&Barrel" (f. 572 a 579) “
(…) e) En atención a ello, la DFI procedió a verificar de oficio el sitio web www.falabella.com.pe/falabella-pe/,constatando que a la fecha de la presente resolución la administrada continúa recopilando los datos personales de los usuarios (novios) a través del "Contrato de afiliación al programa lista de novios Falabella/Crate&Barrel (f. 850 a 853)", señalando lo siguiente:
Página 17 de 61
"CONTRATO DE AFILIACIÓN AL PROGRAMA LISTA DE NOVIOS FALABELLA / CRATE&BARREL (...) DATOS PERSONALES (...) 2. EL PROGRAMA recopila, almacena, gestiona, administra y procesa los datos personales de los NOVIOS los cuales forman parte del Banco de Datos Personales de Novios de titularidad de SAGA FALABELLA S.A. (...) (...) 7. Los NOVIOS autorizan de forma libre, previa, inequívoca y expresa al tratamiento de sus datos personales en el banco de datos de titularidad de SAGA FALLABELA S.A. descrito en el numeral 2 precedente, siendo utilizados los mismos para fines publicitarios, promocionales, de comunicaciones e información para despacho de productos, para responder consultas acerca de productos y servicios, envío de invitaciones a actividades convocadas por SAGA FALABELLA S.A., encuestas, historial de compras, historial de hábitos y preferencias de consumo, para fines estadísticos y futuras compras que se realicen por este canal de comercialización. Asimismo, los NOVIOS aceptan que los datos personales proporcionados sean susceptibles de transferencia a empresas filiales y/o vinculadas al mismo grupo económico (empresas dedicadas al sistema financiero, bancario, tiendas por departamento y/o supermercados, llámese por ejemplo Banco Falabella, Hipermercados Tottus, Viajes Falabella, y Saga Falabella, así como cualquier otra empresa vinculada del Grupo Falabella), sean estas empresas constituidas en el Perú o en el extranjero. (...)". El subrayado es nuestro.
Evaluado el citado documento, se observa que el consentimiento no es libre, pues no le brinda la oportunidad al usuario de aceptar o no las finalidades adicionales a la prestación del servicio como es el envío de publicidad.
Asimismo, no es expreso, al no permitirle al interesado la marcación de una casilla de aceptar o no la finalidad adicional distinta a la prestación del servicio.
Finalmente, revisado el "Contrato de afiliación al programa lista de novios Falabella/Crate &Barrer, se observa que no cumple con informar lo establecido en el numeral 4 del artículo 12° del Reglamento de la LPDP, respecto a:
• La identidad de los destinatarios de los datos personales (No señala las empresas vinculadas filiales, asimismo, es ambiguo al señalar lo siguiente: [...] sean estas empresas constituidas en el Perú o en el extranjero [...]').
• La finalidad de la transferencia de los datos personales a terceros.
(…)”
61. En su escrito de descargos a la RD de Inicio ingresado con Hoja de Trámite N°7372- 2020MSC el 3 de febrero de 2020, la administrada señaló que comunica de forma separada las finalidades adicionales distintas a aquellas necesarias para la ejecución contractual, adjuntando para ello el nuevo formato del "Contrato de afiliación al programa lista de novios Falabella/Crate&Barrel” (Folios 913 a 918)
62. La versión modificada del formato de Contrato de afiliación al programa lista de novios Falabella/Crate&Barrel (Folio 913) establece los siguiente:
“DATOS PERSONALES
Página 18 de 61
1. SAGA FALABELLA S.A. declara que los datos personales de los NOVIOS serán tratados en cumplimiento con lo dispuesto en la Ley N° 29733, Ley de Protección de Datos Personales y su Reglamento aprobado por Decreto Supremo N° 003-2013-JUS. (…) 6. Con finalidad de brindar un mejor servicio, se recomienda mantener actualizados los siguientes datos: i) teléfono fijo y móvil; ii) dirección de domicilio de los NOVIOS iii) dirección de despacho iv) correo electrónico y) fecha de boda. Los NOVIOS deberán comunicarlo hasta 60 días antes a la fecha de boda. En caso contrario, liberan de toda responsabilidad a SAGA FALABELLA S.A. y al PROGRAMA respecto a cualquier información que no se nos haya brindado con posterioridad a la inscripción del presente CONTRATO. 7. A los datos personales contenidos en el presente documento se aplicará la Política de Privacidad de SAGA FALABELLA S.A. adjunta en el ANEXO 5. 8. Para el uso para fines adicionales de los datos personales de Los NOVIOS, deberán brindar
