resolución n° 781-2017-jus/dgtaipd-dpdp · 2019-06-19 · adjuntando copia del contrato suscrito...
TRANSCRIPT
r11: 12;'.vales
e ON • LE7
Resolución N° 781-2017-JUS/DGTAIPD-DPDP
Expediente N° Lima, 25 de octubre de 2017 043-2017-JUS/DPDP-PS
VISTOS: El Informe N° 026-2016-JUS/DGPDP-DSC del 12 de abril de 2016, sustentado en las Actas de Fiscalización N° 01 y 02-2015 (Expediente de Fiscalización N° 072-2015-DSC), emitido por la Dirección de Supervisión y Control de la Dirección General de Protección de Datos Personales (en adelante, DSC), y demás documentos que obran en el respectivo expediente, y;
CONSIDERANDO:
I. Antecedentes
1. Mediante la Orden de Visita de Fiscalización N° 072-2015-JUS/DGPDP-DSC del 2 de diciembre de 2015, la DSC dispuso la realización de una visita de fiscalización a INVERDESA PERÚ S.A.C., identificada con R.U.C. N° 20492858766 y dedicada a actividades deportivas.
2. La indicada visita de fiscalización fue llevada a cabo por personal de la DSC el 3 de diciembre de 2015, en el establecimiento ubicado en Av. Santa Cruz N° 855, distrito de Miraflores, provincia y departamento de Lima; dejando constancia de lo verificado en las actas de fiscalización N° 01 y 02-2015.
En el marco de dicha visita de fiscalización, se adjuntó a tales actas de fiscalización el formato "Contrato de Prestación de Servicios Plan Elite", formato de perfil de invitado, formato de evaluación clínica, formato de análisis antropométricos, formato de registro de evaluación médica/clínica para entrenamiento personalizado, política corporativa de tratamiento de la información personal y captura de pantalla de los campos de información recopilados a través del sistema BAS.
Cabe señalar que en los mencionados medios, se consignan datos identificativos de cada cliente (nombres, apellidos, edad), de contacto (Email, celular); así como datos sensibles, como los relativos a su salud (síntomas, antecedentes familiares de enfermedades) y características físicas (peso, talla, índice de masa magra, índice de masa grasa), así como cantidad de hijos y sus edades.
3. Por medio del Oficio N° 690-2015-JUS/DGPDP-DSC del 28 de diciembre de 2015, se solicitó a INVERDESA PERÚ S.A.C. la siguiente información:
Página 1 de 22
a) Contrato entre suscrito con la empresa que brinda el servicio de hosting de la página http://www.bodytechperu.com.
b) Detalle de las organizaciones ubicadas en la República de Colombia a las que se transfiere la información de los clientes, señalando la finalidad de las transferencias y los usos de los datos personales en dichas organizaciones.
c) Detalle de cómo se informa al cliente que sus datos van a ser transferidos a la República de Colombia, adjuntando el formato por el cual se les solicita el consentimiento para dicha transferencia.
d) Políticas o lineamientos de seguridad para la protección de datos personales, incluyendo para la transferencia de datos personales.
e) Políticas de seguridad físicas implementadas en el data center. f) Evidencia de realización de copias de respaldo del banco de datos de clientes. g) Indicación de la forma de garantizar la confidencialidad del personal que tiene
acceso a los datos personales de los clientes, adjuntando la evidencia correspondiente.
4. Mediante la comunicación ingresada con Hoja de Trámite N° 04953 del 26 de enero de 2016, INVERDESA PERÚ S.A.C. dio respuesta al requerimiento que se le efectuó, adjuntando copia del contrato suscrito con la empresa Telmex Colombia S.A. ("Claro") para los servicios de data center, del contrato suscrito con Backbone Technology Latam SAS por el servicio de hosting de la página web de "Bodytech" e impresión del "Contrato de Prestación de Servicio Plan Estándar".
5. Por medio del Oficio N° 43-2016-JUS/DGPDP-DSC del 5 de febrero de 2016, la DSC requirió a INVERDESA PERÚ S.A.C. remitir las políticas de seguridad físicas implementadas en el data center, así como una copia legible del contrato suscrito con la empresa Telmex Colombia S.A. ("Claro").
6. Mediante la comunicación ingresada con Hoja de Trámite N° 08200 del 11 de febrero de 2016, INVERDESA PERÚ S.A.C. dio respuesta a lo solicitado por la DSC.
14. El 12 de abril de 2016, se remitió a la Dirección de Sanciones (en adelante, la DS) el resultado de la fiscalización realizada a INVERDESA PERÚ S.A.C. por medio del Informe N° 026-2016-JUS/DGPDP-DSC, adjuntando las actas de fiscalización mencionadas, así como los demás anexos y documentos que conforman el respectivo expediente administrativo.
15. Mediante la Resolución Directoral N° 085-2017-JUS/DGPDP-DS del 17 de mayo de 2017, la DS resolvió iniciar procedimiento administrativo sancionador a INVERDESA PERÚ S.A.C., por la presunta comisión de una infracción leve tipificada en el literal a) del numeral 1 del artículo 38 de la Ley N° 29733, Ley de Protección de Datos Personales (en adelante, LPDP), consistente en: "Dar tratamiento a datos personales sin recabar el consentimiento de sus titulares, cuando el mismo sea necesario"; y tres infracciones graves, ambas tipificadas en el literal a) del numeral 2 del artículo 38 de la LPDP, esto es: "Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento."
Se atribuye a INVERDESA PERÚ S.A.C. los siguientes hechos presuntamente infractores:
• Recopilar, a través de la opción "Contacto" de su página web (www.bodytechperu.com), datos personales de los visitantes que remitan por dicha vía solicitudes, comentarios o sugerencias, sin indicar en la fórmula de consentimiento contenida en las políticas de privacidad y manejo de datos personales que se realiza el flujo transfronterizo de tales datos hacia Canadá; hecho sobre el cual tampoco se informa en la "Política Corporativa de Tratamiento de Información Personal". Dicha situación implicaría la obtención
Página 2 de 22
ri rri/ e de
os (males
30 ZALE7
51,t.ICA De, <ti?
inválida del consentimiento por no cumplir con el requisito de ser informado, previsto con el numeral 13.5 del artículo 13 de la LPDP y en el numeral 4 del artículo 12 del reglamento de la LPDP.
• Recopilar, mediante el "Contrato de Prestación de Servicios Plan Elite" y el "Contrato de Prestación de Servicios Plan Estándar", datos personales de sus clientes referidos al estado civil, número de hijos y su rango de edades, que no serían necesarios para la relación contractual, y cuya recopilación no sería proporcional respecto de la finalidad que persigue. Dicha situación implicaría la contravención del principio de proporcionalidad del artículo 7 de la LPDP.
• No haber comunicado la realización de flujo transfronterizo a la Dirección General de Protección de Datos Personales, incumpliendo la obligación prevista en el artículo 26 del reglamento de la LPDP.
• Efectuar el tratamiento de los datos personales de sus clientes incumpliendo lo dispuesto en el artículo 40 del reglamento de la LPDP, al no acreditar haber implementado medidas de seguridad del centro de datos donde se encuentra el servidor que almacena la información de sus clientes, recopilada a través del sistema "BAS", lo cual constituiría la inobservancia del principio de seguridad recogido en el artículo 9 de la LPDP.
