Lima, viernes 23 de julio de 2004                       R                           EP                                UB  ...
Pág. 2                                        PROYECTO                         Lima, viernes 23 de julio de 2004          ...
Lima, viernes 23 de julio de 2004                 PROYECTO                                     Pág. 3                     ...
Pág. 4                                              PROYECTO                           Lima, viernes 23 de julio de 2004  ...
Lima, viernes 23 de julio de 2004                      PROYECTO                                                      Pág. ...
Pág. 6                                                  PROYECTO                           Lima, viernes 23 de julio de 20...
Lima, viernes 23 de julio de 2004                   PROYECTO                                                    Pág. 7sado...
Pág. 8                                              PROYECTO                           Lima, viernes 23 de julio de 2004Ar...
Lima, viernes 23 de julio de 2004                    PROYECTO                                                   Pág. 9    ...
Pág. 10                                             PROYECTO                            Lima, viernes 23 de julio de 2004 ...
Lima, viernes 23 de julio de 2004                     PROYECTO                                                            ...
Pág. 12                                               PROYECTO                           Lima, viernes 23 de julio de 2004...
Lima, viernes 23 de julio de 2004                     PROYECTO                                                            ...
Pág. 14                                              PROYECTO                                     Lima, viernes 23 de juli...
Proyecto protecciondatospers peruano
Proyecto protecciondatospers peruano
Upcoming SlideShare
Loading in …5
×

Proyecto protecciondatospers peruano

589 views
499 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
589
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Proyecto protecciondatospers peruano

  1. 1. Lima, viernes 23 de julio de 2004 R EP UB LICA DEL P E R U PROYECTO Pág. 1 DIARIO OFICIAL FUNDADO EN 1825 POR EL LIBERTADOR SIMÓN BOLÍVAR Director (e): GERARDO BARRAZA SOTO Lima, viernes 23 de julio de 2004 LICA DEL P UB E EP R U R Ministerio de Justicia PREPUBLICACIÓN PROYECTO DE LA LEY DE PROTECCIÓN DE DATOS PERSONALES RESOLUCIÓN MINISTERIAL Nº 331-2004-JUS LIMA, 2004 SEPARATA ESPECIAL
  2. 2. Pág. 2 PROYECTO Lima, viernes 23 de julio de 2004 RESOLUCIÓN MINISTERIAL Nº 331-2004-JUS Lima, 20 de julio de 2004 CONSIDERANDO: Que, mediante Resolución Ministerial Nº 094-2002-JUS de fecha 18 de marzo de 2002, se constituyó la Comisión Especial encargada de proponer el anteproyecto de Ley de Protección de Datos Personales y elaborar las propuestas legislativas y administrativas que correspondan; Que, con fecha 15 de julio de 2004, el Presidente de la referida Comisión, elevó al Ministro de Justicia, el Anteproyecto de Ley de Datos Personales, el cual propone regular por primera vez en un solo cuerpo legal, disposiciones que tienen por finalidad garantizar los derechos y liberta- des fundamentales de las personas, especialmente con relación a la intimidad personal y fami- liar; Que, habiendo culminado dicha Comisión con su labor, es necesario agradecer la colaboración de sus integrantes y disponer la prepublicación del Anteproyecto de Ley de Datos Personales, a fin de recoger las opiniones de las diversas entidades públicas y privadas vinculadas a la materia, y del público en general; De conformidad con el Decreto Ley Nº 25993, Ley Orgánica del Sector Justicia; SE RESUELVE: Artículo 1º.- Agradecer, por su colaboración en la elaboración del Anteproyecto de la Ley de Datos Personales, a los integrantes de la Comisión Especial nombrada por Resolución Ministerial Nº 094- 2002-JUS: - Carlos Gamarra Ugaz. - Juan José Altamirano Yáñez. - Ronald Cárdenas Krenz. - José Espinoza Céspedes. - Víctor Guevara Pezo. - Lilian Oliver Palomino. - Patricia Zavaleta Vértiz. - María de Lourdes Zamudio Salinas. Artículo 2º.- Disponer la prepublicación del Anteproyecto de Ley de Datos Personales en el Diario Oficial El Peruano y en la página web del Ministerio de Justicia, www.minjus.gob.pe , a fin de recoger las opiniones de las diversas entidades públicas y privadas vinculadas a la materia, y del público en general; dentro del plazo de treinta (30) días calendario, contados a partir de la publica- ción de la presente Resolución. Artículo 3º.- Encargar a la Secretaría Técnica constituida mediante Resolución Ministerial Nº 094-2002-JUS, la recepción, procesamiento y sistematización de los comentarios que se presen- ten al mencionado anteproyecto, a fin de elaborar la versión final, que será elevada al Despacho Ministerial. Regístrese, comuníquese y publíquese. BALDO KRESALJA R. Ministro de Justicia
  3. 3. Lima, viernes 23 de julio de 2004 PROYECTO Pág. 3 PROYECTO DE LA LEY DE PROTECCIÓN DE DATOS PERSONALES COMISIÓN MULTISECTORIAL R.M. Nº 094-2002-JUS • Carlos Gamarra Ugaz, Presidente • Juan José Altamirano Yáñez • Ronald Cárdenas Krenz • José Espinoza Céspedes • Víctor Guevara Pezo • Lilian Oliver Palomino • Patricia Zavaleta Vértiz • María de Lourdes Zamudio Salinas ÍNDICE Título I DISPOSICIONES GENERALES Arts. 1-5 Título II PRINCIPIOS DE LA PROTECCIÓN DE DATOS PERSONALES Arts. 6-14 Título III DERECHOS DE LOS INTERESADOS Arts. 15-20 Título IV DE LOS FICHEROS Arts. 21-34 Capítulo I Ficheros de la administración pública Capítulo II Ficheros de titularidad privada Título V LA AUTORIDAD NACIONAL DE PROTECCIÓN DE DATOS PERSONALES Arts. 35-43 Título VI DE LAS SANCIONES Arts. 44-47 DISPOSICIONES COMPLEMENTARIAS
  4. 4. Pág. 4 PROYECTO Lima, viernes 23 de julio de 2004 PROYECTO DE LA LEY DE PROTECCIÓN DE DATOS PERSONALES TÍTULO I cación, bloqueo o cancelación, así como la cesión de datos que resulten de comunicaciones, interco- DISPOSICIONES GENERALES nexiones y transferencias.Artículo 1º.- Finalidad de la Ley. Artículo 3º.- Datos protegidos.La presente Ley tiene por finalidad regular y garantizar el Los datos protegidos por la presente Ley son aquéllosderecho a la protección de datos personales, cautelando que se encuentran contenidos en soporte físico, informá-los derechos a la intimidad, identidad, honor y propia ima- tico o similar, u otros que se creen, susceptibles de trata-gen. miento y uso público y/o privado.Artículo 2º.- Definiciones. Artículo 4º.- Ámbito de aplicación.Para todos los efectos de la presente Ley, se entenderá La presente Ley se aplica a los ficheros de titularidadpor: pública o privada, y al tratamiento de datos personales realizados en el territorio nacional.2.1. Cesión o comunicación de datos.- Toda transmi- sión o manifestación de datos a una persona o en- Se regirán por su legislación y fines, siempre y cuando tidad distinta del interesado. no contravengan esta Ley:2.2. Consentimiento.- Toda manifestación de voluntad, 4.1. Los ficheros del Registro Nacional de Identifica- libre, inequívoca, explícita, específica e informada, ción y Estado Civil - RENIEC; mediante la cual el interesado apruebe o autorice el tratamiento de sus datos personales. 4.2. Los ficheros generados de conformidad con la le- gislación en materia electoral;2.3. Datos personales.- Cualquier información concer- niente a personas naturales identificadas o identifi- 4.3. Los ficheros vinculados al registro de condenas; cables. 4.4. Los ficheros vinculados a fines estadísticos a car-2.4. Datos sensibles.- Datos personales relacionados go del Instituto Nacional de Estadística e Informá- con: el origen racial y étnico, opiniones políticas, tica - INEI; y convicciones religiosas, filosóficas o morales, afi- liación sindical e información referente a la salud o 4.5. Los ficheros de las oficinas registrales de la Su- a la vida sexual, así como aquellos otros estableci- perintendencia Nacional de los Registros Públicos dos por el Reglamento de la presente Ley. - Sunarp.2.5. Encargado del tratamiento.- Persona natural o ju- Artículo 5º.- Ficheros no comprendidos en el ámbito rídica, autoridad o cualquier órgano que, solo o con- de aplicación. juntamente con otros realice el tratamiento de da- Lo dispuesto por esta Ley no será de aplicación a: tos personales por cuenta del responsable del fi- chero. 5.1. Los ficheros organizados por personas naturales para fines exclusivamente domésticos o persona-2.6. Fichero.- Todo conjunto organizado de archivos, re- les; gistros, base o banco de datos personales, cual- quiera fuere la forma o modalidad de su creación, 5.2. Los ficheros del personal oficial y subalterno de formación, almacenamiento, organización y acce- las fuerzas armadas y policiales; so. 5.3. Los ficheros organizados o establecidos por las2.7. Fuentes accesibles por el público.- Aquellos fi- autoridades competentes para la investigación del cheros, que pueden ser consultados por cualquier terrorismo, narcotráfico y demás formas graves de persona, inclusive la de los diarios oficiales u otras delincuencia organizada; y fuentes señaladas en el Reglamento de la presen- te Ley. 5.4. Los ficheros administrados por el Consejo Nacio- nal de Inteligencia.2.8. Interesado.- Persona natural titular de los datos ob- jeto del tratamiento de datos. En los casos de los supuestos antes señalados, el res- ponsable del fichero informará la finalidad del mismo a la2.9. Procedimiento de disociación.-Todo tratamiento autoridad competente de su sector y velará por su ade- de datos en el que la información que se obtenga cuado uso, bajo responsabilidad. Asimismo comunicará no pueda asociarse a persona natural identificada de su existencia a la Autoridad Nacional de Protección o identificable. de Datos Personales.2.10. Responsable del fichero.- Persona natural o jurí- dica, pública o privada u órgano administrativo que TÍTULO II decida sobre el contenido, uso y realización del tra- tamiento de datos. PRINCIPIOS DE LA PROTECCIÓN DE DATOS PERSONALES2.11. Transferencia.- Toda cesión o comunicación de da- tos de carácter internacional. Artículo 6º.- Información2.12. Tratamiento de datos.- Operaciones y procedi- 6.1. Para efectos de la obtención de los datos perso- mientos técnicos, de carácter automatizado o no, nales, el interesado deberá ser previamente infor- electrónicos o no, que permitan la obtención, gra- mado, de modo expreso, explícito, detallado e in- bación, uso, almacenamiento, elaboración, modifi- equívoco:
  5. 5. Lima, viernes 23 de julio de 2004 PROYECTO Pág. 5 6.1.1. Del responsable del fichero o quien solicita sonales registrados resultaran inexactos, parcial o los datos personales. totalmente, el responsable del fichero deberá sus- tituirlos y rectificarlos conforme corresponda. 6.1.2. De la finalidad del fichero y de los motivos para los que se solicitan los datos perso- 7.5. No realizar el tratamiento de datos personales para nales. fines diferentes o contrarios para los que fueron recogidos. Se excluyen de esta prohibición las ac- 6.1.3. De la cesión o transferencia de los datos tividades de investigación científica siempre y cuan- personales. do se utilice un procedimiento de disociación de datos personales. 6.1.4. Del carácter obligatorio o facultativo de su respuesta a las preguntas que se le plan- 7.6. Eliminar los datos personales del fichero en cuan- tee. to dejen de ser necesarios para cumplir la finali- dad para la que fueron obtenidos. Podrán mante- 6.1.5. De las consecuencias resultantes de la ob- nerse por razones exclusivas de estudio, valor his- tención de los datos o de la negativa a su- tórico, estadístico o investigación científica, de con- ministrarlos. formidad con lo establecido en la presente Ley. 6.1.6. De los derechos que le asisten respecto a El responsable del fichero y el encargado del tratamiento sus datos, su acceso, modificación, rectifi- que no cumplan con los deberes antes señalados, incu- cación y cancelación sobre los mismos. rrirán en responsabilidad administrativa, sin perjuicio de las demás responsabilidades que correspondan. 6.1.7. De la identidad del responsable del trata- miento de los datos solicitados. Artículo 8º.- Consentimiento Todo tratamiento de datos personales requerirá el con- 6.1.8. De la cesión de los datos personales e in- sentimiento previo, informado e indubitable del interesa- formación de riesgos a favor de ficheros de do. En el caso de los datos sensibles dicho consentimiento solvencia patrimonial administrados por las además será inequívoco, expreso y por escrito, salvo las Centrales Privadas de Información de Ries- excepciones previstas en el artículo siguiente y otras pre- gos -CEPIRS o similares. El Reglamento vistas por ley. establecerá disposiciones complementa- rias para los casos de cesión de datos per- En el caso de los incapaces, el consentimiento será otor- sonales a favor de estas entidades. gado por sus representantes. 6.1.9. Del tiempo durante el cual se pueden con- El interesado podrá revocar su consentimiento en cualquier servar los datos personales. momento debiendo sustentar su solicitud cuando correspon- da y observando los mismos requisitos de su otorgamiento.6.2. En caso de no ser informados debidamente de todo lo indicado en el modo precedente, las personas a Artículo 9º.- Excepciones al consentimiento las que se solicite tales datos personales tendrán No se requerirá el consentimiento del interesado cuando: el derecho de negarse a proporcionarlos, pudien- do impugnar o ejercer las acciones que estime con- 9.1. Los datos de carácter personal sean obtenidos para venientes dentro de lo establecido por esta Ley y el ejercicio propio de la administración pública en sus normas complementarias. el ámbito de su competencia.6.3. En el caso que se utilicen cuestionarios u otros 9.2. No se posibilite la identificación o individualización de impresos para la obtención de datos personales, datos e información de personas fallecidas que se em- deberán acompañarse a éstos las advertencias que pleen en investigaciones de carácter científico. hagan posible conocer la información a que se re- fiere el presente artículo. 9.3. Se refiera a datos e información obtenidos de fuen- tes accesibles por el público.6.4. Cuando se trate de recopilación de direcciones, reparto de documentos, publicidad, venta a dis- 9.4. Sean necesarios para el mantenimiento de una re- tancia, actividad comercial y otras actividades si- lación contractual en la que sea parte el interesado. milares, se podrán utilizar nombres o direcciones, cuando la persona lo consienta por escrito o ex- 9.5. Se trate de una circunstancia en la que se encuen- presamente, así como otros datos personales que tre en riesgo la vida o salud del interesado o se figuren en las fuentes accesibles por el público, encuentre físicamente incapacitado y cuando sea debiendo indicarse el origen de los datos. necesario para el tratamiento y el diagnóstico mé- dico, por razones de salubridad pública o cuandoArtículo 7º.- Responsabilidad medien razones de interés general previstas porEl responsable del fichero y el encargado del tratamiento ley, de conformidad con la Ley General de Salud.según sea el caso, en el ejercicio de sus funciones, de- En los supuestos señalados, quienes realicen elben observar lo siguiente: tratamiento de los datos personales se encuen- tran obligados a guardar el secreto profesional.7.1. Recoger para su tratamiento datos personales que sean adecuados y pertinentes, con relación al ám- 9.6. Los datos personales o información de riesgo cons- bito y finalidades determinadas, explícitas y legíti- ten en los ficheros de las Centrales Privadas de mas para las que se hayan obtenido, no debiendo Información de Riesgos -CEPIRS o similares. En excederse, con relación a la finalidad del fichero. este caso, dichas entidades deberán comunicar a los interesados la incorporación de sus datos o7.2. No obtener datos personales por medios fraudu- información dentro de los cinco (5) días hábiles de lentos, desleales o ilícitos. haber sido ingresados al fichero correspondiente y con anterioridad a la difusión de los mismos.7.3. Garantizar el ejercicio de los derechos del intere- sado reconocidos en la presente Ley. Artículo 10º.- Consentimiento para la cesión o trans- ferencia de datos personales7.4. Velar por la exactitud y actualización de los datos Los datos personales sólo podrán ser comunicados o ce- personales de forma que respondan con veracidad didos a terceros, previo consentimiento expreso del inte- a la situación actual del interesado. Si los datos per- resado.
  6. 6. Pág. 6 PROYECTO Lima, viernes 23 de julio de 200410.1. No será necesario dicho consentimiento en los los mismos, deberá incluir en dichos contratos la obliga- siguientes casos: ción de implementar las medidas de seguridad señala- das en el artículo 12º de la presente Ley y la obligación 10.1.1. Cuando la cesión esté autorizada expre- de éstos de guardar absoluto secreto sobre el contenido samente por ley. de los datos. Dicha obligación subsiste aún cuando el contrato no se encuentra vigente entre las partes. 10.1.2. Cuando se trate de datos recogidos de fuentes accesibles por el público. Artículo 14º.- Confidencialidad El responsable del fichero y quienes intervengan en cual- 10.1.3. Cuando el tratamiento se derive de una re- quier parte del tratamiento de datos personales están obli- lación jurídica contractual existente. En este gados al secreto profesional respecto de los mismos. Esta caso, sólo será legítimo el uso de datos que obligación subsistirá aún después de finalizar sus rela- se limiten a la finalidad directamente rela- ciones con el responsable del fichero. cionada con la referida relación jurídica. El incumplimiento de esta disposición generará respon- 10.1.4. Cuando la comunicación sea requerida ofi- sabilidad penal del infractor. cialmente por el Defensor del Pueblo en el ámbito de sus atribuciones de defensa de los derechos humanos, el Ministerio Públi- TÍTULO III co durante el proceso de investigación del delito, o el Poder Judicial en el ejercicio de DERECHOS DE LOS INTERESADOS la función jurisdiccional. Artículo 15º.- Derecho de acceso a los datos perso- 10.1.5. Cuando responda a exigencias de emer- nales. gencia relativas a la vida y salud del intere- Por medio del derecho de acceso, el interesado podrá sado. solicitar y obtener información sobre sus datos persona- les sometidos a tratamiento. Este derecho incluye la for- 10.1.6. Cuando la comunicación se efectúa previo ma de obtención de los datos. procedimiento de disociación. Artículo 16º.- Derecho de modificación y rectificación 10.1.7. Otras conforme a ley. de los datos personales. El interesado puede solicitar la modificación o rectifica-Artículo 11º.- Clasificación especial ción de sus datos personales demostrando que se haNinguna persona puede ser obligada a proporcionar da- incumplido con lo dispuesto en el artículo 6º de esta Ley.tos sensibles, quedando prohibida la creación de fiche-ros con la finalidad exclusiva de tratar datos personales El plazo para resolver sobre dicho requerimiento será deque revelen la ideología, afiliación sindical, religión, creen- veinte (20) días hábiles contados a partir del día siguien-cias, origen racial, étnico y genético, salud o vida sexual te de recibida la solicitud.y aquellos otros, que señala el Reglamento de la presen-te Ley. Si los datos personales inexactos o erróneos hubieren sido comunicados a otras personas o entidades, el res-Quien incumpla esta prohibición será sancionado confor- ponsable del tratamiento deberá proceder a la comunica-me a esta Ley y su Reglamento, sin perjuicio de las de- ción de dicha rectificación a quienes hubieren recibido lamás responsabilidades establecidas por el ordenamien- información anterior dentro del plazo señalado.to jurídico. Artículo 17º.- Derecho de Cancelación de los datosNo se encuentran comprendidos en lo dispuesto por el personales.presente artículo, los ficheros administrados por los par- Los datos de carácter personal serán cancelados cuandotidos políticos, sindicatos, iglesias, confesiones, comuni- hayan dejado de ser necesarios o pertinentes para la fina-dades religiosas, asociaciones, fundaciones, y otras en- lidad para la cual hubieran sido recabados o registrados.tidades sin ánimo de lucro, cuya finalidad sea política,filosófica, religiosa o sindical, en cuanto a los datos rela- El interesado tiene el derecho de solicitar la cancelacióntivos a sus asociados o miembros, sin perjuicio que para de sus datos, siempre y cuando la recogida y tratamien-la cesión de dichos datos se requiera del previo consen- to de sus datos no se ajuste a lo dispuesto por el artículotimiento escrito del interesado. 6º de esta Ley; asimismo, cuando el tratamiento de di- chos datos esté únicamente destinado a evaluar deter-Artículo 12º.- Seguridad minados aspectos de su personalidad con la finalidad deLas medidas de seguridad a adoptar por el responsable ofrecer una definición de sus características persona-del fichero, como mínimo para el tratamiento de datos les o hacer valoraciones de su personalidad o compor-personales son: tamiento.12.1. Medidas de índole técnico y organizativas nece- El plazo para resolver dicho requerimiento será de veinte sarias que garanticen la veracidad, integridad, ac- (20) días hábiles contados a partir del día siguiente de tualización de los datos personales y eviten su al- recibida la solicitud. teración, pérdida, tratamiento o acceso no autori- zado. Si los datos personales hubieren sido comunicados a otras entidades, el responsable del tratamiento deberá No podrán obtenerse datos e información perso- proceder a la comunicación de dicha cancelación a quie- nal si los ficheros que los almacenen no cumplen nes hubieren recibido dicha información. con las medidas de seguridad a que se refiere el párrafo anterior. Artículo 18º.- Procedimientos para ejercitar el acce- so, la modificación, cancelación, rectificación.12.2. Los requisitos y condiciones que deberán reunir El procedimiento administrativo para salvaguardar el ejer- los ficheros en materia de seguridad son los esta- cicio de los derechos de acceso, modificación, cancela- blecidos en el Reglamento de la presente Ley. ción y rectificación, será establecido en el Reglamento de la presente Ley.Artículo 13º.- Seguridad en los contratosEn caso que el responsable del fichero requiera celebrar Artículo 19º.- Reclamación y Quejacontratos que conlleven al tratamiento de datos perso- Los actos contrarios a lo dispuesto en la presente Leynales y cuya ejecución proporcione a terceros acceso a pueden ser objeto de reclamación o queja por los intere-
  7. 7. Lima, viernes 23 de julio de 2004 PROYECTO Pág. 7sados que hayan sido afectados, conforme a lo que se pública, se requerirá el consentimiento del interesado deestablezca en el Reglamento. acuerdo a los artículos 8º y 9º de la presente Ley, de- biendo garantizarse sus derechos contenidos en el títu-El interesado a quien se le deniegue, total o parcialmen- lo III de la misma.te, el ejercicio de los derechos establecidos en esta Ley,podrá recurrir ante la Autoridad Nacional de Protección Artículo 25º.- Ficheros organizados por la Policía Na-de Datos Personales, quien resolverá el recurso en un cionalplazo máximo de treinta (30) días hábiles. Los ficheros organizados por la Policía Nacional debenContra las resoluciones del Jefe de la Autoridad Nacio- observar lo siguiente:nal de Protección de Datos Personales procede la ac-ción contencioso-administrativa. 25.1. La Policía Nacional puede organizar ficheros sin consentimiento del interesado para obtener, tra-Artículo 20º.- Indemnización por daños. tar, almacenar y recuperar datos personales, cuan-Los interesados que se vean afectados como conse- do los mismos sirvan para prevenir situaciones decuencia del incumplimiento de la presente Ley, podrán peligro que amenacen la seguridad pública o parademandar al responsable del fichero y a terceros se- la represión de delitos, siempre que estén basa-gún corresponda, y solicitar la indemnización corres- dos en una investigación concreta. En ningún casopondiente, de acuerdo a lo establecido en el ordena- podrá obtenerse ni tratarse datos que no sean in-miento jurídico. dispensables para el fin antes señalado. Para tal efecto, el responsable del fichero deberá TÍTULO IV contar con la aprobación de la máxima autoridad de la institución. En caso de no contarse con tal DE LOS FICHEROS aprobación, incurrirá en responsabilidad adminis- trativa; sin perjuicio de las demás responsabilida- Capítulo I des que correspondan. Ficheros de la administración pública 25.2. Los datos personales registrados con fines poli-Artículo 21º.- Comunicación de los ficheros de la ad- ciales se cancelarán cuando no sean necesariosministración pública. para las investigaciones que motivaron su obten-La creación, modificación o supresión de ficheros corres- ción y tratamiento, bajo responsabilidad.pondientes a la administración pública que traten datospersonales, será comunicada por la máxima autoridad En el caso que el interesado sea perjudicado porde la entidad en la cual fueron creados, a la Autoridad el contenido de los ficheros mencionados en el ar-Nacional de Protección de Datos Personales. tículo anterior, podrá solicitar el acceso, la modifi- cación o rectificación, fundamentando su pedido.Artículo 22º.- Contenido de la comunicación Dicha solicitud podrá ser denegada por razonesLa comunicación indicada en el artículo precedente de- de seguridad pública o cuando exista una investi-berá contener la siguiente información: gación penal en trámite.22.1. La finalidad del fichero y los usos previstos para el Artículo 26º.- Ficheros de la Administración Tributa- mismo, los cuales deben ser de conformidad con ria el ámbito de su competencia. Los responsables de los ficheros de la Administración Tributaria podrán denegar el ejercicio de los derechos del22.2. Procedimiento a emplearse para la obtención de interesado contenidos en el Título III de esta Ley, cuando los datos. se interfiera con su actuación administrativa, en el ejerci- cio de su competencia cuando sea objeto de un procedi-22.3. Estructura del fichero y los tipos de datos a incor- miento de fiscalización tributaria. porarse en los mismos. Artículo 27º.- De la denegación de derechos22.4. Cesión o transferencia de los datos en el caso de El interesado a quien se le deniegue, total o parcialmen- datos sensibles. te, el ejercicio de los derechos establecidos en esta Ley, podrá recurrir a la Autoridad Nacional de Protección de22.5. Los órganos responsables del fichero. Datos Personales, la misma que resolverá en última ins- tancia administrativa sobre su procedencia.22.6. Las oficinas ante las que pueda ejercerse los dere- chos de acceso, modificación, cancelación, recti- Artículo 28º.- Conservación de los datos personales ficación. Cuando deban utilizarse los datos personales para de- terminar responsabilidades legales, los mismos podrán22.7. Medidas de seguridad que corresponda al fichero. ser conservados únicamente a disposición de las entida- des de la Administración Pública que, en razón de sus22.8. Otra que señale el Reglamento. funciones, tengan interés legítimo y directo.Artículo 23º Requisitos para la supresión de fiche-ros. Capítulo IIEl destino de los ficheros mencionados en el artículo 21º, Ficheros de titularidad privadaasí como las precisiones que sean necesarias para susupresión, se establecerán en el Reglamento de la pre- Artículo 29º.- Creación de ficheros de titularidad pri-sente Ley y demás disposiciones reglamentarias. vada Sólo podrán crearse ficheros de titularidad privada queArtículo 24º.- Cesión o comunicación de datos. contengan datos personales, cuando resulte indispensa-Los datos personales obtenidos o tratados por las enti- ble para la realización de las actividades de la persona odades de la Administración Pública para el ejercicio de entidad que los cree y de conformidad con las disposi-sus atribuciones sólo podrán ser cedidos a otras entida- ciones de la presente Ley.des de la administración, de acuerdo a sus atribucionesy competencias o conforme a ley. Artículo 30º.- Autorización El responsable del fichero deberá solicitar a la AutoridadEn el caso de los ficheros que contengan datos perso- Nacional de Protección de Datos Personales la autoriza-nales que no sean obtenidos de los administrados en el ción para la creación del fichero, de conformidad con elejercicio de las funciones propias de la administración procedimiento previsto en el artículo siguiente.
  8. 8. Pág. 8 PROYECTO Lima, viernes 23 de julio de 2004Artículo 31º.- Procedimiento 33.2. En caso que los datos procedan de fuentes acce-La Autoridad Nacional de Protección de Datos Persona- sibles por el público, en cada comunicación queles autorizará la creación del fichero y dispondrá su ins- se dirija al interesado se informará acerca del ori-cripción en el Registro Nacional de Protección de Datos gen de los datos personales y de la identidad delPersonales, conforme al siguiente procedimiento: encargado del tratamiento.31.1. La solicitud del interesado será presentada ante la 33.3. La omisión en el cumplimiento de lo establecido Autoridad Nacional de Protección de Datos Perso- en los numerales anteriores del presente artículo, nales. Dicha solicitud se inscribirá en el Registro originará la sanción correspondiente establecida Nacional de Protección de Datos Personales, den- en el Reglamento. tro del plazo de cuarenticinco (45) días hábiles, previo cumplimiento de los requisitos establecidos Artículo 34º.- Impedimento de transferencia de datos en la presente Ley. para los ficheros de la administración pública y para los de titularidad privada.31.2. El funcionario encargado deberá calificar la admi- sión de la solicitud dentro de los diez (10) días si- 34.1. El responsable del fichero o encargado del trata- guientes a su presentación. El interesado deberá miento no podrá realizar transferencias de datos subsanar las observaciones a que hubiese lugar en personales, si no se comprueba que los ficheros un plazo de diez (10) días hábiles. Para efecto del destinatarios aseguran la reserva de dichos datos cómputo de los plazos referidos, se considerarán y que los mismos se encuentren registrados. La las disposiciones que establezca el Reglamento. Autoridad Nacional de Protección de Datos Perso- nales, a solicitud del interesado, calificará, antes31.3. De no existir pronunciamiento por parte de la Au- de efectuar dicha transferencia, si se cumple tal toridad Nacional de Protección de Datos Persona- exigencia. les en el plazo señalado en el numeral 31.1, se tendrá por autorizada la creación del fichero y se 34.2. El personal encargado del tratamiento está impe- dispondrá su inscripción en el Registro Nacional dido del transporte del soporte que recoja la infor- de Protección de Datos Personales. mación sin la debida autorización del responsable del fichero. Dicho impedimento será aplicable tam-31.4. El responsable del fichero deberá comunicar a la bién al envío de datos personales por medios elec- Autoridad Nacional de Protección de Datos Perso- trónicos. nales, los cambios que se produzcan en la finali- dad del fichero, del responsable del fichero y de la 34.3. La transferencia de datos personales sólo podrá ubicación del fichero. realizarse por medios seguros y a destinos que sean calificados como adecuados por la Autoridad Para realizar cualquier modificación en los fiche- Nacional de Protección de Datos Personales. ros deberá seguirse el procedimiento descrito en el presente artículo. TÍTULO VArtículo 32º.- Contenido de la solicitud de inscripciónLa solicitud indicada en el artículo precedente deberá con- LA AUTORIDAD NACIONAL DE PROTECCIÓNtener la siguiente información: DE DATOS PERSONALES32.1. La finalidad del fichero y usos previstos para el Artículo 35º.- La Autoridad Nacional de Protección de mismo. Datos Personales. Créase la Autoridad Nacional de Protección de Datos Per-32.2. Las personas naturales de las que se pretenda ob- sonales, en adelante APDAP, como organismo público tener datos o que resulten obligadas a suminis- descentralizado con personería jurídica de derecho pú- trarlos. blico interno, adscrito a la Presidencia del Consejo de Ministros; con régimen de autonomía técnica, económi-32.3. Procedimiento a emplearse para la obtención de ca, presupuestal y administrativa. los datos. La APDAP es la encargada de velar por el cumplimiento32.4. Estructura del fichero y tipos de datos a incorpo- de la legislación sobre protección de datos personales y rarse en los mismos. controlar su aplicación. Se regirá por lo dispuesto en la presente Ley y en su Reglamento de Organización y Fun-32.5. Cesión o transferencia de los datos personales. ciones.32.6. Responsable del fichero. Artículo 36º.- Funciones de la APDAP Son funciones de la APDAP:32.7. Medidas de seguridad que correspondan al fiche- ro. 36.1. Garantizar el cumplimiento de la legislación vincu- lada con la protección de datos personales.32.8. Otra que señale el Reglamento. 36.2. Dictar las resoluciones que correspondan para laArtículo 33º.- Recopilación de datos de fuentes priva- mejor aplicación de lo previsto en esta Ley y sudas y accesibles por el público. Reglamento.Para la recopilación de datos de fuentes privadas y acce-sibles por el público será de aplicación lo siguiente: 36.3. Emitir las autorizaciones previstas en la Ley o en su Reglamento.33.1. Quienes se dediquen a la recopilación de direc- ciones, reparto de documentos, publicidad, venta 36.4. Resolver las reclamaciones formuladas por los in- a distancia, actividad comercial y otras activida- teresados en segunda y última instancia. des similares, sólo utilizarán nombres o direccio- nes cuando la persona lo consienta por escrito o 36.5. Proporcionar información sobre la normatividad expresamente, así como otros datos personales aplicable en materia de protección de datos per- que figuren en fuentes accesibles por el público o sonales. cuando hayan sido facilitados por los propios inte- resados u obtenidos, con su consentimiento, con 36.6. Requerir a los responsables de los ficheros y encar- indicación expresa que podrán ser cedidos. gados del tratamiento de datos personales, la adop-
  9. 9. Lima, viernes 23 de julio de 2004 PROYECTO Pág. 9 ción de las medidas necesarias para la adecuación c) Un representante del Registro Nacional de Identi- del tratamiento de datos personales a las disposicio- ficación y Estado Civil - Reniec. nes legales y reglamentarias aplicables y, en su caso, ordenar la modificación o suspensión del tratamiento d) Un representante de la Superintendencia Nacio- de datos personales, y la suspensión o cancelación nal de los Registros Públicos - Sunarp. de los ficheros cuando corresponda. Las funciones del Consejo Directivo son las establecidas36.7. Ejercer la potestad sancionadora a que se refiere en el Reglamento de la presente Ley. el Título VI de esta Ley. Las demás disposiciones sobre el Consejo Directivo son36.8. Comunicar al Ministerio Público los casos de trans- las señaladas en el Reglamento de Organización y Fun- gresión a la legislación sobre protección de datos ciones de la APDAP. personales que pueden ser materia de denuncia. Artículo 41º.- El Registro Nacional de Protección de36.9. Emitir opinión sobre los proyectos de dispositivos Datos Personales. referentes a la protección de datos personales. El Registro Nacional de Protección de Datos Personales es un órgano de la APDAP, en el que se inscribirán:36.10. Obtener de los responsables de los ficheros la in- formación que estime necesaria para el cumpli- a) Los ficheros públicos o privados que contengan miento de las normas sobre protección de datos datos personales. personales. b) Las autorizaciones a que se refiere la presente Ley.36.11. Administrar el Registro Nacional de Protección de Datos Personales. c) La información referente al ejercicio de los dere- chos de información, acceso, modificación, rectifi-36.12. Presentar a la Presidencia del Consejo de Minis- cación, y cancelación. tros, un informe anual, en el que dará cuenta del cumplimiento de las actividades desarrolladas en El Reglamento de la presente Ley establecerá lo necesa- el ejercicio de sus funciones. rio para el funcionamiento de dicho Registro.36.13. Adoptar medidas cautelares que importen la ce- Artículo 42º.- Secreto profesional y reserva. sión de los datos, la suspensión del tratamiento o Los miembros de la APDAP, estarán sujetos al deber del la suspensión del fichero, entre otras medidas que secreto profesional y a la reserva por los datos e infor- establezca el Reglamento de la presente Ley. maciones que conozcan con motivo de sus funciones. Este deber subsistirá aún después de finalizada toda re-36.14. Ejercer el control y conceder las autorizaciones, lación con la APDAP. cuando corresponda, respecto de las cesiones y las transferencias de datos personales, así como Artículo 43º.- Inspección de ficheros. realizar funciones de cooperación internacional en La APDAP podrá a través de sus funcionarios o encarga- esa materia; y, dos, inspeccionar los ficheros públicos o privados que guardan datos personales y recabar las informaciones36.15. Las demás que le sean atribuidas conforme a ley. sobre los mismos que sean necesarias para el cumpli- miento de sus funciones.Artículo 37º.- Régimen aplicable.La APDAP se regirá en el ejercicio de sus funciones y endefecto de lo que disponga la presente Ley y su Regla- TÍTULO VImento de Organización y Funciones, por lo dispuesto enla Ley Nº 27444, Ley del Procedimiento Administrativo DE LAS SANCIONESGeneral. Artículo 44º.- Tipificación de infracciones.Artículo 38º.- Bienes y recursos económicos. La tipificación de los hechos u omisiones que se configu-La APDAP contará para el cumplimiento de sus fines con ren como infracciones administrativas a la presente Leylos siguientes bienes y recursos económicos: serán las establecidas en su Reglamento. La APDAP se encuentra facultada para imponer las sanciones que co-38.1. Los asignados en la partida correspondiente, que rrespondan, dentro de su ámbito de competencia y con se establezca anualmente en el Presupuesto Ge- las limitaciones contenidas en la presente Ley y en su neral de la República. Reglamento.38.2. Los que constituyan su patrimonio, así como los Las infracciones administrativas aplicables pueden ser: ingresos procedentes del ejercicio de sus funcio- leves, graves y muy graves. nes y aquellos directamente recaudados. Artículo 45º.- Sanciones.38.3. Otros que en virtud del ordenamiento jurídico pue- La APDAP para aplicar las sanciones establecerá una dan serle atribuidos. graduación de las mismas en leves, graves o muy gra- ves, en atención al tipo de infracción, su reiteración o suArtículo 39º.- Nombramiento del Jefe de la APDAP reincidencia.El Jefe de la APDAP será nombrado por Resolución Su-prema por un período de cuatro años, ejercerá la repre- Las infracciones administrativas son pasibles de las si-sentación legal de la APDAP y sus funciones con plena guientes sanciones:independencia y autonomía, pudiendo cesar antes, sólopor renuncia o falta grave. Leves : Amonestación escrita o multa de 0.5 U.I.T. hasta 5 U.I.T.Artículo 40º.- Consejo Directivo.El Jefe de la APDAP presidirá el Consejo Directivo, que Graves : Multa de más de 5 U.I.T. hasta 50 U.I.T. oestará compuesto por: suspensión del fichero por un máximo de 60 días.a) Un representante de la Presidencia del Consejo de Ministros. Muy graves: Multa de más de 51 hasta 100 Unidades Impositivas Tributarias o cancelación del fi-b) Un representante del Ministerio de Justicia. chero. En este caso, el responsable del
  10. 10. Pág. 10 PROYECTO Lima, viernes 23 de julio de 2004 fichero sólo podrá obtener una nueva au- a) Secretaría de la Presidencia del Consejo de Mi- torización transcurridos dos (2) años des- nistros, quien la presidirá. de su cancelación. b) Ministerio de Justicia. c) Registro Nacional de Identificación y Estado Civil.Las Infracciones y sanciones establecidas en el presen- d) Superintendencia Nacional de los Registros Públi-te artículo serán establecidas e impuestas por la APDAP cos.mediante Resolución motivada, pudiendo disponer la pu-blicación de la misma. Dicha Comisión Multisectorial será la encargada de ela- borar en un plazo no mayor de ciento veinte (120) díasArtículo 46º - Graduación de la sanción. hábiles contados a partir de la publicación de la presenteLa APDAP se encuentra facultada para determinar la gra- Ley, el proyecto del Reglamento de la presente Ley, asíduación de la sanción a imponerse. Para tal efecto, apli- como el Decreto Supremo que apruebe el Reglamentocará los siguientes criterios: de Organización y Funciones de la APDAP.46.1. Naturaleza y gravedad de la infracción. Las entidades señaladas en este artículo deberán desig- nar a sus representantes mediante Resolución Ministe-46.2. El daño causado o grado de afectación generado rial o Resolución de su titular. por la infracción a los usuarios. Tercera.- Las disposiciones contenidas en la presente46.3. El beneficio obtenido con la infracción, a fin de Ley son aplicables a aquellas entidades que administren evitar, en lo posible, que dicho beneficio sea supe- ficheros de solvencia patrimonial y se dediquen al sumi- rior al monto de la sanción. nistro de información de riesgos. Estas disposiciones pre- valecen sobre las disposiciones especiales que resulten46.4. La reincidencia y la reiterancia. de aplicación a tales entidades y que contravengan lo establecido en el presente cuerpo legal.Artículo 47º.- Responsabilidad penalLas sanciones administrativas establecidas de conformi- Cuarta.- La presente Ley entrará en vigencia a partir deldad con lo regulado en el presente título no eximen de la día siguiente de la publicación de su Reglamento.responsabilidad penal que pudiera corresponder a los de-nunciados administrativamente. Quinta.- La Comisión de Protección al Consumidor del Instituto Nacional de Defensa de la Competencia y Pro- piedad Intelectual -INDECOPI continuará ejerciendo las DISPOSICIONES COMPLEMENTARIAS competencias que le atribuye el artículo 21º de la Ley Nº 27489 hasta la entrada en vigencia de la presente Ley.Primera.- Las entidades o personas naturales que po-sean a la fecha, ficheros que contengan datos persona- Los procedimientos administrativos originados por infrac-les y aquéllos que se creen a partir de la publicación de ción a las disposiciones contenidas en la presente Ley,la presente Ley, deberán adecuarse a la Ley y a su Re- así como aquellas previstas en la Ley Nº 27489, que seglamento, dentro del plazo que se establezca para dicho inicien a partir de la fecha de vigencia de la presente Ley,objetivo en el Reglamento. serán de competencia de la APDAP.Segunda.- Créase la Comisión Multisectorial integrada Sexta.- Quedan derogadas todas las normas que sepor un representante de las siguientes entidades: opongan a la presente Ley. EXPOSICIÓN DE MOTIVOSI. FUNDAMENTOS ñar su propia vida y acaso, la de sus seres más cerca- nos. Las afectaciones a la intimidad son generadoras deLa ciencia y la técnica informática avanzan a pasos ace- riesgos sociales que pueden desencadenar una serie delerados, situación que permite el tratamiento de datos e conflictos no sólo familiares sino también personales.información en cuestión de segundos, lo que posibilitaen gran medida la generación de una nueva sociedad, la Con la finalidad de otorgar a los ciudadanos la debida segu-Sociedad de Conocimiento. Una de las grandes caracte- ridad, que les permita tener la certeza de que sus datosrísticas de esta sociedad, la encontramos en la genera- personales no serán cedidos, negociados, tratados o alma-ción de riqueza por el intercambio fluido de datos e infor- cenados sin su consentimiento, surge la necesidad de re-mación, a través de la gran red de redes, que es Internet. gular el tratamiento de datos personales, preocupación in- herente a todo gobierno en un Estado Democrático.El intercambio de información y conocimientos por me-dios electrónicos, mediante el uso de sistemas informáti- II. HACIA UNA REGULACIÓNcos, ofrece una serie de ventajas, pero también presentadiversas amenazas contra la intimidad del ser humano. Actualmente, en el Perú encontramos una serie de nor-El flujo constante de mensajes electrónicos no discrimi- mas aisladas que buscan proteger los datos personales.na la calidad de los datos ni de información. Muchas ve- Este esfuerzo se ve minimizado por la falta de una culturaces, dicho intercambio genera ciertos intereses encami- encaminada hacia la protección de los datos personales,nados al tratamiento de datos personales, los mismos tanto a nivel empresarial como de la ciudadanía en gene-que pueden dañar la intimidad de las personas. ral, sin dejar de considerar lo que a la administración pú- blica le corresponde. Si bien se ha comenzado a discutirLa intimidad personal y familiar, es uno de los recursos la necesidad de tomar conciencia sobre la importancia deescasos con los que cuenta el ser humano, cuya vulne- una eficiente protección de datos personales, esta ten-ración lo afecta en gran medida, al extremo de causarle dencia también debe generalizarse y reflejarse en el ám-problemas psicológicos, económicos y familiares al da- bito legislativo con la finalidad de contar en el Perú con el
