UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE INGENIERIA DE SISTEMAS E INFORMTICA

UNIDAD DE POSGRADO

LA LEY DE PROTECCIN DE DATOS PERSONALES

UN ENFOQUE PRCTICO

Curso : ASPECTOS TICOS, LEGALES Y REGULATORIOS DE TI

INTEGRANTES:

PABLO ROMERO
JOSE CHISUN
MAURICIO BRIONES
WILLIAM ENRIQUEZ

Profesor : Dr. Julio Nez Ponce

Lima Per

2015
 INTRODUCCIN

La regulacin del derecho a saber se ha extendido en el mundo y tambin en Amrica

Latina. Hoy, nuestra regin cuenta con una serie de pases que han avanzado en el
reconocimiento del derecho a acceder a informacin pblica, y enfrentan los desafos de la
implementacin de estas nuevas regulaciones. Uno de los principales desafos emerge de la
articulacin con el entramado normativo e institucional preexistente y de la coordinacin
con aquellas legislaciones cuyo contenido regulan tambin- la gestin de la informacin
pblica. La armonizacin del derecho a saber y la proteccin de los datos personales
aparecen como uno de los nudos problemticos y de los principales desafos que deben
enfrentar los encargados de llevar a la prctica los contenidos de las leyes de acceso a la
informacin. En este documento queremos dar un enfoque prctico de la aplicacin de esta
ley pero desde el punto de vista de las Tecnologas de la Informacin.
1. El derecho a la privacidad y la proteccin de los datos personales

La privacidad se relaciona con la proteccin de la autonoma individual frente a la

comunidad y con la habilidad de los individuos para desarrollar sus planes de vida, sus
ideas y opiniones (Banisar, 2011).
Siguiendo a Banisar (2006), el concepto de privacidad se puede desconstruir en cuatro
elementos:
- Privacidad informativa, que involucra las reglas para gestionar los datos personales.
- Privacidad corporal, vinculada a la proteccin de nuestra seguridad fsica frente a
procedimientos invasivos
- Privacidad comunicacional, relativa a la seguridad y privacidad de la correspondencia
y las comunicaciones telefnicas
- Privacidad territorial, que establece los lmites a las intrusiones en los ambientes
domsticos.
Como vemos en esta definicin, los datos personales se relacionan exclusivamente con el
primero de los elementos, el de la privacidad informativa. Sin embargo, si la privacidad
informativa se vincula a la proteccin de los datos personales, la proteccin de los datos
personales no se limita exclusivamente al resguardo de la privacidad, sino que refiere a un
universo de problemas que lo contiene: el derecho a la proteccin de los datos
personales garantiza a las personas el control sobre la informacin que les concierne,
independientemente de su conexin con la vida privada, aspecto que, de hecho, se soslaya
(Silva, 2011: 171). El espacio en donde la proteccin de datos personales atae al resguardo
de la privacidad es aquel espacio que ha sido protegido mediante la etiqueta de datos
personales de carcter sensible, definidos como aquellos datos que revelan
informacin merecedora de especial resguardo por el mayor peligro que su tratamiento
implica para las libertades y derechos ciudadanos()Entre estos se cuentan los datos
relativos al origen racial o tnico de una personal, su color, vida sexual, opiniones polticas,
convicciones religiosas, filosficas o de otro tipo as como sobre la participacin en una
asociacin o la afiliacin a un sindicato.
La legislacin destinada a proteger los datos personales aparece recin a partir de 1960
frente al avance de las nuevas tecnologas y su capacidad de procesar gran cantidad de
informacin sobre las personas. En 1980 el derecho a la proteccin de los datos personales
cobra autonoma bajo la etiqueta de autodeterminacin informativa o libertad informativa
(Silva, 2011). La revolucin informtica ha llevado la proteccin de datos personales a un
nuevo nivel. Hoy, los gobiernos enfrentan desafos impensados en relacin a la proteccin
de la privacidad, especialmente en el contexto donde el uso extensivo de las redes sociales
parece dar cuenta de una ausencia -al menos- de reflexin por parte de los usuarios sobre
las implicancias de compartir datos en lnea.