16. Dicha resolución directoral fue notificada a INVERDESA PERÚ S.A.C. el 4 de julio de 2017, mediante el Oficio N° 188-2017-JUS/DGPDP-DS.
17. Por medio de la comunicación ingresada con la Hoja de Trámite N° 44378 del 25 de julio de 2017, INVERDESA PERÚ S.A.C. presentó sus descargos, indicando lo siguiente:
• Reconocen la infracción imputada por el presunto incumplimiento referido a la obtención del consentimiento informado, en la cual incurrieron por desconocimiento. Adjuntan impresos los nuevos términos y condiciones ya cargadas en el sitio web www.bodytechperu.com, y la prueba de que a la fecha se encuentran colgados en dicho sitio web, acreditando la subsanación voluntaria de la infracción.
• A través del "Contrato de Prestación de Servicios Plan Elite" y del "Contrato de Prestación de Servicios Plan Estándar" recopilan datos necesarios para la correcta ejecución de su servicios. En tal sentido, utilizan los datos como el estado civil, número de hijos y rango de edades de los hijos únicamente para: i) determinar la disponibilidad de tiempo del cliente para asistir a sus sedes ; ii)
Página 3 de 22
determinar los horarios estimados del cliente para realizar práctica deportiva; iii) generar servicios específicos (como clases grupales) en horarios específicos, acordes a los intereses de los clientes; iv) saber cuántas personas irán a sus instalaciones en la mañana, en la tarde o en la noche, a fin de organizar sus instalaciones y a los profesionales con quienes trabajan; y) organizar eventos y clases para todos sus afiliados, según sus horarios y estilos de vida, lo cual depende, entre otros factores, de los hijos que tengan; y, vi) establecer ejercicios según las necesidades de sus afiliados; entre otros.
• De acuerdo con lo anterior, los datos solicitados son necesarios para brindar servicios idóneos, prever los horarios de asistencia de sus clientes y preparar clases especiales de acuerdo con las necesidades e intereses específicos, los cuales son influenciados por su estado civil, número de hijos y el rango de sus edades; por ello, consideran que no han infringido los principios de finalidad y proporcionalidad. Sin perjuicio de lo anterior, se suprimieron en los formatos de contratos, los requerimientos de información cuestionados, como se puede apreciar en los documentos sustentatorios que adjuntan.
• Reconocen la infracción consistente en el incumplimiento del artículo 26 del reglamento de la LPDP, y a fin de acogerse a lo establecido en el artículo 126 de dicho reglamento, adjuntan el cargo de presentación de la comunicación de Flujo Transfronterizo, que se encuentra en trámite.
o Julhor rol*Anwl
1750.dee 1
,1 'o ales I
M. G • Z LEZ
• Cuando la DSC les requirió remitir la Política de Seguridad implementada para el tratamiento de datos, por un error involuntario se envió solo el contrato suscrito con la empresa "Claro", sin documentos accesorios, entre los que se encuentran las políticas de seguridad del ambiente donde se procesan los datos personales; por ello, adjuntan la Política de Ingreso y Permanencia de clientes en el centro de datos, con el cual prueban la observancia del principio de seguridad, debiendo declararse infundada la imputación por el incumplimiento de dicho principio.
18. El 14 de septiembre de 2017, el Ingeniero Supervisor de la Dirección de Fiscalización e Instrucción emitió el Informe N° 033-2017-DFI-VARS, referido al cumplimiento de las medidas de seguridad por parte de INVERDESA PERÚ S.A.C.
19. Mediante el Oficio N° 114-2017-JUS/DGPDP-DFI, se notificó la Resolución Directoral N° 032-2017-JUS/DGPDP-DFI del 14 de septiembre de 2017, con el cual se dan por concluidas las actuaciones instructivas del procedimiento sancionador.
20. Por medio del Informe N° 011-2017-JUS/DGTAIPD-DFI del 14 de septiembre de 2017, la Dirección de Fiscalización e Instrucción remitió el expediente administrativo a esta Dirección, para su resolución
II. Competencia
21. La Directora de la Dirección de Protección de Datos Personales es competente para resolver en primera instancia, los procedimientos administrativos sancionadores iniciados por la Dirección de Fiscalización e Instrucción, de conformidad con lo dispuesto en el artículo 74 del Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, aprobado por Decreto Supremo N° 013-2017-JUS.
III. Normas aplicables y cuestión en discusión
22. En ejercicio de sus facultades y conforme a sus competencias, corresponde a la Dirección de Protección de Datos Personales de la Dirección General de Transparencia,
Página 4 de 22
Acceso a la Información Pública y Protección de Datos Personales determinar si se han cometido infracciones a la LPDP y a su reglamento.
23. Mediante el Decreto Supremo N° 019-2017-JUS de fecha 15 de setiembre de 2017, se aprobó el reglamento del Decreto Legislativo N° 1353 que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, Fortalece el Régimen de Protección de Datos Personales y la Regulación de la Gestión de Intereses (en adelante, Decreto Legislativo N° 1353).
24. La Tercera Disposición Complementaria Modificatoria del mencionado reglamento AL incorpora el capítulo de infracciones al Título VI del Reglamento de la LPDP, agregando
9:irkr it
= d,,, ,, el artículo 132 que tipifica las infracciones.
V
IL e ion de
Entre las infracciones leves contenidas en dicho artículo, se encuentra la tipificada en el literal e), que consiste en no inscribir o actualizar en el Registro Nacional los actos rY
.40¿( sonases de establecidos en el artículo 34 de la Ley.
Por su parte, en el literal c) del numeral 2 del mismo artículo, se establece como infracción grave realizar tratamiento de datos personales sensibles incumpliendo las medidas de seguridad establecidas en la normativa, mientras que el literal d) de dicho numeral recoge como infracción grave la recopilación de datos personales sensibles que no sean necesarios, pertinentes ni adecuados con relación a las finalidades determinadas, explícitas y lícitas para las que requieren ser obtenidos'.
Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales. "TITULO VI INFRACCIONES Y SANCIONES CAPÍTULO IV INFRACCIONES Articulo 132.- Infracciones Las infracciones a la Ley N° 29733, Ley de Protección de Datos Personales, o su Reglamento se califican como leves, graves y muy graves y se sancionan con multa de acuerdo al artículo 39 de la citada Ley.
..) 1.Son infracciones leves
(-..) f) Dar tratamiento a los datos personales contraviniendo las disposiciones de la Ley y su Reglamento. (...) 2.Son infracciones graves (.. .) c) Realizar tratamiento de datos personales sensibles incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia. d) Recopilar datos personales sensibles que no sean necesarios, pertinentes ni adecuados con relación a las finalidades determinadas, explícitas y licitas para las que requieren ser obtenidos.
Página 5 de 22
25. De otro lado, el presente procedimiento sancionador se inició estando vigentes las infracciones señaladas en el artículo 38 de la LPDP, que contempla entre las infracciones leves el dar tratamiento a los datos personales sin recabar el consentimiento de sus titulares, cuando sea necesario conforme con lo dispuesto en dicha norma; así también, contempla entre sus infracciones graves el dar tratamiento a los datos personales contraviniendo los principios establecidos en la LPDP, como son el los principios de proporcionalidad y seguridad, así como sus demás disposiciones o las de su reglamento.
26. Por lo tanto, en atención al principio de irretroactividad2 que rige la potestad sancionadora administrativa, se aplicará la disposición más favorable al administrado.
27. Acerca de la responsabilidad de la entidad administrada, se debe tener en cuenta que el literal f. del numeral 1 del artículo 255 del Texto Único Ordenado de la Ley del Procedimiento Administrativo General, aprobado mediante Decreto Supremo N° 006- 2017-JUS (en adelante, LPAG), establece como una causal eximente de la responsabilidad por infracciones la subsanación voluntaria del acto imputado como infractor, si es realizada de forma previa a la notificación de imputación de cargosa.
28. Asimismo, se debe atender a lo dispuesto en el artículo 126 del Reglamento de la LPDP, que considera como atenuantes la colaboración con las acciones de la autoridad y el reconocimiento espontáneo de las infracciones conjuntamente con la adopción de medidas de enmienda; dichas atenuantes, de acuerdo con la oportunidad del reconocimiento y las fórmulas de enmienda puede permitir la reducción motivada de la sanción por debajo del rango previsto en la LPDP4.
29. Dicho artículo debe leerse conjuntamente con lo previsto en el numeral 2 del artículo 255 de la LPAG, que establece como condición atenuante el reconocimiento de la responsabilidad por parte del infractor de forma expresa y por escrito, debiendo reducir la multa a imponérsele hasta no menos de la mitad del monto de su importe; y por otro lado, las que se contemplen como atenuantes en las normas especiales5.
2 Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS. "Articulo 246.- Principios de la potestad sancionadora administrativa La potestad sancionadora de todas fas entidades está regida adicionalmente por los siguientes principios especiales:
5.- Irretroactividad.- Son aplicables las disposiciones sancionadoras vigentes en el momento de incurrir el administrado en la conducta a sancionar, salvo que las posteriores le sean más favorables. Las disposiciones sancionadoras producen efecto retroactivo en cuanto favorecen al presunto infractor o al infractor, tanto en lo referido a la tipificación de la infracción como a la sanción y a sus plazos de prescripción, incluso respecto de las sanciones en ejecución al entrar en vigor la nueva disposición.
3 Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS. "Artículo 255.- Eximentes y atenuantes de responsabilidad por infracciones 1.- Constituyen condiciones eximentes de la responsabilidad por infracciones las siguientes:
f) La subsanación voluntaria por parte del posible sancionado del acto u omisión imputado como constitutivo de infracción administrativa, con anterioridad a la notificación de la imputación de cargos a que se refiere el inciso 3) del articulo 253."
Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo N° 003-2013-JUS. "Articulo 126.- Atenuantes. La colaboración con las acciones de la autoridad y el reconocimiento espontáneo de las infracciones acompañado de acciones de enmienda se considerarán atenuantes. Atendiendo a la oportunidad del reconocimiento y a las fórmulas de enmienda, la atenuación permitirá incluso la reducción motivada de la sanción por debajo del rango previsto en la Ley"
5 Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS. "Artículo 255.- Eximentes y atenuantes de responsabilidad por infracciones (...) 2.- Constituyen condiciones atenuantes de la responsabilidad por infracciones las siguientes: a) Si iniciado un procedimiento administrativo sancionador el infractor reconoce su responsabilidad de forma expresa y por escrito.
'les
Página 6 de 22
41:g
1.9717n e rs nales
GON- ALEZ
30. Para emitir pronunciamiento en el presente caso, se debe determinar lo siguiente:
30.1 Si INVERDESA PERÚ S.A.C. es responsable por los siguientes hechos infractores:
(i) Recopilar, a través de la opción "Contacto" de su página web (www.bodytechperu.com), datos personales de los visitantes, sin indicar en la fórmula de consentimiento que realizan el flujo transfronterizo de datos hacia Canadá; hecho sobre el cual tampoco se informa en la "Política Corporativa de Tratamiento de Información Personal", incumpliendo el requisito de obtener el consentimiento informado, lo cual configuraría una infracción leve tipificada en el literal a) del numeral 1 del artículo 38 de la LPDP.
(ii) Recopilar datos personales de sus clientes referidos al estado civil, número de hijos y su rango de edades, en inobservancia del principio de proporcionalidad contemplado en el artículo 7 de la LPDP, hecho que configuraría la infracción grave tipificada en el literal a) del numeral 2 del artículo 38 de la LPDP.
(iii) No haber comunicado la realización de flujo transfronterizo a la Dirección General de Protección de Datos Personales, incumpliendo la obligación prevista en el artículo 26 del reglamento de la LPDP, hecho que configuraría la infracción leve tipificada en el literal e) del numeral 1 del artículo 132 del reglamento de la LPDP.
(iv) No tener implementadas las medidas de seguridad adecuadas para la protección de datos personales, que incluyen datos personales sensibles, en el centro de datos donde se encuentra el servidor que almacena la información automatizada de sus clientes, recopilada a través del sistema "BAS", incumpliendo lo dispuesto en el artículo 40 del reglamento de la LPDP, en inobservancia del principio de seguridad contemplado en el artículo 9 de la LPDP, hecho que configuraría una infracción grave de acuerdo con el literal a) del numeral 2 del artículo 38 de la LPDP.
30.2 En el supuesto de ser responsable en cada caso, si debe aplicarse la exención de responsabilidad por la subsanación de la infracción, prevista en el literal f. del numeral 1 del artículo 255 de la LPAG, o las atenuantes, según lo que recoge el numeral 2 de dicho artículo, en concordancia con el artículo 126 del reglamento de la LPDP.
En los casos en que la sanción aplicable sea una multa esta se reduce hasta un monto no menor de la mitad de su importe. b) Otros que se establezcan por norma especial."
Página 7 de 22
IV. Análisis de la cuestión en discusión
1. Sobre el presunto incumplimiento de la obligación de obtener el consentimiento informado
31. Según consta en el Informe N° 026-2016-JUS/DGPDP-DSC, INVERDESA PERÚ S.A.C. recopila a través de la opción "Contacto" de su página web (www.bodytechperu.com/servicio-al-cliente-peru/contacto/) los siguientes datos personales de los visitantes: Nombres, apellidos, tipo y número de identificación, opción para señalar si es o no afiliado, ciudad, sede, correo electrónico, teléfono o celular, asunto y mensaje.
32. Asimismo, según señala la DSC en su informe, el servidor de datos que contiene la información remitida a través de dicha página web, se encuentra en Vancouver, Canadá, efectuando el flujo transfronterizo de la información señalada.
33. Respecto del envío del mensaje por parte del visitante de la página web, en dicho informe se consignó lo siguiente:
"4. Revisada la interfaz de la citada página web se advierte que para poder acceder a enviar una solicitud, comentarios o sugerencias, el usuario debe indicar que acepta las políticas de privacidad y manejo de datos personales haciendo clic en el link /media/Políticas de tratamiento de_información.pdf (...)"
34. Al revisar el contenido de las mencionadas políticas, se observó que en el texto respectivo no se informa acerca del flujo transfronterizo de la información remitida mediante dicho sitio web, al servidor de datos ubicado en Canadá, siendo esta la base de la presente imputación.
