Proyecto protecciondatospers peruano

��Lima, viernes 23 de julio de 2004

��

Director (e): GERARDO BARRAZA SOTO Lima, viernes 23 de julio de 2004

FUNDADO EN 1825 POR EL LIBERTADOR SIMÓN BOLÍVAR

REPUBLICA DEL PERU

DIARIO OFICIAL

PROYECTO DE LA

LEY DE PROTECCIÓN

DE DATOS

PERSONALES

REPUBLICA DEL PERU

Ministerio de Justicia

LIMA, 2004

PREPUBLICACIÓN

RESOLUCIÓN MINISTERIALNº 331-2004-JUS

�� Lima, viernes 23 de julio de 2004

RESOLUCIÓN MINISTERIALNº 331-2004-JUS

Lima, 20 de julio de 2004

CONSIDERANDO:

Que, mediante Resolución Ministerial Nº 094-2002-JUS de fecha 18 de marzo de 2002, seconstituyó la Comisión Especial encargada de proponer el anteproyecto de Ley de Protección deDatos Personales y elaborar las propuestas legislativas y administrativas que correspondan;

Que, con fecha 15 de julio de 2004, el Presidente de la referida Comisión, elevó al Ministro deJusticia, el Anteproyecto de Ley de Datos Personales, el cual propone regular por primera vezen un solo cuerpo legal, disposiciones que tienen por finalidad garantizar los derechos y liberta-des fundamentales de las personas, especialmente con relación a la intimidad personal y fami-liar;

Que, habiendo culminado dicha Comisión con su labor, es necesario agradecer la colaboración desus integrantes y disponer la prepublicación del Anteproyecto de Ley de Datos Personales, a fin derecoger las opiniones de las diversas entidades públicas y privadas vinculadas a la materia, y delpúblico en general;

De conformidad con el Decreto Ley Nº 25993, Ley Orgánica del Sector Justicia;

SE RESUELVE:

Artículo 1º.- Agradecer, por su colaboración en la elaboración del Anteproyecto de la Ley de DatosPersonales, a los integrantes de la Comisión Especial nombrada por Resolución Ministerial Nº 094-2002-JUS:

- Carlos Gamarra Ugaz.- Juan José Altamirano Yáñez.- Ronald Cárdenas Krenz.- José Espinoza Céspedes.- Víctor Guevara Pezo.- Lilian Oliver Palomino.- Patricia Zavaleta Vértiz.- María de Lourdes Zamudio Salinas.

Artículo 2º.- Disponer la prepublicación del Anteproyecto de Ley de Datos Personales en elDiario Oficial El Peruano y en la página web del Ministerio de Justicia, www.minjus.gob.pe, a fin derecoger las opiniones de las diversas entidades públicas y privadas vinculadas a la materia, y delpúblico en general; dentro del plazo de treinta (30) días calendario, contados a partir de la publica-ción de la presente Resolución.

Artículo 3º.- Encargar a la Secretaría Técnica constituida mediante Resolución Ministerial Nº094-2002-JUS, la recepción, procesamiento y sistematización de los comentarios que se presen-ten al mencionado anteproyecto, a fin de elaborar la versión final, que será elevada al DespachoMinisterial.

Regístrese, comuníquese y publíquese.

BALDO KRESALJA R.Ministro de Justicia


PROYECTO

DE LA

LEY DE PROTECCIÓN DE DATOS PERSONALES

COMISIÓN MULTISECTORIALR.M. Nº 094-2002-JUS

• Carlos Gamarra Ugaz, Presidente

• Juan José Altamirano Yáñez

• Ronald Cárdenas Krenz

• José Espinoza Céspedes

• Víctor Guevara Pezo

• Lilian Oliver Palomino

• Patricia Zavaleta Vértiz

• María de Lourdes Zamudio Salinas

ÍNDICE

Título I DISPOSICIONES GENERALES Arts. 1-5

Título II PRINCIPIOS DE LA PROTECCIÓN DE DATOS

PERSONALES Arts. 6-14

Título III DERECHOS DE LOS INTERESADOS Arts. 15-20

Título IV DE LOS FICHEROS Arts. 21-34

Capítulo I Ficheros de la administración pública

Capítulo II Ficheros de titularidad privada

Título V LA AUTORIDAD NACIONAL DE PROTECCIÓN

DE DATOS PERSONALES Arts. 35-43

Título VI DE LAS SANCIONES Arts. 44-47

DISPOSICIONES COMPLEMENTARIAS


TÍTULO I

DISPOSICIONES GENERALES

Artículo 1º.- Finalidad de la Ley.La presente Ley tiene por finalidad regular y garantizar elderecho a la protección de datos personales, cautelandolos derechos a la intimidad, identidad, honor y propia ima-gen.

Artículo 2º.- Definiciones.Para todos los efectos de la presente Ley, se entenderápor:

2.1. Cesión o comunicación de datos.- Toda transmi-sión o manifestación de datos a una persona o en-tidad distinta del interesado.

2.2. Consentimiento.- Toda manifestación de voluntad,libre, inequívoca, explícita, específica e informada,mediante la cual el interesado apruebe o autoriceel tratamiento de sus datos personales.

2.3. Datos personales.- Cualquier información concer-niente a personas naturales identificadas o identifi-cables.

2.4. Datos sensibles.- Datos personales relacionadoscon: el origen racial y étnico, opiniones políticas,convicciones religiosas, filosóficas o morales, afi-liación sindical e información referente a la salud oa la vida sexual, así como aquellos otros estableci-dos por el Reglamento de la presente Ley.

2.5. Encargado del tratamiento.- Persona natural o ju-rídica, autoridad o cualquier órgano que, solo o con-juntamente con otros realice el tratamiento de da-tos personales por cuenta del responsable del fi-chero.

2.6. Fichero.- Todo conjunto organizado de archivos, re-gistros, base o banco de datos personales, cual-quiera fuere la forma o modalidad de su creación,formación, almacenamiento, organización y acce-so.

2.7. Fuentes accesibles por el público.- Aquellos fi-cheros, que pueden ser consultados por cualquierpersona, inclusive la de los diarios oficiales u otrasfuentes señaladas en el Reglamento de la presen-te Ley.

2.8. Interesado.- Persona natural titular de los datos ob-jeto del tratamiento de datos.

2.9. Procedimiento de disociación.-Todo tratamientode datos en el que la información que se obtengano pueda asociarse a persona natural identificadao identificable.

2.10. Responsable del fichero.- Persona natural o jurí-dica, pública o privada u órgano administrativo quedecida sobre el contenido, uso y realización del tra-tamiento de datos.

2.11. Transferencia.- Toda cesión o comunicación de da-tos de carácter internacional.

2.12. Tratamiento de datos.- Operaciones y procedi-mientos técnicos, de carácter automatizado o no,electrónicos o no, que permitan la obtención, gra-bación, uso, almacenamiento, elaboración, modifi-

cación, bloqueo o cancelación, así como la cesiónde datos que resulten de comunicaciones, interco-nexiones y transferencias.

Artículo 3º.- Datos protegidos.Los datos protegidos por la presente Ley son aquéllosque se encuentran contenidos en soporte físico, informá-tico o similar, u otros que se creen, susceptibles de trata-miento y uso público y/o privado.

Artículo 4º.- Ámbito de aplicación.La presente Ley se aplica a los ficheros de titularidadpública o privada, y al tratamiento de datos personalesrealizados en el territorio nacional.

Se regirán por su legislación y fines, siempre y cuandono contravengan esta Ley:

4.1. Los ficheros del Registro Nacional de Identifica-ción y Estado Civil - RENIEC;

4.2. Los ficheros generados de conformidad con la le-gislación en materia electoral;

4.3. Los ficheros vinculados al registro de condenas;

4.4. Los ficheros vinculados a fines estadísticos a car-go del Instituto Nacional de Estadística e Informá-tica - INEI; y

4.5. Los ficheros de las oficinas registrales de la Su-perintendencia Nacional de los Registros Públicos- Sunarp.

Artículo 5º.- Ficheros no comprendidos en el ámbitode aplicación.Lo dispuesto por esta Ley no será de aplicación a:

5.1. Los ficheros organizados por personas naturalespara fines exclusivamente domésticos o persona-les;

5.2. Los ficheros del personal oficial y subalterno delas fuerzas armadas y policiales;

5.3. Los ficheros organizados o establecidos por lasautoridades competentes para la investigación delterrorismo, narcotráfico y demás formas graves dedelincuencia organizada; y

5.4. Los ficheros administrados por el Consejo Nacio-nal de Inteligencia.

En los casos de los supuestos antes señalados, el res-ponsable del fichero informará la finalidad del mismo a laautoridad competente de su sector y velará por su ade-cuado uso, bajo responsabilidad. Asimismo comunicaráde su existencia a la Autoridad Nacional de Protecciónde Datos Personales.

TÍTULO II

PRINCIPIOS DE LA PROTECCIÓN DEDATOS PERSONALES

Artículo 6º.- Información

6.1. Para efectos de la obtención de los datos perso-nales, el interesado deberá ser previamente infor-mado, de modo expreso, explícito, detallado e in-equívoco:

PROYECTO DE LALEY DE PROTECCIÓN DE DATOS PERSONALES


6.1.1. Del responsable del fichero o quien solicitalos datos personales.

6.1.2. De la finalidad del fichero y de los motivospara los que se solicitan los datos perso-nales.

6.1.3. De la cesión o transferencia de los datospersonales.

6.1.4. Del carácter obligatorio o facultativo de surespuesta a las preguntas que se le plan-tee.

6.1.5. De las consecuencias resultantes de la ob-tención de los datos o de la negativa a su-ministrarlos.

6.1.6. De los derechos que le asisten respecto asus datos, su acceso, modificación, rectifi-cación y cancelación sobre los mismos.

6.1.7. De la identidad del responsable del trata-miento de los datos solicitados.

6.1.8. De la cesión de los datos personales e in-formación de riesgos a favor de ficheros desolvencia patrimonial administrados por lasCentrales Privadas de Información de Ries-gos -CEPIRS o similares. El Reglamentoestablecerá disposiciones complementa-rias para los casos de cesión de datos per-sonales a favor de estas entidades.

