resolución directoral n° 551-2021-jus/dgtaipd-dpdp

Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda.

Página 1 de 61

Resolución Directoral N° 551-2021-JUS/DGTAIPD-DPDP

Lima, 18 de marzo de 2021

VISTOS: El Informe Nº046-2020-JUS/DGTAIPD-DFI del 30 de junio de 20201, emitido por la Dirección de Fiscalización e Instrucción de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (en adelante, la “DFI”), junto con los demás documentos que obran en el respectivo expediente; y,

CONSIDERANDO:

I. Antecedentes 1. Mediante Orden de Fiscalización N°130-2018-JUS/DGTAIPD-DFI, del 13 de noviembre de 20182, la DFI dispuso fiscalizar el sitio web b www.falabella.com.pe/falabella-pe/ de SAGA FALABELLA S.A. identificada con R.U.C N° 20100128056 (en adelante, la “administrada”) con objeto de determinar si dicha entidad, en el desarrollo de sus actividades, cumple las disposiciones de la Ley N°29733, Ley de Protección de Datos Personales (en adelante, la “LPDP”) y su reglamento aprobado por Decreto Supremo Nº 003-2013-JUS (en adelante, el “Reglamento de la LPDP”) 2. A través del Informe Técnico N° 271-2018-DFI-VARS del 14 de noviembre de 20183, el analista de fiscalización en seguridad de la información de la DFI, por las razones que detalla, formula sus conclusiones sobre la fiscalización realizada al sitio web www.falabella.com.pe/falabella-pe/

3. Mediante Oficio N° 781-2018-JUS/DGTAIPD-DFI, notificado el 11 de diciembre de 20184 se requirió a la administrada que en el plazo de cinco (5) días hábiles informe si solicita el consentimiento de las personas titulares de las imágenes que aparecen en su sitio web.

1 Folios 1033 a 1054 2 Folio 1 3 Folios 3 a 19 4 Folios 23

Expediente N°

76-2019-JUS/DGTAIPD-PAS

http://www.falabella.com.pe/falabella-pe/


Resolución Directoral N° 551 -2021-JUS/DTAIPD-DPDP


Página 2 de 61

4. Mediante escrito ingresado con Hoja de Trámite N°80930-2018MSC el 18 de diciembre de 20185, la administrada da respuesta al Oficio N° 781-2018-JUS/DGTAIPD-DFI, señalando que cumple en todos los casos con solicitar el consentimiento de las personas titulares de las imágenes que aparecen en el sitio web www.falabella.com.pe/falabella-pe/. Adjuntó Contratos Locación de Servicios de Modelaje, así como Contratos para el formato E-Commerce suscritos con diversos modelos (Contrato Modelo Sesión Fotos-Estudio E-Commerce). 5. El 20 de diciembre de 2018, mediante escrito ingresado con Hoja de Trámite N° 81535-2018MSC6, la administrada adjunta otros Contratos de Locación de Servicios de Modelaje que omitió presentar con el escrito del 18 de diciembre de 2018, a fin de subsanar el requerimiento efectuado mediante Oficio N° 781-2018-JUS/DGTAIPD-DFI. En dicho escrito la administrada solicitó dar tratamiento confidencial al contenido de los contratos adjuntos.

6. El 9 de enero de 2019, mediante Oficio N° 897-2018-JUS/DGTAIPD-DFI7, se notificó a la administrada la orden de visita de fiscalización y el CD que contiene la fiscalización realizada al sitio web www.falabella.com.pe/falabella-pe/ ,y se le otorga el plazo de cinco (5) días hábiles para que presente las manifestaciones u observaciones a la fiscalización realizada de considerarlo conveniente.

7. Mediante Proveído de 21 de marzo de 20198, notificado el 25 de marzo de 2019 a través del Oficio N°236-2019-JUS/DGTAIPD-DFI9, la DFI dispuso ampliar el plazo de la fiscalización por cuarenta y cinco (45) días hábiles adicionales, a ser contados desde el 25 de marzo de 2019.

8. El 11 de abril de 2019, mediante Orden de Fiscalización N°033-2019- JUS/DGTAIPD-DFI10, la DFI dispuso la realización de una fiscalización al local de la administrada con la finalidad de determinar si dicha entidad, en el desarrollo de sus actividades, cumple las disposiciones de la LPDP y su Reglamento.

9. El 11 de abril de 2019 se realizó la primera visita de fiscalización, dejándose constancia de los hechos en el Acta de Fiscalización N° 01-2019 y actuados11.

10. El 26 de abril de 2019 se realizó la segunda visita de fiscalización, dejándose constancia de los hechos en el Acta de Fiscalización N° 02-2019 y actuados12.

11. El 13 de mayo de 2019 se realizó la tercera visita de fiscalización, dejándose constancia de los hechos en el Acta de Fiscalización N° 03-2019 y actuados13 .

5 Folios 26 a 454 6 Folios 455 a 527 7 Folio 529 8 Folio 530 9 Folios 531 a 532 10 Folio 533 11 Folios 534 a 543 12 Folios 544 a 604 13 Folios 605 a 639





Página 3 de 61

12. El 27 de mayo de 2019 mediante escrito ingresado con Hoja de Trámite N°37020- 2019MSC14, la administrada remitió documentación complementaria sobre los hechos materia de fiscalización. 13. Mediante el Informe Técnico N° 82-2019-DFI-ETG del 29 de mayo de 201915, el analista de fiscalización en seguridad de la información de la DFI, por las razones que detalla, formula sus conclusiones sobre la evaluación de la implementación de las medidas de seguridad. 14. La DFI efectuó de oficio la búsqueda en el sistema web del Registro Nacional de Protección de Datos Personales (en adelante, el “RNPDP”)16, constatándose que sobre la administrada figuran inscritos lo siguientes bancos de datos personales, así como, la siguiente información:

• CLIENTES con código RNPDP-PJP N°9566 (Folio 685)

• VIDEOVIGILANCIA con código RNPDP-PJP N° 9567 (Folio 686)

• PROVEEDORES con código RNPDPPJP N° 9568 (Folio 687)

• RECURSOS HUMANOS con código RNPDP-PJP N° 9569 (Folios 688 a 689)

• PREVENCION Y SEGURIDAD con código RNPDP-PJP N° 14487 (Folios 698 a 699)

• Inscripciones de comunicación de flujo transfronterizo (Folio 700) 15. Por medio del Informe de Fiscalización N°076-2019-JUS/DGTAIPD-DFI-AARM del 28 de mayo de 201917 (en adelante, el “Informe de Fiscalización”), el Analista Legal de la DFI, por los argumentos que desarrolla y la documentación que obra en el expediente, concluye que se han determinado con carácter preliminar las circunstancias que justifican la instauración de un procedimiento administrativo sancionador. Se remitió a la DFI el resultado de la fiscalización realizada a la administrada, adjuntando documentos que conforman el expediente administrativo. Dicho Informe de Fiscalización fue notificado a la administrada el 28 de junio de 2019 mediante Oficio N°520-2019-JUS/DGTAIPD-DFI18. 16. El 21 de junio de 2019, por medio del escrito ingresado con Hoja de Trámite N° 44176-2019MSC19, la administrada remite documentación complementaria sobre los hechos materia de fiscalización. 17. El 25 de julio de 2019, por medio del escrito ingresado con Hoja de Trámite N° 53405-2019MSC20, la administrada remite documentación complementaria sobre los hechos materia de fiscalización. 18. A través del Informe Técnico N° 236-2019-DFI-VARS del 22 de noviembre de 201921, el analista de fiscalización en seguridad de la información de la DFI, informa sobre la supervisión técnica realizada a la administrada.

14 Folios 640 a 663 15 Folios 664 a 683 16 Folio 684 17 Folios 709 a 721 18 Folios 764 a 765 19 Folios 722 a 763 20 Folios 766 a 830 21 Folios 831 a 832



Página 4 de 61

19. Por medio de la Resolución Directoral N°269-2019-JUS/DGTAIPD-DFI del 31 de diciembre de 201922 (en adelante, la “RD de Inicio”), la DFI resolvió iniciar procedimiento

administrativo sancionador a la administrada, por la presunta comisión de los siguientes hechos infractores:

• La administrada estaría realizando tratamiento de datos personales de sus clientes y trabajadores para finalidades adicionales a la ejecución de la relación contractual, sin obtener válidamente el consentimiento de los titulares de los datos personales. Obligación establecida en el artículo 13, numeral 13.5 de la LPDP y el artículo 12 del Reglamento de la LPDP.

• La administrada estaría realizando tratamiento de datos personales a través de: (i) el contrato modelo de sesión de fotos; y (ii) de los formatos físicos y sistema automatizado; sin informar a los titulares de los datos lo requerido por el artículo 18° de la LPDP

• La administrada no habría cumplido con inscribir en el RNPDP, los bancos de datos personales de: "prospectos de clientes", “libro de reclamaciones”, “usuarios del sitio web” y “novios”, detectados en la fiscalización. Obligación establecida en el artículo 78° del Reglamento de la LPDP.

• La administrada no habría cumplido con implementar las medidas de seguridad para el tratamiento de datos personales, al: A. No generar ni registrar la interacción lógica del banco de datos personales

de clientes. Obligación establecida en el numeral 2 del artículo 39° del Reglamento de la LPDP.

B. No contar con las medidas de seguridad apropiadas en su centro de datos, Obligación establecida en el primer párrafo del artículo 40° del Reglamento de la LPDP.

C. No garantizar el respaldo del banco de datos personales de clientes, Obligación establecida en el segundo párrafo del artículo 40° del Reglamento de la LPDP.

D. No restringir la generación de copias o reproducción de documentos. Obligación establecida en el artículo 43° del Reglamento de la LPDP.

20. Mediante el Oficio N°1079-2019-JUS/DGTAIPD-DFI23, se notificó la RD de Inicio a la administrada el día 10 de enero de 2020. 21. Mediante escrito ingresado con Hoja de Trámite N°7372-2020MSC el 3 de febrero de 202024, la administrada presentó sus descargos, señalando principalmente lo siguiente: 21.1. Respecto al Hecho Imputado N°1:

• Se allanan a la imputación efectuada por la DFI

• Se modificó el contrato que suscriben las personas naturales para participar del "programa de novios".

• Se modificó el documento denominado "Declaración de consentimiento de captación de tratamiento de datos personales para empleados", a fin de subsanar las observaciones hechas por la DFI

22 Folios 875 a 890 23 Folios 892 24 Folios 893 a 1023



Página 5 de 61

21.2. Respecto al Hecho Imputado N°2:

• El único contrato que utiliza es el de locación de servicios de modelaje, habiendo dado de baja el de sesión de fotos estudio E-Commerce. Asimismo, el contrato de locación de servicios de modelaje se ha modificado para poder cumplir con lo señalado por la Autoridad, para acreditar lo alegado adjuntan el nuevo contrato de locación de servicios de modelaje.

• Con respecto al tratamiento de los datos personales en soporte automatizado y no automatizado de clientes y trabajadores, señalan que respecto al formulario denominado "Talón de servicio" a la fecha se entrega el mismo con la política de privacidad que adjunta.

• Respecto al formulario denominado "Constancia de retiro en tienda", este se utiliza como medida de control por el área de prevención con el cual se deja constancia que efectivamente ese paquete se compró en la página web y que se recogió en tienda a través de un sello que recoge datos personales; no obstante, a la fecha Saga ya no solicita la firma ni datos del cliente al momento del retiro, es decir, ya no se utiliza el sello en el documento; por tanto, a la fecha no hay necesidad de comunicar como se tratarán los datos personales, pues este documento no contiene datos personales.

• En lo que se refiere a los demás documentos, en línea con lo requerido por el artículo 18° de la LPDP, Saga modificó los documentos mencionados.

• Han cumplido con subsanar lo señalado por la Autoridad durante la fiscalización y posterior informe, asimismo, se allanan a la imputación de la Autoridad.


• El artículo 78° del Reglamento de la LPDP no exige que el soporte o formulario mediante el cual se recopilen datos personales se constituya o registre como una base de datos y registro independientes.

• Respecto a los datos personales de clientes, libro de reclamaciones, usuarios del sitio web, y novios, los cuales la Autoridad indica deberían ser registrados en una base de datos diferentes, Saga considera que no hay una base legal para hacerlo, los datos personales de prospectos de clientes, libro de reclamaciones, usuarios del sitio web, y novios, se encuentran almacenados en la base de datos de clientes, debidamente registrada.

• Sin perjuicio de ello, siguiendo las recomendaciones de la Autoridad ingresó una nueva base de datos con la información del libro de reclamaciones, e, ingresar la solicitud de ampliación de la finalidad de la base de datos de clientes ya registrada, incluyendo dentro de esta finalidad a novios, prospectos de clientes y usuarios del sitio web.

• Por ello, han cumplido con subsanar lo señalado por la Autoridad en su inspección y posterior informe, y, asimismo, se allanan a la imputación de la Autoridad.


• Respecto a que no cuentan con la interacción lógica de los sistemas con los que se trata el banco de datos de clientes, los cuales de acuerdo a las visitas: de inspección son SIEBEL, SRX, OMS, CRONOS, POS, para ello adjuntan el registro de interacción lógica de SIEBEL, SRX, OMS, en lo que respecta a CRONOS y POS, tal como se pudo verificar en la visita de fiscalización el sistema CRONOS no es utilizado para tratar la información del banco de datos de clientes, como el hecho imputado lo señala, sino que este es utilizado para



Página 6 de 61

verificar los antecedentes penales y policiales de postulantes a empleos en SAGA.

• El uso del sistema CRONOS se realiza en virtud de un contrato de servicios suscrito con la empresa ANDRICK CONSULTORES S.A.C., la cual posee la licencia de este sistema y como consecuencia no estamos en la posibilidad de presentar el registro de interacción lógica de este sistema, por no tener acceso a él. En el mencionado contrato se señala claramente el tratamiento de esta empresa en relación a los datos personales que reciben estando obligados a las medidas de seguridad y privacidad correspondientes.

• Acerca del sistema POS, cabe precisar que es una plataforma mediante la cual se procesa el detalle de las operaciones realizadas por los servidores POS de sus tiendas, estos servidores acumulan en un archivo encriptado todas las operaciones correspondientes del día y tienen un rol de pasarela de información al sistema SRX, que se alimenta de dichos datos para tratar esta información. Es decir, la información del sistema POS no es tratada, sino simplemente sirve como un sistema de transmisión de información al sistema SRX, por este motivo el sistema POS no genera interacciones lógicas, tal como lo requiere la Autoridad.

• Respecto a las medidas de seguridad apropiadas en su centro de datos, SAGA mantiene su centro de datos en Chile y este es gestionado por la empresa Falabella Tecnología Corporativa Limitada, la misma que contrata el servicio de Housing a la Empresa Nacional de Telecomunicaciones S.A.- Ente! Chile, contrato que contiene diversas cláusulas mediante las cuales el proveedor garantiza la seguridad de sus instalaciones. Sin perjuicio de ser un tercero el que gestiona el centro de datos, y de haber procedido con diligencia al establecer obligaciones en el contrato de servicios acerca de las medidas de seguridad necesarias, adjuntan dichas medidas de seguridad.

• Sobre la garantía de las copias de respaldo de los sistemas SRX, CRONOS, y POS por parte de SAGA, sobre esto consideran que CRONOS y POS no deberían incluirse dentro de la solicitud de la Autoridad, pues no son sistemas con los que se realice el tratamiento de la base de datos de clientes y además en el caso de CRONOS el sistema pertenece a la empresa ANDRICK. Sobre las copias de respaldo del Sistema SRX, estas por error no fueron enviadas en el escrito del 26 de abril, por lo cual a la fecha cumplen con su presentación.

• Sobre la no restricción de la generación de copias o reproducción de documentos en el área de retiro de productos, adjuntan la acreditación de la clave de las fotocopiadoras en el área antes mencionada.

• Por ello, han cumplido con subsanar lo señalado por la Autoridad en su inspección y posterior informe, y, asimismo, se allanan a la imputación de la Autoridad.

22. Mediante Informe Técnico N° 066-2020-DFI-VARS del 4 de marzo de 202025, el analista de fiscalización en seguridad de la información de la DFI, por las razones que detalla, formula sus conclusiones sobre la implementación de las medidas de seguridad por parte de la administrada.

25 Folios 1025 a 1026



Página 7 de 61

23. Mediante Proveído de fecha 16 de junio de 202026, se dispuso ampliar el plazo de la etapa instructiva por cincuenta (50) días hábiles adicionales, los mismos que se contarán a partir del 18 de junio de 2020. Dicho proveído fue notificado a la administrada mediante Oficio N°397-2020-JUS/DGTAIPD-DFI27 el día 14 de julio de 202028. 24. Por medio de la Resolución Directoral N°047-2020-JUS/DGTAIPD-DFI del 30 de junio de 202029, la DFI dio por concluidas las actuaciones instructivas correspondientes al procedimiento sancionador. 25. Mediante Informe Final de Instrucción N°046-2020-JUS/DGTAIPD-DFI del 30 de junio de 202030 (en adelante, el “IFI”), la DFI remitió a la DPDP los actuados para que resuelva en primera instancia el procedimiento administrativo sancionador iniciado, recomendando lo siguiente:

• Imponer sanción administrativa de multa ascendente a trece coma cinco unidades impositivas tributarias (13,5 UIT) a la administrada por el cargo acotado en el Hecho Imputado N°1, por la infracción grave tipificada en el literal b) del numeral 2 del artículo 132 del Reglamento de la LPDP: "Dar tratamiento a los datos personales sin el consentimiento libre, expreso, inequívoco, previo e informado del titular, cuando el mismo sea necesario conforme a lo dispuesto en la Ley n° 29733 y su Reglamento".

• Imponer sanción administrativa de multa ascendente a doce unidades impositivas tributarias (12 UIT) a la administrada por el cargo acotado en el Hecho Imputado N°2, por la infracción grave tipificada en el literal a) del numeral 2 del artículo 132 del Reglamento de la LPDP: "No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales reconocidos en el título III de la Ley n.° 29733 y su Reglamento".

• Imponer sanción administrativa de multa ascendente a tres unidades impositivas tributarias (3 UIT) a la administrada por el cargo acotado en el Hecho Imputado N°3, por la infracción leve tipificada en el literal e) del numeral 1 del artículo 132 del Reglamento de la LPDP: "No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34° de la Ley".

• Imponer sanción administrativa de multa ascendente a cuatro coma cinco unidades impositivas tributarias (4,5 UIT) a la administrada por el cargo acotado en el Hecho Imputado N°4, por la infracción leve tipificada en el literal a) del numeral 1 del artículo 132 del Reglamento de la LPDP: "Realizar tratamiento de datos personales incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia".

26. El Informe Final de Instrucción N°046-2020-JUS/DGTAIPD-DFI y la Resolución Directoral N°047-2020-JUS/DGTAIPD-DFI fueron notificados a la administrada mediante Oficio N°410-2020-JUS/DGTAIPD-DFI el día 15 de julio de 202031 27. A través del escrito ingresado con código N°2020MSC-25670 el 23 de julio de 202032,

la administrada presentó sus descargos al IFI, señalando principalmente lo siguiente:

26 Folios 1027 a 1028 27 Folio 1028 28 Folio 1123 29 Folios 1029 a 1031 30 Folios 1033 a 1054 31 Folios 1032 y 1124 32 Folios 1055 a 1091



Página 8 de 61


• Respecto al Programa de Novios (Contrato de afiliación al programa lista de novios Falabella/Crate & Barrel) la DFI observó que solo se adjuntó un formato a implementar. En tal sentido, adjuntó una muestra del documento firmado (Anexo 1)

• Respecto a la Declaración de Consentimiento de captación de tratamiento de datos personales para empleados la DFI observó que solo se adjuntó un formato a implementar. En tal sentido, indicó que adjuntaba una muestra del documento firmado (Anexo 2). Sin embargo, dicho documento no fue presentado.