35. En sus descargos, INVERDESA PERÚ S.A.C. reconoció la comisión de la infracción imputada, señalando que había cumplido con variar sus Políticas de Tratamiento de Información y publicarlos en su página web, subsanando la infracción.
36. En este punto, es conveniente señalar que el inciso 13.5 del artículo 13 de la LPDP señala que los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa, debiendo ser el consentimiento previo, informado, expreso e inequívoco.
37. Asimismo, el numeral 4 del artículo 12 del Reglamento de la LPDP, establece los hechos mínimos sobre los cuales debe informarse al titular de datos personales a fin de obtener su consentimiento, siendo uno de ellos lo referido a la transferencia nacional o internacional de los mismos'.
38. Al respecto, cabe tener presente que el numeral 16 del artículo 2 de la LPDP define a la transferencia de datos personales como "Toda transmisión, suministro o manifestación de datos personales, de carácter nacional o internacional, a una persona
6 Decreto Supremo N° 003-2013-JUS, Reglamento de la Ley N° 29733 "Artículo 12°.- Características del consentimiento. Además de lo dispuesto en el artículo 18 de la Ley y en el artículo precedente del presente reglamento, la obtención del consentimiento debe ser: (...) 4. Informado: Cuando al titular de los datos personales se le comunique clara, expresa e indubitablemente, con lenguaje sencillo, cuando menos de lo siguiente a. La identidad y domicilio o dirección del titular del banco de datos personales o del responsable del tratamiento al que puede dirigirse para revocar el consentimiento o ejercer sus derechos. b. La finalidad o finalidades del tratamiento a las que sus datos serán sometidos. c. La identidad de los que son o pueden ser sus destinatarios, de ser el caso. d. La existencia del banco de datos personales en que se almacenarán, cuando corresponda. e. El carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, cuando sea el caso. f. Las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo. g. En su caso, la transferencia nacional e internacional de datos que se efectúen."
Página 8 de 22
jurídica de derecho privado, a una entidad pública o a una persona natural distinta del titular de datos personales". Dicha definición contempla el supuesto del flujo transfronterizo de datos personales, en concordancia con el numeral 8 del artículo citado: "Transferencia internacional de datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, sin importar el soporte en que estos se encuentren, los medios por los cuales se efectuó la transferencia ni el tratamiento que reciban"
39. En tal sentido, se debe entender la transmisión de la información recopilada a través del sitio web mencionado hacia el servidor ubicado fuera del territorio peruano, como una transferencia, acerca de la cual debe informarse al titular de los datos personales para obtener su consentimiento.
40. Por otro lado, es preciso tomar en consideración la excepción a la obligación de obtener el consentimiento del titular contemplada en el numeral 5 del artículo 14 de la LPDP, modificada por la Tercera Disposición Complementaria Modificatoria del Decreto Legislativo N° 1353, aplicable a las situaciones en las que los datos personales sean necesarios para la preparación, celebración y ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento.
41. Es preciso indicar que a través de la opción "Contactos", el visitante puede solicitar información acerca de los servicios ofrecidos por INVERDESA PERÚ S.A.C., así como comentarios o sugerencias de los mismos clientes, referidas a la prestación de sus servicios; así también, cabe resaltar que durante el presente procedimiento, no se ha comprobado que dicha entidad haya utilizado los datos personales para otra finalidad, por lo que no es necesario que para este tratamiento, se solicite el consentimiento a los titulares de datos personales.
42. Por consiguiente, la Dirección de Protección de Datos Personales concluye que no se ha configurado la infracción señalada en el literal a) del numeral 1 del artículo 38° de la LPDP.
43. Ahora bien, respecto al deber de informar al titular sobre el tratamiento a realizar sobre sus datos personales, se debe tomar en cuenta el artículo 18 de la LPDP, el cual establece lo siguiente:
"Artículo 18. Derecho de información del titular de datos personales.- El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del
Página 9 de 22
banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del o de los encargados del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello.
Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables. (...)"
44. En lo concerniente a ello, es relevante también tomar en cuenta que dicha entidad cumplió con incluir en los Términos y Condiciones de Tratamiento de Datos Personales de su página web, la información referida al flujo transfronterizo de datos personales hacia Canadá, tal como señaló en sus descargos, en observancia de los artículos de la LPDP antes reseñados.
2. Sobre la presunta inobservancia del principio proporcionalidad, previsto en el artículo 7 de la LPDP
45. En este subtítulo, es importante conocer la naturaleza de los datos personales recopilados, siendo necesario recordar la definición de datos sensibles recogida en la normativa.
De un lado, se tiene el numeral 5 del artículo 2 de la LPDP, que define los datos sensibles como "Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual".
Por otro lado, en el numeral 6 del artículo 2 del reglamento de la LPDP, se define los datos sensibles como "aquella información relativa a datos personales referidos a las características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la salud física o mental u otras análogas que afecten su intimidad".
46. Por su parte, el artículo 6 de la LPDP establece el principio de finalidad, que establece lo siguiente:
"Artículo 6. Principio de finalidad Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización".
47. Vinculado al anterior, el artículo 7 de la LPDP consagra el principio de proporcionalidad, que dispone lo siguiente:
"Artículo 7. Principio de proporcionalidad Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados".
48. Asimismo, según el numeral 3 del artículo 28 de la LPDP, solo se podrán recopilar datos personales para su tratamiento que sean actualizados, necesarios, pertinentes y
Página 10 de 22
adecuados, en relación a las finalidades determinadas, explícitas y lícitas para las que se hayan obtenido'.
De lo señalado se desprende la necesidad de que el tratamiento de datos personales del cliente, como el estado civil, número de hijos y el rango de edades de estos deba ser proporcional respecto de la finalidad de su recopilación, finalidad que debe ser lícita (amparada por el ordenamiento jurídico peruano) y determinada explícitamente para el conocimiento del cliente, como titular del datos personales objeto de tratamiento. Por tal motivo, en el presente caso debe examinarse si existe en el tratamiento de los mencionados datos personales, una finalidad lícita y establecida explícitamente al momento de su recopilación.
49. De los hechos del presente caso, se desprende que la finalidad de la recopilación realizada por INVERDESA PERÚ S.A.C. es brindar servicios a sus clientes, acordes con las rutinas personales de cada uno de ellos, acomodando para ello sus horarios, la organización de sus sedes y a sus trabajadores.
50. En sus descargos, INVERDESA PERÚ S.A.C. indica como finalidades del tratamiento de los datos personales cuestionado la determinación de tiempo, horarios, servicios específicos para las necesidades e intereses de cada cliente afluencia de clientes a cada sede según horarios, así como la previsión del desarrollo de servicios especiales, eventos y clases para todos los afiliados, así como ejercicios según las necesidades de cada cliente en específico, atendiendo a sus características personales, siendo determinante para estas el tener o no hijos.
51. Al respecto, se debe señalar que lo detallado representa un conjunto de finalidades legítimas, toda vez que están involucradas con los servicios que brinda la entidad (servicios deportivos) y es esperable por parte del cliente que los adquiere.