6.1.9. Del tiempo durante el cual se pueden con-servar los datos personales.

6.2. En caso de no ser informados debidamente de todolo indicado en el modo precedente, las personas alas que se solicite tales datos personales tendránel derecho de negarse a proporcionarlos, pudien-do impugnar o ejercer las acciones que estime con-venientes dentro de lo establecido por esta Ley ysus normas complementarias.

6.3. En el caso que se utilicen cuestionarios u otrosimpresos para la obtención de datos personales,deberán acompañarse a éstos las advertencias quehagan posible conocer la información a que se re-fiere el presente artículo.

6.4. Cuando se trate de recopilación de direcciones,reparto de documentos, publicidad, venta a dis-tancia, actividad comercial y otras actividades si-milares, se podrán utilizar nombres o direcciones,cuando la persona lo consienta por escrito o ex-presamente, así como otros datos personales quefiguren en las fuentes accesibles por el público,debiendo indicarse el origen de los datos.

Artículo 7º.- ResponsabilidadEl responsable del fichero y el encargado del tratamientosegún sea el caso, en el ejercicio de sus funciones, de-ben observar lo siguiente:

7.1. Recoger para su tratamiento datos personales quesean adecuados y pertinentes, con relación al ám-bito y finalidades determinadas, explícitas y legíti-mas para las que se hayan obtenido, no debiendoexcederse, con relación a la finalidad del fichero.

7.2. No obtener datos personales por medios fraudu-lentos, desleales o ilícitos.

7.3. Garantizar el ejercicio de los derechos del intere-sado reconocidos en la presente Ley.

7.4. Velar por la exactitud y actualización de los datospersonales de forma que respondan con veracidada la situación actual del interesado. Si los datos per-

sonales registrados resultaran inexactos, parcial ototalmente, el responsable del fichero deberá sus-tituirlos y rectificarlos conforme corresponda.

7.5. No realizar el tratamiento de datos personales parafines diferentes o contrarios para los que fueronrecogidos. Se excluyen de esta prohibición las ac-tividades de investigación científica siempre y cuan-do se utilice un procedimiento de disociación dedatos personales.

7.6. Eliminar los datos personales del fichero en cuan-to dejen de ser necesarios para cumplir la finali-dad para la que fueron obtenidos. Podrán mante-nerse por razones exclusivas de estudio, valor his-tórico, estadístico o investigación científica, de con-formidad con lo establecido en la presente Ley.

El responsable del fichero y el encargado del tratamientoque no cumplan con los deberes antes señalados, incu-rrirán en responsabilidad administrativa, sin perjuicio delas demás responsabilidades que correspondan.

Artículo 8º.- ConsentimientoTodo tratamiento de datos personales requerirá el con-sentimiento previo, informado e indubitable del interesa-do. En el caso de los datos sensibles dicho consentimientoademás será inequívoco, expreso y por escrito, salvo lasexcepciones previstas en el artículo siguiente y otras pre-vistas por ley.

En el caso de los incapaces, el consentimiento será otor-gado por sus representantes.

El interesado podrá revocar su consentimiento en cualquiermomento debiendo sustentar su solicitud cuando correspon-da y observando los mismos requisitos de su otorgamiento.

Artículo 9º.- Excepciones al consentimientoNo se requerirá el consentimiento del interesado cuando:

9.1. Los datos de carácter personal sean obtenidos parael ejercicio propio de la administración pública enel ámbito de su competencia.

9.2. No se posibilite la identificación o individualización dedatos e información de personas fallecidas que se em-pleen en investigaciones de carácter científico.

9.3. Se refiera a datos e información obtenidos de fuen-tes accesibles por el público.

9.4. Sean necesarios para el mantenimiento de una re-lación contractual en la que sea parte el interesado.

9.5. Se trate de una circunstancia en la que se encuen-tre en riesgo la vida o salud del interesado o seencuentre físicamente incapacitado y cuando seanecesario para el tratamiento y el diagnóstico mé-dico, por razones de salubridad pública o cuandomedien razones de interés general previstas porley, de conformidad con la Ley General de Salud.En los supuestos señalados, quienes realicen eltratamiento de los datos personales se encuen-tran obligados a guardar el secreto profesional.

9.6. Los datos personales o información de riesgo cons-ten en los ficheros de las Centrales Privadas deInformación de Riesgos -CEPIRS o similares. Eneste caso, dichas entidades deberán comunicar alos interesados la incorporación de sus datos oinformación dentro de los cinco (5) días hábiles dehaber sido ingresados al fichero correspondientey con anterioridad a la difusión de los mismos.

Artículo 10º.- Consentimiento para la cesión o trans-ferencia de datos personalesLos datos personales sólo podrán ser comunicados o ce-didos a terceros, previo consentimiento expreso del inte-resado.


10.1. No será necesario dicho consentimiento en lossiguientes casos:

10.1.1. Cuando la cesión esté autorizada expre-samente por ley.

10.1.2. Cuando se trate de datos recogidos defuentes accesibles por el público.

10.1.3. Cuando el tratamiento se derive de una re-lación jurídica contractual existente. En estecaso, sólo será legítimo el uso de datos quese limiten a la finalidad directamente rela-cionada con la referida relación jurídica.

10.1.4. Cuando la comunicación sea requerida ofi-cialmente por el Defensor del Pueblo en elámbito de sus atribuciones de defensa delos derechos humanos, el Ministerio Públi-co durante el proceso de investigación deldelito, o el Poder Judicial en el ejercicio dela función jurisdiccional.

10.1.5. Cuando responda a exigencias de emer-gencia relativas a la vida y salud del intere-sado.

10.1.6. Cuando la comunicación se efectúa previoprocedimiento de disociación.

10.1.7. Otras conforme a ley.

Artículo 11º.- Clasificación especialNinguna persona puede ser obligada a proporcionar da-tos sensibles, quedando prohibida la creación de fiche-ros con la finalidad exclusiva de tratar datos personalesque revelen la ideología, afiliación sindical, religión, creen-cias, origen racial, étnico y genético, salud o vida sexualy aquellos otros, que señala el Reglamento de la presen-te Ley.

Quien incumpla esta prohibición será sancionado confor-me a esta Ley y su Reglamento, sin perjuicio de las de-más responsabilidades establecidas por el ordenamien-to jurídico.

No se encuentran comprendidos en lo dispuesto por elpresente artículo, los ficheros administrados por los par-tidos políticos, sindicatos, iglesias, confesiones, comuni-dades religiosas, asociaciones, fundaciones, y otras en-tidades sin ánimo de lucro, cuya finalidad sea política,filosófica, religiosa o sindical, en cuanto a los datos rela-tivos a sus asociados o miembros, sin perjuicio que parala cesión de dichos datos se requiera del previo consen-timiento escrito del interesado.

Artículo 12º.- SeguridadLas medidas de seguridad a adoptar por el responsabledel fichero, como mínimo para el tratamiento de datospersonales son:

12.1. Medidas de índole técnico y organizativas nece-sarias que garanticen la veracidad, integridad, ac-tualización de los datos personales y eviten su al-teración, pérdida, tratamiento o acceso no autori-zado.

No podrán obtenerse datos e información perso-nal si los ficheros que los almacenen no cumplencon las medidas de seguridad a que se refiere elpárrafo anterior.

12.2. Los requisitos y condiciones que deberán reunirlos ficheros en materia de seguridad son los esta-blecidos en el Reglamento de la presente Ley.

Artículo 13º.- Seguridad en los contratosEn caso que el responsable del fichero requiera celebrarcontratos que conlleven al tratamiento de datos perso-nales y cuya ejecución proporcione a terceros acceso a

los mismos, deberá incluir en dichos contratos la obliga-ción de implementar las medidas de seguridad señala-das en el artículo 12º de la presente Ley y la obligaciónde éstos de guardar absoluto secreto sobre el contenidode los datos. Dicha obligación subsiste aún cuando elcontrato no se encuentra vigente entre las partes.

Artículo 14º.- ConfidencialidadEl responsable del fichero y quienes intervengan en cual-quier parte del tratamiento de datos personales están obli-gados al secreto profesional respecto de los mismos. Estaobligación subsistirá aún después de finalizar sus rela-ciones con el responsable del fichero.

El incumplimiento de esta disposición generará respon-sabilidad penal del infractor.

TÍTULO III

DERECHOS DE LOS INTERESADOS

Artículo 15º.- Derecho de acceso a los datos perso-nales.Por medio del derecho de acceso, el interesado podrásolicitar y obtener información sobre sus datos persona-les sometidos a tratamiento. Este derecho incluye la for-ma de obtención de los datos.

Artículo 16º.- Derecho de modificación y rectificaciónde los datos personales.El interesado puede solicitar la modificación o rectifica-ción de sus datos personales demostrando que se haincumplido con lo dispuesto en el artículo 6º de esta Ley.

El plazo para resolver sobre dicho requerimiento será deveinte (20) días hábiles contados a partir del día siguien-te de recibida la solicitud.

Si los datos personales inexactos o erróneos hubierensido comunicados a otras personas o entidades, el res-ponsable del tratamiento deberá proceder a la comunica-ción de dicha rectificación a quienes hubieren recibido lainformación anterior dentro del plazo señalado.

Artículo 17º.- Derecho de Cancelación de los datospersonales.Los datos de carácter personal serán cancelados cuandohayan dejado de ser necesarios o pertinentes para la fina-lidad para la cual hubieran sido recabados o registrados.

El interesado tiene el derecho de solicitar la cancelaciónde sus datos, siempre y cuando la recogida y tratamien-to de sus datos no se ajuste a lo dispuesto por el artículo6º de esta Ley; asimismo, cuando el tratamiento de di-chos datos esté únicamente destinado a evaluar deter-minados aspectos de su personalidad con la finalidad deofrecer una definición de sus características persona-les o hacer valoraciones de su personalidad o compor-tamiento.

El plazo para resolver dicho requerimiento será de veinte(20) días hábiles contados a partir del día siguiente derecibida la solicitud.

Si los datos personales hubieren sido comunicados aotras entidades, el responsable del tratamiento deberáproceder a la comunicación de dicha cancelación a quie-nes hubieren recibido dicha información.

Artículo 18º.- Procedimientos para ejercitar el acce-so, la modificación, cancelación, rectificación.El procedimiento administrativo para salvaguardar el ejer-cicio de los derechos de acceso, modificación, cancela-ción y rectificación, será establecido en el Reglamentode la presente Ley.