• Sobre los contratos de locación de servicios de modelaje y contrato modelo de sesión de fotos estudio E-Commerce, reiteró que dichos contratos los firma la agencia de medios a quien contrata.

• Sobre el Talón de Servicio indicó que adjuntaba una muestra del documento firmado por un cliente (Anexo 3). Sin embargo, dicho documento no fue presentado.

• Respecto a la Constancia de Retiro en Tienda, señaló que es imposible adjuntar un medio probatorio que demuestre que la administrada ya no firma Constancias de Retiro en Tienda, justamente porque ya no se entregan a los clientes.

• Respecto a los demás formatos físicos (Constancia de entrega, Solicitud de despacho, Solicitud de liquidación y premio) adjuntó muestra de los documentos firmados (Anexo 4)


• Respecto al banco de datos vinculado al libro de reclamaciones, adjuntó cargo de presentación de solicitud de inscripción (Anexo 5)

• Respecto al cambio de finalidad del banco de datos de clientes, la solicitud presentada fue observada mediante el oficio N°726-2020- JUS/DGTAIPD/DPDP, señalando que correspondería tener bancos de datos distintos por cada finalidad (Anexo 6)

28. Mediante Oficio N° 1391-2020-JUS/DGTAIPD-DPDP, notificado el 29 de setiembre de 202033, la DPDP realizó requerimiento de información complementaria al escrito de descargos al IFI presentado por la administrada. 29. Mediante escrito ingresado con código 2020MSC-43886 el 5 de octubre de 202034la administrada presentó el contenido de los Anexos N° 2 (Declaración de Consentimiento de captación de tratamiento de datos personales para empleados firmada, la cual se encuentra entre los diversos documentos firmados por nuestros trabajadores a su ingreso) y N° 3 (Talones de Servicio firmados que incluye nuestra Política de Privacidad) que no se encontraban adjuntos en su escrito de descargos al IFI, asimismo cumplió con establecer direcciones electrónicas para notificaciones relacionadas al presente procedimiento.

33 Folios 1092 a 1093 34 Folios 1094 a 1116



Página 9 de 61

30. Mediante Resolución Directoral N°2168-2020-JUS/DGTAIPD-DPDP de 14 de diciembre de 202035, la DPDP dispuso ampliar por tres meses el plazo de caducidad para resolver el presente procedimiento, plazo adicional que comenzará a contarse desde el 2 de enero de 2021. Dicha resolución fue notificada a la administrada el 14 de diciembre de 2020, mediante Oficio N°2182-2020-JUS/DGTAIPD-DPDP.36

II. Competencia 31. De conformidad con el artículo 74 del Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, aprobado por Decreto Supremo N°013-2017-JUS, la DPDP es la unidad orgánica competente para resolver en primera instancia, los procedimientos administrativos sancionadores iniciados por la DFI. 32. En tal sentido, la autoridad que debe conocer el presente procedimiento sancionador, a fin de emitir resolución en primera instancia, es la Directora de Protección de Datos Personales.

III. Normas concernientes a la responsabilidad de la administrada 33. Acerca de la responsabilidad de la administrada, se deberá tener en cuenta que el literal f) del numeral 1 del artículo 257 del Texto Único Ordenado de la Ley del Procedimiento Administrativo General (en adelante, la “LPAG”), establece como una causal eximente de la responsabilidad por infracciones, la subsanación voluntaria del hecho imputado como infractor, si es realizada de forma previa a la notificación de imputación de cargos37.

34. Asimismo, se debe atender a lo dispuesto en el artículo 126 del Reglamento de la LPDP, que considera como atenuantes la colaboración con las acciones de la autoridad y el reconocimiento espontáneo de las infracciones conjuntamente con la adopción de medidas de enmienda; dichas atenuantes, de acuerdo con la oportunidad del reconocimiento y las fórmulas de enmienda, pueden permitir la reducción motivada de la sanción por debajo del rango previsto en la LPDP38.

35. Dicho artículo debe leerse conjuntamente con lo previsto en el numeral 2 del artículo 257 de la LPAG39, que establece como condición atenuante el reconocimiento de la

35 Folios 1117 a 1118 36 Folios 1119 a 1122 37 Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo Nº 004-2019-JUS “Artículo 257.- Eximentes y atenuantes de responsabilidad por infracciones 1.- Constituyen condiciones eximentes de la responsabilidad por infracciones las siguientes: (…) f) La subsanación voluntaria por parte del posible sancionado del acto u omisión imputado como constitutivo de infracción administrativa, con anterioridad a la notificación de la imputación de cargos a que se refiere el inciso 3) del artículo 255.” 38 Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo Nº 003-2013-JUS “Artículo 126.- Atenuantes. La colaboración con las acciones de la autoridad y el reconocimiento espontáneo de las infracciones acompañado de acciones de enmienda se considerarán atenuantes. Atendiendo a la oportunidad del reconocimiento y a las fórmulas de enmienda, la atenuación permitirá incluso la reducción motivada de la sanción por debajo del rango previsto en la Ley” 39 Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo Nº 004-2019-JUS “Artículo 257.- Eximentes y atenuantes de responsabilidad por infracciones (…) 2.- Constituyen condiciones atenuantes de la responsabilidad por infracciones las siguientes: a) Si iniciado un procedimiento administrativo sancionador el infractor reconoce su responsabilidad de forma expresa y por escrito.



Página 10 de 61

responsabilidad por parte del infractor de forma expresa y por escrito, debiendo reducir la multa a imponérsele hasta no menos de la mitad del monto de su importe; y por otro lado, las que se contemplen como atenuantes en las normas especiales. IV. Primer cuestión previa: Sobre la vinculación entre el Informe de Instrucción y el pronunciamiento de esta Dirección 36. El artículo 254 de la LPAG establece como carácter fundamental del procedimiento administrativo sancionador, la separación entre la autoridad instructora y la autoridad sancionadora o resolutora: “Artículo 254.- Caracteres del procedimiento sancionador 254.1 Para el ejercicio de la potestad sancionadora se requiere obligatoriamente haber seguido el procedimiento legal o reglamentariamente establecido caracterizado por: 1. Diferenciar en su estructura entre la autoridad que conduce la fase instructora y la que decide la aplicación de la sanción. (…)”

37. Por su parte, el artículo 255 de la LPAG, establece lo siguiente: “Artículo 255.- Procedimiento sancionador Las entidades en el ejercicio de su potestad sancionadora se ciñen a las siguientes disposiciones: (…) 5. Concluida, de ser el caso, la recolección de pruebas, la autoridad instructora del procedimiento concluye determinando la existencia de una infracción y, por ende, la imposición de una sanción; o la no existencia de infracción. La autoridad instructora formula un informe final de instrucción en el que se determina, de manera motivada, las conductas que se consideren probadas constitutivas de infracción, la norma que prevé la imposición de sanción; y, la sanción propuesta o la declaración de no existencia de infracción, según corresponda. Recibido el informe final, el órgano competente para decidir la aplicación de la sanción puede disponer la realización de actuaciones complementarias, siempre que las considere indispensables para resolver el procedimiento. El informe final de instrucción debe ser notificado al administrado para que formule sus descargos en un plazo no menor de cinco (5) días hábiles.”

38. De los artículos transcritos, se desprende que la separación de las dos autoridades, así como la previsión de ejercicio de actuaciones por parte de la autoridad sancionadora o resolutora implican la autonomía de criterios de ambas, siendo que la autoridad sancionadora o resolutora puede hacer suyos todos los argumentos, conclusiones y recomendaciones expuestos por la autoridad instructora en su informe final de instrucción, así como, en sentido distinto, puede efectuar una distinta evaluación de los hechos comprobados o inclusive, cuestionar estos hechos o evaluar situaciones que si bien fueron tomadas en cuenta al momento de efectuar la imputación, no fueron evaluadas al finalizar la instrucción. 39. Por tal motivo, la resolución que emita una autoridad sancionadora o resolutora, puede apartarse de las recomendaciones del informe final de instrucción o incluso cuestionar los hechos expuestos y su valoración, haciendo una evaluación diferente, considerando su naturaleza no vinculante, y sin que ello implique una vulneración de la predictibilidad o de la expectativa legítima del administrado, la cual no encuentra asidero en la normativa referida al procedimiento administrativo.

En los casos en que la sanción aplicable sea una multa esta se reduce hasta un monto no menor de la mitad de su importe. b) Otros que se establezcan por norma especial.”



Página 11 de 61

40. Por supuesto, la divergencia de criterios mencionada, no puede implicar vulneraciones al debido procedimiento, como el impedir el derecho de defensa de los administrados, ni ampliar o variar los hechos imputados y su valoración como presuntas infracciones.

V. Segunda cuestión previa: Sobre el concurso de infracciones 41. El numeral 6 del artículo 248 de la LPAG establece como uno de los principios de la potestad sancionadora el del Concurso de Infracciones, en los siguientes términos: “Artículo 248.- Principios de la potestad sancionadora administrativa La potestad sancionadora de todas las entidades está regida adicionalmente por los siguientes principios especiales: (…) 6. Concurso de Infracciones. - Cuando una misma conducta califique como más de una infracción se aplicará la sanción prevista para la infracción de mayor gravedad, sin perjuicio que puedan exigirse las demás responsabilidades que establezcan las leyes.”

42. La Autoridad Administrativa tiene la obligación, en casos de concurso de infracciones, de aplicar la sanción por la infracción que considere más grave, sin que ello, necesariamente, deba determinarse solo por lo gravoso de la sanción -como bien señala Morón- sino por diversas cuestiones como la trascendencia de la norma infringida, de las obligaciones incumplidas o su influencia en los derechos de terceros. 43. En el presente caso, se detecta que uno de los hechos que configura la presunta comisión de la infracción grave tipificada en el literal b) del numeral 2 del artículo 132 del Reglamento de la LPDP es que la administrada no obtenía válidamente el consentimiento a través de los documentos "Contrato de afiliación al programa lista de novios Falabella/Crate&Barrel” (Folios 572 a 579) y "Declaración de consentimiento de captación y tratamiento de datos personales para empleados" (Folio 596) en tanto no se reunían, en distintos órdenes, las características (libre, expreso e inequívoco, e informado) del consentimiento, previstas en el artículo 12 del Reglamento de la LPDP. 44. Por su parte, entre los hechos que componen la comisión de la infracción grave tipificada en el literal a) del numeral 2 del artículo 132 del Reglamento de la LPDP, se encuentra la recopilación de datos personales por medio de los documentos citados en el considerando inmediato anterior, sin informar lo requerido en el artículo 18 de la LPDP. 45. En consecuencia, la omisión referida afecta a más de una norma jurídica, al incumplir la administrada, dos obligaciones autónomas con el mismo hecho, considerando que los factores informados tienen la misma relevancia tanto para el tratamiento efectuado para la ejecución de la relación contractual comercial y laboral, respectivamente (y que no requiere consentimiento), como para el realizado con fines no necesarios para la relación con el cliente y el trabajador (que sí requiere del consentimiento), con lo que se está ante un supuesto de concurso de infracciones, debiendo decidirse cuál de las detectadas reviste una mayor gravedad. 46. El derecho a recibir información acerca del tratamiento, contemplado en el artículo 18 de la LPDP, es exigible al responsable del tratamiento en todos los casos; vale decir que incluso cuando no es necesario el consentimiento, es obligatorio brindar al titular la



Página 12 de 61

información sobre el tratamiento a efectuar, señalando los elementos mencionados en dicho artículo, constituyendo su inobservancia un supuesto de tratamiento ilícito por implicar la restricción de un derecho del titular de los datos personales. 47. De otro lado, es pertinente tomar en cuenta que los principios rectores representan obligaciones que determinan la licitud del tratamiento de los datos personales, tanto en lo que concierne a los tipos, cantidades u oportunidad de los datos personales (principio de Finalidad, Proporcionalidad y Calidad), como a los requisitos para efectuar tal tratamiento (principio de Consentimiento, principio de Seguridad y, entendido como principio, el deber de conceder información al titular de los datos personales). 48. En tal sentido, esta Dirección considera que, si bien solo el principio de Consentimiento se encuentra literalmente reconocido como un principio rector en el artículo 5 de la LPDP y desarrollado en el artículo 13 de la misma ley, no se excluye la posibilidad de admitir la misma calidad del artículo 18 de la LPDP, debiendo entenderse también que el listado de principios rectores es enunciativo, no cerrado, de acuerdo con el artículo 12 de la LPDP: “Artículo 12. Valor de los principios La actuación de los titulares y encargados de tratamiento de datos personales y, en general, de todos los que intervengan con relación a datos personales, debe ajustarse a los principios rectores a que se refiere este Título. Esta relación de principios rectores es enunciativa. Los principios rectores señalados sirven también de criterio interpretativo para resolver las cuestiones que puedan suscitarse en la aplicación de esta Ley y de su reglamento, así como de parámetro para la elaboración de otras disposiciones y para suplir vacíos en la legislación sobre la materia.”

49. Entonces, tomando en cuenta factores generales, como el mayor ámbito de exigibilidad del cumplimiento del artículo 18 de la LPDP, así como su valoración como principio rector del tratamiento de datos personales, es que el incumplimiento de tal artículo, subsumido como infracción en la tipificación del literal a) del numeral 2 del artículo 132 del Reglamento de la LPDP, es la infracción de mayor gravedad. 50. En tal sentido, en caso de verificarse el incumplimiento del requisito de validez de obtención del consentimiento en el extremo de informado, tal hecho infractor no será tomado en cuenta al momento de aplicar la sanción correspondiente a la infracción tipificada en el literal b) del numeral 2 del artículo 132 del mencionado reglamento.

VI. Cuestiones en discusión 51. Para emitir pronunciamiento en el presente caso, se debe determinar si la administrada es responsable por los siguientes hechos infractores:

• La administrada estaría realizando tratamiento de datos personales de sus clientes y trabajadores para finalidades adicionales a la ejecución de la relación contractual, sin obtener válidamente el consentimiento de los titulares de los datos personales. Obligación establecida en el artículo 13, numeral 13.5 de la LPDP y el artículo 12 del Reglamento de la LPDP.

• La administrada estaría realizando tratamiento de datos personales a través de: (i) el contrato modelo de sesión de fotos; y (ii) de los formatos físicos y sistema automatizado; sin informar a los titulares de los datos lo requerido por el artículo 18° de la LPDP



Página 13 de 61

• La administrada no habría cumplido con inscribir en el RNPDP, los bancos de datos personales de: "prospectos de clientes", “libro de reclamaciones", "usuarios del sitio web” y “novios”, detectados en la fiscalización. Obligación establecida en el artículo 78° del Reglamento de la LPDP.

• La administrada no habría cumplido con implementar las medidas de seguridad para el tratamiento de datos personales, al: A. No generar ni registrar la interacción lógica del banco de datos personales

de clientes. Obligación establecida en el numeral 2 del artículo 39° del Reglamento de la LPDP.




52. En el supuesto de resultar responsable, si debe aplicarse la exención de responsabilidad por la subsanación de la infracción, prevista en el literal f) del numeral 1 del artículo 257 de la LPAG, o las atenuantes, de acuerdo con lo dispuesto en el artículo 126 del reglamento de la LPDP.

53. Determinar en cada caso, la multa que corresponde imponer, tomando en consideración los criterios de graduación contemplados en el numeral 3 del artículo 248 de la LPAG.

VI. Análisis de las cuestiones en discusión Sobre el presunto tratamiento de datos personales sin haber obtenido válidamente el consentimiento para ello 54. El principio de consentimiento se tiene previsto en el artículo 5 de la LPDP: “Artículo 5. Principio de consentimiento Para el tratamiento de los datos personales debe mediar el consentimiento de su titular”

55. Según lo dispone el inciso 13.5 del artículo 13 de la LPDP, los datos personales solo pueden ser objeto de tratamiento mediando el consentimiento del titular de los mismos, el cual deberá ser otorgado de manera previa, informada, expresa e inequívoca:

“Artículo 13. Alcances sobre el tratamiento de datos personales (…) 13.5 Los datos personales solo pueden ser objeto de tratamiento con consentimiento de su

titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco.”

56. El numeral citado define entonces requisitos constitutivos del consentimiento, vale decir, los elementos sin los cuales no existe un consentimiento válidamente otorgado, conjuntamente con lo recogido en los artículos 11 y 1240 del Reglamento de la LPDP,

40 Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo Nº 003-2013-JUS



Página 14 de 61

siendo tales requisitos de ser otorgado de forma previa, libre, expresa e inequívoca, y de manera informada. 57. Por otro lado, es preciso tener en cuenta que la obligación de obtener el consentimiento tiene excepciones, las cuales se encuentran previstas en el artículo 14 de la LPDP41; sin embargo, la administrada no se encuentra inmersa dentro de dichos supuestos.

“Artículo 11.- Disposiciones generales sobre el consentimiento para el tratamiento de datos personales. “El titular del banco de datos personales o quien resulte como responsable del tratamiento, deberá obtener el consentimiento para el tratamiento de los datos personales, de conformidad con lo establecido en la Ley y en el presente reglamento […] La solicitud del consentimiento deberá estar referida a un tratamiento o serie de tratamientos determinados, con expresa identificación de la finalidad o finalidades para las que se recaban los datos; así como las demás condiciones que concurran en el tratamiento o tratamientos […]. Cuando se solicite el consentimiento para una forma de tratamiento que incluya o pueda incluir la transferencia nacional o internacional de los datos, el titular de los mismos deberá ser informado de forma que conozca inequívocamente tal circunstancia, además de la finalidad a la que se destinarán sus datos y el tipo de actividad desarrollada por quien recibirá los mismos.” (El resaltado es nuestro) Artículo 12.- Características del consentimiento. Además de lo dispuesto en el artículo 18 de la Ley y en el artículo precedente del presente reglamento, la obtención del consentimiento debe ser: 1. Libre: Sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de voluntad del titular de los datos personales. La entrega de obsequios o el otorgamiento de beneficios al titular de los datos personales con ocasión de su consentimiento no afectan la condición de libertad que tiene para otorgarlo, salvo en el caso de menores de edad, en los supuestos en que se admite su consentimiento, en que no se considerará libre el consentimiento otorgado mediando obsequios o beneficios. El condicionamiento de la prestación de un servicio, o la advertencia o amenaza de denegar el acceso a beneficios o servicios que normalmente son de acceso no restringido, sí afecta la libertad de quien otorga consentimiento para el tratamiento de sus datos personales, si los datos solicitados no son indispensables para la prestación de los beneficios o servicios. 2. Previo: Con anterioridad a la recopilación de los datos o en su caso, anterior al tratamiento distinto a aquel por el cual ya se recopilaron. 3. Expreso e Inequívoco: Con anterioridad a la recopilación de los datos o en su caso, anterior al tratamiento distinto a aquel por el cual ya se recopilaron queda o pueda ser impreso en una superficie de papel o similar. La condición de expreso no se limita a la manifestación verbal o escrita. En sentido restrictivo y siempre de acuerdo con lo dispuesto por el artículo 7 del presente reglamento, se considerará consentimiento expreso a aquel que se manifieste mediante la conducta del titular que evidencie que ha consentido inequívocamente, dado que de lo contrario su conducta, necesariamente, hubiera sido otra. Tratándose del entorno digital, también se considera expresa la manifestación consistente en “hacer clic”, “cliquear” o “pinchar”, “dar un toque”, “touch” o “pad” u otros similares. En este contexto el consentimiento escrito podrá otorgarse mediante firma electrónica, mediante escritura que quede grabada, de forma tal que pueda ser leída e impresa, o que por cualquier otro mecanismo o procedimiento establecido permita identificar al titular y recabar su consentimiento, a través de texto escrito. También podrá otorgarse mediante texto preestablecido, fácilmente visible, legible y en lenguaje sencillo, que el titular pueda hacer suyo, o no, mediante una respuesta escrita, gráfica o mediante clic o pinchado. La sola conducta de expresar voluntad en cualquiera de las formas reguladas en el presente numeral no elimina, ni da por cumplidos, los otros requisitos del consentimiento referidos a la libertad, oportunidad e información. 4. Informado: Cuando al titular de los datos personales se le comunique clara, expresa e indubitablemente, con lenguaje sencillo, cuando menos de lo siguiente a. La identidad y domicilio o dirección del titular del banco de datos personales o del responsable del tratamiento al que puede dirigirse para revocar el consentimiento o ejercer sus derechos. b. La finalidad o finalidades del tratamiento a las que sus datos serán sometidos. c. La identidad de los que son o pueden ser sus destinatarios, de ser el caso. d. La existencia del banco de datos personales en que se almacenarán, cuando corresponda. e. El carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, cuando sea el caso. f. Las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo. g. En su caso, la transferencia nacional e internacional de datos que se efectúen.” 41 Ley N° 29733, Ley de Protección de Datos Personales “Artículo 14. Limitaciones al consentimiento para el tratamiento de datos personales No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes

casos:

1. Cuando los datos personales se recopilen o transfieran para el ejercicio de las funciones de las entidades públicas en

el ámbito de sus competencias.

2. Cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público. 3. Cuando se trate de datos personales relativos a la solvencia patrimonial y de crédito, conforme a ley. 4. Cuando medie norma para la promoción de la competencia en los mercados regulados emitida en ejercicio de la función normativa por los organismos reguladores a que se refiere la Ley 27332, Ley Marco de los Organismos Reguladores de la Inversión Privada en los Servicios Públicos, o la que haga sus veces, siempre que la información brindada no sea utilizada en perjuicio de la privacidad del usuario.



Página 15 de 61

58. Mediante la RD de Inicio, la DFI imputó a la administrada realizar tratamiento de datos personales de sus clientes y trabajadores para finalidades adicionales a la ejecución de la relación contractual; sin obtener válidamente el consentimiento de los titulares de los datos personales (al carecer de las características de ser libre, expreso e inequívoco e informado).

59.Particularmente, la DFI sustentó su imputación respecto al tratamiento de datos de sus clientes con el análisis del "Contrato de afiliación al programa lista de novios Falabella/Crate&Barrel” (Folios 572 a 579, Folios 850 a 853), mientras que para el caso del tratamiento de los datos personales de sus trabajadores centra su análisis en el documento "Declaración de consentimiento de captación y tratamiento de datos personales para empleados" (Folio 596)

60. Respecto al "Contrato de afiliación al programa lista de novios Falabella/Crate&Barrel” (Folios 572 a 579, Folios 850 a 853), del análisis de las actuaciones de fiscalización y la documentación obrante en el presente expediente, mediante la RD de Inicio, la DFI evaluó e imputó de la siguiente manera (Folios 879 a 880):

“Tratamiento de datos personales a través de formatos físicos

d) En tal sentido, el analista legal de fiscalización a través del Informe de Fiscalización n° 076-2019-JUS/DGTAIPD-DFI-AARM (f. 714 reverso a 716), señaló lo siguiente:

"V. ANÁLISIS DE LOS HECHOS IMPUTADOS Y PRESUNTAS INFRACCIONES

(...)

d) De la evaluación al texto denominado "Contrato de afiliación al programa lista de novios Falabella / Crate&Barrer (f. 572 a 579), se observa que si bien la administrada no se encuentra en la obligación de solicitar el consentimiento de los clientes para determinar la ejecución contractual a través del citado contrato, al encontrarse dentro del supuesto de excepción del consentimiento señalado en el numeral 5 del artículo 14° de la LPDP; sin embargo, se advierte

5. Cuando los datos personales sean necesarios para la preparación, celebración y ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento. 6. Cuando se trate de datos personales relativos a la salud y sea necesario, en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho tratamiento sea realizado en establecimientos de salud o por profesionales en ciencias de la salud, observando el secreto profesional; o cuando medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones deben ser calificadas como tales por el Ministerio de Salud; o para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados. 7. Cuando el tratamiento sea efectuado por organismos sin fines de lucro cuya finalidad sea política, religiosa o sindical

y se refiera a los datos personales recopilados de sus respectivos miembros, los que deben guardar relación con el propósito a que se circunscriben sus actividades, no pudiendo ser transferidos sin consentimiento de aquellos. 8. Cuando se hubiera aplicado un procedimiento de anonimización o disociación. 9. Cuando el tratamiento de los datos personales sea necesario para salvaguardar intereses legítimos del titular de datos personales por parte del titular de datos personales o por el encargado de tratamiento de datos personales. 10. Cuando el tratamiento sea para fines vinculados al sistema de prevención de lavado de activos y financiamiento del terrorismo u otros que respondan a un mandato legal. 11. En el caso de grupos económicos conformados por empresas que son consideradas sujetos obligados a informar, conforme a las normas que regulan a la Unidad de Inteligencia Financiera, que éstas puedan compartir información entre sí de sus respectivos clientes para fines de prevención de lavado de activos y financiamiento del terrorismo, así como otros de cumplimiento regulatorio, estableciendo las salvaguardas adecuadas sobre la confidencialidad y uso de la información intercambiada. 12. Cuando el tratamiento se realiza en ejercicio constitucionalmente válido del derecho fundamental a la libertad de información. 13. Otros que deriven del ejercicio de competencias expresamente establecidas por Ley.”



Página 16 de 61

que emplea una fórmula de consentimiento para usar los datos con fines publicitarios, con el siguiente texto:

"CONTRATO DE AFILIACIÓN AL PROGRAMA LISTA DE NOVIOS FALABELLA / CRATE&BARREL (…) DATOS PERSONALES

1. SAGA FALABELLA S.A. declara que los datos personales de los NOVIOS serán tratados en cumplimiento de lo dispuesto en la Ley N° 29733, Ley de Protección de Datos Personales y su Reglamento aprobado por Decreto Supremo N° 003-2013-JUS. 2. EL PROGRAMA recopila, almacena, gestiona, administra y procesa los datos personales de los NOVIOS los cuales forman parte del Banco de Datos Personales de Novios de titularidad de SAGA FALABELLA S.A., ubicado en Av. Paseo de la República n° 3220, San Isidro Lima, con la finalidad de ejecutar el presente CONTRATO y durante el tiempo necesario para cumplir con las obligaciones previstas en el mismo. (…) 6. Con la finalidad de brindar un mejor servicio, se recomienda mantener actualizados los siguientes datos: i) teléfono fijo y móvil; ii) dirección de domicilio de los NOVIOS; iii) dirección de despacho; iv) correo electrónico; v) fecha de boda. Los NOVIOS deberán comunicar hasta 60 días antes de la fecha de boda (...). 7. Los NOVIOS autorizan de forma libre, previa, inequívoca y expresa al tratamiento de sus datos personales en el banco de datos de titularidad de SAGA FALLABELA S.A. descrito en el numeral 2 precedente, siendo utilizados los mismos para fines publicitarios, promocionales, de comunicaciones e información para despacho de productos, para responder consultas acerca de productos y servicios, envío de invitaciones a actividades convocadas por SAGA FALABELLA S.A., encuestas, historial de compras, historial de hábitos y preferencias de consumo, para fines estadísticos y futuras compras que se realicen por este canal de comercialización. Asimismo, los NOVIOS aceptan que los datos personales proporcionados sean susceptibles de transferencia a empresas filiales y/o vinculadas al mismo grupo económico (empresas dedicadas al sistema financiero, bancario, tiendas por departamento y/o supermercados, llámese por ejemplo Banco Falabella, Hipermercados Tottus, Viajes Falabella, y Saga Falabella, así como cualquier otra empresa vinculada del Grupo Falabella), sean estas empresas constituidas en el Perú o en el extranjero. (...)". El subrayado es nuestro.

Revisado el referido documento (f. 572 a 579), se observa lo siguiente:

i. Se señalan finalidades necesarias para la prestación del servicio y/o producto (para las cuales no necesitaría consentimiento), con finalidades adicionales como envío de publicidad, lo que hace que este consentimiento no sea libre; asimismo, no figura casillas que permitan aceptar o no aceptar cada una de estas finalidades por lo que no sería expreso.

e) Por lo expuesto, se deduce que la administrada estaría realizando tratamiento de datos personales, sin recabar un consentimiento libre de los clientes a través del texto contenido en el formulario físico "Contrato de afiliación al programa lista de novios Falabella/Crate&Barrel" (f. 572 a 579) “

(…) e) En atención a ello, la DFI procedió a verificar de oficio el sitio web www.falabella.com.pe/falabella-pe/,constatando que a la fecha de la presente resolución la administrada continúa recopilando los datos personales de los usuarios (novios) a través del "Contrato de afiliación al programa lista de novios Falabella/Crate&Barrel (f. 850 a 853)", señalando lo siguiente:




Página 17 de 61

"CONTRATO DE AFILIACIÓN AL PROGRAMA LISTA DE NOVIOS FALABELLA / CRATE&BARREL (...) DATOS PERSONALES (...) 2. EL PROGRAMA recopila, almacena, gestiona, administra y procesa los datos personales de los NOVIOS los cuales forman parte del Banco de Datos Personales de Novios de titularidad de SAGA FALABELLA S.A. (...) (...) 7. Los NOVIOS autorizan de forma libre, previa, inequívoca y expresa al tratamiento de sus datos personales en el banco de datos de titularidad de SAGA FALLABELA S.A. descrito en el numeral 2 precedente, siendo utilizados los mismos para fines publicitarios, promocionales, de comunicaciones e información para despacho de productos, para responder consultas acerca de productos y servicios, envío de invitaciones a actividades convocadas por SAGA FALABELLA S.A., encuestas, historial de compras, historial de hábitos y preferencias de consumo, para fines estadísticos y futuras compras que se realicen por este canal de comercialización. Asimismo, los NOVIOS aceptan que los datos personales proporcionados sean susceptibles de transferencia a empresas filiales y/o vinculadas al mismo grupo económico (empresas dedicadas al sistema financiero, bancario, tiendas por departamento y/o supermercados, llámese por ejemplo Banco Falabella, Hipermercados Tottus, Viajes Falabella, y Saga Falabella, así como cualquier otra empresa vinculada del Grupo Falabella), sean estas empresas constituidas en el Perú o en el extranjero. (...)". El subrayado es nuestro.

Evaluado el citado documento, se observa que el consentimiento no es libre, pues no le brinda la oportunidad al usuario de aceptar o no las finalidades adicionales a la prestación del servicio como es el envío de publicidad.

Asimismo, no es expreso, al no permitirle al interesado la marcación de una casilla de aceptar o no la finalidad adicional distinta a la prestación del servicio.

Finalmente, revisado el "Contrato de afiliación al programa lista de novios Falabella/Crate &Barrer, se observa que no cumple con informar lo establecido en el numeral 4 del artículo 12° del Reglamento de la LPDP, respecto a:

• La identidad de los destinatarios de los datos personales (No señala las empresas vinculadas filiales, asimismo, es ambiguo al señalar lo siguiente: [...] sean estas empresas constituidas en el Perú o en el extranjero [...]').

• La finalidad de la transferencia de los datos personales a terceros.

• El tiempo de conservación de los datos personales (es ambiguo al señalar lo siguiente: "[...] El programa recopila, almacena, gestiona, administra y procesa los datos personales de los NOVIOS (...), durante el tiempo necesario para cumplir con las obligaciones previstas en el mismo[...]").

(…)”

61. En su escrito de descargos a la RD de Inicio ingresado con Hoja de Trámite N°7372-2020MSC el 3 de febrero de 2020, la administrada señaló que comunica de forma separada las finalidades adicionales distintas a aquellas necesarias para la ejecución contractual, adjuntando para ello el nuevo formato del "Contrato de afiliación al programa lista de novios Falabella/Crate&Barrel” (Folios 913 a 918)

62. La versión modificada del formato de Contrato de afiliación al programa lista de novios Falabella/Crate&Barrel (Folio 913) establece los siguiente:

“DATOS PERSONALES



Página 18 de 61

1. SAGA FALABELLA S.A. declara que los datos personales de los NOVIOS serán tratados en cumplimiento con lo dispuesto en la Ley N° 29733, Ley de Protección de Datos Personales y su Reglamento aprobado por Decreto Supremo N° 003-2013-JUS. (…) 6. Con finalidad de brindar un mejor servicio, se recomienda mantener actualizados los siguientes datos: i) teléfono fijo y móvil; ii) dirección de domicilio de los NOVIOS iii) dirección de despacho iv) correo electrónico y) fecha de boda. Los NOVIOS deberán comunicarlo hasta 60 días antes a la fecha de boda. En caso contrario, liberan de toda responsabilidad a SAGA FALABELLA S.A. y al PROGRAMA respecto a cualquier información que no se nos haya brindado con posterioridad a la inscripción del presente CONTRATO. 7. A los datos personales contenidos en el presente documento se aplicará la Política de Privacidad de SAGA FALABELLA S.A. adjunta en el ANEXO 5. 8. Para el uso para fines adicionales de los datos personales de Los NOVIOS, deberán brindar

su autorización de acuerdo al ANEXO 6 adjunto al presente documento.” (Subrayado propio) 63. Del contenido del anexo 5, que contiene la Política de Privacidad versión actualizada al 23 de julio de 2019 (f. 917 a 918), se observa que en la finalidad del tratamiento de los datos personales, la administrada indica lo siguiente: "Falabella Perú realiza tratamiento de los datos personales de trabajadores, clientes y potenciales clientes, proveedores y todas aquellas personas que visitan nuestras instalaciones y/o tienen alguna relación jurídica o comercial con nuestra empresa, con la finalidad de cumplir con la legislación vigente, ejecutar la relación jurídica que los titulares de los datos personales mantengan con nuestra empresa, así como resguardar la seguridad de nuestros clientes y trabajadores. El tratamiento de datos personales para cualquier otra finalidad lícita distinta a las antes mencionadas es debidamente informada a dichos titulares de datos personales, requiriéndoles una autorización específica".

64. Asimismo, de la revisión del "Anexo 6- Autorización para fines adicionales " (Folio 918 reverso), se consigna lo siguiente: "Mediante su aceptación usted autoriza a Saga Falabella S.A. con RUC 20100128056 a tratar sus datos personales proporcionados en el presente contrato, para enviarle publicidad, realizar encuestas, invitaciones a eventos, conocer sus preferencias de consumo, elaborar estadísticas y/o estudios de comportamiento, evaluar su capacidad de endeudamiento comportamiento de pago de consumo y patrimonio, y a transferir sus datos personales a cualquiera de las empresas del Grupo Falabella (Banco Falabella, Hipermercados Tottus, Tiendas del Mejoramiento del Hogar (Sodimac Perú y Maestro Perú) Corredores de seguros Falabella, Open Plaza, Falabella servicios Generales, Linio) y a nuestros aliados comerciales Viajes Falabella e lkso S.A. C., para los mismos fines mencionados, en su propio beneficio. Sus datos personales serán tratados conforme a nuestra Política de Privacidad, publicada en www.falabella.com.pe y quedarán almacenados en el Banco de Datos Personales de Clientes de titularidad de Saga Falabella S.A., ubicado en Rosas 1665, Santiago de Chile, Chile, de manera indeterminada. Usted podrá ejercer los derechos que le otorga la normativa de protección de datos personales en [email protected] indicando su nombre completo y DNI."

65. Es preciso tener en cuenta que el Programa de Lista de Novios es un programa de fidelización, a la que se inscriben parejas de novios, que indican una fecha de matrimonio, y pueden recibir beneficios de acuerdo a los regalos que las personas le compren en las tiendas de la administrada. Este programa no es obligatorio para comprar en la tienda, sino que es un programa adicional, de fidelización, que otorga beneficios a cambio de estrategias de marketing o publicitarias. 66. En ese sentido, al ser un programa de fidelización, es decir que otorga beneficios a cambio de usar los datos para fines publicitarios, no se requiere el consentimiento del titular del dato personal, al encontrarse dentro de la excepción establecida en la LPDP,

http://www.falabella.com.pe/



Página 19 de 61

artículo 14, numeral 5, que establece que no se requiere el consentimiento del titular del dato personal “cuando los datos personales sean necesarios para la preparación, celebración y ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento.” 67. Por lo tanto esta Dirección, considera infundado el extremo de la imputación referida a la solicitud de consentimiento en el programa lista de novios Falabella/Crate&Barrel 68. En relación al documento "Declaración de consentimiento de captación y tratamiento de datos personales para empleados" (Folio 596), del análisis de las actuaciones de fiscalización y la documentación obrante en el presente expediente, mediante la RD de Inicio, la DFI evaluó e imputó de la siguiente manera (Folios 879 reverso y 880 reverso):

“Tratamiento de datos personales a través de formatos físicos

d) En tal sentido, el analista legal de fiscalización a través del Informe de Fiscalización n° 076-2019-JUS/DGTAIPD-DFI-AARM (f. 714 reverso a 716), señaló lo siguiente:

"V. ANÁLISIS DE LOS HECHOS IMPUTADOS Y PRESUNTAS INFRACCIONES

(...)

f) Del mismo modo, de la evaluación al texto del documento denominado "Declaración de consentimiento de captación tratamiento de datos personales para empleados" (f. 596), se observa que si bien la administrada no se encuentra en la obligación de solicitar el consentimiento de los trabajadores para determinar la ejecución de la relación laboral a través del citado contrato, al encontrarse dentro del supuesto de excepción del consentimiento señalado en el numeral 5 del artículo 14° de la LPDP; sin embargo, se advierte que emplea una fórmula de consentimiento para usar los datos con fines adicionales, con el siguiente texto:

“(...) Asimismo, autorizo de manera libre, previa, inequívoca y expresa que los datos personales y sensibles, proporcionados por mi persona, a consecuencia de la relación laboral con SAGA FALABELLA identificada con RUC 20100128056, sean tratados para los siguientes fines: programación de capacitaciones (inducción, capacitación de productos con proveedores, capacitaciones internas y externas), para la programación del sistema de capacitación (virtual o presencial), para concursos internos (entrevistas, llamadas, referencias, evaluaciones), para evaluación de desempeño, planes de sucesión, entrenamientos, eventos dirigidos a familias, para testimonios de éxitos y línea de carrear, videos institucionales, eventos varios (navidad, día del padre, día de la madre, día del niño, etc.), campañas de salud, exámenes médicos, pólizas de seguros, declaraciones vía web (seguro de vida ley y SCTR), publicaciones internas de comunicación, aperturas de cuentas (ahorros y CTS), recargas de tarjeta de alimentos, beneficios corporativos (empresa del grupo), declaraciones legales de información laboral (Tregistro y Plame). (...)". El subrayado es nuestro.

Revisado el referido documento (f. 596), se observa lo siguiente:

i. Dicho consentimiento carece de ser libre puesto que estaría induciendo en error al interesado al solicitar el consentimiento en bloque tanto para finalidades necesarias para la ejecución de la relación contractual, como aquella que no lo es (videos institucionales) sin ofrecerle la opción de aceptar o no el tratamiento de sus datos personales para finalidades no necesarias para la ejecución de la relación contractual.



