TEMA RELEVANTE

Los autores describen los aspectos que deben observarse para cumplir con la protección de datos personales, conforme a lo previsto en la Ley y el Reglamento recientemente publicado, a fin de evitar incurrir en infracciones con las consiguientes sanciones administrativas y penales. Así, por ejemplo, aconsejan que la administración de una empresa debe señalar quiénes pueden tener acceso a dichos datos y esta debe contar, asimismo, con prueba documentaria del conocimiento de la autorización así como del acceso restringido a determinada información personal o sensible.

SUMARIO

Introducción. I. ¿Cuál es el primer paso? identificación y organización de datos. II. ¿Qué uso le puedo dar a la información que he recopilado dentro de mi base de datos? ¿qué acciones puedo realizar o no realizar? III. ¿Cuáles son las precauciones a tomar en cuenta para la recolección de datos de los clientes? IV. ¿Cómo debe ser manifestado el consentimiento de los titulares de datos personales? V. ¿Todos los datos personales requieren consentimiento para su tratamiento? VI. La página web de mi empresa cuenta con “términos y condiciones”. ¿Estos pueden ser utilizados como un medio para que los titulares otorguen su consentimiento? VII. ¿Si los datos personales recopilados por la empresa serán transferidos fuera de nuestras fronteras, que obligaciones debe cumplir? VIII. ¿Cuál es la responsabilidad del gerente en caso de incumplimiento de la regulación de protección de datos personales? IX. ¿Existen consideraciones especiales para la protección de datos personales en el ámbito laboral? X. ¿Qué ocurre cuando se hace un uso inadecuado de los datos personales? XI. ¿La empresa debe implementar algún procedimiento específico para que los titulares de datos personales puedan hacer valer sus derechos conforme a la ley y su reglamento? XII. ¿Tiene la ANPD otras potestades, aparte de las netamente sancionadoras? XIII. ¿Cuánto tiempo tengo para adecuarme a la regulación de protección de datos?

MARCO NORMATIVO

• Ley de Protección de Datos Personales, Ley Nº 29733 (03/07/2011).

• Reglamento de la Ley de Protección de Datos Personales, Decreto Supremo Nº 003-2013-JUS (22/03/2013).

INTRODUCCIÓN

Con la publicación del Reglamento de la Ley de Protección de Datos Personales1 (en adelante, Reglamento), aprobado por Decreto Supremo N° 003-2013-JUS, se ha desarrollado y regulado el tratamiento de protección de datos personales en el Perú de lo ya dispuesto en la Ley N° 29733 Ley de Protección de Datos Personales, que pronto será de cumplimiento obligatorio para personas naturales o jurídicas del Sector Privado, así como para todas las entidades públicas.

Si usted es representante o titular de una empresa o sociedad comercial, (o se encuentra relacionado de forma profesional o laboral) bajo cualquiera de sus modalidades: Sociedad Anónima, Sociedad Anónima Cerrada, Sociedad de Responsabilidad Limitada, Empresa Individual de Responsabilidad Limitada, posiblemente se encuentre informado sobre la aplicación de las normas de protección de datos personales dispuestas en la Ley de Protección de Datos Personales (en adelante, la Ley); sin embargo, en caso se haya preguntado si la nueva reglamentación es solo una disquisición para los especialistas y no afecta directamente las operaciones de su empresa, le recomendamos detenerse un momento y tomar en consideración la siguiente información que, expuesta de una manera práctica, puede evitarle incurrir en graves incumplimientos que pudieran acarrearle sanciones administrativas y hasta penales a usted y a su empresa.

Una empresa, desde su constitución es un centro de gravitación de datos e información referente a clientes, proveedores, empleados, etc. No todos los datos que maneja, genera o utiliza una empresa pueden ser calificados como datos personales, sino solo aquellos que están compuestos de letras, números, gráficos, fotografías o sonidos, así como, los referidos a hábitos de cualquier tipo de personas naturales, que las identifica o las hace identificables a través de medios que puedan ser razonablemente utilizados. Estos pueden incluir: los nombres, nacionalidad, dirección física, número telefónico (fijo o móvil), edad, imagen, voz, correo electrónico, nombres de usuario en las redes sociales, número de tarjeta de crédito, cuenta bancaria, estado civil, número y edad de los hijos, entre otros datos referidos a una persona física determinada.

Por ejemplo, podríamos considerar una base de datos de una entidad financiera, en la que los números de cuenta permita identificar directamente a los titulares de la misma, mientras que en el caso de un dato identificable podríamos señalar a una base de datos con códigos de usuario que puedan ser descifrados a través de un algoritmo que permita identificar a sus titulares.

Se distinguen los datos sensibles referidos a la salud física o mental de la persona, características físicas, morales o emocionales, hechos de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima. Los datos sensibles, como los datos personales en general, pueden permitir crear el perfil de un cliente; sin embargo, a diferencia de estos, los datos sensibles se refieren a la esfera más íntima del cliente, caso por ejemplo, no de sus preferencias musicales, sino su preferencia por asistir a determinados espectáculos o por adquirir determinados productos o servicios que pertenecen a esferas íntimas, como aquellas que develan tendencias sexuales.

Tenga especial precaución si usted, por razón del objeto social de su empresa, tiene acceso o solicita datos personales, especialmente sensibles, a sus clientes, dado que es información que debe ser custodiada y utilizada bajo restricciones y con ciertas formalidades.