  11. 11. Lima, viernes 23 de julio de 2004 PROYECTO Pág. 11marco legal adecuado que permita asegurar la protección protegerán por esta regulación, así como el ámbito dede datos personales. La forma como se ha venido imple- aplicación y el que estará excluido por la Ley de Protec-mentando dicha protección no ha sido la mejor, por cuanto ción de Datos Personales. Cabe precisar que se ha to-al tener un marco legislativo aislado y disperso, se pierden mado como base importante para la elaboración del pre-esfuerzos y recursos en el campo de la materia analizada. sente título como del Proyecto en general, la ley orgánicaAl respecto, es necesario tener en cuenta que tanto enti- 15/1999 del 13 de diciembre, de Protección de Datos dedades públicas como privadas vienen tratando datos per- Carácter Personal de España, referente sin duda impor-sonales por medios informatizados. tante para todos los países Iberoamericanos.Al respecto, debemos destacar que actualmente se vie- El derecho a la protección de datos personales es unne dando mucha importancia a la regulación del acceso derecho fundamental de última generación1 íntimamen-a la información que tiene o produce el Estado, la misma te vinculado con otros derechos de la misma naturaleza,que se encuentra almacenada en las entidades públicas, pero de diferente generación, como son la intimidad, elsituación que pone en riesgo, aún más, los datos perso- honor y la imagen propia, por esta razón es que se esta-nales de los ciudadanos y de las personas en general. blece (artículo 1º) que la finalidad de la ley es regular y garantizar el derecho a la protección de datos persona-La solución eficiente dirigida hacia la protección de da- les cautelando o impidiendo un perjuicio a los otros dere-tos personales debe encaminarse hacia la dación de un chos fundamentales directamente vinculados a él. Sinmarco normativo único y coherente que permitirá dar ade- duda, una información que contenga datos personalescuada protección a los datos personales en el Perú, si- indebidamente tratados puede afectar el honor, la identi-tuación que se logrará con una Ley específica sobre la dad, la propia imagen y la misma intimidad, que se vemateria, como la que contiene la siguiente propuesta en descubierta sin consentimiento de su titular y posible-forma de Proyecto. mente de manera inexacta o distorsionada. En este pun- to es importante tener en cuenta que los Jefes de estadoIII. LA SITUACIÓN INTERNACIONAL EN MATERIA DE y de gobierno iberoamericanos durante la celebración de PROTECCIÓN DE DATOS la XIII Cumbre Iberoamericana celebrada en Santa Cruz de la Sierra (Bolivia), los días 14 y 15 de noviembre dePor la importancia y trascendencia de la protección de da- 2003, en el párrafo 45 de la Declaración de Santa Cruztos en el ámbito mundial, actualmente, diversos Estados de la Sierra, subrayaron su reconocimiento de que la pro-vienen tomando conciencia de tal situación, hecho que ha tección de datos personales es un derecho fundamentalpermitido la aprobación y promulgación de una serie de de las personas y destacaron la importancia de las ini-Leyes de Protección de Datos Personales, las mismas que ciativas regulatorias iberoamericanas para proteger lapermiten a las personas defender sus datos de aquellas privacidad de los ciudadanos.manipulaciones no consentidas. Podemos mencionar sólocomo ejemplos, a nivel de la Unión Europea, la Directiva Para regular la protección de los datos personales esNº 95/46/CE del Parlamento Europeo y el Consejo de la indispensable definir una serie de actos, actividades, su-Unión Europea, que tiene como objeto que los estados jetos y objetos que se interrelacionan en el tratamientomiembros de la misma Unión garantizarán, con arreglo a de los datos personales y que deben responder a un sig-las disposiciones de la presente Directiva, la protección nificado uniforme.de las libertades y de los derechos fundamentales de laspersonas físicas y, en particular, del derecho a la intimi- La comunicación de datos personales se entenderádad, en lo que respecta al tratamiento de los datos perso- como cesión o propiamente comunicación de datos sinales; y a nivel de un desarrollo nacional, podemos men- implica una transmisión o manifestación de datos a unacionar el caso español a través de la Ley Orgánica 15/ persona o entidad distinta del interesado, pero de carác-1999 de Protección de Datos de Carácter Personal. ter nacional, porque si ostenta el carácter internacional, se llamará transferencia.La transferencia de datos personales de la Unión Europeaa países terceros, está regulada por el artículo 25º de la La definición de datos personales comprende a cual-Directiva 95/46 mencionada; en él se establece que los quier información concerniente sólo a personas natura-estados miembros únicamente dispondrán la transferen- les identificadas o identificables. Esto sin duda refiere acia de datos personales a un país tercero que garantice datos que pueden no sólo ser parte de la intimidad sinoun nivel de protección adecuado. El carácter adecuado de un área más amplia - privacidad - pero que al ser dedel nivel de protección que ofrece un país tercero se eva- una persona física, natural, es un dato de ella, que en-luará atendiendo a todas las circunstancias que concu- cuentra en la persona natural específica a su titular y porrran en una transferencia o en una categoría de transfe- lo tanto quien puede disponer de su uso o tratamiento.rencias de datos; debiéndose tomar en consideración demanera particular, la naturaleza de los datos, la finalidad y El Proyecto distingue de manera específica a los “da-la duración del tratamiento o de los tratamientos previstos, tos sensibles” considerando como tales a aquellos rela-el país de origen y el país de destino final, las normas de cionados con el origen racial y étnico, opiniones políti-derecho generales o sectoriales, vigentes en el país ter- cas, convicciones religiosas, filosóficas o morales, afilia-cero de que se trate, así como las normas profesionales y ción sindical e información referente a la salud o a la vidalas medidas de seguridad en vigor en dichos países. sexual, entre otros que establezca el reglamento2 .A nivel sudamericano cabe mencionar a Argentina, a tra- Las diferencias fundamentales entre el trato que sevés de su Ley Nº 25326 sancionada el 4 de octubre del le dé a los “datos sensibles” de los “no sensibles” radi-2000 y posteriormente reglamentada por el Decreto Nº1558/2001; así como a diversos países que a nivel denuestra región están desarrollando proyectos de leyesrelacionados con la protección de datos personales.IV. PROYECTO TÍTULO I DISPOSICIONES GENERALES 1 El primer título del Proyecto de la Ley de protección En Europa, artículo 8º de la Carta de Derechos Fundamentales de la Uniónde Datos personales, consta de cinco (5) artículos a tra- Europea. 7/12/2000.vés de los cuales se persigue establecer la finalidad, las 2 No cabe agotar la mención de “Datos sensibles” al constituir una relacióndefiniciones de los conceptos básicos, los datos que se abierta, pues no podría establecerse una relación taxativa de los mismos.
  12. 12. Pág. 12 PROYECTO Lima, viernes 23 de julio de 2004can en la mayor estrictez para otorgar el consentimiento pecíficas que respondan también a esos fines; sin em-con respecto a los primeros (artículo 8º), así como en bargo, se pone el cuidado de prescribir que el responsa-los límites para la creación de ficheros de esos datos ble del fichero deberá cumplir con informar sobre la fina-(artículo 10º). lidad del mismo a la Autoridad Nacional de Protección de Datos Personales, esto en estricta observancia del fin El consentimiento es el requisito previo para cualquier último de la sociedad y del Estado: la persona humana, ytratamiento de datos personales (salvando las excepcio- como especifica el artículo 1º de la Constitución Políticanes contempladas en el Proyecto: artículo 9º); el mismo de 1993, su defensa y el respeto de su dignidad.consistirá en toda manifestación de voluntad, previa eindubitable del interesado; en el caso de que los datossean sensibles, el consentimiento será además inequí- TÍTULO IIvoco, expreso y por escrito, mediante el cual el interesa-do apruebe o autorice el tratamiento de sus datos perso- PRINCIPIOS DE LA PROTECCIÓN DEnales. Quien es el titular de los datos personales es la DATOS PERSONALESpersona natural llamada “interesado”, titular de los datosobjeto del tratamiento. El presente título es fundamental en la medida que establece los principios que orientan y determinan el com- El “tratamiento de datos”, implica un concepto amplio portamiento de todos los que van a participar en el trata-que comprende todas las posibilidades de utilizar los datos miento de datos personales, señalando aquellas reglasde una persona, está referido a las operaciones y proce- de conducta que son necesarias de observar si es quedimientos técnicos, de carácter automatizado o no, elec- se quiere tratar datos personales de terceros de unatrónicos o no, que permitan la obtención, grabación, uso, manera válida, legal y con pleno respeto a los derechosalmacenamiento, elaboración, modificación, bloqueo o fundamentales.cancelación de datos, así como la cesión de datos queresulten de comunicaciones, interconexiones y transfe- Los principios consagrados en este título toman surencias. base de la legislación comparada y dentro de ella parti- cularmente de la ley orgánica española 15/1999, que tra- Sobre el tratamiento, se distinguen dos sujetos, el res- ta este tema desde su artículo 4º hasta el 12º.ponsable del fichero y el encargado del tratamiento. Elprimero es el que tiene la capacidad de decidir sobre el El principio de información está referido a la necesi-tratamiento; el segundo, realizará el tratamiento por cuen- dad que el interesado sepa exactamente y de manerata del responsable del fichero. Ambos pueden ser perso- previa: quién, cómo, para qué y por cuánto tiempo senas naturales, jurídicas, públicas o privadas, así como requieren sus datos personales, así como las implican-cualquier organismo u órgano administrativo; cabe preci- cias de su autorización o no para que se utilicen (traten)sar que cada uno de estos personajes asumirá la res- sus datos.ponsabilidad que le corresponda de acuerdo a sus fun-ciones. Éste es el principio básico de información con el que cualquier ser humano debe iluminar su actuación para La definición de “fichero” busca ser lo más genérica tomar cualquier decisión en cualquier aspecto de su vida,posible, refiriéndose a todo conjunto organizado de ar- aún más si esto implica la posibilidad de utilizar datoschivos, registro, base o banco de datos personales, cual- que permitirán a otros ingresar a su vida privada, o a suquiera fuere la forma o modalidad de su creación, forma- vida íntima. Es por esta razón que el Proyecto (artículoción, almacenamiento, organización y acceso. 6º) establece, con detalle, todos aquellos datos que le permitan absolver las interrogantes señaladas en el pá- Dentro de las definiciones se considera a las “Fuen- rrafo anterior, información que importa saber sobre: eltes accesibles por el público”, pues constituyen ficheros responsable del fichero, la finalidad del mismo, la cesiónque pueden ser consultados por cualquier persona, sin o transferencia de sus datos, de los derechos que le asis-requerimiento del consentimiento previo de los titulares tirán al titular, el encargado del tratamiento de sus datos,de los datos que contienen, pues ya revisten la caracte- etc.; información que deberá serle proporcionada derística de públicos, la cual resultaría irreversible. manera previa, expresa, explícita, detallada e inequívo- ca. El “procedimiento de disociación” está referido a untratamiento de datos que no permita asociar los mismos Se establece asimismo que en el caso de que estaa persona natural alguna; tal es el caso de los procedi- información no sea debidamente proporcionada de modomientos de recolección de datos con fines estadísticos. previo, se tendrá el derecho a negarse a entregarla y a ejercer la impugnación que la legislación pertinente es- El ámbito de aplicación de la ley comprende a los fi- tablezca.cheros de titularidad pública o privada y al tratamiento dedatos personales realizados en el territorio nacional. El El principio de responsabilidad (artículo 7º) se esta-artículo 4º, referido al ámbito de aplicación, admite que blece para el responsable del fichero y el encargado deldeterminados ficheros de utilidad pública queden fuera tratamiento, según corresponda; y bajo sanción de incu-de la ley si es que cumplen las siguientes condiciones: rrir en responsabilidad administrativa, sus funciones de-se rijan por su legislación específica y fines y, a la vez no berán cumplirlas recogiendo datos en la medida que seancontravengan a la ley de protección de datos personales. pertinentes con el ámbito y finalidades propias del fiche-Esto significa que en el caso de aquellas legislaciones ro en el que serán incorporados, prohibiéndoseles el tra-referidas a determinadas materias que contravengan las tamiento de datos personales para fines diferentes o con-garantías incorporadas en la ley de datos personales, ésta trarios para los que fueron recogidos. Hay una excep-prevalecerá sobre aquella legislación que no es propia ción: el caso de las actividades de investigación científi-de protección de datos personales. ca, siempre y cuando se utilice un procedimiento de di- sociación de datos personales (que la información no se El artículo 5º sí es más radical en el sentido de excluir pueda asociar a persona natural identificada o identifica-del ámbito de aplicación de la ley de protección de datos ble). Asimismo, en su actuación deberán observar, entrepersonales a determinados ficheros dado sus fines ex- otros comportamientos, el de garantizar el ejercicio declusivamente personales o de uso doméstico, así como los derechos del interesado, así como velar por la exacti-aquellos referidos al personal de las fuerzas armadas y tud y actualización de los datos personales, de forma quepoliciales o para la investigación de las formas graves de respondan a la situación actual del interesado, teniendodelincuencia organizada, así como los administrados por en este aspecto un deber positivo de sustituir y rectificarel Consejo Nacional de Inteligencia. Se entiende que aquellos datos que resultaran inexactos. Debe enten-dadas las finalidades vinculadas con el orden interno o la derse en este punto que este deber del responsable deldefensa nacional, esos ficheros deben tener reglas es- fichero o el encargado del tratamiento se realiza sin per-
  13. 13. Lima, viernes 23 de julio de 2004 PROYECTO Pág. 13juicio de los derechos que le corresponden por esta ley haber ingresado al fichero correspondiente y con ante-al interesado o afectado en este caso. rioridad a la difusión de los mismos. Esta disposición se explica en el hecho de que la información que contienen Se establece también como deber (con el que termi- las CEPIRS no proviene de los titulares de la misma,na el artículo mencionado) el de eliminar los datos per- debiendo dar la posibilidad a que antes de que la mismasonales del fichero en cuanto dejen de ser necesarios sea cedida por las CEPIRS, se cuente con una mayorpara la finalidad para la que fueron obtenidos. seguridad para ser actualizada y exacta, por interven- ción de los propios titulares de la información. El principio del consentimiento es el punto de partidanecesario e ineludible para el tratamiento de datos per- Otros de los principios importantes propuestos en elsonales; implica el sí del interesado que abre la puerta Proyecto, es el de seguridad, que es regulado en variasde parte de su intimidad a determinado(s) destinatario(s) legislaciones en el derecho comparado: como la españo-y para ciertos fines previamente establecidos y conoci- la, la italiana y la argentina. En la italiana,3 por ejemplo,dos, con respecto a la posibilidad del tratamiento de de- se regula una sección especial; para ellos, la seguridadterminados datos sobre su persona. está ligada al campo de los avances tecnológicos que se puedan aplicar según las características de los datos que El consentimiento (artículo 8º) se prestará de una for- se deseen conservar, existiendo medidas mínimas de se-ma u otra dependiendo de la categoría de datos perso- guridad. El Proyecto ha adoptado un criterio conserva-nales de los que se trate. Así, para los datos personales dor en el sentido que dispone que son necesarias lasen general, el consentimiento debe ser previo e indubita- medidas técnico-organizativas para garantizar la veraci-ble, pero si los datos personales son aquellos de carác- dad, integridad e invulnerabilidad de los datos persona-ter sensible, el consentimiento deberá ser no sólo previo les almacenados. Regulando también en su artículo 13ºe indubitable sino además, como ya señaláramos, inequí- que deben aplicarse también dichas medidas de seguri-voco, expreso y por escrito. Esto se explica en la natura- dad cuando se requiera celebrar contratos.leza específica de los datos sensibles (ver artículo 2º,numeral 2.4). Con respecto a los datos sensibles, el ar- Ahora bien, en los casos de ficheros de datos perso-tículo 11º expresa que ninguna persona puede ser obli- nales es de vital importancia guardar el secreto profesio-gada a proporcionar esos datos, como ya lo veremos. nal, que es una garantía para asegurar esos datos que se encuentran involucrados con el aspecto más íntimo La facultad del interesado para dar su consentimiento de la persona; por lo que su concepto nos introduce a lapara el tratamiento de los datos sensibles importa tam- deontología. En tal sentido, ninguna legislación debe omitirbién la de revocar el mismo en cualquier momento con el su regulación; así, se establece en el Proyecto, el