Novoa Monreal (1997) da cuenta de la creciente inquietud que suscitan los nuevos cambios
tecnolgicos para la defensa de la vida privada: Las principales razones de inquietud
provienen de: a) la expansin sin precedentes de los medios masivos de comunicacin y el
aumento de las informaciones de ndole sensacionalista; b) nuevos descubrimientos e
inventos que facilitan grandemente el acceso a la vida privada sin que el afectado se d
cuenta de ello; c) la intensificacin de las relaciones y los contactos sociales, especialmente
dentro de las grandes conglomeraciones humanas; d) la creciente injerencia del estado en la
vida de los ciudadanos para fines de ayuda social principalmente (Novoa Monreal, 1997:
37).

La regulacin de los datos personales lleg al mbito multilateral mediante la Directiva

emitida en el Parlamento Europeo en 1995. Esta directiva constituye en cierto modo la
referencia por excelencia para la definicin de los datos personales que son entendidos
como toda informacin sobre una persona fsica identificada o identificable (el
interesado); se considerar identificable toda persona cuya identidad pueda determinarse,
directa o indirectamente, en particular mediante un nmero de identificacin o uno o varios
elementos especficos, caractersticos de su identidad fsica, fisiolgica, psquica,
econmica, cultural o social (PE y CUE 1995: 9).
En el contexto de la era informtica, algunos organismos multilaterales y gobiernos han
desarrollado principios orientativos para la gestin de los datos personales. Como resea
Banisar (2011), estos principios son:
- Limitacin en la recoleccin de datos: la recoleccin de datos personales debe ser limitada
y los datos deben ser obtenidos a travs de medios legales y, cuando sea necesario, bajo el
consentimiento de los sujetos propietarios de los datos.
- Calidad de los datos personales: los datos recolectados deben servir exclusivamente para
el objeto que gua e impulsa su recoleccin y deben ser precisos y actualizados.
- Determinacin del objetivo de la recoleccin de los datos personales: el objetivo de la
recoleccin de la informacin debe encontrarse precisamente determinado y explicitado al
momento del relevamiento de los datos y debe orientar su uso posterior.
- Limitacin en el uso de los datos: los datos personales no deben ser publicados o
entregados por motivos ajenos a los especificados en el objeto de la recoleccin a menos
que el titular de los datos otorgue consentimiento o mediante la autorizacin expresa de
unos funcionarios legalmente autorizados a hacerlo.
- Seguridad de las bases de datos: la informacin recolectada debe ser protegida frente a
eventuales riesgos como prdida, sabotajes, destruccin, etc.
- Poltica de apertura y rendicin de cuentas: las polticas implementadas para la gestin de
los datos personales deben ser pblicas. La definicin de lo que se considera datos
personales, los objetivos de su recoleccin y uso, el lugar en el que se almacena y el
controlador de esa informacin deben ser publicados. Todo controlador de base de datos de
informacin debe dar cuentas de las polticas implementadas y el cumplimiento de los
principios de la gestin de la informacin.
- Participacin de los titulares de la informacin:
Todo individuo debe poder confirmar si el controlador de una base de datos tiene o
no datos personales suyos.
Todo individuo debe poder obtener esa informacin dentro de un tiempo razonable
Todo individuo debe recibir una explicacin si la informacin se deniega
Todo individuo debe poder solicitar una correccin de la informacin contenida en la
base, ya sea rectificndola, completndola, enmendndola o borrndola
2. Acceso a la informacin y datos personales en Amrica Latina

Amrica Latina est adoptando leyes que reglamentan el tratamiento de datos personales
de un modo integral, diversas razones explican este fenmeno: los nuevos bros
democrticos, que invitan a brindar adecuada proteccin a los derechos de las personas;
el afn de minimizar la incertidumbre de un modelo de proteccin basado solo en
disposiciones constitucionales; pero ms significativamente, la aspiracin de
transformarse en un pas que brinda un nivel de proteccin adecuado, de acuerdo con los
estndares promovidos por la Unin Europea,a efectos de acceder a la transferencia de
datos personales desde esta y, con ello, facilitar la inversin de aquellos nichos de
mercado que suponen tratamiento de datos provenientes de aquella. As, al temprano
reconocimiento de Argentina como pas seguro, se suma el inminente de Uruguay; en
tanto, Colombia, Costa Rica, Mxico y el Per han modificado recientemente su
legislacin interna para tales efectos; mientras que Brasil y Chile cuentan ya con
iniciativas legislativas en la materia (Silva, 2011: 170).

De acuerdo a Silva (2011), en Amrica Latina se registr un avance importante en el

reconocimiento de la proteccin de datos personales como derecho autnomo y brindndole
vas de accin especficas para su reclamo como la accin de amparo o el habeas data, pero
ha fallado en los altos costos transaccionales que supone dirimir controversias vinculadas a
la proteccin de datos personales en sede judicial: la normativa constitucional no ha sido
suficiente para garantizar un adecuado nivel de proteccin de los datos personales en
Amrica Latina. Esto sucede porque dicho resguardo se verifica preferentemente en sede
judicial y ello trae aparejado una serie de limitaciones, tales como sus altos costos
transaccionales; su ineficacia para prevenir infracciones y su falta de experiencia en temas
que, en ocasiones, resultan altamente tcnicos. Adems, como en los dems pases
depositarios de la tradicin del derecho civil, en los pases latinoamericanos, los
precedentes judiciales carecen de fuerza obligatoria en casos futuros, salvo limitadas
excepciones. As en la prctica, ello obliga a reiniciar acciones judiciales individuales a
cada uno de los titulares de los datos personales afectados por un ilegtimo tratamiento
(Silva, 2011: 169). Es por eso que es tan importante analizar qu sucede con la aparicin de
las leyes que regulan el derecho a saber y la llegada de mecanismos institucionales para la
resolucin de controversias. Podrn reducir estos costos transaccionales? Los
aumentarn?

En el siguiente diagrama podemos observar los pases de la regin que han avanzado en la
regulacin del derecho a saber y de los datos personales.

En el caso de la regulacin de la proteccin de los datos personales, parecera que esta es

una etapa que recin se inicia:
Pasemos ahora a presentar los diseos institucionales encargados de implementar las
normativas de acceso a la informacin y proteccin de los datos personales:

3. La Ley de Proteccin de Datos Personales en el Per

3.1. Normativa sobre acceso a la informacin pblica
En el Per, el acceso a la informacin pblica es un derecho fundamental desde 1993. El
artculo 2 numeral 5 de la Constitucin Poltica vigente (1993) seala que toda persona
tiene derecho: A solicitar sin expresin de causa la informacin que requiera y a recibirla
de cualquier entidad pblica, en el plazo legal, con el costo que suponga el pedido. Se
exceptan las informaciones que afecten la intimidad personal y las que expresamente se
excluyan por ley o por razones de seguridad nacional.

Sin embargo, fue recin durante el perodo 2002-2003 que la legislacin peruana cont con
una ley y un reglamento cuyo eje central fuera el acceso a la informacin pblica.
En cuanto a la ley, la norma ha pasado por tres momentos:
El 13 de julio de 2002 el Congreso aprob la Ley No. 27806 (Ley de Transparencia y
Acceso a la Informacin Pblica, en adelante Ley de Acceso). La norma fue
publicada en el diario oficial el 3 de agosto de 2002.
El 13 de enero de 2003 el Congreso aprob la Ley No. 27927 (Ley que modifica la Ley
No. 27806, Ley de Transparencia y Acceso a la Informacin Pblica). La norma fue
publicada en el diario oficial el 4 de febrero de 2003.
Ambos textos fueron subsumidos y presentados en versin actualizada a travs del
Decreto Supremo No. 043-2003-PCM (Texto nico Ordenado de la Ley de
Transparencia y Acceso a la Informacin Pblica, en adelante TUO) publicado en el
diario oficial el 24 de abril de 2003.
La ley que regula el derecho al acceso a la informacin pblica en el Per cuenta a su vez
con un reglamento que fue aprobado mediante el Decreto Supremo No. 072-2003-PCM
(Reglamento de la Ley de Transparencia y Acceso a la Informacin Pblica, en adelante
Reglamento) y publicado en el diario oficial el 7 de agosto de 2003.

3.2 Finalidad
A diferencia de la Ley de Acceso y su Reglamento, la Ley de Proteccin de Datos
Personales aparece en un contexto de ratificacin de instrumentos bilaterales denominados
tratados de libre comercio o TLCs que exigan la implementacin de un marco normativo
de proteccin ms garantista del derecho a la vida privada, en especial del TLC suscrito con
los Estados Unidos.
La propia Ley No. 29733 sealaba en su exposicin de motivos que el Per requera contar
con una ley acorde al mundo globalizado y a la revolucin tecnolgica, adems de
sealar los compromisos para legislar el tema del derecho a la intimidad y el acceso a
datos personales adquiridos a travs de la ratificacin de tales instrumentos
internacionales.
El artculo 1 de la Ley No. 29733 establece as que su finalidad es garantizar el derecho
fundamental a la proteccin de los datos personales, previsto en el artculo 2 numeral 6 de
la Constitucin Poltica del Per, a travs de su adecuado tratamiento, en un marco de
respeto de los dems derechos fundamentales que en ella se reconocen.
Asimismo, el artculo 3 dispone que la norma se aplique a los datos personales contenidos
o destinados a ser contenidos en bancos de datos personales de administracin pblica y de
administracin privada, cuyo tratamiento se realice en el territorio nacional. El texto
agrega que son objeto de especial proteccin los datos sensibles.

La Ley No. 29733 es de aplicacin a los datos personales contenidos o destinados a ser
contenidos en bancos de datos personales en manos de la administracin pblica o de
administracin privada, y cuyo tratamiento se realice en el territorio peruano.

Ahora bien, la Ley No. 29733 dispone una serie de obligaciones para los encargados y
los titulares de bancos de datos personales. De acuerdo con el artculo 2 de la Ley No.
29733, un encargado es toda persona natural, persona jurdica de derecho privado o
entidad pblica que sola o actuando conjuntamente con otra realiza el tratamiento de los
datos personales por encargo del titular del banco de datos personales. A su vez, el
titular es definido en el mismo artculo como toda persona natural, persona jurdica de
derecho privado o entidad pblica que determina la finalidad y contenido del banco de
datos personales, el tratamiento de stos y las medidas de seguridad.

3.3 Principales definiciones conceptuales

A diferencia de la Ley de Acceso y el Reglamento, la Ley No. 29733 cuenta con un
glosario de trminos todos detallados en su artculo 2 y que a continuacin se transcriben. A
efectos de esta consulta, especial atencin merece la definicin de los llamados datos
sensibles.

Banco de datos personales: Conjunto organizado de datos personales, automatizado o no,

independientemente del soporte, sea este fsico, magntico, digital, ptico u otros que se
creen, cualquiera fuere la forma o modalidad de su creacin, formacin, almacenamiento,
organizacin y acceso.

Banco de datos personales de administracin privada: Banco de datos personales cuya

titularidad corresponde a una persona natural o a una persona jurdica de derecho privado,
en cuanto el banco no se encuentre estrictamente vinculado al ejercicio de potestades de
derecho pblico.
Banco de datos personales de administracin pblica: Banco de datos personales cuya
titularidad corresponde a una entidad pblica.

Datos personales: Toda informacin sobre una persona natural que la identifica o la hace
identificable a travs de medios que pueden ser razonablemente utilizados.

Datos sensibles: Datos personales constituidos por los datos biomtricos que por s mismos
pueden identificar al titular; datos referidos al origen racial y tnico; ingresos econmicos,
opiniones o convicciones polticas, religiosas, filosficas o morales; afiliacin sindical; e
informacin relacionada a la salud o a la vida sexual.

Encargado del banco de datos personales: Toda persona natural, persona jurdica de
derecho privado o entidad pblica que sola o actuando conjuntamente con otra realiza el
tratamiento de los datos personales por encargo del titular del banco de datos personales.

Flujo transfronterizo de datos personales: Transferencia internacional de datos personales a

un destinatario situado en un pas distinto al pas de origen de los datos personales, sin
importar el soporte en que estos se encuentren, los medios por los cuales se efectu la
transferencia ni el tratamiento que reciban.

Fuentes accesibles para el pblico: Bancos de datos personales de administracin pblica o

privada, que pueden ser consultados por cualquier persona, previo abono de la
contraprestacin correspondiente, de ser el caso. Las fuentes accesibles para el pblico son
determinadas en el reglamento.

Nivel suficiente de proteccin para los datos personales: Nivel de proteccin que abarca
por lo menos la consignacin y el respeto de los principios rectores de esta Ley, as como
medidas tcnicas de seguridad y confidencialidad, apropiadas segn la categora de datos
de que se trate.

Procedimiento de anonimizacin: Tratamiento de datos personales que impide la

identificacin o que no hace identificable al titular de stos. El procedimiento es
irreversible.
Procedimiento de disociacin: Tratamiento de datos personales que impide la identificacin
o que no hace identificable al titular de stos. El procedimiento es reversible.

Titular de datos personales: Persona natural a quien corresponden los datos personales.
Titular del banco de datos personales: Persona natural, persona jurdica de derecho privado
o entidad pblica que determina la finalidad y contenido del banco de datos personales, el
tratamiento de estos y las medidas de seguridad.

Transferencia de datos personales: Toda transmisin, suministro o manifestacin de datos

personales, de carcter nacional o internacional, a una persona jurdica de derecho privado,
a una entidad pblica o a una persona natural distinta del titular de datos personales.

Tratamiento de datos personales: Cualquier operacin o procedimiento tcnico,

automatizado o no, que permite la recopilacin, registro, organizacin, almacenamiento,
conservacin, elaboracin, modificacin, extraccin, consulta, utilizacin, bloqueo,
supresin, comunicacin por transferencia o por difusin o cualquier otra forma de
procesamiento que facilite el acceso, correlacin o interconexin de los datos personales.

3.4 Principios rectores

Los artculos 4 a 12 de la Ley No. 29733 establecen un conjunto de principios rectores y
de interpretacin para el marco de proteccin de los datos personales que a continuacin
se detallan:

Principio de legalidad: El tratamiento de los datos personales se hace conforme a lo

establecido en la ley. Se prohbe la recopilacin de los datos personales por medios
fraudulentos, desleales o ilcitos.

Principio de consentimiento: Para el tratamiento de los datos personales debe mediar el

consentimiento de su titular.
Principio de finalidad: Los datos personales deben ser recopilados para una finalidad
determinada, explcita y lcita. El tratamiento de los datos personales no debe extenderse a
otra finalidad que no haya sido la establecida de manera inequvoca como tal al momento
de su recopilacin, excluyendo los casos de actividades de valor histrico, estadstico o
cientfico cuando se utilice un procedimiento de disociacin o anonimizacin.

Principio de proporcionalidad: Todo tratamiento de datos personales debe ser adecuado,

relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.

Principio de calidad: Los datos personales que vayan a ser tratados deben ser veraces,
exactos y, en la medida de lo posible, actualizada, necesaria, pertinente y adecuada respecto
de la finalidad para la que fueron recopiladas. Deben conservarse de forma tal que se
garantice su seguridad y slo por el tiempo necesario para cumplir con la finalidad del
tratamiento.

Principio de seguridad: El titular del banco de datos personales y el encargado de su

tratamiento deben adoptar las medidas tcnicas, organizativas y legales necesarias para
garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser
apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categora de datos
personales de que se trate.

Principio de disposicin de recurso: Todo titular de datos personales debe contar con las
vas administrativas o jurisdiccionales necesarias para reclamar y hacer valer sus derechos,
cuando estos sean vulnerados por el tratamiento de sus datos personales.