I. ¿CUÁL ES EL PRIMER PASO? IDENTIFICACIÓN Y ORGANIZACIÓN DE DATOS

Si tiene varios años en el mercado, muy probablemente la empresa debe contar con innumerable información referente a sus propios servicios o productos, sus activos, sus trabajadores y/o empleados, proveedores, clientes, entre otros. Es frecuente que esta información se encuentre distribuida en documentos físicos y electrónicos, y se conserve, en el mejor de los casos, custodiada en un archivo físico y/o digital al interior de la empresa, bajo la responsabilidad de una o más personas; o en el peor de los casos, se encuentre repartida entre los diferentes empleados de la empresa, y/o en los diferentes equipos informáticos y de telecomunicación de propiedad de la empresa o de sus trabajadores. De igual manera, es práctica común que las empresas que recién inician sus actividades, no presten la debida atención y cuidado a la información que manejan o generan; si este es su caso, o ha detectado que la información que ha recopilado y maneja no se encuentra debidamente organizada, el primer paso que debe realizar es recopilar (reunir y/o acopiar) e identificar todos los datos personales que se encuentren bajo su control, diferenciando dentro de estos –de haberlos– los datos sensibles a los que ya nos hemos referido.

Una vez identificados los datos personales en su poder, es indispensable organizarlos en un Registro bajo el formato electrónico que publicará la Autoridad Nacional de Protección de Datos (en adelante, ANPD) antes de la entrada en vigencia del Reglamento y asignarles una denominación.

Por el momento, y hasta que la ANPD publique los formatos para registros, no se requiere cumplir formalidades específicas; a continuación citamos un ejemplo de Registro de clientes, que debe adecuarse según el objeto de su empresa:

Sin embargo, podría darse el caso que con el tiempo la ANPD, que recibirá la información de cada persona jurídica en el Perú, estandarice los registros según el tipo de empresa o modelo de negocio.

Por el momento y como está precisado en el Reglamento, la obligación de la empresa en este extremo se cumple con la comunicación a la ANPD, con las condiciones que explicaremos más adelante.

II. ¿QUÉ USO LE PUEDO DAR A LA INFORMACIÓN QUE HE RECOPILADO DENTRO DE MI BASE DE DATOS? ¿QUÉ ACCIONES PUEDO REALIZAR O NO REALIZAR?

Los registros que mantienen las empresas reciben la denominación de “Bancos de Datos Personales” en el Reglamento (en adelante, BDP). En el caso de los datos personales identificados y registrados por la empresa, esta es “Titular” del banco de datos.

Puede ocurrir que una empresa, por razón de su giro de negocio o porque un cliente se encuentra domiciliado fuera de territorio peruano, sea designado como “Responsable del tratamiento”, esto significa que si bien no es quien tiene titularidad sobre los BDP, si se le considera como el “Encargado del tratamiento”.

Entonces, podemos señalar que el encargado del tratamiento puede ser un tercero, persona natural o jurídica, a quien se ha encargado por contrato la responsabilidad del tratamiento.

Cada una de estas categorías representa responsabilidades y obligaciones diferenciadas y algunas comunes, por lo que es necesario determinar en cada caso (en atención a cada BDP) cual es la condición en que se maneja ese registro.

En lo que respecta al uso de los datos personales, en aplicación del principio de finalidad, los datos personales deben ser recopilados para una finalidad determinada, explicita y lícita. En consecuencia, el tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimación.

Tanto la Ley como el Reglamento señalan que es obligación del titular y del encargado de la base de datos suprimir los datos personales cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la que fueron recopilados o hubiese vencido el plazo para su tratamiento (salvo que medie procedimiento de anomización o disociación2). Específicamente, en el caso de las empresas que prestan el servicio de tratamiento de bases de datos personales por encargo, el Reglamento señala que el plazo para la conservación de los datos será de dos (02) años contados desde la finalización del último encargo realizado.

III. ¿CUÁLES SON LAS PRECAUCIONES A TOMAR EN CUENTA PARA LA RECOLECCIÓN DE DATOS DE LOS CLIENTES?

Este aspecto es muy importante, porque aunque la empresa sea la titular o responsable de los bancos de datos que genera o solicita, el titular del dato personal es la persona natural a quien identifica o tiene la posibilidad de identificar. Por consiguiente, todos los datos personales que maneje la empresa deben ser obtenidos con consentimiento de titular del dato personal.

IV. ¿CÓMO DEBE SER MANIFESTADO EL CONSENTIMIENTO DE LOS TITULARES DE DATOS PERSONALES?

El consentimiento que brinden los titulares de la información contenida en una base de datos personales debe ser prestado cumpliendo las siguientes características mínimas:

a) Libre: Es otorgado sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de voluntad del titular de los datos personales. La entrega de obsequios o beneficios al titular de los datos personales con ocasión de su consentimiento no afectan la condición de libertad que tiene para otorgarlo, salvo en el caso de menores de edad.

Por el contrario, el condicionamiento de la aceptación para la prestación de un servicio, o la advertencia o amenaza de denegar el acceso a beneficios o servicios que normalmente son de acceso no restringido en caso no se brinde el consentimiento, sí afecta la libertad de quien otorga consentimiento para el tratamiento de sus datos personales, si los datos solicitados no son indispensables para la prestación de los beneficios o servicios.

b) Previo: Es otorgado con anterioridad a la recopilación de los datos o en su caso, anterior al tratamiento distinto a aquel por el cual ya se recopilaron.

c) Expreso e inequívoco: El consentimiento debe ser manifestado en condiciones que no admitan dudas de su otorgamiento. Puede ser verbal, escrito o brindarse dentro de un entorno digital. Así, cabe precisar lo siguiente:

i. Se considera que el consentimiento expreso se otorgó verbalmente cuando el titular lo exterioriza oralmente de manera presencial o mediante el uso de cualquier tecnología que permita la interlocución oral.