Artículo 19º.- Reclamación y QuejaLos actos contrarios a lo dispuesto en la presente Leypueden ser objeto de reclamación o queja por los intere-


sados que hayan sido afectados, conforme a lo que seestablezca en el Reglamento.

El interesado a quien se le deniegue, total o parcialmen-te, el ejercicio de los derechos establecidos en esta Ley,podrá recurrir ante la Autoridad Nacional de Protecciónde Datos Personales, quien resolverá el recurso en unplazo máximo de treinta (30) días hábiles.Contra las resoluciones del Jefe de la Autoridad Nacio-nal de Protección de Datos Personales procede la ac-ción contencioso-administrativa.

Artículo 20º.- Indemnización por daños.Los interesados que se vean afectados como conse-cuencia del incumplimiento de la presente Ley, podrándemandar al responsable del fichero y a terceros se-gún corresponda, y solicitar la indemnización corres-pondiente, de acuerdo a lo establecido en el ordena-miento jurídico.

TÍTULO IV

DE LOS FICHEROS

Capítulo IFicheros de la administración pública

Artículo 21º.- Comunicación de los ficheros de la ad-ministración pública.La creación, modificación o supresión de ficheros corres-pondientes a la administración pública que traten datospersonales, será comunicada por la máxima autoridadde la entidad en la cual fueron creados, a la AutoridadNacional de Protección de Datos Personales.

Artículo 22º.- Contenido de la comunicaciónLa comunicación indicada en el artículo precedente de-berá contener la siguiente información:

22.1. La finalidad del fichero y los usos previstos para elmismo, los cuales deben ser de conformidad conel ámbito de su competencia.

22.2. Procedimiento a emplearse para la obtención delos datos.

22.3. Estructura del fichero y los tipos de datos a incor-porarse en los mismos.

22.4. Cesión o transferencia de los datos en el caso dedatos sensibles.

22.5. Los órganos responsables del fichero.

22.6. Las oficinas ante las que pueda ejercerse los dere-chos de acceso, modificación, cancelación, recti-ficación.

22.7. Medidas de seguridad que corresponda al fichero.

22.8. Otra que señale el Reglamento.

Artículo 23º Requisitos para la supresión de fiche-ros.El destino de los ficheros mencionados en el artículo 21º,así como las precisiones que sean necesarias para susupresión, se establecerán en el Reglamento de la pre-sente Ley y demás disposiciones reglamentarias.

Artículo 24º.- Cesión o comunicación de datos.Los datos personales obtenidos o tratados por las enti-dades de la Administración Pública para el ejercicio desus atribuciones sólo podrán ser cedidos a otras entida-des de la administración, de acuerdo a sus atribucionesy competencias o conforme a ley.

En el caso de los ficheros que contengan datos perso-nales que no sean obtenidos de los administrados en elejercicio de las funciones propias de la administración

pública, se requerirá el consentimiento del interesado deacuerdo a los artículos 8º y 9º de la presente Ley, de-biendo garantizarse sus derechos contenidos en el títu-lo III de la misma.

Artículo 25º.- Ficheros organizados por la Policía Na-cionalLos ficheros organizados por la Policía Nacional debenobservar lo siguiente:

25.1. La Policía Nacional puede organizar ficheros sinconsentimiento del interesado para obtener, tra-tar, almacenar y recuperar datos personales, cuan-do los mismos sirvan para prevenir situaciones depeligro que amenacen la seguridad pública o parala represión de delitos, siempre que estén basa-dos en una investigación concreta. En ningún casopodrá obtenerse ni tratarse datos que no sean in-dispensables para el fin antes señalado.

Para tal efecto, el responsable del fichero deberácontar con la aprobación de la máxima autoridadde la institución. En caso de no contarse con talaprobación, incurrirá en responsabilidad adminis-trativa; sin perjuicio de las demás responsabilida-des que correspondan.

25.2. Los datos personales registrados con fines poli-ciales se cancelarán cuando no sean necesariospara las investigaciones que motivaron su obten-ción y tratamiento, bajo responsabilidad.

En el caso que el interesado sea perjudicado porel contenido de los ficheros mencionados en el ar-tículo anterior, podrá solicitar el acceso, la modifi-cación o rectificación, fundamentando su pedido.Dicha solicitud podrá ser denegada por razonesde seguridad pública o cuando exista una investi-gación penal en trámite.

Artículo 26º.- Ficheros de la Administración Tributa-riaLos responsables de los ficheros de la AdministraciónTributaria podrán denegar el ejercicio de los derechos delinteresado contenidos en el Título III de esta Ley, cuandose interfiera con su actuación administrativa, en el ejerci-cio de su competencia cuando sea objeto de un procedi-miento de fiscalización tributaria.

Artículo 27º.- De la denegación de derechosEl interesado a quien se le deniegue, total o parcialmen-te, el ejercicio de los derechos establecidos en esta Ley,podrá recurrir a la Autoridad Nacional de Protección deDatos Personales, la misma que resolverá en última ins-tancia administrativa sobre su procedencia.

Artículo 28º.- Conservación de los datos personalesCuando deban utilizarse los datos personales para de-terminar responsabilidades legales, los mismos podránser conservados únicamente a disposición de las entida-des de la Administración Pública que, en razón de susfunciones, tengan interés legítimo y directo.

Capítulo IIFicheros de titularidad privada

Artículo 29º.- Creación de ficheros de titularidad pri-vadaSólo podrán crearse ficheros de titularidad privada quecontengan datos personales, cuando resulte indispensa-ble para la realización de las actividades de la persona oentidad que los cree y de conformidad con las disposi-ciones de la presente Ley.

Artículo 30º.- AutorizaciónEl responsable del fichero deberá solicitar a la AutoridadNacional de Protección de Datos Personales la autoriza-ción para la creación del fichero, de conformidad con elprocedimiento previsto en el artículo siguiente.


Artículo 31º.- ProcedimientoLa Autoridad Nacional de Protección de Datos Persona-les autorizará la creación del fichero y dispondrá su ins-cripción en el Registro Nacional de Protección de DatosPersonales, conforme al siguiente procedimiento:

31.1. La solicitud del interesado será presentada ante laAutoridad Nacional de Protección de Datos Perso-nales. Dicha solicitud se inscribirá en el RegistroNacional de Protección de Datos Personales, den-tro del plazo de cuarenticinco (45) días hábiles,previo cumplimiento de los requisitos establecidosen la presente Ley.

31.2. El funcionario encargado deberá calificar la admi-sión de la solicitud dentro de los diez (10) días si-guientes a su presentación. El interesado deberásubsanar las observaciones a que hubiese lugar enun plazo de diez (10) días hábiles. Para efecto delcómputo de los plazos referidos, se consideraránlas disposiciones que establezca el Reglamento.

31.3. De no existir pronunciamiento por parte de la Au-toridad Nacional de Protección de Datos Persona-les en el plazo señalado en el numeral 31.1, setendrá por autorizada la creación del fichero y sedispondrá su inscripción en el Registro Nacionalde Protección de Datos Personales.

31.4. El responsable del fichero deberá comunicar a laAutoridad Nacional de Protección de Datos Perso-nales, los cambios que se produzcan en la finali-dad del fichero, del responsable del fichero y de laubicación del fichero.

Para realizar cualquier modificación en los fiche-ros deberá seguirse el procedimiento descrito enel presente artículo.

Artículo 32º.- Contenido de la solicitud de inscripciónLa solicitud indicada en el artículo precedente deberá con-tener la siguiente información:

32.1. La finalidad del fichero y usos previstos para elmismo.

32.2. Las personas naturales de las que se pretenda ob-tener datos o que resulten obligadas a suminis-trarlos.

32.3. Procedimiento a emplearse para la obtención delos datos.

32.4. Estructura del fichero y tipos de datos a incorpo-rarse en los mismos.

32.5. Cesión o transferencia de los datos personales.

32.6. Responsable del fichero.

32.7. Medidas de seguridad que correspondan al fiche-ro.

32.8. Otra que señale el Reglamento.

Artículo 33º.- Recopilación de datos de fuentes priva-das y accesibles por el público.Para la recopilación de datos de fuentes privadas y acce-sibles por el público será de aplicación lo siguiente:

33.1. Quienes se dediquen a la recopilación de direc-ciones, reparto de documentos, publicidad, ventaa distancia, actividad comercial y otras activida-des similares, sólo utilizarán nombres o direccio-nes cuando la persona lo consienta por escrito oexpresamente, así como otros datos personalesque figuren en fuentes accesibles por el público ocuando hayan sido facilitados por los propios inte-resados u obtenidos, con su consentimiento, conindicación expresa que podrán ser cedidos.

33.2. En caso que los datos procedan de fuentes acce-sibles por el público, en cada comunicación quese dirija al interesado se informará acerca del ori-gen de los datos personales y de la identidad delencargado del tratamiento.

33.3. La omisión en el cumplimiento de lo establecidoen los numerales anteriores del presente artículo,originará la sanción correspondiente establecidaen el Reglamento.

Artículo 34º.- Impedimento de transferencia de datospara los ficheros de la administración pública y paralos de titularidad privada.

34.1. El responsable del fichero o encargado del trata-miento no podrá realizar transferencias de datospersonales, si no se comprueba que los ficherosdestinatarios aseguran la reserva de dichos datosy que los mismos se encuentren registrados. LaAutoridad Nacional de Protección de Datos Perso-nales, a solicitud del interesado, calificará, antesde efectuar dicha transferencia, si se cumple talexigencia.

34.2. El personal encargado del tratamiento está impe-dido del transporte del soporte que recoja la infor-mación sin la debida autorización del responsabledel fichero. Dicho impedimento será aplicable tam-bién al envío de datos personales por medios elec-trónicos.

34.3. La transferencia de datos personales sólo podrárealizarse por medios seguros y a destinos quesean calificados como adecuados por la AutoridadNacional de Protección de Datos Personales.

TÍTULO V

LA AUTORIDAD NACIONAL DE PROTECCIÓNDE DATOS PERSONALES

Artículo 35º.- La Autoridad Nacional de Protección deDatos Personales.Créase la Autoridad Nacional de Protección de Datos Per-sonales, en adelante APDAP, como organismo públicodescentralizado con personería jurídica de derecho pú-blico interno, adscrito a la Presidencia del Consejo deMinistros; con régimen de autonomía técnica, económi-ca, presupuestal y administrativa.

La APDAP es la encargada de velar por el cumplimientode la legislación sobre protección de datos personales ycontrolar su aplicación. Se regirá por lo dispuesto en lapresente Ley y en su Reglamento de Organización y Fun-ciones.

Artículo 36º.- Funciones de la APDAPSon funciones de la APDAP:

36.1. Garantizar el cumplimiento de la legislación vincu-lada con la protección de datos personales.

36.2. Dictar las resoluciones que correspondan para lamejor aplicación de lo previsto en esta Ley y suReglamento.

36.3. Emitir las autorizaciones previstas en la Ley o ensu Reglamento.

36.4. Resolver las reclamaciones formuladas por los in-teresados en segunda y última instancia.

36.5. Proporcionar información sobre la normatividadaplicable en materia de protección de datos per-sonales.

36.6. Requerir a los responsables de los ficheros y encar-gados del tratamiento de datos personales, la adop-


ción de las medidas necesarias para la adecuacióndel tratamiento de datos personales a las disposicio-nes legales y reglamentarias aplicables y, en su caso,ordenar la modificación o suspensión del tratamientode datos personales, y la suspensión o cancelaciónde los ficheros cuando corresponda.

36.7. Ejercer la potestad sancionadora a que se refiereel Título VI de esta Ley.

36.8. Comunicar al Ministerio Público los casos de trans-gresión a la legislación sobre protección de datospersonales que pueden ser materia de denuncia.

36.9. Emitir opinión sobre los proyectos de dispositivosreferentes a la protección de datos personales.

36.10. Obtener de los responsables de los ficheros la in-formación que estime necesaria para el cumpli-miento de las normas sobre protección de datospersonales.

36.11. Administrar el Registro Nacional de Protección deDatos Personales.

36.12. Presentar a la Presidencia del Consejo de Minis-tros, un informe anual, en el que dará cuenta delcumplimiento de las actividades desarrolladas enel ejercicio de sus funciones.

36.13. Adoptar medidas cautelares que importen la ce-sión de los datos, la suspensión del tratamiento ola suspensión del fichero, entre otras medidas queestablezca el Reglamento de la presente Ley.

36.14. Ejercer el control y conceder las autorizaciones,cuando corresponda, respecto de las cesiones ylas transferencias de datos personales, así comorealizar funciones de cooperación internacional enesa materia; y,

36.15. Las demás que le sean atribuidas conforme a ley.

Artículo 37º.- Régimen aplicable.La APDAP se regirá en el ejercicio de sus funciones y endefecto de lo que disponga la presente Ley y su Regla-mento de Organización y Funciones, por lo dispuesto enla Ley Nº 27444, Ley del Procedimiento AdministrativoGeneral.

Artículo 38º.- Bienes y recursos económicos.La APDAP contará para el cumplimiento de sus fines conlos siguientes bienes y recursos económicos:

38.1. Los asignados en la partida correspondiente, quese establezca anualmente en el Presupuesto Ge-neral de la República.

38.2. Los que constituyan su patrimonio, así como losingresos procedentes del ejercicio de sus funcio-nes y aquellos directamente recaudados.

38.3. Otros que en virtud del ordenamiento jurídico pue-dan serle atribuidos.

Artículo 39º.- Nombramiento del Jefe de la APDAPEl Jefe de la APDAP será nombrado por Resolución Su-prema por un período de cuatro años, ejercerá la repre-sentación legal de la APDAP y sus funciones con plenaindependencia y autonomía, pudiendo cesar antes, sólopor renuncia o falta grave.

Artículo 40º.- Consejo Directivo.El Jefe de la APDAP presidirá el Consejo Directivo, queestará compuesto por:

a) Un representante de la Presidencia del Consejode Ministros.

b) Un representante del Ministerio de Justicia.

c) Un representante del Registro Nacional de Identi-ficación y Estado Civil - Reniec.

d) Un representante de la Superintendencia Nacio-nal de los Registros Públicos - Sunarp.

Las funciones del Consejo Directivo son las establecidasen el Reglamento de la presente Ley.

Las demás disposiciones sobre el Consejo Directivo sonlas señaladas en el Reglamento de Organización y Fun-ciones de la APDAP.

Artículo 41º.- El Registro Nacional de Protección deDatos Personales.El Registro Nacional de Protección de Datos Personaleses un órgano de la APDAP, en el que se inscribirán:

a) Los ficheros públicos o privados que contengandatos personales.

b) Las autorizaciones a que se refiere la presente Ley.

c) La información referente al ejercicio de los dere-chos de información, acceso, modificación, rectifi-cación, y cancelación.

El Reglamento de la presente Ley establecerá lo necesa-rio para el funcionamiento de dicho Registro.

Artículo 42º.- Secreto profesional y reserva.Los miembros de la APDAP, estarán sujetos al deber delsecreto profesional y a la reserva por los datos e infor-maciones que conozcan con motivo de sus funciones.Este deber subsistirá aún después de finalizada toda re-lación con la APDAP.

Artículo 43º.- Inspección de ficheros.La APDAP podrá a través de sus funcionarios o encarga-dos, inspeccionar los ficheros públicos o privados queguardan datos personales y recabar las informacionessobre los mismos que sean necesarias para el cumpli-miento de sus funciones.

TÍTULO VI

DE LAS SANCIONES

Artículo 44º.- Tipificación de infracciones.La tipificación de los hechos u omisiones que se configu-ren como infracciones administrativas a la presente Leyserán las establecidas en su Reglamento. La APDAP seencuentra facultada para imponer las sanciones que co-rrespondan, dentro de su ámbito de competencia y conlas limitaciones contenidas en la presente Ley y en suReglamento.

Las infracciones administrativas aplicables pueden ser:leves, graves y muy graves.

Artículo 45º.- Sanciones.La APDAP para aplicar las sanciones establecerá unagraduación de las mismas en leves, graves o muy gra-ves, en atención al tipo de infracción, su reiteración o sureincidencia.

Las infracciones administrativas son pasibles de las si-guientes sanciones:

Leves : Amonestación escrita o multa de 0.5 U.I.T.hasta 5 U.I.T.

Graves : Multa de más de 5 U.I.T. hasta 50 U.I.T. osuspensión del fichero por un máximo de60 días.

Muy graves: Multa de más de 51 hasta 100 UnidadesImpositivas Tributarias o cancelación del fi-chero. En este caso, el responsable del


a) Secretaría de la Presidencia del Consejo de Mi-nistros, quien la presidirá.

b) Ministerio de Justicia.c) Registro Nacional de Identificación y Estado Civil.d) Superintendencia Nacional de los Registros Públi-

cos.

Dicha Comisión Multisectorial será la encargada de ela-borar en un plazo no mayor de ciento veinte (120) díashábiles contados a partir de la publicación de la presenteLey, el proyecto del Reglamento de la presente Ley, asícomo el Decreto Supremo que apruebe el Reglamentode Organización y Funciones de la APDAP.

Las entidades señaladas en este artículo deberán desig-nar a sus representantes mediante Resolución Ministe-rial o Resolución de su titular.

Tercera.- Las disposiciones contenidas en la presenteLey son aplicables a aquellas entidades que administrenficheros de solvencia patrimonial y se dediquen al sumi-nistro de información de riesgos. Estas disposiciones pre-valecen sobre las disposiciones especiales que resultende aplicación a tales entidades y que contravengan loestablecido en el presente cuerpo legal.

Cuarta.- La presente Ley entrará en vigencia a partir deldía siguiente de la publicación de su Reglamento.

Quinta.- La Comisión de Protección al Consumidor delInstituto Nacional de Defensa de la Competencia y Pro-piedad Intelectual -INDECOPI continuará ejerciendo lascompetencias que le atribuye el artículo 21º de la Ley Nº27489 hasta la entrada en vigencia de la presente Ley.

Los procedimientos administrativos originados por infrac-ción a las disposiciones contenidas en la presente Ley,así como aquellas previstas en la Ley Nº 27489, que seinicien a partir de la fecha de vigencia de la presente Ley,serán de competencia de la APDAP.

Sexta.- Quedan derogadas todas las normas que seopongan a la presente Ley.

fichero sólo podrá obtener una nueva au-torización transcurridos dos (2) años des-de su cancelación.

Las Infracciones y sanciones establecidas en el presen-te artículo serán establecidas e impuestas por la APDAPmediante Resolución motivada, pudiendo disponer la pu-blicación de la misma.

Artículo 46º - Graduación de la sanción.La APDAP se encuentra facultada para determinar la gra-duación de la sanción a imponerse. Para tal efecto, apli-cará los siguientes criterios:

46.1. Naturaleza y gravedad de la infracción.

46.2. El daño causado o grado de afectación generadopor la infracción a los usuarios.

46.3. El beneficio obtenido con la infracción, a fin deevitar, en lo posible, que dicho beneficio sea supe-rior al monto de la sanción.

46.4. La reincidencia y la reiterancia.

Artículo 47º.- Responsabilidad penalLas sanciones administrativas establecidas de conformi-dad con lo regulado en el presente título no eximen de laresponsabilidad penal que pudiera corresponder a los de-nunciados administrativamente.


Primera.- Las entidades o personas naturales que po-sean a la fecha, ficheros que contengan datos persona-les y aquéllos que se creen a partir de la publicación dela presente Ley, deberán adecuarse a la Ley y a su Re-glamento, dentro del plazo que se establezca para dichoobjetivo en el Reglamento.

Segunda.- Créase la Comisión Multisectorial integradapor un representante de las siguientes entidades:

I. FUNDAMENTOS

La ciencia y la técnica informática avanzan a pasos ace-lerados, situación que permite el tratamiento de datos einformación en cuestión de segundos, lo que posibilitaen gran medida la generación de una nueva sociedad, laSociedad de Conocimiento. Una de las grandes caracte-rísticas de esta sociedad, la encontramos en la genera-ción de riqueza por el intercambio fluido de datos e infor-mación, a través de la gran red de redes, que es Internet.

El intercambio de información y conocimientos por me-dios electrónicos, mediante el uso de sistemas informáti-cos, ofrece una serie de ventajas, pero también presentadiversas amenazas contra la intimidad del ser humano.El flujo constante de mensajes electrónicos no discrimi-na la calidad de los datos ni de información. Muchas ve-ces, dicho intercambio genera ciertos intereses encami-nados al tratamiento de datos personales, los mismosque pueden dañar la intimidad de las personas.

La intimidad personal y familiar, es uno de los recursosescasos con los que cuenta el ser humano, cuya vulne-ración lo afecta en gran medida, al extremo de causarleproblemas psicológicos, económicos y familiares al da-

ñar su propia vida y acaso, la de sus seres más cerca-nos. Las afectaciones a la intimidad son generadoras deriesgos sociales que pueden desencadenar una serie deconflictos no sólo familiares sino también personales.

Con la finalidad de otorgar a los ciudadanos la debida segu-ridad, que les permita tener la certeza de que sus datospersonales no serán cedidos, negociados, tratados o alma-cenados sin su consentimiento, surge la necesidad de re-gular el tratamiento de datos personales, preocupación in-herente a todo gobierno en un Estado Democrático.

II. HACIA UNA REGULACIÓN

Actualmente, en el Perú encontramos una serie de nor-mas aisladas que buscan proteger los datos personales.Este esfuerzo se ve minimizado por la falta de una culturaencaminada hacia la protección de los datos personales,tanto a nivel empresarial como de la ciudadanía en gene-ral, sin dejar de considerar lo que a la administración pú-blica le corresponde. Si bien se ha comenzado a discutirla necesidad de tomar conciencia sobre la importancia deuna eficiente protección de datos personales, esta ten-dencia también debe generalizarse y reflejarse en el ám-bito legislativo con la finalidad de contar en el Perú con el

EXPOSICIÓN DE MOTIVOS


marco legal adecuado que permita asegurar la protecciónde datos personales. La forma como se ha venido imple-mentando dicha protección no ha sido la mejor, por cuantoal tener un marco legislativo aislado y disperso, se pierdenesfuerzos y recursos en el campo de la materia analizada.Al respecto, es necesario tener en cuenta que tanto enti-dades públicas como privadas vienen tratando datos per-sonales por medios informatizados.

Al respecto, debemos destacar que actualmente se vie-ne dando mucha importancia a la regulación del accesoa la información que tiene o produce el Estado, la mismaque se encuentra almacenada en las entidades públicas,situación que pone en riesgo, aún más, los datos perso-nales de los ciudadanos y de las personas en general.

La solución eficiente dirigida hacia la protección de da-tos personales debe encaminarse hacia la dación de unmarco normativo único y coherente que permitirá dar ade-cuada protección a los datos personales en el Perú, si-tuación que se logrará con una Ley específica sobre lamateria, como la que contiene la siguiente propuesta enforma de Proyecto.

III. LA SITUACIÓN INTERNACIONAL EN MATERIA DEPROTECCIÓN DE DATOS

Por la importancia y trascendencia de la protección de da-tos en el ámbito mundial, actualmente, diversos Estadosvienen tomando conciencia de tal situación, hecho que hapermitido la aprobación y promulgación de una serie deLeyes de Protección de Datos Personales, las mismas quepermiten a las personas defender sus datos de aquellasmanipulaciones no consentidas. Podemos mencionar sólocomo ejemplos, a nivel de la Unión Europea, la DirectivaNº 95/46/CE del Parlamento Europeo y el Consejo de laUnión Europea, que tiene como objeto que los estadosmiembros de la misma Unión garantizarán, con arreglo alas disposiciones de la presente Directiva, la protecciónde las libertades y de los derechos fundamentales de laspersonas físicas y, en particular, del derecho a la intimi-dad, en lo que respecta al tratamiento de los datos perso-nales; y a nivel de un desarrollo nacional, podemos men-cionar el caso español a través de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

La transferencia de datos personales de la Unión Europeaa países terceros, está regulada por el artículo 25º de laDirectiva 95/46 mencionada; en él se establece que losestados miembros únicamente dispondrán la transferen-cia de datos personales a un país tercero que garanticeun nivel de protección adecuado. El carácter adecuadodel nivel de protección que ofrece un país tercero se eva-luará atendiendo a todas las circunstancias que concu-rran en una transferencia o en una categoría de transfe-rencias de datos; debiéndose tomar en consideración demanera particular, la naturaleza de los datos, la finalidad yla duración del tratamiento o de los tratamientos previstos,el país de origen y el país de destino final, las normas dederecho generales o sectoriales, vigentes en el país ter-cero de que se trate, así como las normas profesionales ylas medidas de seguridad en vigor en dichos países.

A nivel sudamericano cabe mencionar a Argentina, a tra-vés de su Ley Nº 25326 sancionada el 4 de octubre del2000 y posteriormente reglamentada por el Decreto Nº1558/2001; así como a diversos países que a nivel denuestra región están desarrollando proyectos de leyesrelacionados con la protección de datos personales.

IV. PROYECTO

TÍTULO I

DISPOSICIONES GENERALES

El primer título del Proyecto de la Ley de protecciónde Datos personales, consta de cinco (5) artículos a tra-vés de los cuales se persigue establecer la finalidad, lasdefiniciones de los conceptos básicos, los datos que se

protegerán por esta regulación, así como el ámbito deaplicación y el que estará excluido por la Ley de Protec-ción de Datos Personales. Cabe precisar que se ha to-mado como base importante para la elaboración del pre-sente título como del Proyecto en general, la ley orgánica15/1999 del 13 de diciembre, de Protección de Datos deCarácter Personal de España, referente sin duda impor-tante para todos los países Iberoamericanos.

El derecho a la protección de datos personales es underecho fundamental de última generación1 íntimamen-te vinculado con otros derechos de la misma naturaleza,pero de diferente generación, como son la intimidad, elhonor y la imagen propia, por esta razón es que se esta-blece (artículo 1º) que la finalidad de la ley es regular ygarantizar el derecho a la protección de datos persona-les cautelando o impidiendo un perjuicio a los otros dere-chos fundamentales directamente vinculados a él. Sinduda, una información que contenga datos personalesindebidamente tratados puede afectar el honor, la identi-dad, la propia imagen y la misma intimidad, que se vedescubierta sin consentimiento de su titular y posible-mente de manera inexacta o distorsionada. En este pun-to es importante tener en cuenta que los Jefes de estadoy de gobierno iberoamericanos durante la celebración dela XIII Cumbre Iberoamericana celebrada en Santa Cruzde la Sierra (Bolivia), los días 14 y 15 de noviembre de2003, en el párrafo 45 de la Declaración de Santa Cruzde la Sierra, subrayaron su reconocimiento de que la pro-tección de datos personales es un derecho fundamentalde las personas y destacaron la importancia de las ini-ciativas regulatorias iberoamericanas para proteger laprivacidad de los ciudadanos.

Para regular la protección de los datos personales esindispensable definir una serie de actos, actividades, su-jetos y objetos que se interrelacionan en el tratamientode los datos personales y que deben responder a un sig-nificado uniforme.

La comunicación de datos personales se entenderácomo cesión o propiamente comunicación de datos siimplica una transmisión o manifestación de datos a unapersona o entidad distinta del interesado, pero de carác-ter nacional, porque si ostenta el carácter internacional,se llamará transferencia.

La definición de datos personales comprende a cual-quier información concerniente sólo a personas natura-les identificadas o identificables. Esto sin duda refiere adatos que pueden no sólo ser parte de la intimidad sinode un área más amplia - privacidad - pero que al ser deuna persona física, natural, es un dato de ella, que en-cuentra en la persona natural específica a su titular y porlo tanto quien puede disponer de su uso o tratamiento.

El Proyecto distingue de manera específica a los “da-tos sensibles” considerando como tales a aquellos rela-cionados con el origen racial y étnico, opiniones políti-cas, convicciones religiosas, filosóficas o morales, afilia-ción sindical e información referente a la salud o a la vidasexual, entre otros que establezca el reglamento2 .

Las diferencias fundamentales entre el trato que sele dé a los “datos sensibles” de los “no sensibles” radi-

1 En Europa, artículo 8º de la Carta de Derechos Fundamentales de la UniónEuropea. 7/12/2000.

2 No cabe agotar la mención de “Datos sensibles” al constituir una relaciónabierta, pues no podría establecerse una relación taxativa de los mismos.


can en la mayor estrictez para otorgar el consentimientocon respecto a los primeros (artículo 8º), así como enlos límites para la creación de ficheros de esos datos(artículo 10º).

El consentimiento es el requisito previo para cualquiertratamiento de datos personales (salvando las excepcio-nes contempladas en el Proyecto: artículo 9º); el mismoconsistirá en toda manifestación de voluntad, previa eindubitable del interesado; en el caso de que los datossean sensibles, el consentimiento será además inequí-voco, expreso y por escrito, mediante el cual el interesa-do apruebe o autorice el tratamiento de sus datos perso-nales. Quien es el titular de los datos personales es lapersona natural llamada “interesado”, titular de los datosobjeto del tratamiento.

El “tratamiento de datos”, implica un concepto amplioque comprende todas las posibilidades de utilizar los datosde una persona, está referido a las operaciones y proce-dimientos técnicos, de carácter automatizado o no, elec-trónicos o no, que permitan la obtención, grabación, uso,almacenamiento, elaboración, modificación, bloqueo ocancelación de datos, así como la cesión de datos queresulten de comunicaciones, interconexiones y transfe-rencias.

Sobre el tratamiento, se distinguen dos sujetos, el res-ponsable del fichero y el encargado del tratamiento. Elprimero es el que tiene la capacidad de decidir sobre eltratamiento; el segundo, realizará el tratamiento por cuen-ta del responsable del fichero. Ambos pueden ser perso-nas naturales, jurídicas, públicas o privadas, así comocualquier organismo u órgano administrativo; cabe preci-sar que cada uno de estos personajes asumirá la res-ponsabilidad que le corresponda de acuerdo a sus fun-ciones.

La definición de “fichero” busca ser lo más genéricaposible, refiriéndose a todo conjunto organizado de ar-chivos, registro, base o banco de datos personales, cual-quiera fuere la forma o modalidad de su creación, forma-ción, almacenamiento, organización y acceso.

Dentro de las definiciones se considera a las “Fuen-tes accesibles por el público”, pues constituyen ficherosque pueden ser consultados por cualquier persona, sinrequerimiento del consentimiento previo de los titularesde los datos que contienen, pues ya revisten la caracte-rística de públicos, la cual resultaría irreversible.

El “procedimiento de disociación” está referido a untratamiento de datos que no permita asociar los mismosa persona natural alguna; tal es el caso de los procedi-mientos de recolección de datos con fines estadísticos.

El ámbito de aplicación de la ley comprende a los fi-cheros de titularidad pública o privada y al tratamiento dedatos personales realizados en el territorio nacional. Elartículo 4º, referido al ámbito de aplicación, admite quedeterminados ficheros de utilidad pública queden fuerade la ley si es que cumplen las siguientes condiciones:se rijan por su legislación específica y fines y, a la vez nocontravengan a la ley de protección de datos personales.Esto significa que en el caso de aquellas legislacionesreferidas a determinadas materias que contravengan lasgarantías incorporadas en la ley de datos personales, éstaprevalecerá sobre aquella legislación que no es propiade protección de datos personales.

El artículo 5º sí es más radical en el sentido de excluirdel ámbito de aplicación de la ley de protección de datospersonales a determinados ficheros dado sus fines ex-clusivamente personales o de uso doméstico, así comoaquellos referidos al personal de las fuerzas armadas ypoliciales o para la investigación de las formas graves dedelincuencia organizada, así como los administrados porel Consejo Nacional de Inteligencia. Se entiende quedadas las finalidades vinculadas con el orden interno o ladefensa nacional, esos ficheros deben tener reglas es-

pecíficas que respondan también a esos fines; sin em-bargo, se pone el cuidado de prescribir que el responsa-ble del fichero deberá cumplir con informar sobre la fina-lidad del mismo a la Autoridad Nacional de Protección deDatos Personales, esto en estricta observancia del finúltimo de la sociedad y del Estado: la persona humana, ycomo especifica el artículo 1º de la Constitución Políticade 1993, su defensa y el respeto de su dignidad.

TÍTULO II

PRINCIPIOS DE LA PROTECCIÓN DEDATOS PERSONALES

El presente título es fundamental en la medida queestablece los principios que orientan y determinan el com-portamiento de todos los que van a participar en el trata-miento de datos personales, señalando aquellas reglasde conducta que son necesarias de observar si es quese quiere tratar datos personales de terceros de unamanera válida, legal y con pleno respeto a los derechosfundamentales.

Los principios consagrados en este título toman subase de la legislación comparada y dentro de ella parti-cularmente de la ley orgánica española 15/1999, que tra-ta este tema desde su artículo 4º hasta el 12º.

El principio de información está referido a la necesi-dad que el interesado sepa exactamente y de maneraprevia: quién, cómo, para qué y por cuánto tiempo serequieren sus datos personales, así como las implican-cias de su autorización o no para que se utilicen (traten)sus datos.

Éste es el principio básico de información con el quecualquier ser humano debe iluminar su actuación paratomar cualquier decisión en cualquier aspecto de su vida,aún más si esto implica la posibilidad de utilizar datosque permitirán a otros ingresar a su vida privada, o a suvida íntima. Es por esta razón que el Proyecto (artículo6º) establece, con detalle, todos aquellos datos que lepermitan absolver las interrogantes señaladas en el pá-rrafo anterior, información que importa saber sobre: elresponsable del fichero, la finalidad del mismo, la cesióno transferencia de sus datos, de los derechos que le asis-tirán al titular, el encargado del tratamiento de sus datos,etc.; información que deberá serle proporcionada demanera previa, expresa, explícita, detallada e inequívo-ca.

Se establece asimismo que en el caso de que estainformación no sea debidamente proporcionada de modoprevio, se tendrá el derecho a negarse a entregarla y aejercer la impugnación que la legislación pertinente es-tablezca.

El principio de responsabilidad (artículo 7º) se esta-blece para el responsable del fichero y el encargado deltratamiento, según corresponda; y bajo sanción de incu-rrir en responsabilidad administrativa, sus funciones de-berán cumplirlas recogiendo datos en la medida que seanpertinentes con el ámbito y finalidades propias del fiche-ro en el que serán incorporados, prohibiéndoseles el tra-tamiento de datos personales para fines diferentes o con-trarios para los que fueron recogidos. Hay una excep-ción: el caso de las actividades de investigación científi-ca, siempre y cuando se utilice un procedimiento de di-sociación de datos personales (que la información no sepueda asociar a persona natural identificada o identifica-ble). Asimismo, en su actuación deberán observar, entreotros comportamientos, el de garantizar el ejercicio delos derechos del interesado, así como velar por la exacti-tud y actualización de los datos personales, de forma querespondan a la situación actual del interesado, teniendoen este aspecto un deber positivo de sustituir y rectificaraquellos datos que resultaran inexactos. Debe enten-derse en este punto que este deber del responsable delfichero o el encargado del tratamiento se realiza sin per-


juicio de los derechos que le corresponden por esta leyal interesado o afectado en este caso.

Se establece también como deber (con el que termi-na el artículo mencionado) el de eliminar los datos per-sonales del fichero en cuanto dejen de ser necesariospara la finalidad para la que fueron obtenidos.

El principio del consentimiento es el punto de partidanecesario e ineludible para el tratamiento de datos per-sonales; implica el sí del interesado que abre la puertade parte de su intimidad a determinado(s) destinatario(s)y para ciertos fines previamente establecidos y conoci-dos, con respecto a la posibilidad del tratamiento de de-terminados datos sobre su persona.

El consentimiento (artículo 8º) se prestará de una for-ma u otra dependiendo de la categoría de datos perso-nales de los que se trate. Así, para los datos personalesen general, el consentimiento debe ser previo e indubita-ble, pero si los datos personales son aquellos de carác-ter sensible, el consentimiento deberá ser no sólo previoe indubitable sino además, como ya señaláramos, inequí-voco, expreso y por escrito. Esto se explica en la natura-leza específica de los datos sensibles (ver artículo 2º,numeral 2.4). Con respecto a los datos sensibles, el ar-tículo 11º expresa que ninguna persona puede ser obli-gada a proporcionar esos datos, como ya lo veremos.

La facultad del interesado para dar su consentimientopara el tratamiento de los datos sensibles importa tam-bién la de revocar el mismo en cualquier momento con elsustento del cambio de su decisión y siguiendo la formaobservada para su otorgamiento, según lo señala el artí-culo mencionado. El sustento requerido puede entender-se, entre otros casos, porque la revocación puede seranterior al cumplimiento de la finalidad para el que fue-ron obtenidos sus datos.

Cabe precisar que el artículo 10º ha querido explicitarque, para la transferencia o cesión de los datos persona-les, el consentimiento debe ser previo y expreso. Si bienesta disposición pretende dotar de mayor seguridad alinteresado cuyos datos vayan a ser cedidos, nada impe-diría que el referido consentimiento sea dado desde laobtención inicial de aquellos.

Asimismo, se establecen casos de excepción al con-sentimiento para la cesión o transferencia de datos per-sonales, para situaciones en las que resulta evidente lano obligación de prestar el referido consentimiento, talescomo cuando una ley lo establezca, cuando se trata dedatos contenidos en fuentes accesibles por el público ocuando la comunicación sea requerida por el Defensordel Pueblo, el Ministerio Público o el Poder Judicial en elejercicio estricto de sus funciones públicas.

Como es de preverse, existen determinadas situacio-nes para las que el consentimiento del interesado no esrequerido, entre éstas encontramos la naturaleza y losfines del fichero que los trata, como es el caso de losficheros de la administración pública dentro del ámbitode su competencia; el caso de investigaciones de carác-ter científico que no posibiliten la identificación e indivi-dualización del interesado; o cuando la información estécontenida en una fuente de acceso público. Se estable-cen también algunas circunstancias de carácter particu-lar que merezcan atención del propio interesado comolas referidas a la necesidad del mantenimiento de unarelación contractual en la que sea parte el interesado ocuando medien razones de salud del mismo interesado ode salubridad pública o razones de interés general pre-vistas por la Ley General de Salud.

Se establece además una precisión a la Ley Nº 27489,Ley que regula las centrales privadas de información deriesgos y de protección al titular de la información CE-PIRS, el artículo 9º - numeral 9.6 - del Proyecto estable-ce el deber de comunicar a los interesados la incorpora-ción de sus datos dentro de los cinco (5) días hábiles de

haber ingresado al fichero correspondiente y con ante-rioridad a la difusión de los mismos. Esta disposición seexplica en el hecho de que la información que contienenlas CEPIRS no proviene de los titulares de la misma,debiendo dar la posibilidad a que antes de que la mismasea cedida por las CEPIRS, se cuente con una mayorseguridad para ser actualizada y exacta, por interven-ción de los propios titulares de la información.

Otros de los principios importantes propuestos en elProyecto, es el de seguridad, que es regulado en variaslegislaciones en el derecho comparado: como la españo-la, la italiana y la argentina. En la italiana,3 por ejemplo,se regula una sección especial; para ellos, la seguridadestá ligada al campo de los avances tecnológicos que sepuedan aplicar según las características de los datos quese deseen conservar, existiendo medidas mínimas de se-guridad. El Proyecto ha adoptado un criterio conserva-dor en el sentido que dispone que son necesarias lasmedidas técnico-organizativas para garantizar la veraci-dad, integridad e invulnerabilidad de los datos persona-les almacenados. Regulando también en su artículo 13ºque deben aplicarse también dichas medidas de seguri-dad cuando se requiera celebrar contratos.

Ahora bien, en los casos de ficheros de datos perso-nales es de vital importancia guardar el secreto profesio-nal, que es una garantía para asegurar esos datos quese encuentran involucrados con el aspecto más íntimode la persona; por lo que su concepto nos introduce a ladeontología. En tal sentido, ninguna legislación debe omitirsu regulación; así, se establece en el Proyecto, el princi-pio de confidencialidad en su artículo 14º, para mantenerel secreto profesional del responsable del fichero, y detodos los que intervengan en cualquier etapa del trata-miento, extendiendo su existencia hasta después de fi-nalizar sus relaciones con el fichero o con el responsabledel fichero.

En este título se ha regulado la prohibición de crea-ción de ficheros de un tipo de datos, que por su naturale-za no puedan ser objeto de comercio ni de divulgación,los denominados internacionalmente, en la mayoría delos casos, “datos sensibles”, siendo su incumplimientoobjeto de sanción penal. Para los españoles son los lla-mados “especialmente protegidos”, la Ley Checa tambiénlos denomina datos sensibles4 ; para los argentinos, losdatos sensibles sólo pueden ser objeto de tratamientocuando medien razones de interés general autorizadaspor ley; y su normatividad hace una separación de losdatos sensibles y los datos de salud, prescribiendo tam-bién que están prohibidos los bancos de datos que alma-cenen o revelen esta clase de datos, a excepción de losregistros de la Iglesia Católica y otras asociaciones reli-giosas.

Al respecto, en el artículo 11º del Proyecto, se ha es-tablecido una excepción a la regla principal, no estandoincluidos en la prohibición, los ficheros administrados porlos partidos políticos, sindicatos, iglesias, confesiones,comunidades religiosas, asociaciones, fundaciones, yotras entidades sin ánimo de lucro, debiendo aplicarse elprincipio del consentimiento cuando se trate de la cesiónde datos.

3 Ley Nº 675 del 31 de diciembre de 1996.4 Acta 101 del 4 de abril de 2000, incluye también a la nacionalidad, actividad

en materia penal, afiliación política y creencias filosóficas


TÍTULO III

DERECHOS DE LOS INTERESADOS

Para el desarrollo de los derechos, el Legislador hatenido a la vista una serie de aspectos doctrinarios y le-gales, destacando en cuanto a la Legislación Compara-da el manejo de la Legislación Española y la LegislaciónArgentina.

Conforme al desarrollo constitucional, las personastenemos derechos fundamentales que deben respetar-se, en tal sentido, el Proyecto de Ley de Protección deDatos Personales incluye en su título tercero los Dere-chos de los Interesados, a través de los cuales se pre-tende dejar claramente establecido en su Artículo 15º quetoda persona se encuentra facultada a solicitar toda aque-lla información relacionada con el tratamiento de sus da-tos personales, incluyéndose también los requisitos parala obtención de sus datos.

Cuando las circunstancias lo exijan, los interesados,conforme a lo establecido en el artículo 16º, se encuen-tran en capacidad de solicitar la modificación o rectifica-ción de sus datos personales sometidos a tratamiento afin de evitar que se realicen actos abusivos que los pue-dan afectar.

Por ser una materia especializada, el Proyecto esta-blece un plazo de veinte (20) días para resolver sobrecualquiera de los requerimientos antes señalados, redu-ciéndose de esta forma los plazos establecidos en la LeyNº 27444, a fin de evitar una mayor dilación del tiempoque pueda afectar a los interesados.

Con la finalidad de preservar los datos personales queno se requirieran para la finalidad prevista, se ha legisla-do, en el artículo 17º, el Derecho de Cancelación, quetambién sanciona la recogida de datos no conforme a loslineamientos previamente establecidos para tal efecto, enel artículo 6º; así como, el tratamiento de datos única-mente destinado a evaluar determinados aspectos de lapersonalidad del interesado con el fin de ofrecer una de-finición de sus características personales o hacer valora-ciones de su personalidad y comportamiento.

A fin de ejercitar un adecuado equilibrio de poderes,se delega en la norma reglamentaria el desarrollo de losaspectos relacionados con la determinación del procedi-miento administrativo para que los afectados se encuen-tren en condiciones de ejercitar adecuadamente los de-rechos de acceso, modificación, cancelación y rectifica-ción.

En los artículos 19º y 20º se regula el tema de la re-clamación, la queja y las indemnizaciones así como porconcepto de daños y perjuicios, respectivamente. Estosaspectos, por su importancia, merecen un adecuado mar-co legal. Para el caso de denegación de solicitudes, elafectado podrá recurrir ante la Autoridad Nacional de Pro-tección de Datos Personales, quien se encuentra obliga-da a resolver en el plazo máximo de treinta (30) días há-biles.

Para crear conciencia y sobre todo confianza en ma-teria de protección de datos personales, no podía dejarde regularse, en el artículo 20º, la indemnización por da-ños y perjuicios.

TÍTULO IV

DE LOS FICHEROS

El procedimiento de inserción o reconocimiento deexistencia de ficheros comprendidos bajo los alcancesdel Proyecto de Ley de Protección de Datos Personalesse encuentra regulado en su Título V. Si bien en el dere-cho comparado, son varias las legislaciones que realizanla distinción entre ficheros del sector privado y público,

sólo en algunas de ellas como la Ley española - LeyOrgánica 15/1999 - y la Ley argentina - Ley Nº 25.326 -se ha regulado el antes mencionado procedimiento.

Actualmente, cada vez más, nuestras actividades seencuentran relacionadas con registros porque cada actoque realicemos ante algún organismo, entidad o particu-lar, lleva consigo el otorgar algunos datos personales,sea libremente o en forma obligatoria; ante ello, el simplehecho de presentar documentos origina que nos solici-ten, como mínimo, nuestros nombres y el documento deidentidad. Sin embargo, mientras estos registros no nosgaranticen seguridad, va a estar afectada nuestra intimi-dad, porque esa actividad no puede vulnerar los dere-chos y libertades de las personas involucradas.

¿De qué forma se pueden conservar datos persona-les? Hoy en día, existe una diversidad de medios en loscuales es almacenada dicha información.

El Proyecto de Ley de Protección de Datos Persona-les recoge la denominación de “fichero” que es utilizadapor la legislación española y francesa5 , y adopta un con-cepto amplio, entendiéndose que el fichero viene a ser elsoporte que conserva, en forma organizada, la informa-ción almacenada.

Sin embargo, no todos los ficheros se encuentran bajoun mismo régimen, existiendo los de titularidad privada yotros que pertenecen a la administración pública, razónpor la cual la creación, modificación o supresión de estosficheros debe tener su propio procedimiento.

La existencia de todo fichero creado por la Adminis-tración Pública deberá ser comunicado a la Autoridad Na-cional de Protección de Datos Personales. De esta for-ma, una sola entidad tendría conocimiento del númerode ficheros existentes en el país, con la finalidad de re-conocerlos como tal, evaluar la finalidad y usos, así comolas medidas de seguridad que poseen.

La legislación chilena obliga a que la inscripción del“Banco de Datos” de la administración pública sea en unplazo no mayor de quince (15) días desde que iniciansus actividades. En la legislación española, en cambio,no existe plazo, mientras que en la regulación francesa,la inscripción está relacionada al tratamiento de datospersonales, el cual requerirá de consentimiento previo através de Dictamen por la Comisión Nacional de Informá-tica y Libertades, que es la autoridad máxima en estamateria en Francia.

En cuanto a los ficheros de la administración públicaen nuestro país, debido a las funciones que realizan, tan-to las entidades de administración tributaria como la Po-licía Nacional, se han establecido, en los artículos 25º y26º, ciertos lineamientos que deben observar estos or-ganismos para organizar sus ficheros, que constituyenuna excepción a la aplicación de uno de los principiosque rige la protección de datos personales: el consenti-miento previo del interesado, y de los derechos que po-see.

En otras palabras, los ficheros de la Policía Nacionalno requerirán el consentimiento previo del interesadocuando estos datos sirven para prevenir situaciones depeligro que amenacen la seguridad pública o, para la re-presión del delito, siempre que estén basados en unainvestigación concreta.

5 Mientras que las legislaciones italiana, chilena y argentina utilizan la denomi-nación “Banco de Datos” para definir a sus registros o archivos de datos.


Una posición más rigurosa se ha establecido cuandose trata de los ficheros de la administración tributaria, yaque se pueden denegar los derechos del interesado,cuando interfiera con su actuación, entendiéndose cuan-do exista de por medio un procedimiento de fiscalizacióntributaria.

En cuanto a la cesión de datos personales, el artículo24º dispone que esta transmisión entre entidades de laadministración pública sólo podrá ser efectuada si así loestablecen sus atribuciones o la Ley. De tratarse de da-tos personales que no hayan sido obtenidos del adminis-trado en el ejercicio propio de la entidad pública, se re-querirá el consentimiento del interesado.

El otro grupo de ficheros, los de titularidad privadaestán regulados del artículo 29º al 34º del Proyecto de laLey de Protección de Datos Personales.

El artículo 29º recoge el concepto establecido en elartículo 25º de la Ley española, Ley Orgánica 15/1999,cuando se refiere a que la creación de los ficheros detitularidad privada está estrechamente relacionada conla actividad que realiza la persona o entidad encargadadel fichero.

A diferencia de los ficheros de la administración públi-ca, los de titularidad privada tienen que seguir un proce-dimiento para su autorización que no superará los se-senta (60) días, disponiéndose finalmente su inscripciónen el Registro Nacional de Protección de Datos Persona-les. El mencionado procedimiento también es obligatoriocuando se realicen modificaciones de datos en los fiche-ros.

La información que deben presentar ante la Autori-dad Nacional de Protección de Datos Personales es bas-tante similar a la comunicación que tienen que realizarlos ficheros de la administración pública, salvo la infor-mación requerida en el numeral 32.2 del artículo 32º delProyecto de la Ley de Protección de Datos Personales,toda vez que es requisito indispensable que se dé a co-nocer los nombres de las personas naturales de las quese pretenda obtener datos o que resulten obligados a su-ministrarlos.

En caso de la transferencia de datos de los ficheros,tanto de la administración pública como de titularidad pri-vada, la Autoridad Nacional de Protección de Datos Per-sonales calificará si los ficheros destinatarios se encuen-tran registrados, si aseguran la reserva de los datos per-sonales y que los medios para la transferencia sean se-guros y adecuados, según lo prescrito por el artículo 34º.

TÍTULO V

LA AUTORIDAD NACIONAL DE PROTECCIÓNDE DATOS PERSONALES

Para velar por el cumplimiento de la legislación sobredatos personales y controlar su aplicación, que implica elcontrol de todas las personas, empresas e institucionesque manejan archivos y bases de datos personales, elartículo 35º prevé la creación de un organismo públicodescentralizado adscrito a la Presidencia del Consejo deMinistros, con régimen de autonomía técnica, económi-ca, presupuestal y administrativa.

¿Por qué no bastaría con la creación de un órganodentro de una entidad ya existente? La respuesta salta ala vista cuando se analizan las relevantes funciones queva a desempeñar y la necesaria imparcialidad y autono-mía que para el cumplimiento adecuado de ellas precisa.