52. Ahora bien, debe tenerse en cuenta que el principio de proporcionalidad, según el cual los datos deben ser adecuados y no excesivos respecto de la finalidad conocida por el titular de los datos personales, implica la moderación en la recopilación de los mismos.
Ley N° 29733, Ley de Protección de Datos Personales: "Artículo 28. Obligaciones El titular y el encargado del banco de datos personales, según sea el caso, tienen las siguientes obligaciones:
(..-) 3. Recopilar datos personales que sean actualizados, necesarios, pertinentes y adecuados, con relación a finalidades determinadas, explícitas y licitas para las que se hayan obtenido. (.9"
Página 11 de 22
53. En tal sentido, la Dirección de Protección de Datos Personales considera, desde la óptica de protección de datos personales, que no es necesario para tales finalidades, recopilar información sobre el estado civil, número y rango de edades de los hijos del cliente, por los motivos expuestos a continuación:
• Finalidades relacionadas con tiempo y horarios de asistencia del cliente (determinar los tiempos de asistencia a las sedes y los horarios en los cuales puedan asistir): Para tales finalidades, no es necesario saber el estado civil de cada cliente, debido a que esta circunstancias no acarrea ninguna limitación al control de los horarios de cada persona; ahora bien, respecto de las informaciones sobre el número y rango de edades de los hijos del cliente, debe señalarse que tampoco resulta ser necesario, pues de acuerdo con el modelo de negocio desarrollado por INVERDESA PERÚ S.A.C., su cliente tiene derecho a acceder en el momento que determine a las sedes (gimnasios) de dicha entidad, dentro de su horario de atención.
• Finalidades involucradas a los servicios específicos para los clientes (generación de servicios específicos en horarios específicos según interés del cliente, organización de eventos y clases dirigidas a todos sus clientes, según sus horarios o estilo de vida): Para estas finalidades, la información sobre el estado civil es irrelevante porque, como se mencionó en el párrafo anterior, esta circunstancia no implica limitaciones de horario para el cliente.
En lo referido a la información sobre el número y rango de edades de los hijos del cliente, esta podría ser necesario para eventos esporádicos, así como para el desarrollo de ciertos servicios no involucrados a la actividad física, pero no para realizar un tratamiento permanente.
• Conocimiento del número de asistentes en los turnos mañana, tarde y noche, a fin de organizar bien las sedes, sus trabajadores y sus servicios: Al no ser el estado civil una circunstancia determinante en la asistencia a las sedes, es innecesaria su recopilación para determinar el número de asistentes por horario, al igual que los datos referidos al número de hijos y sus rangos de edades, pues estos factores no determinan certeramente la asistencia de un cliente.
• Establecer ejercicios y clases acordes a las necesidades de sus afiliados: Según se indica en el descargo, este supuesto se referiría a las condiciones físicas y de salud de cada cliente. Siendo así, el estado civil resulta ser un dato innecesario para determinar las necesidades de cada cliente, así como lo referido al número de hijos y sus rangos de edades, puesto que dichos factores no implican directamente la existencia o no de una condición física que requiera un tratamiento determinado.
Cabe señalar que las condiciones de salud y físicas que requieran un régimen específico, son determinadas por otros factores como factores de riesgo, antecedentes de enfermedades personales y familiares, peso, talla, porcentajes de masa, lesiones, hábitos, entre otros, que están presentes en los formatos recabados durante la fiscalización, como se detalló en el considerando 2 de la presente resolución.
54. De lo expuesto, se desprende que el tratamiento de la información sobre el estado civil de los clientes resulta, no siendo proporcional su recopilación. Asimismo, si bien pueden servir para implementar algunos servicios específicos dirigidos a parte de su clientela, la recopilación de los datos del número de hijos y de su rango de edades también resulta excesiva para las finalidades concernientes a evaluar la asistencia y tiempo de permanencia del cliente en las sedes.
Página 12 de 22
55. Es pertinente recordar que los datos referidos al número de hijos y a su rango de edades constituyen hechos de la vida familiar de los clientes; vale decir, que se trata de datos sensibles, de acuerdo al numeral 6 del artículo 2 del Reglamento de la LPDP, que señala que son datos sensibles "es aquella información relativa a datos personales referidos a las características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la salud física o mental u otras análogas que afecten su intimidad."
. •
males e
56. Ahora bien, es preciso tomar en cuenta que en sus descargos, INVERDESA PERÚ S.A.C. presentó nuevos formatos de "Contrato Prestación de Servicio Plan Estándar" y "Contrato Prestación de Servicio Plan Elite" en los cuales ya no se recopilan los datos personales objeto de la imputación.
:11 57. Al respecto, es pertinente señalar que siguiendo el principio de presunción de veracidad consagrado en el artículo IV de la LPAG8, debe evaluarse dichos documentos presumiendo su carácter genuino y efectivamente implementado, acorde con lo señalado por la entidad.
58. En dichos formatos, se aprecia que no figuran campos que soliciten información a los clientes acerca del estado civil, del número de hijos y del rango de edades de estos últimos. Por tal motivo, esta Dirección considera que procede la atenuación de la responsabilidad administrativa, según lo dispuesto por el artículo 126 del reglamento de la LPDP.
59. En consecuencia, INVERDESA PERÚ S.A.C. sí ha recopilado los datos personales referidos al estado civil de sus clientes, el número de hijos y los rangos de edades de estos, de forma no proporcional respecto de las finalidades de su tratamiento, en inobservancia del principio de proporcionalidad del artículo 7 de la LPDP. Por lo tanto, se configura la comisión de la infracción tipificada en el literal a) del numeral 2 del artículo 38 de la LPDP vigente a la fecha de detección del hecho infractor, esto es: "Dar tratamiento a los datos personales contraviniendo los principios establecidos en la Ley o incumpliendo sus demás disposiciones o las de su Reglamento", debiendo evaluarse
8 Texto Único Ordenado de la Ley W 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS. "Artículo IV. Principios del procedimiento administrativo 1. El procedimiento administrativo se sustenta fundamentalmente en los siguientes principios, sin perjuicio de la
vigencia de otros principios generales del Derecho Administrativo: (...) 1.7. Principio de presunción de veracidad.- En la tramitación del procedimiento administrativo, se presume que los documentos y declaraciones formulados por los administrados en la forma prescrita por esta Ley, responden a la verdad de los hechos que ellos afirman. Esta presunción admite prueba en contrario."
Página 13 de 22
4 21 a ir d onde
onales
también la atenuación de la responsabilidad administrativa por la comisión de esta infracción.
3. Sobre el presunto incumplimiento de la obligación de comunicar la realización de flujo transfronterizo de datos personales, del artículo 26 del Reglamento de la LPDP
60. El reglamento de la LPDP contempla en su artículo 26 la obligación de poner en conocimiento de la Autoridad Nacional de Protección de Datos Personales, en los siguientes términos:
"Artículo 26.- Participación de la Dirección General de Protección de Datos Personales respecto del flujo transfronterizo de datos personales. Los titulares del banco de datos personales o responsables del tratamiento, podrán solicitar la opinión de la Dirección General de Protección de Datos Personales respecto a si el flujo transfronterizo de datos personales que realiza o realizará cumple con lo dispuesto por la Ley y el presente reglamento.
En cualquier caso, el flujo transfronterizo de datos personales se pondrá en conocimiento de la Dirección General de Protección de Datos Personales, incluyendo la información que se requiere para la transferencia de datos personales y el registro de banco de datos."
61. Tal obligación se refuerza con lo previsto en el numeral 5 del artículo 77 del mencionado reglamento, que señala respecto del registro de tal comunicación lo siguiente:
"Artículo 77.- Actos y documentos inscribibles en el Registro. Serán objeto de inscripción en el Registro Nacional de Protección de Datos Personales con arreglo a lo dispuesto en la Ley y en este título: (. • -) 5. Las comunicaciones referidas al flujo transfronterizo de datos personales. (- •
62. Tal como se detalló en los considerandos 31 y 32, durante la fiscalización a INVERDESA PERÚ S.A.C. se constató que esta realiza el flujo transfronterizo de los datos personales que recopila a través de la opción "Contacto" de su página web (www.bodytechperu.com), transfiriéndolos hacia Vancouver, Canadá.
63. En el Informe N° 026-2016-JUS/DGPDP-DSC, se detalla que la Dirección del Registro Nacional de Protección de Datos Personales informó el 22 de febrero de 2016 que, a esa fecha, INVERDESA PERÚ S.A.C. no había inscrito ninguna comunicación de flujo transfronterizo, incumplimiento por el cual se imputó la infracción en la Resolución N° 085-2017-JUS/DGPDP-DS, notificada mediante el Oficio N° 188-2017- JUS/DGPDP-DS el 4 de julio de 2017.
64. En sus descargos, INVERDESA PERÚ S.A.C. reconoce la comisión de la infracción imputada y con a fin de acogerse a la aplicación de atenuantes de responsabilidad establecida en el artículo 126 del Reglamento de la LPDP, presentó el cargo de recepción del Formulario de Inscripción de Comunicación de Realización de Flujo Transfronterizo de Datos Personales, el cual fue presentado el 4 de julio de 2017.
65. Al respecto, es preciso señalar que mediante la Resolución N° 74-2017/DPDP, la Dirección de Protección de Datos Personales inscribió la comunicación de flujo transfronterizo solicitada.
66. Por su parte, también es necesario tomar en cuenta que la notificación de cargos contra INVERDESA PERÚ S.A.C. se realizó a la 13:33 del 4 de julio de 2017, mientras
Página 14 de 22
ales I
N ALE?
que la presentación del Formulario de Inscripción de Comunicación de Realización de Flujo Transfronterizo de Datos Personales de dicha entidad se realizó a las 15:50 horas de esa misma fecha.
67. Entonces, debe reconocerse que la acción de enmienda respecto de esta infracción se realizó después de la notificación de cargos, lo cual, conjuntamente con el reconocimiento expreso de la infracción, configura el supuesto de atenuación de la responsabilidad previsto en el artículo 126 del reglamento de la LPDP, aplicable a este caso.
68. Por consiguiente, se concluye que INVERDESA PERÚ S.A.C. no cumplió con la obligación de comunicar a la Autoridad Nacional de Protección de Datos Personales, la realización de flujo transfronterizo de los datos personales que recopila a través de su página web (www.bodytechperu.com), contemplada en el artículo 26 del reglamento de la LPDP. En tal sentido, se configura la comisión de la infracción tipificada en el literal e) del numeral 1 del artículo 132 de dicho reglamento, esto es: " No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley", debiendo evaluarse también la atenuación de la responsabilidad administrativa por la comisión de esta infracción.
4. Sobre el presunto incumplimiento de lo dispuesto en el artículo 40 del Reglamento de la LPDP
69. Acerca del tratamiento automatizado de datos personales, es necesario tener en cuenta el artículo 40 del Reglamento de la LPDP, que señala lo siguiente:
"Artículo 40.- Conservación, respaldo y recuperación de los datos personales. Los ambientes en los que se procese, almacene o transmita la información deberán ser implementados, con controles de seguridad apropiados, tomando como referencia las recomendaciones de seguridad física y ambiental recomendados en la WTP lSO/IEC 17799 EDI. Tecnología de la Información. Código de Buenas Prácticas para la Gestión de Seguridad de la Información' en la edición que se encuentre vigente"
70. Durante la fiscalización realizada a INVERDESA PERÚ S.A.C., se verificó que esta entidad administra el banco de datos personales de sus clientes en soporte automatizado por medio del sistema web "BAS", almacenando dichos datos en su servidor principal ubicado en Bogotá, Colombia; por tal motivo, la DSC solicitó a dicha entidad que remitiría el contrato suscrito con la empresa proveedora del servicio de datacenter, Telmex Colombia S.A ("Claro").
71. En respuesta a dicha solicitud, INVERDESA PERÚ S.A.C. remitió una copia de tal contrato, de cuya lectura no se puede acreditar que se tengan implementadas las
Página 15 de 22
11:1:1? 1 4 0 :l
e
.mv
onales
M. G • ,ZAt..E2
d
medidas de seguridad adecuadas para el servidor de datos donde se almacena la información de sus clientes. El Informe N° 026-2016-JUS/DGPDP describió dicha situación de la siguiente manera:
"31. Respecto a lo requerido la entidad fiscalizada presentó copia del contrato con la empresa Claro, indicando que la citada empresa es la que les brinda el servicio de data center.
32. Revisado dicho contrato, que obra de fojas 181 a 187, el Ingeniero Supervisor de esta Dirección concluye en el Informe N° 017-2016-DSC-VARS, que tal documento no acredita la seguridad del centro de datos donde se almacena, procesa o transmite la información de datos personales de los clientes activos e inactivos de INVERDESA PERÚ S.A.0 (BODYTECH)", por lo que estaría incumpliendo con lo dispuesto en el primer párrafo del artículo 40° del Reglamento de la LPDP (...)"
72. En tal sentido, se imputó a dicha entidad el incumplimiento del mencionado artículo del Reglamento de la LPDP, configurando la infracción prevista en el literal a) del numeral 2 del artículo 38 de la LPDP.
73. En sus descargos, INVERDESA PERÚ S.A.C. señaló que por un error involuntario no había remitido en su momento todos los documentos accesorios de dicho contrato, que incluyen las políticas de seguridad del ambiente donde se procesan los datos personales, por lo que adjuntaron a su comunicación la "Política de Ingreso y Permanencia de Clientes en el Datacenter".
74. De la lectura de dicha política, en conjunto con el contrato del cual es documento accesorio, se desprende que el ambiente mencionado cuenta con restricciones para el acceso de trabajadores de "Claro" y personal externo, así también de objetos como cámaras, armas de fuego, entre otros; así también, se detalla la existencia y procedimientos permitidos a realizar con los racks y otros equipos, planes de evacuación, sistemas de alarma de distintos eventos, detección de incendios.
75. No obstante, se debe indicar que los documentos que INVERDESA PERÚ S.A.C. presentó durante la fiscalización así como en sus descargos, no sustentan la implementación de controles de seguridad para garantizar la integridad de los datos personales almacenados en el mencionado servidor de datos que incluyan dispositivos que prevengan cualquier riesgo de daño por sobrecalentamiento o incendio (agentes extintores o de control de temperatura), a fin de contrarrestar posibles siniestros y preservar la integridad de la información almacenada en sus soportes.
76. Cabe señalar en este punto, tal como se explicó en el considerando 2 y como se comprobó durante la fiscalización, que a través del sistema web "BAS" se recopilan datos personales sensibles de los clientes, relativos a su vida familiar, de acuerdo con lo definido en el considerando 45.
77. Por lo tanto, INVERDESA PERÚ S.A.C. no ha sustentado el cumplimiento de lo establecido en el artículo 40 del reglamento de la LPDP, lo cual implica la inobservancia del principio de seguridad contemplado en el artículo 9 de la LPDP. Dicha circunstancia configura el supuesto de hecho infractor previsto en el literal a) del numeral 2 del artículo 38 de la LPDP, esto es: "Dar tratamiento a los datos personales contraviniendo las disposiciones de la Ley y su Reglamento".
5. Sobre las normas sancionadoras a aplicar a los hechos del expediente
Página 16 de 22
78. En este punto, es necesario apreciar lo señalado en los considerandos 28 al 30 de la presente resolución, a fin de determinar la aplicación de las sanciones previstas en el artículo 39 de la LPDP, obedeciendo a sus circunstancias especiales de cada caso que determinan la gravedad de las infracciones.
79. En el presente caso, se presentan infracciones tipificadas en normas distintas, que son:
• El literal a) del numeral 1 del artículo 38 de la LPDP, que establece como infracción leve el realizar el tratamiento de datos personales sin recabar el consentimiento de sus titulares, cuando sea necesario conforme a lo dispuesto en esta Ley.
Dichas infracción leve, de acuerdo con el artículo 39 de la LPDP, es sancionable con una multa de más de cero coma cinco (0,5) UIT hasta cinco (5) UIT.
• El literal a) del numeral 2 del artículo 38 de la LPDP, que establece como infracciones graves a los tratamientos realizados en contravención de los principios establecidos en la LPDP, como el principio de proporcionalidad y el de seguridad, así como la contravención de sus demás disposiciones o las de su Reglamento, tales como las obligaciones referidas a las medidas de seguridad, como la contemplada en el artículo 40 de dicho reglamento.
Dichas infracciones graves, de acuerdo con el artículo 39 de la LPDP, son sancionables con una multa de más de cinco (5) UIT hasta cincuenta (50) UIT.
• El literal e) del numeral 1 del artículo 132 del Reglamento de la LPDP que establece como infracción leve no inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley, sancionable con una multa de más de cero coma cinco (0,5) UIT hasta cinco (5) UIT.
80. Es necesario recordar que por medio del sistema web "BAS", el "Contrato de Prestación de Servicios Plan Elite" y el "Contrato de Prestación de Servicios Plan Estándar" se realiza el tratamiento de datos personales sensibles, tal como se detalló en el considerando 2 y 55 de la presente resolución, referidos a su número de hijos y el rango de las edades de estos.
81. De acuerdo con los argumentos expuestos en el subtítulo 2 de la presente resolución, en el presente caso se ha comprobado la realización de la infracción prevista en el literal a) del numeral 2 del artículo 38 de la LPDP, consistentes en la inobservancia del principio de proporcionalidad en el tratamiento de datos personales sensibles, a
Página 17 de 22
sancionarse como infracción grave; respecto de este caso, se halla que las disposiciones del artículo 132 del Reglamento de la LPDP no contemplan una situación más beneficiosa para dicha entidad, en comparación con lo establecido por el artículo 38 de la LPDP, por lo que se aplicará esta última disposición.
82. Respecto de esta infracción, es conveniente tener en cuenta lo evaluado en los considerandos 57 y 58 de esta resolución, quedando esclarecida la procedencia de la atenuación de la responsabilidad de INVERDESA PERÚ S.A.C.
83. Por su parte, siguiendo lo desarrollado en el subtítulo 3 de la presente resolución, se cometió una tercera infracción al literal a) del numeral 2 del artículo 38 de la LPDP, consistente en el incumplimiento del deber de comunicar el flujo transfronterizo de datos personales. Sin embargo, en cumplimiento del contenido del principio de irretroactividad que rige la potestad sancionadora administrativa, se tomará para dicha conducta la tipificación del literal e) del numeral 1 del artículo 132 del reglamento de la LPDP, debiendo ser sancionada como una infracción leve según lo previsto en el artículo 39 de la LPDP.
84. Respecto de esta infracción, es conveniente tener en cuenta lo evaluado en los considerandos 61 al 64 de esta resolución, quedando esclarecida la procedencia de la atenuación de la responsabilidad de INVERDESA PERÚ S.A.C.
85. Finalmente, el subtítulo 4 de la presente resolución expone sobre la comisión una infracción prevista en el literal a) del numeral 2 del artículo 38 de la LPDP, consistente en el incumplimiento del artículo 40 del reglamento de la LPDP y la consecuente inobservancia del principio de seguridad de la LPDP en el tratamiento de datos personales sensibles, a sancionarse como infracción grave; respecto de este caso, se halla que las disposiciones del artículo 132 del Reglamento de la LPDP no contemplan una situación más beneficiosa para dicha entidad, en comparación con lo establecido por el artículo 38 de la LPDP, por lo que se aplicará esta última disposición.
86. El artículo 39 de la LPDP establece las sanciones aplicables a cada infracción según su nivel de gravedad (leves, graves y muy graves), imponiendo multas de cero coma cinco (0,5) UIT hasta cinco (5) UIT para infracciones leves, y de más de cinco (5) a cincuenta (50) UIT para una infracción graves, sin perjuicio de las medidas correctivas a determinarse siguiendo el artículo 118 del Reglamento de la LPDP10.
9 Ley N° 29733, Ley de Protección de Datos Personales: "Artículo 38. Infracciones Constituye infracción sancionable toda acción u omisión que contravenga o incumpla alguna de las disposiciones contenidas en esta Ley o en su reglamento.
Las infracciones se califican como leves, graves y muy graves.
"Artículo 39. Sanciones administrativas En caso de violación de las normas de esta Ley o de su reglamento. la Autoridad Nacional de Protección de Datos Personales puede aplicar las siguientes multas: 1. Las infracciones leves son sancionadas con una multa mínima desde cero coma cinco de una unidad impositiva tributaria (UIT) hasta cinco unidades impositivas tributarías (UIT). 2. Las infracciones graves son sancionadas con multa desde más de cinco unidades impositivas tributarias (UIT) hasta cincuenta unidades impositivas tributarias (UIT). 3. Las infracciones muy graves son sancionadas con multa desde más de cincuenta unidades impositivas tributarias (UIT) hasta cíen unidades impositivas tributarias (UlT).
10 Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo N° 003-2013-JUS: "Artículo 118.- Medidas cautelares y correctivas Una vez iniciado el procedimiento sancionador, la Dirección de Sanciones podrá disponer, mediante acto motivado, la adopción de medidas de carácter provisional que aseguren la eficacia de la resolución final que pudiera recaer en el referido procedimiento, con observancia de las normas aplicables de la Ley N° 27444, Ley del Procedimiento Administrativo General.
Página 18 de 22
87. Cabe señalar que la Dirección de Protección de Datos Personales determina el monto de las multas a ser impuestas tomando en cuenta para su graduación los criterios establecidos en el numeral 3 del artículo 246 de la LPAG. En tal sentido, debe prever que la comisión de las conductas sancionables no resulte más ventajosa para el infractor que cumplir las normas infringidas o asumir la sanción administrativa, por lo que la sanción deberá ser proporcional al incumplimiento calificado como infracción, observando para ello los criterios que dicha disposición señala para su graduación.
88. En el presente caso, la Dirección de Protección de Datos Personales considera como criterios relevantes para graduar las infracciones evidenciadas a los siguientes:
a) El beneficio ilícito resultante por la comisión de las infracciones:
No se ha evidenciado un beneficio ilícito resultante de la comisión de las infracciones.
b) La probabilidad de detección de las infracciones:
Respecto a la comisión de las infracciones imputadas, se tiene que la probabilidad de detección de las conductas infractoras es baja, puesto que ha sido necesario realizar una fiscalización para la detección de la misma, así como requerimientos de información posteriores a las visitas de fiscalización.
c) La gravedad del daño al interés público vio bien jurídico protegido:
Las infracciones detectadas afectan el derecho fundamental a la protección de datos personales, el cual se encuentra reconocido en el artículo 2, numeral 6 de la Constitución Política del Perú, siendo desarrollado por la LPDP.
Se ha demostrado que la entidad no tiene adecuadamente implementadas las medidas de seguridad sobre el tratamiento automatizado de datos personales de sus clientes, según las exigencias de la LPDP y su reglamento. Así también, se demostró que recopilan información de sus clientes de forma no proporcional, al ser excesiva para sus finalidades, y omitieron comunicar la realización del flujo transfronterizo de los datos personales recopilados en la página web de la entidad.
Asimismo, sin perjuicio de la sanción administrativa que corresponda por una infracción a las disposiciones contenidas en la Ley y el presente reglamento, se podrán dictar, cuando sea posible, medidas correctivas destinadas a eliminar, evitar o detener los efectos de las infracciones."
Página 19 de 22
d) El perjuicio económico causado:
No se ha evidenciado un perjuicio económico causado resultante de la comisión de las infracciones.
e) La reincidencia en la comisión de la infracción:
Del mismo modo, se tiene en cuenta que INVERDESA PERÚ S.A.C. no es reincidente, ya que no ha sido sancionado en alguna otra ocasión, por las infracciones imputadas en el presente procedimiento sancionador.
g Las circunstancias de la comisión de la infracción:
Respecto de recopilar datos personales sensibles de sus clientes de forma no proporcional, en inobservancia del principio de proporcionalidad de la LPDP, se advierte que INVERDESA PERÚ S.A.C. ha adoptado una medida encaminada a enmendar la infracción cometida, al igual que en el caso de la omisión de comunicar la realización del flujo transfronterizo de datos personales.
No se puede decir lo mismo acerca de la infracción consistente en la inobservancia del principio de seguridad de la LPDP, toda vez que la documentación presentada en el expediente no es suficiente para demostrar el cumplimiento de las disposiciones respectivas.
g) La existencia o no de intencionalidad en la conducta del infractor:
No se ha evidenciado que haya elementos que acrediten la no intencionalidad de las infracciones cometidas.
89. Entonces, a efectos de establecer la sanción de multa se tiene en cuenta la suma de dichos criterios que permiten graduarlas, conforme a los argumentos desarrollados en el considerando anterior.
Por las consideraciones expuestas y de conformidad con lo dispuesto por la Ley N° 29733, Ley de Protección de Datos Personales, su reglamento aprobado por el Decreto Supremo N° 003-2013-JUS, el Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017- JUS, y el Reglamento del Decreto Legislativo N° 1353 que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses aprobado por Decreto Supremo N° 019-2017-JUS;
SE RESUELVE:
Artículo 1.- Sancionar a INVERDESA PERÚ S.A.C. con la multa ascendente a diez (10) unidades impositivas tributarias por "Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento", al recopilar datos personales sensibles de sus clientes de forma no proporcional y en inobservancia del principio de proporcionalidad contemplado en el artículo 7 de la LPDP, configurándose la infracción grave prevista en el literal a) del numeral 2 del artículo 38 de la LPDP.
Artículo 2.- Sancionar a INVERDESA PERÚ S.A.C. con la multa ascendente a cero como 5 (0,5) unidad impositivas tributarias por "No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley", al no inscribir la realización del flujo transfronterizo de los datos personales recabados desde su página
Página 20 de 22
th.tere Dendo
kW»
e onales
ZALE7
web (www.bodvtechperu.com), incumpliendo lo dispuesto en el artículo 26 del reglamento de la LPDP, configurándose la infracción leve prevista en el literal e) del numeral 1 del artículo 132 del reglamento de la LPDP.
Artículo 3.- Sancionar a INVERDESA PERÚ S.A.C. con la multa ascendente a diez (10) unidades impositivas tributarias por "Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento", al dar tratamiento a datos personales de sus clientes incumpliendo lo dispuesto en el artículo 40 del reglamento de la LPDP y en inobservancia del principio de seguridad contemplado en el artículo 9 de la LPDP, configurándose la infracción grave prevista en el literal a) del numeral 2 del artículo 38 de la LPDP.
Artículo 4.- Informar a INVERDESA PERÚ S.A.C. que contra la presente resolución, de acuerdo a lo indicado en el artículo 216 del Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS, proceden los recursos de reconsideración o apelación dentro de los quince (15) días hábiles posteriores a su notificación''.
Artículo 5.- El pago de la multa será requerido una vez que la resolución que impone la sanción quede firme. En el requerimiento de pago se le otorgará diez (10) días hábiles para realizarlo y se entiende que cumplió con pagar la multa impuesta, si antes de que venza el plazo establecido en el requerimiento de pago, cancela el 60% de la multa impuesta conforme a lo dispuesto en el artículo 128 del reglamento de la LPDP12.
Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS "Artículo 216. Recursos administrativos 216.1 Los recursos administrativos son: a) Recurso de reconsideración b) Recurso de apelación Solo en caso que por ley o decreto legislativo se establezca expresamente, cabe la interposición del recurso administrativo de revisión. 216.2 El término para la interposición de los recursos es de quince (15) días perentorios, y deberán resolverse en el plazo de treinta (30) días."
Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo N° 003-2013-JUS. "Artículo 128.- Incentivos para el pago de la sanción de multa. Se considerará que el sancionado ha cumplido con pagar la sanción de multa si, antes de vencer el plazo otorgado para pagar la multa, deposita en la cuenta bancaria determinada por la Dirección General de Protección de Datos Personales el sesenta por ciento (60%) de su monto. Para que surta efecto dicho beneficio deberá comunicar tal hecho a la Dirección General de Protección de Datos Personales, adjuntando el comprobante del depósito bancario correspondiente. Luego de dicho plazo, el pago sólo será admitido por el integro de la multa impuesta."
11
12
Página 21 de 22
Artículo 6.- Notificar a INVERDESA PERÚ S.A.C. la presente resolución.
Regístrese y comuníquese.
viapp
MARÍA EJANDRA GONZÁLEZ LUNA Director e) de la Dirección de Protección de
Datos Personales Ministerio de Justicia y Derechos Humanos
Página 22 de 22