ii. Se considera consentimiento escrito a aquel que otorga el titular mediante un documento con su firma autógrafa, huella dactilar o cualquier otro mecanismo autorizado por el ordenamiento jurídico que queda o pueda ser impreso en una superficie de papel o similar.

iii. Tratándose del entorno digital, también se considera expresa la manifestación consistente en “hacer clic”, “cliquear” o “pinchar”, “dar un toque”, “touch” o “pad” u otros similares. En este contexto el consentimiento escrito podrá otorgarse mediante firma electrónica, mediante escritura que quede grabada, de forma tal que pueda ser leída e impresa, o que por cualquier otro mecanismo o procedimiento establecido permita identificar al titular y recabar su consentimiento, a través de texto escrito. También podrá otorgarse mediante texto preestablecido, fácilmente visible, legible y en lenguaje sencillo, que el titular pueda hacer suyo, o no, mediante una respuesta escrita, gráfica o mediante clic o pinchado.

En este punto, resulta pertinente manifestar que la condición de expreso no se limita a la manifestación verbal o escrita. En sentido restrictivo y de acuerdo con lo dispuesto por el Reglamento, se considerará consentimiento expreso a aquel que se manifieste mediante la conducta del titular que evidencie que ha consentido inequívocamente, dado que de lo contrario su conducta, necesariamente, hubiera sido otra.

d) Informado: Se presenta cuando al titular de los datos personales se le comunique clara, expresa e indubitablemente, con lenguaje sencillo, cuando menos información respecto de: (i) la identidad y domicilio o dirección del titular del banco de datos personales o del responsable del tratamiento; (ii) la finalidad del tratamiento de sus datos; (iii) la identidad de los posibles destinatarios; (iv) la existencia del banco de datos personales en que se almacenarán; (v) el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga; (vi) las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; y, (vii) de ser el caso, la transferencia nacional e internacional de datos que se efectúen.

V. ¿TODOS LOS DATOS PERSONALES REQUIEREN CONSENTIMIENTO PARA SU TRATAMIENTO?

El Reglamento establece que NO se requiere el consentimiento de los titulares de los datos personales para efectos de su tratamiento, en los siguientes supuestos:

a) Cuando los datos personales estén contenidos o destinados a ser contenidos en fuentes accesibles al público.

b) Cuando los datos personales sean necesarios para la ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento.

c) Cuando se hubiere aplicado un procedimiento de anonimización o disociación3.

Entre otros supuestos de datos relativos a solvencia patrimonial y de crédito, datos de salud, datos de organismos sin fines de lucro.

VI. LA PÁGINA WEB DE MI EMPRESA CUENTA CON “TÉRMINOS Y CONDICIONES”. ¿ESTOS PUEDEN SER UTILIZADOS COMO UN MEDIO PARA QUE LOS TITULARES OTORGUEN SU CONSENTIMIENTO?

No es suficiente que el titular de la información lea e implícitamente acepte los “términos y condiciones” que regulan el acceso y uso de una determinada página web, pues tratándose de información personal que lo identifica o lo hace identificable, la política de privacidad de las empresas debe ser introducida de manera explícita en sus sitios webs, además se debe contar con un instrumento para que el titular del dato pueda declarar expresamente su autorización.

De igual manera, tal y como se ha precisado anteriormente, el consentimiento que brinden los titulares respecto del uso de su información personal dentro de una página web o cualquier entorno digital debe darse de manera previa, expresa e inequívoca.

VII. ¿SI LOS DATOS PERSONALES RECOPILADOS POR LA EMPRESA SERÁN TRANSFERIDOS FUERA DE NUESTRAS FRONTERAS, QUE OBLIGACIONES DEBE CUMPLIR?

Conforme lo establecido por el Reglamento, la transferencia de datos personales implica la comunicación de los mismos dentro o fuera del territorio nacional, realizada a personas distintas al titular de los datos personales, al encargado del banco de datos personales o al encargado del tratamiento de datos personales. Las transferencias de datos personales fuera del territorio nacional son denominadas “flujo transfronterizo de datos personales”.

En toda transferencia se requiere el consentimiento de su titular, limitándose a la finalidad que la justifique, salvo las excepciones establecidas en la Ley. En todo supuesto, aquel a quien se transfieran los datos personales se obliga, por el solo hecho de la transferencia, a la observancia de las disposiciones de la Ley y el Reglamento.

En aquellos casos en los que se solicite el consentimiento para una forma de tratamiento que incluya o pueda incluir la transferencia nacional o internacional de los datos, el titular de la información deberá ser informado de forma tal que conozca inequívocamente tal circunstancia, además de la finalidad a la que se destinarán sus datos y el tipo de actividad desarrollada por quien los recibirá.

VIII. ¿CUÁL ES LA RESPONSABILIDAD DEL GERENTE EN CASO DE INCUMPLIMIENTO DE LA REGULACIÓN DE PROTECCIÓN DE DATOS PERSONALES?

El gerente es, en la práctica, el responsable del manejo de la sociedad y, por ende, el responsable legal de aquellos hechos que, por acción u omisión, obliguen legalmente a la empresa4, aun cuando esta acción u omisión sea por ejecución de un acuerdo previo de la Junta General de Socios/Accionistas o Directorio, en caso de sociedades, o por la decisión del titular, en el caso particular de las empresas individuales de responsabilidad limitada.

La responsabilidad del gestor legal de la administración de la empresa tiene connotaciones especiales en el caso específico de las obligaciones asumidas respecto a la protección de los datos personales que obran en las bases de datos de la empresa.