Principio de nivel de proteccin adecuado: Para el flujo transfronterizo de datos

personales, se debe garantizar un nivel suficiente de proteccin para los datos personales
que se vayan a tratar o, por lo menos, equiparable a lo previsto por esta Ley o por los
estndares internacionales en la materia.
3.5 Diseo institucional para la implementacin de la regulacin de datos personales

El Per cuenta formalmente con un rgano autnomo encargado de implementar la

regulacin de la proteccin de los datos personales. El Ttulo VI de la Ley No. 29733
(artculos 32 al 36) establece que existe una Autoridad Nacional de Proteccin de Datos
Personales, dependiente del Ministerio de Justicia y Derechos Humanos.
FUNCIONES

La Autoridad Nacional de Proteccin de Datos Personales debe cumplir y hacer cumplir la

normatividad vigente en materia de proteccin de datos personales. Tiene funciones
administrativas, orientadoras, normativas, resolutivas, fiscalizadoras y sancionadoras.

A)ADMINISTRATIVAS

Dentro de las funciones administrativas de la APDP estn las de:

Representar al pas ante las instancias internacionales en materia de proteccin de

datos personales.

Cooperar con las autoridades extranjeras de proteccin de datos personales para el

cumplimiento de sus competencias y generar mecanismos de cooperacin
bilateral y multilateral para asistirse entre s y prestarse debido auxilio mutuo
cuando se requiera.

Celebrar convenios de cooperacin interinstitucional o internacional con la

finalidad de velar por los derechos de las personas en materia de proteccin de
datos personales que son tratados dentro y fuera del territorio nacional.

Administrar y mantener actualizado el Registro Nacional de Proteccin de Datos

Personales.

Publicitar, a travs del portal institucional, la relacin actualizada de bancos de

datos personales de administracin pblica y privada.
 B)ORIENTADORAS

Dentro de las funciones orientadoras de la APDP estn las siguientes:

Promover campaas de difusin y promocin sobre la proteccin de datos

personales.

Promover y fortalecer una cultura de proteccin de los datos personales de los

nios y de los adolescentes.

Coordinar la inclusin de informacin sobre la importancia de la vida privada y

de la proteccin de datos personales en los planes de estudios de todos los
niveles educativos y fomentar, asimismo, la capacitacin de los docentes en
estos temas.

Absolver consultas sobre proteccin de datos personales y el sentido de las normas

vigentes en la materia, particularmente sobre las que ella hubiera emitido.

Atender solicitudes de inters particular del administrado o general de la

colectividad, as como solicitudes de informacin.

C)NORMATIVAS
Dentro de las funciones normativas de la APDP estn las de:

Emitir opinin tcnica respecto de los proyectos de normas que se refieran

total o parcialmente a los datos personales, la que es vinculante.
 Emitir las directivas que correspondan para la mejor aplicacin de lo previsto en la
LPDP y en su reglamento, especialmente en materia de seguridad de los bancos
de datos personales, as como supervisar su cumplimiento, en coordinacin con
los sectores involucrados.

Promover el uso de mecanismos de autorregulacin como instrumento

complementario de proteccin de datos personales.

D)RESOLUTIVAS
Dentro de las funciones resolutivas de la APDP estn las siguientes:

Emitir autorizaciones, cuando corresponda, conforme al reglamento de la LPDP.

Conocer, instruir y resolver las reclamaciones formuladas por los titulares de

datos personales por la vulneracin de los derechos que les conciernen y
dictar las medidas cautelares o correctivas que establezca el reglamento de la
LPDP.

E)FISCALIZADORAS

Dentro de las funciones fiscalizadoras de la APDP estn las siguientes:

Supervisar el cumplimiento de las exigencias previstas en esta Ley, para el lujo

transfronterizo de datos personales.

Supervisar la sujecin del tratamiento de los datos personales que efecten el

titular y el encargado del banco de datos personales a las disposiciones tcnicas
que ella emita y, en caso de contravencin, disponer las acciones que
correspondan conforme a ley.
 Iniciar fiscalizaciones de oficio o por denuncia de parte por presuntos actos
contrarios a lo establecido en la LPDP y en su reglamento.

F)SANCIONADORAS

Impone multas por infracciones a la LPDP y su reglamento.

Asimismo, puede imponer multas coercitivas por incumplimiento de obligaciones

accesorias a la sancin, impuestas en el procedimiento sancionador.