Página 20 de 61

ii. Asimismo, carece de ser expreso e inequívoco al no poner en disposición del trabajador algún mecanismo que le permita otorgar su consentimiento con un acto afirmativo para el tratamiento de sus datos.

iii. También, no estaría obteniendo del titular del dato, un consentimiento informado, al no comunicar:

- Falta de claridad de las finalidades del tratamiento de datos personales. - La existencia del banco de datos personales en el que se almacenaran los datos (denominación del banco de datos personales y código de inscripción ante el Registro Nacional de Protección de Datos Personales). - La identidad de los destinatarios de los datos (detalle de las empresas subsidiarias, afiliadas y/o vinculadas y/o terceros a los que van a ceder los datos) - La transferencia de los datos personales que se efectúen. - El tiempo de conservación de los datos personales. g) Por lo expuesto, se deduce que la administrada estaría realizando tratamiento de datos personales, sin recabar un consentimiento libre, expreso e inequívoco e informado de los titulares para el tratamiento de las imágenes que publican en su sitio web. (…) g) Asimismo, respecto al documento "Declaración de consentimiento de captación y tratamiento de datos personales para empleados" (f. 596), la administrada a la fecha de la presente resolución no ha presentado ningún documento que acredite que ha procedido a levantar las observaciones formuladas en el Informe de Fiscalización n.° 076-2019-JUS/DGTAIPD-DFI-AARM, por lo que continúa realizando tratamiento de datos personales de los trabajadores para finalidades adicionales a la ejecución de la relación laboral sin recabar un consentimiento válido, de acuerdo a lo establecido en el artículo 12° del Reglamento de la LPDP. (…)”

69. En su escrito de descargos a la RD de Inicio, la administrada adjuntó un formato modificado del documento "Declaración de consentimiento de captación de tratamiento de datos personales para empleados” (Folio 920) del cual se puede apreciar que se eliminó la referencia al tratamiento de datos personales en videos institucionales. De igual manera se puede observar que en la parte inferior del documento se insertó la siguiente mención: "Declaro conocer la política de privacidad a la que están sujetos los datos personales contenidos en el presente documento. Dicha política de privacidad se encuentra adjunta al final de este paquete de ingreso". 70.Con la eliminación de la finalidad adicional y ajena para la ejecución de la relación contractual laboral para tratamiento de datos personales de sus trabajadores como lo es la imagen, voz en videos institucionales, se adecúa la forma de obtención de consentimiento empleada por la administrada al cumplir con ser libre, expreso e inequívoco. En tal sentido, y en vista de que con el escrito de descargos al IFI, la administrada acreditó haber implementado el documento referido con posterioridad a la notificación de cargos, conforme se puede apreciar de los contratos suscritos por dos de sus trabajadores con fecha 4 de febrero de 2020 (Folios 1096 a 1113), este Despacho considera que dicha adecuación debe ser considerada como una acción de enmienda a favor de la administrada. 72. Finalmente, respecto al carácter de informado de la fórmula de consentimiento contenida en las versión inicial del documentos "Declaración de consentimiento de captación de tratamiento de datos personales para empleados” (Folio 596) sobre el que se sustentó la imputación de consentimiento inválido (por carecer de ser libre, expreso e inequívoco e informado) este Despacho considera que, efectivamente no cumplían con informar lo requerido, siendo que respecto a esta omisión, la misma será tomada



Página 21 de 61

en cuenta para sancionar el incumplimiento del artículo 18 de la LPDP y no para este extremo, al producirse un concurso de infracciones, conforme lo descrito en la Segunda cuestión previa. 73. En este orden de ideas, se encuentra acreditada la comisión de la infracción imputada a la administrada respecto al extremo de realizar tratamiento de datos de sus trabajadores (a través del documento "Declaración de consentimiento de captación de tratamiento de datos personales para empleados”) para finalidades adicionales a la ejecución de la relación contractual, sin obtener válidamente el consentimiento de sus titulares (por carecer de ser libre, expreso e inequívoco e informado). Asimismo, se ha evidenciado que la administrada ha efectuado acciones de enmienda, las mismas que serán consideradas al momento de graduar la sanción. Sobre el presunto tratamiento de datos personales sin informar a los titulares de los datos lo requerido por el artículo 18 de la LPDP 74. El artículo 18 de la LPDP establece como uno de los derechos del titular de los datos personales a ser informado de forma previa acerca del tratamiento que se efectuará sobre los mismos, según se cita a continuación: “Artículo 18. Derecho de información del titular de datos personales El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del encargado del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello. Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables. En el caso que el titular del banco de datos establezca vinculación con un encargado de tratamiento de manera posterior al consentimiento, el accionar del encargado queda bajo responsabilidad del Titular del Banco de Datos, debiendo establecer un mecanismo de información personalizado para el titular de los datos personales sobre dicho nuevo encargado de tratamiento. Si con posterioridad al consentimiento se produce la transferencia de datos personales por fusión, adquisición de cartera, o supuestos similares, el nuevo titular del banco de datos debe establecer un mecanismo de información eficaz para el titular de los datos personales sobre dicho nuevo encargado de tratamiento”

75. Si bien el contenido de este artículo se relaciona con el requisito de validez de obtención del consentimiento concerniente a la información, primordialmente hace referencia a una obligación del titular del banco de datos personales y/o responsable del tratamiento de datos personales, independiente de lo vinculado al consentimiento: Brindar al titular de los datos personales, información acerca del tratamiento que se realizará sobre sus datos, cumpliendo no solo con presentar un contenido informativo claro y completo, sino accesible en el medio por el cual efectúe la recopilación, con lo que se permite el ejercicio de otros derechos del titular.



Página 22 de 61

76. En otras palabras, el derecho a recibir información acerca del tratamiento de datos personales, contemplado en el artículo 18 de la LPDP, es exigible a través del establecimiento de un deber de informar al responsable del tratamiento en todos los casos. Vale decir que, incluso, cuando no sea necesario el consentimiento del titular por estar inmerso en una de las excepciones del artículo 14 de la LPDP, es obligatorio brindar al titular la información sobre el tratamiento a efectuar, señalando los elementos requeridos en dicho artículo. La inobservancia de este deber de informar constituye un supuesto de tratamiento ilícito por implicar una clara restricción del ejercicio del derecho de información que ampara a toda persona, esto es, el derecho a que los titulares de los datos los proporcionen habiendo obtenido la información completa, idónea y veraz sobre el tratamiento que éstos recibirán por parte del responsable y/o titular del banco de datos personales. 77. Mediante la RD de Inicio, se imputó que la administrada estaría realizando tratamiento de datos personales sin informar a los titulares de los datos lo requerido por el artículo 18 del LPDP mediante:

i. el contrato modelo de sesión fotos, y ii. los formatos físicos y sistema automatizado

78. Respecto al tratamiento de datos a través del contrato modelo de sesión fotos, la DFI sustento su imputación en lo siguiente (Folios 881 reverso a 882): “Tratamiento de datos mediante contrato de locación de servicios de modelaje y contrato modelo sesión fotos

e) Sobre el particular, el analista legal de fiscalización a través del Informe de Fiscalización N° 076-2019-JUS/DGTAIPD-DFI-AARM (f. 716 reverso a 717), señaló lo siguiente: “V. ANÁLISIS DE LOS HECHOS IMPUTADOS Y PRESUNTAS INFRACCIONES (..) 5.4 Sobre el deber de informar al titular acerca del tratamiento de sus datos personales. (…) d) El 18 de diciembre de 2018, mediante escrito ingresado con Hoja de Trámite n° 80930-2018MSC (f. 26 a 454), la administrada manifiesta requerir el consentimiento de uso de imagen de las personas que figuran en su sitio web, a través de los documentos denominados: - Contrato de locación de servicios de modelaje (f. 28 a 284, 314 a 454). - Contrato modelo sesión fotos estudio E-Commerce (f. 285 a 313). e) En ese contexto si bien la administrada no se encuentra obligada a obtener el consentimiento para la publicación de las imágenes, sí se encuentra en la obligación de informar a los titulares que tratamiento darán a sus datos personales según lo dispuesto en el artículo 18° de la LPDP. f) De la revisión de los contratos de modelaje enviados por la administrada (f. 28 a 454), se observa que no figura un texto y/o cláusula que informe lo requerido por el artículo 18° de la LPDP (...)". (…) g) En atención a ello, esta Dirección de oficio procedió a evaluar los citados documentos, observando que respecto al documento "contrato de locación de servicios de modelaje", no han sido suscritos por la administrada con una persona natural, sino con una empresa de modelaje (productora), razón por la cual la obligación de informar no le es exigible a la administrada, sino a la empresa que contrató a la modelo (f. 28 a 284, 314 a 454, 465 a 519, y 523 a 527). h) Sin embargo, respecto al contrato de locación de servicios de modelaje suscrito por la administrada con una persona natural (modelo) sí le es exigible la obligación de informar acerca del tratamiento de los datos personales (f. 457 a 464).



Página 23 de 61

i) No obstante, respecto al contrato "modelo sesión fotos Estudio E-Comerce" (f. 285 a 313), se observa que ha sido suscrito por la administrada con una persona natural (modelo), por lo que la obligación de informar acerca del tratamiento de sus datos personales sí le es exigible a la administrada j) Al respecto, es pertinente señalar que la administrada no ha presentado ninguna documentación que acredite que ha cumplido con realizar alguna acción de enmienda, pues continúa difundiendo imágenes en su sitio web (f. 854 a 856) de las personas naturales (modelos) sin informarles lo requerido por el artículo 18° de la LPDP. (…)

79. En su escrito de descargos a la RD de Inicio, la administrada alegó que actualmente el único contrato para uso de imagen que emplea es el “Contrato de locación de servicios de modelaje”, habiendo dado de baja el uso del contrato "modelo sesión fotos Estudio E-Commerce". Adicionalmente, adjuntó una versión modificada del “Contrato de locación de servicios de modelaje” (Folios 923 a 927), el mismo que incluye como anexo al mismo la Política de Privacidad que complementa lo establecido en el contrato. 80. De una revisión del documento presentado, el modelo de contrato conjuntamente con el anexo 2 al mismo que contiene la Política de Privacidad, cumple con informar los elementos requeridos por el artículo 18 de la LPDP, con lo cual la administrada habría cumplido con adecuar su conducta respecto a este extremo, con posterioridad a la fecha de notificación de cargos, hecho que será considerado como una acción de enmienda. 81. Respecto al tratamiento de datos a través de los formatos físicos y sistema automatizado, la DFI sustentó su imputación en lo siguiente (Folio 882):

“Tratamiento de datos de los formatos físicos y sistema automatizado

l) El Informe de Fiscalización n° 076-2019-JUS/DGTAIP-DFI-AARM (f. 717) concluye que la administrada realiza tratamiento de datos personales en soporte automatizado y no automatizado de sus clientes y trabajadores sin informar las condiciones del tratamiento de datos personales requeridas por el artículo 18° de la LPDPD. Dichos tratamientos lo realiza mediante:

Clientes:

▪ Formulario denominado “Talón de servicio” (f.567) ▪ Formulario denominado “Constancia de entrega” (f. 568) ▪ Formulario denominado “Solicitud de despacho” (f. 569) ▪ Formulario denominado “Solicitud de liquidación y premio” (f.570) ▪ Formulario denominado “Constancia de retiro en tienda” (f.580) ▪ Contrato de Afiliación al programa lista de novios Falabella / Crate&Barrel (572 a 579)

Trabajadores:

▪ Elección de sistema de pensiones (AFP) compensación por tiempo de servicios (CTS y cuenta sueldo) (f.590)

▪ Declaración jurada sin vínculo laboral durante el año en curso (f.592) ▪ Compromiso de actualización de datos (f.593) ▪ Declaración jurada de domicilio (f.594) ▪ Actualización de información (f.595) ▪ Declaración de consentimiento de captación de tratamiento de datos personales para

empleados (f. 596) ▪ Declaración jurada diferencia entre la AFP y la ONP (f.599) ▪ Autorización de descuento por planilla (f.600)



Página 24 de 61

▪ Declaración de beneficiarios para seguro de vida obligatorio para personal empleado (f.601)

▪ Requisitos proceso de pre-selección (f.602); y ▪ Cargo de recepción “manual de ingreso” (f.603)

m) Asimismo, las actuaciones de fiscalización verificaron según consta en el acta n° 02-2019 (f. 534 a 604) que la administrada registra datos personales de los clientes en los sistemas:

▪ El sistema denominado “Siebel (CRM)” (f.582 a 584) ▪ El sistema denominado “SRX ERP” (f. 585 a 587) ▪ El sistema denominado “OMS” (f. 581) ▪ El sistema denominado “POS” (f. 588) ▪ El sistema denominado “Cronos 2.2” (f. 554 a 564)

n) Respecto a los tratamientos de datos personales descritos en los párrafos precedentes se ha verificado que la administrada no pone a disposición de los titulares de los datos un aviso y/o documento informativo del tratamiento de datos personales conforme a lo requerido por el artículo 18° de la LPDP. (…)”

82. Sobre los documentos vinculados al tratamiento de datos personales de clientes denominados “Talón de servicio técnico”, “Constancia de entrega” y “Solicitud de despacho”, este Despacho observa que la administrada, con posterioridad a la notificación de cargos, presentó dichos formularios modificados a efectos de incluir en los mismos la Política de Privacidad actualizada al 23 de julio de 2019 (Folios 929 a 934 y Folios 114 a 116). 83. Analizada la Política de Privacidad este Despacho advierte que respecto al plazo de conservación de los datos personales hace uso de un término amplio al señalar que “los datos personales tratados por Falabella Perú serán almacenados indeterminadamente, sin perjuicio de que el titular de los datos pueda ejercer en cualquier momento los derechos

mencionados en el numeral IX de esta política”, siendo que no se le permite conocer a los titulares de los cuales se recaba su información personal por lo menos un plazo aproximado de conservación necesario para el cumplimiento de las finalidades de tratamiento permitidas dentro de la ejecución de la relación contractual y/o de consumo con el cliente. En lo que concierne al resto de elementos, este Despacho concuerda con la DFI al señalar que la Política de Privacidad modificada cumple con informar lo requerido por el artículo 18 de la LPDP. A efectos de verificar, si hubo alguna adecuación respecto al tiempo de conservación, este Despacho efectuó una revisión de oficio el 8 de marzo de 2021 de la Política de Privacidad42 contenida en el sitio web de la administrada https://www.falabella.com.pe/ tal cual se remite en el formato impreso; corroborándose que el texto vigente es el actualizado al 23 de julio de 2019. 84. Por lo expuesto en los considerandos 82 y 82 anteriores, este Despacho considera que se ha configurado una acción de enmienda parcial, la misma que será tomada en cuenta al momento de graduar la sanción a imponer. 82. Respecto al formulario “Constancia de retiro en tienda” la administrada señaló que era un documento utilizado por el área de prevención para dejar constancia que el producto que se recoge en tienda se compró en la página web. Al tratarse de un

42 Folio 1125 a 1127

https://www.falabella.com.pe/



Página 25 de 61

documento de control vinculado a una compra realizada por un canal virtual, medio por el cual se recopilan los datos personales vinculados a la compra, este Despacho considera que la obligación de informar corresponde al sitio web como canal de recopilación. En tal sentido, el tratamiento de datos vinculado al formulario “Constancia de retiro en tienda” no será objeto de sanción, debiendo sustraerse del análisis de ilicitud. 83. Respecto al Contrato de Afiliación al programa lista de novios Falabella / Crate&Barrel (572 a 579), corresponde analizar si la Política de Privacidad a la cual se remite el formato modificado de contrato presentado por la administrada en su escrito de descargos a la RD de Inicio (Folios 913 a 918) cumple con levantar las observaciones realizadas por la DFI respecto a que en el Contrato de Afiliación al programa lista de novios Falabella / Crate&Barrel se omitía informar sobre i) La identidad de los destinatarios de los datos personales (al no señalar las empresas vinculadas filiales, asimismo, la DFI advirtió que es ambiguo al señalar lo siguiente: [...] sean estas empresas

constituidas en el Perú o en el extranjero [...]' , ii) La finalidad de la transferencia de los datos personales a terceros, y iii) El tiempo de conservación de los datos personales (al respecto la DFI señaló que era ambigua la referencia a: "[...] El programa recopila,

almacena, gestiona, administra y. procesa los datos personales de los NOVIOS (...), durante el tiempo necesario para cumplir con las obligaciones previstas en el mismos[...]”) 84. De la revisión del nuevo formato de contrato y la Política de Privacidad actualizada al 23 de julio de 2019, presentados con el escrito de descargos a la RD de Inicio, este Despacho observa que la administrada realizó adecuaciones en el formato de contrato y precisiones en la Política de Privacidad que permiten levantar las observaciones realizadas respecto a i) la identidad de los destinatarios de los datos personales (siendo que en la Política de Privacidad se señala la relación de proveedores que realizarán tratamiento de datos como encargados, así como la identidad de las empresas que forman parte del Grupo Falabella a las que podrán transferirse los datos para finalidades comerciales y publicitarias que sean expresamente autorizadas por sus titulares) y ii) se especifica claramente que la finalidad de transferencia de datos a terceros para fines comerciales o publicitarios únicamente operará cuando el titular de los datos lo haya autorizado expresamente. Respecto, al tiempo de conservación, este Despacho considera que la nueva redacción es clara en señalar que la administrada almacenará o conservará los datos hasta que cumpla con las obligaciones a las que se ha comprometido en el contrato de afiliación. Cabe señalar que, para la afiliación, los novios entregan una fecha determinada de matrimonio, luego de lo cual recibirán los beneficios del programa, una vez terminado el cumplimiento, cesa la finalidad de la afiliación, y por lo tanto el cese de la conservación de los datos. 85. Respecto al formulario “Solicitud de liquidación y premio”, al estar dicho documento vinculado a la ejecución del Contrato de Afiliación al programa lista de novios Falabella / Crate&Barrel este Despacho considera que no es necesario informar nuevamente las condiciones y/o características del tratamiento de los datos en dicho formulario. En tal sentido, el tratamiento de datos vinculado al formulario “Solicitud de liquidación y premio” no será objeto de sanción, debiendo sustraerse del análisis de ilicitud. 86. En lo relacionado a los documentos vinculados al tratamiento de datos personales de trabajadores:



Página 26 de 61

▪ Elección de sistema de pensiones (AFP) compensación por tiempo de servicios (CTS y cuenta sueldo) (f.590)

▪ Declaración jurada sin vínculo laboral durante el año en curso (f.592) ▪ Compromiso de actualización de datos (f.593) ▪ Declaración jurada de domicilio (f.594) ▪ Actualización de información (f.595) ▪ Declaración jurada diferencia entre la AFP y la ONP (f.599) ▪ Autorización de descuento por planilla (f.600) ▪ Declaración de beneficiarios para seguro de vida obligatorio para personal

empleado (f.601) ▪ Requisitos proceso de pre-selección (f.602); y ▪ Cargo de recepción “manual de ingreso” (f.603);

87. Este Despacho advierte que los mismos forman parte integrante de la documentación necesaria a suscribir para el inicio de una relación laboral, motivo por el cual y considerando que la administrada cuenta con un documento informativo sobre el tratamiento de datos personales denominado “Declaración de consentimiento de captación de tratamiento de datos personales para empleados” bastaría que en este documento se cumpla con el deber de informar conforme a lo requerido por el artículo 18 de la LPDP. En tal sentido, este Despacho centrará el análisis respecto al tratamiento de datos de trabajadores únicamente respecto al formulario “Declaración de consentimiento de captación de tratamiento de datos personales para empleados, correspondiendo sustraer del análisis de ilicitud al resto de formularios que integran este extremo de la imputación.

88. Respecto al documento “Declaración de consentimiento de captación de tratamiento de datos personales para empleados” (Folio 596), corresponde analizar si la Política de Privacidad a la cual se remite el formato modificado del documento (se incluyó en la parte inferior la siguiente mención: "Declaro conocer la política de privacidad a la que están sujetos los datos personales contenidos en el presente documento. Dicha política de privacidad

se encuentra adjunta al final de este paquete de ingreso") presentado por la administrada en su escrito de descargos a la RD de Inicio (Folios 920 a 921)cumple con levantar las observaciones realizadas por la DFI respecto a que en la “Declaración de consentimiento de captación de tratamiento de datos personales para empleados” se omitía informar sobre i) las finalidades del tratamiento (al considerar que existía una falta de claridad respecto a las mismas), ii) la existencia del banco de datos (denominación y código de inscripción en el RNPDP), iii) la identidad de los destinatarios de los datos personales (detalle de las empresas subsidiarias, afiliadas y/o vinculadas y/o terceros a los que van a ceder los datos), iv) la transferencia de los datos personales que se efectúen y v) el tiempo de conservación de los datos personales.