Como hemos mencionado, producto del ejercicio de su objeto social la empresa va recopilando información de trabajadores, de clientes, de proveedores, entre otros, teóricamente, a través de la interrelación que la empresa va teniendo de manera individual con cada una de ellos. La empresa es, conforme a la Ley, la titular de los bancos de datos personales que recopila y que ha obtenido de manera lícita, y el gerente, en su condición de administrador de la empresa, podría devenir en responsable del tratamiento, por ser quien finalmente decide sobre el uso, protección, transferencia y almacenamiento de los datos personales, si la empresa no ha manifestado lo contrario.

En consecuencia, bajo el presupuesto que el gerente será el responsable, tratararemos los siguientes supuestos:

1. No lleva una ordenada base de datos personales, organizada y con los niveles de seguridad idóneos para la información que almacena en ellas

Por ejemplo: si por un manejo poco prolijo de las fichas personales de los clientes, o por la poca o nula instrucción de los subordinados respecto al tratamiento, se llega a disponer de la información personal de los clientes, el Gerente asumirá responsabilidad legal, de tipo civil e incluso penal, por no haber llevado el orden que un debido comerciante debió tener al respecto, además de no haber establecido y mantenido una estructura de control interno diseñada para proveer de una seguridad razonable a la información privilegiada que maneja la empresa. Incluso, aun cuando haya tomado las precauciones iniciales para el manejo de la información, el Gerente será responsable del uso indebido por ser el administrador final del negocio a él encomendado.

Es de suma importancia que la administración de la empresa señale de manera expresa quiénes son las personas que pueden tener acceso a los datos personales, y que esta tenga prueba documentaria de que dichas personas tienen conocimiento de la autorización expresa de la cual gozan, así como que las demás personas que trabajan en el entorno tengan conocimiento del acceso restringido a determinada información personal o sensible. Sin este previo conocimiento no se puede desligar responsabilidad ni atribuir una violación a las normas, constituyéndose más bien en causal de agravamiento de la responsabilidad del gerente.

2. Recibe por parte de la Junta General de Accionistas y/o el Directorio la orden de una acción u omisión que generará una violación al secreto y confidencialidad de los datos personales, y no haga manifiesta su negativa a tal vulneración

Aun cuando, en la práctica, la negativa por parte del gerente pueda significar la pérdida de confianza en su persona, y por consiguiente, la revocación de su nombramiento, este funcionario está obligado a manifestar expresamente cualquier irregularidad que pueda vulnerar la seguridad en el tratamiento de los datos personales que ha recopilado la empresa, mediante documento que pruebe la comunicación del hecho al máximo órgano societario. En este supuesto, es de especial aplicación lo regulado por el artículo 191 de la Ley General de Sociedades.

3. Se emplea la información privilegiada para promover intereses personales, de terceros o de la misma sociedad, sin previo consentimiento

Por citar un ejemplo, un supermercado puede conocer patrones de conducta y de consumo de sus usuarios afiliados a una tarjeta de crédito o de descuento; si se vale de esta información para formar una base de datos de personas que consumen “x” producto farmacéutico, y proporciona este archivo a la farmacéutica “y”, se estaría configurando la vulneración de los datos personales de los titulares contenidos en este grupo, pues del tráfico de estos datos sensibles, un tercero puede tener acceso a información íntima de personas naturales sin su consentimiento.

4. La empresa hace uso de bases de datos personales obtenidos de manera ilegal o fraudulenta

Puede ser el caso de una empresa dedicada a la venta de chalets de descanso que desea conocer cuáles pueden ser sus potenciales clientes, y acude al “mercado negro” a fin de adquirir bases de datos de una Administradora de Fondos de Pensiones, a fin de tomar conocimiento de personas cuyos rangos de ingresos y de fondos los conviertan en potenciales compradores. En este caso, la acción ilegal será atribuible tanto al gerente que directamente adquiere la base de datos, como a la empresa que trafica ilegalmente la misma

5. El portal web de la empresa no informa de manera actualizada los procedimientos de obtención de datos ni el uso que se le dará a los mismos

La página web de la empresa se constituye en un medio formal de presentación de la misma ante los clientes, proveedores y potenciales consumidores o usuarios del producto o servicio que ofrece. Correspondería al gerente de la empresa o a quien delegue debidamente, verificar que la página web de la empresa cumpla con solicitar el consentimiento de los titulares de los datos personales conforme a la Ley y al Reglamento, y de ser el caso, en las demás páginas de redes sociales aperturadas por la empresa para el cumplimiento de su objeto social.

Hemos visto las responsabilidades legales que se derivan para la empresa, individualizadas en su gerente o en la persona nombrada para el tratamiento de los datos personales, las cuales no son pocas. La informalidad legal lleva muchas veces a nombrar administradores no profesionales, o que incluso siéndolo no están capacitados respecto al correcto tratamiento legal de los datos personales. Ahora, como contraparte, procederemos a ver cuáles son las facultades o derechos de los cuales está premunida la empresa en su condición de titular de bancos de datos personales, y por ende, las facultades o derechos que ejercerá el gerente de la empresa respectiva. Entre los principales debemos de mencionar:

1. Por la misma naturaleza personal de los datos que maneja, el gerente de la empresa no estará obligado a suministrar información que conforme la base de datos personales, sin el previo consentimiento del titular de los datos personales, salvo mandato judicial que lo compela a brindar dicha información.

