Address
304 North Cardinal St.
Dorchester Center, MA 02124

Work Hours
Monday to Friday: 7AM - 7PM
Weekend: 10AM - 5PM

Registro de Bancos de Datos Personales: ¿Duplicidad o Necesidad?

Claudia Legua Zúñiga

Abogada por la Pontificia Universidad Católica del Perú. Asociada del Área de Competencia, Propiedad Intelectual, Protección de Datos Personales y TMT del Estudio Hernández & Cía. Miembro Extraordinario de la Asociación Ius Et Veritas.

Ayrton Marañón Calderón

Abogado por la Pontificia Universidad Católica del Perú.


Introducción

Cada vez que brindamos nuestros datos personales a un tercero, este último los almacena en un banco de datos. De acuerdo con el numeral 1 del artículo 2° de la Ley de Protección de Datos Personales N.º 29733 (en adelante, “LPDP”) un banco de datos es el “conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.”

La titularidad puede recaer sobre una entidad pública o una privada. Sin embargo, todos los titulares se encuentran obligados a inscribir sus bancos de datos en el Registro Nacional de Protección de Datos Personales (en adelante, el “Registro”), que se encuentra a cargo de la Autoridad Nacional de Protección de Datos Personales (en adelante, “ANPDP”), en virtud del numeral 1 del artículo 34° de la LPDP. 

El incumplimiento de esta obligación ha sido calificado como una infracción leve en el literal e) del numeral 1 del artículo 132° del Reglamento de la LPDP, aprobado por el Decreto Supremo N.º 003-2013-JUS (en adelante, el “Reglamento”) y, por ende, puede ser sancionado con una multa de 0,5 hasta 5 UIT, según lo establecido en el artículo 39° de la LPDP.

En el presente artículo realizamos un análisis sobre el presunto fin publicitario del Registro, a favor del titular de datos, y si este es verdaderamente eficiente, considerando el deber simultáneo de informar que impone la norma.

La Finalidad del Registro de Banco de Datos Personales: Publicidad

Tanto la LPDP, como su exposición de motivos[1] no desarrollan la finalidad o propósito del registro objeto de análisis. La norma se limita a describir la figura y establecer los requisitos y el procedimiento que se debe seguir. El artículo 76º del Reglamento[2] y la ANPD (mediante el Informe N.º 06-2018-JUS/DGTAIPD-DPDP[3]), determinan que la finalidad del registro es dar publicidad de la inscripción de los bancos de datos para poner en conocimiento de los ciudadanos la identidad de sus titulares y viabilizar el ejercicio de derechos de los titulares de datos personales.
Un ejemplo de ello sería el caso de una persona que puede conocer a través de la consulta del Registro para qué finalidades se utiliza o a qué terceros se transfiere su información, de manera que pueda evaluar si corresponde revocar su consentimiento.
Francisco Eguiguren amplía esta explicación, afirmando que el propósito del Registro es que los titulares de datos personales conozcan la existencia en sí y las características de los bancos de datos registrados[4].

La Finalidad del Deber de Informar: ¿También Publicidad?

El artículo 18 de la LPDP establece que todas las personas tenemos derecho a recibir la información idónea sobré el tratamiento de nuestros datos personales. Este derecho tiene como finalidad que las personas tengamos mejores elementos para decidir si permitimos (o no) que nuestros datos personales sean tratados por quien nos los solicita.

En ese sentido, la ANPDP elaboró la Guía práctica para la observancia del «Deber de Informar». Mediante este documento, se establecieron los lineamientos que deben seguir los titulares de los bancos de datos o los responsables del tratamiento de los datos personales para cumplir con esta obligación. Así, los aspectos relevantes a informar a las personas son los siguientes:

  1. Identidad y domicilio: cuando el titular del banco sea una persona natural, se debe indicar el nombre y el número de su documento nacional de identidad. Si es una persona jurídica, la denominación/razón social y el número de su registro único de contribuyentes. En ambos casos, también se tiene que indicar cuál es el domicilio del titular del banco de datos o responsable del tratamiento.
  2. Finalidad del tratamiento: se debe describir de una forma sencilla para qué serán tratados los datos personales recopilados. Si los datos personales se utilizarán para más de una finalidad, se deben enumerar todas.
  3. Los datos de obligatoria entrega: es necesario especificar qué datos personales se requieren recopilar para cumplir con la finalidad del tratamiento.
  4. Las consecuencias de entregar sus datos personales y de la negativa a hacerlo: se debe informar al titular si es que es obligatorio o no que brinde su consentimiento para que se recopilen sus datos y las consecuencias de no hacerlo.
  5. Transferencia y destinatarios: si los datos personales son enviados a un tercero, dentro o fuera del Perú, se debe indicar la identificación al destinatario, hacia qué país se está enviando y con qué finalidades se realiza la transferencia. Los encargados del tratamiento también deben ser considerados como destinatarios.
  6. Banco de datos personales: se debe consignar la denominación del banco de datos personales en los que se almacenará la información. Se puede colocar el número de inscripción del banco ante el Registro para precisar su identificación.
  7. Tiempo de conservación de los datos personales: es necesario consignar el plazo durante el que se conservarán los datos personales. No pueden usarse criterios indeterminados.
  8. Ejercicio de los derechos ARCO: se debe informar a los titulares cómo pueden ejercer sus derechos de acceso, rectificación, cancelación y oposición. De igual forma, se les tiene que indicar cómo revocar su consentimiento y que pueden interponer un reclamo ante la ANPDP.

Doble Publicidad: Ineficiencia Regulatoria

Vemos que ambas obligaciones el registro de bases de datos y el deber de informar alcanzan casi la misma información al titular de datos personales[5].

Deber de InformarRegistro de Banco de Datos Personales
1. Identidad y domicilio del titular de banco de datos personales.
2. Finalidad del tratamiento.
3. Los datos de obligatoria entrega.
4. Las consecuencias de entregar sus datos personales y de la negativa a hacerlo.
5. Transferencia y destinatarios.
6. Banco de datos personales.
7. Tiempo de conservación de los datos personales.
8. Ejercicio de los derechos ARCO.
1. Código de registro.
2. Denominación.
3. Finalidad de tratamiento.
4. Usos previstos.
5. Sistema de tratamiento (automatizado o no automatizado).
6. Dirección para el ejercicio de derechos ARCO.
7. Tipos de datos personales.
8. Procedimientos de obtención.
9. Ubicación física del banco de datos personales.
10. Receptores de los datos a nivel nacional.
11. Receptores de flujo transfronterizo.
12. Medidas de seguridad (precisar si cuentan con ellas).

Así, nos encontramos ante un ordenamiento que establece un registro ante la Autoridad para publicitar los datos personales y, simultáneamente, obliga a los titulares de bancos a informar lo mismo. Sin perjuicio de ello, la evaluación de ambas obligaciones no viola el principio de non bis in idem[6].

Las infracciones coinciden en sujeto (titular de banco de datos) y fundamento (publicidad del tratamiento de la información). No obstante, el hecho infractor es distinto pues la información se dirige a diferentes receptores: la autoridad y los titulares de los datos, a pesar de que el destinatario final es el titular de la información. Como vemos, mantener las dos obligaciones vigentes resulta en una duplicidad regulatoria ineficiente. Entre ambas figuras, consideramos que el deber de informar es la manera más idónea de cumplir con el fin publicitario, pues involucra un menor esfuerzo para el titular de datos personales ya que la información le es directamente alcanzada, en lugar de requerir una acción proactiva de este sujeto (lo cual desincentiva su obtención y, en consecuencia, el ejercicio de sus derechos).

Además, al no requerir un procedimiento administrativo, es más sencillo para los titulares de bancos    de datos personales efectuar cambios en sus avisos informativos, por lo que estos se mantendrán actualizados a tiempo real, a diferencia del registro, que puede tomar hasta treinta (30) días hábiles[7].