89. De la revisión conjunta del nuevo formato de Declaración y la Política de Privacidad actualizada al 23 de julio de 2019, presentados con el escrito de descargos a la RD de Inicio, este Despacho observa que la administrada realizó adecuaciones en el formato de Declaración y precisiones en la Política de Privacidad que permiten levantar las observaciones realizadas respecto a i) las finalidades de tratamiento de los datos personales de los trabajadores únicamente para fines estrictamente vinculados a la relación laboral, ii) se especificó la existencia del banco de datos “Recursos Humanos” donde se almacenan los datos de los trabajadores, así como el código de inscripción, iii) se especificó la identidad de los destinatarios de los datos personales (siendo que en la Política de Privacidad se señala la relación de proveedores que realizarán tratamiento de datos como encargados, así como la identidad de las empresas que forman parte del



Página 27 de 61

Grupo Falabella a las que podrán transferirse los datos para finalidades comerciales y publicitarias que sean expresamente autorizadas por sus titulares), y iv) se especifica claramente que la finalidad de transferencia de datos a terceros para fines comerciales o publicitarios únicamente operará cuando el titular de los datos lo haya autorizado expresamente. Sin embargo, respecto a v) el tiempo de conservación, se señala que será indeterminado, no lo relaciona a una finalidad específica que pueda dar al titular del dato personal información sobre el periodo de tiempo, por lo que este Despacho considera que no se ha cumplido con informar sobre el periodo de tiempo.

90. Respecto al tratamiento de datos a través del sistema denominado “Cronos 2.2” de la documentación obrante en el expediente se puede verificar que dicho sistema no trata datos personales de clientes sino que es utilizado por personal interno de recursos humanos de la administrada para la verificación de antecedentes penales y policiales de los postulantes a empleos; motivo por el cual se extraerá del análisis de ilicitud, no siendo materia de sanción respecto a este extremo de la imputación.

91. Respecto al tratamiento de datos a través del sistema denominado “POS” este Despacho considera exceptuarlo del análisis de ilicitud, toda vez que procesa los pagos efectuados por el cliente en virtud de una compra realizada, siendo el momento previo a dicha compra en el que corresponde informar lo requerido en el artículo 18 de la LPDP, sea de manera física (por ejemplo, a través de la publicación de la Política de Privacidad en el establecimiento de compra) o a través de la publicación de la Política de Privacidad en el sitio web, en caso de compra virtual. 92. En relación al sistema “OMS” también corresponde exceptuarlo del análisis de ilicitud respecto al deber de informar, toda vez que la finalidad de dicho sistema conforme se desprende del expediente es gestionar las órdenes y pedidos de los productos que han sido comprados por internet a efectos de poder hacer la entrega física de los mismos en tienda y no recopilar datos personales del cliente directamente. En tal sentido, al tratarse de una herramienta de acceso y uso interno, el mismo que es usado por personal de la administrada para el procesamiento de información obtenida a través del sitio web de la administrada al momento en que el cliente concreta una compra, este Despacho considera que el deber de informar corresponde a través del canal y/ medio de compra (siendo en este caso el sitio web a través de la Política de Privacidad) 93. Sobre el sistema “Siebel CRM” se observa que se trata de una herramienta de acceso y uso interno, el mismo que es empleado por personal de la administrada para el procesamiento de información obtenida previamente a través de diversos medios como el libro de reclamaciones y el sistema Amanda (Chat de asistente virtual) para la gestión y atención de reclamos (Folios 636 y 637) según la verificación realizada en la tercera visita de fiscalización (Folios 605 a 663), motivo por el cual corresponde cumplir con el deber de informar a través del canal y/o medio de recopilación directa de los datos personales (siendo en este caso el sitio web a través de la Política de Privacidad). 94. Finalmente, acerca del sistema SRX ERP sistema para la venta y gestión de productos se aprecia que dicho sistema es empleado para recabar datos personales del cliente y novios de manera directa conforme fuera declarado por la administrada y constatado en la segunda visita de fiscalización (Folios 544 a 604). Según lo descrito en la Tabla de tratamiento de datos personales de clientes de los sistemas de la administrada (Folio 565), a través del sistema SRX ERP (módulos F11 y F12) el vendedor recopila datos personales del cliente y a través del sistema SRX ERP (módulo



Página 28 de 61

Novios) la anfitriona recopila datos personales del cliente. Ahora bien, como ya ha sido expuesto previamente, la recopilación de los datos de aquellos clientes que forman parte del programa de novios suscriben un contrato de afiliación (Contrato de Afiliación al programa lista de novios Falabella / Crate&Barrel) a través del cual correspondería informar lo requerido por el artículo 18 de la LPDP, conforme fue analizado en su oportunidad. 95. Distinto, es el caso para el tratamiento de los datos a través del sistema SRX ERP (módulos F11 y F12) donde no se ha evidenciado que el vendedor cumpla con informar a los clientes sobre las condiciones de tratamiento de sus datos personales previamente a la recopilación de los mismos con motivo de la compra de productos de manera presencial, resultando responsable la administrada por este extremo integrante de la imputación. 96. En consecuencia, a criterio de este Despacho el incumplimiento de la obligación de informar según los términos del artículo 18 de la LPDP respecto a los sistemas de tratamiento automatizado de datos personales de clientes imputados debe ser sancionado únicamente considerando el “Sistema SRX ERP (módulos F11 y F12)” 97. Por lo expuesto, este Despacho concluye que la administrada ha infringido la obligación de informar establecida en el artículo 18 de la LPDP e imputada por la DFI respecto a i) el contrato modelo de sesión de fotos (“Contrato de locación de servicios de modelaje” y “contrato modelo sesión fotos Estudio E-Commerce"); y (ii) de los formatos físicos (respecto al tratamiento de datos de clientes: “Talón de servicio”, “Constancia de entrega”, “Solicitud de Despacho” y Contrato de Afiliación al programa lista de novios Falabella / Crate&Barrel” y respecto al tratamiento de datos de trabajadores: “Declaración de consentimiento de captación de tratamiento de datos personales para empleados”) y sistema automatizado (respecto al tratamiento de datos de clientes: “Sistema SRX ERP (módulos F11 y F12)”; conforme lo desarrollado en los considerandos anteriores, habiéndose configurado acciones de enmienda para la graduación de la sanción correspondiente al Hecho Imputado N°2. Sobre el presunto incumplimiento por no haber inscrito en el RNPDP los bancos de datos personales de: "prospectos de clientes", “libro de reclamaciones", "usuarios del sitio web" y “novios” detectados en la fiscalización. 98. El artículo 34 de la LPDP dispuso la creación del RNPDP, que tiene entre sus finalidades inscribir los bancos de datos personales de administración pública o privada; así también, permite que cualquier ciudadano realice en él consultas sobre la existencia y finalidad de los bancos de datos personales inscritos, así como sobre la identidad y domicilio de sus titulares. 99. Por su parte, el artículo 78 del Reglamento de la LPDP establece el carácter obligatorio de la inscripción en el mencionado registro de los bancos de datos personales que las entidades generen: “Artículo 78.- Obligación de inscripción. Las personas naturales o jurídicas del sector privado o entidades públicas que creen, modifiquen o cancelen bancos de datos personales están obligadas a tramitar la inscripción de estos actos ante el Registro Nacional de Protección de Datos Personales.”



Página 29 de 61

100. Mediante la RD de Inicio, la DFI imputó a la administrada no haber inscrito en el RNPDP los bancos de datos personales de: "prospectos de clientes", “libro de reclamaciones", "usuarios del sitio web" y “novios”. A saber, en el Informe de Fiscalización (Folios 718 reverso y 719) indicó lo siguiente: “5.5 Inscripción en el Registro Nacional de Protección de Datos Personales Banco de datos personales

a) Durante la visita de fiscalización que consta en el Acta de fiscalización N° 01- 2019 (f. 535), detectaron que la administrada cuenta con ocho (8) bancos de datos personales: prospecto de clientes, clientes, videovigilancia, proveedores, recursos humanos (Postulantes y trabajadores) prevención y seguridad, libro de reclamaciones, y usuarios del sitio web.

(…) e) Por otro lado, de las actuaciones de instrucción, se constató de oficio que la administrada

recopila datos de las personas que suscriben el "Contrato de afiliación al programa lista de novios Falabella / Crate&Barrel" (f. 572 a 579), que forman parte del banco de datos personales de NOVIOS de titularidad de la administrada, conforme se aprecia a fojas 572.

f) Por lo tanto, se advierte que la administrada no ha cumplido con inscribir ante el Registro Nacional de Protección de Datos Personales los bancos de datos personales denominados: prospecto de clientes; libro de reclamaciones; usuarios del sitio web; y novios, detectados en la fiscalización.

(…)

101. En su escrito de descargos a la RD de Inicio, la administrada señaló que no existe una base legal para que los bancos de datos "prospectos de clientes", “libro de reclamaciones", "usuarios del sitio web" y “novios” detectados en la fiscalización tengan que estar inscritos en bancos de datos diferentes o independientes, señalando que en su caso los datos personales se encuentran contenidos en su banco de datos inscrito en el RNPDP denominado “Clientes”. Al respecto, como ha sido referido por la DFI en el Informe Final de Instrucción, cabe señalar que el artículo 78° del Reglamento de la LPDP ni ningún otro artículo de la normativa de protección de datos personales exige que los medios a través de los cuales se recaban los datos personales, deban ser inscritos como bancos de datos personales independientes. Lo que es de obligatorio cumplimiento para un titular de banco de datos personales es que al momento de inscribir un banco ante el RNPDP señale la finalidad del tratamiento, los usos previstos, tipos de datos que recaba, la fuente, el soporte, el procedimiento, entre otros, para que de esta manera la Autoridad, independientemente de la denominación del banco de datos, conozca las actividades de tratamiento de un responsable. 102. De una revisión de oficio al sitio web del RNPDP realizada por este Despacho con fecha 10 de marzo de 2021 (Folio 1128) se puede apreciar que la administrada únicamente ha inscrito el banco de datos imputado de libro de reclamaciones, bajo la denominación “Quejas y Reclamos” (código RNPDP-PJP N° 18572). Efectivamente, mediante Resolución Directoral Nº 1183-2020-JUS/DGTAIPD-DPDP de 7 a de agosto de 2020 (Folio 1129 a 1130) se inscribió el banco de datos “Quejas y Reclamos” cuya solicitud de inscripción fue presentada por la administrada ante el RNPDP el día 31 de



Página 30 de 61

enero de 2020; motivo por el cual dicha actuación será considerada como una acción de enmienda. 103. Respecto al banco de datos de “novios”, de la documentación obrante en el expediente este Despacho observa que la finalidad de la recopilación de los datos personales de los novios sí puede formar parte del banco de datos de clientes, toda vez que la finalidad de recopilación es para dar cumplimiento a la relación contractual del "Contrato de afiliación al programa lista de novios Falabella / Crate&Barrel" por lo que resulta razonable incluirlo en el banco de datos de Clientes. En tal sentido, la no inscripción del banco de datos de “novios” no será objeto de sanción, debiendo sustraerse del análisis de ilicitud. 104. En lo que concierne a los bancos de datos de "prospectos de clientes" y “usuarios del sitio web” la administrada señaló que con fecha 31 de enero de 2020 presentó una solicitud de modificación de banco de datos de Clientes ante el RNPDP para ampliar la finalidad de dicho banco a efectos de incluir los bancos de datos de prospectos de clientes, novios y usuarios del sitio web (Folios 958 a 965). Sin embargo, conforme la administrada mencionara en su escrito de descargos al IFI, la solicitud de modificación fue observada mediante el oficio N°726-2020-JUS/DGTAIPD/DPDP, toda vez que lo que correspondía es que se inscriba bancos de datos distintos para finalidades distintas (Folio 1091). Adicionalmente, este Despacho pudo verificar que con fecha 12 de marzo de 2021 se emitió la Resolución Directoral Nº 430-2021-JUS/DGTAIPD-DPDP (Folios 1131 a 1132) respecto a una nueva solicitud de modificación de inscripción del banco de datos de Clientes, a efectos de incorporar el flujo transfronterizo que realiza a Falabella Tecnología Corporativa Ltda. y modificar el rubro de medidas de seguridad, no existiendo hasta la fecha de emisión solicitudes en trámite de inscripción de nuevos bancos de datos personales. A pesar de que la administrada tuvo conocimiento de las observaciones realizadas sobre la necesidad de inscripción de bancos de prospectos de clientes y de usuarios de sitio web, no ha cumplido con presentar las solicitudes de inscripción de los bancos de datos advertidos en la fiscalización, con lo cual continúa infringiendo la norma imputada. 105. En consecuencia, este Despacho considera que la administrada sí ha incurrido en el supuesto de hecho infractor imputado, debiendo tomarse en consideración la acción de enmienda parcial realizada respecto a regularizar la inscripción de uno (de “Quejas y Reclamos”) de los bancos de datos imputados. Sobre el presunto incumplimiento de las medidas de seguridad establecidas normativamente 106. El artículo 9° de la LPDP señala el principio de seguridad como uno de los principios rectores de la protección de datos personales: “Artículo 9. Principio de seguridad El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate.”



Página 31 de 61

107. En ese marco, el artículo 16° de la LPDP establece la obligación de adoptar medidas de seguridad para el tratamiento de datos personales: “Artículo 16. Seguridad del tratamiento de datos personales Para fines del tratamiento de datos personales, el titular del banco de datos personales debe adoptar medidas técnicas, organizativas y legales que garanticen su seguridad y eviten su alteración, pérdida, tratamiento o acceso no autorizado. (…) Queda prohibido el tratamiento de datos personales en bancos de datos que no reúnan los requisitos y las condiciones de seguridad a que se refiere este artículo.”

108. En la RD de Inicio se le imputó a la administrada no haber cumplido con implementar las medidas de seguridad para el tratamiento de datos personales al:

A. No generar ni registrar la interacción lógica del banco de datos personales de clientes. Obligación establecida en el numeral 2 del artículo 39° del Reglamento de la LPDP.




Sobre el incumplimiento del numeral 2 del artículo 39° del Reglamento de la LPDP 109. Respecto de las medidas de seguridad a adoptarse en el tratamiento de datos personales en soporte automatizado, el Reglamento de la LPDP señala lo siguiente: “Artículo 39.- Seguridad para el tratamiento de la información digital. Los sistemas informáticos que manejen bancos de datos personales deberán incluir en su funcionamiento: (…) 2 Generar y mantener registros que provean evidencia sobre las interacciones con los datos lógicos, incluyendo para los fines de la trazabilidad, la información de cuentas de usuario con acceso al sistema, horas de inicio y cierre de sesión y acciones relevantes. Estos registros deben ser legibles, oportunos y tener un procedimiento de disposición, entre los que se encuentran el destino de los registros, una vez que éstos ya no sean útiles, su destrucción, transferencia, almacenamiento, entre otros. Asimismo, se deben establecer las medidas de seguridad relacionada con los accesos autorizados a los datos mediante procedimientos de identificación y autentificación que garanticen la seguridad del tratamiento de datos personales”

110. De lo anterior se desprende que es obligatorio generar y mantener registros que provean evidencia sobre las interacciones con el sistema, incluyendo para los fines de la trazabilidad, la información de cuentas de usuario con acceso al sistema, horas de inicio y cierre de sesión y acciones relevantes. 111. Mediante el Informe Técnico N°82-2019-DFI-ETG (Folio 668), el Analista de Fiscalización en Seguridad de la Información de la DFI concluyó que la administrada no genera ni mantiene registros de evidencias producto de la interacción lógica, incumpliendo con el numeral 2 del artículo 39° del Reglamento de la LPDP:



Página 32 de 61

“IV. Evaluación Del Cumplimento de las Medidas de Seguridad. (...) 2. Respecto a generar y mantener registros de interacción lógica con el banco de datos personales automatizado de clientes, se verificó que SAGA FALABELLA S.A. no evidencia generar registros de interacción lógica en los sistemas que realizan tratamiento de datos personales de clientes (f. 551). (…) En ese sentido, SAGA FALABELLA S.A. no cumple con la disposición mencionada. (...) V. Conclusiones (…) 5. SAGA FALABELLA S.A., no genera ni mantiene registros de interacción lógica respecto a los sistemas que realizan tratamiento del banco de datos personales de clientes, incumpliendo con el numeral 2 del artículo 39° del Reglamento de la LPDP.

112. Posteriormente, la administrada mediante el documento ingresado con Hoja de Trámite N° 44176-2019MSC del 21 de junio de 2019, manifiesta que cumple con lo requerido (f. 722 a 763).

113. Al respecto, el analista de fiscalización en seguridad de la información a través del Informe Técnico N° 236-2019-DFI-VARS (f. 831 reverso), señaló lo siguiente: "II. Evaluación de la Información (...) 3. Respecto a generar y mantener registros de interacción lógica con el banco de datos personales automatizado de clientes, se verificó que SAGA FALABELLA S.A. a través de la documentación presentada mediante Hoja de Trámite n.° 44176-2019MSC, hace referencia a los registros de interacción lógica sin embargo, remitió registros de copias de respaldo de bases de datos. Por lo que incumple con el numeral 2 del artículo 39° del Reglamento de la LPDP. (…) III. Conclusiones (...) Segunda: SAGA FALABELLA S.A. no ha acreditado cumplir con la implementación de los registros de interacción lógica de los usuarios en los sistemas que realizan tratamiento de datos personales del banco de datos fiscalizado, incumpliendo con el numeral 2 del artículo 39° del Reglamento de la LPDP.”

114. De lo citado, se colige que la administrada no había implementado las medidas de seguridad establecidas en el numeral 2 del artículo 39° del Reglamento de la LPDP, lo que motivó su inclusión en el extremo A del supuesto de hecho N°4 imputado en la RD de Inicio.

115. De la evaluación de la documentación técnica presentada por la administrada en su escrito de descargos a la RD de Inicio con fecha 3 de febrero de 2020, el Analista de Fiscalización en Seguridad de la Información de la DFI emitió el Informe Técnico N°066-2020-DFI-VARS (Folios 1025 a 1026), reportando lo siguiente: “ II. EVALUACION DE LA INFORMACION 1. Respecto a generar y mantener registros de interacción lógica de los sistemas fiscalizados SIEBEL CRM, SRX ERP, OMS, POS, y CRONOS, a través del cual realizan tratamiento de datos personales del banco de datos de clientes, SAGA FALABELLA S.A. en la documentación presentada mediante la Hoja de Trámite n° 7372-2020MSC, remitió un USB que contiene información en archivos de Microsoft Excel respecto a los registros de interacción lógica de los sistemas OMS, SIEBEL CRM, SRX ERP.