Revisando un caso en particular, podemos citar como ejemplo el proceso de Due Diligence que se realizacuando una pretende absorber a otra. En estos procesos, es común que la empresa que busca adquirir los activos y pasivos de la otra solicite a esta toda información que resulte relevante para su negocio; en tal panorama, es común que se solicite información detallada de los clientes que tiene, no solo respecto a las relaciones comerciales, sino también datos específicos sobre los trabajadores de la empresa, incluso respecto a perfiles sicológicos, fichas médicas, u otros datos que la empresa titular puede manejar pero que devienen en datos personales de estos clientes o trabajadores. En estos casos, si es que previamente la empresa no cuenta con el consentimiento de manera libre, previa, inequívoca e informada por parte de la persona titular de los datos personales, el gerente puede negarse a suministrar la información. Por ello, es recomendable que, cuando la empresa capte datos de clientes, proveedores y trabajadores, considere el uso que puede darle a estos datos en caso de procesos de Due Diligence, y que antes de iniciar este proceso suscriba detallados documentos de confidencialidad con la empresa a la cual se faciliten los datos personales.

2. La empresa podrá valerse de medios de comunicación electrónica, óptica o de tecnología similar, a fin de obtener el consentimiento para la utilización de los datos personales, siempre que estos medios faciliten un acceso fácil y tratamiento inequívoco por parte del titular de los datos personales, y dé a estos la posibilidad de modificarlos.

3. La transferencia de los datos personales, desde los ambientes de procesamiento o almacenamiento hacia cualquier destino fuera de la empresa, solo podrá hacerse previo consentimiento del responsable del tratamiento. Es decir, si el gerente de la empresa no da su consentimiento para la transferencia de los datos, su responsabilidad legal se ve mitigada, más aún si llega a probar que tomó las medidas de seguridad propias de un diligente y leal comerciante.

4. La empresa podrá nombrar a una tercera persona, natural o jurídica, que se encargue del tratamiento y protección de los datos personales, así como de sus respectivas bases de datos. Si bien el gerente no quedará totalmente eximido de responsabilidad en caso de un mal tratamiento por parte de la persona designada, su responsabilidad se verá atenuada en caso que se pruebe que actuó con la diligencia idónea. Sin embargo, existen dos supuestos contemplados por el Reglamento, en los cuales la persona contratada asumirá las obligaciones del titular del banco de datos o encargado del tratamiento, siendo estos cuando:

a) Se destine o utilice los datos personales con una finalidad distinta a la autorizada expresamente; o,

b) Se efectúe una transferencia de datos incumpliendo las instrucciones del titular del banco de datos, aun cuando sea para la conservación de dichos datos.

5. Están permitidas las transferencias de datos personales dentro de un sector o grupo empresarial si es que este cumple con garantizar el correcto tratamiento de los datos personales, a través de la aplicación de un Código de Conducta común a todas las empresas, que establezca las normas internas de protección de datos personales.

6. La empresa puede hacer caso omiso a la solicitud de supresión de datos personales solicitada por el titular de los mismos, siempre que estos datos deban ser conservados en virtud de razones históricas, estadísticas o científicas, o en caso que el tratamiento de los mismos sea materia de la relación contractual entre el titular de los datos personales y la empresa. Este supuesto se podría dar cuando una persona ha contratado expresamente a una entidad para que realice la protección de determinados datos personales, la sola solicitud de supresión de los datos no será motivo para acceder a ella, por cuanto el tratamiento de los datos es parte de la prestación contratada, siendo necesario que previamente se haya establecido la solicitud como una causal de resolución contractual o que se negocie entre las partes la conclusión anticipada de la relación jurídica.

IX. ¿EXISTEN CONSIDERACIONES ESPECIALES PARA LA PROTECCIÓN DE DATOS PERSONALES EN EL ÁMBITO LABORAL?

Con ocasión del vínculo laboral, el empleador tiene acceso a una serie de datos e información de sus trabajadores, no solo de carácter profesional y económico, sino también de su esfera más íntima. Esta información puede provenir del propio trabajador o haber sido proporcionada por terceros (por ejemplo, a través de empresas de reclutamiento). En ejercicio del poder de dirección y organización del empleador, este se encuentra facultado para utilizar dicha información a efectos de optimizar las capacidades individuales de sus trabajadores asignándolos a los puestos de trabajo de la empresa en los que puedan desarrollar mejor sus potencialidades y lograr una mayor productividad.

En el contexto de un creciente empleo de nuevas tecnologías y generalización de bases de datos que recopilan ingentes cantidades de información, en donde la transferencia de la data se realiza de forma cada vez más fácil y rápida, el Derecho del Trabajo debe particularmente observar más allá de los derechos propiamente laborales (derecho a no ser despedido arbitrariamente, derecho a la sindicalización, etc.) y considerar al trabajador como una persona humana titular de derechos constitucionales diferentes al laboral, denominados por la Doctrina como derechos constitucionales inespecíficos, como son el derecho a la igualdad y no discriminación, la libertad ideológica y religiosa, a la intimidad personal y a la propia imagen5.

A continuación, presentamos algunas reflexiones preliminares sobre los supuestos en los cuales los empleadores deberán prestar mayor atención cuando realicen el tratamiento de los datos personales de sus trabajadores, para cumplir con la Ley y Reglamento y evitar cualquier multa administrativa por parte de la ANPD.

1. Antes del inicio de la relación laboral: el reclutamiento

Dentro de un proceso de reclutamiento el empleador puede directamente, o a través de los servicios de reclutamiento –también llamados head hunters–, realizar evaluaciones (psicotécnicas y test de habilidades numérico y verbales, e incluso evaluaciones psicológicas) que midan las destrezas cognitivas y determinen un perfil de comportamiento o conducta para fines organizacionales.