su autorización de acuerdo al ANEXO 6 adjunto al presente documento.” (Subrayado propio) 63. Del contenido del anexo 5, que contiene la Política de Privacidad versión actualizada al 23 de julio de 2019 (f. 917 a 918), se observa que en la finalidad del tratamiento de los datos personales, la administrada indica lo siguiente: "Falabella Perú realiza tratamiento de los datos personales de trabajadores, clientes y potenciales clientes, proveedores y todas aquellas personas que visitan nuestras instalaciones y/o tienen alguna relación jurídica o comercial con nuestra empresa, con la finalidad de cumplir con la legislación vigente, ejecutar la relación jurídica que los titulares de los datos personales mantengan con nuestra empresa, así como resguardar la seguridad de nuestros clientes y trabajadores. El tratamiento de datos personales para cualquier otra finalidad lícita distinta a las antes mencionadas es debidamente informada a dichos titulares de datos personales, requiriéndoles una autorización específica".
64. Asimismo, de la revisión del "Anexo 6- Autorización para fines adicionales " (Folio 918 reverso), se consigna lo siguiente: "Mediante su aceptación usted autoriza a Saga Falabella S.A. con RUC 20100128056 a tratar sus datos personales proporcionados en el presente contrato, para enviarle publicidad, realizar encuestas, invitaciones a eventos, conocer sus preferencias de consumo, elaborar estadísticas y/o estudios de comportamiento, evaluar su capacidad de endeudamiento comportamiento de pago de consumo y patrimonio, y a transferir sus datos personales a cualquiera de las empresas del Grupo Falabella (Banco Falabella, Hipermercados Tottus, Tiendas del Mejoramiento del Hogar (Sodimac Perú y Maestro Perú) Corredores de seguros Falabella, Open Plaza, Falabella servicios Generales, Linio) y a nuestros aliados comerciales Viajes Falabella e lkso S.A. C., para los mismos fines mencionados, en su propio beneficio. Sus datos personales serán tratados conforme a nuestra Política de Privacidad, publicada en www.falabella.com.pe y quedarán almacenados en el Banco de Datos Personales de Clientes de titularidad de Saga Falabella S.A., ubicado en Rosas 1665, Santiago de Chile, Chile, de manera indeterminada. Usted podrá ejercer los derechos que le otorga la normativa de protección de datos personales en [email protected]lla.com.pe indicando su nombre completo y DNI."
65. Es preciso tener en cuenta que el Programa de Lista de Novios es un programa de fidelización, a la que se inscriben parejas de novios, que indican una fecha de matrimonio, y pueden recibir beneficios de acuerdo a los regalos que las personas le compren en las tiendas de la administrada. Este programa no es obligatorio para comprar en la tienda, sino que es un programa adicional, de fidelización, que otorga beneficios a cambio de estrategias de marketing o publicitarias. 66. En ese sentido, al ser un programa de fidelización, es decir que otorga beneficios a cambio de usar los datos para fines publicitarios, no se requiere el consentimiento del titular del dato personal, al encontrarse dentro de la excepción establecida en la LPDP,
Página 19 de 61
artículo 14, numeral 5, que establece que no se requiere el consentimiento del titular del dato personal “cuando los datos personales sean necesarios para la preparación, celebración y ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento.” 67. Por lo tanto esta Dirección, considera infundado el extremo de la imputación referida a la solicitud de consentimiento en el programa lista de novios Falabella/Crate&Barrel 68. En relación al documento "Declaración de consentimiento de captación y tratamiento de datos personales para empleados" (Folio 596), del análisis de las actuaciones de fiscalización y la documentación obrante en el presente expediente, mediante la RD de Inicio, la DFI evaluó e imputó de la siguiente manera (Folios 879 reverso y 880 reverso):
“Tratamiento de datos personales a través de formatos físicos
d) En tal sentido, el analista legal de fiscalización a través del Informe de Fiscalización n° 076- 2019-JUS/DGTAIPD-DFI-AARM (f. 714 reverso a 716), señaló lo siguiente:
"V. ANÁLISIS DE LOS HECHOS IMPUTADOS Y PRESUNTAS INFRACCIONES
(...)
f) Del mismo modo, de la evaluación al texto del documento denominado "Declaración de consentimiento de captación tratamiento de datos personales para empleados" (f. 596), se observa que si bien la administrada no se encuentra en la obligación de solicitar el consentimiento de los trabajadores para determinar la ejecución de la relación laboral a través del citado contrato, al encontrarse dentro del supuesto de excepción del consentimiento señalado en el numeral 5 del artículo 14° de la LPDP; sin embargo, se advierte que emplea una fórmula de consentimiento para usar los datos con fines adicionales, con el siguiente texto:
“(...) Asimismo, autorizo de manera libre, previa, inequívoca y expresa que los datos personales y sensibles, proporcionados por mi persona, a consecuencia de la relación laboral con SAGA FALABELLA identificada con RUC 20100128056, sean tratados para los siguientes fines: programación de capacitaciones (inducción, capacitación de productos con proveedores, capacitaciones internas y externas), para la programación del sistema de capacitación (virtual o presencial), para concursos internos (entrevistas, llamadas, referencias, evaluaciones), para evaluación de desempeño, planes de sucesión, entrenamientos, eventos dirigidos a familias, para testimonios de éxitos y línea de carrear, videos institucionales, eventos varios (navidad, día del padre, día de la madre, día del niño, etc.), campañas de salud, exámenes médicos, pólizas de seguros, declaraciones vía web (seguro de vida ley y SCTR), publicaciones internas de comunicación, aperturas de cuentas (ahorros y CTS), recargas de tarjeta de alimentos, beneficios corporativos (empresa del grupo), declaraciones legales de información laboral (Tregistro y Plame). (...)". El subrayado es nuestro.
Revisado el referido documento (f. 596), se observa lo siguiente:
i. Dicho consentimiento carece de ser libre puesto que estaría induciendo en error al interesado al solicitar el consentimiento en bloque tanto para finalidades necesarias para la ejecución de la relación contractual, como aquella que no lo es (videos institucionales) sin ofrecerle la opción de aceptar o no el tratamiento de sus datos personales para finalidades no necesarias para la ejecución de la relación contractual.
Página 20 de 61
ii. Asimismo, carece de ser expreso e inequívoco al no poner en disposición del trabajador algún mecanismo que le permita otorgar su consentimiento con un acto afirmativo para el tratamiento de sus datos.
iii. También, no estaría obteniendo del titular del dato, un consentimiento informado, al no comunicar:
- Falta de claridad de las finalidades del tratamiento de datos personales. - La existencia del banco de datos personales en el que se almacenaran los datos (denominación del banco de datos personales y código de inscripción ante el Registro Nacional de Protección de Datos Personales). - La identidad de los destinatarios de los datos (detalle de las empresas subsidiarias, afiliadas y/o vinculadas y/o terceros a los que van a ceder los datos) - La transferencia de los datos personales que se efectúen. - El tiempo de conservación de los datos personales. g) Por lo expuesto, se deduce que la administrada estaría realizando tratamiento de datos personales, sin recabar un consentimiento libre, expreso e inequívoco e informado de los titulares para el tratamiento de las imágenes que publican en su sitio web. (…) g) Asimismo, respecto al documento "Declaración de consentimiento de captación y tratamiento de datos personales para empleados" (f. 596), la administrada a la fecha de la presente resolución no ha presentado ningún documento que acredite que ha procedido a levantar las observaciones formuladas en el Informe de Fiscalización n.° 076-2019-JUS/DGTAIPD-DFI- AARM, por lo que continúa realizando tratamiento de datos personales de los trabajadores para finalidades adicionales a la ejecución de la relación laboral sin recabar un consentimiento válido, de acuerdo a lo establecido en el artículo 12° del Reglamento de la LPDP. (…)”
69. En su escrito de descargos a la RD de Inicio, la administrada adjuntó un formato modificado del documento "Declaración de consentimiento de captación de tratamiento de datos personales para empleados” (Folio 920) del cual se puede apreciar que se eliminó la referencia al tratamiento de datos personales en videos institucionales. De igual manera se puede observar que en la parte inferior del documento se insertó la siguiente mención: "Declaro conocer la política de privacidad a la que están sujetos los datos personales contenidos en el presente documento. Dicha política de privacidad se encuentra adjunta al final de este paquete de ingreso". 70.Con la eliminación de la finalidad adicional y ajena para la ejecución de la relación contractual laboral para tratamiento de datos personales de sus trabajadores como lo es la imagen, voz en videos institucionales, se adecúa la forma de obtención de consentimiento empleada por la administrada al cumplir con ser libre, expreso e inequívoco. En tal sentido, y en vista de que con el escrito de descargos al IFI, la administrada acreditó haber implementado el documento referido con posterioridad a la notificación de cargos, conforme se puede apreciar de los contratos suscritos por dos de sus trabajadores con fecha 4 de febrero de 2020 (Folios 1096 a 1113), este Despacho considera que dicha adecuación debe ser considerada como una acción de enmienda a favor de la administrada. 72. Finalmente, respecto al carácter de informado de la fórmula de consentimiento contenida en las versión inicial del documentos "Declaración de consentimiento de captación de tratamiento de datos personales para empleados” (Folio 596) sobre el que se sustentó la imputación de consentimiento inválido (por carecer de ser libre, expreso e inequívoco e informado) este Despacho considera que, efectivamente no cumplían con informar lo requerido, siendo que respecto a esta omisión, la misma será tomada
Esta es una copia auténtica imprimible de un document

resolución directoral n° 551-2021-jus/dgtaipd-dpdp

Documents

J:LOTISSEMENTL03415 SATER TOULOUSEL03415 DPDP Ind …saterlotisseur.com/librairie/pages/5/1/11825/2019... · 10/9/2019 · Title: J:LOTISSEMENTL03415 SATER TOULOUSEL03415 DPDP Ind

Clinical application of Mn-DPDP- enhanced 3D-T1W MR

RESOL UCION DIRECTORAL

Ministerio de Justicia y Derechos Humanos - …...30/04/2015 RES DIRECTORAL 0927 RES DIRECTORAL 0957 RES DIRECTORAL 0958 RES. DIRECTORAL 0959 RES DIRECTORAL 1078 RES DIRECTORAL 1208

Resoluci6n Directoral - cdn

Resolución Directoral N° 266-2019-JUS/DGTAIPD-DPDP

RESOLUCIÓN N.° 783-2017-JUS/DGTAIPD-DPDP EXPEDIENTE N.° 19 ... - Gobierno del … · 2018-12-05 · de 2015, en el establecimiento ubicado en Av. Caminos del Inca N° 257, distrito

Resolución Directoral N° 14-2019-JUS/DGTAIPD · artículo 16 de la Ley N° 27336 sólo se encuentra obligada a conservar la información derivada de los titulares de las líneas

RESOLUCIÓN DIRECTORAL DIRECTORAL N° t6 1 2 NOV. 2018

Resolución Directoral Regional

RESOLUCION DIRECTORAL - Gob

Resolución Directoral N° 7-2019-JUS/DGTAIPD · Resolución Directoral N° 7-2019-JUS/DGTAIPD (ii) La presunción de licitud de las actuaciones de los administrados desaparecerá

Resoluci6n Directoral - HNHU

^solución (Directoral

RESOLUCION DIRECTORAL - cdn

N° 925-2018-JUS/DGTAIPD-DPDP

Resolución Directoral N° 1219-20 9-JUS/DGTAIPD-DPDP · él, directamente, la tutela de su derecho, o el documento que contenga la respuesta del responsable del tratamiento que,

DPDP TPDP o - Tsurugashima · o DPDP TPDP KshwbY¹¯ tK o§ ºp Dpb _pbv{f f ¬ÃÏá ` Oq¥loM M~ ý`X ýò at¾lý`oVh M

dpdp samr model - schd.wsschd.ws/hosted_files/dpdp1718session2/6b/dpdp samr model.pdf · SAMR is a model designed to help educators infuse technology into teaching and learning. Developed

Resolución Directoral N° 266-2019-JUS/DGTAIPD-DPDP · 2019-06-20 · contenidos en el Reporte de Infracciones del Conductor de la página web del reclamado. El reclamante manifestó

Resolución Directoral N° 1091-2018-JUS/DGTAIPD …...(i) Se recomienda imponer sanción administrativa de multa ascendente a dos (2) UIT a Divecenter S.A.0 por el cargo acotado en

Resolución Directoral N° 1003-2018-JUSYDGTAIPD-DPDP · 3, Mediante Informe N° 018-2017-DSC-VARS4 y anexos5 de 02 de marzo de 2017, se emitió informe sobre la verificación de

Resolución Directoral N° 330 -2019-JUS/DGTAIPD-DPDP€¦ · Resolución Directoral N° 330 -2019-JUS/DGTAIPD-DPDP Expediente N° 044-2018-PTT Lima, 13 de febrero de 2019 VISTO:

Resolución N° 781-2017-JUS/DGTAIPD-DPDP · 2019-06-19 · adjuntando copia del contrato suscrito con la empresa Telmex Colombia S.A. ("Claro") para los servicios de data center,

Resolución Directoral N° 2283 -2018-JUS/DGTAIPD-DPDP

Resolución Directoral Ejecutiva

DPDP Coupler

RESOLUCION DIRECTORAL - hhv.gob.pe

Resolución Directoral N° 3348 -2018-JUS/DGTAIPD-DPDP · 0 DE.L. '19 F",p, ct- Resolución Directoral N° 3348 -2018-JUS/DGTAIPD-DPDP Expediente N° 042-2018-PTT Lima, 18 de diciembre

Resolución Directoral N° 3-2021-JUS/DGTAIPD-DPDP

Directoral ~so{ución

Montinha Pombo Roxo Ana Lúcia Mestre Dédo Dona Glorinha ... · Montinha Pombo Roxo Ana Lúcia Mestre Dédo Dona Glorinha Ferrugem Beth de Oxum Lú do Pnêu. 0 DPDP TBNCB EF DPDP

Resolución Directoral N° 3305-2018-JUS/DGTAIPD-DPDP · La designación como representante legal, de acuerdo con el inciso 17.7 del artículo 17° del Reglamento de la Ley del RUC,

fysofución (Directoral

RESOLUCION DIRECTORAL COSTOS