Página 33 de 61

2. Luego de verificar los archivos remitidos por la entidad fiscalizada, se verificó que dichos archivos carecen de explicación y/o leyenda para su entendimiento. Sin embargo, se constató que los registros de interacción lógica del sistema OMS están relacionados a los inicios de sesión faltando evidenciar los registros de cierre de sesión y acciones relevantes. En cuanto al sistema SRX ERP se verificó que los registros de interacción lógica se encuentran relacionado a las acciones relevantes faltando evidencias de los inicios y cierre de sesión de los usuarios. Respecto al sistema SIEBEL CRM se verificó que los registros remitidos se encuentran relacionado a la creación de usuarios, no evidenciando los inicios de sesión, cierre de sesión y acciones relevantes. En cuanto a los sistemas restantes, la entidad fiscalizada informó que el sistema POS no genera registros de interacción lógica debido a que las operaciones realizadas son acumuladas en un archivo encriptado, el sistema CRONOS no está en la posibilidad de presentar los registros de interacción lógica debido a la empresa ANDRICK CONSULTORES SAC, posee la licencia de uso y está obligada a implementar medidas de seguridad y privacidad. Por lo que, SAGA FALABELLA S.A. no cumple con la obligación establecida en el numeral 2 del artículo 39° del Reglamento de la LPDP. 3. Es importante señalar que los registros de interacción lógica, son aquellos que se generan producto de la interacción que tienen los usuarios con los sistemas fiscalizados con fines de la trazabilidad, dicho registros de interacciones lógicas requeridas son los inicios de sesión, cierre de sesión y acciones relevantes de los usuarios de los sistemas fiscalizados. (…) III. CONCLUSIONES (…) Primero SAGA FALABELLA S.A. no ha acreditado cumplir con la implementación de los registros de interacción lógica de los usuarios que realizan tratamiento de datos personales a través de los sistemas fiscalizados, incumpliendo con el numeral 2 del artículo 39° del Reglamento de la LPDP. (…)”

116. Respecto al sistema “Cronos”, DFI ha verificado que la obligación de implementar las medidas de seguridad de este sistema es la empresa ANDRICK CONSULTORES SAC. 117. Respecto al tratamiento de datos a través del sistema denominado “POS” este Despacho considera exceptuarlo del análisis de ilicitud, toda vez que únicamente procesa los pagos efectuados por el cliente en virtud de una compra realizada, siendo que como señala la administrada tiene únicamente un rol de pasarela de información a su sistema para la venta y gestión de productos SRX, correspondiendo la obligación de cumplimiento de la medida de seguridad imputada respecto de este último sistema al que está vinculado el POS. 118. Por lo expuesto, respecto a la medida de seguridad imputada en el literal A, a criterio de este Despacho ha quedado acreditada la comisión de la infracción respecto a los sistemas SIEBEL CRM, SRX ERP y OMS. Sobre el incumplimiento del primer párrafo del artículo 40° del Reglamento de la LPDP 119. El artículo 40° del Reglamento de la LPDP en su primer párrafo, dispone lo siguiente: “Artículo 40.- Conservación, respaldo y recuperación de los datos personales. Los ambientes en los que se procese, almacene o transmita la información deberán ser implementados, con controles de seguridad apropiados, tomando como referencia las recomendaciones de seguridad física y ambiental recomendados en la ‘NTP ISO/IEC 17799 EDI.



Página 34 de 61

Tecnología de la Información. Código de Buenas Prácticas para la Gestión de Seguridad de la Información.’ en la edición que se encuentre vigente. (…)”

120. Dicha disposición establece la obligación de adoptar medidas de seguridad físicas en torno al servidor de datos que contenga información personal, a fin de evitar el deterioro o destrucción de este soporte, buscando preservar con ello la integridad, disponibilidad y confidencialidad de tal información. 121. Mediante el Informe Técnico N°82-2019-DFI-ETG (Folio 668), el Analista de Fiscalización en Seguridad de la Información de la DFI concluyó que la administrada dispone de un ambiente donde se almacena, procesa y transmite información de datos personales, el "centro de datos", el mismo que no cuenta con las medidas de seguridad adecuadas, por lo cual incumple con el párrafo primero del artículo 40° del Reglamento de la LPDP: “IV. Evaluación Del Cumplimento de las Medidas de Seguridad. (...) 3. Respecto a la conservación, respaldo y recuperación de los datos personales, SAGA FALABELLA S.A. indica que la custodia y gestión del centro de datos donde se encuentra a cargo del proveedor Adessa y no presenta evidencia de las medidas de seguridad adoptadas para dicho centro de datos (f. 550). Por lo que no estaría cumpliendo con lo establecido en el primer párrafo del artículo 40° del Reglamento de la LPDP el cual indica que (…) En ese sentido, SAGA FALABELLA S.A. no cumple con la disposición mencionada. (...) V. Conclusiones (…) 6. SAGA FALABELLA S.A., dispone de un ambiente donde se almacena, procesa, transmite información de datos personales denominado "centro de datos", sin embargo, no evidencian el cumplimiento de medidas de seguridad en dicho ambiente, por lo cual incumple con el primer párrafo del artículo 40° del Reglamento de la LPDP. (…)".

122. Posteriormente, la administrada mediante los documentos ingresado con Hoja de Trámite N° 44176-2019MSC del 21 de junio de 2019 (Folios 722 a 763) y N° 53405-2019MSC del 25 de julio de 2019 (Folios 766 a 830), manifiesta que cumple con lo requerido. 123. Al respecto, el analista de fiscalización en seguridad de la información a través del Informe Técnico N° 236-2019-DFI-VARS (f. 831 reverso), señaló lo siguiente: "II. Evaluación de la Información (...) 5. Respecto a la implementación de medidas de seguridad en el ambiente donde se procesa, trasmite información de datos personales (centro de datos) SAGA FALABELLA S.A., a través de la documentación presentada mediante los Hojas de Trámites n.° 53405-2019MSC y 44176-2019MSC, no presentó evidencias que acrediten cumplir con lo establecido en el primer párrafo del artículo 40 del Reglamento de la LPDP.

(…) III. Conclusiones (...) Tercero: SAGA FALABELLA S.A., no ha acreditado cumplir con la implementación de medidas de seguridad en el centro de datos, incumpliendo con el primer párrafo del artículo 40° del Reglamento de la LPDP. (…)



Página 35 de 61

124. De la evaluación de la documentación técnica presentada por la administrada en su escrito de descargos a la RD de Inicio con fecha 3 de febrero de 2020, el Analista de Fiscalización en Seguridad de la Información de la DFI emitió el Informe Técnico N°066-2020-DFI-VARS (Folios 1025 a 1026), reportando lo siguiente: “ II. EVALUACION DE LA INFORMACION (…) 4. Respecto a la implementación de medidas de seguridad en el ambiente donde se procesa, trasmite información de datos personales (centro de datos) SAGA FALABELLA S.A., a través de la Hoja de Trámite n° 7372-2020MSC, presentó los documentos denominados "servicio de housing en DC CDLV", "KPMG empresa nacional de comunicaciones S.A. informe de advisory" y "Guía de apoyo para la gestión de requerimientos de clientes housing". 5. Luego de revisado la documentación presentada por la entidad fiscalizada, se verificó que el centro de datos cumple con las medidas de seguridad debido a que adjuntan evidencias de certificaciones y los controles de seguridad implementados. 6. Sin embargo, se precisa que los sistemas fiscalizados son SIEBEL CRM, SRX ERP, OMS, POS, y CRONOS. Según lo verificado en el procedimiento de fiscalización (Folios 535 y 536) los sistemas que estarían comprendidos dentro del servidor (housing) de datos de su casa matriz son SIEBEL CRM, SRX ERP y OMS. Por lo que se verificó que falta evidenciar las medidas de seguridad del ambiente donde se encuentra el servidor físico de los sistemas POS, y CRONOS. En consecuencia, SAGA FALABELLA S.A., no ha evidenciado las medidas de seguridad del ambiente donde se encuentra el servidor físico de los sistemas POS, y CRONOS incumpliendo con lo establecido en el primer párrafo del artículo 40° del Reglamento de la LPDP.

(...) III. CONCLUSIONES (…) Segundo SAGA FALABELLA S.A. no ha acreditado cumplir con la implementación de medidas de seguridad en el centro de datos de los sistemas POS, y CRONOS, incumpliendo con el primer párrafo del artículo 40° del Reglamento de la LPDP. (…)”

126. Respecto a los sistemas “Cronos” y “POS” nos remitimos a lo expuesto en los considerandos 116 y 117 anteriores, debiendo sustraerse del análisis de ilicitud, no siendo materia de sanción respecto a estos dos sistemas. 127. Considerando lo señalado por la administrada, así como la documentación que ha sido presentada al respecto, la administrada mantiene su centro de datos en Chile y este es gestionado por la empresa Falabella Tecnología Corporativa Limitada, la misma que a su vez conforme lo declarado por la administrada contrata el servicio de housing a la Empresa Nacional de Telecomunicaciones S.A.- Entel Chile. En tal sentido la documentación presentada en los descargos a la RD de Inicio evidencia, tal como ha sido referido en el Informe Técnico N°066-2020-DFI-VARS, que el centro de datos que contienen los sistemas SIEBEL CRM, SRX ERP y OMS cumplen con las medidas de seguridad físicas en torno al servidor de datos que contiene la información personal. Los documentos evaluados por la DFI "servicio de housing en DC CDLV", "KPMG empresa nacional de comunicaciones S.A. informe de advisory" y "Guía de apoyo para la gestión de requerimientos de clientes housing" contienen auditorías de seguridad por un período de enero a diciembre de 2018, es decir, desde antes de la fecha de notificación de cargos vienen cumpliendo con la medida de seguridad imputada. 128. Por lo expuesto, este Despacho considera declarar infundada este extremo B de la imputación que forma parte integrante del Hecho Imputado N°4.



Página 36 de 61

Sobre el incumplimiento del segundo párrafo del artículo 40° del Reglamento de la LPDP 129. El artículo 40° del Reglamento de la LPDP en su segundo párrafo, dispone lo siguiente: “Artículo 40.- Conservación, respaldo y recuperación de los datos personales. (…) Adicionalmente, se deben contemplar los mecanismos de respaldo de seguridad de la información de la base de datos personales con un procedimiento que contemple la verificación de la integridad de los datos almacenados en el respaldo, incluyendo cuando sea pertinente, la recuperación completa ante una interrupción o daño, garantizando el retorno al estado en el que se encontraba al momento en que se produjo la interrupción o daño.”

130. De lo anterior se desprende que, para el tratamiento de datos personales en soportes automatizados, es necesario implementar mecanismos de respaldo de seguridad de la información del banco de datos personales. 131. Mediante el Informe Técnico N°82-2019-DFI-ETG (Folio 668), el Analista de Fiscalización en Seguridad de la Información de la DFI concluyó que la administrada no evidencia realizar copias de respaldo del banco de datos personales de clientes de los sistemas que efectúan tratamiento por lo cual incumple con el párrafo segundo del artículo 40° del Reglamento de la LPDP: “IV. Evaluación Del Cumplimento de las Medidas de Seguridad. (...) 4. Respecto a garantizar el respaldo del banco de datos personales de clientes. SAGA FALABELLA S.A. no evidencia realizar copias de respaldo del banco de datos personales de clientes (f. 551). Por lo que, SAGA FALABELLA S.A. no cumple el segundo párrafo del artículo 40° del Reglamento de la LPDP que indica (…) En ese sentido, SAGA FALABELLA S.A. no cumple con la disposición mencionada. (…) V. Conclusiones (…) 7. SAGA FALABELLA S.A., no evidencian realizar las copias respaldo del banco de datos personales de clientes para los sistemas que realizan tratamiento, por lo cual incumple con el segundo párrafo del artículo 40° del Reglamento de la LPDP. (…)”

132. Posteriormente, la administrada mediante los documentos ingresado con Hoja de Trámite N° 44176-2019MSC del 21 de junio de 2019 (Folios 722 a 763), manifiesta que cumple con lo requerido. 133. Al respecto, el analista de fiscalización en seguridad de la información a través del Informe Técnico N° 236-2019-DFI-VARS (Folio 832), señala lo siguiente: “II. Evaluación de la Información (…) 6. Respecto a la conservación, respaldo y recuperación del banco de clientes en soporte automatizado SAGA FALABELLA S.A., a través de la documentación presentada mediante Hoja de Trámite N.° 44176-2019MSC, remitió evidencia. (folios 742 al 763) de la realización de copias de respaldo de los sistemas SIEBEL y sistema OMS. Sin embargo, en el Informe Técnico n.° 80-2019-DFI-ETG se dejó constancia que los sistemas fiscalizados son: SIEBEL CRM, SRX, ERP,



Página 37 de 61

OMS, POS, y cronos. Por lo que faltaría acreditar la realización de las copias de los sistemas SRX ERP, POS y cronos. En consecuencia, la entidad fiscalizada no ha evidenciado la realización de copias de respaldo de todos los sistemas fiscalizados incumpliendo con lo establecido en el segundo párrafo del artículo 40° del Reglamento de la LPDP. (…) III. Conclusiones. (…) Cuarta: SAGA FALABELLA S.A., no ha acreditado cumplir con las medidas de seguridad referidas a la conservación, respaldo y recuperación del tratamiento automatizado de los sistemas fiscalizados SRX ERP, POS y cronos que conforman el banco de datos de clientes, incumpliendo con el segundo párrafo del artículo 40° del Reglamento de la LPDP”

134. De la evaluación de la documentación técnica presentada por la administrada en su escrito de descargos a la RD de Inicio con fecha 3 de febrero de 2020, el Analista de Fiscalización en Seguridad de la Información de la DFI emitió el Informe Técnico N°066-2020-DFI-VARS (Folios 1025 a 1026), reportando lo siguiente: “ II. EVALUACION DE LA INFORMACION (…) 7. Respecto a la conservación, respaldo y recuperación del banco de datos de clientes en soporte automatizado SAGA FALABELLA S.A., a través de la documentación presentada mediante la Hoja de Trámite n.° 7372-2020MSC, se remitió evidencias de la realización de copias de respaldo del sistema SRX ERP. Sin embargo, se verificó que no remitió evidencias de la realización de copias de respaldo de los sistemas faltantes POS, y CRONOS, ante el cual la entidad fiscaliza informó que considera que dichos sistemas no realizan tratamiento de datos personales y el sistema CRONOS le pertenece a la empresa ANDRICK. Al respecto se precisa que en el Informe Técnico n.° 82- 2019-DFI-ETG se verificó el sistema POS recopila el DNI del cliente (folio 588), y en el sistema CRONOS se recopilan: RUC a facturar, empresa a facturar, DNI del solicitante, apellido paterno, apellido materno, nombres, dirección y teléfono. En consecuencia, la entidad fiscalizada no ha evidenciado la realización de copias de respaldo de los sistemas POS, y CRONOS incumpliendo con lo establecido en el segundo párrafo del artículo 40° del Reglamento de la LPDP. (…) III. CONCLUSIONES (…) Tercero SAGA FALABELLA SA no ha acreditado cumplir con las medidas de seguridad referidas a la conservación, respaldo y recuperación del tratamiento automatizado de los sistemas fiscalizados POS y CRONOS a través del cual realizan tratamiento de datos personales del banco de datos de clientes, incumpliendo con el segundo párrafo del artículo 40° del Reglamento de la LPDP. (…).

135. Respecto a los sistemas “Cronos” y “POS” nos remitimos a lo expuesto en los considerandos 116 y 117 anteriores, debiendo sustraerse del análisis de ilicitud, no siendo materia de sanción respecto a estos dos sistemas. 136. Por lo expuesto, respecto a la medida de seguridad imputada en el literal C, que estaba pendiente de acreditar relacionada al sistema SRX ERP, del anexo 13 presentado en el escrito de descargos al IFI (Folios 1019 a 1020)se aprecia que las copias de seguridad generadas a través de dicho sistema corresponden a un periodo comprendido entre el 1 al 28 de enero de 2020, documento que acredita que viene generando copias de respaldo antes de la fecha de notificación de la RD de Inicio a la administrada (es decir, desde antes del 10 de enero de 2020).



Página 38 de 61

137. En tal sentido, corresponde declarar infundada este extremo C de la imputación que forma parte integrante del Hecho Imputado N°4. Sobre el incumplimiento del artículo 43 del Reglamento de la LPDP 138. Respecto de las medidas de seguridad a adoptarse en el tratamiento de datos personales, el Reglamento de la LPDP señala lo siguiente: "Artículo 43.- Copia o reproducción La generación de copias o la reproducción de los documentos únicamente podrán ser realizadas bajo el control del personal autorizado. Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior. (...)."

139. De lo anterior se desprende que las copias generadas o la reproducción de documentos solo se podrán realizar bajo el control de personal autorizado. 140. Mediante el Informe Técnico N°82-2019-DFI-ETG (Folio 668 reverso y 669), el Analista de Fiscalización en Seguridad de la Información de la DFI concluyó que la administrada no permite restringir la generación de copias o reproducción de documentos “IV. Evaluación Del Cumplimento de las Medidas de Seguridad. (…) 6. Respecto restringir la generación de copias o la reproducción de documentos, SAGA FALABELLA S.A., cuenta con una impresora multifuncional asignada al área de retiro en tienda, la cual no cuenta con contraseña para su acceso, asimismo la computadora del asistente de retiro en tienda cuenta con usuario y contraseña puerto USB, grabador de discos deshabilitados, correo electrónico, servicio de internet restringido y documentación que evidencia la autorización de los privilegios mencionados. (f. 613) (f. 639). En ese sentido la fiscalizada debe presentar evidencia que demuestre que la impresora multifuncional del área de retiro en tienda tenga contraseña de acceso para que pueda acceder a ella solo personal autorizado. Al respecto, el artículo 43° del Reglamento de la LPDP indica (…). En ese sentido SAGA FALABELLA S.A. no cumple con la disposición mencionada.

(...) V. Conclusiones (...) 9. SAGA FALABELLA S.A., no permite restringir la generación de copias o reproducción de documentos, incumpliendo el artículo 43° del Reglamento de la LPDP. (...)”

141. Posteriormente, la administrada presenta los documentos ingresados con Hojas de Trámite N° 44176-2019MSC del 21 de junio de 2019 (Folios 722 a 763) y N° 53405-2019MSC del 25 de julio de 2019 (Folios 766 a 830), manifiesta que cumple con lo requerido. 142. Al respecto, el analista de fiscalización en seguridad de la información a través de su Informe Técnico n.° 236-2019-DFI-VARS (f. 832), señala lo siguiente: "II. Evaluación de la Información (…)



Página 39 de 61

7. Respecto a generación de copias o la reproducción de los documentos los cuales únicamente podrán ser realizadas bajo control del personal autorizado, SAGA FALABELLA S.A., a través de la documentación presentada mediante las Hojas de Trámite n.° 53405-2019MSC y n.° 44176-2019MSC, no presentó evidencias que acreditan cumplir con lo establecido en el artículo 43° del Reglamento de la LPDP. (…) III. Conclusiones (...) Quinta: SAGA FALABELLA S.A., no ha acreditado cumplir con las medidas de seguridad referidas a restringir la generación de copias o la reproducción de documentos, incumpliendo con la obligación dispuesta en el artículo 43° del Reglamento de la LPDP.”

143. De la evaluación de la documentación técnica presentada por la administrada en su escrito de descargos a la RD de Inicio con fecha 3 de febrero de 2020, el Analista de Fiscalización en Seguridad de la Información de la DFI emitió el Informe Técnico N°066-2020-DFI-VARS (Folios 1025 a 1026), reportando lo siguiente: “ II. EVALUACION DE LA INFORMACION (…) 8. Respecto a generación de copias o la reproducción de los documentos los cuales únicamente podrán ser realizadas bajo el control del personal autorizado, SAGA FALABELLA S.A., a través de la documentación presentada mediante la Hoja de Trámites n° 7372MSC, presentó evidencias de las siguientes medidas de seguridad: contraseña para reproducir documentos no automatizados y tiempo de bloqueo para solicitar la credenciales de accesos, las cuales acreditan cumplir con lo establecido en el artículo 43° del Reglamento de la LPDP. III. CONCLUSIONES (…) Cuarto SAGA FALABELLA S.A. ha acreditado cumplir con las medidas de seguridad referidas a restringir la generación de copias o la reproducción de documentos, cumpliendo con la obligación dispuesta en el artículo 43° del Reglamento de la LPDP.”

144. Sin embargo, es preciso tener en cuenta que el artículo 43 del Reglamento de la LPDP sanciona la realización de copias o reproducción de documentos no autorizada, no los riesgos de que puedan generarse dichas copias. Al respecto, DFI ha probado el riesgo de que se realicen dichas copias, más no que se hayan realizado, por lo que este Despacho considera infundado este extremo de la imputación. Sobre las sanciones a aplicar a la infracción 146. La Tercera Disposición Complementaria Modificatoria del Reglamento del Decreto Legislativo N° 1353, modificó el artículo 38 de la LPDP que tipificaba las infracciones a la LPDP y su reglamento, incorporando el artículo 132 al Título VI sobre Infracciones y Sanciones de dicho reglamento, que en adelante tipifica las infracciones. 147. Por su parte, el artículo 39 de la LPDP establece las sanciones administrativas calificándolas como leves, graves o muy graves y su imposición va desde una multa de cero coma cinco (0,5) unidades impositivas tributarias hasta una multa de cien (100)



Página 40 de 61

unidades impositivas tributarias43, sin perjuicio de las medidas correctivas que puedan

determinarse de acuerdo con el artículo 118 del Reglamento de la LPDP44.

148. En el presente caso, se ha establecido la responsabilidad de la administrada por lo siguiente:

i. Realizar tratamiento de datos personales de sus de sus trabajadores (a través del documento "Declaración de consentimiento de captación de tratamiento de datos personales para empleados”) para finalidades adicionales a la ejecución de la relación contractual, sin obtener válidamente el consentimiento de los titulares de los datos personales, al haberse acreditado que la fórmula contenida en los documentos referidos carecía de ser libre, expreso e inequívoco, e informada. Obligación establecida en el artículo 13, numeral 13.5 de la LPDP y el artículo 12 del Reglamento de la LPDP.

ii. Realizar tratamiento de datos personales a través de(i) el contrato modelo de sesión de fotos(“Contrato de locación de servicios de modelaje” y “contrato modelo sesión fotos Estudio E-Commerce"); y (ii) de los formatos físicos (respecto al tratamiento de datos de clientes: “Talón de servicio”, “Constancia de entrega”, “Solicitud de Despacho” y Contrato de Afiliación al programa lista de novios Falabella / Crate&Barrel” y respecto al tratamiento de datos de trabajadores: “Declaración de consentimiento de captación de tratamiento de datos personales para empleados”) y sistema automatizado respecto al tratamiento de datos de clientes: “Sistema SRX ERP (módulos F11 y F12)”; sin informar a los titulares de los datos lo requerido por el artículo 18° de la LPDP.

iii. No haber inscrito en el RNPDP, los bancos de datos personales de: "prospectos de clientes", “libro de reclamaciones" y "usuarios del sitio web”, detectados en la fiscalización. Obligación establecida en el artículo 78° del Reglamento de la LPDP.

iv. No haber cumplido con implementar las medidas de seguridad para el tratamiento de datos personales, al: A. No generar ni registrar la interacción lógica del banco de datos personales

de clientes (respecto a los sistemas SIEBEL CRM, SRX ERP y OMS). Obligación establecida en el numeral 2 del artículo 39° del Reglamento de la LPDP y

D. No restringir la generación de copias o reproducción de documentos. Obligación establecida en el artículo 43° del Reglamento de la LPDP

43 Ley N° 29733, Ley de Protección de Datos Personales “Artículo 39. Sanciones administrativas En caso de violación de las normas de esta Ley o de su reglamento, la Autoridad Nacional de Protección de Datos Personales puede aplicar las siguientes multas: 1. Las infracciones leves son sancionadas con una multa mínima desde cero coma cinco de una unidad impositiva tributaria (UIT) hasta cinco unidades impositivas tributarias (UIT). 2. Las infracciones graves son sancionadas con multa desde más de cinco unidades impositivas tributarias (UIT) hasta cincuenta unidades impositivas tributarias (UIT). 3. Las infracciones muy graves son sancionadas con multa desde más de cincuenta unidades impositivas tributarias (UIT) hasta cien unidades impositivas tributarias (UIT).” 44 Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo Nº 003-2013-JUS “Artículo 118.- Medidas cautelares y correctivas. Una vez iniciado el procedimiento sancionador, la Dirección de Sanciones podrá disponer, mediante acto motivado, la adopción de medidas de carácter provisional que aseguren la eficacia de la resolución final que pudiera recaer en el referido procedimiento, con observancia de las normas aplicables de la Ley Nº 27444, Ley del Procedimiento Administrativo General. Asimismo, sin perjuicio de la sanción administrativa que corresponda por una infracción a las disposiciones contenidas en la Ley y el presente reglamento, se podrán dictar, cuando sea posible, medidas correctivas destinadas a eliminar, evitar o detener los efectos de las infracciones.”



Página 41 de 61

149. Con el objeto de establecer las pautas y criterios para realizar el cálculo del monto de las multas aplicables por infracciones a la normativa de protección de datos personales en el ejercicio de la potestad sancionadora de la Autoridad Nacional de Protección de Datos Personales, mediante Resolución Ministerial N° 0326-2020-JUS, se aprobó la Metodología para el Cálculo de Multas en materia de Protección de Datos Personales45 (en adelante, la Metodología de Cálculo de Multas) 150. A continuación, se procederá a calcular la multa correspondiente a cada una a las infracciones determinadas: Realizar tratamiento de datos personales de sus de sus clientes y trabajadores para finalidades adicionales a la ejecución de la relación contractual, sin obtener válidamente el consentimiento Se ha establecido la responsabilidad de la administrada por realizar tratamiento de datos personales de sus de sus trabajadores, a través del documento "Declaración de consentimiento de captación de tratamiento de datos personales para empleados”, para finalidades adicionales a la ejecución de la relación contractual, sin obtener válidamente el consentimiento de los titulares de los datos personales, al haberse acreditado que la fórmula contenida en los contratos referidos carecía de ser libre, expreso e inequívoco, e informada. Obligación establecida en el artículo 13, numeral 13.5 de la LPDP y el artículo 12 del Reglamento de la LPDP. Consecuentemente, se ha determinado la comisión de la infracción grave tipificada en el literal b), numeral 2, del artículo 132 del Reglamento de la LPDP: "Dar tratamiento a los datos personales sin el consentimiento libre expreso, inequívoco, previo e informado del titular, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley Nº 29733 y su Reglamento". De acuerdo con lo establecido en el inciso 2 del artículo 39 de la LPDP, a dicha infracción corresponde una multa desde más de cinco (5) UIT hasta cincuenta (50) UIT. El beneficio ilícito ha resultado indeterminable, pues en el trámite del procedimiento sancionador no ha sido posible recabar medios probatorios que evidencien que el infractor haya obtenido o que espere obtener al no cumplir con las disposiciones establecidas en materia de protección de datos personales cometiendo la infracción, así como lo que ahorra, ahorraría o pensaba ahorrar cometiendo la infracción (costos evitados). En la medida que el beneficio ilícito resulta indeterminable, para determinar el monto de la multa corresponde aplicar la “multa prestablecida”, cuya fórmula general es:

M = Mb x F, donde:

M Multa preestablecida que corresponderá aplicar en cada caso.

Mb Monto base de la multa. Depende de la gravedad del daño del bien jurídico protegido: variable absoluta y relativa.

F Criterios o elementos agravantes o atenuantes.

45 Documento disponible en: https://bnl.minjus.gob.pe/bnl/.



Página 42 de 61

Bajo la fórmula de la multa prestablecida, el monto de la multa es producto del Monto Base (variable absoluta y la variable relativa) por los factores atenuantes o agravantes que se hayan presentado, conforme al inciso 3 del artículo 248 del TUO de la LPAG46, así como los artículos 125 y 126 del Reglamento de la LPDP. La variable absoluta da cuenta del rango en el que se encontraría la multa aplicable, dependiendo de si es una infracción muy grave, grave o leve. Por su parte, la variable relativa determina valores específicos dependiendo de la existencia de condiciones referidas al daño al bien jurídico protegido, como se aprecia en el siguiente gráfico:

Cuadro 2 Montos base de multas preestablecidas (Mb),

según variable absoluta y relativa de la infracción

Gravedad de la infracción

Multa UIT Variable relativa y monto base (Mb)

Min Máx 1 2 3 4 5

Leve 0.5 5 1.08 2.17 3.25

Grave 5 50 7.50 15.00 22.50 30.00 37.50

Muy grave 50 100 55.00 73.33 91.67

Siendo que en el presente caso se ha acreditado la responsabilidad administrativa de la administrada conforme a la tipificación establecida en el literal b) del numeral 2 del artículo 132 del Reglamento de la LPDP (revistiendo de mayor gravedad el extremo de la imputación referido a que el consentimiento no cumple con la característica de ser libre), corresponde el grado relativo “2”, lo cual significa que la multa tendrá como Mb (Monto base) 15 UIT, conforme al siguiente gráfico:

N° Infracciones graves Grado relativo

2.b Dar tratamiento a los datos personales sin el consentimiento libre, expreso, inequívoco, previo e informado del titular, cuando el mismo sea necesario conforme a lo dispuesto en la Ley N° 29733 y su Reglamento. Datos No sensibles. 2.b.1. No pedir el consentimiento.

3

46 El numeral 3 del artículo 248 del TUO de la LPAG, establece lo siguiente en cuanto al principio de razonabilidad y los criterios de graduación de multas que deben ser observados: “3. Razonabilidad. - Las autoridades deben prever que la comisión de la conducta sancionable no resulte más ventajosa para el infractor que cumplir las normas infringidas o asumir la sanción. Sin embargo, las sanciones a ser aplicadas deben ser proporcionales al incumplimiento calificado como infracción, observando los siguientes criterios que se señalan a efectos de su graduación: a) El beneficio ilícito resultante por la comisión de la infracción; b) La probabilidad de detección de la infracción; c) La gravedad del daño al interés público y/o bien jurídico protegido; d) EI perjuicio económico causado; e) La reincidencia, por la comisión de la misma infracción dentro del plazo de un (1) año desde que quedó firme la resolución que sancionó la primera infracción. f) Las circunstancias de la comisión de la infracción; y g) La existencia o no de intencionalidad en la conducta del infractor.”



Página 43 de 61

2.b.2. Consentimiento no cumple con la característica de ser libre. 2.b.3. Consentimiento no cumple con las demás características. Datos Sensibles. 2.b.4. No pedir el consentimiento. 2.b.5. Consentimiento no cumple con la característica de ser libre. 2.b.6. Consentimiento no cumple con las demás características. Datos Sensibles (salud y biométricos). 2.b.7. No pedir el consentimiento. 2.b.8. Consentimiento no cumple con la característica de ser libre. 2.b.9. Consentimiento no cumple con las demás características.

2 1 4 3 2 5 4 3

Ahora bien, conforme lo expuesto anteriormente, el Mb debe multiplicarse por F que es el valor atribuido a cada uno de los factores agravantes y atenuantes previstos en la normativa pertinente. Según la Metodología de Cálculo de Multas, el valor de F se calculará a partir de la suma de los factores atenuantes y agravantes que se muestra en el Cuadro 3 siguiente. Es decir:

Respecto de los demás elementos agravantes o atenuantes, se han definido los valores para cada uno de ellos, según se muestra en el Cuadro 3 siguiente:



Página 44 de 61

En el presente caso, de los medios probatorios que obran en el expediente no se verifica un perjuicio económico causado. Asimismo, la administrada no es reincidente. El incumplimiento del artículo 13.5 del artículo 13 de la LPDP, debe señalarse que implica la vulneración de uno de los principios del tratamiento de datos personales, como es el principio de Consentimiento, lo que implica atentar contra la persona, al no permitírsele decidir sobre el destino y acciones a efectuar con sus datos personales. Del análisis del caso, y conforme a lo expuesto en la presente Resolución Directoral, en cuanto a las circunstancias de la infracción (f3), corresponde aplicarle las siguientes calificaciones para efectos del cálculo:

- +0.20, toda vez que la conducta infractora generó riesgo a un grupo de personas, es decir, a trabajadores que suscribieron la "Declaración de consentimiento de captación de tratamiento de datos personales para empleados”, en el que no se le permitía decidir de forma libre, expresa e inequívoca e informada si estaba de acuerdo o no con la autorización para que la administrada pueda hacer uso de sus datos personales para finalidades comerciales y publicitarias.

- -0.30, en tanto la administrada realizó un reconocimiento expreso y por escrito del hecho imputado N°1 en su escrito de descargos a la RD de Inicio.

- -0.15, dado que ha presentado acción de enmienda parcial respecto a la infracción, toda vez que posteriormente a la notificación de la RD de Inicio la administrada presentó las adecuaciones a los formatos de "Declaración de consentimiento de captación de tratamiento de datos personales para empleados”.



Página 45 de 61

En total, los factores de graduación suman un total de -25%, así como se muestra en el siguiente cuadro:

Factores de graduación Calificación

f1. Perjuicio económico causado 0%

f2. Reincidencia 0%

f3. Circunstancias f3.2. Cuando la conducta infractora genere riesgo o daño a más de dos personas o grupo de personas f3.7. Reconocimiento de responsabilidad expreso y por escrito de las imputaciones, después de notificado el inicio del procedimiento sancionador. f3.8Colaboración con la autoridad y acción de enmienda parcial, después de notificado el inicio del procedimiento sancionador.

20% -30% -15%

f4. Intencionalidad 0%

f1+f2+f3+f4 -25%

Consecuentemente, el valor de F aplicable para el presente cálculo es de 0.75 Considerando lo señalado anteriormente, luego de aplicar la fórmula prestablecida para el cálculo de la multa, el resultado es el siguiente:

Componentes Valor

Monto base (Mb) 15 UIT

Factor de agravantes y atenuantes (F) 0.75

Valor de la multa 11.25 UIT

Por la existencia del concurso de infracciones detallado en la Segunda Cuestión Previa, debe reiterarse en este punto que la sanción por la responsabilidad derivada del primer hecho infractor en cuanto al consentimiento informado vinculado al documento "Declaración de consentimiento de captación de tratamiento de datos personales para empleados” será subsumida en la sanción de multa correspondiente al hecho imputado N° 2. En tal sentido, y tomando en cuenta que el valor calculado de multa contenido en el cuadro inmediato anterior corresponde a la sanción por un consentimiento inválido por no cumplir con tres de sus características esenciales (esto es: ser libre, expreso e inequívoco, e informado), este Despacho considera razonable realizar una disminución del 33.33% dado que la sanción correspondiente a la característica de informado de la fórmula del consentimiento del documentos "Declaración de consentimiento de captación de tratamiento de datos personales para empleados” será considerada para el cálculo del valor de la multa correspondiente a la infracción tipificada en el literal a) del numeral 2 del artículo 132 del Reglamento de la LPDP. Por lo expuesto en el párrafo anterior, el valor final de la multa a imponer por la comisión de la infracción grave tipificada en el literal b), numeral 2, del artículo 132 del Reglamento de la LPDP: "Dar tratamiento a los datos personales sin el consentimiento libre expreso,



Página 46 de 61

inequívoco, previo e informado del titular, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley Nº 29733 y su Reglamento" queda establecida en siete coma cincuenta unidades impositivas tributarias (7.50UIT) Finalmente, de acuerdo con lo señalado en la Metodología de Cálculo de Multas y en aplicación de lo previsto en el segundo párrafo del artículo 39 de la LDPP, la multa a ser impuesta no puede ser mayor al diez por ciento (10%) de los ingresos brutos anuales que hubiera percibido el infractor durante el ejercicio anterior. Al respecto, cabe señalar que, a pesar de haber sido requerido en la RD Inicio dicha información, la administrada no ha remitido la documentación pertinente. Realizar tratamiento de datos personales a través de i) el contrato modelo de sesión de fotos; y ii) los formatos físicos y sistema automatizado, sin informar a sus titulares lo requerido por el artículo 18 de la LPDP Se ha establecido la responsabilidad de la administrada por realizar tratamiento de datos personales a través de(i) el contrato modelo de sesión de fotos(“Contrato de locación de servicios de modelaje” y “contrato modelo sesión fotos Estudio E-Commerce"); y (ii) de los formatos físicos (respecto al tratamiento de datos de clientes: “Talón de servicio”, “Constancia de entrega”, “Solicitud de Despacho” y Contrato de Afiliación al programa lista de novios Falabella / Crate&Barrel” y respecto al tratamiento de datos de trabajadores: “Declaración de consentimiento de captación de tratamiento de datos personales para empleados”) y sistema automatizado respecto al tratamiento de datos de clientes: “Sistema SRX ERP (módulos F11 y F12)”; sin informar a los titulares de los datos lo requerido por el artículo 18° de la LPDP. Consecuentemente, se ha determinado la comisión de la infracción grave tipificada en el literal a) del numeral 2 del artículo 132 del Reglamento de la LPDP: "No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales reconocidos en el título III de la Ley n.° 29733 y su Reglamento" De acuerdo con lo establecido en el inciso 2 del artículo 39 de la LPDP, a dicha infracción corresponde una multa desde más de cinco unidades impositivas tributarias (5UIT) hasta cincuenta unidades impositivas tributarias (50UIT). El beneficio ilícito ha resultado indeterminable, pues en el trámite del procedimiento sancionador no ha sido posible recabar medios probatorios que evidencien que el infractor haya obtenido o que espere obtener al no cumplir con las disposiciones establecidas en materia de protección de datos personales cometiendo la infracción, así como lo que ahorra, ahorraría o pensaba ahorrar cometiendo la infracción (costos evitados). En la medida que el beneficio ilícito resulta indeterminable, para determinar el monto de la multa corresponde aplicar la “multa prestablecida”, cuya fórmula general es:



Página 47 de 61

M = Mb x F, donde:



F Criterios o elementos agravantes o atenuantes


Cuadro 2 Montos base de multas preestablecidas (Mb),

según variable absoluta y relativa de la infracción



Min Máx 1 2 3 4 5

Leve 0.5 5 1.08 2.17 3.25

Grave 5 50 7.50 15.00 22.50 30.00 37.50

Muy grave 50 100 55.00 73.33 91.67

Siendo que en el presente caso se ha acreditado la responsabilidad administrativa de la administrada conforme a la tipificación establecida en el literal a) del inciso 2 del artículo 132 del Reglamento de la LPDP, corresponde el grado relativo “2”, lo cual significa que la multa tendrá como Mb (Monto base) 15 UIT, conforme al siguiente gráfico:

N° Infracciones graves Grado relativo

2.a No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales de acuerdo a lo establecido en el Título III de la Ley N° 29733 y su Reglamento.




Página 48 de 61

2.a.1. Se informa de manera incompleta. 2.a.2. No se atiende los derechos ARCO en los plazos establecidos. 2.a.3. No se cumple con informar previamente. 2.a.4. Negarse a recibir la solicitud. 2.a.5. No hay canales para el ejercicio de los derechos ARCO. 2.a.6. Realizar acciones que no permitan ejercer los derechos ARCO.