De acuerdo al Reglamento, la información relacionada con las características morales y emocionales, así como la relacionada con la salud mental, califica como dato sensible, con lo cual, son merecedoras de una especial protección. Siendo ello así, para la aplicación de los test psicológicos será necesario que la empresa obtenga el consentimiento previo por escrito por parte del postulante para el tratamiento de sus datos personales, informándole a su vez la finalidad para la que se utilizará la información recolectada. De acuerdo al principio de proporcionalidad contenido en la Ley, el tratamiento de las bases de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que hubiera sido recopilado, con lo cual, las preguntas planteadas al postulante deberían guardar relación con el fin de la entrevista, que es obtener la mejor apreciación posible de las cualificaciones del postulante para el puesto de trabajo. Sobre este punto, la Ley establece que se deberá informar el carácter obligatorio o facultativo de las respuestas a las preguntas planteadas, aplicando este requisito especialmente al tratamiento de datos sensibles.

En este punto es pertinente indicar que, siguiendo el principio de proporcionalidad, las empresas de tendencia o también llamados empleadores ideológicos6, tienen consideraciones especiales para indagar válidamente por cuestiones ideológicas de naturaleza religiosa, política, filosófica o similar del trabajador en tanto dicha información resultara necesaria para el correcto desarrollo de las funciones que va a desempeñar.

Finalmente, cabe indicar que la empresa (como titular del banco de datos personales) debe adoptar las medidas técnicas, organizativas y legales que garanticen la seguridad del banco de datos personales, y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Igualmente, tanto el titular del banco de datos, el encargado de su tratamiento (la empresa de reclutamiento), así como quienes intervengan en cualquier etapa del tratamiento del dato personal, deberán guardar su confidencialidad y de sus antecedentes. La obligación de confidencialidad subsiste aún después de finalizado el contrato con el titular del banco de datos personales (la empresa).

2. Información de la planilla

En la planilla que procesan las empresas está registrada, entre otra información, los montos y periodicidad de la remuneración, así como el detalle de otros conceptos –remunerativos o no– que el trabajador pudiera percibir con ocasión del vínculo laboral. Esta información denominada económica califica como un dato sensible de acuerdo a la Ley. Sin embargo, a pesar de dicha calificación, no se requeriría que el empleador obtenga el consentimiento por escrito del trabajador para obtener o procesar la referida información en razón de que el tratamiento de dichos datos resultaría necesario para la ejecución del vínculo contractual laboral en donde el trabajador –titular del dato personal– forma parte del contrato.

Ahora bien, tratándose de un dato sensible, será necesario un mayor nivel de seguridad en su tratamiento, más aún teniendo en cuenta que el empleador puede contratar con un tercero para que lleve la contabilidad y el procesamiento de la planilla. Este tercero calificaría como el encargado del tratamiento de la base de datos personales, y estaría obligado a guardar confidencialidad de los datos personales que maneja, siendo que dicha obligación subsistiría aún después de finalizado el contrato con el titular del banco de datos personales (el empleador).

3. Datos relacionados a la salud

De acuerdo al Reglamento, califica como dato personal relacionado a la salud aquel concerniente a la salud pasada, presente o pronosticada, sea física o mental, incluyendo su grado de discapacidad e información genética. Este tipo de información además califica como dato sensible, y por lo tanto, es objeto de protección especial.

Durante la relación laboral, cuando un trabajador se ausenta por razones de salud, debe presentar un certificado médico a su empleador con el fin de sustentar dicha inasistencia. El certificado médico contendrá no solo los días de descanso sino también el motivo, con lo cual, podría suceder que un trabajador sufra de constantes alergias respiratorias o migrañas y haya entregado la documentación médica sustentatoria a su empleador, quien de esta manera conocerá de las afecciones recurrentes de su trabajador.

Sería legítimo que el empleador conozca el estado de salud de sus trabajadores a efectos de poder asignar los puestos de trabajo, de manera tal de no poner en peligro a sus trabajadores (por ejemplo, para la realización de trabajos de campo, será necesario comprobar el funcionamiento óptimo de los sentidos auditivos o visuales del trabajador). Sin embargo, constituyendo el dato relacionado a la salud uno de carácter sensible, el empleador deberá tener un mayor cuidado en el resguardo de la documentación que la contenga. Así, en el supuesto de que los certificados médicos se encuentren en los files personales de los trabajadores, los armarios o archivadores en los que se almacenen deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente, debiendo dichas áreas permanecer cerradas cuando no sea preciso acceder a ella.

A la conclusión del vínculo laboral, el trabajador válidamente podría solicitar que los datos personales contenidos en su file personal, y especialmente los de salud, sean suprimidos en razón de que la finalidad para la que fueron obtenidos ha desaparecido.

4. Uso de la huella digital en el control de asistencia

En los últimos tiempos se ha ido incrementando el empleo de la huella dactilar como medio para realizar el control de entrada y salida del trabajador en el centro de labores. La huella digital, considerada como un dato biométrico7, califica según la Ley como un dato sensible, y por lo tanto, es objeto de especial protección. A la luz del Reglamento, la creación de bancos de datos personales que contengan datos sensibles como la huella dactilar se justifica si su finalidad, además de ser legítima, es concreta y acorde con las actividades o fines explícitos del titular del banco de datos. Adicionalmente, recordemos que sobre este punto, la Ley establece que no será necesario el consentimiento del titular del dato cuando el citado dato sea necesario para la ejecución de una relación contractual de la cual forma parte el titular del dato personal.

Nos preguntamos si es que el uso de la huella digital, como método de control de asistencia, es necesario para la ejecución del contrato de trabajo. ¿Acaso no existen otros medios igual de certeros para fiscalizar el horario de entrada y salida –como por ejemplo, el marcado de tarjetas electrónicas? Sobre este tema, habrá que esperar al pronunciamiento de la ANDP.

5. Información sindical

De acuerdo a la Ley, la información sobre la afiliación sindical califica como dato sensible, y por lo tanto, es objeto de especial protección, requiriéndose un consentimiento previo por escrito para su tratamiento.

Sobre este punto, la Ley ha establecido específicamente que no se necesitará el consentimiento del titular del dato personal, cuando el tratamiento del mismo sea efectuado por organismos sin fines de lucro cuya finalidad sea sindical y se refiera a los datos personales recopilados de sus miembros que guarden relación con el propósito a que se circunscriben sus actividades.

6. Grupo de empresas

En el caso de la transferencia de datos personales dentro de los grupos empresariales, de acuerdo al Reglamento, se cumple con garantizar el tratamiento de datos personales si se cuenta con un Código de Conducta que establezca las normas internas de protección de datos personales. Este código deberá inscribirse en el Registro Nacional de Protección de Datos Personales (en adelante, el Registro) e incluir ciertos contenidos mínimos, entre los cuales se encuentran por ejemplo, cláusulas para la obtención del consentimiento de los titulares de los datos personales para el tratamiento de sus datos personales, modelos para el ejercicio de aquellos a quienes se hayan afectado sus derechos de información y acceso, rectificación, cancelación y oposición y, modelos e cláusulas para el cumplimiento de los requisitos formales para la contratación de un encargado del tratamiento.

La Ley otorga al trabajador –en su calidad de titular de los datos personales– la acción de indemnización en caso considerarse afectado por el incumplimiento de la Ley por su empleador.

X. ¿QUÉ OCURRE CUANDO SE HACE UN USO INADECUADO DE LOS DATOS PERSONALES?

Toda acción u omisión que contravenga o incumpla las disposiciones de la Ley o el Reglamento constituye infracción sancionable.

El procedimiento sancionador se inicia por denuncia de parte o de oficio por la ANPD, cuyas resoluciones agotan la vía administrativa y proceden la acción contencioso-administrativa. Las infracciones se califican en leves, graves o muy graves, y se les aplican las sanciones administrativas señaladas a continuación:

En ningún caso la multa impuesta puede ser superior al 10% de los ingresos brutos anuales que hubiera percibido el presunto infractor durante el ejercicio anterior. La imposición de la multa se efectúa sin perjuicio de las sanciones disciplinarias sobre el personal de las entidades públicas en los casos de bancos de datos personales de administración pública, así como de la indemnización por daños y perjuicios y de las sanciones penales a que hubiera lugar.

XI. ¿LA EMPRESA DEBE IMPLEMENTAR ALGÚN PROCEDIMIENTO ESPECÍFICO PARA QUE LOS TITULARES DE DATOS PERSONALES PUEDAN HACER VALER SUS DERECHOS CONFORME A LA LEY Y SU REGLAMENTO?

Los titulares de datos personales tienen derecho de información, acceso, rectificación, cancelación, oposición y tratamiento objetivo sobre sus datos personales.

Todas las solicitudes de los titulares de datos deben ser recibidas y atendidas por las empresas.

Las empresas deberán dar respuesta a la solicitud presentada según el caso: derecho de información (8 días desde el día siguiente de la presentación de la solicitud), acceso (20 días), los otros derechos (10 días). Las empresas podrán establecer mecanismos que faciliten el ejercicio de esos derechos por los titulares de datos personales.

La respuesta entregada por la empresa, deberá referirse únicamente a aquellos datos que específicamente se hayan indicado en la solicitud y presentarse en forma clara, legible, comprensible y de fácil acceso. La prueba del cumplimiento del deber de respuesta es del titular del banco de datos personales o responsable del tratamiento. La denegación parcial o total de la solicitud debe estar debidamente justificada y debe señalar su fundamento legal, dejando a salvo del derecho del titular del dato personal de acudir ante la ANPD.

Todas las empresas, titulares o responsables de bancos de datos personales, que dispongan de servicios de cualquier naturaleza para la atención del público o el ejercicio de reclamaciones relacionados con el servicio prestado o productos ofertados, podrán también atender las solicitudes para el ejercicio de los derechos de los titulares de datos personales a través de dichos servicios, siempre que se otorguen plazos mayores a los comunes.

Téngase presente que en ningún caso debe entenderse que los procedimientos diseñados en cumplimiento de otra normativa, caso de la de protección al consumidor, pueden utilizarse a fin de dar cumplimiento a la regulación de protección de datos.

XII. ¿TIENE LA ANPD OTRAS POTESTADES, APARTE DE LAS NETAMENTE SANCIONADORAS?

Las empresas tienen la obligación de tramitar la inscripción de actos que creen, modifiquen o cancelen bancos de datos personales en el Registro de la ANPD. Este Registro no es sino una unidad destinada el almacenamiento de información sobre los bancos de datos personales de titularidad pública o privada y que tiene como finalidad brindar publicidad de la inscripción de mencionados bancos de tal manera que se pueda ejercer todos los derechos de acceso a la información, rectificación, cancelación, oposición y otros regulados en la Ley.

Los titulares de bancos de datos personales que se inscriban en el Registro deberán proporcionar la siguiente información:

1. Denominación y ubicación del banco de datos personales, sus finalidades y los usos previstos.

2. La identificación del titular del banco de datos personales, y en su caso, la identificación del encargado del tratamiento.