Consideramos que dada las funciones que le tocarádesempeñar a la Autoridad Nacional de Protección deDatos Personales - APDAP, lo ideal sería que fuera unorganismo no sólo con autonomía sino con independen-cia de cualquier otro existente. Sin embargo, dada la

realidad de austeridad presupuestaria, así como la toda-vía poca conciencia de la necesidad de proteger nues-tros datos personales, cuya protección y la capacidadde decidir sobre su tratamiento constituye un derechofundamental de última generación, es que el Proyectopropone la creación de un Organismo Público Descen-tralizado adscrito a la Presidencia del Consejo de Minis-tros (PCM), porque la PCM, dentro del Ejecutivo, es laentidad coordinadora de su gestión así como de mante-ner las relaciones y la coordinación con los demás nive-les de Gobierno, con el Congreso de la República, conlos Organismos Constitucionales Autónomos y la socie-dad en general. Esta decisión se adopta con fe en que laAPDAP, con esta naturaleza jurídica inicial, cumpla ade-cuadamente sus funciones y con ello sensibilice y ayu-de a la toma de conciencia de las autoridades y de lasociedad en general de la necesidad de brindar una ade-cuada protección a los datos personales no sólo comoun derecho fundamental cuyo respeto beneficiará a lapersona humana, sino como presupuesto necesario paraaspirar a un nivel fluido de relaciones comerciales con laUnión Europea y diversos Estados que han avanzadoen la protección de este derecho. Se aspira, previo aná-lisis en su momento, de dotar de una naturaleza másindependiente a la APDAP 6 .

La APDAP tendrá como titular a un Jefe que será nom-brado por Resolución Suprema, por un período de cuatroaños, pudiendo cesar antes sólo por renuncia o falta gra-ve. La referida Resolución deberá ser refrendada por elPresidente del Consejo de Ministros, dada su adscrip-ción a la PCM. Cabe precisar que al Jefe de la APDAP sele está dando un régimen de autonomía e independenciapara que efectivamente pueda dirigir a la Institución deacorde con las funciones que se le han asignado a lamisma. El artículo 36º, inciso 2º de la Ley Española 15/1999, señala que el Director de la Agencia de Protecciónde Datos ejercerá sus funciones con plena independen-cia y objetividad y no estará sujeto a instrucción algunaen el desempeño de aquéllas. Es importante señalar queademás contará con un Consejo Directivo que lo aseso-rará y presentará propuestas.

El Consejo Consultivo con el que contará la APDAP, adiferencia del de la Agencia de Protección de Datos es-pañola, tiene una conformación que no involucra a miem-bros de otros poderes y de otros niveles de gobierno,esto en atención a lo ya mencionado acerca del nivel deinicial difusión del derecho a la protección de datos per-sonales y de la toma de conciencia del mismo tanto anivel de las instituciones del Estado como de la sociedadcivil en general.

El Consejo Consultivo que inicialmente se proponeserá ante todo un órgano asesor del Jefe de la APDAP yestará conformado por un representante de la Presiden-cia del Consejo de Ministros, un representante del Mi-nisterio de Justicia, un representante del Registro Na-cional de Identificación y Estado Civil, y un representan-te de la Superintendencia Nacional de los Registros Pú-blicos.

Expresado lo esencial de la naturaleza consultiva yde asesoramiento del referido Consejo, la propuesta pre-sentada deja al Reglamento el señalamiento de sus fun-ciones específicas.

6 La Unión Europea ha reconocido a la normatividad argentina como adecuadaen los términos de la Directiva Nº 95/46 CE; dentro de los aspectos relevantesque se han tomado en cuenta para la adecuación, se encuentra, el de la exis-tencia de un Órgano de Control. Este reconocimiento significa que a la Argen-tina no se le aplican las restricciones para la transferencia de datos persona-les, permitiendo el libre flujo de los datos personales desde la Unión Europea.


Se ha considerado dotar al Jefe de la APDAP de lapotestad de dirección y de responsabilidad primera ydirecta en la conducción de la institución, en atención ala naturaleza de las funciones de la misma, a la necesi-dad de la efectividad como APDAP y de la naturaleza yforma en que los consejos directivos o equivalentes es-tán conformados. Vemos en nuestra realidad que diver-sas comisiones o consejos están conformados por re-presentantes de diversas entidades cuyo trabajo comocomisión o consejo muchas veces se ve mediatizado(por las funciones que les corresponden en la entidad ala que representan) para el ejercicio de funciones deconducción en una entidad específica.

La APDAP llevará a su cargo el Registro Nacional deDatos Personales, en el que se inscribirán los ficherossean públicos o privados que contengan datos persona-les, las autorizaciones referidas en la ley y los movimien-tos relativos al ejercicio de los derechos de información,acceso, modificación, rectificación y cancelación.

En la medida que las personas que trabajan en la Au-toridad Nacional de Protección de Datos Personales en-trarán en contacto con información personal en forma pri-vilegiada, se les impone el deber del secreto profesionaly de reserva para los datos e informaciones que conoz-can con motivo de sus funciones; deber que como eslógico subsistirá hasta después de finalizada toda rela-ción con la APDAP, única forma de tutelar con coheren-cia la protección de los datos personales, objeto princi-pal de este Proyecto.

TÍTULO VI

DE LAS SANCIONES

A fin de evitar el desgobierno en materia de datospersonales, conforme a lo establecido en el Artículo 44º,se deriva al reglamento el establecimiento de aquellasconductas, hechos u omisiones que se configuran comoinfracciones administrativas, estableciéndose claramen-te que corresponde a la Autoridad Nacional de Protec-ción de Datos Personales imponer sanciones a quienesinfrinjan los lineamientos establecidos en la presente Leybajo motivación. A fin de contar con una graduación desanciones, éstas han sido catalogadas en: leves, gravesy muy graves.

Conforme a lo dispuesto en el Artículo 45º, las infrac-ciones administrativas que serán impuestas por la Auto-ridad Nacional de Protección de Datos Personales, me-diante resolución motivada que puede ser publicada, sonpasibles de una serie de sanciones, las mismas que vie-nen establecidas en función de la Unidad Impositiva Tri-butaria -UIT.

En cuanto al Artículo 46º, es importante destacar quelas sanciones podrán ser impuestas de acuerdo a unaserie de criterios entre los que destacan: la naturaleza ygravedad de la infracción, el daño causado o grado deafectación generado por la infracción en los usuarios, elbeneficio obtenido con la infracción, así como la reinci-dencia y la reiterancia. Finalmente, debemos señalar que,conforme a lo establecido en el Artículo 47º, la imposi-ción de una sanción no exime a los denunciados de laresponsabilidad penal que les pudiera corresponder.


De acuerdo a lo establecido en la primera disposicióncomplementaria, se obliga a todas las personas natura-les o jurídicas comprendidas dentro del ámbito del pre-sente Proyecto a adecuarse a lo dispuesto por esta nor-matividad, existiendo un plazo que será posteriormenteestablecido en el Reglamento.

Según la tercera disposición complementaria, las en-tidades que administren ficheros de solvencia patrimo-

nial y se dediquen al suministro de información de ries-gos se encuentran incluidas bajo los alcances de estanueva legislación, rigiéndose por su normatividad parti-cular en cuanto no contravenga a la presente.

Una de las más importantes disposiciones comple-mentarias, es la segunda, mediante la cual se crea laComisión Multisectorial encargada de la elaboración delReglamento de la Ley de Protección de Datos Persona-les, de ella dependerá la correcta aplicación de medidasque de acuerdo al Proyecto deben ser reguladas por unreglamento. Podemos citar como ejemplos: i) las disposi-ciones sobre ficheros de datos sensibles; ii) los requisi-tos y condiciones que en materia de seguridad debenreunir los ficheros; iii) los actos que puedan ser objeto dereclamación o queja por parte de los interesados; iv) ladocumentación complementaria requerida que deberáacompañarse en la solicitud de inscripción de ficherosde titularidad privada; así como: v) la tipificación de loshechos u omisiones que se configuren como infraccio-nes administrativas a la Ley, entre otros. Esto debe en-tenderse desde la perspectiva que, lo que se pretenderegular es la protección de un derecho fundamental nue-vo; por ende, a partir del presente Proyecto, debe abrirseun debate a nivel nacional, entre los sectores y personasinvolucradas, es decir los operadores de ficheros de da-tos personales de entidades públicas o instituciones pri-vadas y de los interesados que somos todas las perso-nas, cuyo aporte, sin duda, será valioso para la daciónde la Ley de Protección de Datos Personales.

V. EFECTO DE LA VIGENCIA DE LA NORMA SOBRELA LEGISLACIÓN NACIONAL

La aprobación de la Ley de Protección de Datos Perso-nales generará un impacto positivo en el sistema jurídicoperuano, al uniformizarse, mediante una Ley especial, elmarco legal vigente en materia de tratamiento de datospersonales por medios informáticos, ópticos y similares.

VI. COSTO BENEFICIO

Si bien es cierto que el implementar una entidad dedica-da a la protección de los datos personales en nuestropaís tendrá un costo importante en su inicio, creemosque el beneficio que este esfuerzo inicial supone, serámayor con respecto a su costo inicial, pues se verá refle-jado en un importante ahorro de costos para el Estado ypara la persona, al evitarse la generación de conflictospor el tratamiento indebido de datos personales. Asimis-mo, con la finalidad de contar con una entidad que seencargue de velar por la problemática de la protecciónde datos personales en el Perú, la propuesta de la crea-ción de la Autoridad Nacional de Protección de DatosPersonales, entidad dependiente de la Presidencia delConsejo de Ministros, permitirá otorgar una mayor efi-ciencia a la protección de datos personales en nuestropaís, otorgando al ciudadano y a la persona en general laposibilidad de canalizar sus reclamos ante una institu-ción especializada.

Con la Ley de Protección de Datos Personales que seapruebe, se colaborará con el fomento de las inversionesen el Perú, por cuanto los inversionistas tendrán la certe-za que sus datos personales y los de sus clientes ten-drán adecuado respaldo y protección jurídica. La integra-ción económica y social mundial que cada día se confi-gura más definidamente implica un aumento considera-ble de los flujos transfronterizos de datos personales en-tre los agentes económicos de diversos países (cerca-nos y lejanos) y continentes, ya se trate de agentes pri-vados o públicos, las relaciones empresariales no pue-den ni deben actuar al margen de la protección de losderechos fundamentales. Adicionalmente, la personapodrá confiar que toda vulneración de sus datos perso-nales será pasible de las sanciones correspondientes,las mismas que podrán ser pecuniarias y serán parte delsustento económico de la APDAP.

13666

Proyecto protecciondatospers peruano

Documents

Transcript of Proyecto protecciondatospers peruano