1 1 2 2 3 4





Página 49 de 61

En el presente caso, de los medios probatorios que obran en el expediente no se verifica un perjuicio económico causado. Asimismo, la administrada no es reincidente. El incumplimiento del artículo 18 de la LPDP implica la vulneración del derecho de los titulares de los datos personales a ser informados sobre el tratamiento que efectuará el responsable, al no brindarse de forma completa la información requerida por dicho artículo. Tal situación, más allá de la necesidad de contar con el consentimiento, significa el impedimento de un derecho del titular de los datos personales, perenne en cualquier circunstancia, el de ser informado sobre los pormenores del tratamiento a efectuar sobre sus datos, el cual repercute en el impedimento de ejercicio de otros derechos, dado que esta información facilita al titular de los datos personales conocer quién, para qué y cómo va utilizar sus datos personales, lo que permitirá tener el control de su información personal, característica propia del derecho fundamental a la protección de datos personales, garantía de la autodeterminación informativa reconocida por el Tribunal Constitucional en la Sentencia STC 04387-2011-PHD/TC. Del análisis del caso, y conforme a lo expuesto en la presente Resolución Directoral, en cuanto a las circunstancias de la infracción (f3), corresponde aplicarle las siguientes calificaciones para efectos del cálculo:

- +0.20, toda vez que la conducta infractora genera riesgo a un grupo de personas compuestos por sus clientes y trabajadores en tanto ha sido evidenciado que no les informa correctamente las condiciones de tratamiento de sus datos personales que regirán durante la ejecución de las relaciones jurídicas que se originan con los mismos de manera previa al tratamiento de sus datos a través de(i) el contrato modelo de sesión de fotos(“Contrato de locación de servicios de modelaje” y “contrato modelo sesión fotos Estudio E-Commerce"); y (ii) de los formatos físicos (respecto al tratamiento de datos de clientes: “Talón de servicio”, “Constancia de entrega”, “Solicitud de Despacho” y Contrato de Afiliación al programa lista de novios Falabella / Crate&Barrel” y respecto al tratamiento de datos de trabajadores: “Declaración de consentimiento de captación de tratamiento de datos personales para empleados”) y sistema automatizado



Página 50 de 61

respecto al tratamiento de datos de clientes: “Sistema SRX ERP (módulos F11 y F12)”

- -0.30, en tanto la administrada realizó un reconocimiento expreso y por escrito del hecho imputado N°2 en su escrito de descargos a la RD de Inicio. .

- -0.15, dado que ha presentado acción de enmienda parcial. En total, los factores de graduación suman un total de -25%, así como se muestra en el siguiente cuadro:



f2. Reincidencia 0%

f3. Circunstancias f3.2. Cuando la conducta infractora genere riesgo o daño a más de dos personas o grupo de personas f3.7. Reconocimiento de responsabilidad expreso y por escrito de las imputaciones, después de notificado el inicio del procedimiento sancionador. f.3.8. Colaboración con la autoridad y acción de enmienda parcial, después de notificado el inicio del procedimiento sancionador.

20% -30% -15%


f1+f2+f3+f4 -25%


Componentes Valor

Monto base (Mb) 15.00 UIT



De acuerdo con lo señalado en la Metodología de Cálculo de Multas y en aplicación de lo previsto en el segundo párrafo del artículo 39 de la LPDP, la multa a ser impuesta no puede ser mayor al diez por ciento (10%) de los ingresos brutos anuales que hubiera percibido el infractor durante el ejercicio anterior. Al respecto, cabe señalar que, a pesar de haber sido requerido en la RD Inicio dicha información, la administrada no ha remitido la documentación pertinente. No haber inscrito en el RNPDP los bancos de datos detectados en la fiscalización Se ha establecido la responsabilidad de la administrada por no inscribir en el RNPDP los bancos de datos personales de: "prospectos de clientes", “libro de reclamaciones", y "usuarios del sitio web”, detectados en la fiscalización. Obligación establecida en el artículo 78° del Reglamento de la LPDP.



Página 51 de 61

Consecuentemente, se ha determinado la comisión de la infracción leve tipificada en el literal e) del numeral 1 del artículo 132 del Reglamento de la LPDP: "No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34° de la Ley". De acuerdo con lo establecido en el inciso 1 del artículo 39 de la LPDP, a dicha infracción corresponde una multa mínima desde cero coma cinco de una unidad impositiva tributaria (0,5UIT) hasta cinco unidades impositivas tributarias (5UIT). El beneficio ilícito ha resultado indeterminable, pues en el trámite del procedimiento sancionador no ha sido posible recabar medios probatorios que evidencien que el infractor haya obtenido o que espere obtener al no cumplir con las disposiciones establecidas en materia de protección de datos personales cometiendo la infracción, así como lo que ahorra, ahorraría o pensaba ahorrar cometiendo la infracción (costos evitados). En la medida que el beneficio ilícito resulta indeterminable, para determinar el monto de la multa corresponde aplicar la “multa prestablecida”, cuya fórmula general es:

M = Mb x F, donde:








Página 52 de 61

Cuadro 2

Montos base de multas preestablecidas (Mb), según variable absoluta y relativa de la infracción



Min Máx 1 2 3 4 5

Leve 0.5 5 1.08 2.17 3.25

Grave 5 50 7.50 15.00 22.50 30.00 37.50

Muy grave 50 100 55.00 73.33 91.67

Siendo que en el presente caso se ha acreditado la responsabilidad administrativa de la administrada conforme a la tipificación establecida en el literal e) del inciso 1 del artículo 132 del Reglamento de la LPDP, corresponde el grado relativo “3”, lo cual significa que la multa tendrá como Mb (Monto base) 3.25 UIT, conforme al siguiente gráfico:

N° Infracciones leves Grado relativo

1.e

No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley 1.e.1. Un banco de datos 1.e.2. Dos bancos de datos 1.e.3. Tres bancos de datos

1

2 3





Página 53 de 61

En el presente caso, de los medios probatorios que obran en el expediente no se verifica un perjuicio económico causado. Asimismo, la administrada no es reincidente. La inscripción del banco de datos personales en el RNPDP permite conocer a las personas, cuáles son las entidades que realizan tratamiento de datos personales, pudiendo identificarlas para poder ejercer frente a las mismas sus derechos ARCO (acceso, rectificación, cancelación y oposición). Del análisis del caso, y conforme a lo expuesto en la presente Resolución Directoral, en cuanto a las circunstancias de la infracción (f3), corresponde aplicarle las siguientes calificaciones para efectos del cálculo:

- +0.20, toda vez que la conducta infractora genera riesgo a un grupo de personas compuestos por aquellos titulares cuyos datos se encuentre contenidos en los bancos de prospectos de clientes y usuarios de sitio web sobre los cuales en algún momento requieran ejercer sus derechos ARCO




Página 54 de 61

- -0.15, dado que ha presentado acción de enmienda parcial al haber inscrito con posterioridad a la notificación de cargos uno de los bancos de datos imputados (el relacionado a Libro de Reclamaciones)




f2. Reincidencia 0%


20% -30% -15%


f1+f2+f3+f4 -25%


Componentes Valor




De acuerdo con lo señalado en la Metodología de Cálculo de Multas y en aplicación de lo previsto en el segundo párrafo del artículo 39 de la LPDP, la multa a ser impuesta no puede ser mayor al diez por ciento (10%) de los ingresos brutos anuales que hubiera percibido el infractor durante el ejercicio anterior. Al respecto, cabe señalar que, a pesar de haber sido requerido en la RD Inicio dicha información, la administrada no ha remitido la documentación pertinente. No haber cumplido con la implementación de medidas de seguridad para el tratamiento de datos personales Se ha establecido la responsabilidad de la administrada por no haber cumplido con implementar las medidas de seguridad para el tratamiento de datos personales, al no generar ni registrar la interacción lógica del banco de datos personales de clientes



Página 55 de 61

(respecto a los sistemas SIEBEL CRM, SRX ERP y OMS). Obligación establecida en el numeral 2 del artículo 39° del Reglamento de la LPDP, y Consecuentemente, se ha determinado la comisión de la infracción leve tipificada en el literal a) del numeral 1 del artículo 132 del Reglamento de la LPDP: "Realizar tratamiento de datos personales incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia.” De acuerdo con lo establecido en el inciso 1 del artículo 39 de la LPDP, a dicha infracción corresponde una multa mínima desde cero coma cinco de una unidad impositiva tributaria (0,5UIT) hasta cinco unidades impositivas tributarias (5UIT). El beneficio ilícito ha resultado indeterminable, pues en el trámite del procedimiento sancionador no ha sido posible recabar medios probatorios que evidencien que el infractor haya obtenido o que espere obtener al no cumplir con las disposiciones establecidas en materia de protección de datos personales cometiendo la infracción, así como lo que ahorra, ahorraría o pensaba ahorrar cometiendo la infracción (costos evitados). En la medida que el beneficio ilícito resulta indeterminable, para determinar el monto de la multa corresponde aplicar la “multa prestablecida”, cuya fórmula general es:

M = Mb x F, donde:








Página 56 de 61

Cuadro 2

Montos base de multas preestablecidas (Mb), según variable absoluta y relativa de la infracción



Min Máx 1 2 3 4 5

Leve 0.5 5 1.08 2.17 3.25

Grave 5 50 7.50 15.00 22.50 30.00 37.50

Muy grave 50 100 55.00 73.33 91.67

Siendo que en el presente caso se ha acreditado la responsabilidad administrativa de la administrada conforme a la tipificación establecida en el literal a) del inciso 1 del artículo 132 del Reglamento de la LPDP, corresponde el grado relativo “2”, lo cual significa que la multa tendrá como Mb (Monto base) 2.17 UIT, conforme al siguiente gráfico:

N° Infracciones leves Grado relativo

1.a

Realizar tratamiento de datos personales incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia. 1.a.1. Hasta dos medidas de seguridad. 1.a.2. Más de dos medidas de seguridad

2 3





Página 57 de 61

En el presente caso, de los medios probatorios que obran en el expediente no se verifica un perjuicio económico causado. Asimismo, la administrada no es reincidente. Sobre el incumplimiento de medidas de seguridad al tratamiento de los datos personales que se custodia y procesa, la administrada no garantiza contar con el nivel suficiente de protección exigido por la LPDP en observancia del principio rector de seguridad que debe primar en el marco de actuación de los titulares de bancos de datos personales, encargados y/o responsables de realizar el tratamiento de los mismos para el resguardo de la integridad, disponibilidad y confidencialidad de todo dato personal. Del análisis del caso, y conforme a lo expuesto en la presente Resolución Directoral, en cuanto a las circunstancias de la infracción (f3), corresponde aplicarle las siguientes calificaciones para efectos del cálculo:

- +0.20, toda vez que la conducta infractora genera riesgo a un grupo de personas compuestos por aquellos titulares cuyos datos se procesan y tratan sin cumplir con el nivel mínimo de protección establecido por la LPDP y su Reglamento al haberse acreditado el incumplimiento de dos medidas de seguridad.



Página 58 de 61





f2. Reincidencia 0%


20% -30% -15%


f1+f2+f3+f4 -10%


Componentes Valor




De acuerdo con lo señalado en la Metodología de Cálculo de Multas y en aplicación de lo previsto en el segundo párrafo del artículo 39 de la LPDP, la multa a ser impuesta no puede ser mayor al diez por ciento (10%) de los ingresos brutos anuales que hubiera percibido el infractor durante el ejercicio anterior. Al respecto, cabe señalar que, a pesar de haber sido requerido en la RD Inicio dicha información, la administrada no ha remitido la documentación pertinente. 151. Es pertinente indicar que para imponer la sanción se tendrá en cuenta la suma de todos los criterios que permiten graduar la sanción conforme a los argumentos desarrollados a lo largo de la presente Resolución Directoral. Por las consideraciones expuestas y de conformidad con lo dispuesto por la LPDP y su reglamento, la LPAG, y el Reglamento del Decreto Legislativo N° 1353 que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses aprobado por Decreto Supremo N° 019-2017-JUS;



Página 59 de 61

SE RESUELVE:

Artículo 1.- Sancionar a SAGA FALABELLA S.A, con la multa ascendente a siete coma cincuenta unidades impositivas tributarias (7,50UIT) por realizar tratamiento de datos personales de sus de sus trabajadores, a través del documento "Declaración de consentimiento de captación de tratamiento de datos personales para empleados”, para finalidades adicionales a la ejecución de la relación contractual, sin obtener válidamente el consentimiento de los titulares de los datos personales, al haberse acreditado que la fórmula contenida en el documentos referido carecía de ser libre, expreso e inequívoco, e informado; conducta prevista como infracción grave tipificada en el literal a) del numeral 2 del artículo 132 del Reglamento de la LPDP: "Dar tratamiento a los datos personales sin el consentimiento libre, expreso, inequívoco, previo e informado del titular, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley n.° 29733 y su Reglamento".

Artículo 2.- Declarar infundada el extremo de la imputación por infracción grave tipificada en el literal a) del numeral 2 del artículo 132 del Reglamento de la LPDP: "Dar tratamiento a los datos personales sin el consentimiento libre, expreso, inequívoco, previo e informado del titular, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley n.° 29733 y su Reglamento" por el tratamiento de datos de clientes inscritos en el programa lista de novios Falabella/Crate & Barrel”

Artículo 3.- Sancionar a SAGA FALABELLA S.A, con la multa ascendente a

once coma veinticinco unidades impositivas tributarias (11,25UIT) por realizar tratamiento de datos personales a través de (i) el contrato modelo de sesión de fotos(“Contrato de locación de servicios de modelaje” y “contrato modelo sesión fotos Estudio E-Commerce"); y (ii) de los formatos físicos (respecto al tratamiento de datos de clientes: “Talón de servicio”, “Constancia de entrega”, “Solicitud de Despacho” y Contrato de Afiliación al programa lista de novios Falabella / Crate&Barrel” y respecto al tratamiento de datos de trabajadores: “Declaración de consentimiento de captación de tratamiento de datos personales para empleados”) y sistema automatizado respecto al tratamiento de datos de clientes: “Sistema SRX ERP (módulos F11 y F12)”; sin informar lo requerido por el artículo 18 de la LPDP; conducta prevista como infracción grave tipificada en el literal b) del numeral 2 del artículo 132 del Reglamento de la LPDP: “No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales reconocidos en el título III de la Ley n.° 29733 y su Reglamento”.

Artículo 4.- Sancionar a SAGA FALABELLA S.A, con la multa ascendente a dos coma cuarenta y cuatro unidades impositivas tributarias (2,44UIT) por no haber inscrito en el RNPDP, los bancos de datos personales de: "prospectos de clientes", “libro de reclamaciones" y "usuarios del sitio web” detectados en la fiscalización; conducta prevista como infracción leve tipificada en el literal e) del numeral 1 del artículo 132 del Reglamento de la LPDP: "No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34° de la Ley".

Artículo 5.- Sancionar a SAGA FALABELLA S.A, con la multa ascendente a uno

coma noventa y cinco unidades impositivas tributarias (1,95 UIT) por el incumplimiento de las medidas de seguridad descritas en el literales A (No generar ni registrar la interacción lógica del banco de datos personales de clientes, respecto a los sistemas SIEBEL CRM, SRX ERP y OMS, incumpliendo la obligación establecida en el numeral



Página 60 de 61

2 del artículo 39 del Reglamento de la LPDP ), incumpliendo la obligación establecida en el artículo 43 del Reglamento de la LPDP) del Hecho Imputado N° 4; infracción leve tipificada en el literal a) del numeral 1 del artículo 132 del Reglamento de la LPDP: "Realizar tratamiento de datos personales incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia."

Artículo 6.- Eximir a SAGA FALABELLA S.A, de la responsabilidad

administrativa por la presunta infracción leve tipificada en el literal e) del numeral 1 del artículo 132 del Reglamento de la LPDP: “No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34° de la Ley", por no inscribir en el RNPDP, el banco de datos personales de “novios” detectado en la fiscalización.

Artículo 7.- Declarar infundados los extremos de la imputación por infracción

leve tipificada en el literal a) del numeral 1 del artículo 132 del Reglamento de la LPDP: "Realizar tratamiento de datos personales incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia” referidos a los incumplimientos del primer y segundo párrafos de los artículos 40 y 43 del Reglamento de la LPDP.

Artículo 8.- Imponer como medidas correctivas a SAGA FALABELLA S.A las

siguientes:

- Acreditar que ha modificado su Política de Privacidad para informar lo requerido en el artículo 18 de la LPDP en los formatos señalados en los artículos 1 y 2 de la presente resolución.

- Entregar evidencias respecto a que genera y registra la interacción lógica del banco de datos personales de clientes en soporte automatizado (respecto a los sistemas SIEBEL CRM, SRX ERP y OMS)

Para el cumplimiento de tales medidas correctivas, se otorga el plazo de cincuenta y cinco días hábiles (55) días hábiles contados a partir de la notificación de la presente resolución. En caso de presentar recurso impugnatorio el plazo para el cumplimiento de la medida correctiva es de cuarenta (40) días hábiles de notificada la resolución que resuelve el recurso y agota la vía administrativa.

Artículo 9.- Informar a SAGA FALABELLA S.A que el incumplimiento de las

medidas correctivas dispuestas en el artículo precedente constituye la comisión de la infracción tipificada como muy grave en el literal d) del numeral 3 del artículo 132 del Reglamento de la LPDP50

Artículo 10.- Informar a SAGA FALABELLA S.A que, contra la presente Resolución, de acuerdo con lo indicado en el artículo 218 de la LPAG, proceden los

50 Artículo 132.- Infracciones Las infracciones a la Ley Nº 29733, Ley de Protección de Datos Personales, o su Reglamento se califican como leves, graves y muy graves y se sancionan con multa de acuerdo al artículo 39 de la citada Ley. (…) 3.Son infracciones muy graves: (…) d) No cesar en el indebido tratamiento de datos personales cuando existiese un previo requerimiento de la Autoridad como resultado de un procedimiento sancionador o de un procedimiento trilateral de tutela.



Página 61 de 61

recursos de reconsideración o apelación dentro de los quince (15) días hábiles posteriores a su notificación51.

Artículo 11.- Informar a SAGA FALABELLA S.A, que deberá realizar el pago de

la multa en el plazo de veinticinco (25) días hábiles desde el día siguiente de notificada la presente Resolución.52

Artículo 11.- Informar a SAGA FALABELLA S.A, que en caso presente recurso impugnatorio, el plazo para pagar la multa es de diez (10) días hábiles de notificada la resolución que agota la vía administrativa, plazo que se contará desde el día siguiente de notificada dicha resolución que pone fin la vía administrativa.

Artículo 12.- Informar a SAGA FALABELLA S.A, que se entenderá que cumplió

con pagar la multa impuesta, si antes de que venzan los plazos mencionados, cancela el sesenta por ciento (60%) de la multa impuesta conforme a lo dispuesto en el artículo 128 del Reglamento de la LPDP53. Para el pago de la multa deberá considerar el valor de la UIT del año 2018.

Artículo 13.- Notificar a SAGA FALABELLA S.A la presente Resolución Directoral.

Regístrese y comuníquese.

María Alejandra González Luna Directora(e) de Protección de Datos Personales

51 Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo Nº 004-2019-JUS “Artículo 218. Recursos administrativos 218.1 Los recursos administrativos son: a) Recurso de reconsideración b) Recurso de apelación Solo en caso que por ley o decreto legislativo se establezca expresamente, cabe la interposición del recurso administrativo de revisión. 218.2 El término para la interposición de los recursos es de quince (15) días perentorios, y deberán resolverse en el plazo de treinta (30) días.” 52 El pago de la multa puede ser realizado en el Banco de la Nación con el código 04759 o a la cuenta del Banco de la Nación: CTA.CTE R.D.R. N° 0000-281778 o CCI N° 01800000000028177801. 53 Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo Nº 003-2013-JUS “Artículo 128.- Incentivos para el pago de la sanción de multa. Se considerará que el sancionado ha cumplido con pagar la sanción de multa si, antes de vencer el plazo otorgado para pagar la multa, deposita en la cuenta bancaria determinada por la Dirección General de Protección de Datos Personales el sesenta por ciento (60%) de su monto. Para que surta efecto dicho beneficio deberá comunicar tal hecho a la Dirección General de Protección de Datos Personales, adjuntando el comprobante del depósito bancario correspondiente. Luego de dicho plazo, el pago sólo será admitido por el íntegro de la multa impuesta.”

resolución directoral n° 551-2021-jus/dgtaipd-dpdp

Documents