princi-sustento del cambio de su decisión y siguiendo la forma pio de confidencialidad en su artículo 14º, para mantenerobservada para su otorgamiento, según lo señala el artí- el secreto profesional del responsable del fichero, y deculo mencionado. El sustento requerido puede entender- todos los que intervengan en cualquier etapa del trata-se, entre otros casos, porque la revocación puede ser miento, extendiendo su existencia hasta después de fi-anterior al cumplimiento de la finalidad para el que fue- nalizar sus relaciones con el fichero o con el responsableron obtenidos sus datos. del fichero. Cabe precisar que el artículo 10º ha querido explicitar En este título se ha regulado la prohibición de crea-que, para la transferencia o cesión de los datos persona- ción de ficheros de un tipo de datos, que por su naturale-les, el consentimiento debe ser previo y expreso. Si bien za no puedan ser objeto de comercio ni de divulgación,esta disposición pretende dotar de mayor seguridad al los denominados internacionalmente, en la mayoría deinteresado cuyos datos vayan a ser cedidos, nada impe- los casos, “datos sensibles”, siendo su incumplimientodiría que el referido consentimiento sea dado desde la objeto de sanción penal. Para los españoles son los lla-obtención inicial de aquellos. mados “especialmente protegidos”, la Ley Checa también los denomina datos sensibles4 ; para los argentinos, los Asimismo, se establecen casos de excepción al con- datos sensibles sólo pueden ser objeto de tratamientosentimiento para la cesión o transferencia de datos per- cuando medien razones de interés general autorizadassonales, para situaciones en las que resulta evidente la por ley; y su normatividad hace una separación de losno obligación de prestar el referido consentimiento, tales datos sensibles y los datos de salud, prescribiendo tam-como cuando una ley lo establezca, cuando se trata de bién que están prohibidos los bancos de datos que alma-datos contenidos en fuentes accesibles por el público o cenen o revelen esta clase de datos, a excepción de loscuando la comunicación sea requerida por el Defensor registros de la Iglesia Católica y otras asociaciones reli-del Pueblo, el Ministerio Público o el Poder Judicial en el giosas.ejercicio estricto de sus funciones públicas. Al respecto, en el artículo 11º del Proyecto, se ha es- Como es de preverse, existen determinadas situacio- tablecido una excepción a la regla principal, no estandones para las que el consentimiento del interesado no es incluidos en la prohibición, los ficheros administrados porrequerido, entre éstas encontramos la naturaleza y los los partidos políticos, sindicatos, iglesias, confesiones,fines del fichero que los trata, como es el caso de los comunidades religiosas, asociaciones, fundaciones, yficheros de la administración pública dentro del ámbito otras entidades sin ánimo de lucro, debiendo aplicarse elde su competencia; el caso de investigaciones de carác- principio del consentimiento cuando se trate de la cesiónter científico que no posibiliten la identificación e indivi- de datos.dualización del interesado; o cuando la información estécontenida en una fuente de acceso público. Se estable-cen también algunas circunstancias de carácter particu-lar que merezcan atención del propio interesado comolas referidas a la necesidad del mantenimiento de unarelación contractual en la que sea parte el interesado ocuando medien razones de salud del mismo interesado ode salubridad pública o razones de interés general pre-vistas por la Ley General de Salud. Se establece además una precisión a la Ley Nº 27489,Ley que regula las centrales privadas de información deriesgos y de protección al titular de la información CE- 3PIRS, el artículo 9º - numeral 9.6 - del Proyecto estable- Ley Nº 675 del 31 de diciembre de 1996.ce el deber de comunicar a los interesados la incorpora- 4 Acta 101 del 4 de abril de 2000, incluye también a la nacionalidad, actividadción de sus datos dentro de los cinco (5) días hábiles de en materia penal, afiliación política y creencias filosóficas
  14. 14. Pág. 14 PROYECTO Lima, viernes 23 de julio de 2004 TÍTULO III sólo en algunas de ellas como la Ley española - Ley Orgánica 15/1999 - y la Ley argentina - Ley Nº 25.326 - DERECHOS DE LOS INTERESADOS se ha regulado el antes mencionado procedimiento. Para el desarrollo de los derechos, el Legislador ha Actualmente, cada vez más, nuestras actividades setenido a la vista una serie de aspectos doctrinarios y le- encuentran relacionadas con registros porque cada actogales, destacando en cuanto a la Legislación Compara- que realicemos ante algún organismo, entidad o particu-da el manejo de la Legislación Española y la Legislación lar, lleva consigo el otorgar algunos datos personales,Argentina. sea libremente o en forma obligatoria; ante ello, el simple hecho de presentar documentos origina que nos solici- Conforme al desarrollo constitucional, las personas ten, como mínimo, nuestros nombres y el documento detenemos derechos fundamentales que deben respetar- identidad. Sin embargo, mientras estos registros no nosse, en tal sentido, el Proyecto de Ley de Protección de garanticen seguridad, va a estar afectada nuestra intimi-Datos Personales incluye en su título tercero los Dere- dad, porque esa actividad no puede vulnerar los dere-chos de los Interesados, a través de los cuales se pre- chos y libertades de las personas involucradas.tende dejar claramente establecido en su Artículo 15º quetoda persona se encuentra facultada a solicitar toda aque- ¿De qué forma se pueden conservar datos persona-lla información relacionada con el tratamiento de sus da- les? Hoy en día, existe una diversidad de medios en lostos personales, incluyéndose también los requisitos para cuales es almacenada dicha información.la obtención de sus datos. El Proyecto de Ley de Protección de Datos Persona- Cuando las circunstancias lo exijan, los interesados, les recoge la denominación de “fichero” que es utilizadaconforme a lo establecido en el artículo 16º, se encuen- por la legislación española y francesa5 , y adopta un con-tran en capacidad de solicitar la modificación o rectifica- cepto amplio, entendiéndose que el fichero viene a ser elción de sus datos personales sometidos a tratamiento a soporte que conserva, en forma organizada, la informa-fin de evitar que se realicen actos abusivos que los pue- ción almacenada.dan afectar. Sin embargo, no todos los ficheros se encuentran bajo Por ser una materia especializada, el Proyecto esta- un mismo régimen, existiendo los de titularidad privada yblece un plazo de veinte (20) días para resolver sobre otros que pertenecen a la administración pública, razóncualquiera de los requerimientos antes señalados, redu- por la cual la creación, modificación o supresión de estosciéndose de esta forma los plazos establecidos en la Ley ficheros debe tener su propio procedimiento.Nº 27444, a fin de evitar una mayor dilación del tiempoque pueda afectar a los interesados. La existencia de todo fichero creado por la Adminis- tración Pública deberá ser comunicado a la Autoridad Na- Con la finalidad de preservar los datos personales que cional de Protección de Datos Personales. De esta for-no se requirieran para la finalidad prevista, se ha legisla- ma, una sola entidad tendría conocimiento del númerodo, en el artículo 17º, el Derecho de Cancelación, que de ficheros existentes en el país, con la finalidad de re-también sanciona la recogida de datos no conforme a los conocerlos como tal, evaluar la finalidad y usos, así comolineamientos previamente establecidos para tal efecto, en las medidas de seguridad que poseen.el artículo 6º; así como, el tratamiento de datos única-mente destinado a evaluar determinados aspectos de la La legislación chilena obliga a que la inscripción delpersonalidad del interesado con el fin de ofrecer una de- “Banco de Datos” de la administración pública sea en unfinición de sus características personales o hacer valora- plazo no mayor de quince (15) días desde que inicianciones de su personalidad y comportamiento. sus actividades. En la legislación española, en cambio, no existe plazo, mientras que en la regulación francesa, A fin de ejercitar un adecuado equilibrio de poderes, la inscripción está relacionada al tratamiento de datosse delega en la norma reglamentaria el desarrollo de los personales, el cual requerirá de consentimiento previo aaspectos relacionados con la determinación del procedi- través de Dictamen por la Comisión Nacional de Informá-miento administrativo para que los afectados se encuen- tica y Libertades, que es la autoridad máxima en estatren en condiciones de ejercitar adecuadamente los de- materia en Francia.rechos de acceso, modificación, cancelación y rectifica-ción. En cuanto a los ficheros de la administración pública en nuestro país, debido a las funciones que realizan, tan- En los artículos 19º y 20º se regula el tema de la re- to las entidades de administración tributaria como la Po-clamación, la queja y las indemnizaciones así como por licía Nacional, se han establecido, en los artículos 25º yconcepto de daños y perjuicios, respectivamente. Estos 26º, ciertos lineamientos que deben observar estos or-aspectos, por su importancia, merecen un adecuado mar- ganismos para organizar sus ficheros, que constituyenco legal. Para el caso de denegación de solicitudes, el una excepción a la aplicación de uno de los principiosafectado podrá recurrir ante la Autoridad Nacional de Pro- que rige la protección de datos personales: el consenti-tección de Datos Personales, quien se encuentra obliga- miento previo del interesado, y de los derechos que po-da a resolver en el plazo máximo de treinta (30) días há- see.biles. En otras palabras, los ficheros de la Policía Nacional Para crear conciencia y sobre todo confianza en ma- no requerirán el consentimiento previo del interesadoteria de protección de datos personales, no podía dejar cuando estos datos sirven para prevenir situaciones dede regularse, en el artículo 20º, la indemnización por da- peligro que amenacen la seguridad pública o, para la re-ños y perjuicios. presión del delito, siempre que estén basados en una investigación concreta. TÍTULO IV DE LOS FICHEROS El procedimiento de inserción o reconocimiento deexistencia de ficheros comprendidos bajo los alcancesdel Proyecto de Ley de Protección de Datos Personalesse encuentra regulado en su Título V. Si bien en el dere-cho comparado, son varias las legislaciones que realizan 5 Mientras que las legislaciones italiana, chilena y argentina utilizan la denomi-la distinción entre ficheros del sector privado y público, nación “Banco de Datos” para definir a sus registros o archivos de datos.

×