3. Tipos de datos personales sometidos a tratamiento de dicho banco.

4. Procedimientos de obtención y el sistema de tratamiento de los datos personales.

5. La descripción técnica de las medidas de seguridad.

6. Los destinatarios de transferencias de datos personales.

Dicha inscripción debe mantener actualizadas todas sus modificaciones, en el caso de la cancelación, se deberá informar el destino que se dará a los datos para su destrucción.

Por otro lado, con relación al procedimiento de fiscalización, se puede iniciar de oficio o por denuncia de parte. Se iniciará siempre de oficio como consecuencia de:

1. Iniciativa directa de la Dirección de Supervisión y Control o del Director General de Protección de Datos Personales.

2. Por denuncia de cualquier entidad pública, persona natural o jurídica.

En el caso de la denuncia, esta podrá presentarse en soporte físico o según los formatos tipo automatizados que se exhiban en el portal institucional del Ministerio de Justicia y Derechos Humanos.

El procedimiento de fiscalización durará máximo 90 días, podrá incluir diversas visitas. No procede bajo ningún motivo la interposición de recurso alguno.

Por otro lado, las autoridades competentes para el procedimiento sancionador son:

1. El director de la Dirección de Sanciones, quien es la autoridad que instruye y resuelve solo en primera instancia así como mantiene plena competencia para conducir o desarrollar la fase de investigación.

2. El Director General de Protección de Datos Personales, quien resuelve en segunda y última instancia y su decisión agota la vía administrativa.

Ahora bien, como se ha señalado anteriormente, existe la posibilidad de que con el tiempo, la ANPD estandarice los registros según el tipo de empresa o modelo de negocio, con base en la información que recibirá de cada persona jurídica en el Perú.

XIII. ¿CUÁNTO TIEMPO TENGO PARA ADECUARME A LA REGULACIÓN DE PROTECCIÓN DE DATOS?

El Reglamento otorga el plazo de dos años desde la entrada en vigencia del Reglamento, para que las empresas adecúen sus bases de datos personales existentes, sin perjuicio de su inscripción ante la Autoridad Nacional de Protección de Datos.

___________________________

* Miembro del Equipo del Área de Derecho Corporativo del Estudio Iriarte & Asociados.

1 De acuerdo al artículo 3 del Reglamento, su entrada en vigencia será en el plazo de 30 días hábiles a partir del día siguiente de su publicación, ocurrida el 22 de marzo de 2013.

2 De acuerdo a la Ley, el procedimiento de anonimización se constituye en un tratamiento de los datos personales que impide la identificación o que no hace identificable al titular de estos, siendo el procedimiento irreversible.

Por su parte, de define al procedimiento de disociación como aquel tratamiento de datos personales que impide la identificación o que no hace identificable al titular de estos, siendo el procedimiento reversible.

3 De acuerdo a la Ley, el procedimiento de anonimización consiste en el tratamiento de los datos personales que impide la identificación o que no hace identificable al titular de estos, siendo el procedimiento irreversible.

Por su parte, de define al procedimiento de disociación como aquel tratamiento de datos personales que impide la identificación o que no hace identificable al titular de estos, siendo el procedimiento reversible.

4 Ley General de Sociedades - Ley N° 26887

Artículo 190.- Responsabilidad

El gerente responde ante la sociedad, los accionistas y terceros, por los daños y perjuicios que ocasione por el incumplimiento de sus obligaciones, dolo, abuso de facultades y negligencia grave.

El gerente es particularmente responsable por:

1. La existencia, regularidad y veracidad de los sistemas de contabilidad, los libros que la ley ordena llevar a la sociedad y los demás libros y registros que debe llevar un ordenado comerciante;

2. El establecimiento y mantenimiento de una estructura de control interno diseñada para proveer una seguridad razonable de que los activos de la sociedad estén protegidos contra uso no autorizado y que todas las operaciones son efectuadas de acuerdo con autorizaciones establecidas y son registradas apropiadamente;

(…)

4. El ocultamiento de las irregularidades que observe en las actividades de la sociedad;

(…).

6. El empleo de los recursos sociales en negocios distintos del objeto de la sociedad;

(…)

9. El cumplimiento de la ley, el estatuto y los acuerdos de la junta general y del directorio.

Artículo 191.- Responsabilidad solidaria con los directores

El gerente es responsable, solidariamente con los miembros del directorio, cuando participe en actos que den lugar a responsabilidad de estos o cuando, conociendo la existencia de esos actos, no informe sobre ellos al directorio o a la junta general.

Artículo 196.- Responsabilidad penal

Las pretensiones civiles contra el gerente no enervan la responsabilidad penal que pueda corresponderle.

5 PALOMEQUE LÓPEZ, Manuel-Carlos y ÁLVAREZ DE LA ROSA, Manuel. Derecho del Trabajo. 9ª edición, Centro de estudios Ramón Areces, Madrid, 2001, pp. 147-150.

6 De acuerdo a De Val Tena, en un sentido amplio se entiende por empresa ideológica a “aquellas organizaciones dirigidas al logro de fines políticos, sindicales, confesionales, caritativos, educativos, artísticos y similares que presuponen la adhesión a una particular ideología o concepción del mundo, genéricamente llamada “Tendencia”, por parte del prestador de servicio de ella dependiente”. En: DE VAL TENA, Ángel Luis. Las empresas de tendencia ante el Derecho del Trabajo: Libertad ideológica y contrato de trabajo. Ver: <dialnet.unirioja.es/descarga/articulo/229694.pdf>.

7 La Agencia Española de Protección de Datos (AEPD) ha definido el dato biométrico como “aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión. Así se emplean para tales fines las huellas digitales, el iris del ojo, la voz, etc.”.

8 Para el año 2013, la UIT fue fijada en S/. 3,700.00.