Conclusión: La Verdadera Finalidad del Registro

Entonces, si la necesidad de brindar información a los titulares para el ejercicio de sus derechos se ve cubierta por el deber de informar, ¿cuál debería ser el verdadero propósito de la obligación de inscribir los bancos de datos personales? Pues bien, consideramos que la finalidad que podría tener esta obligación sería facilitar la labor de fiscalización que realiza la ANPDP.

Necesariamente, al solicitar la inscripción de los bancos de datos, los titulares declaran la existencia de estos ante la ANPDP. Así, en la práctica, cuando la ANPDP reciba una solicitud de registro podrá realizar las investigaciones correspondientes a fin de verificar la veracidad de lo consignado por el titular del banco de datos personales.

Asimismo, la probabilidad de detección de infracciones que tiene la ANPDP se incrementa con la existencia del Registro, ya que este se encuentra a su cargo y disposición. Es decir, es más sencillo para la ANPDP encontrar incumplimientos a la LPDP revisando la información que tiene disponible en su Registro, lo cual es más eficiente respecto a otro tipo de fiscalizaciones como son, por ejemplo, las visitas inspectivas o incluso los requerimientos de información.

Sugerimos que la administración podría clarificar las finalidades de la regulación emitida para identificar posibles soluciones menos gravosas. Por ejemplo, si el objetivo de la norma es favorecer la actividad fiscalizadora, se podrían implementar alternativas como un deber de notificación en lugar del registro de banco de datos personales, lo cual podría acortar el proceso y reducir la carga procedimental.


[1] El artículo 34º de la Ley crea el Registro Nacional de Protección de Datos Personales, como registro de carácter administrativo a cargo de la Autoridad Nacional de Protección de Datos Personales. El reglamento desarrolla el procedimiento para la inscripción de los actos y documentos inscribibles, que así lo requieren, tales como los bancos de datos y los códigos de conducta. Se debe mencionar que este registro no implica que la autoridad administrativa almacene los datos personales contenidos en los bancos de datos personales. (Fuente: Exposición de Motivos del Reglamento de la Ley Nº 29733 – Ley de Protección de Datos Personales).

[2] Artículo 76.- Inscripción registral. El Registro Nacional de Protección de Datos Personales es la unidad de almacenamiento destinada a contener principalmente la información sobre los bancos de datos personales de titularidad pública o privada y tiene por finalidad dar publicidad de la inscripción de dichos bancos de tal forma que sea posible ejercer los derechos de acceso a la información, rectificación, cancelación, oposición y otros regulados en la Ley y el presente reglamento.

[3] 11. La inscripción de los bancos de datos personales tienen como finalidad el poner en conocimiento de los ciudadanos la identidad de los titulares de los referidos bancos de datos, y con ello, determinar ante quién acudir para ejercer sus derechos, por lo que es obligatoria para el titular del banco de datos personales.

[4] EGUIGUREN, Francisco. “El Derecho a la Protección de los Datos Personales. Algunos Temas Relevantes de su Regulación en el Perú” en THEMIS – Revista de Derecho. Lima, 2015, pp. 136-137.

[5] Los datos resaltados en negrita representan la información que no está comprendida en la otra figura comparada.

[6] [Texto Único Ordenado de la Ley Nº 27444 – Ley del Procedimiento Administrativo General] Artículo 248.- Principios de la potestad sancionadora administrativa. La potestad sancionadora de todas las entidades está regida adicionalmente por los siguientes principios especiales: (…) 11. Non bis in idem.- No se podrán imponer sucesiva o simultáneamente una pena y una sanción administrativa por el mismo hecho en los casos en que se aprecie la identidad del sujeto, hecho y fundamento. Dicha prohibición se extiende también a las sanciones administrativas, salvo la concurrencia del supuesto de continuación de infracciones a que se refiere el inciso 7.

[7] [Decreto Supremo Nº 003-2013-JUS – Reglamento de la Ley de Protección de Datos Personales] Artículo 85.- Duración del procedimiento. El plazo máximo para emitir la resolución acerca de la inscripción, modificación o cancelación será de treinta (30) días.

Dimensión Mercantil
Dimensión Mercantil
Artículos: 412

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *