Está en la página 1de 869

Guía Normativa, Jurisprudencial y Administrativa sobre Protección de Datos

Personales en el Perú
(Actualizado al 03.07.2020)
by Erick Iriarte Ahon (aka @coyotegris)

Presentación

Si bien la ley de datos personales tiene ya 9 años de vigencia, la protección de datos


personales tiene varias décadas mas en nuestros cuerpos normativos. Desde las
primeras constituciones, pasando por la Declaración Universal de Derechos Humanos y
el Pacto de San José de Costa Rica hasta las normativas sobre videovigilancia y entornos
digitales, la gama es amplia.

Y no solo hemos desarrollado normativa sino jurisprudencia constitución y


administrativa que han ido formando el complejo entramado de legislación vigente;
añadimos a ello que también la Autoridad de Datos Personales ha ido variando tanto en
su enfoque como en su alcance de resoluciones y opiniones, lo que ha permitido que
algunos enfoques cambien en el transcurrir del tiempo.

El delicado equilibrio además entre el derecho individual a la privacidad versus la


necesidad colectiva del acceso a la información pública, de un lado, y la protección de la
seguridad ciudadana y nacional, del otro, se ven reflejadas en la tensión normativa, y
por ende en la jurisprudencia. Es un delicado equilibrio que se ve afectado de manera
mas común de lo que creemos. Al final, como hemos expuesto más de una vez, son dos
lados de la misma moneda.

Este compendium normativo, jurisprudencial y de opiniones de la Autoridad de Datos


Personales, esperamos les sirva para una primera sistematización, formal, de esta
información. Que sea útil tanto para temas académicos como de labor jurídica, pero
también para quienes se enfrentan a temas de acceso a la información pública (como
periodistas y ciudadanía), de seguridad de información (como CISOs y especialistas), así
como todos aquellos que tengan interés en el tema y su desarrollo en el Perú.

Es un aporte que esperamos, desde Iriarte & Asociados, y de manera personal, que les
sirva en el día a día de sus labores. Y desde ya si encuentran que falta una determinada
norma o jurisprudencia no duden en remitirla a pdp@iriartelaw.com

Erick Iriarte Ahon


Socio Principal
Iriarte & Asociados
Prólogo

Perú y protección de datos, dos palabras que me llevan a una persona única: Erick Iriarte
Ahon (@coyotegris). Con una vida ligada a la lucha por los derechos humanos y, de forma
muy especial, los derechos digitales y el derecho a la protección de datos personales,
creo que no me equivoco al afirmar que, en Perú, ha sido uno de sus principales
defensores y lo ha “acompañado” en su despliegue. Nadie más que él podía iniciar la
ingente tarea de recoger en una única obra la normativa, jurisprudencia y doctrina
administrativa que desarrolla el derecho a la protección de datos personales en la
República del Perú.

Este trabajo nos permite ver que el derecho a la protección de datos personales, o
derecho a la autodeterminación informativa, es mucho más que el derecho a controlar
la información que se refiere a nuestra vida: se ha convertido en elemento central para
la garantía del conjunto de valores, principios, derechos y libertades que fundamentan
una sociedad democrática.

La globalización y el uso intensivo de datos personales, como base para la innovación y


el progreso en todos los sectores de actividad y ámbitos de la vida de las personas, nos
coloca en una posición muy sensible. Una posición en la que los valores, derechos y
libertades que nos definen como seres humanos pueden verse fuertemente limitados;
una posición que exige una actitud activa y de defensa continua. La determinación de la
persona a partir de la información que se obtiene sobre ella puede poner en jaque su
libertad, ya que aquellos que ostentan el poder sobre la información podrán dirigirnos,
sutilmente, hacia el camino elegido por ellos.

La presente obra es mucho más que un compendio de normativa, jurisprudencia y


doctrina. Es un recordatorio de que el derecho a la protección de datos debe ser pensado
e integrado en la aplicación de todos los derechos y libertades y en la innovación y el
desarrollo tecnológicos, desde el sector del turismo hasta la lucha contra las pandemias.
Conociendo al autor, sé que el objetivo de este trabajo es servir a una mejor garantía del
derecho a la protección de datos. Un derecho que nos hace más libres, en un mundo en
el que los datos dibujan nuestra identidad y orientan nuestro futuro.

Úsenlo!.

Joana Mari Cardona


Abogada especialista en Protección de Datos
Todo esfuerzo compilatorio es encomiable, más aún en un ámbito tan novedoso y
cambiante, como lo es la doctrina y legislación sobre protección de datos personales. Por
eso mi felicitación a Erick Iriarte por este trabajo, que sin duda contribuirá a los
interesados en esta temática para hacerse una idea bastante acabada del estado de la
cuestión de estos asuntos en Perú, en el periodo que comprende este esfuerzo
recopilatorio.

Ha pasado ya casi una década desde que se dio en la Ley 29733, Ley de Protección de
Datos Personales, y menos de eso desde que la Autoridad Nacional de Protección de
Datos Personales del Ministerio de Justicia y Derechos Humanos abrió sus puertas al
público. Vale decir, ley sustantiva e institucionalidad a cargo de la protección de este
derecho fundamental, son de reciente data. El árbol legislativo ha crecido en estos años
y los principios que lo enraízan a la tierra del derecho vivo, se han fortalecido
notablemente a la luz del conocimiento que exhiben cada vez más integrantes de la
comunidad jurídica nacional y del seguimiento, por parte de quienes recolectan y
administran datos personales, de los preceptos que esta disciplina viene generando.

Así pues, principios como el de proporcionalidad, consentimiento, necesidad, calidad,


finalidad, seguridad, son hoy moneda común entre quienes asumen conscientemente la
tarea de tratar datos personales de clientes, proveedores, trabajadores y ciudadanos en
general. Saber da poder, y es, por tanto, de aplaudir, todo esfuerzo que contribuya a
empoderar a las personas con la información y los desarrollos que esta novedosa y
emergente doctrina viene mostrando.

El Perú tiene un largo camino aún por recorrer antes de ponerse a la par de las mejores
prácticas internacionales en pro de la protección de los datos personales, recorrer ese
camino con una iluminación adecuada, siempre es de agradecer. ¡Enhorabuena
entonces!

Eduardo Luna Cervantes


Profesor de Derecho Constitucional de la Universidad de Lima y especialista en
Protección de Datos Personales
La sistematización jurídica facilita el conocimiento de las normas tanto para lo
operadores jurídicos como para la ciudadanía en general. El MINJUSDH tiene la función
de mantener actualizada y sistematizada la legislación relacionada con el Sector justicia
y Derechos Humanos.

Tratándose de un tema de especial actualidad como es la protección de los datos


personales en una sociedad de la información, es imprescindible conocer los criterios
empleados a nivel constitucional y administrativo, especialmente los desarrollados por
la Autoridad de Protección de Datos Personales.

Por ello, esta publicación tiene la virtud de acercar a la ciudadanía, de manera


actualizada y sistematizada, las normas, jurisprudencia y opiniones que dicha Autoridad
ha desarrollado con el paso de los años, con la finalidad de conocer mejor nuestros
derechos y cómo protegerlos.

Agradecemos la labor del equipo de Iriarte & Asociados en su colaboración para la


presente compilación.

Fernando Castañeda Portocarrero


Ministro de Justicia y Derechos Humano
INDICE

I. Legislación Primaria

1. Declaración Universal de Derechos Humanos


2. Convención Americana sobre Derechos Humanos - Pacto de San José de Costa Rica
3. Constitución Política del Perú
4. Ley de Protección de Datos Personales (Ley 29733 modificada por el DL 1353)
5. Reglamento de la Ley de Datos Personales (DS 003-2013-JUS modificado por DS 019-
2017-JUS)
6. Decreto Legislativo que crea la Autoridad Nacional de Transparencia y Acceso a la
Información Pública, fortalece el Régimen de Protección de Datos Personales y la
regulación de la gestión de intereses (DL 1353 modificado por DL 1416)
7. Reglamento del Decreto Legislativo 1353, Decreto Legislativo que crea la Autoridad
Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de
Protección de Datos Personales y la regulación de la gestión de intereses (DS 019-2017-
JUS modificado por DS 011-2018-JUS)
8. Código Penal
9. Resolución Directoral que aprueba la Directiva de seguridad de la información
administrada por los Bancos de Datos Personales. (RD 019-2013-JUS/DGPDP incluye fe
erratas)
10. Resolución Directoral que aprueba la Directiva sobre protección de datos personales
en el marco de los procedimientos para la construcción, administración, sistematización
y actualización de bases de datos personales vinculados con programas sociales y
subsidios que administra el Estado (RD 060-2014-JUS/DGPDP)
11. Resolución Directoral que aprueba modelo de cláusula informativa sobre las
circunstancias y condiciones del tratamiento de datos personales requeridas por el
articulo 18 de la Ley 29733 de Protección de Datos Personales (RD 43-2018-
JUS/DGTAIPD)
12. Resolución Directoral que aprueba la Directiva sobre lineamientos para la
clasificación de opiniones emitidas por la Dirección General de Transparencia, Acceso a
la Información Pública y Protección de Datos Personales (RD 69-2018-JUS/DGTAIPD)
13. Resolución Directoral que aprueba la actualización de los formularios para el inicio
de procedimientos ante la Dirección General de Transparencia, Acceso a la Información
Pública y Protección de Datos Personales y sus unidades orgánicas. (RD 85-2018-
JUS/DGTAIPD)
14. Resolución Directoral que aprueba la Directiva sobre Directiva para el Tratamiento
de Datos Personales mediante Sistemas de Videovigilancia (RD 002-2020-JUS/DGTAIPD)

II. Legislación Vinculada

1. Ley de Transparencia y Acceso a la Información Pública (TUO)


2. Reglamento de la Ley de Transparencia y Acceso a la Información Pública (DS 072-
2003-PCM modificado por el DS 019-2017-JUS y modificado por el 011-2018-JUS)
3. Decreto Legislativo que Fortalece el Tribunal de Transparencia y Acceso a la
Información Pública (DL 1416)
4. Ley de Gobierno Digital (DL 1412)
5. Aprueba el marco de confianza digital y dispone medidas para su fortalecimiento (DU
007-2020)
6. Regula las centrales privadas de información de riesgos y de protección al titular de la
información (Ley 27489 modificada por Ley 27863)
7. Ley AntiSpam. Regula el uso del correo electrónico comercial no solicitado (SPAM)
(Ley 28493)
8. Decreto Legislativo que regula el uso de las cámaras de videovigilancia (DL 1218)
9. Reglamento del Decreto Legislativo N° 1218, Decreto Legislativo que regula el uso de
las cámaras de videovigilancia y de la Ley N° 30120, Ley de Apoyo a la Seguridad
Ciudadana con Cámaras de Videovigilancia Públicas y Privadas, y dicta otras
disposiciones (DS 007-2020-IN)
10. Decreto Legislativo de Lucha eficaz contra el lavado de activos y otros delitos
relacionados a la minería ilegal y crimen organizado (DL 1106)
11. Resolución Administrativa que Aprueba l Directiva 001- 2007-P-CS-PJ denominada
"Formación de la base de datos, publicación en la página web del Poder Judicial y
registro estadístico de Ejecutorias Supremas' (RA 062-2007-P-PJ)
12. Texto Único Ordenado de la Ley Nº 27444, Ley del Procedimiento Administrativo
General (DS 004-2019-JUS)
13. Reglamento de Agencias de Viajes y Turismo (DS 05-2020-MINCETUR)
14. Ley de Apoyo a la seguridad ciudadana con cámaras de videovigilancia públicas y
privadas (Ley 30120)
15. Ley que crea el Registro Nacional de Historias Clínicas Electrónicas (Ley 30024)
16. Reglamento de la Ley 30024, Ley que crea el Registro Nacional de Historias Clínicas
Electrónicas (DS 009-2017-SA)
17. Código de Protección y Defensa del Consumidor (Ley 29571 modificado por DL 1390)
18. Ley que regula la explotación de los juegos de casino y máquinas tragamonedas (Ley
27153 modificada por la ley 27796 y la ley 29945 y la ley 29907)
19. Ley para la prevención y el tratamiento de la ludopatía en las salas de juego de
casino y máquinas tragamonedas. (Ley 29907)
20. Ley que previene y sanciona la violencia en los espectáculos deportivos (Ley 30037)
21. Ley que regula el uso y las operaciones de los sistemas de aeronaves pilotadas a
distancia (rpas) (Ley 30740)
22. Decreto Legislativo que modifica la Ley 27933, Ley del sistema nacional de seguridad
ciudadana y regula la cooperación de la pnp con las municipalidades para fortalecer el
sistema de seguridad ciudadana (DL 1316)
23. Ley General de Salud (Ley 26842 modificado por Ley 29907)
24. Texto Único Ordenado del D. Leg. No 728, Ley de Productividad y Competitividad
Laboral (DS 003-97-TR modificado por ley 29973)
25. Reglamento de la Ley Nº 27933, Ley del Sistema Nacional de Seguridad Ciudadana
(DS 011-2014-IN)
26. Decreto Supremo que aprueba el Reglamento de la Ley N° 30037, Ley que previene
y sanciona la violencia en los Espectáculos Deportivos (DS 007-2016-IN)
27. DS 013-2017-JUS - Reglamento de Organización y Funciones del Ministerio de Justicia
y Derechos Humanos
28. Decreto Supremo que aprueba Política Nacional del Estado Peruano en Seguridad
Ciudadana (DS 012-2013-IN)
29. Ley del sistema nacional de seguridad ciudadana (Ley 27933 modificado por el DL
1135)
30. Ley de Organización y Funciones del Ministerio del Interior (DL 1135)
31. Ley General de la Persona con Discapacidad (Ley 29973)
32. Reglamento de la Ley N° 29889, Ley que modifica el artículo 11 de la Ley 26842,
Ley General de Salud, y garantiza los derechos de las personas con problemas de salud
mental (DS 033-2015-SA)

III. Jurisprudencia constitucional fundamental

1. 0666-1996-PHD/TC - Contenido constitucionalmente protegido del derecho a la


autodeterminación informativa
2. 01797-2002-PHD/TC - Contenido constitucionalmente protegido del derecho a la
autodeterminación informativa
3. 04739-2007-PHD/TC - Titular del derecho a la autodeterminación informativa
4. 01515-2009-PHD/TC - Contenido constitucionalmente protegido del derecho a la
autodeterminación informativa
5. 02631-2009-PHD/TC - Derecho de rectificación de datos personales
6. 00242-2011-PHD/TC - Contenido constitucionalmente protegido del derecho a la
autodeterminación informativa. Derecho de cancelación.
7. 04387-2011-PHD/TC - Derecho de acceso. Banco de datos personales de la
administración pública. Confidencialidad de datos personales.
8. 00506-2013-PHD/TC - Derecho de acceso sobre datos personales de terceros
9. 03700-2010-PHD/TC - Derecho de rectificación. Principio de finalidad. Principio de
proporcionalidad.
10. 03606-2013-PHD/TC - Derecho de rectificación. Principio de calidad. Banco de datos
personales de la administración pública.
11. 02596-2013-PH D/TC - Principio de finalidad. Principio de calidad.
12. 04045-2015-PHD/TC - Contenido constitucionalmente protegido del derecho a la
autodeterminación informativa
13. 02379-2015-PHD/TC - Principio de calidad
14. 03256-2016-PHD/TC - Datos sensibles

IV. Consultas absueltas de la Autoridad de Datos Personales (2013-2017)

1. Acceso a datos personales de menores de edad en custodia de entidad publica


2. Acceso por Ley de Transparencia y Acceso a la Información Pública a datos personales
en custodia de entidad publica
3. Acceso publico a datos personales bajo custodia de tercero
4. Ámbito de Aplicación de la Ley de Protección de Datos Personales
5. Aviso de Videovigilancia
6. Base de datos personales no automatizada
7. Cancelación de bancos de datos personales
8. Cancelación de datos personales
9. Clasificación de los tipos de datos personales
10. Cloud Computing / Computación en la Nube
11. Código de Conducta
12. Competencia para resolución de conflictos de nombres de Dominio (APDP vs
INDECOPI)
13. Comunicación sobre flujo transfronterizo
14. Confidencialidad de datos personales en custodia
15. Consentimiento conductual
16. Consentimiento del consumidor o ciudadano para el envío de publicidad comercial
17. Consentimiento para el tratamiento de datos personales
18. Consentimiento para el tratamiento de datos personales en relaciones laborales
19. Consentimiento para el tratamiento de datos personales en servicios de
telecomunicaciones
20. Consentimiento para el tratamiento de datos sensibles
21. Consentimiento para el flujo transfronterizo
22. Datos personales en fotografías
23. Datos personales en documentos públicos
24. Datos personales en fuentes de acceso publico
25. Datos personales en procesos de contratación pública
26. Datos personales en redes sociales
27. Datos personales sobre solvencia patrimonial
28. Datos sensibles biométricos
29. Datos sensibles de ingresos económicos
30. Datos sensibles en relacionales laborales
31. Datos sensibles relacionados a la salud
32. Declaración de flujo transfronterizo
33. Definición de banco de datos personales
34. Definición de bases de datos
35. Derecho de cancelación
36. Derecho de información
37. Derecho de oposición
38. Directiva de Seguridad
39. Encargado del Tratamiento
40. Excepciones al ámbito de aplicación de la Ley de Protección de Datos Personales
41. Excepciones al consentimiento de tratamiento de datos personales
42. Excepciones al consentimiento de tratamiento de datos personales por norma
autoritativa (art. 13.5 LPDP)
43. Garantías previstas en la LPDP sobre la intervención de las comunicaciones y/o
telecomunicaciones de carácter o uso privado.
44. Inscripción de base de datos personales
45. Inscripción de base de datos personales de administración pública en el RNPDP
46. Inscripción de base de datos con múltiples finalidades
47. Inscripción de base de datos conteniendo datos personales recopilados fuera del
territorio nacional
48. Inscripción de Código de Conducta
49. Internet como fuente de acceso público
50. Labor de fiscalización de la Autoridad de Protección de Datos Personales
51. Limitaciones al consentimiento
52. Medios tecnológicos tercerizados
53. Modificación de Base de Datos Personales
54. Multas por Infracción de la Ley de Datos Personales
55. Obligaciones del encargado del banco de datos personales
56. Obligaciones del titular del banco de datos personales
57. Obtención de datos personales de manera previa para contacto comercial
58. Obtención de datos personales para cumplir normativa financiera extranjera
(FATCA)
59. Países seguros para realizar flujo transfronterizo
60. Plazo para mantener el deber de confidencialidad
61. Principio de consentimiento
62. Principio de finalidad
63. Principio de nivel adecuado
64. Principio de proporcionalidad
65. Principio de seguridad
66. Publicidad de datos personales de docentes universitarios por transparencia
67. Requerimiento de datos personales por parte de Autoridad Publica
68. Requerimiento de datos personales por parte de Organos de Control Interno
69. Responsable del banco de datos personales
70. Sanciones
71. Titular del banco de datos personales
72. Titular del banco de datos personales de una entidad pública
73. Titular del banco de datos personales no domiciliado
74. Transferencia de datos personales
75. Transferencia de datos personales dentro de un grupo empresarial
76. Transferencia de datos personales a Autoridad Pública
77. Transferencia transfronteriza de datos personales
78. Transferencia transfronteriza de datos personales entre sucursales de una misma
empresa
79. Transferencia transfronteriza de datos personales en el marco de un encargo de
tratamiento de datos personales
80. Transferencia transfronteriza de datos personales en el rubro de corredores de
seguros
81. Transferencia transfronteriza por servicio de hosting
82. Tratamiento de datos personales como medios de prueba en procedimientos
administrativos sancionadores
83. Tratamiento de datos personales de menores de edad
84. Tratamiento de datos personales de persona natural con negocio
85. Tratamiento de datos personales de solvencia patrimonial y de crédito
86. Tratamiento de datos personales del representante legal de persona jurídica
87. Tratamiento de datos personales en documentos públicos
88. Tratamiento de datos personales en motores de búsqueda
89. Tratamiento de datos personales en redes sociales
90. Tratamiento de datos personales en transito en el territorio del Perú
91. Tratamiento de datos personales incluidos en las actas de sufragio y en las actas
electorales.
92. Tratamiento de datos personales obtenidos de fuente de acceso público
93. Tratamiento de datos personales por encargo
94. Tratamiento de datos personales por encargo de empresa extranjera
95. Tratamiento de datos personales por videovigilancia
96. Tratamiento de datos personales por videovigilancia en centros laborales
97. Tratamiento de datos personales relacionados a la salud
98. Tratamiento de datos personales relativos a la comisión de infracciones penales o
administrativas
99. Valor probatorio de consentimiento era el tratamiento de datos personales en
versión escaneada
100. Verificación de la autenticidad de un documento
101. Videovigilancia

V. Opiniones Técnicas de la Autoridad (2017-2018)

1. Oficio 240-2013-JUS/DGPDP, 15 de Agosto 2013 - Datos personales relacionados con


la salud (Reglamento de la Ley de Historia Clínicas Electrónicas)
2. Oficio 850-2013-JUS/DGPDP, 11 de Noviembre 2013 - Lineamientos para la atención
de solicitudes de acceso a la información pública en el MEF (Directiva "Lineamientos
para la atención de solicitudes de acceso a la información pública en el Ministerio de
Economía y Finanzas")
3. Oficio 313-2017-JUS/DGPDP, del 12 de Junio 2017 Sobre el artículo 42 del Reglamento
de Organización y Funciones del Minedu, que afirma que la Oficina de Medición de la
Calidad de los Aprendizajes (UMC) "es responsable de planificar, diseñar, implementar
y ejecutar las evaluaciones de logros de aprendizaje de estudiantes de la educación
básica, así como de producir estadísticas e indicadores de logros de aprendizaje que
sirven para formular y retroalimentar la política educativa" y quienes pueden tener
acceso a la información producida.
4. Oficio 159-2018-JUS/DGTAIPD, 19 de marzo 2018 - Opinión sobre el proyecto de
directiva denominado “Procedimiento para la Atención de Solicitudes de Acceso a la
Información Pública en el Ministerio de Cultura”.
5. Oficio 299-2018-JUS/DGTAIPD que contiene el Informe 18-2018-JUS/DGTAIPD-DPDP,
20 de abril 2018 - Opinión sobre el proyecto de Reglamento del Uso de las Cámaras de
Videovigilancia dispuesto por la Ley 30120 y el Decreto Legislativo 1218.
6. Oficio 849-2018-JUS/DGTAIPD, 10 de septiembre de 2018- Opinión sobre propuesta
de creación del Registro Nacional de Agresores Sexuales
7. Oficio 849-2018-JUS/DGTAIPD, 10 de septiembre 2018- Opinión sobre propuesta de
creación del Registro Nacional de Agresores Sexuales y Sentenciados por Trata de
Personas (Proyecto de Ley ° 3007/2017-CR)
8. Oficio 1239-2018-JUS/DGTAIPD, 14 de septiembre 2018 - Opinión sobre el Sistema
Integrado de Estadística de la Criminalidad y Seguridad Ciudadana (Proyecto de Ley N°
2503/2017-CR)
9. Oficio 1239-2018-JUS/DGTAIPD, 17 de septiembre 2018 - Opinión sobre Acuerdo
entre el Gobierno de la República del Perú y el Gobierno de los Estados Unidos de
América sobre el Incremento de la Cooperación para prevenir y combatir el delito grave.

VI. Resoluciones Sancionadoras de la Autoridad de Datos Personales

VII. Resoluciones Trilaterales


I. Legislación Primaria

1. Declaración Universal de Derechos Humanos

Artículo 1.

Todos los seres humanos nacen libres e iguales en dignidad y derechos y, dotados
como están de razón y conciencia, deben comportarse fraternalmente los unos
con los otros.

Artículo 2.

Toda persona tiene todos los derechos y libertades proclamados en esta


Declaración, sin distinción alguna de raza, color, sexo, idioma, religión, opinión
política o de cualquier otra índole, origen nacional o social, posición económica,
nacimiento o cualquier otra condición. Además, no se hará distinción alguna
fundada en la condición política, jurídica o internacional del país o territorio de
cuya jurisdicción dependa una persona, tanto si se trata de un país
independiente, como de un territorio bajo administración fiduciaria, no
autónomo o sometido a cualquier otra limitación de soberanía.

(…)

Artículo 7.

Todos son iguales ante la ley y tienen, sin distinción, derecho a igual protección
de la ley. Todos tienen derecho a igual protección contra toda discriminación que
infrinja esta Declaración y contra toda provocación a tal discriminación.

(…)

Artículo 12.

Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su


domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda
persona tiene derecho a la protección de la ley contra tales injerencias o ataques.

(…)

Artículo 18.

Toda persona tiene derecho a la libertad de pensamiento, de conciencia y de


religión; este derecho incluye la libertad de cambiar de religión o de creencia, así
como la libertad de manifestar su religión o su creencia, individual y
colectivamente, tanto en público como en privado, por la enseñanza, la práctica,
el culto y la observancia.
Artículo 19.

Todo individuo tiene derecho a la libertad de opinión y de expresión; este derecho


incluye el de no ser molestado a causa de sus opiniones, el de investigar y recibir
informaciones y opiniones, y el de difundirlas, sin limitación de fronteras, por
cualquier medio de expresión.
2. Convención Americana sobre Derechos Humanos - Pacto de San José de Costa Rica

PARTE I - DEBERES DE LOS ESTADOS Y DERECHOS PROTEGIDOS

CAPITULO I - ENUMERACION DE DEBERES

Artículo 1. Obligación de Respetar los Derechos

1. Los Estados Partes en esta Convención se comprometen a respetar los derechos


y libertades reconocidos en ella y a garantizar su libre y pleno ejercicio a toda
persona que esté sujeta a su jurisdicción, sin discriminación alguna por motivos
de raza, color, sexo, idioma, religión, opiniones políticas o de cualquier otra
índole, origen nacional o social, posición económica, nacimiento o cualquier otra
condición social.

2. Para los efectos de esta Convención, persona es todo ser humano.

(…)

Artículo 11. Protección de la Honra y de la Dignidad

1. Toda persona tiene derecho al respeto de su honra y al reconocimiento de su


dignidad.

2. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada,


en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales
a su honra o reputación.

3. Toda persona tiene derecho a la protección de la ley contra esas injerencias o


esos ataques.

Artículo 12. Libertad de Conciencia y de Religión

1. Toda persona tiene derecho a la libertad de conciencia y de religión. Este


derecho implica la libertad de conservar su religión o sus creencias, o de cambiar
de religión o de creencias, así como la libertad de profesar y divulgar su religión
o sus creencias, individual o colectivamente, tanto en público como en privado.

2. Nadie puede ser objeto de medidas restrictivas que puedan menoscabar la


libertad de conservar su religión o sus creencias o de cambiar de religión o de
creencias.

3. La libertad de manifestar la propia religión y las propias creencias está sujeta


únicamente a las limitaciones prescritas por la ley y que sean necesarias para
proteger la seguridad, el orden, la salud o la moral públicos o los derechos o
libertades de los demás.
4. Los padres, y en su caso los tutores, tienen derecho a que sus hijos o pupilos
reciban la educación religiosa y moral que esté de acuerdo con sus propias
convicciones.

Artículo 13. Libertad de Pensamiento y de Expresión

1. Toda persona tiene derecho a la libertad de pensamiento y de expresión. Este


derecho comprende la libertad de buscar, recibir y difundir informaciones e ideas
de toda índole, sin consideración de fronteras, ya sea oralmente, por escrito o en
forma impresa o artística, o por cualquier otro procedimiento de su elección.

2. El ejercicio del derecho previsto en el inciso precedente no puede estar sujeto


a previa censura sino a responsabilidades ulteriores, las que deben estar
expresamente fijadas por la ley y ser necesarias para asegurar:

a) el respeto a los derechos o a la reputación de los demás, o

b) la protección de la seguridad nacional, el orden público o la salud o la moral


públicas.

3. No se puede restringir el derecho de expresión por vías o medios indirectos,


tales como el abuso de controles oficiales o particulares de papel para periódicos,
de frecuencias radioeléctricas, o de enseres y aparatos usados en la difusión de
información o por cualesquiera otros medios encaminados a impedir la
comunicación y la circulación de ideas y opiniones.

4. Los espectáculos públicos pueden ser sometidos por la ley a censura previa con
el exclusivo objeto de regular el acceso a ellos para la protección moral de la
infancia y la adolescencia, sin perjuicio de lo establecido en el inciso 2.

5. Estará prohibida por la ley toda propaganda en favor de la guerra y toda


apología del odio nacional, racial o religioso que constituyan incitaciones a la
violencia o cualquier otra acción ilegal similar contra cualquier persona o grupo
de personas, por ningún motivo, inclusive los de raza, color, religión, idioma u
origen nacional.

Artículo 14. Derecho de Rectificación o Respuesta

1. Toda persona afectada por informaciones inexactas o agraviantes emitidas en


su perjuicio a través de medios de difusión legalmente reglamentados y que se
dirijan al público en general, tiene derecho a efectuar por el mismo órgano de
difusión su rectificación o respuesta en las condiciones que establezca la ley.

2. En ningún caso la rectificación o la respuesta eximirán de las otras


responsabilidades legales en que se hubiese incurrido.
3. Para la efectiva protección de la honra y la reputación, toda publicación o
empresa periodística, cinematográfica, de radio o televisión tendrá una persona
responsable que no esté protegida por inmunidades ni disponga de fuero
especial.

(…)

Artículo 24. Igualdad ante la Ley

Todas las personas son iguales ante la ley. En consecuencia, tienen derecho, sin
discriminación, a igual protección de la ley.
3. Constitución Política del Perú

Artículo 2°.- Toda persona tiene derecho:


(…)

2. A la igualdad ante la ley. Nadie debe ser discriminado por motivo de origen,
raza, sexo, idioma, religión, opinión, condición económica o de cualquiera otra
índole.

3. A la libertad de conciencia y de religión, en forma individual o asociada. No hay


persecución por razón de ideas o creencias. No hay delito de opinión. El ejercicio
público de todas las confesiones es libre, siempre que no ofenda la moral ni
altere el orden público.

4. A las libertades de información, opinión, expresión y difusión del pensamiento


mediante la palabra oral o escrita o la imagen, por cualquier medio de
comunicación social, sin previa autorización ni censura ni impedimento algunos,
bajo las responsabilidades de ley.

Los delitos cometidos por medio del libro, la prensa y demás medios de
comunicación social se tipifican en el Código Penal y se juzgan en el fuero común.

Es delito toda acción que suspende o clausura algún órgano de expresión o le


impide circular libremente. Los derechos de informar y opinar comprenden los de
fundar medios de comunicación.

5. A solicitar sin expresión de causa la información que requiera y a recibirla de


cualquier entidad pública, en el plazo legal, con el costo que suponga el pedido.
Se exceptúan las informaciones que afectan la intimidad personal y las que
expresamente se excluyan por ley o por razones de seguridad nacional.

El secreto bancario y la reserva tributaria pueden levantarse a pedido de juez, del


Fiscal de la Nación, o de una comisión investigadora del Congreso con arreglo a
ley y siempre que se refieran al caso investigado.

6. A que los servicios informáticos, computarizados o no, públicos o privados,


no suministren informaciones que afecten la intimidad personal y familiar.

7. Al honor y a la buena reputación, a la intimidad personal y familiar así como a


la voz y a la imagen propias.

Toda persona afectada por afirmaciones inexactas o agraviada en cualquier


medio de comunicación social tiene derecho a que éste se rectifique en forma
gratuita, inmediata y proporcional, sin perjuicio de las responsabilidades de ley.

(…)
Artículo 96°.- Cualquier representante a Congreso puede pedir a los Ministros de
Estado, al Jurado Nacional de Elecciones, al Contralor General, al Banco Central
de Reserva, a la Superintendencia de Banca, Seguros y Administradoras Privadas
de Fondos de Pensiones, a los Gobiernos Regionales y Locales y a las instituciones
que señala la ley, los informes que estime necesarios.

El pedido se hace por escrito y de acuerdo con el Reglamento del Congreso. La


falta de respuesta da lugar a las responsabilidades de ley.

Artículo 97°.- El Congreso puede iniciar investigaciones sobre cualquier asunto de


interés público. Es obligatorio comparecer, por requerimiento, ante las
comisiones encargadas de tales investigaciones, bajo los mismos apremios que
se observan en el procedimiento judicial.

Para el cumplimiento de sus fines, dichas comisiones pueden acceder a cualquier


información, la cual puede implicar el levantamiento del secreto bancario y el de
la reserva tributaria; excepto la información que afecte la intimidad personal.
Sus conclusiones no obligan a los órganos jurisdiccionales.

(…)

Artículo 200°.- Son garantías constitucionales:

(…)

3. La Acción de Hábeas Data, que procede contra el hecho u omisión, por parte
de cualquier autoridad, funcionario o persona, que vulnera o amenaza los
derechos a que se refiere el Artículo 2º, incisos 5) y 6) de la Constitución.

(…)

Artículo 202°.- Corresponde al Tribunal Constitucional:

(…)
2. Conocer, en última y definitiva instancia, las resoluciones denegatorias de
hábeas corpus, amparo, hábeas data, y acción de cumplimiento.
4. Ley de Protección de Datos Personales (Ley 29733 modificada por el DL 1353)

TÍTULO PRELIMINAR
DISPOSICIONES GENERALES

Artículo 1. Objeto de la Ley


La presente Ley tiene el objeto de garantizar el derecho fundamental a la
protección de los datos personales, previsto en el artículo 2 numeral 6 de la
Constitución Política del Perú, a través de su adecuado tratamiento, en un marco
de respeto de los demás derechos fundamentales que en ella se reconocen.

Artículo 2. Definiciones
Para todos los efectos de la presente Ley, se entiende por:

1. Banco de datos personales. Conjunto organizado de datos personales,


automatizado o no, independientemente del soporte, sea este físico, magnético,
digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su
creación, formación, almacenamiento, organización y acceso.

2. Banco de datos personales de administración privada. Banco de datos


personales cuya titularidad corresponde a una persona natural o a una persona
jurídica de derecho privado, en cuanto el banco no se encuentre estrictamente
vinculado al ejercicio de potestades de derecho público.

3. Banco de datos personales de administración pública. Banco de datos


personales cuya titularidad corresponde a una entidad pública.

4. Datos personales. Toda información sobre una persona natural que la


identifica o la hace identificable a través de medios que pueden ser
razonablemente utilizados.

5. Datos sensibles. Datos personales constituidos por los datos biométricos que
por sí mismos pueden identificar al titular; datos referidos al origen racial y
étnico; ingresos económicos; opiniones o convicciones políticas, religiosas,
filosóficas o morales; afiliación sindical; e información relacionada a la salud o a
la vida sexual.

6. Días. Días hábiles.

7. Encargado de tratamiento de datos personales. Toda persona natural,


persona jurídica de derecho privado o entidad pública que sola o actuando
conjuntamente con otra realiza el tratamiento de los datos personales por
encargo del titular del banco de datos personales en virtud de una relación
jurídica que le vincula con el mismo y delimita el ámbito de su actuación. Incluye
a quien realice el tratamiento sin la existencia de un banco de datos personales.
8. Encargo de tratamiento. Entrega por parte del titular del banco de datos
personales a un encargado de tratamiento de datos personales en virtud de una
relación jurídica que los vincula. Dicha relación jurídica delimita el ámbito de
actuación del encargado de tratamiento de los datos personales.

9. Entidad pública. Entidad comprendida en el artículo I del Título Preliminar de


la Ley 27444, Ley del Procedimiento Administrativo General, o la que haga sus
veces.

10. Flujo transfronterizo de datos personales. Transferencia internacional de


datos personales a un destinatario situado en un país distinto al país de origen
de los datos personales, sin importar el soporte en que estos se encuentren, los
medios por los cuales se efectuó la transferencia ni el tratamiento que reciban.

11. Fuentes accesibles para el público. Bancos de datos personales de


administración pública o privada, que pueden ser consultados por cualquier
persona, previo abono de la contraprestación correspondiente, de ser el caso. Las
fuentes accesibles para el público son determinadas en el reglamento.

12. Nivel suficiente de protección para los datos personales. Nivel de protección
que abarca por lo menos la consignación y el respeto de los principios rectores de
esta Ley, así como medidas técnicas de seguridad y confidencialidad, apropiadas
según la categoría de datos de que se trate.

13. Persona jurídica de derecho privado. Para efectos de esta Ley, la persona
jurídica no comprendida en los alcances del artículo I del Título Preliminar de la
Ley 27444, Ley del Procedimiento Administrativo General.

14. Procedimiento de anonimización. Tratamiento de datos personales que


impide la identificación o que no hace identificable al titular de estos. El
procedimiento es irreversible.

15. Procedimiento de disociación. Tratamiento de datos personales que impide


la identificación o que no hace identificable al titular de estos. El procedimiento
es reversible.

16. Titular de datos personales. Persona natural a quien corresponde los datos
personales.

17. Titular del banco de datos personales. Persona natural, persona jurídica de
derecho privado o entidad pública que determina la finalidad y contenido del
banco de datos personales, el tratamiento de estos y las medidas de seguridad.

18. Transferencia de datos personales. Toda transmisión, suministro o


manifestación de datos personales, de carácter nacional o internacional, a una
persona jurídica de derecho privado, a una entidad pública o a una persona
natural distinta del titular de datos personales.
19. Tratamiento de datos personales. Cualquier operación o procedimiento
técnico, automatizado o no, que permite la recopilación, registro, organización,
almacenamiento, conservación, elaboración, modificación, extracción, consulta,
utilización, bloqueo, supresión, comunicación por transferencia o por difusión o
cualquier otra forma de procesamiento que facilite el acceso, correlación o
interconexión de los datos personales

Artículo 3. Ámbito de aplicación

La presente Ley es de aplicación a los datos personales contenidos o destinados


a ser contenidos en bancos de datos personales de administración pública y de
administración privada, cuyo tratamiento se realiza en el territorio nacional. Son
objeto de especial protección los datos sensibles.

Las disposiciones de esta Ley no son de aplicación a los siguientes datos


personales:

1. A los contenidos o destinados a ser contenidos en bancos de datos personales


creados por personas naturales para fines exclusivamente relacionados con su
vida privada o familiar.

2. A los contenidos o destinados a ser contenidos en bancos de datos de


administración pública, solo en tanto su tratamiento resulte necesario para el
estricto cumplimiento de las competencias asignadas por ley a las respectivas
entidades públicas, para la defensa nacional, seguridad pública, y para el
desarrollo de actividades en materia penal para la investigación y represión del
delito.

TÍTULO I
PRINCIPIOS RECTORES

Artículo 4. Principio de legalidad


El tratamiento de los datos personales se hace conforme a lo establecido en la
ley. Se prohíbe la recopilación de los datos personales por medios fraudulentos,
desleales o ilícitos.

Artículo 5. Principio de consentimiento


Para el tratamiento de los datos personales debe mediar el consentimiento de su
titular.

Artículo 6. Principio de finalidad


Los datos personales deben ser recopilados para una finalidad determinada,
explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra
finalidad que no haya sido la establecida de manera inequívoca como tal al
momento de su recopilación, excluyendo los casos de actividades de valor
histórico, estadístico o científico cuando se utilice un procedimiento de
disociación o anonimización.

Artículo 7. Principio de proporcionalidad


Todo tratamiento de datos personales debe ser adecuado, relevante y no
excesivo a la finalidad para la que estos hubiesen sido recopilados.

Artículo 8. Principio de calidad


Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la
medida de lo posible, actualizados, necesarios, pertinentes y adecuados respecto
de la finalidad para la que fueron recopilados. Deben conservarse de forma tal
que se garantice su seguridad y solo por el tiempo necesario para cumplir con la
finalidad del tratamiento.

Artículo 9. Principio de seguridad


El titular del banco de datos personales y el encargado de su tratamiento deben
adoptar las medidas técnicas, organizativas y legales necesarias para garantizar
la seguridad de los datos personales. Las medidas de seguridad deben ser
apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría
de datos personales de que se trate.

Artículo 10. Principio de disposición de recurso


Todo titular de datos personales debe contar con las vías administrativas o
jurisdiccionales necesarias para reclamar y hacer valer sus derechos, cuando
estos sean vulnerados por el tratamiento de sus datos personales.

Artículo 11. Principio de nivel de protección adecuado


Para el flujo transfronterizo de datos personales, se debe garantizar un nivel
suficiente de protección para los datos personales que se vayan a tratar o, por lo
menos, equiparable a lo previsto por esta Ley o por los estándares internacionales
en la materia.

Artículo 12. Valor de los principios

La actuación de los titulares y encargados de tratamiento de datos personales y,


en general, de todos los que intervengan con relación a datos personales, debe
ajustarse a los principios rectores a que se refiere este Título. Esta relación de
principios rectores es enunciativa.

Los principios rectores señalados sirven también de criterio interpretativo para


resolver las cuestiones que puedan suscitarse en la aplicación de esta Ley y de su
reglamento, así como de parámetro para la elaboración de otras disposiciones y
para suplir vacíos en la legislación sobre la materia.
TÍTULO II
TRATAMIENTO DE DATOS PERSONALES

Artículo 13. Alcances sobre el tratamiento de datos personales


13.1 El tratamiento de datos personales debe realizarse con pleno respeto de los
derechos fundamentales de sus titulares y de los derechos que esta Ley les
confiere. Igual regla rige para su utilización por terceros.

13.2 Las limitaciones al ejercicio del derecho fundamental a la protección de


datos personales solo pueden ser establecidas por ley, respetando su contenido
esencial y estar justificadas en razón del respeto de otros derechos
fundamentales o bienes constitucionalmente protegidos.

13.3 Mediante reglamento se dictan medidas especiales para el tratamiento de


los datos personales de los niños y de los adolescentes, así como para la
protección y garantía de sus derechos. Para el ejercicio de los derechos que esta
Ley reconoce, los niños y los adolescentes actúan a través de sus representantes
legales, pudiendo el reglamento determinar las excepciones aplicables, de ser el
caso, teniendo en cuenta para ello el interés superior del niño y del adolescente.

13.4 Las comunicaciones, telecomunicaciones, sistemas informáticos o sus


instrumentos, cuando sean de carácter privado o uso privado, solo pueden ser
abiertos, incautados, interceptados o intervenidos por mandamiento motivado
del juez o con autorización de su titular, con las garantías previstas en la ley. Se
guarda secreto de los asuntos ajenos al hecho que motiva su examen. Los datos
personales obtenidos con violación de este precepto carecen de efecto legal.

13.5 Los datos personales solo pueden ser objeto de tratamiento con
consentimiento de su titular, salvo ley autoritativa al respecto. El consentimiento
debe ser previo, informado, expreso e inequívoco.

13.6 En el caso de datos sensibles, el consentimiento para efectos de su


tratamiento, además, debe efectuarse por escrito. Aun cuando no mediara el
consentimiento del titular, el tratamiento de datos sensibles puede efectuarse
cuando la ley lo autorice, siempre que ello atienda a motivos importantes de
interés público.

13.7 El titular de datos personales puede revocar su consentimiento en cualquier


momento, observando al efecto los mismos requisitos que con ocasión de su
otorgamiento.

13.8 El tratamiento de datos personales relativos a la comisión de infracciones


penales o administrativas solo puede ser efectuado por las entidades públicas
competentes, salvo convenio de encargo de gestión conforme a la Ley 27444, Ley
del Procedimiento Administrativo General, o la que haga sus veces. Cuando se
haya producido la cancelación de los antecedentes penales, judiciales, policiales
y administrativos, estos datos no pueden ser suministrados salvo que sean
requeridos por el Poder Judicial o el Ministerio Público, conforme a ley.

13.9 La comercialización de datos personales contenidos o destinados a ser


contenidos en bancos de datos personales se sujeta a los principios previstos en
la presente Ley.

Artículo 14. Limitaciones al consentimiento para el tratamiento de datos


personales
No se requiere el consentimiento del titular de datos personales, para los efectos
de su tratamiento, en los siguientes casos:

1. Cuando los datos personales se recopilen o transfieran para el ejercicio de las


funciones de las entidades públicas en el ámbito de sus competencias.

2. Cuando se trate de datos personales contenidos o destinados a ser contenidos


en fuentes accesibles para el público.

3. Cuando se trate de datos personales relativos a la solvencia patrimonial y de


crédito, conforme a ley.

4. Cuando medie norma para la promoción de la competencia en los mercados


regulados emitida en ejercicio de la función normativa por los organismos
reguladores a que se refiere la Ley 27332, Ley Marco de los Organismos
Reguladores de la Inversión Privada en los Servicios Públicos, o la que haga sus
veces, siempre que la información brindada no sea utilizada en perjuicio de la
privacidad del usuario.

5. Cuando los datos personales sean necesarios para la preparación, celebración


y ejecución de una relación contractual en la que el titular de datos personales
sea parte, o cuando se trate de datos personales que deriven de una relación
científica o profesional del titular y sean necesarios para su desarrollo o
cumplimiento.

6. Cuando se trate de datos personales relativos a la salud y sea necesario, en


circunstancia de riesgo, para la prevención, diagnóstico y tratamiento médico o
quirúrgico del titular, siempre que dicho tratamiento sea realizado en
establecimientos de salud o por profesionales en ciencias de la salud, observando
el secreto profesional; o cuando medien razones de interés público previstas por
ley o cuando deban tratarse por razones de salud pública, ambas razones deben
ser calificadas como tales por el Ministerio de Salud; o para la realización de
estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de
disociación adecuados.

7. Cuando el tratamiento sea efectuado por organismos sin fines de lucro cuya
finalidad sea política, religiosa o sindical y se refiera a los datos personales
recopilados de sus respectivos miembros, los que deben guardar relación con el
propósito a que se circunscriben sus actividades, no pudiendo ser transferidos sin
consentimiento de aquellos.

8. Cuando se hubiera aplicado un procedimiento de anonimización o disociación.

9. Cuando el tratamiento de los datos personales sea necesario para


salvaguardar intereses legítimos del titular de datos personales por parte del
titular de datos personales o por el encargado de tratamiento de datos
personales.

10. Cuando el tratamiento sea para fines vinculados al sistema de prevención de


lavado de activos y financiamiento del terrorismo u otros que respondan a un
mandato legal.

11. En el caso de grupos económicos conformados por empresas que son


consideradas sujetos obligados a informar, conforme a las normas que regulan a
la Unidad de Inteligencia Financiera, que éstas puedan compartir información
entre sí de sus respectivos clientes para fines de prevención de lavado de activos
y financiamiento del terrorismo, así como otros de cumplimiento regulatorio,
estableciendo las salvaguardas adecuadas sobre la confidencialidad y uso de la
información intercambiada.

12. Cuando el tratamiento se realiza en ejercicio constitucionalmente válido del


derecho fundamental a la libertad de información.

13. Otros que deriven del ejercicio de competencias expresamente establecidas


por Ley.

Artículo 15. Flujo transfronterizo de datos personales


El titular y el encargado de tratamiento de datos personales deben realizar el flujo
transfronterizo de datos personales solo si el país destinatario mantiene niveles
de protección adecuados conforme a la presente Ley.

En caso de que el país destinatario no cuente con un nivel de protección


adecuado, el emisor del flujo transfronterizo de datos personales debe garantizar
que el tratamiento de los datos personales se efectúe conforme a lo dispuesto
por la presente Ley.

No se aplica lo dispuesto en el segundo párrafo en los siguientes casos:

1. Acuerdos en el marco de tratados internacionales sobre la materia en los


cuales la República del Perú sea parte.

2. Cooperación judicial internacional.


3. Cooperación internacional entre organismos de inteligencia para la lucha
contra el terrorismo, tráfico ilícito de drogas, lavado de activos, corrupción, trata
de personas y otras formas de criminalidad organizada.

4. Cuando los datos personales sean necesarios para la ejecución de una relación
contractual en la que el titular de datos personales sea parte, incluyendo lo
necesario para actividades como la autentificación de usuario, mejora y soporte
del servicio, monitoreo de la calidad del servicio, soporte para el mantenimiento
y facturación de la cuenta y aquellas actividades que el manejo de la relación
contractual requiera.

5. Cuando se trate de transferencias bancarias o bursátiles, en lo relativo a las


transacciones respectivas y conforme a la ley aplicable.

6. Cuando el flujo transfronterizo de datos personales se realice para la


protección, prevención, diagnóstico o tratamiento médico o quirúrgico de su
titular; o cuando sea necesario para la realización de estudios epidemiológicos o
análogos, en tanto se apliquen procedimientos de disociación adecuados.

7. Cuando el titular de los datos personales haya dado su consentimiento previo,


informado, expreso e inequívoco.

8. Otros que establezca el reglamento de la presente Ley, con sujeción a lo


dispuesto en el artículo 12.

Artículo 16. Seguridad del tratamiento de datos personales


Para fines del tratamiento de datos personales, el titular del banco de datos
personales debe adoptar medidas técnicas, organizativas y legales que
garanticen su seguridad y eviten su alteración, pérdida, tratamiento o acceso no
autorizado.

Los requisitos y condiciones que deben reunir los bancos de datos personales en
materia de seguridad son establecidos por la Autoridad Nacional de Protección
de Datos Personales, salvo la existencia de disposiciones especiales contenidas en
otras leyes.

Queda prohibido el tratamiento de datos personales en bancos de datos que no


reúnan los requisitos y las condiciones de seguridad a que se refiere este artículo.

Artículo 17. Confidencialidad de datos personales


El titular del banco de datos personales, el encargado y quienes intervengan en
cualquier parte de su tratamiento están obligados a guardar confidencialidad
respecto de los mismos y de sus antecedentes. Esta obligación subsiste aun
después de finalizadas las relaciones con el titular del banco de datos personales.

El obligado puede ser relevado de la obligación de confidencialidad cuando medie


consentimiento previo, informado, expreso e inequívoco del titular de los datos
personales, resolución judicial consentida o ejecutoriada, o cuando medien
razones fundadas relativas a la defensa nacional, seguridad pública o la sanidad
pública, sin perjuicio del derecho a guardar el secreto profesional.

TÍTULO III
DERECHOS DEL TITULAR DE DATOS PERSONALES

Artículo 18. Derecho de información del titular de datos personales


El titular de datos personales tiene derecho a ser informado en forma detallada,
sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la
finalidad para la que sus datos personales serán tratados; quiénes son o pueden
ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así
como la identidad y domicilio de su titular y, de ser el caso, del o de los encargados
del tratamiento de sus datos personales; el carácter obligatorio o facultativo de
sus respuestas al cuestionario que se le proponga, en especial en cuanto a los
datos sensibles; la transferencia de los datos personales; las consecuencias de
proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante
el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos
que la ley le concede y los medios previstos para ello.

Si los datos personales son recogidos en línea a través de redes de


comunicaciones electrónicas, las obligaciones del presente artículo pueden
satisfacerse mediante la publicación de políticas de privacidad, las que deben ser
fácilmente accesibles e identificables.

En el caso que el titular del banco de datos establezca vinculación con un


encargado de tratamiento de manera posterior al consentimiento, el accionar del
encargado queda bajo responsabilidad del Titular del Banco de Datos, debiendo
establecer un mecanismo de información personalizado para el titular de los
datos personales sobre dicho nuevo encargado de tratamiento.

Si con posterioridad al consentimiento se produce la transferencia de datos


personales por fusión, adquisición de cartera, o supuestos similares, el nuevo
titular del banco de datos debe establecer un mecanismo de información eficaz
para el titular de los datos personales sobre dicho nuevo encargado de
tratamiento.

Artículo 19. Derecho de acceso del titular de datos personales


El titular de datos personales tiene derecho a obtener la información que sobre sí
mismo sea objeto de tratamiento en bancos de datos de administración pública
o privada, la forma en que sus datos fueron recopilados, las razones que
motivaron su recopilación y a solicitud de quién se realizó la recopilación, así
como las transferencias realizadas o que se prevén hacer de ellos.
Artículo 20. Derecho de actualización, inclusión, rectificación y supresión
El titular de datos personales tiene derecho a la actualización, inclusión,
rectificación y supresión de sus datos personales materia de tratamiento, cuando
estos sean parcial o totalmente inexactos, incompletos, cuando se hubiere
advertido omisión, error o falsedad, cuando hayan dejado de ser necesarios o
pertinentes a la finalidad para la cual hayan sido recopilados o cuando hubiera
vencido el plazo establecido para su tratamiento.

Si sus datos personales hubieran sido transferidos previamente, el encargado de


tratamiento de datos personales debe comunicar la actualización, inclusión,
rectificación o supresión a quienes se hayan transferido, en el caso que se
mantenga el tratamiento por este último, quien debe también proceder a la
actualización, inclusión, rectificación o supresión, según corresponda.

Durante el proceso de actualización, inclusión, rectificación o supresión de datos


personales, el encargado de tratamiento de datos personales dispone su bloqueo,
quedando impedido de permitir que terceros accedan a ellos. Dicho bloqueo no
es aplicable a las entidades públicas que requieren de tal información para el
adecuado ejercicio de sus competencias, según ley, las que deben informar que
se encuentra en trámite cualquiera de los mencionados procesos.

La supresión de datos personales contenidos en bancos de datos personales de


administración pública se sujeta a lo dispuesto en el artículo 21 del Texto Único
Ordenado de la Ley 27806, Ley de Transparencia y Acceso a la Información
Pública, o la que haga sus veces”

Artículo 21. Derecho a impedir el suministro


El titular de datos personales tiene derecho a impedir que estos sean
suministrados, especialmente cuando ello afecte sus derechos fundamentales. El
derecho a impedir el suministro no aplica para la relación entre el titular del
banco de datos personales y el encargado de tratamiento de datos personales
para los efectos del tratamiento de estos.

Artículo 22. Derecho de oposición


Siempre que, por ley, no se disponga lo contrario y cuando no hubiera prestado
consentimiento, el titular de datos personales puede oponerse a su tratamiento
cuando existan motivos fundados y legítimos relativos a una concreta situación
personal. En caso de oposición justificada, el titular o el encargado de
tratamiento de datos personales, según corresponda, debe proceder a su
supresión, conforme a ley.

Artículo 23. Derecho al tratamiento objetivo


El titular de datos personales tiene derecho a no verse sometido a una decisión
con efectos jurídicos sobre él o que le afecte de manera significativa, sustentada
únicamente en un tratamiento de datos personales destinado a evaluar
determinados aspectos de su personalidad o conducta, salvo que ello ocurra en
el marco de la negociación, celebración o ejecución de un contrato o en los casos
de evaluación con fines de incorporación a una entidad pública, de acuerdo a ley,
sin perjuicio de la posibilidad de defender su punto de vista, para salvaguardar su
legítimo interés.

Artículo 24. Derecho a la tutela


En caso de que el titular o el encargado del banco de datos personales deniegue
al titular de datos personales, total o parcialmente, el ejercicio de los derechos
establecidos en esta Ley, este puede recurrir ante la Autoridad Nacional de
Protección de Datos Personales en vía de reclamación o al Poder Judicial para los
efectos de la correspondiente acción de hábeas data.

El procedimiento a seguir ante la Autoridad Nacional de Protección de Datos


Personales se sujeta a lo dispuesto en los artículos 219 y siguientes de la Ley
27444, Ley del Procedimiento Administrativo General, o la que haga sus veces.

La resolución de la Autoridad Nacional de Protección de Datos Personales agota


la vía administrativa y habilita la imposición de las sanciones administrativas
previstas en el artículo 39. El reglamento determina las instancias
correspondientes.

Contra las resoluciones de la Autoridad Nacional de Protección de Datos


Personales procede la acción contencioso-administrativa.

Artículo 25. Derecho a ser indemnizado


El titular de datos personales que sea afectado a consecuencia del
incumplimiento de la presente Ley por el titular o por el encargado de
tratamiento de datos personales o por terceros, tiene derecho a obtener la
indemnización correspondiente, conforme a ley.

Artículo 26. Contraprestación


La contraprestación que debe abonar el titular de datos personales por el
ejercicio de los derechos contemplados en los artículos 19, 20, 21, 22 y 23 ante
los bancos de datos personales de administración pública se sujeta a las
disposiciones previstas en la Ley 27444, Ley del Procedimiento Administrativo
General.

Ante los bancos de datos personales de administración privada, el ejercicio de los


derechos mencionados se sujeta a lo dispuesto por las normas especiales sobre
la materia.

Artículo 27. Limitaciones


Los titulares y los encargados de tratamiento de datos personales de
administración pública pueden denegar el ejercicio de los derechos de acceso,
supresión y oposición por razones fundadas en la protección de derechos e
intereses de terceros o cuando ello pueda obstaculizar actuaciones judiciales o
administrativas en curso vinculadas a la investigación sobre el cumplimiento de
obligaciones tributarias o previsionales, a las investigaciones penales sobre la
comisión de faltas o delitos, al desarrollo de funciones de control de la salud y del
medio ambiente, a la verificación de infracciones administrativas, o cuando así lo
disponga la ley”

TÍTULO IV
OBLIGACIONES DEL TITULAR Y DEL ENCARGADO DE TRATAMIENTO DE DATOS
PERSONALES
Artículo 28. Obligaciones
El titular y el encargado de tratamiento de datos personales, según sea el caso,
tienen las siguientes obligaciones:

1. Efectuar el tratamiento de datos personales, solo previo consentimiento


informado, expreso e inequívoco del titular de los datos personales, salvo ley
autoritativa, con excepción de los supuestos consignados en el artículo 14 de la
presente Ley.

2. No recopilar datos personales por medios fraudulentos, desleales o ilícitos.

3. Recopilar datos personales que sean actualizados, necesarios, pertinentes y


adecuados, con relación a finalidades determinadas, explícitas y lícitas para las
que se hayan obtenido.

4. No utilizar los datos personales objeto de tratamiento para finalidades


distintas de aquellas que motivaron su recopilación, salvo que medie
procedimiento de anonimización o disociación.

5. Almacenar los datos personales de manera que se posibilite el ejercicio de los


derechos de su titular.

6. Suprimir y sustituir o, en su caso, completar los datos personales objeto de


tratamiento cuando tenga conocimiento de su carácter inexacto o incompleto,
sin perjuicio de los derechos del titular al respecto.

7. Suprimir los datos personales objeto de tratamiento cuando hayan dejado de


ser necesarios o pertinentes a la finalidad para la cual hubiesen sido recopilados
o hubiese vencido el plazo para su tratamiento, salvo que medie procedimiento
de anonimización o disociación.

8. Proporcionar a la Autoridad Nacional de Protección de Datos Personales la


información relativa al tratamiento de datos personales que esta le requiera y
permitirle el acceso a los bancos de datos personales que administra, para el
ejercicio de sus funciones, en el marco de un procedimiento administrativo en
curso solicitado por la parte afectada.

9. Otras establecidas en esta Ley y en su reglamento.


TÍTULO V
BANCOS DE DATOS PERSONALES

Artículo 29. Creación, modificación o cancelación de bancos de datos


personales
La creación, modificación o cancelación de bancos de datos personales de
administración pública y de administración privada se sujetan a lo que establezca
el reglamento, salvo la existencia de disposiciones especiales contenidas en otras
leyes. En todo caso, se garantiza la publicidad sobre su existencia, finalidad,
identidad y el domicilio de su titular y, de ser el caso, de su encargado.

Artículo 30. Prestación de servicios de tratamiento de datos personales


Cuando, por cuenta de terceros, se presten servicios de tratamiento de datos
personales, estos no pueden aplicarse o utilizarse con un fin distinto al que figura
en el contrato o convenio celebrado ni ser transferidos a otras personas, ni aun
para su conservación.

Una vez ejecutada la prestación materia del contrato o del convenio, según el
caso, los datos personales tratados deben ser suprimidos, salvo que medie
autorización expresa de aquel por cuenta de quien se prestan tales servicios
cuando razonablemente se presuma la posibilidad de ulteriores encargos, en
cuyo caso se pueden conservar con las debidas condiciones de seguridad, hasta
por el plazo que determine el reglamento de esta Ley.

Artículo 31. Códigos de conducta


31.1 Las entidades representativas de los titulares o encargados de tratamiento
de datos personales administración privada pueden elaborar códigos de
conducta que establezcan normas para el tratamiento de datos personales que
tiendan a asegurar y mejorar las condiciones de operación de los sistemas de
información en función de los principios rectores establecidos en esta Ley.

TÍTULO VI
AUTORIDAD NACIONAL DE PROTECCIÓN DE DATOS PERSONALES

Artículo 32. Órgano competente y régimen jurídico


El Ministerio de Justicia, a través de la Dirección Nacional de Justicia, es la
Autoridad Nacional de Protección de Datos Personales. Para el adecuado
desempeño de sus funciones, puede crear oficinas en todo el país.

La Autoridad Nacional de Protección de Datos Personales se rige por lo dispuesto


en esta Ley, en su reglamento y en los artículos pertinentes del Reglamento de
Organización y Funciones del Ministerio de Justicia.

Corresponde a la Autoridad Nacional de Protección de Datos Personales realizar


todas las acciones necesarias para el cumplimiento del objeto y demás
disposiciones de la presente Ley y de su reglamento. Para tal efecto, goza de
potestad sancionadora, de conformidad con la Ley 27444, Ley del Procedimiento
Administrativo General, o la que haga sus veces, así como de potestad coactiva,
de conformidad con la Ley 26979, Ley de Procedimiento de Ejecución Coactiva, o
la que haga sus veces.

La Autoridad Nacional de Protección de Datos Personales debe presentar


periódicamente un informe sobre sus actividades al Ministro de Justicia.

Para el cumplimiento de sus funciones, la Autoridad Nacional de Protección de


Datos Personales cuenta con el apoyo y asesoramiento técnico de la Oficina
Nacional de Gobierno Electrónico e Informática (ONGEI) de la Presidencia del
Consejo de Ministros, o la que haga sus veces.

Artículo 33. Funciones de la Autoridad Nacional de Protección de Datos


Personales
La Autoridad Nacional de Protección de Datos Personales ejerce las funciones
administrativas, orientadoras, normativas, resolutivas, fiscalizadoras y
sancionadoras siguientes:

1. Representar al país ante las instancias internacionales en materia de


protección de datos personales.

2. Cooperar con las autoridades extranjeras de protección de datos personales


para el cumplimiento de sus competencias y generar mecanismos de cooperación
bilateral y multilateral para asistirse entre sí y prestarse debido auxilio mutuo
cuando se requiera.

3. Administrar y mantener actualizado el Registro Nacional de Protección de


Datos Personales.

4. Publicitar, a través del portal institucional, la relación actualizada de bancos


de datos personales de administración pública y privada.

5. Promover campañas de difusión y promoción sobre la protección de datos


personales.

6. Promover y fortalecer una cultura de protección de los datos personales de los


niños y de los adolescentes.

7. Coordinar la inclusión de información sobre la importancia de la vida privada


y de la protección de datos personales en los planes de estudios de todos los
niveles educativos y fomentar, asimismo, la capacitación de los docentes en estos
temas.

8. Supervisar el cumplimiento de las exigencias previstas en esta Ley, para el flujo


transfronterizo de datos personales.
9. Emitir autorizaciones, cuando corresponda, conforme al reglamento de esta
Ley.

10. Absolver consultas sobre protección de datos personales y el sentido de las


normas vigentes en la materia, particularmente sobre las que ella hubiera
emitido.

11. Emitir opinión técnica respecto de los proyectos de normas que se refieran
total o parcialmente a los datos personales, la que es vinculante.

12. Emitir las directivas que correspondan para la mejor aplicación de lo previsto
en esta Ley y en su reglamento, especialmente en materia de seguridad de los
bancos de datos personales, así como supervisar su cumplimiento, en
coordinación con los sectores involucrados.

13. Promover el uso de mecanismos de autorregulación como instrumento


complementario de protección de datos personales.

14. Celebrar convenios de cooperación interinstitucional o internacional con la


finalidad de velar por los derechos de las personas en materia de protección de
datos personales que son tratados dentro y fuera del territorio nacional.

15. Atender solicitudes de interés particular del administrado o general de la


colectividad, así como solicitudes de información.

16. Conocer, instruir y resolver las reclamaciones formuladas por los titulares de
datos personales por la vulneración de los derechos que les conciernen y dictar
las medidas cautelares o correctivas que establezca el reglamento.

17. Velar por el cumplimiento de la legislación vinculada con la protección de


datos personales y por el respeto de sus principios rectores.

18. En el marco de un procedimiento administrativo en curso, solicitado por la


parte afectada, obtener de los titulares de los bancos de datos personales la
información que estime necesaria para el cumplimiento de las normas sobre
protección de datos personales y el desempeño de sus funciones.

19. Supervisar la sujeción del tratamiento de los datos personales que efectúen
el titular y el encargado del banco de datos personales a las disposiciones técnicas
que ella emita y, en caso de contravención, disponer las acciones que
correspondan conforme a ley.

20. Iniciar fiscalizaciones de oficio o por denuncia de parte por presuntos actos
contrarios a lo establecido en la presente Ley y en su reglamento y aplicar las
sanciones administrativas correspondientes, sin perjuicio de las medidas
cautelares o correctivas que establezca el reglamento.
21. Las demás funciones que le asignen esta Ley y su reglamento.

Artículo 34. Registro Nacional de Protección de Datos Personales


Créase el Registro Nacional de Protección de Datos Personales como registro de
carácter administrativo a cargo de la Autoridad Nacional de Protección de Datos
Personales, con la finalidad de inscribir en forma diferenciada, a nivel nacional,
lo siguiente:

1. Los bancos de datos personales de administración pública o privada, así como


los datos relativos a estos que sean necesarios para el ejercicio de los derechos
que corresponden a los titulares de datos personales, conforme a lo dispuesto en
esta Ley y en su reglamento.

El ejercicio de esta función no posibilita el conocimiento del contenido de los


bancos de datos personales por parte de la Autoridad Nacional de Protección de
Datos Personales, salvo procedimiento administrativo en curso.

2. Las comunicaciones de flujo transfronterizo de datos personales.

3. Las sanciones, medidas cautelares o correctivas impuestas por la Autoridad


Nacional de Protección de Datos Personales conforme a esta Ley y a su
reglamento.

Cualquier persona puede consultar en el Registro Nacional de Protección de


Datos Personales la existencia de bancos de datos personales, sus finalidades, así
como la identidad y domicilio de sus titulares y, de ser el caso, de sus encargados”

Artículo 35. Confidencialidad


El personal de la Autoridad Nacional de Protección de Datos Personales está
sujeto a la obligación de guardar confidencialidad sobre los datos personales que
conozca con motivo de sus funciones. Esta obligación subsiste aun después de
finalizada toda relación con dicha autoridad nacional, bajo responsabilidad.

Artículo 36. Recursos de la Autoridad Nacional de Protección de Datos


Personales
Son recursos de la Autoridad Nacional de Protección de Datos Personales los
siguientes:

1. Las tasas por concepto de derecho de trámite de los procedimientos


administrativos y servicios de su competencia.

2. Los montos que recaude por concepto de multas.

3. Los recursos provenientes de la cooperación técnica internacional no


reembolsable.

4. Los legados y donaciones que reciba.


5. Los recursos que se le transfieran conforme a ley.

Los recursos de la Autoridad Nacional de Protección de Datos Personales son


destinados a financiar los gastos necesarios para el desarrollo de sus operaciones
y para su funcionamiento.

TÍTULO VII
INFRACCIONES Y SANCIONES ADMINISTRATIVAS

Artículo 37. Procedimiento sancionador


El procedimiento sancionador se inicia de oficio, por la Autoridad Nacional de
Protección de Datos Personales o por denuncia de parte, ante la presunta
comisión de actos contrarios a lo dispuesto en la presente Ley o en su reglamento,
sin perjuicio del procedimiento seguido en el marco de lo dispuesto en el artículo
24.

Las resoluciones de la Autoridad Nacional de Protección de Datos Personales


agotan la vía administrativa.

Contra las resoluciones de la Autoridad Nacional de Protección de Datos


Personales procede la acción contencioso-administrativa.

Artículo 38. Infracciones


Las infracciones se clasifican en leves, graves y muy graves, las cuales son
tipificadas vía reglamentaria, de acuerdo a lo establecido en el numeral 4) del
artículo 230 de la Ley Nº 27444, Ley del Procedimiento Administrativo General,
mediante Decreto Supremo con el voto aprobatorio del Consejo de Ministros.

Sin perjuicio de las sanciones que en el marco de su competencia imponga la


autoridad competente, esta puede ordenar la implementación de una o más
medidas correctivas, con el objetivo de corregir o revertir los efectos que la
conducta infractora hubiere ocasionado o evitar que ésta se produzca
nuevamente.

Los administrados son responsables objetivamente por el incumplimiento de


obligaciones derivadas de las normas sobre protección de datos personales.

Artículo 39. Sanciones administrativas


En caso de violación de las normas de esta Ley o de su reglamento, la Autoridad
Nacional de Protección de Datos Personales puede aplicar las siguientes multas:

1. Las infracciones leves son sancionadas con una multa mínima desde cero coma
cinco de una unidad impositiva tributaria (UIT) hasta cinco unidades impositivas
tributarias (UIT).
2. Las infracciones graves son sancionadas con multa desde más de cinco
unidades impositivas tributarias (UIT) hasta cincuenta unidades impositivas
tributarias (UIT).

3. Las infracciones muy graves son sancionadas con multa desde más de
cincuenta unidades impositivas tributarias (UIT) hasta cien unidades impositivas
tributarias (UIT).

En ningún caso, la multa impuesta puede exceder del diez por ciento de los
ingresos brutos anuales que hubiera percibido el presunto infractor durante el
ejercicio anterior.

La Autoridad Nacional de Protección de Datos Personales determina la infracción


cometida y el monto de la multa imponible mediante resolución debidamente
motivada. Para la graduación del monto de las multas, se toman en cuenta los
criterios establecidos en el artículo 230, numeral 3), de la Ley 27444, Ley del
Procedimiento Administrativo General, o la que haga sus veces.

La imposición de la multa se efectúa sin perjuicio de las sanciones disciplinarias


sobre el personal de las entidades públicas en los casos de bancos de datos
personales de administración pública, así como de la indemnización por daños y
perjuicios y de las sanciones penales a que hubiera lugar.

Artículo 40. Multas coercitivas


En aplicación de lo dispuesto en el artículo 199 de la Ley 27444, Ley del
Procedimiento Administrativo General, o la que haga sus veces, la Autoridad
Nacional de Protección de Datos Personales puede imponer multas coercitivas
por un monto que no supere las diez unidades impositivas tributarias (UIT), frente
al incumplimiento de las obligaciones accesorias a la sanción, impuestas en el
procedimiento sancionador. Las multas coercitivas se imponen una vez vencido
el plazo de cumplimiento.

La imposición de las multas coercitivas no impide el ejercicio de otro medio de


ejecución forzosa, conforme a lo dispuesto en el artículo 196 de la Ley 27444, Ley
del Procedimiento Administrativo General.

El reglamento de la presente Ley regula lo concerniente a la aplicación de las


multas coercitivas.

DISPOSICIONES COMPLEMENTARIAS FINALES

PRIMERA. Reglamento de la Ley


Para la elaboración del proyecto de reglamento, se constituye una comisión
multisectorial, la que es presidida por la Autoridad Nacional de Protección de
Datos Personales.
El proyecto de reglamento es elaborado en un plazo máximo de ciento veinte días
hábiles, a partir de la instalación de la comisión multisectorial, lo que debe ocurrir
en un plazo no mayor de quince días hábiles, contado a partir del día siguiente de
la publicación de la presente Ley.

SEGUNDA. Directiva de seguridad


La Autoridad Nacional de Protección de Datos Personales elabora la directiva de
seguridad de la información administrada por los bancos de datos personales en
un plazo no mayor de ciento veinte días hábiles, contado a partir del día siguiente
de la publicación de la presente Ley.

En tanto se apruebe y rija la referida directiva, se mantienen vigentes las


disposiciones sectoriales sobre la materia.

TERCERA. Adecuación de documentos de gestión y del Texto Único de


Procedimientos Administrativos del Ministerio de Justicia
Estando a la creación de la Autoridad Nacional de Protección de Datos
Personales, en un plazo máximo de ciento veinte días hábiles, contado a partir
del día siguiente de la publicación de la presente Ley, el Ministerio de Justicia
elabora las modificaciones pertinentes en sus documentos de gestión y en su
Texto Único de Procedimientos Administrativos.

CUARTA. Adecuación normativa


Dentro del plazo de sesenta días hábiles, el Poder Ejecutivo remite al Congreso de
la República un proyecto de ley que contenga las modificaciones necesarias a las
leyes existentes a efectos de su adecuación a la presente Ley.

Para las normas de rango inferior, las entidades públicas competentes revisan la
normativa correspondiente y elaboran las propuestas necesarias para su
adecuación a lo dispuesto en esta Ley.

En ambos casos se requiere la opinión técnica favorable previa de la Autoridad


Nacional de Protección de Datos Personales, de conformidad con el artículo 33
numeral 11.

QUINTA. Bancos de datos personales preexistentes


Los bancos de datos personales creados con anterioridad a la presente Ley y sus
respectivos reglamentos deben adecuarse a esta norma dentro del plazo que
establezca el reglamento. Sin perjuicio de ello, sus titulares deben declararlos
ante la Autoridad Nacional de Protección de Datos Personales, con sujeción a lo
dispuesto en el artículo 29.

SEXTA. Hábeas data


Las normas establecidas en el Código Procesal Constitucional sobre el proceso de
hábeas data se aplican en el ámbito constitucional, independientemente del
ámbito administrativo materia de la presente Ley. El procedimiento
administrativo establecido en la presente Ley no constituye vía previa para el
ejercicio del derecho vía proceso constitucional.

SÉTIMA. Competencias del Instituto Nacional de Defensa de la Competencia y


de la Protección de la Propiedad Intelectual (Indecopi)
La Autoridad Nacional de Protección de Datos Personales es competente para
salvaguardar los derechos de los titulares de la información administrada por las
Centrales Privadas de Información de Riesgos (Cepirs) o similares conforme a los
términos establecidos en la presente Ley.

Sin perjuicio de ello, en materia de infracción a los derechos de los consumidores


en general mediante la prestación de los servicios e información brindados por
las Cepirs o similares, en el marco de las relaciones de consumo, son aplicables
las normas sobre protección al consumidor, siendo el ente competente de manera
exclusiva y excluyente para la supervisión de su cumplimiento la Comisión de
Protección al Consumidor del Instituto Nacional de Defensa de la Competencia y
de la Protección de la Propiedad Intelectual (Indecopi), la que debe velar por la
idoneidad de los bienes y servicios en función de la información brindada a los
consumidores.

OCTAVA. Información sensible


Para los efectos de lo dispuesto en la Ley 27489, Ley que Regula las Centrales
Privadas de Información de Riesgos y de Protección al Titular de la Información,
se entiende por información sensible la definida como dato sensible por la
presente Ley.

Igualmente, precísase que la información confidencial a que se refiere el numeral


5) del artículo 17 del Texto Único Ordenado de la Ley 28706, Ley de Transparencia
y Acceso a la Información Pública, constituye dato sensible conforme a los
alcances de esta Ley.

NOVENA. Inafectación de facultades de la administración tributaria


Lo dispuesto en la presente Ley no se debe interpretar en detrimento de las
facultades de la administración tributaria respecto de la información que obre y
requiera para sus registros, o para el cumplimiento de sus funciones.

DÉCIMA. Financiamiento
La realización de las acciones necesarias para la aplicación de la presente Ley se
ejecuta con cargo al presupuesto institucional del pliego Ministerio de Justicia y
de los recursos a los que hace referencia el artículo 36, sin demandar recursos
adicionales al Tesoro Público.

DUODÉCIMA. Vigencia de la Ley


La presente Ley entra en vigencia conforme a lo siguiente:

1. Las disposiciones previstas en el Título II, en el primer párrafo del artículo 32 y


en las primera, segunda, tercera, cuarta, novena y décima disposiciones
complementarias finales rigen a partir del día siguiente de la publicación de esta
Ley.
2. Las demás disposiciones rigen en el plazo de treinta días hábiles, contado a
partir de la publicación del reglamento de la presente Ley.
5. Reglamento de la Ley de Datos Personales (DS 003-2013-JUS modificado por DS 019-
2017-JUS)

Índice
Título I Disposiciones generales.
Título II Principios rectores.
Título III Tratamiento de datos personales.
Capítulo I Consentimiento.
Capítulo II Limitaciones al consentimiento.
Capítulo III Transferencia de datos personales.
Capítulo IV Tratamientos especiales de datos
personales.
Capítulo V Medidas de seguridad.
Título IV Derechos del titular de datos
personales.
Capítulo I Disposiciones generales.
Capítulo II Disposiciones especiales.
Capítulo III Procedimiento de tutela.
Título V Registro Nacional de Protección de
Datos Personales.
Capítulo I Disposiciones generales.
Capítulo II Procedimiento de inscripción.
Capítulo III Procedimiento de inscripción de los
códigos de conducta.
Título VI Infracciones y sanciones.
Capítulo I Procedimiento fi scalizador.
Capítulo II Procedimiento sancionador.
Capítulo III Sanciones.
Capítulo IV Infracciones
Disposiciones Complementarias Finales y Transitorias

TÍTULO I
Disposiciones generales

Artículo 1.- Objeto.


El presente reglamento tiene por objeto desarrollar la Ley Nº 29733, Ley de
Protección de Datos Personales, en adelante la Ley, a fi n de garantizar el derecho
fundamental a la protección de datos personales, regulando un adecuado
tratamiento, tanto por las entidades públicas, como por las instituciones
pertenecientes al sector privado. Sus disposiciones constituyen normas de orden
público y de cumplimiento obligatorio.

Artículo 2.- Definiciones.


Para los efectos de la aplicación del presente reglamento, sin perjuicio de las
definiciones contenidas en la Ley, complementariamente, se entiende las
siguientes definiciones:
1. Banco de datos personales no automatizado: Conjunto de datos de personas
naturales no computarizado y estructurado conforme a criterios específicos, que
permita acceder sin esfuerzos desproporcionados a los datos personales, ya sea
aquel centralizado, descentralizado o repartido de forma funcional o geográfica.
.
2. Bloqueo: Es la medida por la que el encargado del banco de datos personales
impide el acceso de terceros a los datos y éstos no pueden ser objeto de
tratamiento, durante el periodo en que se esté procesando alguna solicitud de
actualización, inclusión, rectificación o supresión, en concordancia con lo que
dispone el tercer párrafo del artículo 20 de la Ley.
Se dispone también como paso previo a la cancelación por el tiempo necesario
para determinar posibles responsabilidades en relación a los tratamientos,
durante el plazo de prescripción legal o previsto contractualmente.

3. Cancelación: Es la acción o medida que en la Ley se describe como supresión,


cuando se refiere a datos personales, que consiste en eliminar o suprimir los datos
personales de un banco de datos.

4. Datos personales: Es aquella información numérica, alfabética, gráfica,


fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo
concerniente a las personas naturales que las identifica o las hace identificables
a través de medios que puedan ser razonablemente utilizados.

5. Datos personales relacionados con la salud: Es aquella información


concerniente a la salud pasada, presente o pronosticada, física o mental, de una
persona, incluyendo el grado de discapacidad y su información genética.

6. Datos sensibles: Es aquella información relativa a datos personales referidos


a las características físicas, morales o emocionales, hechos o circunstancias de su
vida afectiva o familiar, los hábitos personales que corresponden a la esfera más
íntima, la información relativa a la salud física o mental u otras análogas que
afecten su intimidad.

7. Días: Días hábiles.

8. Dirección General de Protección de Datos Personales: Es el órgano encargado


de ejercer la Autoridad Nacional de Protección de Datos Personales a que se
refiere el artículo 32 de la Ley, pudiendo usarse indistintamente cualquiera de
dichas denominaciones.

9. Emisor o exportador de datos personales: Es el titular del banco de datos


personales o aquél que resulte responsable del tratamiento situado en el Perú
que realice, conforme a lo dispuesto en el presente reglamento, una transferencia
de datos personales a otro país.

10. Encargado del tratamiento: Es quien realiza el tratamiento de los datos


personales, pudiendo ser el propio titular del banco de datos personales o el
encargado del banco de datos personales u otra persona por encargo del titular
del banco de datos personales en virtud de una relación jurídica que le vincula
con el mismo y delimita el ámbito de su actuación. Incluye a quien realice el
tratamiento de datos personales por orden del responsable del tratamiento
cuando este se realice sin la existencia de un banco de datos personales.

11. Receptor o importador de datos personales: Es toda persona natural o


jurídica de derecho privado, incluyendo las sucursales, filiales, vinculadas o
similares; o entidades públicas, que recibe los datos en caso de transferencia
internacional, ya sea como titular o encargado del banco de datos personales, o
como tercero.

12. Rectificación: Es aquella acción genérica destinada a afectar o modificar un


banco de datos personales ya sea para actualizarlo incluir información en él o
específicamente rectificar su contenido con datos exactos.

13. Repertorio de jurisprudencia: Es el banco de resoluciones judiciales o


administrativas que se organizan como fuente de consulta y destinadas al
conocimiento público.

14. Responsable del tratamiento: Es aquél que decide sobre el tratamiento de


datos personales, aun cuando no se encuentren en un banco de datos personales
.
15. Tercero: Es toda persona natural, persona jurídica de derecho privado o
entidad pública, distinta del titular de datos personales, del titular o encargado
del banco de datos personales y del responsable del tratamiento, incluyendo a
quienes tratan los datos bajo autoridad directa de aquellos.
La referencia a “tercero” que hace el artículo 30 de la Ley constituye una
excepción al significado previsto en este numeral.

Artículo 3.- Ámbito de aplicación.


El presente reglamento es de aplicación al tratamiento de los datos personales
contenidos en un banco de datos personales o destinados a ser contenidos en
bancos de datos personales.

Conforme a lo dispuesto por el numeral 6 del artículo 2 de la Constitución Política


del Perú y el artículo 3 de la Ley, el presente reglamento se aplicará a toda
modalidad de tratamiento de datos personales, ya sea efectuado por personas
naturales, entidades públicas o instituciones del sector privado e
independientemente del soporte en el que se encuentren.

La existencia de normas o regímenes particulares o especiales, aun cuando


incluyan regulaciones sobre datos personales, no excluye a las entidades públicas
o instituciones privadas a las que dichos regímenes se aplican del ámbito de
aplicación de la Ley y del presente reglamento.
Lo dispuesto en el párrafo precedente no implica la derogatoria o inaplicación de
las normas particulares, en tanto su aplicación no genere la afectación del
derecho a la protección de datos personales.

Artículo 4.- Excepciones al ámbito de aplicación.


Las disposiciones de este reglamento no serán de aplicación a:

1. El tratamiento de datos personales realizado por personas naturales para fines


exclusivamente domésticos, personales o relacionados con su vida privada o
familiar.

2. Los contenidos o destinados a ser contenidos en bancos de datos personales


de la administración pública, solo en tanto su tratamiento resulte necesario para
el estricto cumplimiento de competencias asignadas por ley a las respectivas
entidades públicas siempre que tengan por objeto:

2.1 La defensa nacional.


2.2 La seguridad pública y,
2.3 El desarrollo de actividades en materia penal para la investigación y
represión del delito.

Artículo 5.- Ámbito de aplicación territorial.


Las disposiciones de la Ley y del presente reglamento son de aplicación al
tratamiento de datos personales cuando:

1. Sea efectuado en un establecimiento ubicado en territorio peruano


correspondiente al titular del banco de datos personales o de quien resulte
responsable del tratamiento.

2. Sea efectuado por un encargado del tratamiento, con independencia de su


ubicación, a nombre de un titular de banco de datos personales establecido en
territorio peruano o de quien sea el responsable del tratamiento.

3. El titular del banco de datos personales o quien resulte responsable del


tratamiento no esté establecido en territorio peruano, pero le resulte aplicable la
legislación peruana, por disposición contractual o del derecho internacional; y

4. El titular del banco de datos personales o quien resulte responsable no esté


establecido en territorio peruano, pero utilice medios situados en dicho territorio,
salvo que tales medios se utilicen únicamente con fines de tránsito que no
impliquen un tratamiento.

Para estos efectos, el responsable deberá proveer los medios que resulten
necesarios para el efectivo cumplimiento de las obligaciones que imponen la Ley
y el presente reglamento y designará un representante o implementar los
mecanismos suficientes para estar en posibilidades de cumplir de manera
efectiva, en territorio peruano, con las obligaciones que impone la legislación
peruana.

Cuando el titular del banco de datos personales o quien resulte el responsable del
tratamiento no se encuentre establecido en territorio peruano, pero el encargado
del tratamiento lo esté, a este último le serán aplicables las disposiciones
relativas a las medidas de seguridad contenidas en el presente reglamento.

En el caso de personas naturales, el establecimiento se entenderá como el local


en donde se encuentre el principal asiento de sus negocios, o el que utilicen para
el desempeño de sus actividades o su domicilio.

Tratándose de personas jurídicas, se entenderá como el establecimiento el local


en el que se encuentre la administración principal del negocio. Si se trata de
personas jurídicas residentes en el extranjero, se entenderá que es el local en el
que se encuentre la administración principal del negocio en territorio peruano, o
en su defecto el que designen, o cualquier instalación estable que permita el
ejercicio efectivo o real de una actividad.

Si no fuera posible establecer la dirección del domicilio o del establecimiento, se


le considerará con domicilio desconocido en territorio peruano.

TÍTULO II
Principios rectores

Artículo 6.- Principios rectores.


El titular del banco de datos personales, o en su caso, quien resulte responsable
del tratamiento, debe cumplir con los principios rectores de la protección de datos
personales, de conformidad con lo establecido en la Ley, aplicando los criterios
de desarrollo que se establecen en el presente título del reglamento.

Artículo 7.- Principio de consentimiento.


En atención al principio de consentimiento, el tratamiento de los datos personales
es lícito cuando el titular del dato personal hubiere prestado su consentimiento
libre, previo, expreso, informado e inequívoco. No se admiten fórmulas de
consentimiento en las que éste no sea expresado de forma directa, como aquellas
en las que se requiere presumir, o asumir la existencia de una voluntad que no ha
sido expresa. Incluso el consentimiento prestado con otras declaraciones, deberá
manifestarse en forma expresa y clara.

Artículo 8.- Principio de finalidad.


En atención al principio de finalidad se considera que una finalidad está
determinada cuando haya sido expresada con claridad, sin lugar a confusión y
cuando de manera objetiva se especifica el objeto que tendrá el tratamiento de
los datos personales.
Tratándose de banco de datos personales que contengan datos sensibles, su
creación solo puede justificarse si su finalidad además de ser legítima, es concreta
y acorde con las actividades o fines explícitos del titular del banco de datos
personales.

Los profesionales que realicen el tratamiento de algún dato personal, además de


estar limitados por la finalidad de sus servicios, se encuentran obligados a
guardar secreto profesional.

Artículo 9.- Principio de calidad.


En atención al principio de calidad, los datos contenidos en un banco de datos
personales, deben ajustarse con precisión a la realidad. Se presume que los datos
directamente facilitados por el titular de los mismos son exactos.

Artículo 10.- Principio de seguridad.


En atención al principio de seguridad, en el tratamiento de los datos personales
deben adoptarse las medidas de seguridad que resulten necesarias a fi n de evitar
cualquier tratamiento contrario a la Ley o al presente reglamento, incluyéndose
en ellos a la adulteración, la pérdida, las desviaciones de información,
intencionales o no, ya sea que los riesgos provengan de la acción humana o del
medio técnico utilizado.

TÍTULO III
Tratamiento de datos personales

Capítulo I
Consentimiento

Artículo 11.- Disposiciones generales sobre el consentimiento para el


tratamiento de datos personales.
El titular del banco de datos personales o quien resulte como responsable del
tratamiento, deberá obtener el consentimiento para el tratamiento de los datos
personales, de conformidad con lo establecido en la Ley y en el presente
reglamento, salvo los supuestos establecidos en el artículo 14 de la Ley, en cuyo
numeral 1) queda comprendido el tratamiento de datos personales que resulte
imprescindible para ejecutar la interoperabilidad entre las entidades públicas.

La solicitud del consentimiento deberá estar referida a un tratamiento o serie de


tratamientos determinados, con expresa identificación de la finalidad o
finalidades para las que se recaban los datos; así como las demás condiciones
que concurran en el tratamiento o tratamientos, sin perjuicio de lo dispuesto en
el artículo siguiente sobre las características del consentimiento.

Cuando se solicite el consentimiento para una forma de tratamiento que incluya


o pueda incluir la transferencia nacional o internacional de los datos, el titular de
los mismos deberá ser informado de forma que conozca inequívocamente tal
circunstancia, además de la finalidad a la que se destinarán sus datos y el tipo de
actividad desarrollada por quien recibirá los mismos.

Artículo 12.- Características del consentimiento.


Además de lo dispuesto en el artículo 18 de la Ley y en el artículo precedente del
presente reglamento, la obtención del consentimiento debe ser:

1. Libre: Sin que medie error, mala fe, violencia o dolo que puedan afectar la
manifestación de voluntad del titular de los datos personales.

La entrega de obsequios o el otorgamiento de beneficios al titular de los datos


personales con ocasión de su consentimiento no afectan la condición de libertad
que tiene para otorgarlo, salvo en el caso de menores de edad, en los supuestos
en que se admite su consentimiento, en que no se considerará libre el
consentimiento otorgado mediando obsequios o beneficios.

El condicionamiento de la prestación de un servicio, o la advertencia o amenaza


de denegar el acceso a beneficios o servicios que normalmente son de acceso no
restringido, sí afecta la libertad de quien otorga consentimiento para el
tratamiento de sus datos personales, si los datos solicitados no son
indispensables para la prestación de los beneficios o servicios.

2. Previo: Con anterioridad a la recopilación de los datos o en su caso, anterior al


tratamiento distinto a aquel por el cual ya se recopilaron.

3. Expreso e Inequívoco: Cuando el consentimiento haya sido manifestado en


condiciones que no admitan dudas de su otorgamiento.

Se considera que el consentimiento expreso se otorgó verbalmente cuando el


titular lo exterioriza oralmente de manera presencial o mediante el uso de
cualquier tecnología que permita la interlocución oral.

Se considera consentimiento escrito a aquél que otorga el titular mediante un


documento con su firma autógrafa, huella dactilar o cualquier otro mecanismo
autorizado por el ordenamiento jurídico que queda o pueda ser impreso en una
superficie de papel o similar.

La condición de expreso no se limita a la manifestación verbal o escrita.

En sentido restrictivo y siempre de acuerdo con lo dispuesto por el artículo 7 del


presente reglamento, se considerará consentimiento expreso a aquel que se
manifieste mediante la conducta del titular que evidencie que ha consentido
inequívocamente, dado que de lo contrario su conducta, necesariamente, hubiera
sido otra.
Tratándose del entorno digital, también se considera expresa la manifestación
consistente en “hacer clic”, “cliquear” o “pinchar”, “dar un toque”, “touch” o
“pad” u otros similares.

En este contexto el consentimiento escrito podrá otorgarse mediante firma


electrónica, mediante escritura que quede grabada, de forma tal que pueda ser
leída e impresa, o que por cualquier otro mecanismo o procedimiento establecido
permita identificar al titular y recabar su consentimiento, a través de texto
escrito. También podrá otorgarse mediante texto preestablecido, fácilmente
visible, legible y en lenguaje sencillo, que el titular pueda hacer suyo, o no,
mediante una respuesta escrita, gráfica o mediante clic o pinchado.

La sola conducta de expresar voluntad en cualquiera de las formas reguladas en


el presente numeral no elimina, ni da por cumplidos, los otros requisitos del
consentimiento referidos a la libertad, oportunidad e información.

4. Informado: Cuando al titular de los datos personales se le comunique clara,


expresa e indubitablemente, con lenguaje sencillo, cuando menos de lo siguiente:

a. La identidad y domicilio o dirección del titular del banco de datos personales o


del responsable del tratamiento al que puede dirigirse para revocar el
consentimiento o ejercer sus derechos.
b. La finalidad o fInalidades del tratamiento a las que sus datos serán sometidos.
c. La identidad de los que son o pueden ser sus destinatarios, de ser el caso.
d. La existencia del banco de datos personales en que se almacenarán, cuando
corresponda.
e. El carácter obligatorio o facultativo de sus respuestas al cuestionario que se le
proponga, cuando sea el caso.
f. Las consecuencias de proporcionar sus datos personales y de su negativa a
hacerlo.
g. En su caso, la transferencia nacional e internacional de datos que se efectúen.

Artículo 13.- Políticas de privacidad.


La publicación de políticas de privacidad, de acuerdo a lo previsto en el segundo
párrafo del artículo 18 de la Ley, debe entenderse como una forma de
cumplimiento del deber de información que no exonera del requisito de obtener
el consentimiento del titular de los datos personales.

Artículo 14.- Consentimiento y datos sensibles.


Tratándose de datos sensibles, el consentimiento debe ser otorgado por escrito,
a través de su firma manuscrita, firma digital o cualquier otro mecanismo de
autenticación que garantice la voluntad inequívoca del titular.

Artículo 15.- Consentimiento y carga de la prueba.


Para efectos de demostrar la obtención del consentimiento en los términos
establecidos en la Ley y en el presente reglamento, la carga de la prueba recaerá
en todos los casos en el titular del banco de datos personales o quien resulte el
responsable del tratamiento.

Artículo 16.- Negación, revocación y alcances del consentimiento.


El titular de los datos personales podrá revocar su consentimiento para el
tratamiento de sus datos personales en cualquier momento, sin justificación
previa y sin que le atribuyan efectos retroactivos. Para la revocación del
consentimiento se cumplirán los mismos requisitos observados con ocasión de su
otorgamiento, pudiendo ser estos más simples, si así se hubiera señalado en tal
oportunidad.

El titular de los datos personales podrá negar o revocar su consentimiento al


tratamiento de sus datos personales para finalidades adicionales a aquellas que
dan lugar a su tratamiento autorizado, sin que ello afecte la relación que da lugar
al consentimiento que sí ha otorgado o no ha revocado. En caso de revocatoria,
es obligación de quien efectúa el tratamiento de los datos personales adecuar los
nuevos tratamientos a la revocatoria y los tratamientos que estuvieran en
proceso de efectuarse, en el plazo que resulte de una actuación diligente, que no
podrá ser mayor a cinco (5) días.

Si la revocatoria afecta la totalidad del tratamiento de datos personales que se


venía haciendo, el titular o encargado del banco de datos personales, o en su caso
el responsable del tratamiento, aplicará las reglas de cancelación o supresión de
datos personales.

El titular del banco de datos personales o quien resulte responsable del


tratamiento debe establecer mecanismos fácilmente accesibles e
incondicionales, sencillos, rápidos y gratuitos para hacer efectiva la revocación.

Capítulo II
Limitaciones al consentimiento

Artículo 17.- Fuentes accesibles al público.


Para los efectos del artículo 2, inciso 9) de la Ley, se considerarán fuentes
accesibles al público, con independencia de que el acceso requiera
contraprestación, las siguientes:

1. Los medios de comunicación electrónica, óptica y de otra tecnología, siempre


que el lugar en el que se encuentren los datos personales esté concebido para
facilitar información al público y esté abierto a la consulta general.

2. Las guías telefónicas, independientemente del soporte en el que estén a


disposición y en los términos de su regulación específica.

3. Los diarios y revistas independientemente del soporte en el que estén a


disposición y en los términos de su regulación específica.
4. Los medios de comunicación social.

5. Las listas de personas pertenecientes a grupos profesionales que contengan


únicamente los datos de nombre, título, profesión, actividad, grado académico,
dirección postal, número telefónico, número de fax, dirección de correo
electrónico y aquellos que establezcan su pertenencia al grupo.

En el caso de colegios profesionales, podrán indicarse además los siguientes


datos de sus miembros: número de colegiatura, fecha de incorporación y
situación gremial en relación al ejercicio profesional.

6. Los repertorios de jurisprudencia, debidamente anonimizados.

7. Los Registros Públicos administrados por la Superintendencia Nacional de


Registros Públicos - SUNARP, así como todo otro registro o banco de datos
calificado como público conforme a ley.

8. Las entidades de la Administración Pública, en relación a la información que


deba ser entregada en aplicación de la Ley Nº 27806, Ley de Transparencia y
Acceso a la Información Pública.

Lo dispuesto en el numeral precedente no quiere decir que todo dato personal


contenido en información administrada por las entidades sujetas a la Ley de
Transparencia y Acceso a la Información Pública sea considerado información
pública accesible. La evaluación del acceso a datos personales en posesión de
entidades de administración pública se hará atendiendo a las circunstancias de
cada caso concreto.

El tratamiento de los datos personales obtenidos a través de fuentes de acceso


público deberá respetar los principios establecidos en la Ley y en el presente
reglamento.

Capítulo III
Transferencia de datos personales

Artículo 18.- Disposiciones generales.


La transferencia de datos personales implica la comunicación de datos
personales dentro o fuera del territorio nacional realizada a persona distinta al
titular de los datos personales, al encargado del banco de datos personales o al
encargado del tratamiento de datos personales.

Se denomina flujo transfronterizo de datos personales a la transferencia de datos


personales fuera del territorio nacional.

Aquél a quien se transfieran los datos personales se obliga, por el solo hecho de
la transferencia, a la observancia de las disposiciones de la Ley y del presente
reglamento.
Artículo 19.- Condiciones para la transferencia.
Toda transferencia de datos personales requiere el consentimiento de su titular,
salvo las excepciones previstas en el artículo 14 de la Ley y debe limitarse a la
finalidad que la justifique.

Artículo 20.- Prueba del cumplimiento de las obligaciones en materia de


transferencias.
Para efectos de demostrar que la transferencia se realizó conforme a lo que
establece la Ley y el presente reglamento, la carga de la prueba recaerá, en todos
los casos, en el emisor de datos.

Artículo 21.- Transferencia dentro de un sector o grupo empresarial y código de


conducta.
En el caso de transferencias de datos personales dentro de grupos empresariales,
sociedades subsidiarias afiliadas o vinculadas bajo el control común del mismo
grupo del titular del banco de datos personales o responsable del tratamiento, o
a aquellas afiliadas o vinculadas a una sociedad matriz o a cualquier sociedad del
mismo grupo del titular del banco de datos o responsable del tratamiento, se
cumple con garantizar el tratamiento de datos personales, si se cuenta con un
código de conducta que establezca las normas internas de protección de datos
personales con el contenido previsto por el artículo 31 de la Ley, e inscrito según
lo previsto por los artículos 89 a 97 del presente reglamento.

Artículo 22.- Receptor de los datos personales.


El receptor de los datos personales asume la condición de titular del banco de
datos personales o responsable del tratamiento en lo que se refi ere la Ley y el
presente reglamento, y deberá realizar el tratamiento de los datos personales
cumpliendo lo establecido en la información que el emisor dio de manera previa
al consentimiento recabado del titular de los datos personales.

Artículo 23.- Formalización de las transferencias nacionales.


La transferencia deberá formalizarse mediante mecanismos que permitan
demostrar que el titular del banco de datos personales o el responsable del
tratamiento comunicó al responsable receptor las condiciones en las que el titular
de los datos personales consintió el tratamiento de los mismos.

Artículo 24.- Flujo transfronterizo de datos personales.


Los flujos transfronterizos de datos personales serán posibles cuando el receptor
o importador de los datos personales asuma las mismas obligaciones que
corresponden al titular del banco de datos personales o responsable del
tratamiento que como emisor o exportador transfirió los datos personales.

De conformidad con el artículo 15 de la Ley, además de los supuestos previstos


en el primer y tercer párrafo de dicho artículo, lo dispuesto en el segundo párrafo
del mismo tampoco aplica cuando se traten de datos personales que deriven de
una relación científica o profesional del titular y sean necesarios para su
desarrollo o cumplimiento.

Artículo 25.- Formalización del flujo transfronterizo de datos personales.


Para los efectos del artículo precedente, el emisor o exportador podrá valerse de
cláusulas contractuales u otros instrumentos jurídicos en los que se establezcan
cuando menos las mismas obligaciones a las que se encuentra sujeto, así como
las condiciones en las que el titular consintió el tratamiento de sus datos
personales.

Artículo 26.- Participación de la Dirección General de Protección de Datos


Personales respecto del flujo transfronterizo de datos personales.
Los titulares del banco de datos personales o responsables del tratamiento,
podrán solicitar la opinión de la Dirección General de Protección de Datos
Personales respecto a si el flujo transfronterizo de datos personales que realiza o
realizará cumple con lo dispuesto por la Ley y el presente reglamento.

En cualquier caso, el flujo transfronterizo de datos personales se pondrá en


conocimiento de la Dirección General de Protección de Datos Personales,
incluyendo la información que se requiere para la transferencia de datos
personales y el registro de banco de datos.

Capítulo IV
Tratamientos especiales de datos personales

Artículo 27.- Tratamiento de los datos personales de menores.


Para el tratamiento de los datos personales de un menor de edad, se requerirá el
consentimiento de los titulares de la patria potestad o tutores, según
corresponda.

Artículo 28.- Consentimiento excepcional.


Podrá hacerse tratamiento de los datos personales de mayores de catorce y
menores de dieciocho años con su consentimiento, siempre que la información
proporcionada haya sido expresada en un lenguaje comprensible por ello salvo
en los casos que la ley exija para su otorgamiento la asistencia de los titulares de
la patria potestad o tutela.

En ningún caso el consentimiento para el tratamiento de datos personales de


menores de edad podrá otorgarse para que accedan a actividades, vinculadas
con bienes o servicios que están restringidos para mayores de edad.

Artículo 29.- Prohibición de recopilación.


En ningún caso se podrá recabar de un menor de edad datos que permitan
obtener información sobre los demás miembros de su grupo familiar, como son
los datos relativos a la actividad profesional de sus progenitores, información
económica, datos sociológicos o cualquier otro, sin el consentimiento de los
titulares de tales datos.
Sólo podrá recabarse los datos de identidad y dirección de los padres o de los
tutores con la finalidad de obtener el consentimiento a que se refiere el artículo
27 del presente reglamento.

Artículo 30.- Fomento de la protección.


Es obligación de todos los titulares de bancos de datos personales y
especialmente de las entidades públicas colaborar con el fomento del
conocimiento del derecho a la protección de datos personales de los niños, niñas
y adolescentes, así como de la necesidad de que su tratamiento se realice con
especial responsabilidad y seguridad.

Artículo 31.- Tratamiento de datos personales en el sector comunicaciones y


telecomunicaciones.
Los operadores de los servicios de comunicaciones o telecomunicaciones tienen
la responsabilidad de velar por la confidencialidad, seguridad, uso adecuado e
integridad de los datos personales que obtengan de sus abonados y usuarios, en
el curso de sus operaciones comerciales. En tal sentido, no podrán realizar un
tratamiento de los citados datos personales para finalidades distintas a las
autorizadas por su titular, salvo orden judicial o mandato legal expreso.

Artículo 32.- Confidencialidad y seguridad.


Los operadores de comunicaciones o telecomunicaciones deberán velar por la
confidencialidad, seguridad y uso adecuado de cualquier dato personal obtenido
como consecuencia de su actividad y adoptarán las medidas técnicas, legales y
organizativas, conforme a lo establecido en la Ley y el presente reglamento, sin
perjuicio de las medidas establecidas en las normas del sector de comunicaciones
y telecomunicaciones que no se opongan a lo establecido en la Ley y el presente
reglamento.

Artículo 33.- Tratamiento de los datos personales por medios tecnológicos


tercerizados.
El tratamiento de datos personales por medios tecnológicos tercerizados, entre
los que se encuentran servicios, aplicaciones, infraestructura, entre otros, está
referido a aquellos, en los que el procesamiento es automático, sin intervención
humana.

Para los casos en los que en el tratamiento exista intervención humana se aplican
los artículos 37 y 38.

El tratamiento de datos personales por medios tecnológicos tercerizados, sea


completo o parcial, podrá ser contratado por el responsable del tratamiento de
datos personales siempre y cuando para la ejecución de aquel se garantice el
cumplimiento de lo establecido en la Ley y el presente reglamento.
Artículo 34.- Criterios a considerar para el tratamiento de datos personales por
medios tecnológicos tercerizados.
Al realizar el tratamiento de los datos personales por medios tecnológicos
tercerizados se deberá considerar como prestaciones mínimas las siguientes:

1. Informar con transparencia las subcontrataciones que involucren la


información sobre la que presta el servicio.

2. No incluir condiciones que autoricen o permitan al prestador asumir la


titularidad sobre los bancos de datos personales tratados en la tercerización.

3. Garantizar la confidencialidad respecto de los datos personales sobre los que


preste el servicio.

4. Mantener el control, las decisiones y la responsabilidad sobre el proceso


mediante el cual se realiza el tratamiento de los datos personales.

5. Garantizar la destrucción o la imposibilidad de acceder a los datos personales


después de concluida la prestación.

Artículo 35.- Mecanismos para la prestación del servicio de tratamiento de


datos personales por medios tecnológicos tercerizados.
El prestador del servicio deberá contar con los siguientes mecanismos:

1. Dar a conocer los cambios en sus políticas de privacidad o en las condiciones


del servicio que presta al responsable del tratamiento, para obtener el
consentimiento si ello significara incrementar sus facultades de tratamiento.

2. Permitir al responsable del tratamiento limitar el tipo de tratamiento de los


datos personales sobre los que presta el servicio.

3. Establecer y mantener medidas de seguridad adecuadas para la protección de


los datos personales sobre los que presta el servicio.

4. Garantizar la supresión de los datos personales una vez que haya concluido el
servicio prestado al responsable y que este último los haya podido recuperar.

5. Impedir el acceso a los datos personales a quienes no cuenten con privilegios


de acceso, o bien en caso sea solicitada por la autoridad competente informar de
ese hecho al responsable.

Artículo 36.- Prestación de servicios o tratamiento por encargo.


Para efectos de la Ley, la entrega de datos personales del titular del banco de
datos personales al encargado no constituye transferencia de datos personales.

El encargado del banco de datos personales se encuentra prohibido de transferir


a terceros los datos personales objeto de la prestación de servicios de
tratamiento, a menos que el titular del banco de datos personales que le encargó
el tratamiento lo haya autorizado y el titular del dato personal haya brindado su
consentimiento, en los supuestos que dicho consentimiento sea requerido
conforme a Ley.

El plazo para la conservación de los datos será de dos (2) años contado desde la
finalización del último encargo realizado.

Lo dispuesto en el presente artículo será aplicable, en lo que corresponda, a la


subcontratación de la prestación de servicios de tratamiento de datos personales.

Artículo 37.- Tratamiento a través de subcontratación.


El tratamiento de datos personales puede realizarse por un tercero diferente al
encargado del tratamiento, a través de un convenio o contrato entre estos dos.

Para este supuesto se requerirá de manera previa una autorización por parte del
titular del banco de datos personales o responsable del tratamiento. Dicha
autorización se entenderá también concedida si estaba prevista en el
instrumento jurídico mediante el cual se formalizó la relación entre el responsable
del tratamiento y el encargado del mismo. El tratamiento que haga el
subcontratista se realizará en nombre y por cuenta del responsable del
tratamiento, pero la carga de probar la autorización le corresponde al encargado
del tratamiento.

Artículo 38.- Responsabilidad del tercero subcontratado.


La persona natural o jurídica subcontratada asume las mismas obligaciones que
se establezcan para el encargado del tratamiento en la Ley, el presente
reglamento y demás disposiciones aplicables. Sin embargo, asumirá las
obligaciones del titular del banco de datos personales o encargado del
tratamiento cuando:

1. Destine o utilice los datos personales con una finalidad distinta a la autorizada
por el titular del banco de datos o responsable del tratamiento; o

2. Efectúe una transferencia, incumpliendo las instrucciones del titular del banco
de datos personales, aun cuando sea para la conservación de dichos datos.

Capítulo V
Medidas de seguridad

Artículo 39.- Seguridad para el tratamiento de la información digital.


Los sistemas informáticos que manejen bancos de datos personales deberán
incluir en su funcionamiento:

1. El control de acceso a la información de datos personales incluyendo la gestión


de accesos desde el registro de un usuario, la gestión de los privilegios de dicho
usuario, la identificación del usuario ante el sistema, entre los que se encuentran
usuario-contraseña, uso de certificados digitales, tokens, entre otros, y realizar
una verificación periódica de los privilegios asignados, los cuales deben estar
definidos mediante un procedimiento documentado a fi n de garantizar su
idoneidad.

2. Generar y mantener registros que provean evidencia sobre las interacciones


con los datos lógicos, incluyendo para los fines de la trazabilidad, la información
de cuentas de usuario con acceso al sistema, horas de inicio y cierre de sesión y
acciones relevantes. Estos registros deben ser legibles, oportunos y tener un
procedimiento de disposición, entre los que se encuentran el destino de los
registros, una vez que éstos ya no sean útiles, su destrucción, transferencia,
almacenamiento, entre otros.

Asimismo, se deben establecer las medidas de seguridad relacionadas con los


accesos autorizados a los datos mediante procedimientos de identificación y
autenticación que garanticen la seguridad del tratamiento de los datos
personales.

Artículo 40.- Conservación, respaldo y recuperación de los datos personales.


Los ambientes en los que se procese, almacene o transmita la información
deberán ser implementados, con controles de seguridad apropiados, tomando
como referencia las recomendaciones de seguridad física y ambiental
recomendados en la “NTP ISO/IEC 17799 EDI. Tecnología de la Información.
Código de Buenas Prácticas para la Gestión de Seguridad de la Información.” 1en
la edición que se encuentre vigente.

Adicionalmente, se deben contemplar los mecanismos de respaldo de seguridad


de la información de la base de datos personales con un procedimiento que
contemple la verificación de la integridad de los datos almacenados en el
respaldo, incluyendo cuando sea pertinente, la recuperación completa ante una
interrupción o daño, garantizando el retorno al estado en el que se encontraba al
momento en que se produjo la interrupción o daño.

Artículo 41.- Transferencia lógica o electrónica de los datos personales.


El intercambio de datos personales desde los ambientes de procesamiento o
almacenamiento hacia cualquier destino fuera de las instalaciones físicas de la
entidad, solo procederá con la autorización del titular del banco de datos
personales y se hará utilizando los medios de transporte autorizados por el
mismo, tomando las medidas necesarias, entre las que se encuentran cifrado de
datos, firmas digitales, información, checksum de verificación, entre otros,
destinados a evitar el acceso no autorizado, pérdida o corrupción durante el
tránsito hacia su destino.

1
La norma vigente es la ISO 27001, sin embargo este artículo solo habla de la ISO 17799 y actualizaciones.
Es claro que la ISO 27001 va mas alla de lo que iba la ISO 17799.
Artículo 42.- Almacenamiento de documentación no automatizada.
Los armarios, archivadores u otros elementos en los que se almacenen
documentos no automatizados con datos personales deberán encontrarse en
áreas en las que el acceso esté protegido con puertas de acceso dotadas de
sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas
deberán permanecer cerradas cuando no sea preciso el acceso a los documentos
incluidos en el banco de datos.

Si por las características de los locales que se dispusiera no fuera posible cumplir
lo establecido en el apartado anterior, se adoptarán las medidas alternativas,
conforme a las directivas de la Dirección General de Protección de Datos
Personales.

Artículo 43.- Copia o reproducción.


La generación de copias o la reproducción de los documentos únicamente podrán
ser realizadas bajo el control del personal autorizado.
Deberá procederse a la destrucción de las copias o reproducciones desechadas de
forma que se evite el acceso a la información contenida en las mismas o su
recuperación posterior.

Artículo 44.- Acceso a la documentación.


El acceso a la documentación se limitará exclusivamente al personal autorizado.

Se establecerán mecanismos que permitan identificar los accesos realizados en el


caso de documentos que puedan ser utilizados por múltiples usuarios.

El acceso de personas no incluidas en el párrafo anterior deberá quedar


adecuadamente registrado de acuerdo a las directivas de seguridad que emita la
Dirección General de Protección de Datos Personales.

Artículo 45.- Traslado de documentación no automatizada.


Siempre que se proceda al traslado físico de la documentación contenida en un
banco de datos, deberán adoptarse medidas dirigidas a impedir el acceso o
manipulación de la información objeto de traslado.

Artículo 46.- Prestaciones de servicios sin acceso a datos personales.


El responsable o el encargado de la información o tratamiento adoptarán las
medidas adecuadas para limitar el acceso del personal a datos personales, a los
soportes que los contengan o a los recursos del sistema de información, para la
realización de trabajos que no impliquen el tratamiento de datos personales.

Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá


expresamente la prohibición de acceder a los datos personales y la obligación de
secreto respecto a los datos que el personal hubiera podido conocer con motivo
de la prestación del servicio.
TÍTULO IV
Derechos del titular de datos personales

Capítulo I
Disposiciones generales

Artículo 47.- Carácter personal.


Los derechos de información, acceso, rectificación, cancelación, oposición y
tratamiento objetivo de datos personales sólo pueden ser ejercidos por el titular
de datos personales, sin perjuicio de las normas que regulan la representación.

Artículo 48.- Ejercicio de los derechos del titular de datos personales.


El ejercicio de alguno o algunos de los derechos no excluye la posibilidad de
ejercer alguno o algunos de los otros, ni puede ser entendido como requisito
previo para el ejercicio de cualquiera de ellos.

Artículo 49.- Legitimidad para ejercer los derechos.


El ejercicio de los derechos contenidos en el presente título se realiza:

1. Por el titular de datos personales, acreditando su identidad y presentando


copia del Documento Nacional de Identidad o documento equivalente.

El empleo de la firma digital conforme a la normatividad vigente, sustituye la


presentación del Documento Nacional de Identidad y su copia.

2. Mediante representante legal acreditado como tal.

3. Mediante representante expresamente facultado para el ejercicio del derecho,


adjuntando la copia de su Documento Nacional de Identidad o documento
equivalente, y del título que acredite la representación.

Cuando el titular del banco de datos personales sea una entidad pública, podrá
acreditarse la representación por cualquier medio válido en derecho que deje
constancia fidedigna, conforme al artículo 115 de la Ley Nº 27444, Ley del
Procedimiento Administrativo General.

4. En caso se opte por el procedimiento señalado en el artículo 51 del presente


reglamento, la acreditación de la identidad del titular se sujetará a lo dispuesto
en dicha disposición.

Artículo 50.- Requisitos de la solicitud.


El ejercicio de los derechos se lleva a cabo mediante solicitud dirigida al titular
del banco de datos personales o responsable del tratamiento, la misma que
contendrá:

1. Nombres y apellidos del titular del derecho y acreditación de los mismos, y en


su caso de su representante conforme al artículo precedente.
2. Petición concreta que da lugar a la solicitud.
3. Domicilio, o dirección que puede ser electrónica, a efectos de las notificaciones
que correspondan.
4. Fecha y firma del solicitante.
5. Documentos que sustenten la petición, de ser el caso.
6. Pago de la contraprestación, tratándose de entidades públicas siempre que lo
tengan previsto en sus procedimientos de fecha anterior a la vigencia del
presente reglamento.

Artículo 51.- Servicios de atención al público.


Cuando el titular del banco de datos personales o responsable del tratamiento
disponga de servicios de cualquier naturaleza para la atención a su público o el
ejercicio de reclamaciones relacionadas con el servicio prestado o productos
ofertados, podrá también atender las solicitudes para el ejercicio de los derechos
comprendidos en el presente título a través de dichos servicios, siempre que los
plazos no sean mayores a los establecidos en el presente reglamento.

En este caso, la identidad del titular de datos personales se considera acreditada


por los medios establecidos por el titular del banco de datos personales o
responsable del tratamiento para la identificación de aquél, siempre que se
acredite la misma, conforme a la naturaleza de la prestación del servicio o
producto ofertado.

Artículo 52.- Recepción y subsanación de la petición.


Deben ser recibidas todas las solicitudes presentadas, dejándose constancia de
su recepción por parte del titular del banco de datos personales o responsable del
tratamiento. En caso de que la solicitud no cumpla con los requisitos señalados
en el artículo anterior, el titular del banco de datos personales o responsable de
su tratamiento, en un plazo de cinco (5) días, contado desde el día siguiente de la
recepción de la solicitud, formula las observaciones por incumplimiento que no
puedan ser salvadas de oficio, invitando al titular a subsanarlas dentro de un
plazo máximo de cinco (5) días.

Transcurrido el plazo señalado sin que ocurra la subsanación se tendrá por no


presentada la solicitud.

Las entidades públicas aplican el artículo 126 de la Ley Nº 27444, Ley del
Procedimiento Administrativo General, sobre observaciones a la documentación
presentada.

Artículo 53.- Facilidades para el ejercicio del derecho.


El titular del banco de datos personales o responsable del tratamiento está
obligado a establecer un procedimiento sencillo para el ejercicio de los derechos.
Sin perjuicio de lo señalado e independientemente de los medios o mecanismos
que la Ley y el presente reglamento establezcan para el ejercicio de los derechos
correspondientes al titular de datos personales, el titular del banco de datos
personales o el responsable del tratamiento, podrá ofrecer mecanismos que
faciliten el ejercicio de tales derechos en beneficio del titular de datos personales.

Para efectos de la contraprestación que debe abonar el titular de datos


personales para el ejercicio de sus derechos ante la administración pública se
estará a lo dispuesto en el primer párrafo del artículo 26 de la Ley.

El ejercicio por el titular de datos personales de sus derechos ante los bancos de
datos personales de administración privada será de carácter gratuito, salvo lo
establecido en normas especiales de la materia. En ningún caso el ejercicio de
estos derechos implicará ingreso adicional para el titular del banco de datos
personales o responsable del tratamiento ante el cual se ejercen.

No se podrá establecer como medios para el ejercicio de los derechos ninguno


que implique el cobro de una tarifa adicional al solicitante o cualquier otro medio
que suponga un costo excesivo.

Artículo 54.- Forma de la respuesta.


El titular del banco de datos personales o responsable del tratamiento deberá dar
respuesta a la solicitud en la forma y plazo establecido en el presente reglamento,
con independencia de que figuren o no datos personales del titular de los mismos
en los bancos de datos personales que administre.

La respuesta al titular de datos personales deberá referirse únicamente a


aquellos datos que específicamente se hayan indicado en su solicitud y deberá
presentarse en forma clara, legible, comprensible y de fácil acceso.

En caso de ser necesario el empleo de claves o códigos, deberán proporcionarse


los significados correspondientes.

Corresponderá al titular del banco de datos personales o responsable del


tratamiento la prueba del cumplimiento del deber de respuesta, debiendo
conservar los medios para hacerlo. Lo señalado será de aplicación, en lo que fuera
pertinente, para acreditar la realización de lo establecido en el segundo párrafo
del artículo 20 de la Ley.

Artículo 55.- Plazos de respuesta.


1. El plazo máximo de respuesta del titular del banco de datos personales o
responsable del tratamiento ante el ejercicio del derecho de información será de
ocho (08) días contados desde el día siguiente de la presentación de la solicitud
correspondiente.

2. El plazo máximo para la respuesta del titular del banco de datos personales o
responsable del tratamiento ante el ejercicio del derecho de acceso será de veinte
(20) días contados desde el día siguiente de la presentación de la solicitud por el
titular de datos personales.
Si la solicitud fuera estimada y el titular del banco de datos personales o
responsable del tratamiento no acompañase a su respuesta la información
solicitada, el acceso será efectivo dentro de los diez (10) días siguientes a dicha
respuesta.

3. Tratándose del ejercicio de los otros derechos como los de rectificación,


cancelación u oposición, el plazo máximo de respuesta del titular del banco de
datos personales o responsable del tratamiento será de diez (10) días contados
desde el día siguiente de la presentación de la solicitud correspondiente.

Artículo 56.- Requerimiento de información adicional.


En el caso que la información proporcionada en la solicitud sea insuficiente o
errónea de forma que no permita su atención, el titular del banco de datos
personales podrá requerir dentro de los siete (7) días siguientes de recibida la
solicitud, documentación adicional al titular de los datos personales para
atenderla.

En un plazo de diez (10) días de recibido el requerimiento, contado desde el día


siguiente de la recepción del mismo, el titular de datos personales acompañará
la documentación adicional que estime pertinente para fundamentar su solicitud.
En caso contrario, se tendrá por no presentada dicha solicitud.

Artículo 57.- Ampliación de los plazos.


Salvo el plazo establecido para el ejercicio del derecho de información, los plazos
que correspondan para la respuesta o la atención de los demás derechos, podrán
ser ampliados una sola vez, y por un plazo igual, como máximo, siempre y cuando
las circunstancias lo justifiquen.

La justificación de la ampliación del plazo deberá comunicarse al titular del dato


personal dentro del plazo que se pretenda ampliar.

Artículo 58.- Aplicación de legislación específica.


Cuando las disposiciones aplicables a determinados bancos de datos personales
conforme a la legislación especial que los regule establezcan un procedimiento
específico para el ejercicio de los derechos regulados en el presente título, serán
de aplicación las mismas en cuanto ofrezcan iguales o mayores garantías al
titular de los datos personales y no contravengan lo dispuesto en la Ley y el
presente reglamento.

Artículo 59.- Denegación parcial o total ante el ejercicio de un derecho.


La respuesta total o parcialmente negativa por parte del titular del banco de
datos personales o del responsable del tratamiento ante la solicitud de un
derecho del titular de datos personales, debe estar debidamente justificada y
debe señalar el derecho que le asiste al mismo para recurrir ante la Dirección
General de Protección de Datos Personales en vía de reclamación, en los términos
del artículo 24 de la Ley y del presente reglamento.
Capítulo II
Disposiciones especiales

Artículo 60.- Derecho a la información.


El titular de datos personales tiene derecho, en vía de acceso, a que se le brinde
toda la información señalada en el artículo 18 de la Ley y el numeral 4 del artículo
12 del presente reglamento.

La respuesta contendrá los extremos previstos en los artículos citados en el


párrafo anterior, salvo que el titular haya solicitado la información referida sólo
a alguno de ellos.

Será de aplicación para la respuesta al ejercicio del derecho a la información, en


lo que fuere pertinente, lo establecido en los artículos 62 y 63 del presente
reglamento.

Artículo 61.- Derecho de acceso.


Sin perjuicio de lo señalado en el artículo 19 de la Ley, el titular de los datos
personales tiene derecho a obtener del titular del banco de datos personales o
responsable del tratamiento la información relativa a sus datos personales, así
como a todas las condiciones y generalidades del tratamiento de los mismos.

Artículo 62.- Medios para el cumplimiento del derecho de acceso.


La información correspondiente al derecho de acceso, a opción del titular de los
datos personales, podrá suministrarse por escrito, por medios electrónicos,
telefónicos, de imagen u otro idóneo para tal fin.

El titular de los datos personales podrá optar a través de algunos o varios de las
siguientes formas:

1. Visualización en sitio.
2. Escrito, copia, fotocopia o facsímil.
3. Transmisión electrónica de la respuesta, siempre que esté garantizada la
identidad del interesado y la confidencialidad, integridad y recepción de la
información.
4. Cualquier otra forma o medio que sea adecuado a la configuración o
implantación material del banco de datos personales o a la naturaleza del
tratamiento, establecido por el titular del banco de datos personales o
responsable del tratamiento.

Cualquiera sea la forma a emplear, el acceso debe ser en formato claro, legible e
inteligible, sin utilizar claves o códigos que requieran de dispositivos mecánicos
para su adecuada comprensión y en su caso acompañada de una explicación.
Asimismo, el acceso debe ser en lenguaje accesible al conocimiento medio de la
población, de los términos que se utilicen. Sin perjuicio de lo cual, con el objeto
de usar los medios de comunicación más ecológicos disponibles en cada caso, el
responsable del tratamiento podrá acordar con el titular el uso de medios de
reproducción de la información distintos a los establecidos en el presente
reglamento.

Artículo 63.- Contenido de la información.


La información que con ocasión del ejercicio del derecho de acceso se ponga a
disposición del titular de los datos personales, debe ser amplia y comprender la
totalidad del registro correspondiente al titular de datos personales, aun cuando
el requerimiento sólo comprenda un aspecto de dichos datos. El informe no podrá
revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado.

Artículo 64.- Actualización.


Es derecho del titular de datos personales, en vía de rectificación, actualizar
aquellos datos que han sido modificados a la fecha del ejercicio del derecho.

La solicitud de actualización deberá señalar a qué datos personales se refiere, así


como la modificación que haya de realizarse en ellos, acompañando la
documentación que sustente la procedencia de la actualización solicitada.

Artículo 65.- Rectificación.


Es derecho del titular de datos personales que se modifiquen los datos que
resulten ser inexactos, erróneos o falsos.

La solicitud de rectificación deberá indicar a qué datos personales se refiere, así


como la corrección que haya de realizarse en ellos, acompañando la
documentación que sustente la procedencia de la rectificación solicitada.

Artículo 66.- Inclusión.


Es derecho del titular de datos personales que, en vía de rectificación, sus datos
sean incorporados a un banco de datos personales, así como que al tratamiento
de sus datos personales se incorpore aquella información faltante que la hace
incompleta, omitida o eliminada en atención a su relevancia para dicho
tratamiento.

La solicitud de inclusión deberá indicar a qué datos personales se refiere, así como
la incorporación que haya de realizarse en ellos, acompañando la documentación
que sustente la procedencia e interés fundado para el mismo.

Artículo 67.- Supresión o cancelación.


El titular de los datos personales podrá solicitar la supresión o cancelación de sus
datos personales de un banco de datos personales cuando éstos hayan dejado de
ser necesarios o pertinentes para la finalidad para la cual hayan sido recopilados,
cuando hubiere vencido el plazo establecido para su tratamiento, cuando ha
revocado su consentimiento para el tratamiento y en los demás casos en los que
no están siendo tratados conforme a la Ley y al presente reglamento.
La solicitud de supresión o cancelación podrá referirse a todos los datos
personales del titular contenidos en un banco de datos personales o sólo a alguna
parte de ellos.

Dentro de lo establecido por el artículo 20 de la Ley y el numeral 3) del artículo 2


del presente reglamento, la solicitud de supresión implica el cese en el
tratamiento de los datos personales a partir de un bloqueo de los mismos y su
posterior eliminación.

Artículo 68.- Comunicación de la supresión o cancelación.


El titular del banco de datos personales o responsable del tratamiento deberá
documentar ante el titular de los datos personales haber cumplido con lo
solicitado e indicar las transferencias de los datos suprimidos, identificando a
quién o a quiénes fueron transferidos, así como la comunicación de la supresión
correspondiente.

Artículo 69.- Improcedencia de la supresión o cancelación.


La supresión no procederá cuando los datos personales deban ser conservados
en virtud de razones históricas, estadísticas o científicas de acuerdo con la
legislación aplicable o, en su caso, en las relaciones contractuales entre el
responsable y el titular de los datos personales, que justifiquen el tratamiento de
los mismos.

Artículo 70.- Protección en caso de denegatoria de supresión o cancelación.


Siempre que sea posible, según la naturaleza de las razones que sustenten la
denegatoria prevista en el párrafo precedente, se deberán emplear medios de
disociación o anonimización para continuar el tratamiento.

Artículo 71.- Oposición.


El titular de datos personales tiene derecho a que no se lleve a cabo el
tratamiento de sus datos personales o se cese en el mismo, cuando no hubiere
prestado su consentimiento para su recopilación por haber sido tomados de
fuente de acceso al público.

Aun cuando hubiera prestado consentimiento, el titular de datos personales tiene


derecho a oponerse al tratamiento de sus datos, si acredita la existencia de
motivos fundados y legítimos relativos a una concreta situación personal que
justifiquen el ejercicio de este derecho.

En caso que la oposición resulte justificada el titular del banco de datos


personales o responsable de su tratamiento deberá proceder al cese del
tratamiento que ha dado lugar a la oposición.

Artículo 72.- Derecho al tratamiento objetivo de datos personales.


Para garantizar el ejercicio del derecho al tratamiento objetivo de conformidad
con lo establecido en el artículo 23 de la Ley, cuando se traten datos personales
como parte de un proceso de toma de decisiones sin participación del titular de
los datos personales, el titular del banco de datos personales o responsable del
tratamiento deberá informárselo a la brevedad posible, sin perjuicio de lo
regulado para el ejercicio de los demás derechos en la Ley y el presente
reglamento.

Capítulo III
Procedimiento de tutela

Artículo 73.- Procedimiento de tutela directa.


El ejercicio de los derechos regulados por la Ley y el presente reglamento se inicia
con la solicitud que el titular de los datos personales debe dirigir directamente al
titular del banco de datos personales o responsable del tratamiento, de acuerdo
a las características que se regulan en los artículos precedentes del presente
título.

El titular del banco de datos personales o responsable del tratamiento deberá dar
respuesta, en los plazos previstos en el artículo 55 del presente reglamento,
expresando lo correspondiente a cada uno de los extremos de la solicitud.
Transcurrido el plazo sin haber recibido la respuesta el solicitante podrá
considerar denegada su solicitud.

La denegatoria o la respuesta insatisfactoria habilitan al solicitante a iniciar el


procedimiento administrativo ante la Dirección General de Protección de Datos
Personales, de acuerdo al artículo 74 del presente reglamento.

Artículo 74.- Procedimiento trilateral de tutela.


El procedimiento administrativo de tutela de los derechos regulados por la Ley y
el presente reglamento, se sujeta a lo dispuesto por los artículos 219 al 228 de la
Ley Nº 27444, Ley del Procedimiento Administrativo General en lo que le sea
aplicable, y será resuelto mediante resolución del Director General de Protección
de Datos Personales. Contra esta resolución solo procede recurso de
reconsideración, el que, una vez resuelto, agota la vía administrativa.

Para iniciar el procedimiento administrativo a que se refiere este artículo, sin


perjuicio de los requisitos generales previstos en el presente reglamento, el titular
de los datos personales deberá presentar con su solicitud de tutela:

1. El cargo de la solicitud que previamente envió al titular del banco de datos


personales o responsable del tratamiento para obtener de él, directamente, la
tutela de sus derechos.

2. El documento que contenga la respuesta del titular del banco de datos


personales o responsable del tratamiento que, a su vez, contenga la denegatoria
de su pedido o la respuesta que considere no satisfactoria, de haberla recibido.

El plazo máximo en que debe resolverse la solicitud de tutela de derechos será


treinta (30) días, contado desde el día siguiente de recibida la contestación del
reclamado o desde el vencimiento del plazo para formularla y podrá ampliarse
hasta por un máximo de treinta (30) días adicionales, atendiendo a la
complejidad del caso.

La orden de realizar la visita de fiscalización suspende el plazo previsto para


resolver hasta que se reciba el informe correspondiente.

Artículo 75.- Visita de fiscalización.


Para mejor resolver, se podrá ordenar a la Dirección de Supervisión y Control la
realización de una visita de fiscalización, que se efectuará conforme a lo previsto
en los artículos 108 a 114 del presente reglamento, dentro de los cinco (5) días
siguientes de recibida la orden.

TÍTULO V
Registro Nacional de Protección de Datos Personales

Capítulo I
Disposiciones generales

Artículo 76.- Inscripción registral.


El Registro Nacional de Protección de Datos Personales es la unidad de
almacenamiento destinada a contener principalmente la información sobre los
bancos de datos personales de titularidad pública o privada y tiene por finalidad
dar publicidad de la inscripción de dichos bancos de tal forma que sea posible
ejercer los derechos de acceso a la información, rectificación, cancelación,
oposición y otros regulados en la Ley y el presente reglamento.

Artículo 77.- Actos y documentos inscribibles en el Registro.


Serán objeto de inscripción en el Registro Nacional de Protección de Datos
Personales con arreglo a lo dispuesto en la Ley y en este título:

1. Los bancos de datos personales de la administración pública, con las


excepciones previstas en la Ley y el presente reglamento.

2. Los bancos de datos personales de administración privada, con la excepción


prevista en el numeral 1) del artículo 3 de la Ley.

3. Los códigos de conducta a que se refiere el artículo 31 de la Ley.

4. Las sanciones, medidas cautelares o correctivas impuestas por la Dirección


General de Protección de Datos Personales conforme a la Ley y el presente
reglamento.

5. Las comunicaciones referidas al flujo transfronterizo de datos personales.

Cualquier persona puede consultar la información a que se refiere el artículo 34


de la Ley y cualquier otra contenida en el Registro.
Artículo 78.- Obligación de inscripción.
Las personas naturales o jurídicas del sector privado o entidades públicas que
creen, modifiquen o cancelen bancos de datos personales están obligadas a
tramitar la inscripción de estos actos ante el Registro Nacional de Protección de
Datos Personales.

Capítulo II
Procedimiento de inscripción

Artículo 79.- Requisitos.


Los titulares de los bancos de datos personales deberán inscribirlos en el Registro
Nacional de Protección de Datos Personales proporcionando la siguiente
información:

1. La denominación y ubicación del banco de datos personales, sus finalidades y


los usos previstos.
2. La identificación del titular del banco de datos personales, y en su caso, la
identificación del encargado del tratamiento.
3. Tipos de datos personales sometidos a tratamiento en dicho banco.
4. Procedimientos de obtención y el sistema de tratamiento de los datos
personales.
5. La descripción técnica de las medidas de seguridad.
6. Los destinatarios de transferencias de datos personales.

Artículo 80.- Modelos o formularios.


La Dirección General de Protección de Datos Personales publicará mediante
resolución los modelos o formularios electrónicos de las solicitudes de creación,
modificación o cancelación de bancos de datos personales, que permitan su
presentación a través de medios telemáticos o en soporte papel, de conformidad
al procedimiento establecido en el presente reglamento.

Los modelos o formularios electrónicos se podrán obtener gratuitamente en el


Portal Institucional del Ministerio de Justicia y Derechos Humanos.

Artículo 81.- Inicio.


El procedimiento se iniciará con la presentación, ante la Dirección de Registro
Nacional de Protección de Datos Personales, de la solicitud de creación,
modificación o cancelación del banco de datos personales formulada por su
titular o representante debidamente acreditado.

Tratándose de la solicitud de inscripción deberá contener los requisitos exigidos


por el presente reglamento, de faltar alguno de los requisitos, se requerirá que se
subsane la omisión, conforme a lo dispuesto en el siguiente artículo.

Asimismo, tratándose de la solicitud de la modificación o cancelación de un banco


de datos personales, deberá indicarse en la misma el código de inscripción del
banco de datos personales en el Registro Nacional de Protección de Datos
Personales.

En la solicitud, se deberá declarar un domicilio o dirección, a efectos de remitir


las notificaciones relativas al respectivo procedimiento.

Artículo 82.- Subsanación de los defectos y archivamiento.


Si la solicitud presentada no cumple con los requisitos exigidos por el reglamento,
la Dirección de Registro Nacional de Protección de Datos Personales requerirá al
solicitante que en el plazo de diez (10) días subsane la omisión. Vencido el plazo
máximo, sin que el interesado haya cumplido con subsanar dicha omisión, se
procederá al archivamiento de la solicitud.

Artículo 83.- Resolución de inscripción.


El Director de la Dirección de Registro Nacional de Protección de Datos Personales
emitirá la resolución disponiendo la inscripción del banco de datos personales,
siempre que se ajuste a los requisitos exigidos en la Ley y el presente reglamento.

La resolución debe consignar:

1. El código asignado por el Registro.


2. La identificación del banco de datos personales.
3. La descripción de la finalidad y usos previstos.
4. La identificación del titular del banco de datos personales.
5. La categoría de los datos personales que contiene.
6. Los procedimientos de obtención.
7. El sistema de tratamiento de los datos personales y la indicación de las medidas
de seguridad.

Asimismo, se incluirán, en su caso, la identificación del encargado del tratamiento


en donde se encuentre ubicado el banco de datos personales y los receptores de
los datos personales y del flujo transfronterizo.

Una vez inscrito el banco de datos personales en el Registro Nacional de


Protección de Datos, se notificará la decisión al interesado.

La inscripción de un banco de datos personales en el Registro Nacional de


Protección de Datos no exime al titular del cumplimiento del resto de las
obligaciones previstas en la Ley y el presente reglamento.

Artículo 84.- Modificación o cancelación de bancos de datos personales.


La inscripción de un banco de datos personales deber mantenerse actualizada en
todo momento. Cualquier modificación que afecte al contenido de la inscripción
deberá ser previamente comunicada a la Dirección de Registro Nacional de
Protección de Datos Personales para su inscripción.
Cuando el titular de un banco de datos personales decida su cancelación, deberá
comunicarla a la Dirección de Registro Nacional de Protección de Datos
Personales, a efectos de que proceda a la cancelación de la inscripción.

El solicitante precisará el destino que va a darse a los datos o las previsiones para
su destrucción.

Artículo 85.- Duración del procedimiento.


El plazo máximo para emitir la resolución acerca de la inscripción, modificación o
cancelación será de treinta (30) días.

Si en dicho plazo no se hubiese emitido resolución expresa, se entenderá inscrito,


modificado o cancelado el banco de datos personales, para todos los efectos.

Artículo 86.- Improcedencia o denegación de la inscripción.


El Director de la Dirección de Registro Nacional de Protección de Datos emitirá
resolución denegando la inscripción cuando la solicitud no cumpla con los
requisitos dispuestos en la Ley y en el presente reglamento u otras disposiciones
que dicte la Dirección General de Protección de Datos Personales de conformidad
a las facultades legales conferidas.

La resolución debe estar debidamente motivada, con indicación expresa de las


causas que impiden la inscripción, modificación o cancelación.

Artículo 87.- Impugnación.


Contra la resolución que deniega la inscripción proceden los recursos de
reconsideración y apelación, conforme al procedimiento señalado en la Ley Nº
27444, Ley del Procedimiento Administrativo General.

Artículo 88.- Las instancias.


La Dirección de Registro Nacional de Protección de Datos Personales constituye
la primera instancia para efectos de atender los recursos administrativos
interpuestos contra la denegatoria de inscripción de un banco de datos
personales. Resolverá los recursos de reconsideración y elevará los de apelación
a la Dirección General de Protección de Datos Personales que resolverá en última
instancia administrativa por la procedencia o improcedencia de la inscripción.

Capítulo III
Procedimiento de inscripción de los códigos de conducta

Artículo 89.- Ámbito de aplicación de los códigos de conducta.


1. Los códigos de conducta tendrán carácter voluntario.
2. Los códigos de conducta de carácter sectorial podrán referirse a la totalidad o
a parte de los tratamientos llevados a cabo por el sector, debiendo ser
formulados por organizaciones representativas del mismo.
3. Los códigos de conducta promovidos por una empresa o grupo empresarial
deberán referirse a la totalidad de los tratamientos llevados a cabo por los
mismos.

Artículo 90.- Contenido.


1. Los códigos de conducta deben estar redactados en términos claros y
accesibles.

2. Los códigos de conducta deben estar adecuados a lo establecido en la Ley e


incluir como mínimo los siguientes aspectos:

2.1. La delimitación clara y precisa de su ámbito de aplicación, las


actividades a que el código se refiere y los tratamientos sometidos al
mismo.
2.2. Las previsiones específicas para la aplicación de los principios de
protección de datos personales.
2.3. El establecimiento de estándares homogéneos para el cumplimiento
por los adheridos al código de las obligaciones establecidas en la Ley.
2.4. El establecimiento de procedimientos que faciliten el ejercicio por los
afectados de sus derechos de información, acceso, rectificación,
cancelación y oposición.
2.5. La determinación de las transferencias nacionales e internacionales
de datos personales que, en su caso, se prevean con indicación de las
garantías que deban adoptarse.
2.6. Las acciones de fomento y difusión en materia de protección de datos
personales dirigidas a quienes los traten, especialmente en cuanto a su
relación con los afectados.
2.7. Los mecanismos de supervisión a través de los cuales se garantice el
cumplimiento por los adheridos de lo establecido en el código de
conducta.

3. En particular, deberá consignarse en el código:

3.1 Cláusulas para la obtención del consentimiento de los titulares de los


datos personales al tratamiento o transferencia de sus datos personales.
3.2 Cláusulas para informar a los titulares de los datos personales del
tratamiento, cuando los datos no sean obtenidos de los mismos.
3.3 Modelos para el ejercicio por los afectados de sus derechos de
información, acceso, rectificación, cancelación y oposición.
3.4 De ser el caso, modelos de cláusulas para el cumplimiento de los
requisitos formales exigibles para la contratación de un encargado del
tratamiento.

Artículo 91.- Inicio del procedimiento.


El procedimiento para la inscripción en el Registro Nacional de Protección de
Datos Personales de los códigos de conducta se iniciará siempre a solicitud de la
entidad, órgano o asociación promotora del código de conducta.
La solicitud, además de reunir los requisitos legalmente establecidos, cumplirá
los siguientes requisitos adicionales:

1. Acreditación de la representación con que cuente la persona que presente la


solicitud.
2. Contenido del acuerdo, convenio o decisión por la que se aprueba en el ámbito
correspondiente el contenido del código de conducta presentado.
3. En caso de que el código de conducta proceda de un acuerdo sectorial o una
decisión de empresa, se adjuntará la certificación referida a la adopción del
acuerdo y legitimación del órgano que lo adoptó y copia de los estatutos de la
asociación, organización sectorial o entidad en cuyo marco haya sido aprobado
el código.
4. En caso de códigos de conducta presentados por asociaciones u organizaciones
de carácter sectorial, se adjuntará documentación relativa a su representatividad
en el sector.
5. En caso de códigos de conducta basados en decisiones de empresa, se
adjuntará descripción de los tratamientos a los que se refiere.

Artículo 92.- Subsanación de los defectos.


Analizados los aspectos sustantivos del código de conducta, si resultase necesaria
la aportación de nuevos documentos o la modificación de su contenido, la
Dirección de Registro Nacional de Protección de Datos Personales requerirá al
solicitante que en el plazo de diez (10) días realice las modificaciones precisadas.

Artículo 93.- Trámite.


Transcurrido el plazo señalado en el artículo anterior, la Dirección de Registro
Nacional de Protección de Datos Personales elaborará un informe sobre las
características del proyecto de código de conducta que será enviado a la
Dirección de Normatividad y Asistencia Legal, para que informe en el plazo de
siete (07) días si cumple con lo requerido por la Ley y el presente reglamento.

Artículo 94.- Emisión de la resolución.


Cumplido lo establecido en los artículos precedentes, el Director de la Dirección
de Registro Nacional de Protección de Datos Personales emitirá la resolución
disponiendo la inscripción del código de conducta, siempre que se ajuste a los
requisitos exigidos en la Ley y el presente reglamento.

Artículo 95.- Duración del procedimiento.


El plazo máximo para emitir la resolución será de treinta (30) días, contado desde
la fecha de presentación de la solicitud ante la Dirección de Registro Nacional de
Protección de Datos Personales. Si en dicho plazo no se hubiese emitido la
resolución, el solicitante podrá considerar estimada su solicitud.

Artículo 96.- Improcedencia o denegación de la inscripción.


La denegatoria de la inscripción del código de conducta será resuelta mediante
resolución del Director de la Dirección de Registro Nacional de Protección de
Datos Personales, cuando dicha solicitud no cumpla con los requisitos dispuestos
en la Ley, el presente reglamento y aquellas disposiciones que dicte la Dirección
General de Protección de Datos Personales, en el marco de sus competencias
legales y estatutarias.

Contra la resolución que deniega la inscripción proceden los recursos de


reconsideración y apelación, conforme al procedimiento señalado en los artículos
87 y 88 del presente reglamento.

Artículo 97.- Publicidad


El Registro Nacional de Protección de Datos Personales dará publicidad al
contenido de los códigos de conducta utilizando para ello medios electrónicos o
telemático.

TÍTULO VI
Infracciones y sanciones

Capítulo I
Procedimiento fiscalizador

Artículo 98.- Objeto.


El procedimiento de fiscalización tendrá por objeto determinar si concurren las
circunstancias que justifiquen la iniciación del procedimiento sancionador, con
identificación del titular del banco de datos personales o del responsable del
tratamiento y la presunta comisión de actos contrarios a la Ley y al presente
reglamento.

Artículo 99.- Inicio del procedimiento de fiscalización.


El procedimiento de fiscalización se inicia siempre de oficio como consecuencia
de:

1. Iniciativa directa de la Dirección de Supervisión y Control o del Director General


de Protección de Datos Personales.

2. Por denuncia de cualquier entidad pública, persona natural o jurídica.

En ambos casos, la Dirección de Supervisión y Control requerirá al titular del


banco de datos personales, al encargado o a quien resulte responsable,
información relativa al tratamiento de datos personales o la documentación
necesaria. En el caso de las visitas de fiscalización a las sedes de las entidades
públicas o privadas donde se encuentren los bancos de datos personales que
administran, los fiscalizadores tendrán acceso a los mismos.

Artículo 100.- Reconducción del procedimiento.


En caso que, de la denuncia presentada pueda percibirse que no se dirige a los
objetivos de un procedimiento de fiscalización, sino a los de la tutela de derechos,
se derivará al procedimiento correspondiente.
Artículo 101.- Fe pública.
En el ejercicio de las funciones de fiscalización, el personal de la Dirección de
Supervisión y Control estará dotado de fe pública para constatar la veracidad de
los hechos en relación con los trámites a su cargo.

Artículo 102.- Requisitos de la denuncia.


La denuncia deberá indicar lo siguiente:

1. Nombre del denunciante y el domicilio para efectos de recibir las notificaciones.


2. Relación de los hechos en los que basa su denuncia y los documentos que la
sustenten.
3. Nombre y domicilio del denunciado o, en su caso, datos para su ubicación.

Artículo 103.- Forma de la denuncia.


La denuncia podrá presentarse en soporte físico o según los formatos tipo
automatizados, que se exhiban en el Portal Institucional del Ministerio de Justicia
y Derechos Humanos.

Cuando la denuncia se presente por medios electrónicos a través del sistema que
establezca la Dirección General de Protección de Datos Personales, se entenderá
que se acepta que las notificaciones sean efectuadas por dicho sistema o a través
de otros medios electrónicos generados por éste, salvo que se señale un medio
distinto.

Artículo 104.- Requerimiento de información.


Cuando se formule denuncia, la Dirección de Supervisión y Control podrá solicitar
la documentación que estime oportuna al denunciante para el desarrollo del
procedimiento.

Artículo 105.- Desarrollo de la fiscalización.


El procedimiento de fiscalización tendrá una duración máxima de noventa (90)
días, este plazo corre desde la fecha en que la Dirección de Supervisión y Control
recibe la denuncia o da inicio de oficio al procedimiento y concluirá con el informe
que se pronunciará sobre la existencia de elementos que sostengan o no, la
presunta comisión de infracciones previstas en la Ley.

El plazo establecido podrá ser ampliado por una vez y hasta por un periodo de
cuarenta y cinco (45) días, por decisión motivada, atendiendo a la complejidad
de la materia fiscalizada y con conocimiento del Director General de Protección
de Datos Personales.

Artículo 106.- Programa de visitas.


La fiscalización podrá incluir diversas visitas para obtener los elementos de
convicción necesarios, las cuales se desarrollarán con un plazo máximo de diez
(10) días entre cada una. Luego de la primera visita, se notificará un programa
de visitas al titular del banco de datos personales o al encargado o al responsable
del tratamiento y, en su caso, al denunciante.

Artículo 107.- Identificación del personal fiscalizador.


Al iniciar la visita, el personal fiscalizador deberá exhibir credencial vigente con
fotografía, expedida por la Dirección General de Protección de Datos Personales
que lo acredite como tal.

Artículo 108.- Visitas de fiscalización.


El personal que lleve a cabo las visitas de fiscalización deberá estar provisto de
orden escrita motivada con firma autógrafa del funcionario, de la que dejará
copia, con cargo, a la persona que atendió la visita.

En la orden deberá precisarse el lugar o los lugares en donde se encuentra la


entidad pública o privada o la persona natural que se fiscalizará, o donde se
encuentren los bancos de datos personales objeto de fiscalización, el objeto
genérico de la visita y las disposiciones legales que lo fundamenten.

Artículo 109.- Acta de fiscalización.


Las visitas de fiscalización requieren el levantamiento del acta correspondiente,
en la que quedará constancia de las actuaciones practicadas durante la visita de
verificación. Dicha acta se levantará en presencia de dos testigos propuestos por
la persona con quien se entendió la diligencia. Si se hubiera negado a proponerlos
o no hubieran participado los propuestos, bastará la firma de la persona con
quien se entendió la diligencia o la constancia de su negativa a firmar, de ser el
caso.

El acta se elaborará por duplicado y será firmada por el personal fiscalizador y


quienes hayan participado en la diligencia. El acta puede incluir la manifestación
que los participantes consideren que conviene a su derecho.

Se entregará al fiscalizado uno de los originales del acta de fiscalización,


incorporándose el otro a los actuados.

Artículo 110.- Contenido de las actas de fiscalización.


En las actas de fiscalización se hará constar:

1. Nombre, denominación o razón social del fiscalizado.


2. Hora, día, mes y año en que se inicie y concluya la fiscalización.
3. Los datos que identifiquen plenamente el lugar donde se realizó la fiscalización,
tales como calle, avenida, pasaje, número, distrito, código postal, la entidad
pública o privada en que se encuentre ubicado el lugar en que se practicó la
fiscalización, así como el número telefónico u otra forma de comunicación
disponible con el fiscalizado.
4. Número y fecha de la orden de fiscalización que la motivó.
5. Nombre y cargo de la persona que atendió a los fiscalizadores.
6. Nombre y domicilio de las personas que participaron como testigos.
7. Datos y detalles relativos a la actuación.
8. Declaración del fiscalizado si lo solicitase.
9. Nombre y firma de quienes intervinieron en la fiscalización, incluyendo los de
quienes la hubieran llevado a cabo. Si se negara a firmar el fiscalizado, su
representante legal o la persona que atendió al fiscalizador, ello no afectará la
validez del acta, debiendo el personal fiscalizador asentar la respectiva razón.

La firma del fiscalizado no supondrá su conformidad con el contenido, sino tan


sólo su participación y la recepción de la misma.

Artículo 111.- Obstrucción a la fiscalización.


Si el fiscalizado se negara directamente a colaborar u observara una conducta
obstructiva, demorando injustificadamente su colaboración, planteando
cuestionamientos no razonables a la labor fiscalizadora, desatendiendo las
indicaciones de los fiscalizadores o cualquier otra conducta similar o equivalente,
se dejará constancia en el acta, con precisión del acto o los actos obstructivos y
de su naturaleza sistemática, de ser el caso.

Artículo 112.- Observaciones en el acto de fiscalización o posteriores.


Sin perjuicio de que los fiscalizados puedan formular observaciones en el acto de
la fiscalización y manifestar lo que a su derecho convenga en relación a los hechos
contenidos en el acta, también podrán hacerlo por escrito dentro del término de
los cinco (5) días siguientes a la fecha en que se hubiere levantado.

Artículo 113.- Informe.


El procedimiento de fiscalización concluirá con el informe que expida la Dirección
de Supervisión y Control, en el que determinará con carácter preliminar las
circunstancias que justifiquen la instauración del procedimiento sancionador o la
ausencia de ellas.

De ser el caso, se establecerán las medidas que deberá ordenarse al presunto


responsable, en vía cautelar. La instrucción del procedimiento sancionador se
llevará a cabo conforme a lo dispuesto por la Ley y el presente reglamento.

La determinación de la presunta responsabilidad por actos contrarios a lo


establecido en la Ley y el presente reglamento contenida en el Informe, será
notificada al fiscalizado y al denunciante, de ser el caso, en un plazo que no
excederá de cinco (5) días.

Artículo 114.- Improcedencia de medios de impugnación.


En contra del informe de fiscalización que expide la Dirección de Supervisión y
Control no procede la interposición de recurso alguno, la contradicción de su
contenido y cualquier forma de defensa respecto de él se harán valer en el
procedimiento sancionador, de ser el caso.
Capítulo II
Procedimiento sancionador

Artículo 115.- Autoridades del procedimiento sancionador.


Para efectos de la aplicación de las normas sobre el procedimiento sancionador
establecido en la Ley, las autoridades son:

1. El Director de la Dirección de Sanciones es la autoridad que instruye y resuelve,


en primera instancia, sobre la existencia de infracción e imposición o no de
sanciones y sobre obligaciones accesorias tendientes a la protección de los datos
personales. Asimismo, es competente para conducir y desarrollar la fase de
investigación, y es responsable de llevar a cabo las actuaciones necesarias para
determinar las circunstancias de la comisión, o no, de los actos contrarios a lo
establecido en la Ley y el presente reglamento.

2. El Director General de Protección de Datos Personales resuelve en segunda y


última instancia el procedimiento sancionador y su decisión agota la vía
administrativa.

Artículo 116.- Inicio del procedimiento sancionador.


El procedimiento sancionador será promovido siempre de oficio, en atención a un
informe de la Dirección de Supervisión y Control que puede obedecer a una
denuncia de parte o a decisión motivada del Director General de Protección de
Datos Personales.

Artículo 117.- Rechazo liminar.


La Dirección de Sanciones puede, mediante resolución expresa y motivada,
decidir el archivamiento de los casos que no ameriten el inicio del procedimiento
sancionador, no obstante el informe de la Dirección de Supervisión y Control.
Contra esta decisión puede recurrir el denunciante.

Artículo 118.- Medidas cautelares y correctivas.


Una vez iniciado el procedimiento sancionador, la Dirección de Sanciones podrá
disponer, mediante acto motivado, la adopción de medidas de carácter
provisional que aseguren la eficacia de la resolución final que pudiera recaer en
el referido procedimiento, con observancia de las normas aplicables de la Ley Nº
27444, Ley del Procedimiento Administrativo General.

Asimismo, sin perjuicio de la sanción administrativa que corresponda por una


infracción a las disposiciones contenidas en la Ley y el presente reglamento, se
podrán dictar, cuando sea posible, medidas correctivas destinadas a eliminar,
evitar o detener los efectos de las infracciones.

Artículo 119.- Contenido de la resolución de inicio del procedimiento


sancionador.
1. La Dirección de Sanciones notifica la resolución de inicio del procedimiento
sancionador que contendrá:
2. La identificación de la autoridad que emite la notificación.
3. La indicación del expediente correspondiente y la mención del acta de
fiscalización, de ser el caso.
4. La identificación de la entidad pública o privada a quien se le abre
procedimiento.
5. La decisión de abrir procedimiento sancionador.
6. El relato de los antecedentes que motivan el inicio del procedimiento
sancionador, que incluye la manifestación de los hechos que se atribuyen al
administrado y de la calificación de las infracciones que tales hechos puedan
constituir.
7. La sanción o sanciones, que en su caso se pudieran imponer.
8. El plazo para presentar los descargos y pruebas.

Artículo 120.- Presentación de descargos y pruebas.


El administrado en un plazo máximo de quince (15) días, contado a partir del día
siguiente de la notificación correspondiente presentará su descargo, en el cual
podrá pronunciarse concretamente respecto de cada uno de los hechos que se le
imputan de manera expresa, afirmándolos, negándolos, señalando que los
ignora por no ser propios o exponiendo como ocurrieron, según sea el caso.
Asimismo podrá presentar los argumentos por medio de los cuales desvirtúe la
infracción que se presuma y las pruebas correspondientes.

En caso se ofrezca prueba pericial o testimonial, se precisarán los hechos sobre


los que versarán y se señalarán los nombres y domicilios del perito o de los
testigos, exhibiéndose el cuestionario o el interrogatorio respectivo en
preparación de las mismas. Sin estos requisitos dichas pruebas se tendrán por no
ofrecidas.

Artículo 121.- Actuaciones para la instrucción de los hechos.


Vencido el plazo de los quince (15) días para la presentación del descargo, con o
sin él, la Dirección de Sanciones realizará de oficio todas las actuaciones
necesarias para el examen de los hechos y podrá disponer una visita de
fiscalización a cargo de la Dirección de Supervisión y Control, si no se hubiere
hecho antes, con la finalidad de recabar la información que sea necesaria o
relevante para determinar, en su caso, la existencia de infracciones susceptibles
de sanción.

Artículo 122.- Cierre de instrucción y término del procedimiento sancionador.


Concluidas las actuaciones instructivas, la Dirección de Sanciones emitirá
resolución cerrando la etapa instructiva dentro de los cincuenta (50) días
contados desde el inicio del procedimiento.

Dentro de los veinte (20) días posteriores a la notificación de la resolución de


cierre de la etapa instructiva, la Dirección de Sanciones deberá resolver en
primera instancia.
Podrá solicitarse informe oral dentro de los cinco (5) días posteriores a la
notificación de la resolución de cierre de la etapa instructiva.

Cuando haya causa justificada, la Dirección de Sanciones podrá ampliar por una
vez y hasta por un período igual, el plazo de cincuenta (50) días al que refiere el
presente artículo.

La resolución que resuelve el procedimiento sancionador será notificada a todas


las partes intervinientes en el procedimiento.

Artículo 123.- Impugnación.


Contra la resolución que resuelve el procedimiento sancionador proceden los
recursos de reconsideración o apelación dentro de los quince (15) días de
notificada la resolución al administrado.

El recurso de reconsideración se sustentará en nueva prueba y será resuelto por


la Dirección de Sanciones en un plazo que no excederá de los treinta (30) días.

El recurso de apelación será resuelto por el Director General de Protección de


Datos Personales, debiendo dirigirse a la misma autoridad que expidió el acto que
se impugna, para que eleve lo actuado. El recurso de apelación deberá ser
resuelto en un plazo no mayor de treinta (30) días.

Capítulo III
Sanciones

Artículo 124.- Determinación de la sanción administrativa de multa.


Las multas se determinan en función a la Unidad Impositiva Tributaria vigente a
la fecha en que se cometió la infracción y cuando no sea posible establecer tal
fecha, la que estuviere vigente a la fecha en que la Dirección General de
Protección de Datos Personales detectó la infracción.

Artículo 125.- Graduación del monto de la sanción administrativa de multa.


Para graduar la sanción a imponerse debe observarse el principio de
razonabilidad de la potestad sancionadora reconocido en el numeral 3 del
artículo 230 de la Ley Nº 27444, Ley del Procedimiento Administrativo General,
así como la condición de sancionado reincidente y la conducta procedimental del
infractor.

En caso de que las infracciones continúen, luego de haber sido sancionado, debe
imponerse una sanción mayor a la previamente impuesta conforme a los
términos establecidos en el numeral 7 del artículo 230 de la Ley Nº 27444, Ley del
Procedimiento Administrativo General.

Artículo 126.- Atenuantes.


La colaboración con las acciones de la autoridad y el reconocimiento espontáneo
de las infracciones acompañado de acciones de enmienda se considerarán
atenuantes. Atendiendo a la oportunidad del reconocimiento y a las fórmulas de
enmienda, la atenuación permitirá incluso la reducción motivada de la sanción
por debajo del rango previsto en la Ley.

Artículo 127.- Mora en el pago de las multas.


El administrado que no realiza el pago oportuno de las multas incurre en mora
automática, en consecuencia el monto de las multas impagas devengará interés
moratorio que se aplicará diariamente desde el día siguiente de la fecha del
vencimiento del plazo de cancelación de la multa hasta la fecha de pago inclusive,
multiplicando el monto de la multa impaga por la Tasa de Interés Moratoria (TIM)
diaria vigente. La Tasa de Interés Moratoria (TIM) diaria vigente resulta de dividir
la Tasa de Interés Moratoria (TIM) vigente entre treinta (30).

Artículo 128.- Incentivos para el pago de la sanción de multa.


Se considerará que el sancionado ha cumplido con pagar la sanción de multa si,
antes de vencer el plazo otorgado para pagar la multa, deposita en la cuenta
bancaria determinada por la Dirección General de Protección de Datos
Personales el sesenta por ciento (60%) de su monto. Para que surta efecto dicho
beneficio deberá comunicar tal hecho a la Dirección General de Protección de
Datos Personales, adjuntando el comprobante del depósito bancario
correspondiente. Luego de dicho plazo, el pago sólo será admitido por el íntegro
de la multa impuesta.

Artículo 129.- Ejecución de la sanción de multa.


La ejecución de la sanción de multa se rige por la ley de la materia referida al
procedimiento de ejecución coactiva.

Artículo 130.- Registro de sanciones, medidas cautelares y correctivas.


La Dirección de Registro Nacional de Protección de Datos Personales tendrá a su
cargo el Registro de Sancionados por incumplimiento de la Ley y el presente
reglamento, el Registro de Medidas Cautelares y el Registro de Medidas
Correctivas, los mismos que serán publicados en el Portal Institucional del
Ministerio de Justicia y Derechos Humanos.

Artículo 131.- Aplicación de multas coercitivas


En caso de incumplimiento de obligaciones accesorias a la sanción de multa
impuesta por infracción a la Ley y el presente reglamento, la Dirección de
Sanciones podrá imponer multas coercitivas de acuerdo a la siguiente
graduación:

1. Por incumplimiento de obligaciones accesorias a la sanción de multa impuestas


por infracciones leves, la multa coercitiva será desde cero coma dos a dos
Unidades Impositivas Tributarias (0,2 a 2 UIT).

2. Por incumplimiento de obligaciones accesorias a la sanción de multa impuestas


por infracciones graves, la multa coercitiva será de dos a seis Unidades
Impositivas Tributarias (2 a 6 UIT).
3. Por incumplimiento de obligaciones accesorias a la sanción de multa impuestas
por infracciones muy graves, la multa coercitiva será de seis a diez Unidades
Impositivas Tributarias (6 a 10 UIT).

TÍTULO VI INFRACCIONES Y SANCIONES

CAPÍTULO IV
INFRACCIONES

Artículo 132.- Infracciones


Las infracciones a la Ley N° 29733, Ley de Protección de Datos Personales, o su
Reglamento se califican como leves, graves y muy graves y se sancionan con
multa de acuerdo al artículo 39 de la citada Ley.

1. Son infracciones leves

a) Realizar tratamiento de datos personales incumpliendo las medidas de


seguridad establecidas en la normativa sobre la materia.
b) Recopilar datos personales que no sean necesarios, pertinentes ni adecuados
con relación a las finalidades determinadas, explícitas y lícitas para las que
requieren ser obtenidos.
c) No modificar o rectificar los datos personales objeto de tratamiento cuando se
tenga conocimiento de su carácter inexacto o incompleto.
d) No suprimir los datos personales objeto de tratamiento cuando hayan dejado
de ser necesarios, pertinentes o adecuados para la finalidad para la cual fueron
recopilados o cuando hubiese vencido el plazo para su tratamiento. En estos
casos, no se configura la infracción cuando media procedimiento de
anonimización o disociación.
e) No inscribir o actualizar en el Registro Nacional los actos establecidos en el
artículo 34 de la Ley.
f) Dar tratamiento a los datos personales contraviniendo las disposiciones de la
Ley y su Reglamento.

2. Son infracciones graves:

a) No atender, impedir u obstaculizar el ejercicio de los derechos del titular de


datos personales de acuerdo a lo establecido en el Título III de la Ley N° 29733 y
su Reglamento.
b) Dar tratamiento a los datos personales sin el consentimiento libre, expreso,
inequívoco, previo e informado del titular, cuando el mismo sea necesario
conforme a lo dispuesto en la Ley N° 29733 y su Reglamento.
c) Realizar tratamiento de datos personales sensibles incumpliendo las medidas
de seguridad establecidas en la normativa sobre la materia.
d) Recopilar datos personales sensibles que no sean necesarios, pertinentes ni
adecuados con relación a las finalidades determinadas, explícitas y lícitas para
las que requieren ser obtenidos.
e) Utilizar los datos personales obtenidos lícitamente para finalidades distintas
de aquellas que motivaron su recopilación, salvo que medie procedimiento de
anonimización o disociación.
f) Obstruir el ejercicio de la función fiscalizadora de la Autoridad.
g) Incumplir la obligación de confidencialidad establecida en el artículo 17 de la
Ley N° 29733.
h) No inscribir o actualizar en el Registro Nacional los actos establecidos en el
artículo 34 de la Ley N° 29733, a pesar de haber sido requerido para ello por la
Autoridad en el marco de un procedimiento sancionador.

3. Son infracciones muy graves:

a) Dar tratamiento a los datos personales contraviniendo las obligaciones


contenidas en la Ley N° 29733 y su Reglamento, cuando con ello se impida o se
atente contra el ejercicio de otros derechos fundamentales.
b) Recopilar datos personales mediante medios fraudulentos, desleales o ilícitos.
c) Suministrar documentos o información falsa a la Autoridad.
d) No cesar en el indebido tratamiento de datos personales cuando existiese un
previo requerimiento de la Autoridad como resultado de un procedimiento
sancionador o de un procedimiento trilateral de tutela.
e) No cumplir con las medidas correctivas establecidas por la Autoridad como
resultado de un procedimiento trilateral de tutela.

Artículo 133.- Graduación en caso de reincidencia


En caso de reincidencia en la comisión de dos (02) infracciones leves, en un mismo
año, la tercera infracción leve se sanciona como una infracción grave.

En caso de reincidencia en la comisión de dos (02) infracciones graves, en un


mismo año, la tercera infracción grave se sanciona como una infracción muy
grave.

DISPOSICIONES COMPLEMENTARIAS FINALES

PRIMERA.- Interoperabilidad entre entidades públicas.


La definición, los alcances y el contenido de la interoperabilidad, a que hace
referencia el primer párrafo del artículo 11 del presente reglamento, así como los
lineamientos para su aplicación y funcionamiento en concordancia con las
normas de protección de datos personales, son competencia de la Oficina
Nacional de Gobierno Electrónico e Informática – ONGEI de la Presidencia del
Consejo de Ministros, en su calidad de Ente Rector del Sistema Nacional de
Informática. La interoperabilidad entre entidades se regulará en cuanto a su
implementación en el marco de lo dispuesto por el numeral 76.2.2 del inciso 76.2
del artículo 76 de la Ley Nº 27444, Ley del Procedimiento Administrativo General.
SEGUNDA.- Protección de datos personales y competitividad.
Las competencias establecidas en el presente reglamento son ejercidas por la
Autoridad Nacional de Protección de Datos Personales, en concordancia con las
políticas de competitividad del país establecidas por el ente correspondiente.

TERCERA.- Protección de datos personales y programas sociales.


Conforme a lo previsto en el numeral 12 del artículo 33 de la Ley, los términos en
que debe concordarse el cumplimiento de la Ley y el presente Reglamento con las
normas o políticas de transparencia y fiscalización que rigen la administración de
los bancos de datos vinculados con los Programas Sociales y el Sistema de
Focalización de Hogares serán desarrollados mediante directiva y en
coordinación con el Ministerio de Desarrollo e Inclusión Social – MIDIS.

DISPOSICIONES COMPLEMENTARIAS TRANSITORIAS

PRIMERA.- Adecuación de bancos de datos personales.


En el plazo de dos (2) años de la entrada en vigencia del presente reglamento, los
bancos de datos personales existentes, deben adecuarse a lo establecido por la
Ley y el presente reglamento, sin perjuicio de la inscripción a que se refi ere la
Quinta Disposición Complementaria Final de la Ley Nº 29733, Ley de Protección
de Datos Personales.

SEGUNDA.- Facultad sancionadora.


La facultad sancionadora de la Dirección General de Protección de Datos
Personales, en relación a los bancos de datos personales existentes a la fecha de
la entrad en vigencia del presente reglamento, queda suspendida hasta el
vencimiento del plazo de adecuación establecido en la Primera Disposición
Complementaria Transitoria.

TERCERA.- Formatos.
La Dirección General de Protección de Datos Personales creará los formatos tipo
necesarios para la tramitación de los procedimientos regulados en el presente
reglamento en un plazo que no excederá de sesenta (60) días de la entrada en
vigencia del presente reglamento.
6. Decreto Legislativo que crea la Autoridad Nacional de Transparencia y Acceso a la
Información Pública, fortalece el Régimen de Protección de Datos Personales y la
regulación de la gestión de intereses (DL 1353 modificado por DL 1416)

CAPITULO I
DISPOSICIONES GENERALES
Artículo 1.- Objeto

El presente Decreto Legislativo tiene por objeto crear la Autoridad Nacional de


Transparencia y Acceso a la Información Pública, fortalecer el Régimen de
Protección de Datos Personales y la regulación de la gestión de intereses.

Artículo 2.- Ámbito de aplicación

Las normas contenidas en el presente Decreto Legislativo son aplicables a todas


las entidades señaladas en el Artículo I del Título Preliminar de la Ley N° 27444,
Ley del Procedimiento Administrativo General; así como a las empresas del
Estado, personas naturales y jurídicas de derecho privado, en lo que corresponda;
y a las personas comprendidas en la Ley N° 29733, Ley de Protección de Datos
Personales.

CAPITULO II
DE LA AUTORIDAD NACIONAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN
PUBLICA

Artículo 3.- Naturaleza jurídica y competencias de la Autoridad

El Ministerio de Justicia y Derechos Humanos a través de la Dirección Nacional de


Transparencia y Acceso a Información Pública es la Autoridad Nacional de
Transparencia y Acceso a la Información Pública, en adelante la Autoridad.

La Autoridad se rige por lo dispuesto en la Ley N° 27806, Ley de Transparencia y


Acceso a la Información Pública, por esta Ley y las normas reglamentarias.

Artículo 4.- Funciones de la Autoridad

La Autoridad tiene las siguientes funciones en materia de transparencia y acceso


a la información pública:
1. Proponer políticas en materia de transparencia y acceso a la información
pública.
2. Emitir directivas y lineamientos que sean necesarios para el cumplimiento de
las normas en el ámbito de su competencia.
3. Supervisar el cumplimiento de las normas en materia de transparencia y acceso
a la información pública.
4. Absolver las consultas que las entidades o las personas jurídicas o naturales le
formulen respecto de la aplicación de normas de transparencia y acceso a
información pública.
5. Fomentar la cultura de transparencia y acceso a la información pública.
6. Solicitar, dentro del ámbito de su competencia, la información que considere
necesaria a las entidades, las cuales están en la obligación de proveerla, salvo las
excepciones previstas en la Ley de Transparencia y Acceso a la Información
Pública.
7. Elaborar y presentar al Congreso de la República el informe anual sobre los
pedidos de acceso a la información pública. Este informe se presenta dentro del
primer trimestre de cada año y es publicado en la página web de la Autoridad.
8. Supervisar el cumplimiento de la actualización del Portal de Transparencia.
9. Otras que se establezcan en las normas reglamentarias.

Artículo 5.- Lineamientos en materia de clasificación y desclasificación de la


información

Los sectores vinculados a las excepciones establecidas en los artículos 15, 16 y 17


del Texto Único Ordenado de la Ley N° 27806, Ley de Transparencia y Acceso a la
Información Pública elaboran, de forma conjunta con la Autoridad, lineamientos
para la clasificación y desclasificación de la información que se considere
confidencial, secreta o reservada. Dichos lineamientos son aprobados a través de
Decreto Supremo con el voto aprobatorio del Consejo de Ministros, refrendado
por el Presidente del Consejo de Ministros, el Ministro de Justicia y Derechos
Humanos y el Ministro de Economía y Finanzas.

Artículo 6.- Tribunal de Transparencia y Acceso a la Información Pública

El Tribunal de Transparencia y Acceso a la Información Pública es un órgano


resolutivo del Ministerio de Justicia y Derechos Humanos que constituye la última
instancia administrativa en materia de transparencia y derecho al acceso a la
información pública a nivel nacional. Como tal es competente para resolver las
controversias que se susciten en dichas materias. Depende administrativamente
del Ministro y tiene autonomía en el ejercicio de sus funciones. Su funcionamiento
se rige por las disposiciones contenidas en la presente Ley y en sus normas
complementarias y reglamentarias.

Artículo 7.- Funciones del Tribunal

El Tribunal tiene las siguientes funciones:


1. Resolver los recursos de apelación contra las decisiones de las entidades
comprendidas en el artículo I del Título Preliminar de la Ley N° 27444, Ley del
Procedimiento Administrativo General, en materias de transparencia y acceso a
la información pública. Su decisión agota la vía administrativa.
2. Resolver, en última instancia administrativa, los recursos de apelación que
interpongan los funcionarios y servidores públicos sancionados por el
incumplimiento de las normas de transparencia y acceso a la información pública
en los términos establecidos en el artículo siguiente.
3. Dirimir mediante opinión técnica vinculante los casos en los que se presente
conflicto entre la aplicación de la Ley 29733, Ley de Protección de Datos
Personales y de la Ley N° 27806, Ley de Transparencia y Acceso a la Información
Pública.
4. Establecer precedentes vinculantes cuando así lo señale expresamente en la
resolución que expida, en cuyo caso debe disponer su publicación en el Diario
Oficial El Peruano y en su portal institucional.
5. Custodiar declaraciones de conflicto de interés.
6. Las demás que establece el Reglamento.

Artículo 8.- Aplicación de sanciones a servidores públicos

En los casos de apelación previstos en el numeral 2 del artículo 7, el Tribunal


puede confirmar, revocar o modificar en todos sus extremos la decisión adoptada
por la entidad en el procedimiento administrativo sancionador. La entidad está
obligada a cumplir la decisión de la Autoridad no pudiendo acudir a la vía
contencioso-administrativa para cuestionarla.

En caso la sanción impuesta por la entidad sea la destitución o inhabilitación,


corresponde que el Tribunal se pronuncie mediante un informe que constituye
prueba pre-constituida que será remitido al Tribunal del Servicio Civil, para que
este resuelva la apelación.

Artículo 9.- Alcances del procedimiento de apelación para entrega de información

9.1 Al resolver el recurso de apelación sobre entrega de información, la Autoridad


puede confirmar, modificar o revocar la decisión de la entidad. Dentro de este
procedimiento, el Tribunal solicita a la entidad que remita sus descargos. De
considerar insuficiente el descargo, solicita la remisión de la información sobre la
cual versa la apelación. De declararse fundada la apelación, el Tribunal ordena a
la entidad obligada que entregue la información que solicitó el administrado.
9.2 En el marco del procedimiento administrativo de apelación al que se refiere
el numeral anterior, resultan de aplicación los supuestos establecidos en los
artículos 15, 16 y 17 del Texto Único Ordenado de la Ley N° 27806, Ley de
Transparencia y Acceso a la Información Pública, aprobado mediante Decreto
Supremo N° 043-2003-PCM, así como los supuestos de excepción al acceso a la
información regulados en leyes especiales.

Artículo 10.- De la confidencialidad de la información

10.1 Los servidores públicos de la Autoridad y del Tribunal, bajo responsabilidad,


tienen la obligación de no hacer uso de la información que conozcan para fines
distintos al ejercicio de sus funciones.
10.2 Cuando se trate de información secreta, reservada o confidencial, tienen la
obligación del cuidado diligente si toman conocimiento de ella en el ejercicio de
su función. Asimismo, no pueden hacer de conocimiento público la misma. Estas
obligaciones se extienden por cinco (5) años posteriores al cese en el puesto o el
tiempo que la información mantenga la condición de secreta, reservada o
confidencial. El incumplimiento de este deber es considerado falta grave, sin
perjuicio de la responsabilidad civil o penal que conlleve.

Artículo 11.- Conformación del Tribunal


11.1 El Tribunal de Transparencia y Acceso a la Información Pública está
constituido por dos (2) salas, cada una de ellas está conformada por tres (03)
vocales designados mediante Resolución Suprema por un periodo de cuatro (4)
años, previo concurso público realizado conforme a lo establecido por el
Reglamento. Al menos un vocal debe ser abogado.
11.2 El Ministerio de Justicia y Derechos Humanos, a través de Decreto Supremo,
crea salas adicionales a propuesta del Tribunal de Transparencia y Acceso a la
Información Pública.
11.3 El Presidente del Tribunal de Transparencia y Acceso a la Información Pública
es elegido de acuerdo a lo dispuesto en el Reglamento del Decreto Legislativo Nº
1353.
11.4 El Tribunal cuenta con una Secretaría Técnica encargada de brindar apoyo
técnico y administrativo permanente.
11.5 El procedimiento correspondiente en caso de abstención, recusación o
ausencia justificada por parte de alguno de los vocales del Tribunal se rige de
acuerdo al Reglamento del Decreto Legislativo Nº 1353.

Artículo 12.- Requisitos para ser Vocal del Tribunal

12.1 Los vocales del Tribunal deben cumplir los siguientes requisitos mínimos:
1. No ser menor de 35 años de edad.
2. Contar con título profesional o grado de bachiller con maestría.
3. No contar con antecedentes penales ni judiciales.
4. No encontrarse suspendido o inhabilitado en el ejercicio de la función pública
por decisión administrativa firme o sentencia judicial con calidad de cosa
juzgada.
5. Contar con 10 años de experiencia profesional acreditada, de los cuales al
menos 3 años deben ser en o con la administración pública.
6. No estar en situación de concurso, inhabilitado para contratar con el Estado o
encontrarse condenado por delito doloso incompatible con el ejercicio de la
función.
7. No encontrarse inscrito en el Registro de Deudores Alimentarios Morosos.
8. No tener conflicto de intereses con las materias relacionadas al ejercicio de su
función.
12.2 En caso de vencimiento del plazo del mandato, el vocal ejerce funciones
hasta la designación del reemplazante.

Artículo 13.- Deber de colaboración

En el ejercicio de las competencias de la Autoridad y el Tribunal, las entidades,


sus servidores civiles y funcionarios públicos, así como las personas naturales o
jurídicas están obligadas a atender oportunamente y bajo responsabilidad,
cualquiera de sus requerimientos o solicitudes.
Artículo 14.- Inhibición

Los miembros del Tribunal, de oficio, se abstienen de participar en los


procedimientos en los cuales identifiquen que se encuentran en alguna de las
causales previstas en el artículo 88 de la Ley N° 27444, Ley del Procedimiento
Administrativo General, en la primera oportunidad en que conozcan acerca del
procedimiento específico en el que exista alguna incompatibilidad que impida su
participación.

Artículo 15.- Publicidad de las resoluciones


El Tribunal de Transparencia y Acceso a la Información Pública, a través del portal
institucional publica las resoluciones que expida como última instancia
administrativa, la misma que interopera con la Plataforma de Interoperabilidad
del Estado Peruano.

DISPOSICIONES COMPLEMENTARIAS FINALES

Primera.- Reglamento

El Poder Ejecutivo, mediante Decreto Supremo, con voto aprobatorio del Consejo
de Ministros, aprueba el Reglamento del presente Decreto Legislativo en un plazo
máximo de noventa (90) días calendario contados a partir del día siguiente de la
publicación en el Diario Oficial El Peruano del presente Decreto Legislativo.

Segunda.- Vigencia

El presente Decreto Legislativo entra en vigencia al día siguiente de la publicación


del Decreto Supremo que aprueba su Reglamento y la modificación del
Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos
Humanos.

Tercera.- Designación de miembros del Tribunal

Los miembros del Tribunal son designados en un plazo no mayor a noventa (90)
días contados a partir de la fecha de entrada en vigencia de la modificación del
Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos
Humanos.

Cuarta.- Financiamiento

La implementación del presente Decreto Legislativo se financia con cargo al


presupuesto institucional del Ministerio de Justicia y Derechos Humanos.
DISPOSICIONES COMPLEMENTARIAS MODIFICATORIAS

Primera.- Modificación de la Ley N° 27806, Ley de Transparencia y Acceso a la


Información Pública, conforme a su Texto Único Ordenado, aprobado por Decreto
Supremo Nº 043-2003-PCM

Modificase los artículos 11 y 13 de la Ley N° 27806, Ley de Transparencia y Acceso


a la Información Pública, conforme a su Texto Único Ordenado, aprobado por
Decreto Supremo N° 043-2003-PCM, en los siguientes términos:

“Artículo 11.- Procedimiento

El acceso a la información pública se sujeta al siguiente procedimiento:

a) Toda solicitud de información debe ser dirigida al funcionario


designado por la entidad de la Administración Pública para realizar esta
labor. En caso de que este no hubiera sido designado, la solicitud se dirige
al funcionario que tiene en su poder la información requerida o al superior
inmediato. Las dependencias de la entidad tienen la obligación de
encausar las solicitudes al funcionario encargado.

b) La entidad de la Administración Pública a la cual se haya presentado la


solicitud de información debe otorgarla en un plazo no mayor de doce (12)
días hábiles, sin perjuicio de lo establecido en el literal h).

En el supuesto que la entidad de la Administración Pública no esté


obligada a poseer la información solicitada y de conocer su ubicación o
destino, debe reencausar la solicitud hacia la entidad obligada o hacia la
que la posea, y poner en conocimiento de dicha circunstancia al
solicitante.

c) La denegatoria al acceso a la información se sujeta a lo dispuesto en el


segundo párrafo del artículo 13 de la presente Ley.

d) De no mediar respuesta en el plazo previsto en el inciso b), el solicitante


puede considerar denegado su pedido.

e) En los casos señalados en los incisos c) y d) del presente artículo, el


solicitante en un plazo no mayor de quince (15) días calendarios puede
interponer el recurso de apelación ante el Tribunal de Transparencia y
Acceso a la Información Pública, el cual deberá resolver dicho recurso en
el plazo máximo de diez (10) días hábiles, bajo responsabilidad.

f) Si la Autoridad Nacional de Transparencia y Acceso a la información


Pública, no resuelve el recurso de apelación en el plazo previsto, el
solicitante podrá dar por agotada la vía administrativa.
g) Excepcionalmente, cuando sea materialmente imposible cumplir con el
plazo señalado en el literal b) debido a causas justificadas relacionadas a
la comprobada y manifiesta falta de capacidad logística u operativa o de
recursos humanos de la entidad o al significativo volumen de la
información solicitada, por única vez la entidad debe comunicar al
solicitante la fecha en que proporcionará la información solicitada de
forma debidamente fundamentada, en un plazo máximo de dos (2) días
hábiles de recibido el pedido de información. El incumplimiento del plazo
faculta al solicitante a recurrir ante Autoridad Nacional de Transparencia
y Acceso a la Información Pública.

“Artículo 13.- Denegatoria de acceso

La entidad de la Administración Pública a la cual se solicite información


no podrá́ negar la misma basando su decisión en la identidad del
solicitante.

La denegatoria al acceso a la información solicitada debe ser


debidamente fundamentada porlas excepciones de los artículos 15 a 17
de esta Ley; y el plazo por el que se prolongará dicho impedimento.

La solicitud de información no implica la obligación de las entidades de la


Administración Pública de crear o producir información con la que no
cuente o no tenga obligación de contar al momento de efectuarse el
pedido. En este caso, la entidad de la Administración Pública deberá́
comunicar por escrito que la denegatoria de la solicitud se debe a la
inexistencia de datos en su poder respecto de la información solicitada.

Esta Ley no faculta que los solicitantes exijan a las entidades que efectúen
evaluaciones o análisis de la información que posean. No califica en esta
limitación el procesamiento de datos preexistentes de acuerdo con lo que
establezcan las normas reglamentarias, salvo que ello implique recolectar
o generar nuevos datos.

No se podrá negar información cuando se solicite que esta sea entregada


en una determinada forma o medio, siempre que el solicitante asuma el
costo que suponga el pedido.

Cuando una entidad de la Administración Pública no localiza información


que está obligada a poseer o custodiar, deberá acreditar que ha agotado
las acciones necesarias para obtenerla a fin brindar una respuesta al
solicitante.

Si el requerimiento de información no hubiere sido satisfecho, la respuesta


hubiere sido ambiguo no se hubieren cumplido las exigencias
precedentes, se considerará que existió́ negativa en brindarla”.
Segunda.- Incorporación del Título V a la Ley N° 27806, Ley de Transparencia y
Acceso a la Información Pública, conforme a su Texto Único Ordenado, aprobado
por Decreto Supremo Nº 043-2003-PCM

Incorpórese el Título V a la Ley N° 27806, Ley de Transparencia y Acceso a la


Información Pública, conforme a su Texto Único Ordenado, aprobado por Decreto
Supremo N° 043-2003-PCM, en los siguientes términos:

“TÍTULO V
RÉGIMEN SANCIONADOR

Artículo 34.- Ámbito de aplicación

El presente régimen sancionador es aplicable a las acciones u omisiones


que infrinjan el régimen jurídico de la transparencia y acceso a la
información pública, tipificadas en este Título, de conformidad con el
artículo 4 de la presente Ley.

Artículo 35.- Clases de sanciones

35.1 Las sanciones que pueden imponerse por las infracciones previstas
en el presente régimen sancionador son las siguientes:
a) Amonestación escrita.
b) Suspensión sin goce de haber entre diez y ciento ochenta días.
c) Multa no mayor de cinco unidades impositivas tributarias.
d) Destitución.
e) Inhabilitación.

35.2 Las personas jurídicas bajo el régimen privado que prestan servicios
públicos o ejercen función administrativa, en virtud de concesión,
delegación o autorización del Estado están sujetas a la sanción de multa,
conforme a la normativa de la materia.

Artículo 36.- Tipificación de infracciones

Las infracciones se clasifican en leves, graves y muy graves, las cuales son
tipificadas vía reglamentaria, de acuerdo a lo establecido en el numeral
4) del artículo 230 de la Ley Nº 27444, Ley del Procedimiento
Administrativo General, mediante Decreto Supremo refrendado por el
Ministerio de Justicia y Derechos Humanos.

Sin perjuicio de las sanciones que en el marco de su competencia


impongan las autoridades competentes, pueden ordenar la
implementación de una o más medidas correctivas, con el objetivo de
corregir o revertir los efectos que la conducta infractora hubiere
ocasionado o evitar que ésta se produzca nuevamente.
Artículo 37.- Responsabilidad

La responsabilidad de los funcionarios y servidores públicos por el


incumplimiento de obligaciones derivadas de las normas sobre
transparencia y acceso de la información pública, es subjetiva.

Tercera.- Modificación de los artículos 2, 3, 12, 14, 15, 18, 20, 21, 22, 25 y 27 de
la Ley N° 29733, Ley de protección de datos personales

Modificase los artículos 2, 3, 12, 14, 15, 18, 20, 21, 22, 25 y 27 de la Ley N° 29733,
Ley de Protección de Datos Personales, en los siguientes términos:

“Artículo 2. Definiciones

Para todos los efectos de la presente Ley, se entiende por:


1. Banco de datos personales. Conjunto organizado de datos personales,
automatizado o no, independientemente del soporte, sea este físico,
magnético, digital, óptico u otros que se creen, cualquiera fuere la forma
o modalidad de su creación, formación, almacenamiento, organización y
acceso.
2. Banco de datos personales de administración privada. Banco de datos
personales cuya titularidad corresponde a una persona natural o a una
persona jurídica de derecho privado, en cuanto el banco no se encuentre
estrictamente vinculado al ejercicio de potestades de derecho público.
3. Banco de datos personales de administración pública. Banco de datos
personales cuya titularidad corresponde a una entidad pública.
4. Datos personales. Toda información sobre una persona natural que la
identifica o la hace identificable a través de medios que pueden ser
razonablemente utilizados.
5. Datos sensibles. Datos personales constituidos por los datos
biométricos que por sí mismos pueden identificar al titular; datos referidos
al origen racial y étnico; ingresos económicos; opiniones o convicciones
políticas, religiosas, filosóficas o morales; afiliación sindical; e información
relacionada a la salud o a la vida sexual.
6. Días. Días hábiles.
7. Encargado de tratamiento de datos personales. Toda persona natural,
persona jurídica de derecho privado o entidad pública que sola o actuando
conjuntamente con otra realiza el tratamiento de los datos personales por
encargo del titular del banco de datos personales en virtud de una relación
jurídica que le vincula con el mismo y delimita el ámbito de su actuación.
Incluye a quien realice el tratamiento sin la existencia de un banco de
datos personales.
8. Encargo de tratamiento. Entrega por parte del titular del banco de
datos personales a un encargado de tratamiento de datos personales en
virtud de una relación jurídica que los vincula. Dicha relación jurídica
delimita el ámbito de actuación del encargado de tratamiento de los
datos personales.
9. Entidad pública. Entidad comprendida en el artículo I del Título
Preliminar de la Ley 27444, Ley del Procedimiento Administrativo General,
o la que haga sus veces.
10. Flujo transfronterizo de datos personales. Transferencia internacional
de datos personales a un destinatario situado en un país distinto al país
de origen de los datos personales, sin importar el soporte en que estos se
encuentren, los medios por los cuales se efectuó la transferencia ni el
tratamiento que reciban.
11. Fuentes accesibles para el público. Bancos de datos personales de
administración pública o privada, que pueden ser consultados por
cualquier persona, previo abono de la contraprestación correspondiente,
de ser el caso. Las fuentes accesibles para el público son determinadas en
el reglamento.
12. Nivel suficiente de protección para los datos personales. Nivel de
protección que abarca por lo menos la consignación y el respeto de los
principios rectores de esta Ley, así como medidas técnicas de seguridad y
confidencialidad, apropiadas según la categoría de datos de que se trate.
13. Persona jurídica de derecho privado. Para efectos de esta Ley, la
persona jurídica no comprendida en los alcances del artículo I del Título
Preliminar de la Ley 27444, Ley del Procedimiento Administrativo General.
14. Procedimiento de anonimización. Tratamiento de datos personales
que impide la identificación o que no hace identificable al titular de estos.
El procedimiento es irreversible.
15. Procedimiento de disociación. Tratamiento de datos personales que
impide la identificación o que no hace identificable al titular de estos. El
procedimiento es reversible.
16. Titular de datos personales. Persona natural a quien corresponde los
datos personales.
17. Titular del banco de datos personales. Persona natural, persona
jurídica de derecho privado o entidad pública que determina la finalidad
y contenido del banco de datos personales, el tratamiento de estos y las
medidas de seguridad.
18. Transferencia de datos personales. Toda transmisión, suministro o
manifestación de datos personales, de carácter nacional o internacional,
a una persona jurídica de derecho privado, a una entidad pública o a una
persona natural distinta del titular de datos personales.
19. Tratamiento de datos personales. Cualquier operación o
procedimiento técnico, automatizado o no, que permite la recopilación,
registro, organización, almacenamiento, conservación, elaboración,
modificación, extracción, consulta, utilización, bloqueo, supresión,
comunicación por transferencia o por difusión o cualquier otra forma de
procesamiento que facilite el acceso, correlación o interconexión de los
datos personales”.
“Artículo 3. Ámbito de aplicación

La presente Ley es de aplicación a los datos personales contenidos o


destinados a ser contenidos en bancos de datos personales de
administración pública y de administración privada, cuyo tratamiento se
realiza en el territorio nacional. Son objeto de especial protección los
datos sensibles.

Las disposiciones de esta Ley no son de aplicación a los siguientes datos


personales:
1. A los contenidos o destinados a ser contenidos en bancos de datos
personales creados por personas naturales para fines exclusivamente
relacionados con su vida privada o familiar.
2. A los contenidos o destinados a ser contenidos en bancos de datos de
administración pública, solo en tanto su tratamiento resulte necesario
para el estricto cumplimiento de las competencias asignadas por ley a las
respectivas entidades públicas, para la defensa nacional, seguridad
pública, y para el desarrollo de actividades en materia penal para la
investigación y represión del delito”.

“Artículo 12. Valor de los principios

La actuación de los titulares y encargados de tratamiento de datos


personales y, en general, de todos los que intervengan con relación a
datos personales, debe ajustarse a los principios rectores a que se refiere
este Título. Esta relación de principios rectores es enunciativa.
Los principios rectores señalados sirven también de criterio interpretativo
para resolver las cuestiones que puedan suscitarse en la aplicación de esta
Ley y de su reglamento, así como de parámetro para la elaboración de
otras disposiciones y para suplir vacíos en la legislación sobre la materia”.

“Artículo 14. Limitaciones al consentimiento para el tratamiento de datos


personales

No se requiere el consentimiento del titular de datos personales, para los


efectos de su tratamiento, en los siguientes casos:
1. Cuando los datos personales se recopilen o transfieran para el ejercicio
de las funciones de las entidades públicas en el ámbito de sus
competencias.
2. Cuando se trate de datos personales contenidos o destinados a ser
contenidos en fuentes accesibles para el público.
3. Cuando se trate de datos personales relativos a la solvencia patrimonial
y de crédito, conforme a ley.
4. Cuando medie norma para la promoción de la competencia en los
mercados regulados emitida en ejercicio de la función normativa por los
organismos reguladores a que se refiere la Ley 27332, Ley Marco de los
Organismos Reguladores de la Inversión Privada en los Servicios Públicos,
o la que haga sus veces, siempre que la información brindada no sea
utilizada en perjuicio de la privacidad del usuario.
5. Cuando los datos personales sean necesarios para la preparación,
celebración y ejecución de una relación contractual en la que el titular de
datos personales sea parte, o cuando se trate de datos personales que
deriven de una relación científica o profesional del titular y sean
necesarios para su desarrollo o cumplimiento.
6. Cuando se trate de datos personales relativos a la salud y sea necesario,
en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento
médico o quirúrgico del titular, siempre que dicho tratamiento sea
realizado en establecimientos de salud o por profesionales en ciencias de
la salud, observando el secreto profesional; o cuando medien razones de
interés público previstas por ley o cuando deban tratarse por razones de
salud pública, ambas razones deben ser calificadas como tales por el
Ministerio de Salud; o para la realización de estudios epidemiológicos o
análogos, en tanto se apliquen procedimientos de disociación adecuados.
7. Cuando el tratamiento sea efectuado por organismos sin fines de lucro
cuya finalidad sea política, religiosa o sindical y se refiera a los datos
personales recopilados de sus respectivos miembros, los que deben
guardar relación con el propósito a que se circunscriben sus actividades,
no pudiendo ser transferidos sin consentimiento de aquellos.
8. Cuando se hubiera aplicado un procedimiento de anonimización o
disociación.
9. Cuando el tratamiento de los datos personales sea necesario para
salvaguardar intereses legítimos del titular de datos personales por parte
del titular de datos personales o por el encargado de tratamiento de datos
personales.
10. Cuando el tratamiento sea para fines vinculados al sistema de
prevención de lavado de activos y financiamiento del terrorismo u otros
que respondan a un mandato legal.
11. En el caso de grupos económicos conformados por empresas que son
consideradas sujetos obligados a informar, conforme a las normas que
regulan a la Unidad de Inteligencia Financiera, que éstas puedan
compartir información entre sí de sus respectivos clientes para fines de
prevención de lavado de activos y financiamiento del terrorismo, así como
otros de cumplimiento regulatorio, estableciendo las salvaguardas
adecuadas sobre la confidencialidad y uso de la información
intercambiada.
12. Cuando el tratamiento se realiza en ejercicio constitucionalmente
válido del derecho fundamental a la libertad de información.
13. Otros que deriven del ejercicio de competencias expresamente
establecidas por Ley”.

“Artículo 15. Flujo transfronterizo de datos personales

El titular y el encargado de tratamiento de datos personales deben


realizar el flujo transfronterizo de datos personales solo si el país
destinatario mantiene niveles de protección adecuados conforme a la
presente Ley.
En caso de que el país destinatario no cuente con un nivel de protección
adecuado, el emisor del flujo transfronterizo de datos personales debe
garantizar que el tratamiento de los datos personales se efectúe conforme
a lo dispuesto por la presente Ley.

No se aplica lo dispuesto en el segundo párrafo en los siguientes casos:


1. Acuerdos en el marco de tratados internacionales sobre la materia en
los cuales la República del Perú sea parte.
2. Cooperación judicial internacional.
3. Cooperación internacional entre organismos de inteligencia para la
lucha contra el terrorismo, tráfico ilícito de drogas, lavado de activos,
corrupción, trata de personas y otras formas de criminalidad organizada.
4. Cuando los datos personales sean necesarios para la ejecución de una
relación contractual en la que el titular de datos personales sea parte,
incluyendo lo necesario para actividades como la autentificación de
usuario, mejora y soporte del servicio, monitoreo de la calidad del servicio,
soporte para el mantenimiento y facturación de la cuenta y aquellas
actividades que el manejo de la relación contractual requiera.
5. Cuando se trate de transferencias bancarias o bursátiles, en lo relativo
a las transacciones respectivas y conforme a la ley aplicable.
6. Cuando el flujo transfronterizo de datos personales se realice para la
protección, prevención, diagnóstico o tratamiento médico o quirúrgico de
su titular; o cuando sea necesario para la realización de estudios
epidemiológicos o análogos, en tanto se apliquen procedimientos de
disociación adecuados.
1. Cuando el titular de los datos personales haya dado su consentimiento
previo, informado, expreso e inequívoco.
2. Otros que establezca el reglamento de la presente Ley, con sujeción a
lo dispuesto en el artículo 12”.

“Artículo 18. Derecho de información del titular de datos personales El


titular de datos personales tiene derecho a ser informado en forma
detallada, sencilla, expresa, inequívoca y de manera previa a su
recopilación, sobre la finalidad para la que sus datos personales serán
tratados; quiénes son o pueden ser sus destinatarios, la existencia del
banco de datos en que se almacenarán, así como la identidad y domicilio
de su titular y, de ser el caso, del o de los encargados del tratamiento de
sus datos personales; el carácter obligatorio o facultativo de sus
respuestas al cuestionario que se le proponga, en especial en cuanto a los
datos sensibles; la transferencia de los datos personales; las
consecuencias de proporcionar sus datos personales y de su negativa a
hacerlo; el tiempo durante el cual se conserven sus datos personales; y la
posibilidad de ejercer los derechos que la ley le concede y los medios
previstos para ello.
Si los datos personales son recogidos en línea a través de redes de
comunicaciones electrónicas, las obligaciones del presente artículo
pueden satisfacerse mediante la publicación de políticas de privacidad, las
que deben ser fácilmente accesibles e identificables.
En el caso que el titular del banco de datos establezca vinculación con un
encargado de tratamiento de manera posterior al consentimiento, el
accionar del encargado queda bajo responsabilidad del Titular del Banco
de Datos, debiendo establecer un mecanismo de información
personalizado para el titular de los datos personales sobre dicho nuevo
encargado de tratamiento.
Si con posterioridad al consentimiento se produce la transferencia de
datos personales por fusión, adquisición de cartera, o supuestos similares,
el nuevo titular del banco de datos debe establecer un mecanismo de
información eficaz para el titular de los datos personales sobre dicho
nuevo encargado de tratamiento”.

“Artículo 20. Derecho de actualización, inclusión, rectificación y supresión

El titular de datos personales tiene derecho a la actualización, inclusión,


rectificación y supresión de sus datos personales materia de tratamiento,
cuando estos sean parcial o totalmente inexactos, incompletos, cuando se
hubiere advertido omisión, error o falsedad, cuando hayan dejado de ser
necesarios o pertinentes a la finalidad para la cual hayan sido recopilados
o cuando hubiera vencido el plazo establecido para su tratamiento.
Si sus datos personales hubieran sido transferidos previamente, el
encargado de tratamiento de datos personales debe comunicar la
actualización, inclusión, rectificación o supresión a quienes se hayan
transferido, en el caso que se mantenga el tratamiento por este último,
quien debe también proceder a la actualización, inclusión, rectificación o
supresión, según corresponda.
Durante el proceso de actualización, inclusión, rectificación o supresión de
datos personales, el encargado de tratamiento de datos personales
dispone su bloqueo, quedando impedido de permitir que terceros accedan
a ellos. Dicho bloqueo no es aplicable a las entidades públicas que
requieren de tal información para el adecuado ejercicio de sus
competencias, según ley, las que deben informar que se encuentra en
trámite cualquiera de los mencionados procesos.
La supresión de datos personales contenidos en bancos de datos
personales de administración pública se sujeta a lo dispuesto en el artículo
21 del Texto Único Ordenado de la Ley 27806, Ley de Transparencia y
Acceso a la Información Pública, o la que haga sus veces”.

“Artículo 21. Derecho a impedir el suministro

El titular de datos personales tiene derecho a impedir que estos sean


suministrados, especialmente cuando ello afecte sus derechos
fundamentales. El derecho a impedir el suministro no aplica para la
relación entre el titular del banco de datos personales y el encargado de
tratamiento de datos personales para los efectos del tratamiento de
estos”.

“Artículo 22. Derecho de oposición

Siempre que, por ley, no se disponga lo contrario y cuando no hubiera


prestado consentimiento, el titular de datos personales puede oponerse a
su tratamiento cuando existan motivos fundados y legítimos relativos a
una concreta situación personal. En caso de oposición justificada, el titular
o el encargado de tratamiento de datos personales, según corresponda,
debe proceder a su supresión, conforme a ley”.

“Artículo 25. Derecho a ser indemnizado

El titular de datos personales que sea afectado a consecuencia del


incumplimiento de la presente Ley por el titular o por el encargado de
tratamiento de datos personales o por terceros, tiene derecho a obtener
la indemnización correspondiente, conforme a ley”.

“Artículo 27. Limitaciones

Los titulares y los encargados de tratamiento de datos personales de


administración pública pueden denegar el ejercicio de los derechos de
acceso, supresión y oposición por razones fundadas en la protección de
derechos e intereses de terceros o cuando ello pueda obstaculizar
actuaciones judiciales o administrativas en curso vinculadas a la
investigación sobre el cumplimiento de obligaciones tributarias o
previsionales, a las investigaciones penales sobre la comisión de faltas o
delitos, al desarrollo de funciones de control de la salud y del medio
ambiente, a la verificación de infracciones administrativas, o cuando así
lo disponga la ley”.

Cuarta.- Modificación de la denominación del Título IV y el artículo 28 de la Ley


N° 29733, Ley de protección de datos personales

Modificase la denominación del Título IV y el artículo 28 de la Ley N° 29733, Ley


de Protección de Datos Personales, en los siguientes términos:

“TÍTULO IV
OBLIGACIONES DEL TITULAR Y DEL ENCARGADO DE TRATAMIENTO DE
DATOS PERSONALES

Artículo 28. Obligaciones

El titular y el encargado de tratamiento de datos personales, según sea el


caso, tienen las siguientes obligaciones:
1. Efectuar el tratamiento de datos personales, solo previo
consentimiento informado, expreso e inequívoco del titular de los datos
personales, salvo ley autoritativa, con excepción de los supuestos
consignados en el artículo 14 de la presente Ley.
2. No recopilar datos personales por medios fraudulentos, desleales o
ilícitos.
3. Recopilar datos personales que sean actualizados, necesarios,
pertinentes y adecuados, con relación a finalidades determinadas,
explícitas y lícitas para las que se hayan obtenido.
4. No utilizar los datos personales objeto de tratamiento para finalidades
distintas de aquellas que motivaron su recopilación, salvo que medie
procedimiento de anonimización o disociación.
5. Almacenar los datos personales de manera que se posibilite el ejercicio
de los derechos de su titular.
6. Suprimir y sustituir o, en su caso, completar los datos personales objeto
de tratamiento cuando tenga conocimiento de su carácter inexacto o
incompleto, sin perjuicio de los derechos del titular al respecto.
7. Suprimir los datos personales objeto de tratamiento cuando hayan
dejado de ser necesarios o pertinentes a la finalidad para la cual hubiesen
sido recopilados o hubiese vencido el plazo para su tratamiento, salvo que
medie procedimiento de anonimización o disociación.
8. Proporcionar a la Autoridad Nacional de Protección de Datos
Personales la información relativa al tratamiento de datos personales que
esta le requiera y permitirle el acceso a los bancos de datos personales
que administra, para el ejercicio de sus funciones, en el marco de un
procedimiento administrativo en curso solicitado por la parte afectada.
9. Otras establecidas en esta Ley y en su reglamento”.

“Artículo 31. Códigos de conducta

31.1 Las entidades representativas de los titulares o encargados de


tratamiento de datos personales administración privada pueden elaborar
códigos de conducta que establezcan normas para el tratamiento de
datos personales que tiendan a asegurar y mejorar las condiciones de
operación de los sistemas de información en función de los principios
rectores establecidos en esta Ley.

“Artículo 34. Registro Nacional de Protección de Datos Personales

Créase el Registro Nacional de Protección de Datos Personales como


registro de carácter administrativo a cargo de la Autoridad Nacional de
Protección de Datos Personales, con la finalidad de inscribir en forma
diferenciada, a nivel nacional, lo siguiente:

1. Los bancos de datos personales de administración pública o privada, así


como los datos relativos a estos que sean necesarios para el ejercicio de
los derechos que corresponden a los titulares de datos personales,
conforme a lo dispuesto en esta Ley y en su reglamento.
El ejercicio de esta función no posibilita el conocimiento del contenido de
los bancos de datos personales por parte de la Autoridad Nacional de
Protección de Datos Personales, salvo procedimiento administrativo en
curso.
2. Las comunicaciones de flujo transfronterizo de datos personales.
3. Las sanciones, medidas cautelares o correctivas impuestas por la
Autoridad Nacional de Protección de Datos Personales conforme a esta
Ley y a su reglamento.

Cualquier persona puede consultar en el Registro Nacional de Protección


de Datos Personales la existencia de bancos de datos personales, sus
finalidades, así como la identidad y domicilio de sus titulares y, de ser el
caso, de sus encargados”.

“Artículo 38.- Tipificación de infracciones

Las infracciones se clasifican en leves, graves y muy graves, las cuales son
tipificadas vía reglamentaria, de acuerdo a lo establecido en el numeral
4) del artículo 230 de la Ley Nº 27444, Ley del Procedimiento
Administrativo General, mediante Decreto Supremo con el voto
aprobatorio del Consejo de Ministros.
Sin perjuicio de las sanciones que en el marco de su competencia imponga
la autoridad competente, esta puede ordenar la implementación de una
o más medidas correctivas, con el objetivo de corregir o revertir los efectos
que la conducta infractora hubiere ocasionado o evitar que ésta se
produzca nuevamente.
Los administrados son responsables objetivamente por el incumplimiento
de obligaciones derivadas de las normas sobre protección de datos
personales”.

Quinta.- Modificación del artículo 12 del Decreto Legislativo N° 1129, Decreto


Legislativo que regula el Sistema de Defensa Nacional

Modifíquese el artículo 12 del Decreto Legislativo N 1129, Decreto Legislativo que


regula el Sistema de Defensa Nacional, en los siguientes términos:

“Artículo 12.- Acceso a la información

Los acuerdos, actas, grabaciones, transcripciones y en general, toda


información o documentación que se genere en el ámbito de los asuntos
referidos a la Seguridad y Defensa Nacional, y aquellas que contienen
deliberaciones sostenidas en sesiones del Consejo de Seguridad y Defensa
Nacional, se rigen por la Ley de Transparencia y Acceso a la Información
Pública, en cuanto a su difusión, acceso público y excepciones, en cuanto
resulten aplicables.”
Sexta.- Modificación de la Ley N° 28024, Ley que regula la gestión de intereses en
la administración pública

Modifíquense los artículos 1, 7 y 16 de la Ley N° 28024, Ley que regula la gestión


de intereses en la administración pública, en los siguientes términos:

“Artículo 1.- Objeto y fines

La presente Ley regula la gestión de intereses en el ámbito de la


administración pública, entendida como una actividad lícita de promoción
de intereses legítimos propios o de terceros, sea de carácter individual,
sectorial o institucional en el proceso de toma de decisiones públicas, con
la finalidad de asegurar la transparencia en las acciones del Estado.
Para los fines de la presente Ley, se entiende por administración pública a
las entidades a las que se refiere el artículo I del Título Preliminar de la Ley
Nº 27444 - Ley del Procedimiento Administrativo General; incluyendo las
empresas comprendidas en la gestión empresarial del Estado.
La presente Ley no comprende las funciones jurisdiccionales del Poder
Judicial, de los organismos constitucionalmente autónomos y de las
autoridades y tribunales ante los que se sigue procesos administrativos.
El derecho de petición se regula según lo establecido en su normatividad
específica.”

“Artículo 7.- Del gestor de intereses

Se define como gestor de intereses a la persona natural o jurídica,


nacional o extranjera, que desarrolla actos de gestión de sus propios
intereses o de terceros, en relación con las decisiones públicas adoptadas
por los funcionarios públicos comprendidos en el artículo 5 de la presente
Ley.”

“Artículo 16.- Del Registro de Visitas

Las entidades públicas previstas en el artículo 1 llevan Registros de Visitas


en formatos electrónicos en los que se consigna información sobre las
personas que asisten a reuniones o audiencias con un funcionario o
servidor público.
La información que brinde el visitante a la entidad pública para el Registro
de Visitas tiene carácter de Declaración Jurada.
La información contenida en el Registro de Visitas y en la Agenda Oficial
de cada funcionario público previsto en el artículo 5 de la presente Ley,
deberá publicarse en el portal web de cada entidad.
Los funcionarios o servidores públicos, a que se refiere el artículo 5 de la
Ley, que detecten una acción de gestión de intereses por parte de una
persona que no haya consignado dicho asunto en el Registro de Visitas,
tienen el deber de registrar dicha omisión en el Registro.”
DISPOSICIÓN COMPLEMENTARIA DEROGATORIA

Única.- Derogatoria

Deróguese los artículos 8, literal e) del artículo 10, 11, 12, 13, 14, 15, 19, 20 y 21
de la Ley N° 28024, Ley que regula la gestión de intereses en la administración
pública.
7. Reglamento del Decreto Legislativo 1353, Decreto Legislativo que crea la Autoridad
Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de
Protección de Datos Personales y la regulación de la gestión de intereses (DS 019-2017-
JUS modificado por DS 011-2018-JUS)

CAPÍTULO I
DISPOSICIONES GENERALES

Artículo 1.- Objeto

El presente Reglamento tiene por objeto regular la aplicación del Decreto


Legislativo Nº 1353, Decreto Legislativo que crea la Autoridad Nacional de
Transparencia y Acceso a la Información Pública, fortalece el Régimen de
Protección de Datos Personales y la regulación de la gestión de intereses.

Artículo 2.- Autoridad Nacional de Transparencia, Acceso a la Información Pública


y Protección de Datos Personales

La Dirección General de Transparencia, Acceso a la Información Pública y


Protección de Datos Personales, es el órgano de línea encargado de ejercer la
Autoridad Nacional de Transparencia, Acceso a la Información Pública y
Protección de Datos Personales. Depende jerárquicamente del Despacho
Viceministerial de Justicia.

Artículo 3.- Tribunal de Transparencia y Acceso a la Información Pública

El Tribunal de Transparencia y Acceso a la Información Pública es un órgano


resolutivo del Ministerio de Justicia y Derechos Humanos que constituye la última
instancia administrativa en materia de transparencia y derecho de acceso a la
información pública a nivel nacional. Depende del Despacho Ministerial y tiene
autonomía en el ejercicio de sus funciones.

CAPÍTULO II
DE LA AUTORIDAD DE TRANSPARENCIA, ACCESO A LA INFORMACIÓN PÚBLICA Y
PROTECCIÓN DE DATOS PERSONALES

Artículo 4.- Requisitos para ser Director/a General de Transparencia, Acceso a la


Información Pública y Protección de Datos Personales

La persona que ejerza el cargo de Director/a General debe cumplir los siguientes
requisitos mínimos:

1. No contar con antecedentes penales y judiciales.


2. No haber sido sancionada con despido o destitución.
3. No encontrarse suspendido o inhabilitado en el ejercicio de la función pública
por decisión administrativa firme o sentencia judicial con calidad de cosa
juzgada.
4. Contar con 10 años de experiencia profesional acreditada.
5. Experiencia en gestión, en el sector público o privado.
6. No estar en situación de concurso, inhabilitación para contratar con el Estado
o condenada por delito doloso incompatible con el ejercicio de la función.
7. No ser director, gerente o representante de personas jurídicas declaradas
judicialmente en quiebra, o ser una persona declarada insolvente.
8. Haber ejercido su profesión bajo estándares de integridad.

Artículo 5.- Vacancia del Director/a General de Transparencia, Acceso a la


Información Pública y Protección de Datos Personales

Son causales de vacancia del cargo de Director/a General las siguientes:

1. Fallecimiento
2. Declaración judicial de incapacidad permanente
3. Renuncia
4. Postulación a un cargo de elección popular
5. Haber sido condenado mediante sentencia firme por la comisión de delito
incompatible con el ejercicio de la función
6. Remoción

Artículo 6.- Deber de colaboración

6.1 Las entidades de la Administración Pública, sus servidores civiles y


funcionarios públicos, así como toda persona natural o jurídica está obligada a
atender oportunamente y, bajo responsabilidad, los requerimientos o solicitudes
de información que realice la Autoridad o el Tribunal, en el ejercicio de sus
funciones; sin perjuicio de lo establecido en el inciso 6 del artículo 4 del Decreto
Legislativo N° 1353.

6.2. Los requerimientos o solicitudes que realice la Autoridad o el Tribunal se


atienden en un plazo máximo de siete (7) días hábiles y en los medios que se
soliciten.

6.3. La Autoridad, está facultada para suscribir convenios de colaboración


interinstitucional con entidades públicas o privadas nacionales o internacionales,
a fin de propiciar mecanismos que permitan el intercambio de información u
otras acciones inherentes al cumplimiento de sus funciones.

Artículo 7.- Absolución de consultas

7.1 La Autoridad absuelve consultas sobre la aplicación e interpretación de las


disposiciones sobre Transparencia, Acceso a la Información Pública y Protección
de Datos Personales en un plazo máximo de quince (15) días hábiles.

7.2 La Autoridad puede requerir al solicitante información adicional para


sustentar su pedido, el cual debe absolverlo en un plazo de máximo diez (10) días
hábiles. Durante dicho término se suspende el plazo indicado en el párrafo
anterior. Si el administrado no cumple con absolver el requerimiento de la
Autoridad, concluye el trámite y se archiva la solicitud.

7.3 Al absolver consultas, los criterios de aplicación e interpretación de la


Autoridad tienen carácter vinculante para toda la Administración Pública, cuando
así sea expresamente señalado, siendo de cumplimiento obligatorio para los
administrados, para lo cual se publican tales criterios en el portal web del
Ministerio de Justicia y Derechos Humanos.

Artículo 8.- Procedimiento de Supervisión de las normas de Transparencia y


Acceso a la Información Pública

8.1. Los resultados de la actividad de supervisión son difundidos por la Autoridad


de manera periódica lo cual, debe permitir establecer propuestas para la
adopción de políticas públicas en las materias de su competencia.

8.2 La Autoridad realiza acciones de capacitación, asistencia técnica y


seguimiento para la adecuada implementación de los Portales de Transparencia
Estándar así como para garantizar el derecho de acceso a la información pública
en las Entidades de la Administración Pública.

Artículo 9.- Sobre la clasificación y desclasificación de la información

9.1 La Autoridad convoca a los sectores que cuenten con información sujeta a las
excepciones establecidas en los artículos 15, 16 y 17 del Texto Único Ordenado
de la Ley Nº 27806, Ley de Transparencia y Acceso a la Información Pública, para
la elaboración de los lineamientos a los que refiere el artículo 5 del Decreto
Legislativo Nº 1353, de acuerdo con el cronograma que para dichos efectos se
apruebe mediante Resolución Ministerial.

9.2 Los lineamientos específicos para la clasificación y desclasificación de la


información que se considere confidencial, secreta o reservada son elaborados
por los sectores, de forma conjunta con la Autoridad. Para la aprobación de los
lineamientos, conforme a lo previsto en el artículo 5 del Decreto Legislativo N°
1353, se requiere informe previo de la Autoridad.

9.3 La Autoridad elabora lineamientos estándar para ser aprobados por los
Gobiernos Regionales y Locales, de conformidad con su normativa interna.

CAPÍTULO III
SOBRE EL TRIBUNAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN PÚBLICA

Artículo 10.- Tribunal de Transparencia y Acceso a la Información Pública

10.1. El Tribunal es la última instancia administrativa en materia de


transparencia y derecho al acceso a la información pública a nivel nacional. Lo
resuelto por el Tribunal es de obligatorio cumplimiento y constituye precedente
vinculante en materia de transparencia y acceso a la información pública,
siempre que esta circunstancia se señale en la misma resolución, en cuyo caso
debe ser publicada de acuerdo a Ley.

10.2. Además de las funciones señaladas en el artículo 7 del Decreto Legislativo


Nº 1353, el Tribunal tiene las siguientes funciones:
1) Proponer mejoras a la normatividad en materia de transparencia y acceso a la
información pública.
2) Formular su Reglamento Interno para la aprobación del Ministerio de Justicia
y Derechos Humanos.
3) Resolver, en última instancia administrativa, los recursos de apelación que
interpongan las personas jurídicas a las que se refiere el artículo 9 del Texto Único
Ordenado de la Ley N° 27806 sancionadas por el incumplimiento de este
dispositivo legal.
4) Proponer lineamientos, directivas y otros instrumentos normativos, en el
ámbito de su competencia.

Artículo 10-A.- Presidente/a del Tribunal de Transparencia y Acceso a la


Información Pública

10-A.1. El/la Presidente/a representa al Tribunal y es elegido/a por todos/as


los/las Vocales que lo conforman. La elección se efectúa por votación secreta y
su periodo es de un (1) año. No existe reelección inmediata.

10-A.2. El/la Presidente/a del Tribunal tiene las siguientes funciones:


1) Resolver la abstención presentada por el/la Presidente/a de cada Sala y
designar al/la Vocal reemplazante.
2) Resolver la recusación que se presente contra el/la Presidente/a de cada Sala
del Tribunal.
3) Designar al/la Vocal que asumirá temporalmente la Presidencia de la Sala,
mientras dure la ausencia del/la titular.
4) Comunicar al Despacho Ministerial la vacancia del/la Vocal del Tribunal.
5) Presentar al/la Ministro/a de Justicia y Derechos Humanos la Memoria Anual
del Tribunal.

10-A.3. Para la elección se requiere la mayoría simple de los votos de todos/as


los/las Vocales que conforman el Tribunal. En caso no se llegue a la mayoría
requerida o se produzca un empate entre los/las candidatos/as se procede a una
nueva votación.

La elección del/la Presidente/a del Tribunal es convocada por la Secretaría


Técnica dentro del período de diez (10) días hábiles siguientes a la designación de
los/las Vocales del Tribunal. Los resultados de la elección son comunicados al/la
Ministro/a de Justicia y Derechos Humanos. Las siguientes elecciones se efectúan
con veinte (20) días hábiles de anticipación a la culminación del periodo del/la
Presidente/a.
En caso la elección del/la Presidente/a del Tribunal coincida con el último año del
periodo de todos/as los/las Vocales, la convocatoria es efectuada dentro de los
diez (10) días hábiles siguientes a la designación en el cargo de los/las nuevos/as
Vocales.

10-A.4. La declaratoria de vacancia en el cargo de Vocal implica la automática


pérdida del cargo de Presidente/a del Tribunal, en cuyo caso, cuando la vacancia
sea declarada antes de los seis (6) meses para la culminación del periodo, la
Secretaría Técnica convoca inmediatamente a elecciones para ocupar dicho
cargo hasta la culminación del periodo correspondiente.

En caso la vacancia se produzca dentro de los seis (6) últimos meses del periodo,
el cargo es desempeñado en calidad de interino, hasta la culminación del periodo
por el/la Vocal más antiguo/a del Tribunal.

En caso que dos o más Vocales tengan la misma antigüedad en su designación,


se tiene en cuenta la fecha de incorporación en el colegio profesional
correspondiente.

10-A.5. En caso de ausencia temporal, las funciones del/la Presidente/a del


Tribunal son asumidas, en calidad de designación temporal, por el/la Vocal más
antiguo/a, conforme al párrafo precedente.

Artículo 10-B.- Presidencia de las Salas

10-B.1. El/la Presidente/a de cada Sala es elegido/a por los/las tres (3) vocales
que la conforman. La elección se efectúa por votación secreta y su periodo es de
un (1) año. No existe reelección inmediata.

Para la elección se requiere la mayoría simple de los votos del todos/as los/las
Vocales que conforman la Sala. En caso se produzca un empate entre los/las
candidatos/as se procede a una nueva elección.

La elección del/la Presidente/a de cada Sala del Tribunal es convocada por la


Secretaría Técnica dentro del período de cinco (5) días hábiles siguientes a la
designación de los/las Vocales. Los resultados de la elección son informados al/la
Presidente/a del Tribunal, para su respectiva comunicación al/la Ministro/a de
Justicia y Derechos Humanos. Las siguientes elecciones se efectúan con diez (10)
días hábiles de anticipación a la culminación del periodo del/la Presidente/a.

En caso la elección del/la Presidente/a de cada Sala coincida con el último año
del periodo de todos/as los/las Vocales, la convocatoria se efectúa dentro de los
cinco (5) días hábiles siguientes a la designación en el cargo de los/las nuevos/as
Vocales.
10-B.2. La declaratoria de vacancia y la ausencia temporal del/la Presidente/a de
cada Sala se rige por los mismos criterios establecidos para el/la Presidente/a del
Tribunal.

10-B.3. El/la Presidente/a de cada Sala tiene las siguientes funciones:

1) Convocar, participar y presidir las sesiones de la Sala, emitiendo voto dirimente


en caso de empate.
2) Disponer la publicación de las resoluciones emitidas por las Salas en el portal
institucional del Ministerio de Justicia y Derechos Humanos.
3) Poner en conocimiento de los colegios profesionales e instancias competentes,
los casos de ejercicio ilegal o indebido de la profesión, así como las actuaciones
contrarias a la ética y al principio de conducta procedimental de los que son
partes del procedimiento administrativo.
4) Comunicar a las entidades obligadas de brindar información respecto a la
responsabilidad en que incurran sus funcionarios y/o servidores por la
inobservancia de las normas de transparencia y acceso a la información pública.
5) Otras funciones desarrolladas en el Reglamento Interno del Tribunal.

Artículo 10-C.- Deberes, Derechos y Prohibiciones de los/las Vocales del Tribunal

10-C.1. Son deberes de los/las Vocales del Tribunal:


1) Guardar reserva respecto de hechos o información de los que tenga
conocimiento con ocasión del ejercicio de sus funciones.
2) Adecuar su conducta a los principios, deberes y prohibiciones establecidos en
el Código de Ética de la Función Pública.
3) Cumplir con los deberes y las responsabilidades que le correspondan en virtud
de las normas en materia de transparencia y acceso a la información pública.
4) Cumplir con lo establecido en el Decreto Legislativo N° 1353 y sus
modificatorias, así como el presente Reglamento y sus modificatorias.

10-C.2. Son derechos de los/las Vocales del Tribunal:


1) Participar con voz y voto en las sesiones de la Sala a la que corresponda,
pudiendo formular peticiones o incluir temas en la agenda, conforme al
procedimiento establecido en el Reglamento Interno del Tribunal.
2) Solicitar a la Secretaría Técnica apoyo técnico y/o legal que requiera para la
resolución de los asuntos materia de su competencia.
3) Los demás derechos previstos en las normas legales y disposiciones que rigen
el desempeño funcional de los/las Vocales del Tribunal.

10-C.3. Son prohibiciones de los/las Vocales del Tribunal:

1) Desarrollar cualquier actividad pública y/o privada vinculada con las funciones
que desempeña en el Tribunal.
2) Emitir declaraciones públicas sobre los asuntos relacionados o vinculados al
cumplimiento de sus funciones o actividades, sin autorización previa del/la
Presidente/a del Tribunal.
3) Intervenir como abogado/a, apoderado/a, asesor/a, patrocinador/a u otro
similar de persona natural o jurídica, en cualquier asunto relacionado con los
procedimientos resueltos o que se encuentren pendientes de resolución en el
Tribunal.
4) Percibir más de un ingreso por parte del Estado, salvo los ingresos por el
desempeño de la docencia en el Sector Público, y la percepción de dieta por
participación en un órgano colegiado, conforme a las normas vigentes.
5) Las demás establecidas en la normativa vigente.

Artículo 10-D.- Funciones de los Vocales

El vocal tiene las siguientes funciones:


1) Estudiar los expedientes y elaborar los proyectos de resolución. Las ponencias
son debidamente sustentadas en la fecha fijada por el Presidente de la Sala.
2) Verificar que en la tramitación de los recursos de apelación se hayan aplicado
los principios y respetado los derechos y garantías previstas en la Constitución
Política del Perú, las Leyes y demás normas aplicables.
3) Participar y votar en las sesiones de la Sala que integra; así como, expresar las
razones de su voto singular o discrepante.
4) Asistir a los informes orales, en caso que los hubiere.
5) Completar otra Sala en los casos de abstención, recusación o ausencia
justificada de un vocal.

Artículo 10-E.- Secretaría Técnica del Tribunal

El Tribunal cuenta con una Secretaría Técnica encargada de prestar el apoyo


técnico y administrativo que requieran las Salas del Tribunal para el
cumplimiento de sus funciones.

La Secretaría Técnica brinda apoyo en la tramitación de los procedimientos


administrativos que se sometan a conocimiento del Tribunal.

Se encuentra a cargo de un/a Secretario/a Técnico/a designado/a por el/la


Ministro/a de Justicia y Derechos Humanos.

Para ser Secretario/a Técnico/a, se requiere ser abogado/a de profesión y contar


con experiencia profesional no menor de ocho (8) años, de los cuales, cinco (5)
años deben estar vinculados a la materia de transparencia y acceso a la
información pública.

La Secretaría Técnica dispone la gestión y requerimiento del personal


administrativo y legal del Tribunal, para el cumplimiento adecuado de sus
funciones.
La Secretaría Técnica cumple las siguientes funciones:

1) Prestar asesoría técnica especializada para la elaboración de los proyectos de


resoluciones.
2) Elaborar los informes y opiniones técnicas. Tramitar y coordinar la realización
de las sesiones y/o diligencias del Tribunal.
3) Disponer la recepción, registro y custodia de los expedientes administrativos
que son sometidos a la competencia del Tribunal, asignándolos en estricto orden
de ingreso.
4) Gestionar y prestar al Tribunal el apoyo logístico administrativo que requiera
para el cumplimiento de sus funciones.
5) Coordinar con el Presidente del Tribunal para la elaboración de la Memoria
Anual del Tribunal.
6) Disponer la gestión y requerimientos del personal del Tribunal.
7) Celebrar, previa delegación del/la Ministro/a, acuerdos, convenios de
cooperación interinstitucional y memorándum de entendimiento, con la finalidad
de garantizar los derechos de las personas en materia de transparencia y el
derecho de acceso a la información pública.
8) Desarrollar y participar en eventos de difusión con funcionarios y la sociedad
civil sobre las competencias del Tribunal.
9) Otras funciones desarrolladas en el Reglamento Interno del Tribunal.

Artículo 11.- De la Comisión para la selección de vocales

11.1 Mediante Resolución Ministerial del Ministerio de Justicia y Derechos


Humanos, se conforma la Comisión de Selección y se aprueban las Bases del
Concurso Público para la selección de Vocales de las Salas del Tribunal. Cada Sala
se integra por lo menos con una (1) mujer o un (1) hombre.
11.2 La Comisión de Selección está conformada por tres (3) integrantes, que
ejercen el encargo ad honorem:
1. Un/a (1) representante del Ministerio de Justicia y Derechos Humanos, que la
preside;
2. Un/a (1) miembro propuesto por la Comisión de Alto Nivel Anticorrupción que
debe provenir de la sociedad civil; y,
3. Un/a (1) representante de la Autoridad Nacional del Servicio Civil – SERVIR
11.3 La Comisión de Selección invita a representantes de organizaciones de la
sociedad civil especializadas en materia de transparencia y acceso a la
información pública; así como a la Defensoría del Pueblo; la Contraloría General
de la República para que puedan participar en calidad de observadores.
11.4 La Comisión de Selección se instala dentro de los dos (02) días hábiles
siguientes de la fecha de publicación de la Resolución Ministerial que la conforma
y convoca al Concurso Público dentro de los tres (03) días hábiles siguientes de la
fecha en que tiene lugar su instalación.
11.5 La Comisión de Selección cuenta con un Secretario Técnico, designado por el
Ministro de Justicia y Derechos Humanos. La Secretaría Técnica brinda el apoyo
técnico y administrativo necesario para realizar el concurso público.
11.6 Los actos de la Comisión de Selección tienen calidad de actos de
administración interna conforme a lo dispuesto en el artículo 1 numeral 1.2 inciso
1.2.1 del Texto Único de la Ley Nº 27444, Ley del Procedimiento Administrativo
General aprobado por Decreto Supremo N° 006-2017-JUS, por consiguiente no
corresponde interponer contra ellos recurso administrativo alguno.

Artículo 12.- Etapas y reglas generales del concurso público

12.1. El Concurso Público para la designación de Vocales del Tribunal tiene las
siguientes etapas:

1. Convocatoria

a) La Comisión de Selección realiza la convocatoria al Concurso Público, a través


de un aviso a publicarse, por única vez, en el Diario Oficial El Peruano y en otro
diario de circulación nacional. En la misma fecha, la convocatoria es difundida en
el portal institucional del Ministerio de Justicia y Derechos Humanos y del Servicio
Nacional de Empleo del Ministerio de Trabajo y Promoción del Empleo. Asimismo,
la convocatoria puede difundirse en los demás medios de comunicación del
Ministerio de Justicia y Derechos Humanos y de otras instituciones.
b) El aviso de convocatoria contiene los requisitos generales para postular, la
fecha de cierre de la etapa de postulación y el lugar donde debe remitirse el
currículum vitae y la documentación requerida.
c) El plazo para postular es de diez (10) días hábiles contados desde el día
siguiente de la fecha de la publicación del aviso de convocatoria, conforme a lo
establecido en las bases del proceso. Vencido dicho plazo se cierra la etapa de
postulación al Concurso Público.
d) Al término del plazo para presentar las postulaciones y con la finalidad de
determinar la relación de postulantes aptos, la Comisión de Selección verifica que
los/las postulantes cumplan con los requisitos exigidos y no se encuentren
inmersos en causales de incompatibilidad. Culminada la verificación, la Comisión
de Selección publica la relación de postulantes aptos y no aptos en el portal
institucional del Ministerio de Justicia y Derechos Humanos. En la publicación de
aptos y no aptos, se consignan los requisitos incumplidos y/o las causales de
incompatibilidad.
e) De comprobarse posteriormente la existencia de alguna incompatibilidad o el
incumplimiento de algunos de los requisitos establecidos en el artículo 12 del
Decreto Legislativo Nº 1353, por parte de un postulante apto, la Comisión de
Selección lo declara inhábil en cualquier etapa del concurso público, retirando su
postulación.
2. Evaluación
a) La etapa de evaluación tiene tres fases: prueba de conocimientos, evaluación
curricular y entrevista personal. Estas fases son eliminatorias, pasando a la
siguiente fase aquellos/as postulantes que hayan obtenido puntaje aprobatorio
en la fase anterior. Los criterios para la distribución y asignación de los puntajes
para todas las etapas son establecidos en las Bases del Concurso Público.
Culminada la evaluación programada en cada fase, no procede la evaluación en
otra fecha.
b) La prueba de conocimientos se realiza con los postulantes que hubieran
presentado su solicitud dentro del plazo establecido. Esta evaluación se realiza
en un plazo máximo de cinco (05) días hábiles, contados desde el día siguiente
del último día para presentar la postulación.
c) La Evaluación Curricular tiene como finalidad evaluar el cumplimiento de los
requisitos establecidos en el artículo 12 del Decreto Legislativo N° 1353, así como
la documentación sustentatoria, conforme a las bases del concurso, presentada
por cada uno de los postulantes declarados como aptos de la prueba de
conocimientos. Esta evaluación se realiza en un plazo máximo de diez (10) días
hábiles, contados desde el día siguiente de efectuada la publicación de
postulantes aptos.
d) Para la evaluación curricular, se tienen en cuenta la formación académica y
experiencia acreditada. Una vez superadas las fases de prueba de conocimientos
y evaluación curricular, los/las postulantes que superen la calificación mínima
ponderada de ambas fases, pasan a la entrevista personal.
e) Realizada la ponderación, la Comisión de Selección publica la lista de los/las
postulantes, a los que se hace mención en el literal anterior, en orden alfabético,
señalando el nombre completo del/la postulante y su número de Documento
Nacional de Identidad. Esta publicación se realiza en el portal institucional del
Ministerio de Justicia y Derechos Humanos durante dos (2) días hábiles.
f) Dentro del plazo señalado en el inciso anterior, los postulantes aptos son
evaluados mediante un examen sicológico, cuyos resultados sirven de insumo
para la comisión de selección en la etapa de entrevista personal.
g) La comisión de selección cita a los postulantes a una entrevista personal. Las
entrevistas se realizan en un plazo no mayor de tres (03) días hábiles, contados a
partir del día siguiente de cumplido el plazo establecido en el inciso e).
h) Culminada la etapa de entrevista personal, la Comisión de Selección publica la
lista de los/las postulantes con los puntajes obtenidos, en orden alfabético,
señalando el nombre completo del/la postulante y su número de Documento
Nacional de Identidad. Esta publicación se realiza en el portal institucional del
Ministerio de Justicia y Derechos Humanos durante dos (2) días hábiles.
i) En caso proceda la tacha formulada contra uno de los postulantes que señala
el inciso h) del numeral 2 del presente artículo, se designa al postulante inmediato
siguiente, según el puntaje obtenido, siempre que cumpla con el mínimo
requerido. Para ello, se considera las reglas de composición del Tribunal
establecidas en el artículo 11 del Decreto Legislativo N° 1353.
3. Tachas
a) Culminada la etapa de evaluación, cualquier persona puede presentar tachas
contra los/las postulantes. Estas tachas deben estar fundamentadas y
acompañadas de los medios probatorios que acrediten el incumplimiento de los
requisitos contenidos en el numeral 12.1 del artículo 12 del Decreto Legislativo
N° 1353.
b) En caso la tacha formulada contra uno/a de los/las postulantes se declare
fundada corresponde su exclusión del proceso de selección.
4. Selección
a) Culminada la etapa de tachas, la Comisión de Selección pone en conocimiento
del/la Ministro/a de Justicia y Derechos Humanos la lista de los/las postulantes
seleccionados/as de acuerdo al número de plazas convocadas, en un plazo
máximo de dos (2) días hábiles.
Presentada la lista de los/las postulantes seleccionados/as, culmina la labor de la
Comisión de Selección sin necesidad de declaración expresa.
b) Mediante Resolución Suprema se designa a los/las Vocales de las Salas del
Tribunal.

Artículo 13.- Desempeño del cargo y retribución

13.1 Los vocales del Tribunal perciben dietas por el desempeño del cargo, con un
máximo de cuatro (4) sesiones retribuidas al mes, aun cuando se realicen sesiones
adicionales.
13.2 El monto de la dieta es fijada conforme a la normativa vigente.

Artículo 14.- Causales de abstención

Los/las Vocales de las Salas del Tribunal se abstienen de participar en los


procedimientos en los cuales identifiquen que se encuentran en alguna de las
causales previstas en el artículo 97 del Texto Único Ordenado de la Ley Nº 27444,
Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo
N° 006-2017-JUS, o norma que lo sustituya.

En el trámite y resolución de la abstención de los/las Vocales de las Salas del


Tribunal, se consideran las siguientes reglas:

1) El escrito de abstención debidamente fundamentado es presentado por el/la


Vocal ante el/la Presidente/a de la Sala respectiva, en el día que tomó
conocimiento de la causal de abstención.
2) El/la Presidente/a de la Sala que toma conocimiento de la abstención, resuelve
declarándola fundada o infundada, al día hábil siguiente.
3) De declararse fundada la abstención, el/la Presidente/a de Sala comunica al/la
Presidente/a del Tribunal, quien designa al/la Vocal de la respectiva Sala que
asume el caso. De declararse infundada la abstención, el/la Vocal que la formuló
continúa conociendo el caso.
4) El/la Vocal designado/a para reemplazar al/la Vocal que formuló la
abstención, es el de mayor antigüedad en su designación. En caso que dos o más
Vocales tengan la misma antigüedad, se tiene en cuenta la fecha de
incorporación en el colegio profesional correspondiente.
5) En caso que el/la Presidente/a de Sala formule la abstención, la presenta ante
el/la Presidente/a del Tribunal, quien resuelve al día hábil siguiente y, de ser el
caso, designa al/la Vocal reemplazante. Declarada fundada la abstención, el/la
Vocal que la formuló está impedido de seguir conociendo el respectivo
expediente.”
Artículo 15.- Recusación

Los/las Vocales de las Salas del Tribunal pueden ser recusados por las partes.

La recusación se formula ante el/la Presidente/a de la Sala del Tribunal que


corresponda y se fundamenta en cualquiera de las causales de abstención
previstas en el artículo 97 del Texto Único Ordenado de la Ley Nº 27444, Ley del
Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-
2017-JUS o norma que lo sustituya.

El escrito de recusación contiene los medios probatorios que lo sustentan,


excepto la declaración del recusado, que es improcedente.

El procedimiento para la recusación se realiza conforme a lo establecido en el


artículo 14 del presente Reglamento.

La decisión sobre la recusación es inimpugnable.

Artículo 16.- Ausencia de Vocal

En caso fortuito o de fuerza mayor, los/las Vocales del Tribunal justifican su


ausencia a las sesiones ante el/la Presidente/a de su respectiva Sala, quien la
comunica al/la Presidente/a del Tribunal.

Al tomar conocimiento de la ausencia del/la Vocal, el/la Presidente/a del


Tribunal, entre los Vocales de las otras Salas del Tribunal, designa y comunica en
el día al/la Vocal reemplazante que asume dicha función. Para la designación de
el/la Vocal reemplazante, se adopta el criterio de antigüedad en la designación
en el cargo. En caso que dos o más Vocales tengan la misma antigüedad, se tiene
en cuenta la fecha de incorporación en el colegio profesional correspondiente.

Artículo 17.-Vacancia

Se declara la vacancia de los/las Vocales del Tribunal en los siguientes casos:


1) Fallecimiento.
2) Incapacidad permanente, la misma que se produce al declararse su
incapacidad laboral en forma permanente.
3) Renuncia.
4) Postulación a un cargo de elección popular.
5) Haber sido sancionado con destitución conforme a la normativa
correspondiente.
6) Haber sido condenado mediante sentencia firme por la comisión de delito
doloso.
7) Incompatibilidad sobreviniente o carecer de los requisitos para ejercer el cargo.
El trámite de la vacancia del cargo de Vocal del Tribunal está a cargo de el/la
Presidente/a del Tribunal, poniendo en conocimiento del Despacho Ministerial.
La vacancia es declarada por Resolución Suprema que se publica en el Diario
Oficial El Peruano, procediéndose de inmediato a la convocatoria para cubrir la
plaza vacante, conforme a lo establecido en el artículo 12 del presente
Reglamento.

Artículo 18.- Publicidad de las resoluciones del Tribunal

El Tribunal, a través del portal institucional del Ministerio de Justicia y Derechos


Humanos, publica las resoluciones que expida en última instancia administrativa
y la pone a disposición de las entidades de la Administración Pública mediante la
Plataforma de Interoperabilidad del Estado (PIDE) y en el Portal Nacional de
Datos Abiertos, administrada por la Secretaría de Gobierno Digital de la
Presidencia del Consejo de Ministros, así como en la Plataforma de Integridad.pe
(http://peru.gob.pe/integridad), administrada por la Secretaria de Integridad
Pública de la Presidencia del Consejo de Ministros de manera gratuita y
permanente.

Artículo 19.- Implementación progresiva del sistema de información para el


procedimiento administrativo electrónico en segunda instancia del Tribunal

El sistema de información para el procedimiento administrativo electrónico del


Tribunal es una plataforma digital que tiene por finalidad facilitar la tramitación
de los procedimientos administrativos y garantizar el derecho de acceso a la
información pública de las personas.
Esta plataforma permite la presentación del recurso de apelación desde cualquier
lugar y se implementa de manera progresiva conforme a la complejidad de los
procesos del sistema. Su uso es opcional respecto a los procedimientos
tradicionales.

Articulo 20.- Implementación de mecanismos complementarios de recepción de


recursos

La Secretaria Técnica coordina con los órganos del Ministerio de Justicia y


Derechos Humanos para la recepción de los recursos de apelación en materia de
transparencia y derecho de acceso a la información pública, considerando los
criterios de mayor alcance a nivel nacional y de mejor accesibilidad para las
personas.

DISPOSICIONES FINALES TRANSITORIAS

Primera.- Proceso de selección del/la Director/a General de Transparencia,


Acceso a la Información Pública y Protección de Datos Personales

En tanto el Ministerio de Justicia y Derechos Humanos no culmine su


incorporación al régimen de la Ley Nº 30057, Ley del Servicio Civil, el proceso de
selección del/la Director/a General de Transparencia, Acceso a la Información
Pública y Protección de Datos Personales se sujeta a un concurso a cargo de una
comisión evaluadora, conforme a los lineamientos que para tal efecto sean
aprobados mediante Resolución Ministerial, la cual deberá ser emitida en un
plazo no mayor a quince (15) días hábiles contados a partir de la entrada en
vigencia del presente Reglamento. El Ministerio de Justicia y Derechos Humanos
realiza las acciones necesarias para la conformación, instalación y
funcionamiento de esta comisión.
La designación del/la Director/a General de Transparencia y Acceso a la
Información Pública se realiza mediante Resolución Ministerial, por un periodo
de cuatro (4) años, quien ejerce funciones hasta la designación del reemplazante.

Segunda.- Comisión evaluadora del/la Director/a General de Transparencia,


Acceso a la Información Pública y Protección de Datos Personales

La selección del Director/a General de Transparencia, Acceso a la Información


Pública y Protección de Datos Personales a la que hace referencia la Primera
Disposición Final Transitoria está a cargo de una comisión evaluadora está
integrada por:
1. El/la Viceministro/a de Justicia.
2. El/la Viceministro/a de Derechos Humanos y Acceso a la Justicia.
3. El/la Secretario/a General.
La comisión evaluadora cuenta con una Secretaría Técnica, a cargo de la Oficina
de Recursos Humanos.

DISPOSICIONES COMPLEMENTARIAS MODIFICATORIAS

Primera.- Incorporase los artículos 15-A, 15-B, y 16-A al Título III del Reglamento
de la Ley de Transparencia y Acceso a la Información Pública, aprobado por el
Decreto Supremo N° 072-2003-PCM

Incorporase los artículos 15-A, 15-B y 16-A al Título III, relativo al Procedimiento
de acceso a la información, del Reglamento de la Ley de Transparencia y Acceso
a la Información Pública, aprobado por el Decreto Supremo N° 072-2003-PCM, en
los siguientes términos:

“Artículo 15-A.- Encausamiento de las solicitudes de información

15-A.1 De conformidad con el inciso a) del artículo 11 de la Ley, las


dependencias de la entidad encausan las solicitudes de información que
reciban hacia el funcionario encargado dentro del mismo día de su
presentación, más el término de la distancia, para las dependencias
desconcentradas territorialmente.
15-A.2 De conformidad con el segundo párrafo del inciso b) del artículo 11
de la Ley, la entidad que no sea competente encausa la solicitud hacia la
entidad obligada o hacia la que posea la información en un plazo máximo
de dos (2) días hábiles, más el término de la distancia. En el mismo plazo
se pone en conocimiento el encausamiento al solicitante, lo cual puede ser
por escrito o por cualquier otro medio electrónico o telefónico, siempre
que se deje constancia de dicho acto. En este caso, el plazo para atender
la solicitud se computa a partir de la recepción por la entidad competente.
15-A.3. El incumplimiento de la obligación de encausamiento en los plazos
establecidos acarrea responsabilidad administrativa, debiendo el
funcionario obligado tener en consideración el plazo para la entrega de la
información solicitada, conforme al inciso b) del artículo 11 de la Ley.
15-A.4 Los funcionarios y entidades utilizan medios electrónicos para el
encausamiento de las solicitudes, en aquellos ámbitos geográficos donde
se tenga acceso a los medios tecnológicos necesarios.

Artículo 15-B.- Falta de capacidad logística, operativa y de personal

15-B.1 Para efectos de lo dispuesto por el inciso g) del artículo 11 de la


Ley, se tiene en consideración los siguientes criterios:
1. Constituye falta de capacidad logística la carencia o insuficiencia de
medios que se requieran para reproducir la información solicitada.
2. Constituye falta de capacidad operativa la carencia de medios para la
remisión de la información solicitada tales como servicio de
correspondencia, soporte informático, línea de internet, entre otros que
se utilicen para dicho fin.
3. La causal de falta de recursos humanos se aplica cuando la solicitud de
acceso a la información pública deba ser atendida por una entidad u
órgano que no cuente con personal suficiente para la atención inmediata
o dentro del plazo, considerando el volumen de la información solicitada,
sin afectar sustancialmente la continuidad del servicio o función pública
de su competencia.
16-B.2 Las condiciones indicadas deben constar en cualquier instrumento
de gestión o acto de administración interna de fecha anterior a la
solicitud, que acrediten las gestiones administrativas iniciadas para
atender la deficiencia.
15-B.3 Las condiciones señaladas no limitan el derecho del solicitante de
acceder de manera directa a la documentación o información requerida.
15-B.4 Las limitaciones logísticas u operativas pueden constituir
violaciones al derecho de acceso a la información pública si estas se
extienden por un plazo, que a juicio del Tribunal o de la Autoridad, sea
irrazonable.

Artículo 16-A.- Denegatoria de acceso y procesamiento de datos


preexistentes

La información contenida en correos electrónicos o en aplicaciones de


mensajería electrónica de los funcionarios públicos no es de acceso
público.
Asimismo, conforme al artículo 13 de la Ley, el procesamiento de datos
preexistentes opera respecto de información contenida en una base de
datos electrónica, o cuando la entidad tenga la obligación de gestionar la
información en una base de datos electrónica, salvaguardando las
excepciones previstas en los artículo 15, 16 y 17 del Texto Único Ordenado
de la Ley Nº 27806, Ley de Transparencia y Acceso a la Información
Pública. Este procesamiento consiste en la presentación de la información
bajo cualquier forma de clasificación, agrupación o similar que permita su
utilización.”

Segunda.- Incorpórase al Reglamento de la Ley de Transparencia y Acceso a la


Información Pública, aprobado por el Decreto Supremo N° 072-2003-PCM, el
Título VII, sobre el procedimiento sancionador en los siguientes términos:

“TITULO VII PROCEDIMIENTO SANCIONADOR

CAPÍTULO I
DE LAS DISPOSICIONES GENERALES

Artículo 28.- Prescripción

Las reglas de prescripción se rigen de acuerdo a lo establecido por la Ley


N° 30057, Ley del Servicio Civil, y su Reglamento General.

Artículo 29.- Graduación de la sanción

Para la imposición de una sanción por infracción a la normativa de


transparencia y acceso a la información pública, se utiliza los criterios
establecidos en el principio de razonabilidad dispuesto en el inciso 3 del
artículo 246 del Texto Único de la Ley N° 27444, Ley del Procedimiento
Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS,
y lo señalado en el artículo 87 de la Ley N° 30057, Ley del Servicio Civil, en
lo que fuera aplicable.

Artículo 30.- Principios del procedimiento sancionador

El procedimiento sancionador en materia de transparencia y acceso a la


información pública se rige por los principios de la potestad sancionadora
descritos en la Ley N° 30057, Ley del Servicio Civil y su Reglamento
General.

Artículo 31.- Procedimiento

Las conductas infractoras a las normas de transparencia y acceso a la


información pública se tramitan en un expediente distinto de aquel que
corresponda para las demás faltas disciplinarias, así se trate de un mismo
sujeto infractor.
Los actos administrativos que impongan una sanción por infracción a las
normas sobre transparencia y acceso a la información pública pueden ser
objeto del recurso administrativo de apelación ante el Tribunal.
El plazo para la interposición de los medios impugnatorios es de quince
(15) días hábiles, y debe resolverse en el plazo de treinta (30) días hábiles.
El acto administrativo que resuelve la apelación agota la vía
administrativa.
La interposición de los medios impugnatorios no suspende la ejecución del
acto impugnado.
El recurso de apelación se interpone cuando la impugnación se sustente
en diferente interpretación de las pruebas producidas, se trate de
cuestiones de puro derecho o se cuente con nueva prueba instrumental.
Se dirige a la misma autoridad que expidió el acto que se impugna para
que eleve lo actuado al superior jerárquico.
La apelación es sin efecto suspensivo.
En caso la sanción impuesta por la entidad sea la destitución o
inhabilitación, el Tribunal remite el recurso de apelación al Tribunal del
Servicio Civil, para que este resuelva la apelación conforme a su
competencia, acompañándose el informe a que alude el segundo párrafo
del artículo 8º del Decreto Legislativo N° 1353.

CAPÍTULO II
SANCIONES IMPUESTAS EN LAS ENTIDADES PÚBLICAS

Artículo 32.- Infracciones muy graves

Constituyen infracciones muy graves:


1. Sustraer, destruir, extraviar, alterar y/o mutilar, total o parcialmente,
la información en poder del Estado o las solicitudes de acceso a la
información pública.
2. Emitir directivas, lineamientos y otras disposiciones de administración
interna u órdenes que contravengan el régimen jurídico de la
transparencia y el acceso a la información pública, incluyendo las emitidas
por la Autoridad en el ejercicio de sus funciones; o, que tengan por efecto
el incumplimiento de las obligaciones contenidas en dicho régimen.
3. Impedir u obstaculizar a los funcionarios responsables en materia de
transparencia y acceso a la información pública el cumplimiento de sus
obligaciones en dichas materias.
4. Sancionar o adoptar represalias de cualquier tipo contra los
funcionarios responsables en materia de transparencia y acceso a la
información pública, por cumplir con sus obligaciones.
5. Negarse a cumplir con lo ordenado por la Autoridad en el ejercicio de
sus funciones.
6. Denegar solicitudes de acceso a la información sin expresar motivación,
con motivación aparente o apartándose de los precedentes vinculantes, y
doctrina jurisprudencial vinculante del Tribunal Constitucional; así como
de los precedentes vinculantes y opiniones consultivas vinculantes.
Artículo 33.- Infracciones graves

Constituyen infracciones graves, las siguientes conductas:


1. Negarse a recibir las solicitudes de acceso a la información.
2. Impedir u obstaculizar el ejercicio de funciones de la Autoridad.
3. Incumplir injustificadamente con los plazos legales para atender las
solicitudes de información.
4. Ampliar irrazonablemente el plazo para atender la información en los
casos en los que se refiere el inciso g) del artículo 11 de la Ley.
5. Atender las solicitudes de información entregando información
desactualizada, incompleta e inexacta.
6. No actualizar la información contenida en los portales de transparencia
de acuerdos a los plazos establecidos por la normativa vigente; o
actualizarla de manera incompleta, inexacta o ininteligible.
7. No incorporar el procedimiento de acceso a la información pública en
el Texto Único de Procedimientos Administrativos (TUPA) de la entidad.
8. No adoptar las medidas para la designación del funcionario
responsable de brindar información solicitada y/o de la elaboración y
actualización del portal institucional en Internet.
9. Exigir requisitos distintos o adicionales a los contemplados por ley para
atender las solicitudes de información.
10. Aprobar o efectuar cobros adicionales que no guarden relación con el
costo de la reproducción de la información.
11. No responder las solicitudes de acceso a la información pública.
12. Impedir injustificadamente el acceso directo a la información
solicitada.
13. Denegar información atribuyéndole indebidamente la calidad de
clasificada como secreta, reservada o confidencial.
14. Clasificar como información secreta, reservada o confidencial,
incumpliendo lo dispuesto en la Ley y los lineamientos de clasificación
establecidos de conformidad con el artículo 5 del Decreto Legislativo N°
1353.
15. Incumplir la obligación de colaboración con la Autoridad.
16. No remitir, dentro del plazo establecido, la información solicitada por
la Autoridad.
17. Incumplir injustificadamente con los plazos y actuaciones establecidas
en el artículo 13 del presente Reglamento.

Artículo 34.- Infracciones leves.

Constituyen infracciones leves, las siguientes conductas:


1. Incumplimiento de encausar las solicitudes de acceso a la información
pública al que hace referencia el inciso a) del artículo 11 de la Ley.
2. Falta de comunicación del uso del plazo al que hace referencia el inciso
g) del artículo 11 de la ley.
3. Incumplir con la obligación de conservar la información que posee la
Entidad Pública, de conformidad a lo establecido en el artículo 21 de la
Ley y su Reglamento.

Artículo 35.- Del procedimiento sancionador

35.1 El procedimiento sancionador está a cargo de cada entidad. Las fases


del procedimiento y las autoridades a cargo de éste, son las establecidas
en el Reglamento General de la Ley Nº 30057, Ley del Servicio Civil,
aprobado por Decreto Supremo N° 040-2014-PCM.
35.2 El procedimiento se inicia de oficio por parte de la autoridad
instructora, lo cual tiene como origen, su propia iniciativa o como
consecuencia de orden superior, petición motivada de otros órganos o por
denuncia de un ciudadano.

Artículo 36.- Sanción a servidores civiles

En caso de violación de las normas de la Ley o del presente Reglamento,


la entidad aplica las siguientes sanciones a los servidores civiles, de
conformidad con el artículo 29 sobre graduación de la sanción:
1. Las infracciones leves son sancionadas con una amonestación escrita o
una suspensión sin goce de haber entre diez (10) y treinta (30) días.
2. Las infracciones graves son sancionadas con una suspensión sin goce
de haber entre treinta y un (31) días hasta ciento veinte (120) días.
3. Las infracciones muy graves son sancionadas con suspensión sin goce
de haber entre ciento veintiún (121) días hasta ciento ochenta (180) días,
o destitución e inhabilitación hasta por 2 años.
En caso de reincidencia en la comisión de dos (02) infracciones leves, en
un mismo año, la tercera infracción leve se sanciona como una infracción
grave.
En caso de reincidencia en la comisión de dos (02) infracciones graves, en
un mismo año, la tercera infracción grave se sanciona como una
infracción muy grave.

Artículo 37.- Sanción a ex servidores civiles

La desvinculación de la entidad en la que prestaba servicios el servidor o


funcionario infractor, no impide la imposición de la sanción en su contra.
En caso de violación de las normas de la Ley o del presente Reglamento,
la Entidad aplica las siguientes sanciones a los ex servidores civiles, de
conformidad con el artículo 29 sobre graduación de la sanción:
1. Las infracciones leves son sancionadas con una amonestación escrita o
una multa hasta una (1) unidad impositiva tributaria (UIT).
2. Las infracciones graves son sancionadas con una multa no menor de
una (1) unidad impositiva tributaria (UIT) hasta cinco (5) unidades
impositivas tributarias (UIT).
3. Las infracciones muy graves son sancionadas con multa no menor de
tres (3) unidades impositivas tributarias (UIT) hasta cinco (5) unidades
impositivas tributarias (UIT) más inhabilitación hasta por 2 años.

CAPITULO III
Procedimiento sancionador a las personas jurídicas

Artículo 38.- Procedimiento sancionador a las personas jurídicas

De conformidad con párrafo 35.2 del artículo 35 de la Ley, las personas


jurídicas están sujetas a sanción de multa.
El procedimiento sancionador comprende la fase instructora y la
sancionadora. La fase instructora está a cargo del órgano de línea de la
Autoridad que establezca el Reglamento de Organización y Funciones del
Ministerio de Justicia y Derechos Humanos. La fase sancionadora está a
cargo de la Autoridad.
Los plazos y la estructura del procedimiento se ciñen a lo establecido por
el artículo 35 del presente Reglamento.

Artículo 39.- Infracciones muy graves

Constituyen infracciones muy graves:


1. Sustraer, destruir, extraviar, alterar y/o mutilar, total o parcialmente,
las solicitudes de acceso a la información a las que esté obligada a
entregar de conformidad con el artículo 9 de la Ley, y que no se
encuentren publicadas.
2. Emitir reglamentos, directivas, instrucciones u órdenes que
contravengan el régimen jurídico de acceso a la información o que tengan
por efecto el incumplimiento de las obligaciones contenidas en dicho
régimen al que se encuentra obligada.
3. Sancionar o adoptar represalias de cualquier tipo
contra los empleados responsables en materia de acceso a la información
pública, por cumplir con sus obligaciones.
4. Negarse u omitir cumplir con lo ordenado por la Autoridad y el Tribunal
en el ejercicio de sus funciones.
5. Denegar solicitudes de acceso a la información sin expresar motivación
o con motivación aparente.

Artículo 40.- Infracciones graves

Constituyen infracciones graves:


1. Negarse a recibir las solicitudes de acceso a la información.
2. Impedir u obstaculizar el ejercicio de funciones de la Autoridad.
3. Incumplir injustificadamente con los plazos legales para atender las
solicitudes de información.
4. Atender las solicitudes de información entregando información
desactualizada, incompleta e inexacta.
5. Exigir requisitos distintos o adicionales a los contemplados por Ley para
atender las solicitudes de información.
6. Aprobar o efectuar cobros adicionales que no guarden relación con el
costo de la reproducción de la información, de corresponder.
7. No responder las solicitudes de acceso a la información pública.
8. Denegar información atribuyéndole indebidamente la calidad de
clasificada como secreta, reservada o confidencial.
9. No remitir, dentro del plazo establecido, la información solicitada por
la Autoridad.

Artículo 41.- Infracciones leves.

Constituye infracción leve, la siguiente conducta:


1. El incumplimiento de las demás obligaciones derivadas del régimen
jurídico de la transparencia y el acceso a la información pública, que no se
encuentren sancionadas como infracciones graves o muy graves.

Artículo 42. Sanciones administrativas

En caso de violación de las normas de la Ley o del presente Reglamento,


la Autoridad aplica las siguientes multas:
1. Las infracciones leves son sancionadas hasta con una (1) unidad
impositiva tributaria (UIT).
2. Las infracciones graves son sancionadas con multa no menor de una (1)
unidad impositiva tributaria (UIT) y hasta tres (3) unidades impositivas
tributarias (UIT).
3. Las infracciones muy graves son sancionadas con multa no menor de
tres (3) unidades impositivas tributarias (UIT) y hasta cinco (5) unidades
impositivas tributarias (UIT).

Tercera.- Incorporación del Capítulo IV de Infracciones al Título VI de Infracciones


y Sanciones al Reglamento de la Ley N° 29733, Ley de Protección de Datos
Personales

Incorpórase el Capítulo IV de Infracciones al Título VI al Reglamento de la de la


Ley N° 29733, Ley de Protección de Datos Personales, aprobado por el Decreto
Supremo N° 003-2013-JUS, en los siguientes términos:

TÍTULO VI INFRACCIONES Y SANCIONES

CAPÍTULO IV
INFRACCIONES
Artículo 132.- Infracciones

Las infracciones a la Ley N° 29733, Ley de Protección de Datos Personales,


o su Reglamento se califican como leves, graves y muy graves y se
sancionan con multa de acuerdo al artículo 39 de la citada Ley.
1. Son infracciones leves
a) Realizar tratamiento de datos personales incumpliendo las medidas de
seguridad establecidas en la normativa sobre la materia.
b) Recopilar datos personales que no sean necesarios, pertinentes ni
adecuados con relación a las finalidades determinadas, explícitas y lícitas
para las que requieren ser obtenidos.
c) No modificar o rectificar los datos personales objeto de tratamiento
cuando se tenga conocimiento de su carácter inexacto o incompleto.
d) No suprimir los datos personales objeto de tratamiento cuando hayan
dejado de ser necesarios, pertinentes o adecuados para la finalidad para
la cual fueron recopilados o cuando hubiese vencido el plazo para su
tratamiento. En estos casos, no se configura la infracción cuando media
procedimiento de anonimización o disociación.
e) No inscribir o actualizar en el Registro Nacional los actos establecidos
en el artículo 34 de la Ley.
f) Dar tratamiento a los datos personales contraviniendo las disposiciones
de la Ley y su Reglamento.
2. Son infracciones graves:
a) No atender, impedir u obstaculizar el ejercicio de los derechos del titular
de datos personales de acuerdo a lo establecido en el Título III de la Ley
N° 29733 y su Reglamento.
b) Dar tratamiento a los datos personales sin el consentimiento libre,
expreso, inequívoco, previo e informado del titular, cuando el mismo sea
necesario conforme a lo dispuesto en la Ley N° 29733 y su Reglamento.
c) Realizar tratamiento de datos personales sensibles incumpliendo las
medidas de seguridad establecidas en la normativa sobre la materia.
d) Recopilar datos personales sensibles que no sean necesarios,
pertinentes ni adecuados con relación a las finalidades determinadas,
explícitas y lícitas para las que requieren ser obtenidos.
e) Utilizar los datos personales obtenidos lícitamente para finalidades
distintas de aquellas que motivaron su recopilación, salvo que medie
procedimiento de anonimización o disociación.
f) Obstruir el ejercicio de la función fiscalizadora de la Autoridad.
g) Incumplir la obligación de confidencialidad establecida en el artículo 17
de la Ley N° 29733.
h) No inscribir o actualizar en el Registro Nacional los actos establecidos
en el artículo 34 de la Ley N° 29733, a pesar de haber sido requerido para
ello por la Autoridad en el marco de un procedimiento sancionador.
3. Son infracciones muy graves:
a) Dar tratamiento a los datos personales contraviniendo las obligaciones
contenidas en la Ley N° 29733 y su Reglamento, cuando con ello se impida
o se atente contra el ejercicio de otros derechos fundamentales.
b) Recopilar datos personales mediante medios fraudulentos, desleales o
ilícitos.
c) Suministrar documentos o información falsa a la Autoridad.
d) No cesar en el indebido tratamiento de datos personales cuando
existiese un previo requerimiento de la Autoridad como resultado de un
procedimiento sancionador o de un procedimiento trilateral de tutela.
e) No cumplir con las medidas correctivas establecidas por la Autoridad
como resultado de un procedimiento trilateral de tutela.

Artículo 133.- Graduación en caso de reincidencia


En caso de reincidencia en la comisión de dos (02) infracciones leves, en
un mismo año, la tercera infracción leve se sanciona como una infracción
grave.
En caso de reincidencia en la comisión de dos (02) infracciones graves, en
un mismo año, la tercera infracción grave se sanciona como una
infracción muy grave.
8. Código Penal

(…)

Artículo 154. Violación de la intimidad

El que viola la intimidad de la vida personal o familiar ya sea observando,


escuchando o registrando un hecho, palabra, escrito o imagen, valiéndose de
instrumentos, procesos técnicos u otros medios, será reprimido con pena
privativa de libertad no mayor de dos años.

La pena será no menor de uno ni mayor de tres años y de treinta a ciento veinte
días-multa, cuando el agente revela la intimidad conocida de la manera antes
prevista.

Si utiliza algún medio de comunicación social, la pena privativa de libertad será


no menor de dos ni mayor de cuatro años y de sesenta a ciento ochenta días-
multa.

Artículo 154-A. Tráfico ilegal de datos personales

El que ilegítimamente comercializa o vende información no pública relativa a


cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera
u otro de naturaleza análoga sobre una persona natural, será reprimido con pena
privativa de libertad no menor de dos ni mayor de cinco años.

Si el agente comete el delito como integrante de una organización criminal, la


pena se incrementa hasta en un tercio por encima del máximo legal previsto en
el párrafo anterior.

Artículo 154-B.- Difusión de imágenes, materiales audiovisuales o audios con


contenido sexual

El que, sin autorización, difunde, revela, publica, cede o comercializa imágenes,


materiales audiovisuales o audios con contenido sexual de cualquier persona, que
obtuvo con su anuencia, será reprimido con pena privativa de libertad no menor
de dos ni mayor de cinco años y con treinta a ciento veinte días-multa.

La pena privativa de libertad será no menor de tres ni mayor de seis años y de


ciento ochenta a trescientos sesenta y cinco días-multa, cuando concurra
cualquiera de las siguientes circunstancias:

1. Cuando la víctima mantenga o haya mantenido una relación de pareja con el


agente, son o han sido convivientes o cónyuges.

2. Cuando para materializar el hecho utilice redes sociales o cualquier otro medio
que genere una difusión masiva.
(…)

Artículo 156. Revelación de la intimidad personal y familiar

El que revela aspectos de la intimidad personal o familiar que conociera con


motivo del trabajo que prestó al agraviado o a la persona a quien éste se lo
confió, será reprimido con pena privativa de libertad no mayor de un año.

Artículo 157. Uso indebido de archivos computarizados

El que, indebidamente, organiza, proporciona o emplea cualquier archivo que


tenga datos referentes a las convicciones políticas o religiosas y otros aspectos
de la vida íntima de una o más personas, será reprimido con pena privativa de
libertad no menor de uno ni mayor de cuatro años.

Si el agente es funcionario o servidor público y comete el delito en ejercicio del


cargo, la pena será no menor de tres ni mayor de seis años e inhabilitación
conforme al artículo 36, incisos 1, 2 y 4.

(…)

Artículo 323. Discriminación e incitación a la discriminación

El que, por sí o mediante terceros, realiza actos de distinción, exclusión,


restricción o preferencia que anulan o menoscaban el reconocimiento, goce o
ejercicio de cualquier derecho de una persona o grupo de personas reconocido en
la ley, la Constitución o en los tratados de derechos humanos de los cuales el Perú
es parte, basados en motivos raciales, religiosos, nacionalidad, edad, sexo,
orientación sexual, identidad de género, idioma, identidad étnica o cultural,
opinión, nivel socio económico, condición migratoria, discapacidad, condición de
salud, factor genético, filiación, o cualquier otro motivo, será reprimido con pena
privativa de libertad no menor de dos ni mayor de tres años, o con prestación de
servicios a la comunidad de sesenta a ciento veinte jornadas.

Si el agente actúa en su calidad de servidor civil, o se realiza el hecho mediante


actos de violencia física o mental, a través de internet u otro medio análogo, la
pena privativa de libertad será no menor de dos ni mayor de cuatro años e
inhabilitación conforme a los numerales 1 y 2 del artículo 36
9. Resolución Directoral que aprueba la Directiva de seguridad de la información
administrada por los Bancos de Datos Personales. (RD 019-2013-JUS/DGPDP incluye
fe erratas)

1.- PRESENTACION

La Autoridad Nacional de Protección de Datos Personales -APDP- del Ministerio


de Justicia y Derechos Humanos, de conformidad con lo dispuesto por la segunda
disposición complementaria final de la Ley Nº 27933, ha tenido a su cargo la
elaboración de una directiva de seguridad para poner al servicio de todos los
titulares de bancos de datos personales un instrumento que facilite el
cumplimiento de la Ley. Esa es la finalidad central de este documento y es por ello
que no hemos querido hacer un documento con términos generales o lugares
comunes que hubiera significado cumplir con esta obligación "formalmente" pero
sin aportar nada concreto.

Consideramos que eso hubiera ocurrido si hubiéramos entregado una directiva


limitada a la enumeración de obligaciones (que ya están en la ley) o si hubiéramos
desarrollado criterios o disposiciones de modo previo a la vigencia del
reglamento de la ley, con el riesgo de que el reglamento resultara con un
contenido que dejara descolada a la directiva. No podíamos pues, poner la
carreta delante de los caballos. Teniendo la ley y su reglamento vigentes
plenamente, ya tenía sentido culminar esta directiva y así lo hemos hecho, lo más
pronto que ha sido posible.

Para evitar que este documento sea repetitivo respecto de la ley o el reglamento
y, por el contrario, constituya una herramienta útil de trabajo para quien requiera
consultarla, ha sido necesario replicar las preguntas, las dudas, las necesidades y
las circunstancias que pueden acompañar a los concernidos por la ley, para
encontrarles respuestas y soluciones. Para ello ha sido preciso "cruzar" los
criterios que pueden describir y caracterizar los bancos o tratamientos de datos,
como son: el tipo de datos (generales o sensibles), el numero de datos de cada
persona, el número de personas y el tiempo previsto o previsible de uso de la
información, entre otros.

Este cruce, ordenado y sistematizado de criterios, permite ubicar las


características de cada banco de datos, lo cual constituye el paso previo para
relacionarlo con las medidas de seguridad indicadas o sugeridas como una suerte
de "diseño a la medida" porque entendemos que lo que el administrado requiere
es justamente pasar del texto general de la norma a un plan de adecuación para
su caso concreto. Esperamos que esta directiva cumpla ese simple pero
trascendental papel a favor de los administrados.

Para terminar quisiera dejar constancia de dos cosas:

Primero: Esta es una directiva, es decir una indicación de cómo pueden hacerse
las cosas, un documento facilitador. Si los administrados encuentran que pueden
cumplir las normas de seguridad con criterios o protocolos distintos pero
igualmente eficientes deben recordar que su obligación es adecuarse a la ley y el
reglamento no a la directiva, que es solo un documento facilitador.

Segundo: Este documento estará en permanente revisión, justamente porque


debe considerarse un documento de trabajo, cuyo valor estará siempre dado por
su utilidad.

INDICE

l. ESTRUCTURA
II. OBJETIVO
III. BASE LEGAL
IV. ALCANCE
V. RESPONSABILIDAD

MEDIDAS DE SEGURIDAD
1. DISPOSICIONES GENERALES
2. DISPOSICIONES ESPECÍFICAS
3. PROCEDIMIENTO
4. DISPOSICIONES COMPLEMENTARIAS

ANEXO A: GLOSARIO
ANEXO B: ORIENTACIÓN PARA BANCOS DE DATOS DE TIPO BASICO O SIMPLE
ANEXO C: ORIENTACIÓN PARA BANCOS DE DATOS DE TIPO COMPLEJO O CRITICO

l. ESTRUCTURA

La presente directiva orienta sobre las condiciones, los requisitos, y las medidas
técnicas que se deben tomar en cuenta para el cumplimiento de la Ley Nº 29733,
Ley de Protección de Datos Personales y su reglamento, aprobado a través del
Decreto Supremo Nº 003-2013-JUS, en materia de medidas de seguridad de los
bancos de datos personales.

Las condiciones constituyen recomendaciones que facilitan o generan impacto


favorable para la implementación de los requisitos, habilitando un entorno
apropiado para la comprensión y desarrollo de las actividades necesarias.

Los requisitos corresponden a condiciones que deben ser demostrables, para


considerar que se ha cumplido la presente directiva.

Las medidas técnicas son aquellas que se consideran coherentes para cumplir con
los requisitos.
Tanto los requisitos como las medidas a implementar pueden ser variables y por
ello están segmentadas atendiendo a criterios, como-por ejemplo- el tipo de
tratamiento.

Así tenemos que, se asigna un color para facilitar la identificación en los cuadros
mostrados:

Básico
Simple
Intermedio
Complejo
Critico

La categorización se describe en el apartado 1.1.

El numeral 3 describe de manera general el procedimiento para desarrollar la


presente directiva.

El numeral 4 incluye disposiciones complementarias que pueden facilitar el


proceso de implementación de la presente directiva y con ello el cumplimiento de
la Ley Nº 29733, Ley de Protección de Datos Personales, y su reglamento.

Finalmente se presentan tres anexos de apoyo:


Anexo A: Glosario de términos aplicables en la lectura de la presente directiva.
Anexo B: Orientación para bancos de datos personales de tipo básico o simple.
Anexo C: Orientación para bancos de datos personales de tipo complejo o
critico.

II. OBJETIVO

a) Objetivo General:

Garantizar la seguridad de los datos personales contenidos o destinados a ser


contenidos en bancos de datos personales, mediante medidas de seguridad que
protejan a los bancos de datos personales, de conformidad con la Ley Nº 29733
y su reglamento.

b) Objetivos Específicos:

a. Brindar lineamientos para determinar las condiciones de seguridad en el


tratamiento de datos personales a cumplir por el titular del banco de datos
personales.
b. Brindar lineamientos para determinar las medidas organizativas a cumplir
por el titular del banco de datos personales.
c. Brindar lineamientos para determinar las medidas legales a cumplir por el
titular del banco de datos personales.
d. Brindar lineamientos para determinar medidas técnicas a cumplir por el
titular del banco de datos personales.
e. Brindar lineamientos para determinar las medidas de seguridad que
resulten apropiadas, en función a las características de cada caso concreto, a
partir de considerar criterios de diferenciación basados en las características
del tratamiento de datos personales que se vaya a efectuar y en las
características de datos personales que se tratan.

III. BASE LEGAL

a) Constitución Política del Perú.


b) Ley Nº 29733, Ley de Protección de Datos Personales.
c) Decreto Supremo 003-2013-JUS, aprueba el Reglamento de la Ley Nº 29733,
Ley de Protección de Datos Personales.
d) Decreto Supremo 011-2012-JUS, aprueba el Reglamento de Organización y
Funciones del Ministerio de Justicia y Derechos Humanos
e) Resolución Ministerial Nº 246-2007-PCM, aprueba la Norma Técnica Peruana
"NTP ISO/IEC 17799:2007 EDI, Técnicas de seguridad, Código de Buenas Prácticas
para la gestión de seguridad de la información. 2a Edición"
f) Resolución Ministerial 129-2012-PCM, aprueba el uso obligatorio de la norma
técnica peruana "NTP-ISO/IEC 27001:2008 EDI Tecnologías de la Información.
Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información en
todas las entidades integrantes del Sistema Nacional de Informática".

IV.ALCANCE

La presente directiva es aplicable a los bancos de datos personales de


administración pública o privada de acuerdo a lo establecido en la Ley N° 29733
y su reglamento.

V. RESPONSABILIDAD

En el marco de la presente directiva, se tiene en cuenta la atribución


de responsabilidades, desde el origen hasta la disposición de los datos
personales, que debe tomarse en cuenta para mantener la coherencia y la
concordancia de la actuación de quienes participan en la protección de los datos
personales con los objetivos y medidas de seguridad a implementar.

a) Titular de datos personales

Es responsable de sus propios datos personales, debe tomar en cuenta que su


consentimiento para el tratamiento de sus datos personales debe ser libre, previo
e informado y verificar que su consentimiento sea registrado en los términos en
que expresa e inequívocamente lo ha dado. Es responsable de conocer y ejercer
los derechos conferidos por la Ley Nº 29733, Ley de Protección de Datos
Personales.

b) Titular del banco de datos personales

a. Es responsable de otorgar y mantener el nivel suficiente de protección


a los datos personales contenidos en el banco de datos personales que
tenga bajo su titularidad.
b. Es responsable por la determinación y cumplimiento de la finalidad y
del contenido del banco de datos personales bajo su titularidad.
c. Es responsable por el tratamiento de los datos personales contenidos
en el banco de datos personales bajo su titularidad.
d. Es responsable de garantizar el cumplimiento de los derechos del titular
de los datos personales conferidos en la Ley Nº 29733, Ley de Protección
de Datos Personales.

c) Autoridad Nacional de Protección de Datos Personales

a. Es responsable de realizar todas las acciones necesarias para el


cumplimiento de la Ley Nº 29733, Ley de Protección de Datos Personales, y su
reglamento.
b. Es responsable de ejercer las funciones administrativas, orientadoras,
normativas, resolutivas, fiscalizadoras y sancionadoras señaladas en la Ley
Nº 29733, Ley de Protección de Datos Personales, y su reglamento.
c. Es responsable de la administración del Registro Nacional de Protección de
Datos Personales.
d. Es responsable del seguimiento y evaluación de la presente directiva.
e. Es responsable de la revisión de esta directiva de seguridad a fin de
mantener su aplicabilidad e idoneidad. El periodo de revisión es, cuando
menos, bianual.

MEDIDAS DE SEGURIDAD

1. DISPOSICIONES GENERALES

1.1 Categoría:

1.1.1 Para efectos de la presente directiva, se debe considerar la siguiente


clasificación de categorías en el tratamiento de datos personales y el principio de
proporcionalidad descrito en el artículo 7 de la Ley Nº 29733 cuando no exista
coincidencia exacta:

a) Básico, corresponde a la categoría de menor nivel e incluye a bancos de datos


personales que:
Ø No contengan la información de más de cincuenta (50) personas.
Ø Número de datos personales no mayor a cinco (05). Por ejemplo nombres,
apellidos, DNI, dirección y teléfono.
Ø No incluyen datos sensibles.
Ø Tienen como titular a una persona natural.

b) Simple, corresponde a bancos de datos personales que:


Ø No contengan la información de más de cien (100) personas.
Ø El periodo de tiempo del tratamiento para cumplir con la finalidad es
inferior a un (01) año.
Ø No incluyen datos sensibles.
Ø Tiene como titular a una persona natural o jurídica.

c) Intermedio, corresponde a bancos de datos personales que:


Ø Contienen la información de hasta mil (1000) personas.
Ø Sirven para tratamiento de datos personales cuya finalidad se cumple en
un plazo indeterminado o superior a un (01) año.
Ø Puede incluir datos sensibles.
Ø Tiene como titular a una persona natural o jurídica.

d) Complejo, corresponde a bancos de datos personales que:


Ø Sirven para el tratamiento de datos personales cuya finalidad se cumple
en un plazo indeterminado o superior a un (01) año.
Ø Sirven para el tratamiento de datos personales que es realizado en
múltiples localizaciones (Oficinas o dependencias diferentes en la misma
ciudad o ciudades diferentes, servicios tercerizados o similares).
Ø Puede incluir datos sensibles.
Ø Tiene como titular a una persona jurídica o entidad pública.

e) Crítico, corresponde la categoría de mayor nivel e incluye a bancos de datos


personales que:
Ø Sirven para el tratamiento de datos personales cuya finalidad está
respaldada por una norma legal.
Ø Sirven para el tratamiento de datos cuya finalidad se cumple en un plazo
indeterminado o superior a un (01) año.
Ø Sirven para el tratamiento de datos personales que es realizado en
múltiples localizaciones (Oficinas o dependencias diferentes en la misma
ciudad o ciudades diferentes, servicios tercerizados o similares)
Ø Puede incluir datos sensibles.
Ø Tiene como titular a una persona jurídica o entidad pública.

1.1.2 Justificación de los criterios


Los criterios que permiten categorizar los bancos de datos han sido determinados
tomando en cuenta lo siguiente:

a) Volumen de registros.- Es importante considerar que existe una diferencia


importante entre realizar el tratamiento manual de los datos personales de
veinte (20) personas que de un millón, toda vez que se requiere mecanismos,
procesos y herramientas diferentes.
El tratamiento de altos volúmenes de datos personales requiere,
actualmente, el uso de tecnologías de la información. Lo cual, incorpora
mejoras fundamentales en los tiempos de procesamiento, pero también
incorpora un conjunto de vulnerabilidades asociadas a la tecnología utilizada,
por lo que los niveles de protección deben ser adecuados y comúnmente son
mayores a los de un tratamiento sin tecnologías de la información.

b) Número de datos.- El número de datos personales de cada titular de datos


personales que se procesa es un criterio a considerar porque incluye un mayor
nivel de detalle sobre el titular de los datos personales con o sin la inclusión
de datos sensibles.

c) Periodo de tiempo para la finalidad del tratamiento de datos personales.-


El tener un periodo de tiempo indeterminado o muy largo, para cumplir la
finalidad del tratamiento, implica un aumento en el nivel de seguridad que
debe observarse en el almacenamiento que se dé a los datos personales
durante el periodo del tratamiento, así como en el nivel de impacto sobre el
titular de los datos personales en caso de pérdida de la información, lo que
puede conducir a la implementación de mecanismos de recuperación ante
desastres o no.

d) La titularidad del banco de datos personales.- Proporciona un criterio de


selección que principalmente separa los extremos de las categorías. Es decir,
no se le puede asignar a una persona natural una categoría de altísimo nivel
porque no dispone de los recursos necesarios, ni será necesario -como regla
general- que implemente las medidas más complejas.

En el caso de las entidades públicas, se cuenta con la Resolución Ministerial


129-2012-PCM, que las obliga a implementar un sistema de gestión de
seguridad de la información. Con lo cual, no se les puede asignar una
categoría de menor nivel, debido a que la información que manejan impacta
directamente en los titulares de datos personales. Sin embargo, para las
categorías simple, intermedio y complejo se pueden tener combinaciones más
acordes al tipo de tratamiento que se realice.

e) Finalidad del tratamiento de datos personales respaldada por norma legal.-


Tiene especial impacto por ser obligatorio, esto determina el tipo crítico.

f) Múltiples localizaciones.- El acceso o tratamiento distribuido incorpora un


nivel de atención especial porque incluye la transferencia de datos entre
múltiples locales de tratamiento (ubicaciones diferentes, pueden ser
inmuebles diferentes en la misma ciudad o ciudades diferentes), lo que
genera complejidad y puede hacerlo crítico.

g) Tratamiento de datos sensible.- Al incluir estos datos se debe tomar medidas


de protección como mínimo de categoría intermedio.
Así podemos hacer algunos cruces para explicar la categorización:

Figura 1: Volumen de datos / Número de datos

Figura 2: Volumen de registros / Tiempo para cumplir la finalidad


Figura 3: Volumen de registros / Titularidad del banco de datos personales.

1.1.3 Matriz de apoyo para la selección de categoría en el tratamiento de datos


personales

Item Criterio Básico Simple Intermedio Complejo Crítico


1 Volumen de registros, Hasta 50 Hasta 100 Hasta 1000 Indeterminado Indeterminado
número de titulares de
datos personales que
consienten el tratamiento
de sus datos. (Criterio
utilizado para 1
determinar las categorías)
2 Número de datos Hasta 5 Más de 5 Más de 5 Más de 5 Más de 5
personales en banco de
datos personales que no
contienen datos sensibles.
(Criterio utilizado para
determinar el tipo básico)
3 Finalidad del tratamiento No Aplica No Aplica No Aplica No Aplica Aplica
de datos personales
respaldada por ley o
similar. (Criterio utilizado
para determinar el tipo
crítico)
4 Periodo mayor a un (01) No Aplica No Aplica Aplica Aplica Aplica
año o indeterminado para
cumplir la finalidad
(tiempo de tratamiento de
los datos personales).
5 Tipo de Titular del banco Aplica Aplica Aplica No Aplica No Aplica
de datos personales:
persona natural. (Criterio
utilizado para determinar
el tipo entre básico a
intermedio).
6 Tipo de Titular del banco No Aplica Aplica Aplica Aplica Aplica
de datos personales:
persona jurídica. (Criterio
utilizado para determinar
la categoría entre simple a
complejo)
7 Titular del banco de datos No Aplica No Aplica No Aplica Aplica Aplica
personales del tipo
persona jurídica o entidad
pública con múltiples
localizaciones desde las
cuales se tiene acceso al
banco de datos personales
o se realiza tratamiento de
los datos personales.
(Criterio utilizado para
determinar la categoría
complejo o crítico)
8 El banco de datos No Aplica No Aplica Aplica Aplica Aplica
personales puede incluir
datos sensibles. (Criterio
utilizado para determinar
la categoría entre
Intermedio a crítico).

1.2 Condiciones de seguridad:

1.2.1 Condiciones de seguridad externas

a) Marco legal apropiado (leyes, reglamentos, o similares).


b) Conocimiento y conciencia (conocer la importancia de la protección de
los datos personales, la Ley Nº 29733, Ley de Protección de Datos
Personales, y su reglamento).

1.2.2 Condiciones de seguridad internas

a) Compromiso del titular del banco de datos personales (para brindar los
recursos y dirección en la protección de los datos personales).
b) Comprender el contexto institucional en el tratamiento y protección de
los datos personales (Contexto organizativo, tecnológico, jurídico, legal,
contractual, regulatorio, físico, etc.).
c) Determinar claramente las responsabilidades y roles organizacionales
apropiados con la suficiente autoridad y recursos para liderar y hacer
cumplir la política de seguridad para la protección de datos personales.
d) Enfoque de gestión del riesgo de los datos personales contenidos o
destinados a ser contenidos en los bancos de datos personales.
1.3 Requisitos de seguridad:

1.3.1 Sin perjuicio de las condiciones de seguridad, se deben cumplir los


requisitos de seguridad señalados a continuación:

Aplica a la categoría de tratamiento:


Requisito Básico Simple Intermedio Complejo Crítico
1.3.1.1 Determinar y dar a conocer Pueden Pueden Incorporar item Incorporar Incorporar
una política de protección utilizar el utilizar el 1.4.1 item 1.4.1 item 1.4.1
de datos personales: Una modelo modelo
declaración breve y directa incluido en incluido en el
que demuestre el el Anexo B Anexo B
compromiso institucional y
el involucramiento de sus
autoridades con la
protección de los datos
personales en el
tratamiento que se de a los
datos personales contenidos
en el banco de datos
personales bajo su
titularidad
1.3.1.2 Mantener la gobernabilidad Requerido Requerido Requerido Requerido Requerido
completa de los procesos
involucrados en el
tratamiento de los datos
personales, es decir conocer
los procesos y
procedimientos y tener
control de las decisiones
sobre los procesos
involucrados en el
tratamiento de datos
personales cuando estos
sean tercerizados o no.
1.3.1.3 Implementación de las Implementar Implementar Implementar Implementar Implementar
medidas de seguridad según medidas de medidas de medidas de medidas de medidas de
las disposiciones especificas seguridad de seguridad de seguridad de tipo seguridad de seguridad de
del numeral 2 tipo basico tipo simple intermedio tipo complejo tipo critico
1.3.1.4 Implementar y mantener los Opcional Incorporar Incorporar item Incorporar Incorporar
siguientes procedimientos item 1.4.2 1.4.3 item 1.4.3 item 1.4.4
documentados
1.3.1.5 Adoptar un enfoque de Opcional Opcional Requerido Requerido Requerido
riesgos y basar las decisiones
en el plan de tratamiento de
riesgos del banco de datos
personales
1.3.1.6 Alineamiento a los No aplica Opcional Opcional Requerido Requerido
requisitos según NTP-
ISO/IEC 27001 O ISO/EC
27001 en su edición vigente,
incorporando dentro del
alcance del SGSI los bancos
de datos personales.
1.3.1.7 Desarrollar y mantener un Opcional Opcional (ver Requerido Requerido Requerido
documento maestro de (ver cuaderno de
seguridad de la información cuaderno de seguridad en
del banco de datos seguridad en el anexo B)
personales. el anexo B)
1.3.1.8 Desarollar y mantener Declaración Declaración Incorporar el Incorporar el Incorporar el
actualizado un documento jurada jurada simple requisito dentro requisito requisito
de compromiso de simple indicando de los formatos, dentro de los dentro de los
confidencialidad en el indicando nombre, procedimientos o formatos, formatos,
tratamiento de datos nombre, apellidos, DNI procesos procedimientos procedimientos
personales (articulo 17 de la apellidos, y firma apropiados en la o procesos o procesos
Ley 29733), aplicable al DNI y firma (puede estar organización apropiados en apropiados en
personal relacionado con el (puede estar incluido en el la organización la organización
tratamiento de datos incluido en cuaderno de
personales. el cuaderno seguridad (ver
de seguridad anexo B).
(ver anexo
B).

1.4 Información complementaria sobre requisitos (para aplicar según cuadro


de requisitos

1.4.1 La política de protección de datos personales es una declaración formal de


compromiso y debe considerar:

a) Ser clara y comprensible, tanto para el personal involucrado en el


tratamiento como para los titulares de datos personales que hayan
consentido el tratamiento.
b) Ser apropiada para los objetivos de la organización
c) Proporciona un lineamiento de alto nivel organizacional y objetivos
claros que sirven de dirección para la implementación de las condiciones,
requisitos y medidas de seguridad apropiadas.
d) Incluir un compromiso de cumplimiento de los requisitos de seguridad
aplicables.
e) Incluir compromiso de respeto a los principios de la Ley Nº 29733, Ley
de Protección de Datos Personales.
f) Incluir un compromiso de mejora continua.
g) Comunicarse oportuna y claramente al interior de la organización.

1.4.2 Se debe lograr la implementación y el mantenimiento de los siguientes


procedimientos documentados:

a) Control de documentos y registros.


b) Registros de personal con acceso autorizado.
c) Registro de incidentes y medidas adoptadas.

1.4.3 Se debe lograr la implementación y mantener los siguientes procedimientos


documentados

a) Control de documentos y registros.


b) Registros de acceso.
c) Registro de auditorías.
d) Registro de incidentes y problemas.

1.4.4 Incluidos en el Sistema de Gestión de la Seguridad de la Información -SGSI,


incluyendo además un registro de control de acceso, según el artículo 39 del
reglamento de la Ley Nº 29733.

1. DISPOSICIONES ESPECÍFICAS

a) Para los tratamientos determinados como complejos o críticos, se deben


implementar los controles adecuados de un sistema de gestión de seguridad
de la información bajo los requisitos y controles de la NTP-ISO/IEC 27001 EDI
en su edición vigente, incorporando a los bancos de datos personales dentro
del alcance del SGSI, asegurando como mínimo el cumplimiento de las
medidas indicadas a continuación y que los riesgos asociados al banco de
datos personales sean adecuadamente gestionados.

b) El titular del banco de datos personales debe designar un responsable de


seguridad del banco de datos personales, quien coordinará en la institución la
aplicación de la presente directiva. El rol de responsable de seguridad del
banco de datos personales debe asignarse a una persona que tenga las
capacidades y autoridad necesaria para el desarrollo de sus funciones. Cuando
dicha designación no exista, se entiende que el rol de responsable de
seguridad del banco de datos personales recae en el titular del banco de datos
personales.

c) Las referencias a documentos o registros pueden estar en cualquier formato o


tipo de medio (Hoja impresa, cuaderno, página web, afiche, registro de video,
entre otros).

d) Limitar los bancos de datos personales a los datos estrictamente necesarios


para cumplir la finalidad para la cual fueron acopiados.

e) Evaluar la posibilidad de implementar mecanismos de anonimización o


disociación aplicables.

2.1 Medidas de Seguridad Organizativas

Aplica a la categoría de tratamiento:


Requisito Básico Simple Intermedio Complejo Crítico
2.1.1 Desarrollar una estructura Solo considera Solo considera Requerido Requerido Requerido
organizacional con roles y el titular del el titular del
responsabilidades de banco de datos banco de datos
acuerdo a la personales y al personales y al
proporcionalidad de los o a los o a los
datos a proteger. encargados del encargados del
tratamiento no tratamiento no
lo realice lo realice
exclusivamente exclusivamente
el titular del el titular del
banco de datos banco de datos
personales) personales)
2.1.2 Compromiso Puede utilizar Requerido Requerido Requerido
documentado de respeto a Puede utilizar el modelo
los principios de la ley. el modelo citado en el
citado en el Anexo B
Anexo B

2.1.3 Llevar un control y registro Opcional Opcional Opcional Requerido Requerido


de los operadores con
acceso al banco de datos
personales con el objetivo
de poder identificar al
personal con acceso en
determinado momento
(Trazabilidad).
2.1.4 Revisar periódicamente la Requerido. Requerido. Requerido Requerido Requerido
efectividad de las medidas (dichas (dichas
de seguridad adoptadas y revisiones revisiones
registrar dicha verificación pueden estar pueden estar
en un documento adjunto registradas en registradas en
al banco de datos el cuaderno de el cuaderno de
personales. seguridad seguridad
citado en el citado en el
anexo B) anexo B)

2.1.5 Adecuación de los sistemas Opcional Opcional Requerido Requerido


de gestión u aplicaciones
existentes que intervengan Opcional
en el tratamiento de datos
personales, conforme a la
Ley 29733, Ley de
Protección de Datos
Personales, y su
reglamento,
2.1.6 Adecuación de los Opcional Opcional Requerido Requerido
procesos del negocio Opcional
involucrados en el
tratamiento de datos
personales a los requisitos
establecidos en la Ley
29733, Ley de Protección
de Datos Personales, y su
reglamento.
2.1.7 Desarrollar Opcional Requerido Requerido Requerido
procedimientos Opcional
documentados adecuados
para el tratamiento de
datos personales.
2.1.8 Desarrollar un programa Opcional Requerido Requerido Requerido
de creación de conciencia y Opcional
entrenamiento en materia
de protección de datos
personales.
2.1.9 Desarrollar un Opcional Requerido Requerido Requerido
procedimiento de
auditoría respecto de las Opcional
medidas de seguridad
implementadas, teniendo
como mínimo una
auditoría anual.
2.1.10 Desarrollar un Opcional Opcional Requerido Requerido Requerido
procedimiento de gestión
de incidentes para la
protección de datos
personales.
2.1.11 Desarrollar un Opcional Requerido Requerido Requerido Requerido
procedimiento de
asignación de privilegios de
acceso al banco de datos
personales y su
correspondiente registro
de acceso.

2.2 Medidas de Seguridad Jurídicas

Aplica a la categoría de tratamiento:


Requisito Básico Simple Intermedio Complejo Crítico
2.2.1 Mantener los formatos de Requerido Requerido Requerido
consentimiento para el Requerido Requerido
tratamiento de datos (pueden (pueden estar
personales, adecuados y de estar registradas en
conformidad con la finalidad registradas el cuaderno
para la cual son acopiados. en el de seguridad
cuaderno de citado en el
seguridad anexo B)
citado en el
anexo B)

2.2.2 Adecuación de los contratos Opcional Requerido Requerido Requerido


del personal relacionado Opcional
con el tratamiento de datos
personales, incluyendo la
coherencia con el requisito
1.3.1.8
2.2.3 Adecuación de los contratos Opcional Requerido Requerido Requerido
con terceros, incluyendo la Opcional
coherencia con el requisito
1.3.1.8.

2.3 Medidas de Seguridad Técnicas

2.3.1 Medidas de Seguridad Técnicas relacionadas al acceso no autorizado al


banco de datos personales

Medidas generales
2.3.1.1 Gestión y uso de contraseñas cuando el tratamiento se realice con
medios informáticos.

Se debe controlar la asignación y el uso de las contraseñas de los usuarios de los


sistemas de información que realizan tratamiento de datos personales mediante
la adopción de las siguientes medidas:

a) Solicitar a los usuarios que mantengan en secreto las contraseñas


asignadas.
b) Cuando se utilice un servidor de autenticación, este debe almacenar las
contraseñas de manera cifrada.
c) Permitir que el usuario cambie la contraseña asignada cuando lo
considere necesario.
d) Requerir el uso de contraseñas que contengan al menos 8 dígitos y que
sean alfanuméricas (mayúsculas, minúsculas y números) y al menos
incluyan un caracter especial.
e) Cuando el acceso al sistema este expuesto en entornos públicos
(intranet, internet o similares) se debe bloquear al usuario luego de cinco
(05) intentos fallidos de autenticación consecutivos.

2.3.1.2 Revisión y registro de los privilegios de acceso

Se debe revisar periódicamente que los privilegios de acceso a los datos


personales correspondan al personal autorizado. Esta revisión debe generar un
registro de revisión que evidencie la realización de dicha revisión.

El periodo de revisión depende de las políticas organizacionales y el tipo de datos


personales que contenga el banco de datos personales. Esta debe realizarse por
lo menos semestralmente.

2.3.1.3 Proteger el banco de datos personales contra acceso físico no autorizado


mediante algún mecanismo de bloqueo físico, limitando el acceso solo a los
involucrados en el tratamiento de datos personales debidamente autorizados.

Aplica a la categoría de tratamiento :


Básico Simple Intermedio Complejo Crítico
Ubicar el banco de Ubicar el banco de Cuando se Cuando se Cuando se contengan
datos personales en un datos personales en contengan datos contengan datos datos sensibles, ubicar
gabinete, caja, cajón de un gabinete, caja, sensibles, ubicar el sensibles, ubicar el banco de datos
un mueble, gaveta o cajón de un mueble, banco de datos el banco de personales en un
similar siempre y gaveta o similar personales en un datos personales ambiente aislado
cuando tenga una siempre y cuando ambiente aislado en un ambiente protegido por cerradura
cerradura con llave o tenga una cerradura protegido por aislado o similar mecanismo,
similar, la cual será con llave o similar, cerradura o similar protegido por donde la
responsabilidad del la cual será mecanismo, donde cerradura o responsabilidad del
operador del banco de responsabilidad del la responsabilidad similar mecanismo de acceso
datos personales. operador del banco del mecanismo de mecanismo, en el titular del banco
de datos personales acceso en el titular donde la de datos personales o
del banco de datos responsabilidad un responsable
personales o un del mecanismo delegado por el titular
responsable de acceso en el del banco de datos
delegado por el titular del banco personales.
titular del banco de de datos
datos personales. personales o un
responsable
delegado por el
titular del banco
de datos
personales.

2.3.1.4 Cuando se utilicen mecanismos informáticos para el tratamiento de datos


personales se debe proteger el banco de datos personales contra acceso lógico
no autorizado mediante algún mecanismo de bloqueo lógico, limitando el acceso
solo a los involucrados en el tratamiento de datos personales debidamente
autorizados.

Aplica a la categoría de tratamiento :


Básico Simple Intermedio Complejo Crítico
Cada usuario con Cada usuario con Los usuarios deben Los usuarios Los usuarios deben
acceso a los datos acceso a los datos tener un deben tener un tener un identificador
personales o al banco personales o al banco identificador único identificador único de acceso
de datos personales de datos personales de acceso asociado único de acceso asociado a perfiles de
debe estar claramente debe estar a perfiles de asociado a usuarios y accesos
identificado y utilizar claramente usuarios y accesos perfiles de autorizados para cada
como mínimo una identificado y utilizar autorizados para usuarios y uno de ellos.
validación de acceso como mínimo una cada uno de ellos. accesos Asimismo, se debe
medidante el uso de validación de acceso Asimismo, se debe autorizados para contar con
usuario/contraseña medidante el uso de contar con cada uno de ellos. mecanismos de
independiente para usuario/contraseña mecanismos de Asimismo, se restricción para evitar
cada persona que independiente para restricción para debe contar con el acceso a recursos
tenga acceso. cada persona que evitar el acceso a mecanismos de no autorizados.
tenga acceso. recursos no restricción para La autenticación de
autorizados. evitar el acceso a usuarios puede estar
La autenticación de recursos no basada en
usuarios puede autorizados. contraseñas o
estar basada en La autenticación mecanismos de fuerte
contraseñas o de usuarios autenticación como el
mecanismos de puede estar uso de toquen,
fuerte basada en dispositivos
autenticación como contraseñas o biométricos, firmas
el uso de toquen, mecanismos de digitales, tarjetas
dispositivos fuerte inteligentes, tarjetas
biométricos, firmas autenticación de coordenadas entre
digitales, tarjetas como el uso de otros.
inteligentes, toquen,
tarjetas de dispositivos
coordenadas entre biométricos,
otros. firmas digitales,
tarjetas
inteligentes,
tarjetas de
coordenadas
entre otros.
2.3.1.5 El titular del banco de datos personales, o quien este designe, debe
autorizar o retirar el acceso de usuarios que realicen tratamiento de datos
personales. Dicha autorización debe registrarse.

Aplica a la categoría de tratamiento :


Básico Simple Intermedio Complejo Crítico
Se debe mantener un Se debe mantener un El titular, o quien El titular, o quien El titular, o quien este
registro actualizado de registro actualizado de este designe, debe este designe, designe, debe
usuarios con acceso usuarios con acceso autorizar o retirar el debe autorizar o autorizar o retirar el
autorizado para el autorizado para el acceso de usuarios a retirar el acceso acceso de usuarios a
tratamiento de datos tratamiento de datos los datos personales de usuarios a los los datos personales
personales. (Puede personales. (Puede contenidos en el datos personales contenidos en el
registrarse en el registrarse en el banco de datos contenidos en el banco de datos
cuaderno de seguridad cuaderno de seguridad personales, dicha banco de datos personales, dicha
citado en el anexo B) citado en el anexo B) operación debe ser personales, dicha operación debe ser
registrada. Los datos operación debe registrada. Los datos
personales a ser registrada. personales a registrar
registrar deben Los datos deben incluir como
incluir como personales a mínimo:
mínimo: registrar deben - Usuario (en sistemas
- Usuario (en incluir como informáticos el
sistemas mínimo: identificador de
informáticos el - Usuario (en usuario).
identificador de sistemas - Fecha y hora de
usuario). informáticos el asignación y/o retiro
- Fecha y hora de identificador de de autorización del
asignación y/o retiro usuario). usuario.
de autorización del - Fecha y hora de - Usuario que
usuario. asignación y/o autoriza.
- Usuario que retiro de
autoriza. autorización del
usuario.
- Usuario que
autoriza.

2.3.1.6 Identificar los accesos realizados a los datos personales para su


tratamiento.

Aplica a la categoría de tratamiento :


Básico Simple Intermedio Complejo Crítico
Opcional Opcional Implementar un Implementar un Implementar un
registro de accesos registro de registro de accesos al
al banco de datos accesos al banco banco de datos
personales, el cual de datos personales, el cual
debe contener al personales, el debe contener al
menos los siguientes cual debe menos los siguientes
campos: contener al campos:
- Fecha y hora del menos los - Fecha y hora del
acceso siguientes acceso
- Persona o personas campos: - Persona o personas
que realiza el acceso. que realiza el acceso.
- Identificador del - Fecha y hora del - Identificador del
titular de los datos acceso titular de los datos
personales a tratar - Persona o personales a tratar
(mediante personas que (mediante
mecanismo de realiza el acceso. mecanismo de
disociación - Identificador disociación aplicado).
aplicado). del titular de los - Motivo del acceso
- Motivo del acceso. datos personales
a tratar
(mediante
mecanismo de
disociación
aplicado).
- Motivo del
acceso

2.3.2 Medidas de Seguridad Técnicas relacionadas a la alteración no autorizada


del banco de datos personales

Aplica a la categoría de tratamiento :


Básico Simple Intermedio Complejo Crítico
Opcional Opcional Implementar un Implementar un Implementar un
registro de accesos registro de registro de accesos al
al banco de datos accesos al banco banco de datos
personales, el cual de datos personales, el cual
debe contener al personales, el debe contener al
menos los siguientes cual debe menos los siguientes
campos: contener al campos:
- Fecha y hora del menos los - Fecha y hora del
acceso siguientes acceso
- Persona o personas campos: - Persona o personas
que realiza el acceso. - Fecha y hora del que realiza el acceso.
- Identificador del acceso - Identificador del
titular de los datos - Persona o titular de los datos
personales a tratar personas que personales a tratar
(mediante realiza el acceso. (mediante
mecanismo de - Identificador mecanismo de
disociación del titular de los disociación aplicado).
aplicado). datos personales - Motivo del acceso
- Motivo del acceso. a tratar
(mediante
mecanismo de
disociación
aplicado).
- Motivo del
acceso

2.3.2.1 Autorización para el retiro o traslado de datos personales.

Todo traslado de datos personales hacia lugares fuera de los ambientes en donde
se ubica el banco de datos personales debe contar con la autorización del titular
del banco de datos personales o quien éste designe para ello.
2.3.2.2 Traslado de datos personales.

Todo traslado de datos personales debe considerar:

a) Los datos en soporte físico deben estar contenidos en un contenedor


que evite su acceso y legibilidad, así como un mecanismo de verificación
de la no vulneración del contenedor.
b) Los datos contenidos en soporte informático deben transportarse
previa encriptación y un mecanismo de verificación de la integridad
(checksum MDS, firma digital o similar).

2.3.2.3 Eliminación de la información contenida en medios informáticos


removibles

Cuando se requiera eliminar la información contenida en un medio informático


removible se deben utilizar mecanismos seguros de eliminación que incluyan el
borrado total de la información y/o la destrucción del medio; de forma tal que,
no permitan la recuperación de los datos.

El titular del banco de datos personales debe designar a las personas autorizadas
a eliminar la información de datos personales contenida en los medios
informáticos removibles.

2.3.2.4 Seguridad en la copia o reproducción de documentos.

Cuando sea necesario, el titular del banco de datos personales debe designar a
las personas autorizadas a generar y/o eliminar las copias o reproducciones de
los datos personales.

Se deben implementar las siguientes medidas para preservar la confidencialidad


de los datos personales:

a) Utilizar impresoras, fotocopiadoras, scanner u otros equipos de


reproducción autorizados.
b) Supervisar el proceso de copia o reproducción de los documentos. No
dejar desatendido el equipo.
c) Retirar los documentos originales y las copias de equipo
inmediatamente después de finalizada la copia o reproducción.

Se deben registrar las copias o reproducciones de los documentos con datos


personales realizadas indicando como mínimo:

a) Nombre de la persona que solicita la copia


b) Nombre de la persona autorizada a realizar copias.
c) Descripción de los datos personales copiados.
d) Número de copias.
e) Motivo.
f) Nombre de la persona que recibe la copia.
g) Lugar de destino.
h) Periodo de validez de la copia.

Las copias o reproducciones de los documentos deben tener una marca que
identifique el periodo de validez de las mismas.

2.3.2.5 El titular del banco de datos personales, o quien este designe, debe
asignar o retirar el privilegio o privilegios (datos a tratar o tarea a realizar) para
el tratamiento de datos personales a usuarios autorizados.

Aplica a la categoría de tratamiento :


Básico Simple Intermedio Complejo Crítico
Se debe mantener un Se debe mantener un El titular, o quien El titular, o quien El titular, o quien este
registro actualizado de registro actualizado de este designe, debe este designe, designe, debe asignar
usaurios con privilegios usaurios con privilegios asignar o retirar debe asignar o o retirar privilegios a
para el tratamiento de para el tratamiento de privilegios a los retirar privilegios los usuarios con
datos personaels y datos personaels y usuarios con acceso a los usuarios con acceso a los datos
acceso al banco de acceso al banco de a los datos acceso a los personales
datos persoanles datos persoanles personales datos personales contenidos en el
(pueden estar (pueden estar contenidos en el contenidos en el banco de datos
registradas en el registradas en el banco de datos banco de datos personales. Dicha
cuaderno de seguridad cuaderno de seguridad personales. Dicha personales. operación debe ser
citado en el anexo B) citado en el anexo B) operación debe ser Dicha operación registrada. Los datos
registrada. Los datos debe ser a registrar deben
a registrar deben registrada. Los incluir como mínimo:
incluir como datos a registrar - Usuario (en sistemas
mínimo: deben incluir informáticos el
- Usuario (en como mínimo: identificador de
sistemas - Usuario (en usuario).
informáticos el sistemas - Privilegio asignado o
identificador de informáticos el retirado al usuario.
usuario). identificador de - Fecha y hora de
- Privilegio asignado usuario). asignación y/o retiro
o retirado al usuario. - Privilegio de privilegios del
- Fecha y hora de asignado o usuario.
asignación y/o retiro retirado al - Usuario que realiza
de privilegios del usuario. la asignación y/o
usuario. - Fecha y hora de retiro de privilegios
- Usuario que realiza asignación y/o (en sistemas
la asignación y/o retiro de informáticos el
retiro de privilegios privilegios del identificador del
(en sistemas usuario. usuario)
informáticos el - Usuario que
identificador del realiza la
usuario) asignación y/o
retiro de
privilegios (en
sistemas
informáticos el
identificador del
usuario)
2.3.3 Medidas de Seguridad Técnicas relacionadas a la pérdida del banco de
datos personales

Aplica a la categoría de tratamiento:


Requisito Básico Simple Intermedio Complejo Crítico
2.3.1 Se deben realizar copias de Implementar ítem Implementar Implementar
respaldo de los datos Opcional Opcional 2.3.5.1 ítem 2.3.5.1 ítem 2.3.5.1
personales para permitir su
recuperación en caso de
pérdida o destrucción
2.3.2 Toda recuperación de datos Requerido Requerido Requerido
personales, desde su copia Opcional Opcional
de respaldo, debe contar
con la autorización del
encargado del banco de
datos personales.
2.3.3 Se deben realizar pruebas de Implementar Implementar Implementar
recuperación de los datos Opcional Opcional 2.3.5.2 2.3.5.2 2.3.5.2
personales respaldados para
comprobar que las copias de
respaldo pueden ser
utilizadas en caso de ser
requerido.

2.3.4 Medidas de Seguridad Técnicas relacionadas al tratamiento no


autorizado del banco de datos personales Medidas Generales

2.3.4.1 El banco de datos personales no automatizado debe mantener los datos


personales independizados de forma individual, de modo que pueda referirse
unívocamente a un titular de datos personales sin exponer información de otro.

2.3.4.2 El titular del banco de datos personales debe informar al titular de datos
personales los incidentes que afecten significativamente sus derechos
patrimoniales o morales, tan pronto se confirme el hecho

La información mínima que se debe proporcionar incluye:

a) Naturaleza del incidente.


b) Datos personales comprometidos.
c) Recomendaciones al titular de datos personales.
d) Medidas correctivas implementadas.

Medidas Específicas

Aplica a la categoría de tratamiento:


Requisito Básico Simple Intermedio Complejo Crítico
2.3.4.3 Opcional Opcional Requerido Requerido Requerido
2.3.4.4 Opcional Opcional Requerido Requerido Requerido
2.3.4.5 Opcional Opcional Requerido Requerido Requerido
2.3.4.6 Opcional Implementar Implementar Implementar Implementar
item 2.3.5.3. item 2.3.5.3. item 2.3.5.3. item 2.3.5.3.
2.3.4.7 No aplica Implementar Implementar Implementar Implementar
item 2.3.5.4 item 2.3.5.4 item 2.3.5.4 item 2.3.5.4
2.3.4.8 No aplica Implementar Implementar Implementar Implementar
item 2.3.5.5. item 2.3.5.5. item 2.3.5.5. item 2.3.5.5.
2.3.4.9 Registrar el Implementar Implementar Implementar Implementar
incidente item 2.3.5.7. item 2.3.5.7. item 2.3.5.7. item 2.3.5.7.
con una
descripción
detallada
del mismo y
las medidas
correctivas
adoptadas
(pueden
estar
registradas
en el
cuaderno de
seguridad
citado en el
anexo B)
2.3.4.10 Opcional Requerido Requerido Requerido Requerido
2.3.4.11 Opcional Opcional Verificar de Se debe realizar Se debe realizar
manera interna la una auditoría una auditoría
existencia de los externa para la externa para la
requisitos y verificación del verificación del
registros cumplimiento cumplimiento
aplicables de la presente de la presente
directiva a fin de directiva a fin de
asegurar asegurar
imparcialidad imparcialidad
en los en los
resultados. resultados.
2.3.4.12 Opcional Opcional Los resultados de Los resultados Los resultados
la auditoria deben de la auditoria de la auditoria
iniciar la deben iniciar la deben iniciar la
implementación implementación implementación
de acciones de acciones de acciones
correctivas correctivas correctivas

2.3.5.1 Sobre pérdida del banco de datos personales, en complemento al


requisito 2.3.3.1

Toda copia de respaldo de los datos personales debe estar protegida mediante
técnicas de cifrado y almacenada en un local seguro y distante al ambiente
principal de tratamiento de datos, para garantizar su disponibilidad frente a un
desastre en el ambiente principal (considerar el almacenamiento en una
localización diferente o remota).

La frecuencia y el periodo de conservación de los respaldos deben ser acorde con


la finalidad del tratamiento a realizar y el impacto de la pérdida en los derechos
del titular de los datos personales.
Cuando sea pertinente, se debe incorporar mecanismos que garanticen la
continuidad del tratamiento de datos personales, principalmente cuando la
finalidad tenga un alto impacto en relación con los titulares de datos personales
o el bien común.

2.3.5.2 Sobre pérdida del banco de datos personales, en complemento al


requisito 2.3.3.3

Estas pruebas deben realizarse por lo menos en forma semestral y se deben


documentar los resultados de las pruebas incluyendo:

a) Fecha y hora de la prueba.


b) Nombre de la persona que realizó la prueba.
c) Banco de datos personales recuperado.
d) Archivo recuperado y fecha de los datos recuperados.
e) Tiempo de recuperación.
f) Resultados de las pruebas.
g) Acciones tomadas en caso de pruebas insatisfactorias.

2.3.5.3 Sobre el tratamiento no autorizado del banco de datos personales


complemento al requisito 2.3.4.6

a) Transporte electrónico de datos personales en forma cifrada, lo cual


puede realizarse mediante el cifrado de la información antes de su
transmisión o mediante el uso de protocolos de comunicación cifrados
(Ejemplo: VPN, correo electrónico cifrado, FTP seguro, entre otros).
b) Uso de firmas digitales para validar la identidad del emisor de la
información.

2.3.5.4 Sobre el tratamiento no autorizado del banco de datos personales


complemento al requisito 2.3.4.7

El receptor o importador de datos personales debe implementar las medidas de


seguridad definidas por el emisor o exportador de datos personales en el
documento de seguridad.

La aceptación de la implementación de las medidas de seguridad por parte el


receptor o importador de datos personales debe establecerse por escrito
mediante cláusulas contractuales u otro instrumento jurídico.

2.3.5.5 Sobre el tratamiento no autorizado del banco de datos personales


complemento al requisito 2.3.4.8

Se debe tomar en cuenta:


a) Que el proveedor no tenga acceso a la información de datos personales
que utilicen su infraestructura.
b) Que el proveedor no brinde acceso a terceros a los datos personales
que utilicen su infraestructura.
c) La destrucción o imposibilidad de recuperación de los datos alojados en
el servicio una vez concluida la relación con el proveedor.
d) Uso de canales seguros para la transferencia de datos personales.
e) Garantizar el cumplimiento de las medidas de seguridad en todos los
lugares en donde se encuentre distribuida la infraestructura del
proveedor.

2.3.5.6 Sobre el tratamiento no autorizado del banco de datos personales


complemento al requisito 2.3.4.9

El encargado del banco de datos personales o quien sea designado por el titular
del banco de datos personales deberá coordinar las acciones requeridas para
analizar y responder en forma rápida y efectiva a los incidentes de seguridad
presentados.

Se deben registrar los incidentes de seguridad relacionados con los bancos de


datos personales, incluyendo como mínimo:

a) Fecha y hora del incidente.


b) Nombre de la persona que lo reporta.
c) Naturaleza del incidente
d) Datos personales comprometidos
e) Nombres de las personas involucradas en la resolución del incidente.
f) Consecuencias del incidente.
g) Medidas correctivas implementadas.
h) Recomendaciones para el titular de datos personales. (Si aplica)
i) Recuperación de datos.
j) En caso de haber realizado recuperación de datos, se debe registrar:
Ø Nombre de la persona que realizó la recuperación.
Ø Descripción y fecha de los datos restaurados.
Ø Descripción de los datos restaurados en forma manual. (Si aplica).

3. PROCEDIMIENTO

3.1 Generar las condiciones apropiadas habilita un entorno favorable para la


implementación de la presente directiva.

3.2 Alinear los requisitos, identificar el tipo de tratamiento de datos personales y


los requisitos aplicables.

3.3 Cuando el tratamiento de datos personales corresponda al tipo crítico,


incorporar los bancos de datos personales dentro del alcance del sistema de
gestión de seguridad de la información e implementar los controles apropiados.
3.4 Implementar medidas organizacionales de seguridad de acuerdo al tipo de
tratamiento de datos personales aplicable.

3.5 Implementar medidas jurídicas de seguridad de acuerdo al tipo de


tratamiento de datos personales aplicable.

3.6 Implementar medidas técnicas de seguridad de acuerdo al tipo de


tratamiento de datos personales aplicable.

4. DISPOSICIONES COMPLEMENTARIAS

Con el objetivo de conseguir el logro de los objetivos de la presente directiva, se


deben considerar también las siguientes disposiciones:

4.1 Desarrollar programas de información en el ámbito de su responsabilidad,


dirigido a titulares de datos personales sobre "consentimiento", "derechos del
titular de datos personales" y "finalidad".

4.2 Los encargados del tratamiento por tercerización deben asegurar y mantener
los mecanismos de auditoría, verificación y toma de decisiones del titular del
banco que contrata.

ANEXO A: GLOSARIO

Para los efectos de la aplicación de la presente directiva, sin perJu1c10 de las


definiciones contenidas en la Ley Nº 29733, Ley de Protección de Datos
Personales, y su reglamento, se señalan las siguientes definiciones a tener en
cuenta:

1. Medio informático removible: Dispositivo de almacenamiento de información.


Incluye disquetes, CD's, DVD's, cintas de respaldo, memorias USB, disco duro
externo, entre otros.

2. Responsable de seguridad: Rol asignado a una persona que coordina y


controla la implementación de las medidas de seguridad en un banco de datos
personales.

3. Usuarios de sistemas de información: Persona natural que tiene acceso a un


sistema de información que realiza tratamiento de datos personales. Puede ser
el administrador del sistema, administrador de banco de datos, operadores,
personal de soporte o el titular de los datos personales.

4. Gestión de Riesgos: Proceso ordenado y continuo para medir y mantener los


riesgos por debajo de los umbrales definidos organizacionalmente.

ANEXO B: ORIENTACIÓN PARA BANCOS DE DATOS DE TIPO BÁSICO O SIMPLE

Con el objetivo de orientar en el cumplimiento de la directiva de seguridad de la


información administrada por los bancos de datos personales, se presenta lo
siguiente:

1.- Política de seguridad de datos personales

Con conocimiento de los ocho (08) principios señalados en la Ley Nº 29733, Ley
de Protección de Datos Personales, para fines de cumplimiento, los bancos de
datos personales de tipo básico o simple podrán colocar un aviso en un lugar
visible, que contenga la siguiente información:

Aquí protegemos los datos personales.

Respetamos los principios de protección de datos personales:

Ø Principio de legalidad
Ø Principio de consentimiento
Ø Principio de finalidad
Ø Principio de proporcionalidad
Ø Principio de calidad
Ø Principio de disposición de recurso
Ø Principio de niivel de protección adecuado

Ley 29733 – Ley de Protección de Datos Personales y su reglamento, aprobado


mediante Decreto Supremo 003-2013-JUS
2.- Cuaderno de seguridad de datos personales (Documento maestro de
seguridad de la información del banco de datos personales)

Para fines de cumplimiento, los bancos de datos de tipo básico pueden utilizar un
cuaderno simple que contenga de manera ordenada todos los requisitos
documentados y registros señalados en la directiva de seguridad de la
información administrada por los bancos de datos personales.

Este cuaderno debe estar protegido del acceso no autorizado, por ejemplo en un
gabinete o cajón del mueble protegido por una cerradura con llave o candado.

ANEXO C: ORIENTACIÓN PARA BANCOS DE DATOS DE TIPO COMPLEJO O


CRÍTICO

Con el objetivo de orientar en el cumplimiento de la directiva de seguridad de la


información administrada por los bancos de datos personales, se presenta lo
siguiente:

• Las entidades públicas pertenecientes al Sistema Nacional de Informática


tienen la obligatoriedad de implementar la NTP-ISO/IEC 27001 según la
Resolución Ministerial 129- 2012-PCM. Por lo que, al incorporar los bancos de
datos personales dentro del alcance del SGSI, el sistema de gestión ayudará al
cumplimiento de la mayor parte de los requisitos y medidas señaladas en la
directiva de seguridad de la información administrada por los bancos de datos
personales, incluso a mayor nivel del definido en la directiva. Siendo necesario
identificar cuáles son los aspectos que el SGSI no cubre y que la directiva señala.

• Las personas jurídicas pueden implementar el ISO/IEC 27001 en su edición


vigente incorporando, en el alcance del SGSI, a los bancos de datos personales.
Con lo cual, el sistema de gestión ayudará al cumplimiento de la mayor parte de
los requisitos y medidas señaladas en la directiva de seguridad de la información
administrada por los bancos de datos personales, incluso a mayor nivel del
definido en la directiva. Siendo necesario identificar cuáles son los aspectos que
el SGSI no cubre y que la directiva señala.

• Las instituciones pueden utilizar el ISO 31000 o ISO/IEC 27005 como referencias
de gestión del riesgo.

• Las instituciones pueden utilizar un Análisis de Impacto en la Privacidad (PIA


por sus siglas en inglés) como insumo u orientación en la fase de planificación y
gestión del riesgo.

• Las instituciones pueden utilizar el enfoque de "Privacidad por Diseño" como


referencia en la evaluación de sus procesos y herramientas que determinen
deban incorporarse o modificarse para el cumplimiento de la Ley Nº 29733, Ley
de Protección de Datos Personales.
Ver:
http://www.privacybydesign.ca/content/uploads/2009/08/7foundationalprinci
ples- panish.pdf
10. Resolución Directoral que aprueba la Directiva sobre protección de datos
personales en el marco de los procedimientos para la construcción, administración,
sistematización y actualización de bases de datos personales vinculados con
programas sociales y subsidios que administra el Estado (RD 060-2014-JUS/DGPDP)

I. OBJETIVO

Establecer las disposiciones para la protección de datos personales en el marco


de los procedimientos para la construcción, administración, sistematización y
actualización del Padrón General de Hogares y el Registro Nacional de Usuarios,
a cargo del Ministerio de Desarrollo e Inclusión Social, así como de los padrones
de los programas sociales y de subsidios que administra el Estado.

II. ALCANCE

La presente directiva se aplica a los procedimientos para la construcción,


administración, sistematización y actualización del Padrón General de Hogares,
el Registro Nacional de Usuarios del Ministerio de Desarrollo e Inclusión Social, y
los padrones de los programas sociales y de subsidios que administra el Estado.

III. BASE LEGAL

• Constitución Política del Perú.


• Ley N° 29733, Ley de Protección de Datos Personales.
• Ley N° 29809, Ley de Organización y Funciones del Ministerio de Justicia y
Derechos Humanos.
• Ley N° 29792, Ley de Creación, Organización y Funciones del Ministerio de
Desarrollo e Inclusión Social.
• Ley N° 27806, Ley de Transparencia y Acceso a la Información Pública.
• Ley N° 29626, Ley de Presupuesto del Sector Público para el Año Fiscal 2011.
• Ley N° 29951, Ley de Presupuesto del Sector Público para el Año Fiscal 2013.
• Decreto Supremo N° 003-2013-JUS, mediante el cual se aprueba el Reglamento
de la Ley N° 29733, Ley de Protección de Datos Personales.
• Decreto Supremo N° 011-2012-JUS que aprueba el Reglamento de Organización
y Funciones del Ministerio de Justicia y Derechos Humanos.

IV. DEFINICIONES

Para efectos de la aplicación de la presente Directiva se entiende por:


4.1. Bases de Datos Administrativas (BDA): Banco de datos personales que
comprende toda aquella fuente de información de carácter nominal que las
entidades públicas del Estado administran, que son necesarias para cumplir la
finalidad prevista en el artículo 27 de la Ley N° 29951.
4.2. Padrón General de Hogares (PGH): Banco de datos personales que constituye
la base de datos nominal, administrada por la Unidad Central de Focalización,
que contiene el registro de la Clasificación Socioeconómica de las personas y los
hogares.
4.3. Registro Nacional de Usuarios (RNU): Banco de datos personales que
constituye la base de datos integrada, implementada y administrada por el
Ministerio de Desarrollo e Inclusión Social, que contiene la información
actualizada de los usuarios de los programas sociales y de subsidios del Estado.
Están comprendidos aquellos programas que administren padrones de usuarios
en los distintos niveles de gobierno.
4.4. Sistema de Focalización de Hogares (SISFOH): Sistema intersectorial e
intergubernamental, cuyo fin es procurar la asignación adecuada de los recursos
públicos de los programas sociales y de subsidios del Estado que se ejecuten bajo
criterios de focalización individual, contribuyendo al cierre de brechas relativas a
los problemas o carencias que los programas buscan resolver.

V. DISPOSICIONES GENERALES

5.1. En el marco de sus competencias, el Ministerio de Desarrollo e Inclusión


Social (MIDIS) y las entidades del gobierno nacional, regional y local deben
realizar el tratamiento de datos personales para la gestión de los programas
sociales y de subsidios que administra el Estado, así como para la construcción,
administración, sistematización y actualización del PGH y del RNU, los que
constituyen herramientas necesarias para asegurar el adecuado uso de los
recursos públicos, evitando sub coberturas y filtraciones.
5.2 En plena observancia del derecho fundamental a la protección de los datos
personales, la presente directiva establece las medidas que permitirán que su
ejercicio guarde concordancia con las normas y principios de transparencia y
fiscalización que rigen la gestión de los programas sociales y de subsidios que
administra el Estado, de conformidad con lo establecido por la Tercera
Disposición Complementaria Final del Reglamento de la Ley de Protección de
Datos Personales.

VI. DISPOSICIONES ESPECÍFICAS

6.1. En el ámbito de sus competencias, las entidades que administran programas


sociales y subsidios del Estado y el MIDIS, a cargo de la operación del SISFOH y
del RNU, se encuentran habilitados para el tratamiento de datos personales, lo
que incluye la consulta y/o cruce de la información que ya administran; por lo que
dicho tratamiento no puede ser objeto de oposición como manera de obstruir los
procesos de verificación y comprobación.
6.2. El MIDIS, mediante Resolución Ministerial, establecerá los lineamientos y
procedimientos para la transferencia de las bases de datos administrativas de
conformidad con el artículo 27° de la Ley N° 29951, identificando los sectores,
tipo de información, periodicidad de entrega, entre otros. La transferencia de
información por parte de las entidades del sector público al MIDIS deberá
realizarse de manera nominal, de solicitarlo así dicho Ministerio.
6.3. En el marco de la operatividad del SISFOH, el MIDIS permite el acceso o
entrega a las entidades que administran los programas sociales y subsidios del
Estado, y a las Unidades Locales de Focalización, la clasificación socioeconómica
de las personas empadronadas así como la información correspondiente a
hogares empadronados que se encuentra contenida en el PGH, para el ejercicio
de sus respectivas competencias.
6.4. Tanto el MIDIS, como las entidades que administran programas sociales y
subsidios del estado deberán definir los lineamientos dirigidos a garantizar la
seguridad y confidencialidad de la información que administran, evitar su
adulteración, pérdida, o tratamiento no autorizado y regular las limitaciones de
transferencia de información a terceros bajo cualquier modalidad. El
incumplimiento de esta disposición traerá consigo las responsabilidades
administrativas, civiles y penales correspondientes.
6.5. El titular de los datos personales que se encuentre incluido en el PGH podrá
solicitar al MIDIS la información relativa a sus datos personales, así como a todas
las condiciones y generalidades del tratamiento de los mismos.
6.6. En el marco de sus competencias, el MIDIS establecerá los requisitos y
procedimientos para la construcción, administración, sistematización y
actualización del RNU.
En cumplimiento de la Ley de Protección de Datos Personales y su reglamento,
sólo los siguientes campos del RNU podrán ser publicados, para cumplir con los
deberes de transparencia y permitir la fiscalización:
• Nombres completos del usuario.
• Apellidos completos del usuario.
• Región.
• Programa social o subsidio del Estado correspondiente al usuario.
Los campos “Documento Nacional de Identidad”, “Distrito” y “Provincia” podrán
ser usados como criterio de búsqueda organizada, para acceder a la información
publicada.
6.7. Lo indicado en el numeral anterior es de aplicación a la publicación de los
padrones de usuarios de los programas sociales y de subsidios que administra el
Estado, pudiendo incluir además los criterios categóricos del programa.
Sólo por exigencia de su operatividad, las entidades que administran los
programas sociales y subsidios del Estado podrán disponer la publicación en
medios físicos de datos adicionales, a fin de garantizar la realización efectiva de
sus prestaciones, en concordancia con lo establecido en el numeral 6.4 de la
presente directiva y siempre observando la proporcionalidad, con la finalidad de
realizar el tratamiento que resulte imprescindible y con menor grado de
afectación de la privacidad.

VII. DISPOSICIONES FINALES

7.1 La entrega de información solicitada por funcionarios, autoridades o


entidades públicas, que se realice en el ejercicio de sus competencias o la que se
solicite en el marco de la Ley N° 27806, Ley de Transparencia y Acceso a la
Información Pública, deberá realizarse tomando en cuenta los alcances de la Ley
N° 29733, Ley de Protección de Datos Personales, su Reglamento, así como la
presente Directiva.
7.2 Las entidades que administran programas sociales y subsidios del Estado
deberán adecuar a los alcances de la presente Directiva, sus políticas de
publicación de la información contenida en sus bancos de datos personales, en
un plazo que no deberá exceder de sesenta (60) días hábiles a partir de su
vigencia.
11. Resolución Directoral que aprueba modelo de cláusula informativa sobre las
circunstancias y condiciones del tratamiento de datos personales requeridas por el
articulo 18 de la Ley 29733 de Protección de Datos Personales (RD 43-2018-
JUS/DGTAIPD)

CONDICIONES DEL TRATAMIENTO DE DATOS PERSONALES

En cumplimiento de los dispuesto por la Ley 29733, Ley de Protección de Datos


Personales y su reglamente aprobado por Decreto Supremo 003-2013-JUS, (la
ENTIDAD) desea poner en conocimiento de sus usuarios, los siguientes aspectos
relacionados con sus datos personales:

1. IDENTIDAD Y DOMICILIO DEL TITULAR DEL BANCO DE DATOS PERSONALES O


ENCARGADO DEL TRATAMIENTO:

El titular del presente banco de datos en el que se almacenarán los datos


personales facilitados en la presente solicitud es [indicar] con domicilio en
[indicar].

La existencia de este banco de datos personales ha sido declarada a la


Autoridad Nacional de Protección de Datos Personales, mediante su
inscripción en el Registro Nacional de Protección de Datos Personales con
la denominación [indicar] / y el código: RNPDP [indicar].

Se informa al usuario que, cualquier tratamiento de datos personales, se


ajusta a lo establecido por la legislación vigente en PERU en la materia
(Ley 29733 y su reglamento).

2. FINALIDAD:

[indicar al titular del banco de datos personales] tratará sus datos con la
finalidad de gestionar la presente solicitud y/o contrato. [Se hará constar
una referencia al contrato o tipo de contrato de que se trate, con el detalle
suficiente para que no quepa ninguna ambigüedad sobre lo que se
refiere].

Adicionalmente, usted autoriza a [indicar al titular del banco de datos


personales] para: [indicar en detalle cada finalidad no vinculada a la
ejecución de la relación contractual para la cual necesita el
consentimiento, por ejemplo envío de comunicaciones referidas a
promociones, comunicaciones comerciales de sus productos, entre otros].

Ejemplo:
Autorizo el envío de comunicaciones referidas a promociones.
Si acepto
No acepto
Sus datos personales sólo serán utilizados con propósitos limitados, tal
como los expuestos precedentemente.

En el caso no acepte el (los) tratamientos (s) adicional (es) de sus datos


personales, esto no afectará la prestación del servicio contratado.

3. TRANSFERENCIAS Y DESTINATARIOS: Cuando los datos personales recabados


vayan a ser enviados a otras empresas (incluso cuando estas pertenezcan al
mismo grupo empresarial) deberá informarse de manera detallada al usuario, de
tal forma que éste pueda conocer explícitamente las finalidades determinadas a
las que se destinarán los datos. De la siguiente forma:

Los datos personales de transferirán a nivel nacional a: [detalle de las


empresas destinatarias de los datos y la finalidad de la transferencia].

Los datos personales se transferirán a nivel internacional a: [indicar


denominación de la empresa, país y finalidad de la transferencia]

La ENTIDAD contrata los servicios en la nube (computación en la nube) a


través de: [detalle el nombre de la empresa y ubicación geográfica del
servidor en el que se pueden almacenar los datos personales].

Si no realiza transferencia de datos personales, esta información se debe de


indicar de la siguiente manera:

Los datos personales no se transmitirán a terceros, salvo obligación legal.

4. PLAZO DURANTE EL CUAL SE CONSERVARAN LOS DATOS PERSONALES:

Los datos personales proporcionados se conservaran [mientras se


mantenga la relación contractual …/… no se solicite su cancelación por el
titular del dato …/… durante un plazo de … años a partir de … ]

5. EJERCICIO DE LOS DERECHOS DE INFORMACION, ACCESO, RECTIFICACION,


CANCELACION Y OPOSICION DE LOS DATOS:

Como titular de sus datos personales el usuario tiene le derecho de


acceder a sus datos en posesión de [indicar al titular del banco de datos
personales]; conocer las características de su tratamiento, rectificarlos en
caso de ser inexactos o incompletos; solicitar sean suprimidos o
cancelados al considerarlos innecesarios para las finalidades previamente
expuestas o bien oponerse a su tratamiento para fines específicos.

El usuario podrá en todo momento revocar el consentimiento otorgado


expresamente, tanto como limitar el uso o divulgación de sus datos
personales.
El usuario podrá dirigir su solicitud de ejercicio de los derechos a la
siguiente dirección: [indicar], o a la siguiente dirección de correo
electrónico: [indicar].

A fin de ejercer los derechos antes mencionados, el usuario deberá


presentar en el domicilio especificado previamente, la solicitud respectiva
ten los términos que establecer el Reglamento de la Ley 29733
(incluyendo: nombre del titular del dato personal y domicilio u otro medio
para recibir respuesta; documentos que acrediten su identidad o la
representación legal; descripción clara y precisa de los datos respecto de
los que busca ejercer sus derechos y otros elementos o documentos que
faciliten la localización de los datos).

De considerar el usuario que no ha sido atendido en el ejercicio de sus


derechos puede presentar una reclamación ante la Autoridad Nacional de
Protección de Datos Personales, dirigiéndose a la Mesa de Partes del
Ministerio de Justicia y Derechos Humanos: Calle Scipion Llona 350,
Miraflores, Lima, Perú.

[indicar al titular del banco de datos personales] será responsable del


banco de datos personales [reiterar denominación del banco de datos,
señalado en el numeral 1] y de los datos personales contenidos en éste.
Con el objeto de evitar pérdida, mal uso, alteración, acceso no autorizado
y robo de los datos personales o información confidencial facilitados por
los usuarios y/o los clientes, [indicar al titular del banco de datos
personales] ha adoptado los niveles de seguridad y de protección de datos
personales legalmente requeridos, y ha instalado todos los medios y
medidas técnicas a su alcance.
12. Resolución Directoral que aprueba la Directiva sobre lineamientos para la
clasificación de opiniones emitidas por la Dirección General de Transparencia, Acceso
a la Información Pública y Protección de Datos Personales (RD 69-2018-JUS/DGTAIPD)

l. Objetivo

Establecer los lineamientos para la clasificación de los tipos de opiniones o


informes que emite la Dirección General de Transparencia, Acceso a la
Información Pública y Protección de Datos Personales, teniendo en cuenta la
naturaleza de dichos documentos, facilitando así la comprensión por parte de los
administrados respecto de los alcances y características inherentes a cada una
de las opiniones que emite el órgano de línea en el ejercicio de sus funciones
referidas a la Autoridad Nacional de Transparencia y Acceso a la Información
Pública y a la Autoridad Nacional de Protección de Datos Personales, y
permitiendo su correcta sistematización por parte de la Dirección General.

II. Base Legal

La presente directiva se sustenta en las siguientes normas:

1.1 Constitución Política del Perú.


1.2 Ley Nº 27806, Ley de Transparencia y Acceso a la Información Pública.
1.3 Ley N° 29733, Ley de protección de datos personales.
1.4 Decreto Legislativo Nº 1353, Decreto Legislativo que crea la Autoridad
Nacional de Transparencia y Acceso a la Información Pública, fortalece el
Régimen de Protección de Datos Personales y la Regulación de la Gestión de
Intereses.
1.5 Reglamento del Decreto Legislativo Nº 1353, Decreto Legislativo que crea la
Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece
el Régimen de Protección de Datos Personales y la Regulación de la Gestión de
Intereses, aprobado por Decreto Supremo Nº 019-2017-JUS.
1.6 Reglamento de Organización y Funciones del Ministerio de Justicia y
Derechos Humanos, aprobado por Decreto Supremo Nº 013-2017-JUS.

III. Alcance

La Directiva será de aplicación para la Dirección General de Transparencia,


Acceso a la Información Pública y Protección de Datos Personales, así como para
sus unidades orgánicas: la Dirección de Transparencia y Acceso a la Información
Pública, la Dirección de Protección de Datos Personales, y la Dirección de
Fiscalización e Instrucción.

IV. Responsabilidad

El cumplimiento de la Directiva será responsabilidad de la Dirección General de


Transparencia, Acceso a la Información Pública y Protección de Datos Personales,
así como de sus unidades orgánicas: la Dirección de Transparencia y Acceso a la
Información Pública, la Dirección de Protección de Datos Personales, y la
Dirección de Fiscalización e Instrucción.

IV. Definiciones y/o siglas:2

4.1. Ministerio de Justicia y Derechos Humanos: MINJUSDH


4.2. Dirección General de Transparencia, Acceso a la Información Pública y
Protección de Datos Personales: DGTAIPD
4.3. Dirección de Transparencia y Acceso a la Información Pública: DTAIP
4.4. Dirección de Protección de Datos Personales: DPDP
4.5. Dirección de Fiscalización e Instrucción: DFI

V. Disposiciones Generales

5.1. La DGTAIPD emite opiniones consultativas, opiniones técnicas, informes


jurídicos e informes dependiendo de la naturaleza de la función que realiza, de
acuerdo a la normativa en materia de transparencia y acceso a la información
pública; en materia de protección de datos personales; y acorde a sus funciones
como órgano de línea del MINJUSDH.
5.2. La DGTAIPD emite opiniones con carácter vinculante, conforme lo previsto
en la normativa, las que son de obligatorio cumplimiento para el conjunto de
entidades de la Administración Pública.

VI. Disposiciones Específicas

Los tipos de opinión o documentos de análisis que emite la DGTAIPD son:

6.1. Opinión consultiva: Se emite cuando las entidades públicas, personas


jurídicas o personas naturales plantean una consulta referida a la interpretación
o aplicación de una norma, por lo cual la DGTAIPD emite una opinión de carácter
general respecto de este tipo de consultas. De considerarlo pertinente, la
DGTAIPD puede establecer opinión consultiva con carácter vinculante en materia
de transparencia y acceso a la información pública.
6.2. Opinión técnica: Se emite cuando las entidades públicas solicitan el análisis
de proyectos de ley u otras propuestas normativas que contienen aspectos
relacionados a la transparencia y el acceso a la información pública, o a la
protección de datos personales. La opinión técnica tiene necesariamente carácter
vinculante en materia de protección de datos personales.
6.3. Informe Jurídico: Se emite para brindar alcances de carácter jurídico a
instancias de la Alta Dirección del MINJUSDH u otra dependencia del Sector.
También se emite cuando de oficio la DGTAIPD considera necesario remitir
determinados alcances jurídicos a los distintos órganos del MINJUSDH.
6.4. Informe: Se emite a fin de informar sobre aspectos relativos a la gestión o
para brindar datos de carácter administrativo sobre los cuales corresponde dar
cuenta por parte de la DGTAIPD.

2
Error de numeración de la Directiva (debería ser V y cambiar los subsiguientes)
VII. Disposiciones Complementarias

7.1. La DTAIP, DPDP y la DFI sólo pueden emitir documentos distintos a los
estipulados en la Directiva. La DTAIP, la DPDP y la DFI participan en la proyección
de las opiniones e informes que emite la DGTAIPD, según sus competencias
respectivas, sea en materia de transparencia y acceso a la información pública, o
en materia de protección de datos personales.
7.2. De acuerdo al carácter de la opinión o informe emitidos, el área
correspondiente tramitará la numeración de la opinión en el sistema, la cual
tendrá como correlato una nomenclatura distintiva de las opiniones consultivas,
opiniones técnicas, informes jurídicos e informes, según corresponda.
7.3. A efectos de reordenar la documentación emitida en los primeros meses del
año 2018 por la DGTAIPD, esta será catalogada bajo los nuevos criterios previstos
en la Directiva. La nueva nomenclatura y numeración correlativa que se genera
según el tipo de opinión, tendrá estrictamente fines de carácter administrativo.
13. Resolución Directoral que aprueba la actualización de los formularios para el inicio
de procedimientos ante la Dirección General de Transparencia, Acceso a la
Información Pública y Protección de Datos Personales y sus unidades orgánicas. (RD
85-2018- JUS/DGTAIPD)

Artículo 1°.- Aprobar los siguientes formularios para el inicio de procedimientos


ante la Dirección General de Transparencia, Acceso a la Información Pública y
Protección de Datos Personales y sus unidades orgánicas:

1. Formulario de Solicitud de Procedimiento Trilateral de Tutela.


2. Formulario de Denuncia por Actos Contrarios a la Ley N° 29733 y su
Reglamento, aprobado por Decreto Supremo N° 003-2013-JUS.
3. Formulario de Inscripción de Banco de Datos Personales de Administración
Persona Jurídica.
4. Formulario de Inscripción de Banco de Datos Personales de Administración
Entidad Pública
5. Formulario de Inscripción de Banco de Datos Personales de Administración
Persona Natural
6. Formulario de Modificación de Banco de Datos Personales
7. Formulario de Cancelación de Banco de Datos Personales.

Artículo 2°.- La comunicación de flujo transfronterizo se realiza mediante el


formulario de inscripción de banco de datos personales.
14. Resolución Directoral que aprueba la Directiva sobre Directiva para el Tratamiento
de Datos Personales mediante Sistemas de Videovigilancia (RD 002-2020-
JUS/DGTAIPD)

I. OBJETIVO

Establecer las disposiciones para el tratamiento de datos personales captados a


través de sistemas de videovigilancia con fines de seguridad, control laboral y
otros, de conformidad con lo establecido en la Ley N° 29733 y su reglamento.

II. BASE LEGAL


- Constitución Política del Perú.
- Ley N° 27153, Ley que regula la explotación de juegos de casinos y máquinas
tragamonedas.
- Ley N° 27933, Ley del Sistema de Seguridad Ciudadana.
- Ley N° 29733, Ley de Protección de Datos Personales (LPDP)
- Ley N° 27972, Ley Orgánica de Municipalidades.
- Ley N° 30120, Ley de Apoyo a la Seguridad Ciudadana con Cámaras de
Videovigilancia Públicas y Privadas.
- Ley N° 30037, Ley que Previene y Sanciona la Violencia en los Espectáculos
Deportivos.
- Ley N° 30740, Ley que regula el uso y las operaciones de los sistemas de
aeronaves pilotadas a distancia (RPAS).
- Decreto Legislativo N° 1218, que regula el uso de las cámaras de videovigilancia.
- Decreto Supremo N° 003-97-TR, que aprueba el Texto Único Ordenado de la Ley
de Productividad y competitividad laboral.
- Decreto Supremo N° 003-2013-JUS, que aprueba el Reglamento de la Ley de
Protección de Datos Personales.
- Decreto Supremo N° 011-2014-IN, que aprueba el Reglamento de la Ley N°
27933,
- Ley del Sistema Nacional de Seguridad Ciudadana.
- Decreto Supremo N° 007-2016-IN, que aprueba el Reglamento de la Ley N°
30037,
- Ley que previene y sanciona la violencia en los espectáculos deportivos.
- Decreto Supremo N° 013-2017-JUS, que aprueba el Reglamento de Organización
y Funciones del Ministerio de Justicia y Derechos Humanos.
- Decreto Supremo N° 004-2019-JUS, que aprueba el Texto Único Ordenado de la
Ley de Procedimiento Administrativo general, Ley N° 27444.
- Decreto Supremo N° 018-2013-MINJUS, que aprueba el Texto Único Ordenado
de la Ley Orgánica del Ministerio de Justicia y Derechos Humanos, modificado por
Resolución Ministerial N° 065-2017-JUS.
- Decreto Supremo N° 009-2002-MINCETUR, que aprueba el Reglamento de la Ley
N° 27153, que regula la explotación de juegos de casinos y máquinas
tragamonedas,
- Resolución Directoral N° 709-2005-MINCETURNTM/DNT: "Normas
complementarias a la instalación del sistema de video en la sala de juego y
máquinas tragamonedas".
III. ALCANCE

Las disposiciones contenidas en la presente directiva se aplican a toda persona


natural y jurídica que realice tratamiento de datos personales a través de
sistemas de Videovigilancia y, en general, mediante cualquier dispositivo que
permita el tratamiento de datos para dicho fin.

Las entidades de la Administración Pública señaladas en el artículo I de la Ley N°


27444, Ley del Procedimiento Administrativo General, se sujetarán a aquellas
disposiciones de la presente directiva que resulten aplicables conforme a las
normas comunes de derecho público.

IV. RESPONSABLE:

El responsable de esta directiva, a efectos de su difusión, exigibilidad y


cumplimiento, es la Autoridad Nacional de Protección de Datos Personales que
es ejercida por el Ministerio de Justicia y Derechos Humanos a través de la
Dirección General de Transparencia, Acceso a la Información Pública y Protección
de Datos Personales.

V. DEFINICIONES )1/0 SIGLAS

5.1 Arquitectura física:


Representación gráfica de los componentes físicos (servidores, cámara o
videocámara, monitores, entre otros) del sistema de videovigilancia a través del
cual se realiza tratamiento de datos personales.

5.2 Arquitectura lógica:


Representación gráfica de las conexiones entre los componentes lógicos
(software, sistemas, aplicativos, etc.) del sistema de videovigilancia a través del
cual se realiza tratamiento de datos personales.

5.3 Cámara o videocámara:


Dispositivo digital, óptico o electrónico, fijo o móvil que permite captar, grabar o
cualquier otro tratamiento de datos personales a través de imágenes, videos o
audios.

5.4 Cámara conectada a internet:


Es aquella cámara o videocámara que se encuentra conectada a internet a través
de cualquier identificador (IP u otros) con finalidad de realizar tratamiento de
datos personales mediante imágenes, videos o audios.

5.5 Cámara "on board":


Cámara instalada dentro de un vehículo, casco o vestimenta de un conductor,
que permite grabar imágenes durante el recorrido que se realiza con el mismo.
5.6 Captación de imágenes y/o sonidos:
Es el proceso técnico que permite la captura de imágenes y/o sonidos en tiempo
real mediante cámaras o videocámaras en cualquier medio o soporte
tecnológico.

5.7 CD:
Disco compacto.

5.8 Dato personal:


Las imágenes y las voces de una persona constituyen datos personales, ya que
permiten identificar o hacer identificable a una persona natural a través de
medios que pueden ser razonablemente utilizados.

5.9 Días: Días hábiles.

5.10 Dron:
Aeronave no tripulada.

5.11 Grabación:
Es el proceso técnico a través del cual se registra imágenes, videos o audios en
cualquier medio o soporte tecnológico, con la finalidad de almacenar o reproducir
con posterioridad lo registrado.

5.12 Inventario documentado:


Lista ordenada de la totalidad de las cámaras u otros dispositivos de
videovigilancia, en la cual se debe precisar la ubicación física de los dispositivos,
ya sea interna o externa, así como su estado de operatividad.

5.13 LPDP:
Ley N° 29733, Ley de Protección de Datos Personales.

5.14 Máscara de privacidad:


Permite bloquear y/o anonimizar determinadas partes de una imagen que no se
visualizará o captará por la cámara o videocámara.

5.15 Persona identificable:


Persona a la cual se la pueda identificar mediante tratamientos a los que se
refiere la directiva. Se identifica a una persona natural con la captación de su
imagen, voz o cualquier otro tratamiento de sus datos que permita hacerlo.

5.16 Perfil:
Conjunto de facultades que se le atribuyen a los usuarios del sistema de
videovigilancia que permiten determinar la atribución de sus funciones, en razón
de sus posibilidades de accesos al sistema y de gestión privilegios.
Existen tres tipos de Perfiles:

5.16.1 Perfil administrador:


Es la persona que tiene a cargo todas las obligaciones contenidas en la
LPDP, su reglamento y la presente directiva. Toda persona natural,
jurídica o entidad pública que cuente con sistemas de videovigilancia,
para los fines establecidos en esta directiva, debe designar, mediante
documento, a la persona que estará a cargo de estas atribuciones, pues
será quien responda específicamente por el tratamiento de datos
personales que se realice a través del sistema, sin perjuicio de la
responsabilidad atribuida al encargado del tratamiento.

5.16.2 Perfil intermedio:


Es aquel a quien el perfil administrador puede delegar determinadas
funciones o responder, en defecto del perfil administrador, por ellas. Las
funciones que le pueden ser asignadas, mediante documento, están
reguladas en esta directiva. El perfil intermedio se encuentra bajo la
dirección del perfil administrador.

5.16.3 Perfil básico:


Es aquel a quien, de acuerdo al documento de asignación, le compete
únicamente las funciones de monitoreo de las cámaras de videovigilancia,
seguridad lógica y física del ambiente de videovigilancia y mantener
actualizado el inventario documentado de cámaras. Ello, sin perjuicio que
estas actividades puedan ser realizadas también por el perfil intermedio y
administrador, pudiéndose encontrar incluso bajo su mando o dirección.

5.17 Procedimiento documentado de gestión de acceso:


Documento en el que se establecen los procedimientos y políticas de seguridad a
fin de garantizar el acceso seguro a los sistemas, aplicativos y/o equivalentes que
realizan tratamiento de datos personales. Dichos accesos deberán ser definidos
mediante procesos de identificación y/o autentificación de los usuarios, así como
los responsables de realizar dichos procesos.

5.18 Procedimiento documentado de gestión de privilegios:


Documento mediante el cual se establecen los procedimientos formales de
definición y de aprobación de los perfiles de los usuarios que realizan tratamiento
de datos personales, teniendo en cuenta las autorizaciones de acceso y las
restricciones del banco de datos automatizado que realiza tratamiento de datos
personales, así como los responsables de realizar el tratamiento de datos
personales y de aquellos que llevan a cabo dichos procesos.

5.19 Procedimiento documentado de verificación periódica de privilegios


asignados:
Documento a través del cual se establecen los procedimientos, políticas formales
y la periodicidad de revalidación, y la verificación de los privilegios a los usuarios
que tienen acceso a datos personales, así como a los responsables de dichos
procesos.

5.20 RLPDP:
Reglamento de la Ley de Protección de Datos Personales.

5.21 RNPDP:
Registro Nacional de Protección de Datos Personales.

5.22 Sistema de Videovigilancia:


Conjunto de una o más personas y equipos tecnológicos -compuesto por una o
varias cámaras de video localizadas estratégicamente e interconectadas entre sí
- que permiten el tratamiento de datos personales.

5.23 Tipos de prestación en contratos de encargo de sistemas de videovigilancia:

5.23.1 Una empresa externa puede prestar servicios consistentes en la


instalación y/o mantenimiento técnico de los equipos y sistemas de
videovigilancia sin acceso a imágenes y/o audio.
En estos casos estas empresas no tienen la condición de encargados del
tratamiento, siendo el titular del banco de datos el obligado a adoptar los
sistemas a los requisitos normativos.

5.23.2 La empresa externa puede brindar servicios de instalación o


mantenimiento de los equipos y sistemas de videovigilancia con
utilización de los equipos o acceso a las imágenes, videos o audios. En este
tipo de relación la empresa se considera encargada del tratamiento y
tiene que cumplir las obligaciones que tal condición le otorga la LPDP.

5.24 Tratamiento de datos personales a través de sistemas de videovigilancia:


Es cualquier operación o procedimiento técnico, automatizado o no, que permite
la recopilación, registro, organización, almacenamiento, conservación,
elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión,
comunicación por transferencia o por difusión o cualquier otra forma de
procesamiento que facilite el acceso, correlación o interconexión de la imagen o
voz, captados por medio de un sistema de cámaras fijas o móviles ya sea en
tiempo real o en visualización de grabaciones de imágenes, vídeos o audios.

5.25 Usuario:
Operador de la plataforma tecnológica a quien se le asignó un perfil
determinado.

5.26 Videoportería:
Sistema autónomo que sirve para gestionar las llamadas que se hacen en la
puerta de un edificio (sea complejo residencial, vivienda unifamiliar, centros de
trabajo, etc.), controlando el acceso al mismo mediante la comunicación
audiovisual entre el interior y el exterior. La característica principal de la
videoportería es que permite que la persona que ocupa el interior identifique a la
visita, pudiendo, si lo desea, entablar una conversación y/o abrir la puerta para
permitir el acceso de la persona que ha activado un timbre o dispositivo de
comunicación.

5.27 Videovigilancia:
Monitoreo y captación de imágenes, videos o audios de lugares, personas u
objetos. La información captada puede o no ser objeto de almacenamiento a
través de su grabación.

5.28 Violación o brecha de seguridad de los datos personales:


Se produce cuando los datos contenidos en sistemas de videovigilancia sufren un
incidente de seguridad que da lugar a la violación de la confidencialidad,
disponibilidad o integridad de los mismos.

Dichos incidentes de seguridad pueden ser: la destrucción, pérdida o alteración


accidental o ilícita de los datos personales transmitidos, conservados y tratados,
o la comunicación y/o accesos no autorizados a dichos datos.

VI. DISPOSICIONES GENERALES

Ámbito material de aplicación


6.1 Se aplica al tratamiento de datos de personas identificadas o identificables
captados a través de sistemas de videovigilancia. El tratamiento objeto de esta
directiva comprende la grabación, captación, transmisión, conservación o
almacenamiento de imágenes o voces, incluida su reproducción o emisión en
tiempo real o cualquier otro tratamiento que permita el acceso a los datos
personales relacionados con aquellos, para fines de seguridad, control laboral y
otros.

6.2 No se encuentran dentro del ámbito de aplicación de la presente directiva:

6.2.1 Los tratamientos de datos de personas naturales identificadas o


identificables a través de cámaras o videocámaras y sistemas de
videovigilancia en el marco de los supuestos de excepción previstos en el
artículo 3 de la LPDP.
6.2.2 Al tratamiento de imágenes en el ámbito personal y doméstico, que
incluye el uso de cámaras "on board' y los sistemas de videoportería, salvo
que estos últimos se articulen mediante procedimientos que reproduzcan
o graben imágenes de modo constante y que resulten accesibles
(mediante internet o emisiones por televisión en circuito cerrado) y, en
particular, cuando el objeto de las mismas alcance a las zonas comunes
y/o la vía pública colindante.
6.2.3 Al tratamiento de imágenes vinculadas al ejercicio legítimo del
derecho a la libertad de información y expresión por los medios de
comunicación.
6.2.4 Aquellos sistemas que involucren cámaras o videocámaras
simuladas o desactivadas. A estas últimas, sí les resultará aplicable la
directiva en lo que respecta a las medidas de seguridad del sistema.

Legitimación para el tratamiento de datos mediante cámaras o sistemas de


videovigilancia
6.3 Existe legitimidad para el tratamiento de datos personales mediante sistemas
de videovigilancia cuando se cuente con alguno de los siguientes supuestos:

6.3.1 Se cuente con el consentimiento del titular de los datos personales.


6.3.2 Una norma con rango de ley habilite a captar los datos sin el
consentimiento de los titulares.
6.3.3 Se dé alguna de las circunstancias previstas en el artículo 14 de la
LPDP.

Principios

6.4 Principio de proporcionalidad:


El tratamiento de los datos personales debe ser adecuado, pertinente y no
excesivo en relación con el ámbito y las finalidades determinadas, legítimas y
explícitas, que hayan justificado la instalación de las cámaras o videocámaras.

Debe existir una relación de proporcionalidad entre la finalidad perseguida y el


modo en que se traten los datos. Una adecuación medio —fin.
El uso de instalaciones de cámaras o videocámaras es legítimo cuando no exista
un medio menos invasivo o igual de eficaz, para alcanzar la finalidad perseguida.

6.5 Principio de seguridad:


El responsable del tratamiento debe adoptar las medidas de índole técnica y
organizativa necesarias para garantizar la seguridad de los datos y evitar su
alteración, pérdida, tratamiento o acceso no autorizado.

Aquellos sistemas de videovigilancia de personas jurídicas conectados o que


vayan a ser conectados con una central receptora de alarmas o un centro de
control, deben cumplir con lo previsto en el Decreto Legislativo N° 1213, que
regula los servicios de seguridad privada. Estos servicios únicamente pueden ser
realizados por empresas de seguridad, en virtud de sus condiciones y
cualificación, debiendo estas ser consideradas encargadas del tratamiento.

6.6 Principio de calidad:


El tratamiento de los datos deberá ser necesario, pertinente y adecuado respecto
a la finalidad para la que fueron recopilados, y deberán conservarse solo por el
tiempo necesario para cumplir con la finalidad que motivó su tratamiento,
tomando en cuenta el plazo señalado en el punto 6.13 de la presente directiva.
Derecho de información
6.7 Debe informarse sobre la captación y/o grabación de las imágenes, para tal
fin se debe colocar en las zonas videovigiladas al menos un distintivo informativo
ubicado en un lugar suficientemente visible, tanto en espacios abiertos como
cerrados.

Si la información prevista en el artículo 18 de la LPDP no puede ser colocada en


su integridad en el cartel informativo, en el espacio videovigilado debe tenerse a
disposición de los interesados, ya sea a través de medios informáticos,
digitalizados o impresos, la información mínima requerida para garantizar sus
derechos, regulada en el punto 6.12 de la presente directiva.

Si el lugar vigilado dispone de varios accesos, el cartel se coloca en todos ellos, en


un lugar visible, para que la información contenida en el mismo también lo sea.

Respeto a los derechos fundamentales de terceros


6.8 Debe prevenirse la captación de imágenes de terceros ajenos a los fines de la
captación. El titular del banco de datos personales o quien realice el tratamiento
de los datos a través de los sistemas de videovigilancia es responsable por la
implementación de mecanismos o medidas adecuadas para no afectar los
derechos de terceros que aparezcan en las grabaciones.

Las cámaras o videocámaras instaladas en espacios privados no deben obtener


imágenes de espacios públicos, salvo que resulte imposible evitarlo. En este
último caso, la cámara debe captar únicamente la sección de vía pública que
resulte imprescindible para cumplir con los fines de vigilancia que se pretende con
la instalación del sistema.

Registro de banco de datos de videovigilancia


6.9 La persona natural, jurídica o entidad pública que utilice un sistema de
videovigilancia o cualquier dispositivo que permita el tratamiento de datos para
dicho fin, debe solicitar la inscripción del banco de datos personales respectivo a
la Dirección de Protección de Datos Personales, unidad orgánica de la Dirección
General de Transparencia, Acceso a la Información Pública y Protección de Datos
Personales del Ministerio de Justicia y Derechos Humanos, encargada de la
administración del Registro Nacional de Protección de Datos Personales.

6.10 Los sistemas que no almacenan imágenes, sino que consisten


exclusivamente en la reproducción y emisión de imágenes en tiempo real, no son
considerados bancos de datos. Sin embargo, esto no los exime del cumplimiento
de las demás obligaciones contenidas en la LPDP, su reglamento y la presente
directiva, en lo que resulte aplicable.

Características del cartel informativo


6.11 Cada acceso a la zona videovigilada debe tener un cartel o anuncio visible
con fondo amarillo o cualquier otro que contraste con el color de la pared y que
lo haga suficientemente visible. Su contenido mínimo debe indicar (Anexo 1):
6.11.1 La identidad y domicilio del titular del banco de datos personales.
6.11.2 Ante quién y cómo se pueden ejercitar los derechos establecidos en
la LPDP.
6.11.3 Lugar dónde puede obtener la información contenida en el artículo
18 de la LPDP.
6.11.4 En lo que se refiere a las dimensiones, los elementos gráficos
podrán tener, como mínimo, las siguientes: 297 x 210 mm. Cuando el
espacio en que se vaya a ubicar el cartel informativo no lo permita, este
debe adecuarse al espacio disponible, de tal forma que cumpla su
finalidad informativa.

Características del informativo adicional del sistema de videovigilancia


6.12 El informativo adicional del sistema de videovigilancia (Anexo 2) debe estar
disponible, ya sea a través de medios informáticos, digitalizados o impresos, y
debe contener la información requerida para garantizar el derecho reconocido en
el artículo 18 de la LPDP:

6.12.1 La identidad y domicilio del titular del banco de datos personales y


del encargado del tratamiento, de ser el caso.
6.12.2 La finalidad.
6.12.3 Las transferencias y destinatarios de los datos personales.
6.12.4 El plazo durante el cual se conservarán los datos personales.
6.12.5 El ejercicio de los derechos de información, acceso, cancelación y
oposición de los datos.

Plazo de conservación o almacenamiento de la información grabada


6.13 Las imágenes y/o voces grabadas se almacenan por un plazo de treinta (30)
días y hasta un plazo máximo de sesenta (60), salvo disposición distinta en
normas sectoriales. Durante ese plazo, el titular del banco de datos o encargado
del tratamiento de los datos debe asegurar la reserva y confidencialidad de la
información, no permitiendo la difusión, copia o visualización de imágenes por
terceros no autorizados.

6.14 El registro de las imágenes, videos o audios que presenten indicios


razonables de la comisión de un delito o falta debe ser informado haciendo
entrega del soporte que contiene el mismo de manera inmediata a la Policía
Nacional del Perú o al Ministerio Público, según corresponda.

Cancelación definitiva de la información


6.15 Transcurrido el plazo de conservación de la información referido en el punto
6.13, y no habiendo requerimiento de alguna autoridad competente para
entregar o visualizar el contenido de la grabación, se deben eliminar los archivos
en el plazo máximo de dos (02) días hábiles, salvo disposición distinta en norma
sectorial.
6.16 El plazo máximo previsto para la eliminación de la información no será
aplicable cuando exista alguna finalidad o interés legítimo que justifique su
conservación, así como la concurrencia de alguna contingencia de orden técnico
que justifique razonablemente el aplazamiento de la eliminación de la misma por
un período determinado o determinable.

Formalidades que debe seguir el encargado del tratamiento


6.17 Cuando una persona natural, jurídica o entidad pública ha instalado o
pretende instalar un sistema de cámaras de videovigilancia, pero encarga a otra
la gestión del sistema con utilización de los equipos o acceso a las imágenes o
voces, debe de suscribirse un contrato, convenio o documento similar en el que
se establezca el objeto, la duración, la naturaleza y finalidad del tratamiento, el
tipo de datos y categorías de interesados, las obligaciones y derechos que
correspondan, así como el destino de los datos al finalizar la prestación.

6.18 El contrato, convenio o documento similar atiende a las circunstancias


concretas de la prestación del servicio. El encargado está obligado, en mérito de
él, a cumplir con las condiciones técnicas y organizativas necesarias para respetar
las obligaciones establecidas en la LPDP; a observar los requisitos legales que lo
habilitan para prestar el servicio; a seguir las instrucciones del responsable del
tratamiento o del titular del banco de datos; a realizar las acciones necesarias
para asistir al responsable o titular del banco de datos en el cumplimiento de su
deber de responder frente el ejercicio de los derechos señalados en la LPDP; y, en
general, de colaborar en el cumplimiento de las obligaciones del titular del
banco de datos.

6.19 El encargado del tratamiento debe garantizar al responsable que el acceso


a los datos sólo se realizará por personas debidamente autorizadas debiendo
adoptar las medidas de seguridad necesarias para asegurar el adecuado uso del
sistema y tratamiento de los datos personales.

6.20 El encargado del tratamiento del sistema de videovigilancia debe notificar,


sin dilación, al responsable del tratamiento acerca de la existencia de una
violación o brecha de seguridad.

6.21 De acuerdo a lo establecido en el artículo 37 del RLPDP, es posible la


subcontratación con terceros, debiendo asumir la persona natural o jurídica
subcontratada las mismas obligaciones que se establezcan para el titular del
banco de datos, responsable o encargado del tratamiento, según corresponda,
de acuerdo a lo establecido en el artículo 38 del RLPDP.

Principales obligaciones sobre medidas de seguridad


6.22 La persona que opera o tiene acceso a cualquier sistema de cámaras de
videovigilancia, en razón de sus funciones, debe cumplir con lo siguiente:

6.22.1 Tener procedimientos de identificación y autentificación de


usuarios que den cuenta del funcionamiento del centro de control y
monitoreo del sistema de cámaras o videocámaras de videovigilancia, de
las partes que lo componen y los equipos.
6.22.2 Conocer el funcionamiento correcto del sistema de videovigilancia.
6.22.3 Contar con un inventario documentado de las cámaras u otros
dispositivos de videovigilancia.
6.22.4 Contar con un esquema y/o diagrama documentado de la
arquitectura física y lógica del sistema de videovigilancia. La arquitectura
física es la representación gráfica de las conexiones físicas entre los
diversos componentes del sistema. Entiéndase por componentes: los
servidores, cámaras de videovigilancia, computadoras, etc.

Por su parte, la arquitectura lógica es la representación gráfica de las


conexiones entre los componentes lógicos (software, sistemas aplicativos,
etc.) de una red o sistema de videovigilancia, en el cual se debe detallar
nombre del sistema y funciones específicas.
6.22.5 Contar con documentación respecto a la gestión de accesos,
privilegios y verificación periódica de privilegios asignados.
6.22.6 Cuando corresponda, contar con mecanismos de respaldo de
seguridad de la información de carácter personal obtenida a través de
sistemas de videovigilancia, así como con un procedimiento que
contemple la verificación de la integridad de los datos almacenados en el
respaldo.
6.22.7 Implementar las medidas de seguridad en el caso de que resulte
necesario transportar los sistemas o cámaras de videovigilancia que
contengan información de carácter personal. El transporte debe ser
autorizado por el titular del banco de datos personales.
6.22.8 Otras obligaciones que las leyes o normativa sobre la materia
dispongan.

6.23 Para efectos de un cumplimiento adecuado de las medidas de seguridad


dentro del sistema de videovigilancia, es necesaria la implementación de los
perfiles definidos en el glosario de la presente directiva, a fin de limitar accesos y
gestión de privilegios de los usuarios. En el caso de personas jurídicas o naturales
que cuenten con un número no superior de ocho cámaras y dos operadores de las
mismas, sólo será necesario la determinación del perfil administrador y
habilitarse un ambiente aislado o apropiado con mecanismo de control de acceso
asignado para el mismo.

Deber de confidencialidad
6.24 El deber de confidencialidad podrá materializarse a través de un documento
en el que se determine la obligación de secreto entre las partes, a efectos de no
divulgar una determinada información. En este documento se establece la
prohibición de reproducir, modificar, publicar o difundir o transferir a terceros la
información sin autorización expresa de la otra parte.

6.25 El documento debe ser suscrito entre las personas que en razón de sus
funciones operan o tienen acceso a cualquier sistema de videovigilancia, con el
titular del banco de datos personales o con el encargado del tratamiento,
dependiendo de a quien presta sus servicios directamente, siendo la empresa
empleadora la propietaria del sistema de videovigilancia o del establecimiento
en donde este se realiza.

Responsabilidades de las personas que operan sistemas o centros de


videovigilancia por operaciones no autorizadas
6.26 Las personas que operan o tienen acceso a cualquier sistema de
videovigilancia, en razón de sus funciones, son responsables de la facilitación,
comercialización, difusión, copia o entrega no autorizadas del contenido de las
grabaciones.

Prestaciones de servicio sin acceso a datos personales


6.27 El responsable o encargado del tratamiento de los datos personales adopta
las medidas adecuadas para limitar el acceso del personal distinto al
especialmente designado para acceder y gestionar el sistema de videovigilancia.

6.28 El personal que no tiene entre sus funciones realizar tratamiento de datos
personales se encuentra prohibido de tratar los datos personales, debiendo
consignarse esta prohibición:

6.28.1 En el contrato de trabajo o prestación de servicios que suscriban


con el titular del banco de datos o encargado de su tratamiento; o,
6.28.2 En el contrato que suscriba la empresa tercerizadora o
intermediaria y el titular del banco de datos o el encargado de su
tratamiento, debiendo la empresa tercerizadora o intermediadora hacer
de conocimiento de quien vaya a prestar directamente el servicio de tal
obligación de confidencialidad.

6.29 Asimismo, deberá consignarse la obligación de secreto respecto a los datos


que este personal hubiera podido conocer con motivo de la prestación de su
servicio.

Derechos de los titulares de los datos


6.30 Los derechos establecidos en la LPDP pueden ser ejercidos por los titulares
de los datos personales con motivo de su captación a través de un sistema de
videovigilancia. Por las particularidades propias de los sistemas de
videovigilancia podrán ejercitarse los siguientes derechos:

6.30.1 Derecho acceso.


6.30.2 Derecho de cancelación.
6.30.3 Derecho de oposición (en algunos supuestos).

Derecho de Acceso
6.31 Dadas las particularidades propias de los sistemas de videovigilancia, el
derecho de acceso reviste características singulares:

6.31.1 El titular del dato personal debe precisar la fecha, rango de horas,
lugar o cualquier otra información que permita facilitar la ubicación de la
imagen requerida. Asimismo, de ser necesario, aportará una imagen
actualizada de sí mismo que permita al titular o encargado del
tratamiento verificar su presencia en el registro.
6.31.2 Con la finalidad de no afectar la protección de datos personales de
terceros, el titular del dato personal puede escoger entre las siguientes
alternativas para acceder a su información:

a) Acceso mediante un escrito:


El titular del dato personal presentará una solicitud escrita a la
dirección física o electrónica que aparece en el cartel o documento
informativo, adjuntando e indicando lo señalado en el numeral
6.31.1.
La respuesta emitida por el titular del banco de datos personales
o por el encargado del tratamiento debe detallar los datos
requeridos que son objeto de tratamiento, sin afectar derechos de
terceros.

b) Entrega de las imágenes, vídeos o audios:


El titular del dato personal debe entregar un CD en blanco o
dispositivo análogo al titular del banco de datos personales o al
encargado de tratamiento con el fin de que este grabe su
información. En este supuesto, el titular o encargado del
tratamiento debe utilizar máscaras de privacidad para difuminar
la imagen o cualquier otro medio que impida la afectación de
terceros, así como implementar un mecanismo de protección para
el archivo (cifrado, contraseña u otros).

c) Visualización en sitio:
El titular del dato personal debe acercarse físicamente a las
instalaciones del titular del banco de datos o responsable del
tratamiento para acceder directamente a su información.

Para ello, debe presentar previamente una solicitud en la dirección


física o electrónica que aparece en el cartel o documento
informativo, indicando fecha, rango de horas, lugar o cualquier
otra información que permita facilitar la ubicación de la imagen;
así como una imagen actualizada de sí mismo que permita al
titular del banco de datos personales o responsable del
tratamiento advertir su presencia en el registro.

Se debe dejar constancia de lo visualizado y entregar la misma al


titular del dato personal, una vez culminada la visualización.
6.31.3 Adicionalmente, se entrega al titular de los datos personales
información precisa sobre la finalidad de la recolección de los datos, sobre
la inscripción del banco de datos, el lugar donde se produjo el registro o
captación de su imagen, el tiempo en que la misma se produjo y el destino
de los datos.
6.31.4 Si se ejerce el derecho de acceso ante el responsable de un sistema
que únicamente reproduce imágenes sin registrarlas, debe ponerse esta
situación a conocimiento del titular del dato personal.
6.31.5 No procede la difuminación de imágenes o aplicación de máscaras
de seguridad de terceras personas cuando se acredite el legítimo interés
del titular del dato personal que lo solicita. Se entiende por legítimo
interés, el acopio de información para ejercer el derecho de defensa,
formular denuncia administrativa o penal o similares.
6.31.6 En el supuesto que el responsable o encargado del tratamiento no
aplicara la máscara de seguridad o algún mecanismo de difuminación de
imágenes que impidiera la afectación de terceros, aduciendo falta de
capacidad técnica o económica, será la autoridad administrativa que
valorará este alegato en cada caso en concreto.
6.31.7 Si el titular del banco de datos o responsable del tratamiento es
declarado un activo crítico nacional conforme a la normativa de la
materia o si se tratara de áreas de alto riesgo para la seguridad, se deberá
acordar con el titular del dato personal otro mecanismo idóneo para dar
acceso a su información. De no existir ningún medio posible, podrá ser
denegada su solitud por el titular del banco de datos personales o el
responsable del tratamiento, debiendo hacerlo de forma motivada.

Derechos de Cancelación y Oposición


6.32 Los derechos de cancelación y oposición se ejercen atendiendo a lo dispuesto
en el numeral 6.31.1. de la presente directiva, a los artículos 20 y 22 de la LPDP y
los artículos 67 y 71 del RLPDP. Asimismo, procederá la atención en aquellos
supuestos donde sea materialmente posible y responda a criterios
fundamentados y motivados.

Imposibilidad de ejercicio del derecho de rectificación


6.33 No es posible el ejercicio del derecho de rectificación en el tratamiento
mediante sistemas de videovigilancia, dado que, por su naturaleza, las imágenes
captadas reflejan un hecho objetivo que no puede ser modificado a petición del
titular del dato personal.

Denegación de los derechos de acceso, cancelación y oposición


6.34 En caso de denegación de alguno de los derechos deberá indicarse
expresamente en el escrito de denegación, la posibilidad de reclamar su tutela
ante la Autoridad Nacional de Protección de Datos Personales

Comunicación sin consentimiento de los titulares de los datos


6.35 Es legítima la transferencia de los datos personales captados por los
sistemas de videovigilancia sin el consentimiento de los titulares de los datos,
cuando:

6.35.1 La comunicación de lo captado deba ser entregada por orden


judicial o a una entidad pública en cumplimiento de sus funciones.
6.35.2 Cuando deba ser puesto a disposición o sea requerido por la Policía
Nacional del Perú o el Ministerio Público, en razón del ejercicio de las
competencias asignadas por ley, en aquellos supuestos necesarios para la
prevención, investigación, detección o represión de infracciones penales o
delitos. La petición de las grabaciones debe realizarse de forma motivada
y el tratamiento de las mismas debe responder a la finalidad del
requerimiento realizado.

VII. DISPOSICIONES ESPECÍFICAS

TRATAMIENTOS ESPECÍFICOS CON FINES DE SEGURIDAD

Espacios públicos de uso privado

Prohibiciones de uso de sistemas de videovigilancia en determinados espacios.


7.1 En espacios públicos de uso privado, como establecimientos comerciales,
restaurantes, lugares de ocio, entre otras, se deberá cumplir en estricto con el
principio de proporcionalidad, de esta forma a título enunciativo se tiene que:

7.1.1 Se encuentra prohibida la instalación de cámaras en baños y


vestuarios.
7.1.2 En los lugares de ocio:
a) El sistema de videovigilancia sólo puede ser visual, está
prohibida la grabación de las conversaciones. Además, deberá
utilizarse sólo cuando no exista otro método de seguridad menos
invasivo e igual de eficaz que cumpla con la finalidad legítima
determinada.
b) No se pueden utilizar las imágenes captadas por sistemas de
videovigilancia con fines comerciales o promocionales, salvo
consentimiento de las personas cuyas imágenes han sido
grabadas.

Entidades financieras

Características especiales
7.2 Dado los servicios que presta la entidad financiera deberá tenerse en cuenta
lo siguiente:

7.2.1 Que lo captado a través de los sistemas de videovigilancia y


contenido en los soportes informáticos tiene que ser utilizado
exclusivamente para fines de seguridad.
7.2.2 Las imágenes que registren la supuesta comisión de un acto delictivo
o falta, deben ser puestas a conocimiento de la Policía Nacional del Perú
o del Ministerio Público de forma inmediata, como medio de identificación
de los presuntos autores de delitos.
7.2.3 Si la entidad financiera decide no encargar el tratamiento de los
sistemas de videovigilancia a una empresa especializada en sistemas de
seguridad videovigilada, debe contar con un responsable de la propia
entidad especializado en sistemas de seguridad videovigilada.
7.2.4 Si una cámara se ubica en la puerta de entrada de una entidad
bancaria debe orientarse de modo que la parte de vía pública que capte
se limite al acceso vigilado, sin recoger más proporción de la vía pública
que la imprescindible para efectos de la labor de vigilancia, no debiendo
captar imágenes del resto de la acera o la calle.
7.2.5 Otras disposiciones de acuerdo a las normas específicas sobre la
materia.

Entornos escolares

Requisitos de los sistemas de videovigilancia en entornos escolares


7.3 En el caso de uso de sistemas de videovigilancia, se debe instalar un distintivo
o cartel informando a los miembros de la comunidad educativa de la existencia
de cámaras u otros dispositivos análogos, en un lugar completamente visible,
tanto si los dispositivos están en el interior como en espacios abiertos. En dicho
distintivo o cartel debe también indicarse dónde se puede obtener la información
que regula el artículo 18 de la LPDP.

7.4 La zona objeto de videovigilancia será la mínima imprescindible para el fin de


vigilancia trazado, pudiendo abarcar espacios públicos o comunes como accesos
y pasillos, patio de recreo, comedores, y siempre con miras a la protección y
defensa del interés superior del niño, niña y adolescente.

7.5 En ningún caso deben instalarse cámaras de videovigilancia en espacios


privados como baños, vestuarios o aquellos en los que se desarrollen actividades
cuya captación pueda afectar la imagen o la intimidad de forma
desproporcionada.

7.6 Los usos de sistemas de videovigilancia con fines de seguridad en aulas y otros
ámbitos en los que se desarrolla la personalidad de los niños, niñas y adolescentes
podrán grabar imágenes si existen circunstancias excepcionales, justificadas por
la presencia de un riesgo objetivo y previsible para la seguridad y los derechos
fundamentales de los menores.

7.7 El acceso a las imágenes de los sistemas de videovigilancia queda restringido


al director del centro o a la persona designada como responsable del tratamiento.
No puede ser de libre acceso para cualquier personal docente o administrativo no
autorizado para ello.
Cancelación de las imágenes
7.8 Las imágenes se conservarán por un plazo máximo de treinta (30) días desde
su captación. Transcurrido dicho plazo, el titular del banco de datos o responsable
del tratamiento únicamente podrá conservar aquellas imágenes que revelen
algún hecho trascendente que deba ser puesto en conocimiento de los padres de
familia o tutores, quienes de acuerdo a sus facultades pueden actuar velando por
los intereses de sus menores hijos en defensa y protección de sus derechos o, de
ser el caso, frente a la comisión de presuntos actos delictivos poniendo en
conocimiento los hechos a la Policía Nacional o del Ministerio Público.

TRATAMIENTO DISTINTO A LOS FINES DE SEGURIDAD

Videovigilancia para el control laboral

Excepción al consentimiento en torno de la finalidad


7.9 En virtud del poder de dirección del empleador, este se encuentra facultado
para realizar controles o tomar medidas para vigilar el ejercicio de las actividades
laborales de sus trabajadores, entre las que se encuentra la captación y/o
tratamiento de datos a través de sistemas de videovigilancia.

Deber de Informar
7.10 El empleador se encuentra obligado a informar a sus trabajadores de los
controles videovigilados, a través de carteles (o en su defecto de los avisos
informativos mencionados en la presente directiva); ello, sin perjuicio de informar
de manera individualizada a cada trabajador, si se considera pertinente.

En el caso de trabajadores del hogar, para acreditar el cumplimiento del deber


de informar, bastará con que los empleadores acrediten de forma razonable que
han cumplido con el deber de informar contenido en el artículo 18 de la LPDP.

Finalidad de los sistemas de videovigilancia


7.11 El tratamiento de los datos de los trabajadores se limita a las finalidades
propias del control y supervisión de la prestación laboral, de tal forma que no
pueden utilizarse los medios o el sistema de videovigilancia para fines distintos,
salvo que se cuente con el consentimiento del trabajador o se trate de alguna de
las excepciones señaladas en el artículo 14 de LPDP.

7.12 Son fines legítimos para el control y la supervisión de la prestación laboral,


la protección de bienes y recursos del empleador; la verificación de la adopción
de medidas de seguridad en el trabajo; y, aquellos otros que la legislación laboral
y sectorial prevea.

Principio de proporcionalidad
7.13 El control laboral a través de sistemas de videovigilancia sólo se realiza
cuando sea pertinente, adecuado y no excesivo para el cumplimiento de tal fin.
7.14 Asimismo, la instalación de las cámaras o, en todo caso, su ámbito de
captación debe restringirse a los espacios indispensables para satisfacer las
finalidades de control laboral.

7.15 En ningún caso se admite la instalación de sistemas de grabación o


captación de sonido ni de videovigilancia en los lugares destinados al descanso o
esparcimiento de los trabajadores, como vestuarios, servicios higiénicos,
comedores o análogos.

7.16 La grabación videovigilada con sonido en el lugar de trabajo sólo se admitirá


cuando resulten relevantes los riesgos para la seguridad de las instalaciones,
bienes y personas derivados de la actividad que se desarrolle en el centro de
trabajo y siempre respetando el principio de proporcionalidad y finalidad.

Prohibición de uso de las imágenes para fines comerciales o publicitarios.


7.17 Las imágenes captadas a través de los sistemas de videovigilancia laboral
no pueden ser utilizadas con fines comerciales o publicitarios, salvo que se cuente
con el consentimiento de los trabajadores.

Cancelación de imágenes y/o voces


7.18 Las imágenes y/o voces grabadas se almacenan por un plazo de treinta (30)
días y hasta un plazo máximo de sesenta (60) días, salvo disposición distinta en
las normas laborales. Durante ese plazo, el titular del banco de datos o encargado
del tratamiento debe cuidar que la información sea accesible sólo ante las
personas que tengan legítimo derecho a su conocimiento y manteniendo así la
reserva necesaria respecto a las imágenes y/o voces.

7.19 Transcurrido el plazo señalado en numeral anterior y no habiendo


requerimiento de alguna autoridad competente para entregar o visualizar el
contenido de la grabación, se deben eliminar los archivos en el plazo máximo de
dos (02) días hábiles, salvo disposición distinta en norma sectorial.

7.20 El plazo máximo previsto para la eliminación de la información, no será


aplicable cuando exista alguna finalidad o interés legítimo que justifique su
conservación, así como la concurrencia de alguna contingencia de orden técnico
que justifique razonablemente el aplazamiento de la eliminación de la misma por
un período determinado o determinable.

7.21 Las imágenes y/o voces sin editar que den cuenta de la comisión de
presuntas infracciones laborales y/o accidentes de trabajo deben ser conservadas
por el plazo de ciento veinte (120) días, contados a partir de su conocimiento,
salvo la existencia de alguna finalidad que justifique su conservación o de interés
legítimo, tiempo dentro del cual el empleador podrá iniciar las acciones legales
pertinentes.
7.22 El trabajador podrá solicitar el acceso a las grabaciones o a una copia digital
de las mismas que contengan información sobre una inconducta o
incumplimiento laboral que se le haya imputado, pudiendo utilizar esta grabación
como medio de prueba. El empleador deberá resguardar el derecho de terceros
que, sin estar involucrados con la inconducta o incumplimiento, de manera
directa o indirecta, puedan aparecer en registros captados; ello se hará
adoptando las medidas técnicas necesarias para difuminar su imagen e impedir
su identificación.

7.23 En el caso de que el empleador, en base a lo captado por los sistemas de


videovigilancia, decida imputar una falta grave a un trabajador, deberá proceder
de conformidad con lo establecido en las normas laborales. Asimismo, el
empleador deberá proceder a resguardar el derecho de terceros que puedan
aparecer en los registros captados, de la forma establecida en el párrafo anterior.

Tutela Directa de los trabajadores


7.24 Los trabajadores deben estar informados por los medios establecidos en la
directiva sobre el procedimiento implementado por el empleador para ejercer sus
derechos de acceso, cancelación y oposición.

Transferencia de datos personales


7.25 Si el empleador debe transferir los datos personales de sus trabajadores
captados mediante videovigilancia a un tercero por motivos no laborales, debe
informar de ello a los trabajadores, conforme la LPDP y su reglamento. De igual
modo, cuando corresponda, debe solicitar su consentimiento.

Tratamiento con fines científicos o de investigación

7.26 En el caso de tratamiento de datos personales con fines científicos o de


investigación se deberá cumplir con los principios y reglas establecidas en la
LPDP, su reglamento y la presente directiva, en particular los principios de
consentimiento, proporcionalidad y finalidad, así como las medidas técnicas y
organizativas para garantizar la seguridad de la información de los datos
personales, hasta donde resulte aplicable razonablemente.

TRATAMIENTO DE DATOS CON OTRAS TECNOLOGÍAS

Cámaras conectadas a internet

Deberes adicionales del titular del banco de datos personales o encargado del
tratamiento.
7.27 Revisar si las funciones de identificación y autenticación se encuentran
activadas con el fin de evitar accesos de terceros a las imágenes y de garantizar
que sólo acceden los usuarios autorizados.

7.28 Garantizar la seguridad en el acceso a través de redes públicas de


comunicaciones.
Mediante drones

Especialidad en el manejo de los drones con fines de videovigilancia


7.29 Las personas que, con fines de seguridad privada, por razón de sus funciones,
tengan a su cargo el sistema de videovigilancia a través de drones, deben contar
con formación especializada en el manejo de estos equipos, garantizando
reserva, confidencialidad y cumpliendo las demás obligaciones dispuestas en esta
directiva para los sistemas de videovigilancia, así como la normativa especial o
sectorial de la materia.

Responsabilidad del titular y/o encargado del tratamiento


7.30 El titular del banco de datos personales, responsable o el encargado del
tratamiento debe informar de acuerdo a lo señalado en el punto 6.8 de esta
directiva a las personas que serán controladas mediante los sistemas de
videovigilancia a través de drones. Este deber alcanza también a aquellas
personas o entidades que brinden el servicio de videovigilancia a través de drones
de forma complementaria a la que preste el servicio principal. Dicha información
debe entregarse en formato físico o electrónico, al momento de suscribir el
contrato de videovigilancia con la entidad o persona que brinde este servicio a
través de drones o de forma singularizada en el documento de contratación;
además, debe estar a disposición de quien lo requiera.

7.31 Debe utilizarse los sistemas de carteles o folletos cuando sea factible. En
caso de utilizar el cartel o el folleto se debe indicar gráficamente (dibujo) el medio
utilizado (Anexo 3), aplicándose, en lo que resulte pertinente, de forma mínima
lo establecido en el punto 6.11 de esta directiva.

7.32 Los titulares de bancos de datos personales, responsables o encargados de


tratamiento, en caso cuenten con una página web, deben publicar información
que permita conocer los diferentes tipos de operaciones realizadas o las que se
proponen realizar en el futuro cercano con los datos captados.

VIII. DISPOSICIONES COMPLEMENTARIAS FINALES

8.1 Difusión de la normativa


La Autoridad Nacional de Protección de Datos Personales ejercida por el
Ministerio de Justicia y Derechos Humanos a través de la Dirección General de
Transparencia, Acceso a la Información Pública y Protección de Datos Personales,
es la encargada de las actividades de difusión de la normativa aplicable al
tratamiento de datos mediante sistemas de videovigilancia, así como de la
promoción para su progresiva implementación en el ámbito privado público,
brindando servicios de información y orientación.

8.2 Vigencia
La presente Directiva entrará en vigencia a los sesenta (60) días calendario
siguientes de la publicación de la Resolución que la aprueba en el Diario Oficial
"El Peruano".

ANEXO 1
ANEXO 2

Hola informativa sobre el tratamiento de datos personales

1. IDENTIDAD Y DOMICILIO DEL TITULAR DEL BANCO DE DATOS PERSONALES O


ENCARGADO DEL TRATAMIENTO: El titular del presente banco de datos en el que
se almacenarán los datos personales facilitados mediante sistema de
videovigilancia es [indicar el titular banco de datos] con domicilio en [indicar
domicilio del titular del banco de datos]

La existencia de este banco de datos personales ha sido declarada a la Autoridad


Nacional de Protección de Datos Personales, mediante su inscripción en el
Registro Nacional de Protección de Datos Personales con la denominación
[indicar denominación] y el código: RNPDP N° [indicar numero]

Se informa al usuario que, cualquier tratamiento de datos personales, se ajusta


a lo establecido por la legislación vigente en PERÚ en la materia (Ley N° 29733 y
su reglamento).

2. FINALIDAD:

El titular del Banco de datos [indicar el titular banco de datos] tratará sus datos
con la finalidad de[indicar finalidad(es)].

3. TRANSFERENCIAS Y DESTINATARIOS: Cuando los datos personales recabados


vayan a ser enviados a otras empresas (incluso cuando éstas pertenezcan al
mismo grupo empresarial) deberá informarse de manera detallada al usuario, de
tal forma que éste pueda conocer explícitamente las finalidades determinadas a
las que se destinarán los datos. De la siguiente forma:

Los datos personales se transferirán a nivel nacional a: [indicar empresas


destinatarias de los datos] con la finalidad de [indicar finalidad de la
transferencia].

Los datos personales se transferirán a nivel internacional a: [indicar


denominación de la empresa, país y finalidad de la Transferencia]

La ENTIDAD contrata los servicios en la nube (computación en la nube) a través


de: [detalle el nombre de la empresa y ubicación geográfica del servidor en el que
se puedan almacenar los datos personales]

Si no realiza transferencia de datos personales, esta información se debe de


indicar de la siguiente manera:

Los datos personales no se transmitirán a terceros, salvo obligación legal.


4. PLAZO DURANTE EL CUAL SE CONSERVARAN LOS DATOS PERSONALES: Los
datos personales proporcionados se conservarán durante un plazo de [indicar]
días.

5. EJERCICIO DE LOS DERECHOS DE INFORMACION, ACCESO, CANCELACIÓN Y


OPOSICIÓN DE LOS DATOS:

Como titular de sus datos personales el usuario tiene el derecho de acceder a sus
datos en posesión de [indicar al titular del banco de datos personales]; conocer
las características de su tratamiento; solicitar sean suprimidos o cancelados al
considerarlos innecesarios para las finalidades previamente expuestas o bien
oponerse a su tratamiento de ser el caso.

El usuario podrá dirigir su solicitud de ejercicio de los derechos a la siguiente


dirección: [indicar dirección física], o a la siguiente dirección de correo
electrónico: [indicar correo electrónico]

A fin de ejercer los derechos antes mencionados, el usuario deberá presentar en


el domicilio especificado previamente, la solicitud respectiva en los términos que
establece el Reglamento de la Ley N° 29733 (incluyendo: nombre del titular del
dato personal y domicilio u otro medio para recibir respuesta; documentos que
acrediten su identidad o la representación legal; descripción clara y precisa de los
datos respecto de los que busca ejercer sus derechos y otros elementos o
documentos que faciliten la localización de los datos).

De considerar el usuario que no ha sido atendido en el ejercicio de sus derechos


puede presentar una reclamación ante la Autoridad Nacional de Protección de
Datos Personales, dirigiéndose a la Mesa de Partes del Ministerio de Justicia y
Derechos Humanos: Calle Scipion Llona 350, Miraflores, Lima, Perú.

[Indicar al titular del banco de datos personales] será responsable del banco de
datos personales (reiterar denominación del banco de datos, señalado en el
numeral 1) y de los datos personales contenidos en éste. Con el objeto de evitar
la pérdida, mal uso, alteración, acceso no autorizado y robo de los datos
personales o información confidencial facilitados por titulares de datos
personales, [Indicar al titular del banco de datos personales] ha adoptado los
niveles de seguridad y de protección de datos personales legalmente requeridos,
y ha instalado todos lo medios y medidas técnicas a su alcance.
ANEXO 3
II. Legislación Vinculada

1. Ley de Transparencia y Acceso a la Información Pública (TUO)

(…)
TÍTULO III
ACCESO A LA INFORMACIÓN PÚBLICA DEL ESTADO

(…)

Artículo 17.- Excepciones al ejercicio del derecho: Información confidencial

El derecho de acceso a la información pública no podrá ser ejercido respecto de


lo siguiente:

(…)

2. La información protegida por el secreto bancario, tributario, comercial,


industrial, tecnológico y bursátil que están regulados, unos por el inciso 5 del
artículo 2 de la Constitución, y los demás por la legislación pertinente.

(…)

5. La información referida a los datos personales cuya publicidad constituya una


invasión de la intimidad personal y familiar. La información referida a la salud
personal, se considera comprendida dentro de la intimidad personal. En este
caso, sólo el juez puede ordenar la publicación sin perjuicio de lo establecido en
el inciso 5 del artículo 2 de la Constitución Política del Estado.

Por su parte, no opera la presente reserva cuando la Superintendencia de Banca,


Seguros y Administradoras Privadas de Fondos de Pensiones requiera
información respecto a los bienes e ingresos de los funcionarios públicos, o
cuando requiera otra información pertinente para el cumplimiento de las
funciones de la Unidad de Inteligencia Financiera del Perú - UIF-Perú.

6. Aquellas materias cuyo acceso esté expresamente exceptuado por la


Constitución o por una Ley aprobada por el Congreso de la República.

La Ley del Sistema de Inteligencia Nacional - SINA y de la Dirección Nacional de


Inteligencia - DINI señala el plazo de vigencia de la información de inteligencia
producida por el sistema y clasificada como confidencial, a que se refiere el
numeral 1 del presente artículo, siempre que se refiera a temas de seguridad
nacional. Asimismo norma el trámite para desclasificar, renovar y/o modificar la
misma. La clasificación es objeto de revisión cada cinco años por el Consejo de
Seguridad Nacional.
Artículo 18.- Regulación de las excepciones

Los casos establecidos en los artículos 15, 16 y 17 son los únicos en los que se
puede limitar el derecho al acceso a la información pública, por lo que deben ser
interpretados de manera restrictiva por tratarse de una limitación a un derecho
fundamental. No se puede establecer por una norma de menor jerarquía ninguna
excepción a la presente Ley.

La información contenida en las excepciones señaladas en los artículos 15, 16 y


17 son accesibles para el Congreso de la República, el Poder Judicial, el Contralor
General de la República; el Defensor del Pueblo y el Superintendente de Banca,
Seguros y Administradoras Privadas de Fondos de Pensiones.

Para estos efectos, el Congreso de la República sólo tiene acceso mediante una
Comisión Investigadora formada de acuerdo al artículo 97 de la Constitución
Política del Perú y la Comisión establecida por el artículo 36 de la Ley Nº 27479.
Tratándose del Poder Judicial de acuerdo a las normas que regulan su
funcionamiento, solamente el juez en ejercicio de sus atribuciones
jurisdiccionales en un determinado caso y cuya información sea imprescindible
para llegar a la verdad, puede solicitar la información a que se refiere cualquiera
de las excepciones contenidas en este artículo. El Contralor General de la
República tiene acceso a la información contenida en este artículo solamente
dentro de una acción de control de su especialidad. El Defensor del Pueblo tiene
acceso a la información en el ámbito de sus atribuciones de defensa de los
derechos humanos. El Superintendente de Banca, Seguros y Administradoras
Privadas de Fondos de Pensiones tiene acceso a la información siempre que ésta
sea necesaria para el cumplimiento de las funciones de la Unidad de Inteligencia
Financiera del Perú - UIF-Perú.

Los funcionarios públicos que tengan en su poder la información contenida en los


artículos 15, 16 y 17 tienen la obligación de que ella no sea divulgada, siendo
responsables si esto ocurre.

El ejercicio de estas entidades de la administración pública se enmarca dentro de


las limitaciones que señala la Constitución Política del Perú.

Las excepciones señaladas en los puntos 15 y 16 incluyen los documentos que se


generen sobre estas materias y no se considerará como información clasificada,
la relacionada a la violación de derechos humanos o de las Convenciones de
Ginebra de 1949 realizada en cualquier circunstancia, por cualquier persona.
Ninguna de las excepciones señaladas en este artículo pueden ser utilizadas en
contra de lo establecido en la Constitución Política del Perú.

(…)
TÍTULO VI
TRANSPARENCIA EN EL PODER JUDICIAL, EL MINISTERIO PÚBLICO, LA JUNTA
NACIONAL DE JUSTICIA, EL TRIBUNAL CONSTITUCIONAL Y LA ACADEMIA DE LA
MAGISTRATURA

(…)

Artículo 39.- Obligaciones de transparencia

Las entidades que forman parte del sistema de justicia están obligadas a publicar
en sus respectivos portales de transparencia, por lo menos, la siguiente
información:

(…)

3. Todas las sentencias judiciales, dictámenes fiscales y jurisprudencia


sistematizada de fácil acceso por materias, con una sumilla en lenguaje sencillo
y amigable, conforme a los lineamientos y directrices establecidos por el
Ministerio de Justicia y Derechos Humanos, a través de la Autoridad Nacional de
Protección de Datos Personales, y en coordinación con el Poder Judicial y el
Ministerio Público.

4. La relación de entrevistas y visitas que tengan los jueces y fiscales y, en general,


de los miembros de la Junta Nacional de Justicia, del Tribunal Constitucional y de
la Academia de la Magistratura, con indicación del asunto que las haya motivado.

(…)
.
7. Los procesos de selección y nombramiento, ratificación y disciplinarios de los
jueces y fiscales por la Junta Nacional de Justicia.

(…)

9. Acceso al Registro Nacional de Abogados Sancionados por Mala Práctica


Profesional, creado por el Decreto Legislativo 1265 y su reglamento aprobado por
el Decreto Supremo 002-2017-JUS
2. Reglamento de la Ley de Transparencia y Acceso a la Información Pública (DS 072-
2003-PCM modificado por el DS 019-2017-JUS y modificado por el 011-2018-JUS)

TÍTULO I
DISPOSICIONES GENERALES

(…)

Artículo 2.- Ámbito de aplicación


El presente Reglamento será de aplicación a las Entidades de la Administración
Pública señaladas en el artículo 2 de la Ley. Asimismo, en lo que respecta al
procedimiento de acceso a la información, será de aplicación a las empresas del
Estado.

La facultad de los Congresistas de la República de solicitar información a las


entidades públicas se rige por el artículo 96 de la Constitución Política del Perú y
el Reglamento del Congreso, por lo que no resulta aplicable en este caso el inciso
5) del artículo 2 de la Constitución.

Las solicitudes de información entre entidades públicas se rigen por el deber de


colaboración entre entidades regulada en la Ley Nº 27444, Ley del Procedimiento
Administrativo General.

Este dispositivo no regula aquellos procedimientos para la obtención de copias


de documentos que la Ley haya previsto como parte de las funciones de las
Entidades y que se encuentren contenidos en su Texto Único de Procedimiento
Administrativos.

El derecho de las partes de acceder a la información contenida en expedientes


administrativos se ejerce de acuerdo a lo establecido en el Artículo 160 de la Ley
Nº 27444, Ley del Procedimiento Administrativo General, sin perjuicio de la vía
procesal que el solicitante de la información decida utilizar para su exigencia en
sede jurisdiccional.

Artículo 3.- Obligaciones de la máxima autoridad de la Entidad


(…)

f. Disponer se adopten las medidas de seguridad que permitan un adecuado uso


y control de seguridad de la información de acceso restringido;

g. Disponer, inmediatamente conocidos los hechos, el inicio de las acciones


administrativas y/o judiciales para identificar y, de ser el caso, sancionar y exigir
las reparaciones que correspondan a los responsables del extravío o la
destrucción, extracción, alteración o modificación, indebidas, de la información
en poder de la Entidad.
h. Disponer la inmediata recuperación o reconstrucción de la información
afectada por alguna de las conductas antes mencionadas; y

(…)

“Artículo 5.- Obligaciones del funcionario responsable de entregar la Información

(…)

a. Atender las solicitudes de acceso a la información dentro de los plazos


establecidos por la Ley;

b. Requerir la información al área de la Entidad que la haya creado u obtenido, o


que la tenga en su posesión o control;

c. Poner a disposición del solicitante la liquidación del costo de reproducción;

d. Entregar la información al solicitante, previa verificación de la cancelación del


costo de reproducción;

e) En caso se presenten los recursos de apelación ante la entidad que denegó el


acceso a la información, debe elevarlos al Tribunal dentro de los dos (2) días
hábiles siguientes a la presentación, teniendo en consideración los artículos 139
y 144 del Texto Único Ordenado de la Ley N° 27444 aprobado por Decreto
Supremo N° 006-2017-JUS.

f. En caso la solicitud de información deba ser rechazada por alguna de las


razones previstas en la Ley, deberá comunicar este rechazo por escrito al
solicitante, señalando obligatoriamente las razones de hecho y la excepción o
excepciones que justifican la negativa total o parcial de entregar la información.

(…)

Artículo 6.- Funcionario o servidor poseedor de la información

Para efectos de la Ley, el funcionario o servidor que haya creado, obtenido, tenga
posesión o control de la información solicitada, es responsable de:

a. Brindar la información que le sea requerida por el funcionario o servidor


responsable de entregar la información y por los funcionarios o servidores
encargados de establecer los mecanismos de divulgación a los que se refieren los
artículos 5 y 24 de la Ley, a fin de que éstos puedan cumplir con sus funciones de
transparencia en los plazos previstos en la Ley. En caso existan dificultades que
le impidan cumplir con el requerimiento de información, deberá informar de esta
situación por escrito al funcionario requirente, a través de cualquier medio idóneo
para este fin.
b. Elaborar los informes correspondientes cuando la información solicitada se
encuentre dentro de las excepciones que establece la Ley, especificando la causal
legal invocada y las razones que en cada caso motiven su decisión. En los
supuestos en que la información sea secreta o reservada, deberá incluir en su
informe el código correspondiente, de acuerdo a lo establecido en el literal c) del
artículo 21 del presente Reglamento.

c. Remitir la información solicitada y sus antecedentes al Secretario General, o


quien haga sus veces, cuando el responsable de brindar la información no haya
sido designado, o se encuentre ausente;

d. La autenticidad de la información que entrega. Esta responsabilidad se limita


a la verificación de que el documento que entrega es copia fiel del que obra en
sus archivos.

e. Mantener permanentemente actualizado un archivo sistematizado de la


información de acceso público que obre en su poder, conforme a los plazos
establecidos en la normatividad interna de cada Entidad sobre la materia; y,

f. Conservar la información de acceso restringido que obre en su poder. Para los


efectos de los supuestos previstos en los incisos a), b) y c), deberá tener en
consideración los plazos establecidos en la Ley, a fin de permitir a los
responsables de entregar la información el oportuno cumplimiento de las
obligaciones a su cargo.

(…)

TÍTULO III
PROCEDIMIENTO DE ACCESO A LA INFORMACIÓN

(…)

Artículo 16-A. Información contenida en correos electrónicos

La información contenida en correos electrónicos de los funcionarios y servidores


públicos es de acceso público, siempre que se trate de información institucional
de naturaleza pública. El pedido de información debe ponerse en conocimiento
del funcionario o servidor público titular del correo electrónico, quién debe
proporcionar la información solicitada. No es de acceso público la información
contenida en correos electrónicos que tengan carácter de secreta, reservada y
confidencial, de acuerdo a lo previsto en los artículos 15, 16 y 17 del Texto Único
Ordenado de la Ley Nº 27806, Ley de Transparencia y Acceso a la Información
Pública, aprobado por Decreto Supremo Nº 043-2003-PCM.

(…)

TITULO VII PROCEDIMIENTO SANCIONADOR


(…)

CAPÍTULO II
SANCIONES IMPUESTAS EN LAS ENTIDADES PÚBLICAS

Artículo 32.- Infracciones muy graves

Constituyen infracciones muy graves:

1. Sustraer, destruir, extraviar, alterar y/o mutilar, total o parcialmente, la


información en poder del Estado o las solicitudes de acceso a la información
pública.

(…)

5. Negarse a cumplir con lo ordenado por la Autoridad en el ejercicio de sus


funciones.

6. Denegar solicitudes de acceso a la información sin expresar motivación, con


motivación aparente o apartándose de los precedentes vinculantes, y doctrina
jurisprudencial vinculante del Tribunal Constitucional; así como de los
precedentes vinculantes y opiniones consultivas vinculantes.

Artículo 33.- Infracciones graves

Constituyen infracciones graves, las siguientes conductas:

1. Negarse a recibir las solicitudes de acceso a la información.

(…)

3. Incumplir injustificadamente con los plazos legales para atender las solicitudes
de información.

4. Ampliar irrazonablemente el plazo para atender la información en los casos en


los que se refiere el inciso g) del artículo 11 de la Ley.

5. Atender las solicitudes de información entregando información


desactualizada, incompleta e inexacta.

(…)

9. Exigir requisitos distintos o adicionales a los contemplados por ley para atender
las solicitudes de información.

(…)
11. No responder las solicitudes de acceso a la información pública.

12. Impedir injustificadamente el acceso directo a la información solicitada.

13. Denegar información atribuyéndole indebidamente la calidad de clasificada


como secreta, reservada o confidencial.

14. Clasificar como información secreta, reservada o confidencial, incumpliendo


lo dispuesto en la Ley y los lineamientos de clasificación establecidos de
conformidad con el artículo 5 del Decreto Legislativo Nº 1353.

(…)

CAPITULO III
Procedimiento sancionador a las personas jurídicas

(…)

Artículo 39.- Infracciones muy graves

Constituyen infracciones muy graves:

1. Sustraer, destruir, extraviar, alterar y/o mutilar, total o parcialmente, las


solicitudes de acceso a la información a las que esté obligada a entregar de
conformidad con el artículo 9 de la Ley, y que no se encuentren publicadas

(…)

5. Denegar solicitudes de acceso a la información sin expresar motivación o con


motivación aparente.

Artículo 40.- Infracciones graves

Constituyen infracciones graves:

1. Negarse a recibir las solicitudes de acceso a la información.

2. Impedir u obstaculizar el ejercicio de funciones de la Autoridad.

3. Incumplir injustificadamente con los plazos legales para atender las solicitudes
de información.

4. Atender las solicitudes de información entregando información


desactualizada, incompleta e inexacta.
5. Exigir requisitos distintos o adicionales a los contemplados por Ley para
atender las solicitudes de información.

6. Aprobar o efectuar cobros adicionales que no guarden relación con el costo de


la reproducción de la información, de corresponder.

7. No responder las solicitudes de acceso a la información pública.

8. Denegar información atribuyéndole indebidamente la calidad de clasificada


como secreta, reservada o confidencial.

(…)
3. Decreto Legislativo que Fortalece el Tribunal de Transparencia y Acceso a la
Información Pública (DL 1416)

(…)

Artículo 2.- Ámbito de aplicación


Las normas contenidas en el presente Decreto Legislativo son aplicables a todas
las entidades señaladas en el Artículo I del Título Preliminar de la Ley Nº 27444,
Ley del Procedimiento Administrativo General, así como a las empresas del
Estado, personas naturales y jurídicas de derecho privado, en lo que corresponda;
y a las personas comprendidas en la Ley Nº 29733, Ley de Protección de Datos
Personales.

(…)

DISPOSICIONES COMPLEMENTARIAS FINALES

(…)
Segunda.- Lineamientos en materia de Gobierno Digital

La adopción e implementación de Tecnologías Digitales, Identidad Digital,


Servicio Digital, Datos, Seguridad Digital y Arquitectura Digital, uso de datos
georreferenciados, portales de uso ciudadano e interoperabilidad entre
entidades de la administración pública, entre otros, se realiza en coordinación y
siguiendo los lineamientos que emita la Secretaría de Gobierno Digital de la
Presidencia del Consejo de Ministros.
4. Ley de Gobierno Digital (DL 1412)

Artículo 5.- Principios rectores

Las disposiciones contenidas en la presente Ley, así como su aplicación se rigen


por los siguientes principios rectores:

(…)

5.3 Privacidad desde el Diseño.- En el diseño y configuración de los servicios


digitales se adoptan las medidas preventivas de tipo tecnológico, organizacional,
humano y procedimental.

(…)

5.9 Datos Abiertos por Defecto.- Los datos se encuentran abiertos y disponibles
de manera inmediata, sin comprometer el derecho a la protección de los datos
personales de los ciudadanos. Ante la duda corresponde a la Autoridad de
Transparencia definirlo.

5.10 Nivel de protección adecuado para los datos personales.- El tratamiento de


los datos personales debe realizarse conforme a lo establecido en la Ley de
Protección de Datos Personales y su Reglamento.

(…)
CAPÍTULO III
PRESTACIÓN DE SERVICIOS DIGITALES
Artículo 18.- Garantías para la prestación de servicios digitales

Las entidades de la Administración Pública, de manera progresiva y cuando


corresponda, deben garantizar a las personas el establecimiento y la prestación
de los servicios digitales, comprendidos en el ámbito de aplicación de la presente
Ley, debiendo para tal efecto:

(…)

18.3 Capacitar en temas en materia de firmas electrónicas, firmas y certificados


digitales, protección de datos personales, interoperabilidad, arquitectura digital,
seguridad digital, datos abiertos y gobierno digital.

(…)

18.7 Facilitar a las personas información detallada, concisa y entendible sobre las
condiciones de tratamiento de sus datos personales.

(…)
18.9 Garantizar que en el diseño y configuración de los servicios digitales se
adoptan las medidas técnicas, organizativas y legales para la debida protección
de datos personales y la confidencialidad de las comunicaciones.

(…)

CAPÍTULO IV
GOBERNANZA DE DATOS
Artículo 23.- Datos

(…)

23.2 Las entidades de la Administración Pública administran sus datos como un


activo estratégico, garantizando que estos se recopilen, procesen, publiquen,
almacenen y pongan a disposición durante el tiempo que sea necesario y cuando
sea apropiado, considerando las necesidades de información, riesgos y la
normatividad vigente en materia de gobierno digital, seguridad digital,
transparencia, protección de datos personales y cualquier otra vinculante.

(…)

CAPÍTULO VI
SEGURIDAD DIGITAL
Artículo 30.- De la Seguridad Digital

La seguridad digital es el estado de confianza en el entorno digital que resulta de


la gestión y aplicación de un conjunto de medidas proactivas y reactivas frente a
los riesgos que afectan la seguridad de las personas, la prosperidad económica y
social, la seguridad nacional y los objetivos nacionales en dicho entorno. Se
sustenta en la articulación con actores del sector público, sector privado y otros
quienes apoyan en la implementación de controles, acciones y medidas.

Artículo 31.- Marco de Seguridad Digital del Estado Peruano

El Marco de Seguridad Digital del Estado Peruano se constituye en el conjunto de


principios, modelos, políticas, normas, procesos, roles, tecnología y estándares
mínimos que permitan preservar la confidencialidad, integridad, disponibilidad
de la información en el entorno digital administrado por las entidades de la
Administración Pública.

Artículo 32.- Gestión del Marco de Seguridad Digital del Estado Peruano

El Marco de Seguridad Digital del Estado Peruano tiene los siguientes ámbitos:

a. Defensa: El Ministerio de Defensa (MINDEF) en el marco de sus funciones y


competencias dirige, supervisa y evalúa las normas en materia de ciberdefensa.
b. Inteligencia: La Dirección Nacional de Inteligencia (DINI) como autoridad
técnica normativa en el marco de sus funciones emite, supervisa y evalúa las
normas en materia de inteligencia, contrainteligencia y seguridad digital en el
ámbito de esta competencia.

c. Justicia: El Ministerio de Justicia y Derechos Humanos (MINJUS), el Ministerio


del Interior (MININTER), la Policía Nacional del Perú (PNP), el Ministerio Público
y el Poder Judicial (PJ) en el marco de sus funciones y competencias dirigen,
supervisan y evalúan las normas en materia de ciberdelincuencia.

d. Institucional: Las entidades de la Administración Pública deben establecer,


mantener y documentar un Sistema de Gestión de la Seguridad de la Información
(SGSI).

Artículo 33.- Articulación de la Seguridad Digital con la Seguridad de la


Información

El Marco de Seguridad Digital del Estado Peruano se articula y sustenta en las


normas, procesos, roles, responsabilidades y mecanismos regulados e
implementados a nivel nacional en materia de Seguridad de la Información.

La Seguridad de la Información se enfoca en la información, de manera


independiente de su formato y soporte. La seguridad digital se ocupa de las
medidas de la seguridad de la información procesada, transmitida, almacenada
o contenida en el entorno digital, procurando generar confianza, gestionando los
riesgos que afecten la seguridad de las personas y la prosperidad económica y
social en dicho entorno.
5. Aprueba el marco de confianza digital y dispone medidas para su fortalecimiento
(DU 007-2020)

CAPÍTULO I
DISPOSICIONES GENERALES

Artículo 1. Objeto

El presente Decreto de Urgencia tiene por objeto establecer las medidas que
resultan necesarias para garantizar la confianza de las personas en su interacción
con los servicios digitales prestados por entidades públicas y organizaciones del
sector privado en el territorio nacional.

Artículo 2. Alcance

Las normas y procedimientos que rigen la materia de Confianza Digital son


aplicables a las entidades establecidas en el artículo I del Título Preliminar del
Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo
General, aprobado mediante Decreto Supremo N° 004-2019-JUS, y, a las
organizaciones de la sociedad civil, ciudadanos, empresas y academia.

Artículo 3. Definiciones

Para la aplicación del presente Decreto de Urgencia se establece las siguientes


definiciones:

a) Confianza Digital.- Es el estado que emerge como resultado de cuán veraces,


predecibles, éticas, proactivas, transparentes, seguras, inclusivas y confiables son
las interacciones digitales que se generan entre personas, empresas, entidades
públicas o cosas en el entorno digital, con el propósito de impulsar el desarrollo
de la economía digital y la transformación digital. Es un componente de la
transformación digital y tiene como ámbitos la protección de datos personales,
la ética, la transparencia, la seguridad digital y la protección del consumidor en
el entorno digital.

b) Economía digital.- Es la innovación y la transformación de la economía basada


en el uso estratégico y disruptivo de las tecnologías digitales. Desarrolla la
capacidad de incrementar la eficiencia, productividad, transparencia, seguridad
y eficacia de los procesos y actividades económicas y sociales, sustentada en el
uso intensivo de tecnologías digitales, redes de datos o comunicación y
plataformas digitales. Conlleva a la generación de beneficios económicos y
sociales, prosperidad y bienestar para la sociedad.

c) Entorno Digital.- Es el dominio o ámbito habilitado por las tecnologías y


dispositivos digitales, generalmente interconectados a través de redes e
infraestructuras de datos o comunicación, incluyendo el Internet, que soportan
los procesos, servicios, plataformas que sirven como base para la interacción
entre personas, empresas, entidades públicas o dispositivos.

d) Actividad crítica.- Es la actividad económica y/o social cuya interrupción tiene


graves consecuencias en la salud y seguridad de los ciudadanos, en el
funcionamiento efectivo de los servicios esenciales que mantienen la economía,
sociedad y el gobierno, o afectan la prosperidad económica y social en general.

e) Incidente de seguridad digital.- Evento o serie de eventos que pueden


comprometer la confianza, la prosperidad económica, la protección de las
personas y sus datos personales, la información, entre otros activos de la
organización, a través de tecnologías digitales.

f) Gestión de incidentes de seguridad digital.- Proceso formal que tiene por


finalidad planificar, preparar, identificar, analizar, contener, investigar incidentes
de seguridad digital, así como la recuperación y la determinación de acciones
correctivas para prevenir incidentes similares.

g) Riesgo de seguridad digital.- Efecto de la incertidumbre relacionada con el uso,


desarrollo y gestión de las tecnologías digitales y datos, en el curso de cualquier
actividad. Resulta de la combinación de amenazas y vulnerabilidades en el
entorno digital y es de naturaleza dinámica. Puede socavar el logro de los
objetivos económicos y sociales al alterar la confidencialidad, integridad y
disponibilidad de las actividades o el entorno, así como poner en riesgo la
protección de la vida privada de las personas. Incluye aspectos relacionados con
los entornos físicos y digitales, las actividades críticas, las personas y
organizaciones involucradas en la actividad y los procesos organizacionales que
la respaldan.

h) Ciberseguridad.- Capacidad tecnológica de preservar el adecuado


funcionamiento de las redes, activos y sistemas informáticos y protegerlos ante
amenazas y vulnerabilidades en el entorno digital. Comprende la perspectiva
técnica de la Seguridad Digital y es un ámbito del Marco de Seguridad Digital del
país.

i) Servicio digital.- Es aquel servicio provisto de forma total o parcial a través de


Internet u otras redes equivalentes, que se caracteriza por ser parcial o
totalmente automatizado y utilizar de manera intensiva las tecnologías digitales
y datos, permitiendo, al menos una de las siguientes prestaciones: i) Adquirir un
bien, servicio, información o contenido, ii) Buscar, compartir, usar y acceder a
datos, contenido o información sobre productos, servicios o personas, iii) Pagar
un servicio o bien (tangible o intangible) y, iv) El relacionamiento entre personas.

j) Proveedor de servicios digitales.- Comprende a cualquier entidad pública u


organización del sector privado, independientemente de su localización
geográfica, que sea responsable por el diseño, prestación y/o acceso a servicios
digitales en el territorio nacional.
CAPÍTULO II
MARCO DE CONFIANZA DIGITAL

Artículo 4. Marco de Confianza Digital

4.1 El Marco de Confianza Digital se constituye en el conjunto de principios,


modelos, políticas, normas, procesos, roles, personas, empresas, entidades
públicas, tecnologías y estándares mínimos que permiten asegurar y mantener la
confianza en el entorno digital.

4.2 El Marco de Confianza Digital tiene los siguientes ámbitos:

a) Protección de datos personales y transparencia.- El Ministerio de Justicia y


Derechos Humanos (MINJUSDH), quien ejerce las autoridades nacionales de
Transparencia, Acceso a la Información Pública y Protección de Datos Personales,
en el marco de sus funciones y competencias, norma, dirige, supervisa y evalúa
la materia de transparencia y protección de datos personales.

b) Protección del consumidor.- El Instituto Nacional de Defensa de la


Competencia y de la Protección de la Propiedad Intelectual (INDECOPI), en el
marco de sus funciones y competencias, norma, dirige, supervisa y evalúa la
materia de protección al consumidor.

c) Seguridad Digital.- La Presidencia del Consejo de Ministros (PCM), a través de


la Secretaría de Gobierno Digital, en su calidad de ente rector de seguridad digital
en el país, norma, dirige, supervisa y evalúa la materia de seguridad digital.

Artículo 5. Ente rector del Marco de Confianza Digital

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno


Digital, es el ente rector en materia de Confianza Digital y responsable de la
articulación de cada uno de sus ámbitos.

Artículo 6. Atribuciones del Ente rector

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno


Digital, en su calidad de ente rector de la Confianza Digital, tiene las siguientes
funciones:

a) Formular, articular y dirigir la estrategia de Confianza Digital a nivel nacional,


y supervisar su cumplimiento.

b) Emitir lineamientos, estándares, especificaciones, guías, directivas, normas


técnicas y estándares en materia de Confianza digital, sin que ello afecte el
equilibrio económico financiero de los proyectos digitales.
c) Evaluar las necesidades de las entidades públicas, organizaciones privadas y
personas en materia de Confianza Digital.

d) Articular acciones y medidas para la implementación de la estrategia de


Confianza Digital a nivel nacional con actores del sector público, sector privado,
sociedad civil, academia y otros interesados, así como promover
reconocimientos.

e) Mantener informado al Presidente del Consejo de Ministros sobre los


resultados y avances de la Confianza Digital en el país y los incidentes de
seguridad digital notificados en el Centro Nacional de Seguridad Digital cuando
corresponda.

Dichas funciones se ejercen sin afectar las autonomías y atribuciones de cada


sector en el marco de sus competencias.

Artículo 7. Centro Nacional de Seguridad Digital

7.1 Créase el Centro Nacional de Seguridad Digital como una plataforma digital
que gestiona, dirige, articula y supervisa la operación, educación, promoción,
colaboración y cooperación de la Seguridad Digital a nivel nacional como
componente integrante de la seguridad nacional, a fin de fortalecer la confianza
digital. Asimismo, es responsable de identificar, proteger, detectar, responder,
recuperar y recopilar información sobre incidentes de seguridad digital en el
ámbito nacional para gestionarlos.

7.2 El Centro Nacional de Seguridad Digital se encuentra a cargo de la Presidencia


del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, y es el
único punto de contacto nacional en las comunicaciones y coordinaciones con
otros organismos, centros o equipos nacionales e internacionales de similar
naturaleza.

7.3 El Centro Nacional de Seguridad Digital constituye el mecanismo de


intercambio de información y articulación de acciones con los responsables de los
ámbitos del Marco de Seguridad Digital del Estado Peruano, de conformidad con
el artículo 32 del Decreto Legislativo N° 1412, Decreto Legislativo que aprueba la
Ley de Gobierno Digital.

7.4 El Centro Nacional de Seguridad Digital incorpora al Equipo de Respuesta a


Incidentes de Seguridad Digital Nacional responsable de: i) Gestionar la respuesta
y/o recuperación ante incidentes de seguridad digital en el ámbito nacional y, ii)
Coordinar y articular acciones con otros equipos de similar naturaleza nacionales
e internacionales para atender los incidentes de seguridad digital

7.5 La Secretaría de Gobierno Digital establece los protocolos de escalamiento,


coordinación, intercambio y activación ante incidentes de seguridad digital en el
país y emite los lineamientos y las directivas correspondientes.
CAPÍTULO III
MEDIDAS PARA FORTALECER LA CONFIANZA DIGITAL

Artículo 8. Registro Nacional de Incidentes de Seguridad Digital

8.1 Créase el Registro Nacional de Incidentes de Seguridad Digital que tiene por
objetivo recibir, consolidar y mantener datos e información sobre los incidentes
de seguridad digital reportados por los proveedores de servicios digitales en el
ámbito nacional que puedan servir de evidencia o insumo para su análisis,
investigación y solución.

8.2 El Registro Nacional de Incidentes de Seguridad Digital y la información


contenida en el mismo tiene carácter confidencial, se soporta en una plataforma
digital administrada por la Secretaría de Gobierno Digital, quien es responsable
de su disponibilidad, confidencialidad e integridad.

8.3 El Centro Nacional de Seguridad Digital brinda información sobre los registros
de incidentes de seguridad digital, a los responsables de los ámbitos del Marco
de Seguridad Digital, de conformidad con el artículo 32 del Decreto Legislativo N°
1412, y del Marco de Confianza Digital debiendo observar para tal efecto la
normatividad vigente en materia de protección de datos personales.

Artículo 9. Obligaciones del Proveedor de servicios digitales

9.1 Las entidades de la administración pública, los proveedores de servicios


digitales del sector financiero, servicios básicos (energía eléctrica, agua y gas),
salud y transporte de personas, proveedores de servicios de internet, proveedores
de actividades críticas y de servicios educativos, deben:

a) Notificar al Centro Nacional de Seguridad Digital todo incidente de seguridad


digital.

b) Implementar medidas de seguridad física, técnica, organizativa y legal que


permitan garantizar la confidencialidad del mensaje, contenido e información
que se transmiten a través de sus servicios de comunicaciones.

c) Gestionar los riesgos de seguridad digital en su organización con fines de


establecer controles que permitan proteger la confidencialidad, integridad y
disponibilidad de la información.

d) Establecer mecanismos para verificar la identidad de las personas que acceden


a un servicio digital, conforme al nivel de riesgo del mismo y de acuerdo a la
normatividad vigente en materia de protección de datos personales.
e) Reportar y colaborar con la autoridad de la protección de datos personales
cuando verifiquen un incidente de seguridad digital que involucre datos
personales.

f) Mantener una infraestructura segura, escalable e interoperable.

9.2 Las organizaciones privadas toman como referencia las normas emitidas por
la Secretaría de Gobierno Digital en cuanto les aplique y les genere valor e
implementan de forma obligatoria aquellas que prevengan afectación a los
derechos de las personas.

9.3 Las entidades de la administración pública deben implementar un Sistema de


Gestión de Seguridad de la Información (SGSI), un Equipo de Respuestas ante
Incidentes de Seguridad Digital cuando corresponda y cumplir con la regulación
emitida por la Secretaría de Gobierno Digital.

9.4 Toda actividad crítica debe estar soportada en una infraestructura segura,
disponible, escalable e interoperable.

Artículo 10. Articulación internacional

La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros


coordina con el Ministerio de Relaciones Exteriores las acciones vinculadas a la
política exterior que contribuyan a fortalecer la confianza en el entorno digital
cuando corresponda y en el marco de sus competencias.

Artículo 11. Articulación en Materia de Comunicaciones

La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros


coordina con el Ministerio de Transportes y Comunicaciones las acciones
vinculadas a la materia de comunicaciones en el marco de sus competencias.

CAPÍTULO IV
USO ÉTICO DE LAS TECNOLOGIAS DIGITALES Y DE LOS DATOS

Artículo 12. Datos como activos estratégicos

12.1 Las entidades públicas y las organizaciones del sector privado administran
los datos, en especial los datos personales, biométricos y espaciales, como activos
estratégicos, garantizando que estos se generen, compartan, procesen, accesen,
publiquen, almacenen, conserven y pongan a disposición durante el tiempo que
sea necesario y cuando sea apropiado, considerando las necesidades de
información, uso ético, transparencia, riesgos y el estricto cumplimiento de la
normatividad en materia de protección de datos personales, gobierno digital y
seguridad digital.
12.2 Las entidades públicas y las organizaciones del sector privado promueven y
aseguran el uso ético de tecnologías digitales, el uso intensivo de datos, como
internet de las cosas, inteligencia artificial, ciencia de datos, analítica y
procesamiento de grandes volúmenes de datos.

12.3 El tratamiento de datos personales debe cumplir la legislación de la materia


emitida por la Autoridad Nacional de Protección de Datos Personales.

Artículo 13. Centro Nacional de Datos

13.1 Créase el Centro Nacional de Datos como una plataforma digital que
gestiona, dirige, articula y supervisa la operación, educación, promoción,
colaboración y cooperación de datos a nivel nacional, a fin de fortalecer la
confianza y bienestar de las personas en el entorno digital en el marco de la
presente norma.

13.2 El Centro Nacional de Datos se encuentra a cargo de la Presidencia del


Consejo de Ministros, a través de la Secretaría de Gobierno Digital y es el único
punto de contacto nacional en las comunicaciones y coordinaciones con otros
organismos, centros o equipos nacionales e internacionales de similar naturaleza.

13.3 El Centro Nacional de Datos intercambia información y articula acciones con


las entidades públicas, academia, sociedad civil y sector privado y con las
entidades responsables de los ámbitos del Marco de Confianza Digital para la
gobernanza de datos.

13.4 La Secretaría de Gobierno Digital, en su calidad de ente rector en


gobernanza de datos, establece los protocolos y mecanismos en materia de
gobierno de datos y emite los lineamientos y las directivas correspondientes.

Artículo 14. Financiamiento

La implementación de lo establecido en el presente Decreto de Urgencia se


financia con cargo al presupuesto institucional de las entidades involucradas, sin
demandar recursos adicionales al Tesoro Público.

Artículo 15. Refrendo

El presente Decreto de Urgencia es refrendado por el Presidente del Consejo de


Ministros y la Ministra de Justicia y Derechos Humanos.

DISPOSICIONES COMPLEMENTARIAS FINALES

Primera. Reglamentación
El Poder Ejecutivo, dentro de los noventa (90) días hábiles siguientes a la entrada
en vigencia de la presente norma, aprueba su reglamento mediante Decreto
Supremo refrendado por el Presidente del Consejo de Ministros.

Segunda. Registro Nacional de Incidentes de Seguridad Digital

En un plazo no mayor a noventa (90) días hábiles, posterior a la publicación del


presente Decreto de Urgencia, la Presidencia del Consejo de Ministros
implementa el Registro Nacional de Incidentes de Seguridad Digital y dicta
normas, lineamientos y directivas para su correcto funcionamiento.

Tercera. Gestión e Impulso de la Red Nacional de Estado Peruano (REDNACE) y


la Red Nacional de Investigación y Educación (RNIE)

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno


Digital, se encarga de la gestión e impulso de la Red Nacional de Estado Peruano
(REDNACE) y la Red Nacional de Investigación y Educación (RNIE) a las que se
refiere la Ley N° 29904 a fin de coadyuvar al logro de las políticas nacionales, el
fortalecimiento de una sociedad digital y la transformación digital del Estado. La
contratación de los servicios para la conectividad de la REDNACE es realizada por
cada entidad de la Administración Pública, de conformidad con lo dispuesto en el
artículo 19 de dicha Ley.

Cuarta. Aplicación de la Norma

La presente norma se aplica a los proyectos de asociación público privada,


contratos de concesión, proyectos incorporados al proceso de promoción de la
inversión privada u otros proyectos y plataformas sobre transformación digital
que se diseñen, inicien o gestionen a partir de la entrada en vigencia de la misma.

Dado en la Casa de Gobierno, en Lima, a los ocho días del mes de enero del año
dos mil veinte.
6. Regula las centrales privadas de información de riesgos y de protección al titular de
la información (Ley 27489 modificada por Ley 27863)

TITULO PRIMERO
DISPOSICIONES GENERALES

Artículo 1º.- Objeto de la ley


La presente Ley tiene por objeto regular el suministro de información de riesgos
en el mercado, garantizando el respeto a los derechos de los titulares de la
misma, reconocidos por la Constitución Política del Perú y la legislación vigente,
promoviendo la veracidad, confidencialidad y uso apropiado de dicha
información.

Artículo 2º.- Definiciones


Para los efectos de esta Ley, se entiende por:

a) Centrales privadas de información de riesgos (CEPIRS).- Las empresas que en


locales abiertos al público y en forma habitual recolecten y traten información de
riesgos relacionada con personas naturales o jurídicas, con el propósito de
difundir por cualquier medio mecánico o electrónico, de manera gratuita u
onerosa, reportes de crédito acerca de éstas. No se consideran CEPIRS, para
efectos de la presente Ley, a las entidades de la administración pública que
tengan a su cargo registros o bancos de datos que almacenen información con el
propósito de darle publicidad con carácter general, sin importar la forma como
se haga pública dicha información.

b) Información de riesgos.- Información relacionada a obligaciones o


antecedentes financieros, comerciales, tributarios, laborales, de seguros de una
persona natural o jurídica que permita evaluar su solvencia económica vinculada
principalmente a su capacidad y trayectoria de endeudamiento y pago.

c) Información sensible.- Información referida a las características físicas,


morales o emocionales de una persona natural, o a hechos o circunstancias de su
vida afectiva o familiar, tales como los hábitos personales, las ideologías y
opiniones políticas, las creencias o convicciones religiosas, los estados de salud
físicos o psíquicos y la vida sexual u otras análogas que afecten su intimidad y
todo lo referido en la Constitución Política del Perú en su Artículo 2º inciso 6).

d) Titular de la información.- La persona natural o jurídica a la que se refiere la


información de riesgos.

e) Reporte de crédito.- Toda comunicación escrita o contenida en algún medio


proporcionada por una CEPIR con información de riesgos referida a una persona
natural o jurídica, identificada.

f) Banco de datos.- Conjunto de información de riesgos administrado por las


CEPIRS, cualquiera sea la forma o modalidad de su creación, organización,
almacenamiento, sistematización y acceso, que permita relacionar la
información entre sí, así como procesarla con el propósito de transmitirla a
terceros.

g) Recolección de información.- Toda operación o conjunto de operaciones o


procedimiento técnico que permitan a las CEPIRS obtener información.

h) Fuentes de acceso público.- Información que se encuentra a disposición del


público en general o de acceso no restringido, no impedida por cualquier norma
limitativa, que está recogida en medios tales como censos, anuarios, bases de
datos o registros públicos, repertorios de jurisprudencia, archivos de prensa,
guías telefónicas u otros medios análogos; así como las listas de personas
pertenecientes a grupos profesionales que contengan únicamente los nombres,
títulos, profesión, actividad, grados académicos, dirección e indicación de su
pertenencia al grupo.

i) Tratamiento de información.- Toda operación o conjunto de operaciones o


procedimiento técnico, de carácter automatizado o no, que permitan a las CEPIRS
acopiar, almacenar, actualizar, grabar, organizar, sistematizar, elaborar,
seleccionar, confrontar, interconectar, disociar, cancelar y, en general, utilizar
información de riesgos para ser difundida en un reporte de crédito.

j) Difusión de información.- Toda operación o conjunto de operaciones o


procedimientos técnicos, de carácter automatizado o no, que permitan a las
CEPIRS comunicar, ceder, transmitir, dar acceso o poner en conocimiento de
terceros la información de riesgos contenida en sus bancos de datos. La
información de fuente Registros Públicos deberá indicar obligatoriamente la
fecha y hora de la obtención de la información y si ésta es sólo informativa.

Artículo 3º.- ámbito de aplicación


Están sujetas a la presente Ley todas las CEPIRS que realicen actividades o presten
servicios en el territorio nacional.

TITULO SEGUNDO
DE LAS CENTRALES PRIVADAS DE INFORMACION DE RIESGOS

Artículo 4º.- Organización


Las CEPIRS pueden constituirse bajo cualquiera de las formas permitidas por la
Ley General de Sociedades.

Artículo 5º.- Características


Las CEPIRS deberán contar, como mínimo, con las siguientes características de
organización y funcionamiento:

a) Infraestructura informática adecuada para el debido tratamiento de la


información recolectada;
b) Procedimientos internos para una eficiente, efectiva y oportuna atención de
consultas, quejas y reclamos, cuando sea el caso; y,
c) Controles internos que proporcionen seguridad en el desarrollo de sus
actividades, así como procedimientos de validez de la información procesada.

Artículo 6º.- Impedimentos


Están impedidos de ser directores, gerentes o funcionarios que tengan capacidad
de decisión dentro de las CEPIRS:

a) Los impedidos para ser directores y gerentes de conformidad con la Ley


General de Sociedades;
b) Los condenados por delitos dolosos;
c) Los declarados en proceso de insolvencia, mientras dure éste;
d) Los que registren protestos de documentos en los últimos cinco años;
e) Los que, directa o indirectamente, tengan créditos vencidos por más de 120
(ciento veinte) días, o que hayan ingresado a cobranza judicial; y,
f) Los que sean titulares, socios o accionistas de empresas vinculadas, a las que
se refiere el literal b) del Artículo 54º de la Ley del Impuesto General a las Ventas
e Impuesto Selectivo al Consumo, que tengan créditos vencidos por más de 120
(ciento veinte) días, o que hayan ingresado a cobranza judicial.

TITULO TERCERO
DE LA RECOLECCION, TRATAMIENTO, DIFUSION Y SEGURIDAD DE LA
INFORMACION DE RIESGOS

Artículo 7º.- Fuentes de información


7.1 Las CEPIRS podrán recolectar información de riesgos para sus bancos de datos
tanto de fuentes públicas como de fuentes privadas, sin necesidad de contar con
la autorización del titular de la información, entendiéndose que la Base de Datos
se conformará con toda la información de riesgo.

7.2 Las CEPIRS podrán adquirir información de las fuentes mencionadas en el


párrafo precedente mediante la celebración de contratos privados directamente
con la persona natural o jurídica que tenga o haya tenido relaciones civiles,
comerciales, administrativas, bancarias, laborales o de índole análoga con el
titular de la información, siempre y cuando ésta se refiera a los actos, situaciones,
hechos, derechos y obligaciones materia de tales relaciones o derivadas de éstas
y que no constituyan violación del secreto profesional.

7.3 Igualmente podrán celebrar contratos privados directamente con las


entidades de la administración pública que recolecten o utilicen información de
riesgos en el ejercicio de sus funciones y competencias legalmente establecidas,
salvo que tal información haya sido declarada o constituya un secreto comercial
o industrial.
Artículo 8º.- Información suministrada por los titulares
Las CEPIRS podrán recolectar información de riesgos directamente de los
titulares, debiendo previamente informarles a éstos de modo expreso, preciso e
inequívoco lo siguiente:

a) La existencia del banco de datos, la finalidad de la recolección de la


información y los potenciales destinatarios de ésta;
b) La identidad y dirección de la CEPIR que recolecta la información;
c) El carácter facultativo de sus respuestas a las preguntas que le sean
planteadas;
d) Las posibles consecuencias de la obtención de la información; y,
e) El alcance de los derechos desarrollados en el Título Cuarto de la presente Ley,
así como de los procedimientos para hacerlos valer.

Cuando en la recolección de información se utilicen cuestionarios o cualquier otro


medio impreso, se deberá entregar al titular de la información una copia de éstos
en la que deberá figurar en forma claramente legible las indicaciones señaladas
en los incisos precedentes. La carga probatoria de haber brindado la información
antes detallada corresponde a las CEPIRS.

Artículo 9º.- Lineamientos generales de recolección y tratamiento de


información

Para la recolección y tratamiento de la información de riesgos a su cargo las


CEPIRS deberán observar los siguientes lineamientos generales:

a) La recolección de información no podrá efectuarse por medios fraudulentos o


ilícitos;
b) La información recolectada sólo podrá ser utilizada para los fines señalados en
la presente Ley;
c) La información que deberá constar en los reportes informativos será lícita,
exacta y veraz, de forma tal que responda a la situación real del titular de la
información en determinado momento. Si la información resulta ilícita, inexacta
o errónea, en todo o en parte, deberán adoptarse las medidas correctivas, según
sea el caso, por parte de las CEPIRS, sin perjuicio de los derechos que
corresponden a los titulares de dicha información.
Cuando las CEPIRS reciban de sus fuentes información conteniendo la fecha de
extinción de la obligación, la naturaleza de la misma, la tasa de interés efectiva,
los otros conceptos cobrados y la entidad acreedora, deberán incluir
expresamente dicha información en sus reportes; y,
d) La información será conservada durante el plazo legal establecido en la
presente Ley o, en su defecto, hasta que se produzca su cancelación conforme a
lo prescrito en el inciso b) del artículo 13 de la presente ley.

Artículo 10º.- Información excluida


Las CEPIRS no podrán contener en sus bancos de datos ni difundir en sus reportes
de crédito la siguiente información:
a) Información sensible;
b) Información que viole el secreto bancario o la reserva tributaria;
c) Información ilegal, inexacta o errónea;
d) Información referida al incumplimiento de obligaciones de naturaleza civil,
comercial o tributaria, cuando (i) la obligación se haya extinguido y hayan
transcurrido 2 (dos) años desde su extinción; o (ii) 5 (cinco) años deade el
vencimiento de la obligación. Estos plazos no rigen si el titular ejerce el derecho
de cancelación de acuerdo a lo establecido en el inciso b) del artículo 13 de la
presente Ley;
e) Información referida a sanciones exigibles de naturaleza tributaria,
administrativa u otras análogas, de contenido económico, cuando (i) hayan
transcurrido 2 (dos) años desde que se ejecutó la sanción impuesta al ifnractor o
se extinguió por cualquier otro medio legal, y (ii) 5 (cinco) años desde que se
impuso la sanción.
f) Informaciones referidas al incumplimiento de otras obligaciones que no sean
comerciales, civiles, tributarias, laborales o de seguros. Excepcionalmente, las
CEPIRS sólo podrán contener en su banco de datos obligaciones referidas a
servicios públicos cuando se haya dejado de pagar dichos servicios por el titular
de la información durante 6 (seis) meses continuos.
g) Información referida a la insolvencia o quiebra del titular de la información,
cuando hayan transcurrido 2 (dos) años desde que se levantó el estado de
insolvencia o 5 (cinco) años desde que se declaró la quiebra; o,
h) Cualquier otra información excluida por ley.

Artículo 11º.- Difusión de información de riesgos


Las CEPIRS podrán difundir a terceras personas, de manera onerosa o a título
gratuito, la información de riesgos que contengan en sus bancos de datos. Para
tales efectos, las CEPIRS podrán implementar en la forma que estimen
conveniente procedimientos automatizados para la transmisión, comunicación o
acceso de datos a terceros, así como el registro obligatorio de éstos bajo
responsabilidad, debiendo cautelar los derechos de los titulares de la
información.

Las CEPIRS difunden la información de riesgo, luego de identificar con medios


apropiados al solicitante de la información.

Artículo 12º.- Deber de seguridad


Las CEPIRS deberán adoptar las medidas de índole técnica y administrativa
destinadas a garantizar la seguridad de la información que manejen, a fin de
evitar su alteración, pérdida, tratamiento o acceso no autorizado.

TITULO CUARTO
DE LA DEFENSA DE LOS TITULARES DE LA INFORMACION EN GENERAL

SUBTITULO PRIMERO
DE LOS DERECHOS DE LOS TITULARES DE LA INFORMACION
Artículo 13º.- Derechos de los titulares
De manera enunciativa, mas no limitativa, los titulares de la información
registrada en los bancos de datos administrados por las CEPIRS tienen los
siguientes derechos:

a) El derecho de acceso a la información referida a uno mismo registrada en tales


bancos;
b) El derecho de modificación y el derecho de cancelación de la información
referida a uno mismo registrada en tales bancos que fuese ilegal, inexacta,
errónea o caduca; y,
c) El derecho de rectificación de la información referida a uno mismo que haya
sido difundida por las CEPIRS y que resulte ser ilegal, inexacta, errónea o caduca.
d) El derecho de actualización de la información referida a uno mismo, registrada
en los bancos de datos, que no haya incluido pagos parciales o totales, siempre
que hubiesen vencido los plazos establecidos en los incisos 15.7 y 15.8 del artículo
15 de la presente ley.

Artículo 14º.- Derecho de acceso


Los titulares podrán acceder, una vez al año o cuando la información contenida
en los bancos de datos haya sido objeto de rectificación, a la información
crediticia que les concierne que estuviese registrada en los bancos de datos
administrados por las CEPIRS. Esta información será acompañada de una reseña
explicativa de los derechos desarrollados en el presente Título, así como de los
procedimientos para hacerlos valer. La información podrá ser obtenida por el
titular de la información:

a) De forma gratuita, mediante la visualización en pantalla de los datos o;


b) Mediante el pago de una suma de dinero, que no excederá de los costos
necesarios para la emisión del documento correspondiente, mediante un escrito,
copia o fotocopia, en forma legible e inteligible, sin utilizar claves o códigos que
requieran de dispositivos mecánicos para su adecuada comprensión.

La información a que se refiere este artículo incluirá, a solicitud del titular, la


identidad de las fuentes de información registrada en los bancos de datos, con
excepción de las fuentes de acceso público y la identidad de todas las personas
que obtuvieron un reporte de crédito sobre el titular en los últimos doce meses,
así como la fecha en que se emitieron tales reportes.

Artículo 15º.- Derecho de modificación y derecho de cancelación


15.1 En caso de considerar que la información contenida en los bancos de datos
es ilegal, inexacta, errónea o caduca, el titular de dicha información podrá
solicitar que ésta sea revisada por cuenta y costo de las CEPIRS y, de ser el caso,
que se proceda a su modificación o cancelación.

15.2 La solicitud para la revisión de la información deberá ser interpuesta por


escrito, acompañando los medios probatorios que acrediten que el solicitante es
el titular de la información. En dicha solicitud se precisará los datos concretos que
se desea revisar, acompañando la documentación que justifique el pedido.

15.3 Las CEPIRS establecerán los procedimientos internos necesarios para brindar
una eficiente, efectiva y oportuna atención a las solicitudes de revisión
presentadas, así como los mecanismos de comunicación y coordinación
adecuados con las fuentes de las que recolecta la información.

15.4 Dentro del plazo de 7 (siete) días naturales desde la presentación de la


solicitud, las CEPIRS obligatoriamente informarán por escrito al titular de la
información si su pedido es procedente o si ha sido denegado. Alternativamente,
dentro del mismo plazo, las CEPIRS podrán prorrogar, hasta por 5 (cinco) días
naturales adicionales, el plazo para emitir una decisión definitiva, debiendo para
ello, hasta que finalice el plazo, difundir que dicha información es materia de
revisión.

15.5 Vencidos los plazos mencionados en el párrafo precedente, el titular de la


información deberá recibir la comunicación por escrito que responda de manera
definitiva su solicitud.

15.6 Cuando la información se encuentre desactualizada, producto de la no


inclusión de datos sobre pagos parciales o totales, la fuente que generó dicha
información, una vez detectado el error o la inexactitud, deberá actualizarla en
un plazo de 2 (dos) días hábiles, sin necesidad de solicitud del titular.

15.7 El plazo para remitir la información a las CEPIRS referidos a pagos parciales
o totales, por parte de las fuentes de información, no deberá ser mayor al plazo
utilizado por éstas para remitir información referida a obligaciones vencidas.

15.8 El plazo para actualizar los reportes de crédito, emitidos por las CEPIRS
referidos a pagos parciales o totales por parte de las fuentes de información, no
deberá ser mayor a 2 (dos) días hábiles, contados a partir del día siguiente de la
recepción de la información proveniente de las fuentes.

Lo dispuesto en los literales 15.7 y 15.8 no será de aplicación a los casos de


protestos, los que se rigen por la Ley de Títulos Valores.

Artículo 16º.- Derecho de rectificación


En caso que se verifique que la información contenida en los bancos de datos es
ilegal, inexacta, errónea o caduca, la CEPIR, a su cuenta y costo, enviará
comunicaciones rectificatorias, a quienes les hubiera proporcionado dicha
información en los doce meses anteriores a la fecha en que se verifique el
problema.

Artículo 17º.- Tutela jurisdiccional


17.1 Los titulares de la información que no sean considerados consumidores para
efectos del Decreto Legislativo Nº 716, Ley de Protección al Consumidor, podrán
solicitar judicialmente la tutela de los derechos enunciados en este Subtítulo en
la vía del proceso sumarísimo.

17.2 Para poder interponer una demanda con el fin de que se modifique, cancele
o rectifique una información de riesgos que se considere ilegal, inexacta, errónea
o caduca, el titular de dicha información deberá previamente obtener un
pronunciamiento, expreso o tácito, denegando una solicitud de revisión o de
rectificación, tramitada conforme a lo dispuesto en los Artículos 15º y 16º de la
presente Ley.

SUBTITULO SEGUNDO
DE LA RESPONSABILIDAD CIVIL Y PENAL

Artículo 18º.- Responsabilidad civil y penal


18.1 La responsabilidad civil de las CEPIRS por los daños ocasionados al titular
por efecto del tratamiento o difusión de información será objetiva. Las CEPIRS
podrán repetir contra las fuentes proveedoras de información cuando el daño sea
ocasionado como consecuencia del tratamiento de información realizada por
éstas.

18.2 Igualmente existe responsabilidad por parte de los usuarios o receptores de


información de riesgos proporcionada por las CEPIRS, en caso de utilización
indebida, fraudulenta o de modo que cause daños al titular de la información, la
misma que se determinará conforme a las normas de responsabilidad civil y penal
a que hubiese lugar. Sin perjuicio de lo anterior, las CEPIRS podrán repetir contra
los usuarios o receptores de información en caso de haber asumido
responsabilidad frente al titular de la información o terceros, en los supuestos
antes indicados en que esté involucrada la responsabilidad de los usuarios o
receptores de información.

TITULO QUINTO
DE LA DEFENSA DE LOS CONSUMIDORES EN ESPECIAL

Artículo 19º.- Defensa de los consumidores


Las disposiciones contenidas en el presente Título son de aplicación a las disputas
que surjan entre las CEPIRS y los titulares de la información, que son considerados
consumidores por mandato de la presente Ley, para efectos de la aplicación de
lo dispuesto por el Decreto Legislativo Nº 716, Ley de Protección al Consumidor.

Artículo 20º.- Infracciones


Se consideran infracciones administrativas a la presente Ley:

a) Negarse a facilitar el acceso de un consumidor a la información de riesgos de


la que es titular;
b) Denegar una solicitud de revisión o una solicitud de rectificación de la
información de riesgos de la que es titular un consumidor; o,
c) Negarse a modificar o a cancelar la información de un titular luego de que éste
haya tenido un pronunciamiento favorable en un procedimiento seguido de
conformidad con lo establecido en el Artículo 15º de la presente Ley.
d) No actualizar la información por la no inclusión de registros de pagos totales o
parciales a que se refiere el numeral 15.6 del artículo 15, no haberse remitido la
información a las CEPIRS en el plazo estipulado en el numeral 15.7 del articulo
15; y, no actualizar los reportes de crédito en el plazo señalado en el numeral 15.8
del articulo 15.
Las CEPIRS son objetivamente responsables por incurrir en las infracciones antes
tipificadas, sin perjuicio de la responsabilidad que pudiera corresponder a las
fuentes de las que hubieran recolectado información, conforme a las
disposiciones contenidas en el Decreto Legislativo 716, Ley de Protección al
Consumidor.
Las CEPIRS no responderán por el incumplimiento del plazo que corresponda a la
fuente de información.
Las CEPIRS son objetivamente responsables por incurrir en las infracciones antes
tipificadas, sin perjuicio de la responsabilidad que pudiera corresponder a las
fuentes de las que hubieran recolectado información, de ser el caso, conforme a
las disposiciones contenidas en el Decreto Legislativo Nº 716, Ley de Protección
al Consumidor.

Artículo 21º.- Competencia de la Comisión de Protección al Consumidor


21.1 La Comisión de Protección al Consumidor del Instituto Nacional de Defensa
de la Competencia y de la Protección de la Propiedad Intelectual (INDECOPI) es el
órgano administrativo competente para conocer de las infracciones tipificadas
en el artículo precedente e imponer las sanciones administrativas y las medidas
correctivas a las que hubiere lugar. Para tales efectos, la Comisión aplicará el
procedimiento único contemplado en el Título V del Decreto Legislativo Nº 807,
Facultades, Normas y Organización del INDECOPI.

21.2 Para presentar una denuncia administrativa por infracción al Artículo 20º
inciso b), el consumidor titular de la información deberá previamente obtener un
pronunciamiento expreso o tácito, denegando una solicitud de revisión o
rectificación, tramitada conforme a lo dispuesto en los Artículos 15º y 16º de la
presente Ley.

Artículo 22º.- Medidas correctivas


Sin perjuicio de las sanciones administrativas a que hubiera lugar, la Comisión de
Protección al Consumidor impondrá a las CEPIRS que incurran en alguna
infracción a la presente Ley, las siguientes medidas correctivas:

a) La modificación o cancelación de la información de riesgos registrada en sus


bancos de datos; y,
b) La rectificación de la información comercial de riesgos difundida en el
mercado, por cuenta y costo del infractor, en la forma que determine la Comisión.
Adicionalmente a las sanciones administrativas a que hubiera lugar respecto de
las CEPIRS, la Comisión de Protección al Consumidor impondrá sanciones a las
fuentes proveedoras de la información que incurran en alguna infracción a la
presente Ley y en general a terceras personas que han proporcionado
información de riesgos a las CEPIRS que resulte ilegal, inexacta, errónea o caduca.

La modificación, actualización, rectificación o cancelación de la información de


riesgos antes indicada que se encuentre registrada en sus bases de datos se
actualizará dentro del día siguiente de notificada la medida.

Artículo 23º.- Ejecución de medidas correctivas a favor de los consumidores


23.1 Las resoluciones finales que ordenen medidas correctivas constituyen Títulos
de Ejecución conforme a lo dispuesto en el Artículo 713º inciso 3) del Código
Procesal Civil, una vez que queden consentidas o causen estado en la vía
administrativa.

23.2 En caso de resoluciones finales que ordenen medidas correctivas a favor de


consumidores afectados por la infracción administrativa, la legitimidad para
obrar en los procesos civiles de ejecución corresponde a tales consumidores. En
los casos restantes, la legitimidad corresponde al INDECOPI.

DISPOSICION COMPLEMENTARIA Y FINAL

UNICA.- Entrada en vigencia


La presente Ley entrará en vigencia a los 30 (treinta) días de su publicación.
7. Ley AntiSpam. Regula el uso del correo electrónico comercial no solicitado (SPAM)
(Ley 28493)

ART. 1°.— Objeto de la ley. La presente ley regula el envío de comunicaciones


comerciales publicitarias o promocionales no solicitadas, realizadas por correo
electrónico, sin perjuicio de la aplicación de las disposiciones vigentes en materia
comercial sobre publicidad y protección al consumidor.

ART. 2°.— Definiciones. Para efectos de la presente ley se entiende por:

a) Correo electrónico: Todo mensaje, archivo, dato u otra información electrónica


que se transmite a una o más personas por medio de una red de interconexión
entre computadoras o cualquier otro equipo de tecnología similar. También se
considera correo electrónico la información contenida en forma de remisión o
anexo accesible mediante enlace electrónico directo contenido dentro del correo
electrónico.
b) Correo electrónico comercial: Todo correo electrónico que contenga
información comercial publicitaria o promocional de bienes y servicios de una
empresa, organización, persona o cualquier otra con fines lucrativos.
c) Proveedor del servicio de correo electrónico: Toda persona natural o jurídica
que provea el servicio de correo electrónico y que actúa como intermediario en el
envío o recepción del mismo.
d) Dirección de correo electrónico: Serie de caracteres utilizado para identificar el
origen o el destino de un correo electrónico.

ART. 3°.— Derechos de los usuarios. Son derechos de los usuarios de correo
electrónico:

Rechazar o no la recepción de correos electrónicos comerciales.


Revocar la autorización de recepción, salvo cuando dicha autorización sea una
condición esencial para la provisión del servicio de correo electrónico.
Que su proveedor de servicio de correo electrónico cuente con sistemas o
programas que filtren los correos electrónicos no solicitados.

ART. 4°.— Obligaciones del proveedor. Los proveedores de servicio de correo


electrónico domiciliados en el país están obligados a contar con sistemas o
programas de bloqueo y/o filtro para la recepción o la transmisión que se efectúe
a través de su servidor, de los correos electrónicos no solicitados por el usuario.

ART. 5°.— Correo electrónico comercial no solicitado. Todo correo electrónico


comercial, promocional o publicitario no solicitado, originado en el país, debe
contener:

a) La palabra “publicidad”, en el campo del “asunto” (o subject) del mensaje.


b) Nombre o denominación social, domicilio completo y dirección de correo
electrónico de la persona natural o jurídica que emite el mensaje.
c) La inclusión de una dirección de correo electrónico válido y activo de respuesta
para que el receptor pueda enviar un mensaje para notificar su voluntad de no
recibir más correos no solicitados o la inclusión de otros mecanismos basados en
internet que permita al receptor manifestar su voluntad de no recibir mensajes
adicionales.

ART. 6°.— Correo electrónico comercial no solicitado considerando ilegal.

El correo electrónico comercial no solicitado será considerado ilegal en los


siguientes casos:

a) Cuando no cumpla con alguno de los requisitos establecidos en el artículo 5°


de la presente ley.
b) Contenga nombre falso o información falsa que se oriente a no identificar a la
persona natural o jurídica que transmite el mensaje.
c) Contenga información falsa o engañosa en el campo del “asunto” (o subject),
que no coincida con el contenido del mensaje.
d) Se envíe o transmita a un receptor que haya formulado el pedido para que no
se envíe dicha publicidad, luego del plazo de dos (2) días.

ART. 7°.— Responsabilidad. Se considerarán responsables de las infracciones


establecidas en el artículo 6° de la presente ley y deberán compensar al receptor
de la comunicación:

1. Toda persona que envié correos electrónicos no solicitados conteniendo


publicidad comercial.
2. Las empresas o personas beneficiarias de manera directa con la publicidad
difundida.
3. Los intermediarios de correos electrónicos no solicitados, tales como los
proveedores de servicios de correos electrónicos.

ART. 8°.— Derecho a compensación pecuniaria. El receptor de correo electrónico


ilegal podrá accionar por la vía del proceso sumarísimo contra la persona que lo
haya enviado, a fin de obtener una compensación pecuniaria, la cual será
equivalente al uno por ciento (1%) de la Unidad Impositiva Tributaria por cada
uno de los mensajes de correo electrónico transmitidos en contravención de la
presente ley, con un máximo de dos (2) Unidades Impositivas Tributarias.

ART. 9°.— Autoridad competente. El Instituto Nacional de Defensa de la


Competencia y de la Protección de la Propiedad Intelectual - Indecopi, a través de
la Comisión de Protección al Consumidor y de la Comisión de Represión de la
Competencia Desleal, será la autoridad competente para conocer las infracciones
contempladas en el artículo 6° de la presente ley; cuyas multas se fijarán de
acuerdo a lo establecido en el Decreto Legislativo N° 716, Ley de Protección al
Consumidor, o en el Decreto Legislativo N° 691, normas de la publicidad en d
efensa del consumidor, según corresponda.
ART. 10.— Reglamento. El Poder Ejecutivo mediante decreto supremo,
refrendado por el Ministro de Transportes y Comunicaciones, reglamentará la
presente ley en un plazo máximo de noventa (90) días desde su vigencia.

ART. 11.— Vigencia. La presente ley entrará en vigencia a los noventa (90) días
de su publicación en el Diario Oficial “El Peruano”.
8. Decreto Legislativo que regula el uso de las cámaras de videovigilancia (DL 1218)

Artículo 1. Objeto
El presente decreto legislativo tiene como objeto regular el uso de cámaras de
videovigilancia en bienes de dominio público, vehículos de servicio de transporte
público de pasajeros y establecimientos comerciales abiertos al público con un
aforo de cincuenta (50) personas o más, como instrumento de vigilancia
ciudadana, para la prevención de la violencia y del delito, así como el control y
persecución del delito o falta en el marco del Sistema Nacional de Seguridad
Ciudadana

Artículo 2. Definiciones
Para efectos de la presente norma se tendrán en cuenta las siguientes
definiciones:

a. Aforo. Número de personas que puede albergar una edificación determinada


en función del uso y de su correspondiente índice dado generalmente en
personas/m2.

b. Bienes de dominio público. Aquellos bienes estatales destinados al uso público,


cuya administración, conservación y mantenimiento corresponde a una entidad;
aquellos que sirven de soporte para la prestación de cualquier servicio público o
cuya concesión compete al Estado. Tienen el carácter de inalienables e
imprescriptibles. Sobre ellos, el Estado ejerce su potestad administrativa,
reglamentaria y de tutela conforme a ley.

c. Cámara o videocámara. Medio técnico análogo, digital, óptico o electrónico,


fijo o móvil, que permita captar o grabar imágenes, videos o audios.

d. Establecimientos comerciales abiertos al público. Inmueble, parte del mismo o


una instalación o construcción en el que un proveedor debidamente identificado
desarrolla sus actividades económicas de venta de bienes o prestación de
servicios a los consumidores.

e. Servicio de transporte público de pasajeros. Servicio de transporte terrestre de


personas que es prestado por un transportista autorizado para dicho fin, a
cambio de una contraprestación económica. f. Videovigilancia.- Sistema de
monitoreo y captación de imágenes, videos o audios de lugares, personas u
objetos.

Artículo 3. Ámbito de Aplicación


3.1. El presente Decreto Legislativo es de aplicación a personas naturales o
jurídicas, públicas o privadas, propietarias o poseedoras de cámaras de
videovigilancia ubicadas en bienes de dominio público, vehículos de servicio de
transporte público de pasajeros y establecimientos comerciales abiertos al
público con un aforo de cincuenta (50) personas o más.
3.2. Se excluyen de la aplicación de la presente norma:

a. Las personas naturales o jurídicas, públicas o privadas, propietarias de


cámaras de videovigilancia ubicadas en espacios privados, las mismas que se
rigen por la normativa de la materia.

b. Los proyectos de asociación público privado que cuenten con contratos


suscritos o que estén incorporados al proceso de promoción de inversión privada
a la fecha de la entrada en vigencia de la presente norma.

c. Las cámaras de videovigilancia de la Policía Nacional del Perú y de las Fuerzas


Armadas, las cuales se rigen bajo su respectivo marco normativo.

Artículo 4. Reglas
Son reglas para el uso de cámaras de videovigilancia:

a. Disponibilidad. Asegurar que las imágenes, videos o audios se encuentren


disponibles siempre que una persona autorizada necesite hacer uso de ellos.

b. Integridad. Las imágenes, videos o audios capturados no deben ser alteradas


ni manipuladas.

c. Preservación. Salvaguardar las imágenes, videos o audios captados por las


cámaras de videovigilancia que presenten indicios razonables de comisión de un
delito o falta.

d. Reserva. Todo funcionario o servidor público que conozca de imágenes, videos


o audios captados por las cámaras de videovigilancia está obligado a mantener
reserva de su contenido.

Artículo 5. Principios
Son principios para la aplicación de la presente norma y su reglamento:

a. Legalidad. Las personas naturales y jurídicas, públicas y privadas que capten,


graben, reproduzcan y utilicen las imágenes, videos o audios de cámaras de
videovigilancia actúan de acuerdo a la normatividad vigente.

b. Razonabilidad. El cumplimiento de las obligaciones establecidas en el presente


decreto legislativo y su reglamento debe guardar una adecuada proporción entre
fines y medios, respondiendo al objeto de la norma

Artículo 6. Participación ciudadana


Todas las personas naturales y jurídicas, públicas y privadas contribuyen a la
seguridad ciudadana mediante el desarrollo de acciones coordinadas entre los
sistemas de videovigilancia, para asegurar su protección y convivencia pacífica a
través de la prevención, control y erradicación de la violencia, delitos y faltas; así
como la utilización pacífica de las vías y espacios públicos.
Capítulo II
Videovigilancia en bienes de dominio público, vehículos de servicio de
transporte público de pasajeros y establecimientos comerciales abiertos al
público

Artículo 7. Uso de cámaras de videovigilancia en bienes de dominio público


Las personas naturales o jurídicas, públicas o privadas que administren bienes de
dominio público deben instalar cámaras de videovigilancia, bajo los estándares
técnicos establecidos en el reglamento del presente Decreto Legislativo, para
contribuir a la seguridad ciudadana y articularse con la Policía Nacional del Perú
y las Gerencias de Seguridad Ciudadana de las municipalidades o la que hagan
sus veces. La instalación de cámaras de videovigilancia debe responder al
planeamiento territorial y de desarrollo urbano y rural, así como a los planes
distritales de seguridad ciudadana. Las cámaras de videovigilancia son utilizadas
en playas, plazas, parques, infraestructura vial, vías férreas, caminos, sedes
gubernativas e institucionales, escuelas, hospitales, estadios, bienes afectados en
uso a la defensa nacional, establecimientos penitenciarios, espacios culturales,
cementerios, puertos, aeropuertos y otros destinados al cumplimiento de los fines
de responsabilidad estatal, o cuya concesión compete al Estado.

Artículo 8. Uso de cámaras de videovigilancia en vehículos de servicio de


transporte público de pasajeros
Las personas naturales o jurídicas, públicas o privadas que brindan el servicio de
transporte público de pasajeros deben instalar cámaras de videovigilancia en las
unidades de transporte, de acuerdo a los lineamientos establecidos en el
reglamento del presente Decreto Legislativo.

Artículo 9. Uso de cámaras de videovigilancia en establecimientos comerciales


abiertos al público
Los propietarios o poseedores de establecimientos comerciales abiertos al
público con un aforo de cincuenta (50) personas o más deben instalar cámaras
de videovigilancia acorde con la finalidad de garantizar la seguridad de los
consumidores y prevención e investigación del delito. Las cámaras de
videovigilancia son utilizadas para seguridad en centros comerciales, tiendas por
departamentos, entidades financieras, instituciones educativas o culturales,
institutos superiores, universidades, establecimientos de salud, entre otros, con
la finalidad de prevenir la comisión de delitos o faltas.

Artículo 10. Limitaciones


Las cámaras de videovigilancia no deben captar o grabar imágenes, videos o
audios de espacios que vulneren la privacidad o intimidad de las personas. En el
reglamento del presente Decreto Legislativo se detallan las limitaciones.

Artículo 11. Implementación del Sistema de Videovigilancia


Para la implementación del Sistema de videovigilancia se deberán tener en
cuenta las siguientes acciones:
a. Instalar y administrar cámaras de videovigilancia en respuesta a los planes
distritales de seguridad ciudadana.

b. Integrar los sistemas de videovigilancia con los sistemas de alerta, alarmas,


centrales de emergencia, entre otros dispositivos electrónicos o aplicativos que
coadyuven en la prevención y lucha contra la seguridad ciudadana.

c. Garantizar la interconexión de cámaras de videovigilancia con las plataformas


de videovigilancia, radiocomunicación y telecomunicaciones de los Gobiernos
Locales y Regionales, y con el Centro Nacional de Video Vigilancia y
Radiocomunicación y Telecomunicaciones para la Seguridad Ciudadana.

d. Realizar un mantenimiento adecuado a las cámaras de videovigilancia, así


como renovar el equipamiento.

e. Entre otras acciones reguladas en el reglamento del presente Decreto


Legislativo.

Artículo 12. Estándares Técnicos para las cámaras de videovigilancia


El reglamento del presente Decreto Legislativo desarrolla los estándares técnicos
para las cámaras de videovigilancia ubicadas en los bienes de dominio público
para fortalecer la prevención y coadyuvar en la investigación del delito.

Capítulo III
Obligaciones y Responsabilidades

Artículo 13. Obligaciones en la captación y grabación de imágenes, videos o


audios
Todas las personas naturales o jurídicas, entidades públicas o privadas
propietarias o poseedoras de cámaras de videovigilancia que capten o graben
imágenes, videos o audios deben observar lo siguiente:

a. Cuando aparezcan personas identificables deben observar los principios y


disposiciones de la normativa de protección de datos personales.

b. Cualquier persona que por razón del ejercicio de sus funciones dentro de
instituciones públicas o privadas, tenga acceso a las grabaciones deberá observar
la debida reserva y confidencialidad en relación con las mismas.

Artículo 14. Deber de informar y entregar imágenes, videos o audios


La persona natural o jurídica, privada o pública, propietaria o poseedora de
cámaras de videovigilancia que capte o grabe imágenes, videos o audios que
presenten indicios razonables de la comisión de un delito o falta, debe informar y
hacer entrega de esta información de manera inmediata a la Policía Nacional del
Perú o al Ministerio Público, según corresponda. La Policía Nacional del Perú o el
Ministerio Público garantiza la confidencialidad de la identidad de las personas
que hacen entrega de esta información.

Artículo 15. Cadena de custodia de imágenes, videos o audios


Las imágenes, videos o audios que contengan información para la investigación
de un delito o falta, recibidas por la Policía Nacional del Perú o el Ministerio
Público, serán preservadas mediante el procedimiento de cadena de custodia, de
acuerdo a la normativa de la materia.

Artículo 16. Responsabilidades


Todo funcionario o servidor público, personal de la Policía Nacional del Perú, del
Ministerio Público o del Poder Judicial que use, transfiera, difunda o comercialice
las grabaciones de imágenes, videos o audios que presenten indicios razonables
de la comisión de un delito o falta, será sancionado administrativamente
conforme a la normatividad de la materia, sin perjuicio de las acciones civiles y
penales que correspondan.

Artículo 17. Financiamiento


Lo dispuesto en el presente Decreto Legislativo se financia con cargo al
presupuesto institucional de las entidades públicas involucradas, sin demandar
recursos adicionales al Tesoro Público. El financiamiento de la implementación
y/o adecuación a los requisitos establecidos en el presente Decreto Legislativo,
respecto de las cámaras de videovigilancia, se realizará de manera progresiva, y
sujeto a la disponibilidad presupuestal de las entidades involucradas.

Disposiciones Complementarias Finales

PRIMERA.- Reglamentación
En un plazo no mayor a noventa (90) días se aprobará el reglamento del presente
Decreto Legislativo con el voto aprobatorio del Consejo de Ministros.

SEGUNDA.- Adecuación de Estándares Técnicos de Cámaras de videovigilancia


en bienes de dominio público
A partir de la entrada en vigencia del reglamento del presente Decreto
Legislativo, toda persona natural o jurídica, pública o privada que administre
bienes de dominio público deberá adecuarse a los estándares técnicos definidos
en dicho reglamento en un plazo no mayor a cinco (5) años. Los nuevos procesos
de adquisición referidos a cámaras de videovigilancia deben cumplir los
estándares técnicos.

TERCERA.- Cámaras de videovigilancia de establecimientos comerciales


abiertos al público
La obligación del uso de cámaras de videovigilancia en establecimientos
comerciales abiertos al público será incluida en el Formato de Declaración Jurada
a ser presentado por el administrado para el trámite de Licencia de
Funcionamiento, siendo materia de fiscalización posterior por parte de los
gobiernos locales.
CUARTA.- Proyectos de Cableado Menores para Transmisión de Datos
Con el objetivo de permitir una correcta transmisión de datos, dispóngase la
aplicación de lo dispuesto en el artículo 2 de la Resolución Ministerial N° 186-
2015-MINAM para la autorización de proyectos de instalación de medios de
transmisión alámbricos menores a 200 metros.

QUINTA.- Acceso de la Policía Nacional del Perú a Sistemas de Cámaras y otros


sistemas de videovigilancia
Las Unidades Especializadas de la Policía Nacional del Perú pueden acceder a los
sistemas de cámaras de circuito cerrado de televisión (CCTV) y otros sistemas de
videovigilancia instalados en puertos, aeropuertos, terminales terrestres,
almacenes aduaneros y depósitos temporales que coadyuven al ejercicio de su
función.

Disposición Complementaria Modificatoria

ÚNICA.-Incorporación de Infracción al Anexo III, Tabla de Infracciones y Sanciones


Muy graves del Decreto Legislativo N°1150, que regula el Régimen Disciplinario
de la Policía Nacional del Perú

Incorpórase la infracción MG 50-B en el Anexo III, Tabla de Infracciones y


Sanciones Muy Graves del Decreto Legislativo N°1150, que regula el Régimen
Disciplinario de la Policía Nacional del Perú en los términos siguientes:

Código: MG 50- B
Infracción: Usar, transferir, difundir o comercializar las grabaciones de imágenes,
videos o audios que constituyen indicio o medio probatorio en una investigación.
Sanción: Pase a la situación de retiro
9. Reglamento del Decreto Legislativo N° 1218, Decreto Legislativo que regula el uso
de las cámaras de videovigilancia y de la Ley N° 30120, Ley de Apoyo a la Seguridad
Ciudadana con Cámaras de Videovigilancia Públicas y Privadas, y dicta otras
disposiciones (DS 007-2020-IN)

TÍTULO I
DISPOSICIONES GENERALES

Artículo 1. Objeto
La presente norma tiene por objeto regular el uso de cámaras de videovigilancia
en bienes de dominio público, vehículos de servicio de transporte público de
pasajeros y establecimientos comerciales abiertos al público con un aforo de
cincuenta (50) personas o más y su incorporación como instrumento de vigilancia
ciudadana en las políticas del Sistema Nacional de Seguridad Ciudadana, en el
marco de lo establecido en el Decreto Legislativo N° 1218, Decreto Legislativo que
regula el uso de cámaras de videovigilancia; y Ley N° 30120, Ley de apoyo a la
seguridad ciudadana con cámaras de videovigilancia públicas y privadas (en
adelante, el Decreto Legislativo N° 1218 y la Ley N° 30120, respectivamente); así
como dictar otras disposiciones que garanticen la estandarización e
interoperabilidad de los sistemas de videovigilancia a nivel nacional para la
seguridad.

Artículo 2. Definiciones
2.1. Para efectos del presente Reglamento, además de las definiciones señaladas
en la Ley N° 30120 y el Decreto Legislativo N° 1218, se consideran los siguientes
términos:

a. Bienes de dominio público.- Aquellos bienes que se circunscriben a los predios


y bienes inmuebles que tienen como titular al Estado o a cualquier entidad
pública que conforma el Sistema Nacional de Bienes Estatales o Sistema Nacional
de Abastecimiento, respectivamente, independientemente del nivel de gobierno
al que pertenezcan.

b. Captación. - Es el proceso técnico de registrar imágenes, videos o audios a


través de las cámaras de videovigilancia.

c. Consumidor.- Se entiende como consumidor a aquellas personas contempladas


en el numeral 1 del artículo IV del Título Preliminar de la Ley N° 29571, Código de
Protección y Defensa del Consumidor.

d. Datos personales. - Toda información sobre una persona natural que la


identifica o la hace identificable a través de medios que pueden ser
razonablemente utilizados.

e. Estándares técnicos. - Son las características técnicas mínimas que deben tener
las cámaras o videocámaras ubicadas en bienes de dominio público para
fortalecer la prevención y coadyuvar en la investigación de delitos o faltas.
f. Grabación. - Es el almacenamiento de las imágenes, videos o audios captados
por las cámaras de videovigilancia en cualquier medio o soporte tecnológico, que
permita su reproducción en otros equipos.

g. Personal autorizado.- Personal que interviene en la captación, grabación,


monitoreo y tratamiento de la imágenes, audios y videos de las cámaras de
videovigilancia; y que se encuentra sujeto a los mecanismos de seguridad para
garantizar la confidencialidad, preservación e integridad de su contenido.

h. Servicios de Información. Aquella provisión de datos e información que las


entidades de la administración pública gestionan en sus sistemas de información
e intercambian a través de la Plataforma de Interoperabilidad del Estado (PIDE).

i. Instalación. - Procedimiento de ubicación y colocación de equipos, accesorios,


cableados, software y/o conexiones de las cámaras de videovigilancia.j.

Artículo 3. Ámbito de aplicación


El presente Reglamento es de aplicación a:

a. Personas naturales o jurídicas, públicas o privadas, propietarias o poseedoras


de cámaras de videovigilancia ubicadas en bienes de dominio público, vehículos
de servicio de transporte público de pasajeros y establecimientos comerciales
abiertos al público con un aforo de cincuenta (50) personas o más, de
conformidad con lo establecido en el Decreto Legislativo N° 1218 y el presente
Reglamento.

b. Personas naturales y jurídicas, públicas y privadas, propietarias de cámaras de


videovigilancia ubicadas en la parte externa de inmuebles de propiedad privada,
de conformidad con lo establecido en la Ley N° 30120.

c. Personas jurídicas que deben adoptar medidas mínimas de seguridad,


señaladas en el artículo 41 del Decreto Legislativo N° 1213, Decreto Legislativo
que regula los servicios de seguridad privada.

d. Personas naturales o jurídicas, propietarias o administradoras de un escenario


deportivo, conforme a lo señalado en el artículo 6 de la Ley N° 30037, Ley que
previene y sanciona la violencia en los espectáculos deportivos.

Artículo 4. Protección de datos personales

4.1. Constituyen datos personales, las imágenes y voces; y, por otro lado,
constituyen bancos de datos, el conjunto organizado y estructurado de estos
datos.
4.2. Las disposiciones contempladas en la Ley N° 29733, Ley de Protección de
Datos Personales, su Reglamento y normativa que se emita sobre la materia, se
aplican principalmente para los siguientes aspectos:

a) Respeto del derecho a la protección de datos personales cuando en las


imágenes o videos de las cámaras de videovigilancia se presentan supuestos que
identifican o hacen identificables a personas.

b) Cumplimiento de los principios rectores de la protección de datos personales.

c) Obligación de informar al público sobre la presencia de cámaras de


videovigilancia y que está siendo grabado.

d) Inscripción del sistema de videovigilancia ante la Dirección de Protección de


Datos Personales.

e) Formalidades por cumplir ante el encargo de la gestión del sistema de


videovigilancia con utilización de los equipos o acceso a las imágenes o voces.

f) Obligaciones y prohibiciones para el personal autorizado en sistemas de


videovigilancia.

g) Tratamiento específico con fines de seguridad para entidades financieras y


escuelas.

Artículo 5. Limitaciones
5.1. Las cámaras de videovigilancia no deben captar o grabar imágenes, videos o
audios del interior de viviendas, baños, espacios de aseo, vestuarios, vestidores,
zonas de descanso, ambientes donde se realiza la atención de salud de las
personas, entre otros espacios protegidos por el derecho a la intimidad personal
y determinados por la norma de la materia. Dicha disposición cesa cuando exista
una resolución judicial sobre la materia.

5.2. No está permitida la difusión o entrega por cualquier medio de las imágenes,
videos o audios a personal no autorizado, según lo señalado en el presente
Reglamento.

5.3. En el caso de imágenes, videos o audios que involucren a niños, niñas o


adolescentes, prima el interés superior del niño, niña o adolescente y se ejecutan
las medidas de protección de su identidad o imagen en materia de difusión a
través de medios de comunicación, de conformidad con lo señalado en el artículo
6 del Código de los Niños y Adolescentes, aprobado mediante Ley Nº 27337.

Artículo 6. Medidas para garantizar el cumplimiento de disposiciones


El Gobierno Nacional, los Gobiernos Locales y los Gobiernos Regionales disponen
las medidas que sean necesarias para cumplir con las disposiciones señaladas en
el presente Reglamento, en el marco de sus competencias y funciones.
TÍTULO II
VIDEOVIGILANCIA EN ESPACIOS PÚBLICOS Y PRIVADOS

CAPÍTULO I
VIDEOVIGILANCIA EN BIENES DE DOMINIO PÚBLICO, EN VEHÍCULOS DE
SERVICIO DE TRANSPORTE PÚBLICO DE PASAJEROS Y EN ESTABLECIMIENTOS
COMERCIALES ABIERTOS AL PÚBLICO

Artículo 7. Implementación de sistemas de videovigilancia


7.1. La implementación de sistemas de videovigilancia en bienes de dominio
público, en vehículos de servicio de transporte público de pasajeros y en
establecimientos comerciales abiertos al público con un aforo de cincuenta (50)
personas o más, debe tener en cuenta las siguientes acciones:

a. Instalar cámaras de videovigilancia acorde a la política nacional de seguridad


ciudadana y planes regionales y distritales de seguridad ciudadana.

b. Ubicar cámaras de videovigilancia, previa verificación de otras cámaras de


videovigilancia en la zona y con coordinación entre la Policía Nacional del Perú,
Gobiernos Regionales o Locales y propietarios o poseedores para su instalación y
uso, según el caso.

c. Facilitar la integración de los sistemas de videovigilancia con los sistemas de


alerta, alarmas, centrales de emergencia, entre ellas a la Central Única de
Emergencias, Urgencia e Información implementado por el Ministerio de
Transporte y Comunicaciones; entre otros dispositivos electrónicos o aplicativos
que coadyuven en la prevención y lucha contra la seguridad ciudadana, según el
bien y tecnología empleada para intercambiar información en tiempo real, según
corresponda.

d. Facilitar la interconexión e interoperabilidad de cámaras de videovigilancia con


las plataformas de videovigilancia, radiocomunicación y telecomunicaciones de
los Gobiernos Locales y Regionales, a través de las Gerencias de Seguridad
Ciudadana o las que hagan sus veces; el Centro Nacional de Video Vigilancia y
Radiocomunicación y Telecomunicaciones para la Seguridad Ciudadana (CENVIR)
o el que haga sus veces; y otras administradas por el Ministerio del Interior o
Policía Nacional del Perú, según el caso.

e. Facilitar la conexión y servicios de mantenimiento de energía eléctrica de


aquellas zonas o bienes que cuenten con cámaras de videovigilancia.

f. Contar con mecanismos de seguridad en los sistemas de videovigilancia para


garantizar la confidencialidad, preservación e integridad de su contenido.

g. Implementar mecanismos que permitan la transmisión de imágenes, videos o


audios en tiempo real y de manera ininterrumpida, según el caso.
h. Realizar un mantenimiento adecuado y continuo a las cámaras de
videovigilancia, que incluye la evaluación y renovación de equipamiento.

i. Garantizar la capacitación del personal a cargo del funcionamiento, manejo y


monitoreo de cámaras de videovigilancia, de acuerdo a las particularidades de
los bienes o espacios que cuenten con sistemas de videovigilancia y atendiendo a
la normativa de la materia.

7.2. Son responsables de la implementación de los sistemas de videovigilancia,


las personas naturales o jurídicas, públicas o privadas que administren bienes de
dominio público; las personas naturales o jurídicas, públicas o privadas que
brindan el servicio de transporte público de pasajeros; y los propietarios o
poseedores de establecimientos comerciales abiertos al público con un aforo de
cincuenta (50) personas o más.

7.3. Lo dispuesto en el presente artículo se realiza de manera articulada y


progresiva, en el marco de lo dispuesto en la Segunda Disposición
Complementaria Final del presente Reglamento.

Artículo 8. Cámaras de videovigilancia en bienes de dominio público


8.1. Las personas naturales o jurídicas, públicas o privadas que administren
bienes de dominio público deben instalar cámaras de videovigilancia, conforme
a lo dispuesto en los artículos 8 y 9 del presente Reglamento.

8.2. La instalación de cámaras de videovigilancia en bienes de dominio público


debe responder al planeamiento territorial y de desarrollo urbano y rural, así
como a los planes distritales de seguridad ciudadana, conforme a lo señalado en
el artículo 7 del Decreto Legislativo N° 1218. Asimismo, el proyecto de
implementación de cámaras de videovigilancia que abarca tal instalación puede
ser considerado dentro del Plan de Gobierno Digital (PGD).

8.3. Las cámaras de videovigilancia son instaladas en:

a. Sitios o recintos destinados al uso público, como infraestructura vial y de


transporte (carreteras, avenidas, calles, jirones, caminos, pasajes, entre otros),
playas, parques, plazas, accesos peatonales, paraderos autorizados y accesos
vehiculares, centros culturales o de esparcimiento, monumentos históricos,
edificaciones de patrimonio cultural, recintos deportivos, su área de influencia
deportiva, entre otros.

b. Bienes que sirven de soporte para la prestación de un servicio público, como


sedes gubernativas e institucionales, instituciones educativas, hospitales,
estadios, bienes afectados en uso a la defensa nacional, establecimientos
penitenciarios, cementerios, entre otros.
c. Concesiones otorgadas por el Estado, como las concesiones mineras,
petroleras, de agua potable y alcantarillado, eléctricas, telefonía fija o móvil,
puertos marítimos o fluviales, aeropuertos, terrapuertos, entre otras.

Artículo 9. Estándares técnicos de cámaras de videovigilancia en bienes de


dominio público
9.1. Las cámaras de videovigilancia en bienes de dominio público deben cumplir
con los siguientes estándares técnicos:

a. Nitidez de las imágenes y videos que permita la visualización de personas y


placa de vehículos.

b. Sistema funcional y operativo que permita la conectividad y transmisión de


imágenes, videos y audios en tiempo real y de manera ininterrumpida.

c. Capacidad de conexión directa vía internet analógica o tecnología digital IP y


compatibles con los diferentes protocolos abiertos de conexión o interconexión
digital que garantice su interoperabilidad con el Centro Nacional de
Videovigilancia, Radiocomunicación y Telecomunicaciones para la Seguridad
Ciudadana (CENVIR) o el que haga sus veces.

d. Acceso mediante conexión de internet a las cámaras de videovigilancia,


restringido solo a personal autorizado y contemplando las medidas de seguridad
respectivas.

e. Instalación en lugares estratégicos que aseguren un campo visual despejado


de obstáculos u objetos, evitando la existencia de puntos ciegos, y con una
distancia proporcional entre su ubicación y el alcance del zoom, de manera que
permita la identificación de personas y placa de vehículos.

f. Instalación como mínimo en las siguientes zonas: i) áreas externas de los bienes
de dominio público, que aseguren la captación de imágenes de las personas al
ingreso y/o a la salida del establecimiento, así como de su perímetro adyacente
o área de influencia deportiva, para el caso de estadios; y, ii) áreas internas donde
existe atención al público o con afluencia de público, según corresponda y
conforme a las disposiciones señaladas en normativa de la materia.

Artículo 10. Lineamientos para el uso de cámaras de videovigilancia en


vehículos de servicio de transporte público de pasajeros
10.1. El uso de cámaras de videovigilancia en vehículos de servicio de transporte
público de pasajeros se rige bajo los siguientes lineamientos:

a. Las personas naturales o jurídicas, públicas o privadas que brindan el servicio


de transporte público de pasajeros, mediante el servicio de transporte regular y
especial de personas en el ámbito nacional, regional y provincial, deben instalar
en las unidades de transporte cámaras de videovigilancia que permitan, como
mínimo, registrar el ingreso y salida de pasajeros.
b. Cuando el servicio público de transporte se cumple en el marco de una
concesión, la implementación de los sistemas de videovigilancia se realiza
respetando los términos establecidos en el contrato respectivo.

c. La existencia de cámaras de videovigilancia debe informarse mediante un


cartel o anuncio de manera visible y permanente tanto en el exterior como en el
interior de la unidad de transporte.

10.2. Lo dispuesto en el presente artículo se realiza de manera progresiva, en el


marco de lo dispuesto en la Primera Disposición Complementaria Final del
presente Reglamento.

10.3. Este artículo no comprende el servicio de transporte especial de usuarios en


vehículos menores motorizados o no motorizados, los que se rigen por sus leyes
y reglamento específicos, así como vehículos con dos ruedas y embarcaciones
rústicas para transporte de personas.

Artículo 11. Cámaras de videovigilancia en establecimientos comerciales


abiertos al público
Los propietarios o poseedores de establecimientos comerciales abiertos al
público con un aforo de cincuenta (50) personas o más pueden instalar cámaras
de videovigilancia, con la finalidad de garantizar la seguridad de los
consumidores y contribuir en la prevención e investigación de delitos o faltas. Los
lineamientos en materia de sistemas de videovigilancia para este supuesto, se
sujetan a lo dispuesto en la Segunda Disposición Complementaria Final del
presente Reglamento.

CAPÍTULO II
VIDEOVIGILANCIA EN BIENES INMUEBLES DE PROPIEDAD PRIVADA

Artículo 12. Cámaras de videovigilancia ubicadas en la parte externa de


inmuebles de propiedad privada

12.1. Las cámaras de videovigilancia ubicadas en la parte externa de inmuebles


de propiedad privada constituyen un instrumento de vigilancia ciudadana, en los
casos de presunción de comisión de un delito o de una falta; ubicándose
preferentemente en el ingreso y salida de los inmuebles, así como en áreas
comunes con afluencia de público.

12.2. Las cámaras de vigilancia ubicadas en la parte externa de inmuebles no


deben obtener imágenes de espacios públicos, salvo que resulte imposible
evitarlo. En este último caso, la cámara debe captar únicamente la sección de vía
pública que resulte imprescindible para cumplir con los fines de seguridad.

Artículo 13. Tratamiento de información proveniente de cámaras de


videovigilancia ubicadas en la parte externa de inmuebles de propiedad privada
El tratamiento de información proveniente de cámaras de videovigilancia
ubicadas en la parte externa de inmuebles de propiedad privada se rige bajo las
disposiciones señaladas en el Título III del presente Reglamento, con excepción
de lo contemplado en los literales b y c del párrafo 17.2 del artículo 17.

CAPÍTULO III
VIDEOVIGILANCIA EN PUERTOS, AEROPUERTOS, TERMINALES TERRESTRES,
ALMACENES ADUANEROS Y DEPÓSITOS TEMPORALES

Artículo 14. Videovigilancia en puertos, aeropuertos y terminales terrestres


14.1. En el caso de videovigilancia en puertos:

a. La Autoridad Portuaria Nacional promueve y supervisa la implementación de


sistemas de protección y seguridad integral en los puertos integrantes del
Sistema Portuario Nacional que contenga cámaras de videovigilancia, conforme
a lo dispuesto por el presente Reglamento y para contribuir con la lucha contra
el contrabando y delitos del crimen organizado.

b. Las unidades especializadas de la Policía Nacional del Perú pueden acceder de


manera inmediata a los sistemas de videovigilancia, a través de los centros de
control que opera la Autoridad Portuaria Nacional, en el marco del ejercicio de
sus funciones y conforme a lo dispuesto en el numeral 17.1. del artículo 17 del
presente Reglamento y los lineamientos emitidos por dicha autoridad.

c. Las instalaciones portuarias que forman parte del Sistema Portuario Nacional
deben facilitar el acceso para la interconexión de sus cámaras del sistema de
videovigilancia con los centros de control que opera la Autoridad Portuaria
Nacional.

14.2. En el caso de aeropuertos y terminales terrestres, las unidades


especializadas de la Policía Nacional del Perú pueden acceder de manera
inmediata a los sistemas de videovigilancia, a través de los centros de control
instalados, en el marco del ejercicio de sus funciones y conforme a lo dispuesto
en el numeral 17.1. del artículo 17 del presente Reglamento y los lineamientos
emitidos por el Ministerio de Transportes y Comunicaciones.

Artículo 15. Videovigilancia en almacenes aduaneros y depósitos temporales


Las entidades a cargo de los almacenes aduaneros y depósitos temporales
facilitan el acceso de las Unidades Especializadas de la Policía Nacional del Perú
a sus sistemas de videovigilancia, conforme a los lineamientos emitidos por la
Superintendencia Nacional de Aduanas y de Administración Tributaria – SUNAT.

Artículo 16. Accionar frente a la comisión de delito de flagrancia


Frente a una situación de persecución y/o ubicación de personas o bienes
involucrados en la comisión de delito en flagrancia en puertos, aeropuertos,
terminales terrestres, almacenes aduaneros y depósitos temporales, la Policía
Nacional del Perú, en el ejercicio de sus funciones, accede a cualquier cámara de
videovigilancia para monitorear su curso, trayectoria o ruta de fuga.

TÍTULO III
TRATAMIENTO DE INFORMACIÓN PROVENIENTE DE CÁMARAS DE
VIDEOVIGILANCIA

Artículo 17. Captación y grabación de imágenes, videos o audios


17.1. Las personas comprendidas en el ámbito de aplicación del presente
Reglamento deben seguir los siguientes lineamientos en materia de captación de
imágenes, videos o audios:

a. Cuando se encuentre frente a hechos, en tiempo real, que presenten indicios


razonables de la comisión de un delito o falta, o que constituyan un riesgo al
orden interno, orden público y seguridad ciudadana, se informa a la Policía
Nacional del Perú o Ministerio Público, según corresponda; y se habilita la
visualización inmediata del personal policial especializado. Si adicionalmente se
presenta alguna emergencia o siniestro, debe comunicarse con el Cuerpo General
de Bomberos Voluntarios del Perú, el Ministerio de Salud u otras entidades
responsables de la atención, según la naturaleza del evento presentado.

b. Cuando luego de la captación, se toma conocimiento de hechos que presentan


indicios razonables de la comisión de un delito o falta que constituyan un riesgo
al orden interno, orden público y seguridad ciudadana, se informa y hace entrega
de tal información en un plazo máximo de veinticuatro (24) horas a la Policía
Nacional del Perú o Ministerio Público, según corresponda, bajo responsabilidad
administrativa o penal, según corresponda.

17.2. Las personas comprendidas en el ámbito de aplicación del presente


Reglamento deben seguir los siguientes lineamientos en materia de grabación de
imágenes, videos o audios:

a. Mantener reserva, confidencialidad y cuidado debido de las imágenes, videos


o audios. En tal sentido, no se puede alterar o manipular los registros; ceder o
copiar imágenes, videos o sonidos obtenidos a terceros no autorizados; o,
reproducirlos con fines distintos de los previstos en las presentes disposiciones;

b. Almacenar las imágenes, videos o audios grabados por un plazo mínimo de


cuarenta y cinco (45) días calendario, salvo disposición distinta en normas
sectoriales.

c. Excepcionalmente, si la grabación contiene información sobre la comisión de


delitos, faltas o existe una investigación de oficio o a solicitud de parte sobre los
hechos grabados, esta puede ser almacenada durante un periodo mayor al
establecido, haciendo de conocimiento esta situación a la Policía Nacional del
Perú.
Artículo 18. Entrega de imágenes, videos o audios
18.1. Una vez recibidas las imágenes, videos o audios señalados en el artículo
precedente, la Policía Nacional del Perú o Ministerio Público garantizan la
confidencialidad de la identidad de la persona que hace entrega de dicha
información mediante el otorgamiento de una clave de carácter reservada.
Asimismo, formula un acta, en la cual consigna principalmente el detalle del
contenido de la información entregada.

18.2. Del análisis de la información, la Policía Nacional del Perú verifica la


existencia de indicios de la comisión de un delito o falta y la afectación del orden
interno, orden público y seguridad ciudadana, adopta las acciones conforme a
sus competencias y realiza las diligencias de urgencia e imprescindibles.

Artículo 19. Custodia de imágenes, videos o audios


19.1. La Policía Nacional del Perú y el Ministerio Público preservan las imágenes,
videos o audios, conforme a la normativa sobre cadena de custodia, bajo
responsabilidad funcional, asegurando que la información no sea alterada,
destruida o extraviada.

19.2. La Policía Nacional del Perú y el Ministerio Público adoptan las acciones
oportunas y necesarias para la investigación de la comisión de un delito o falta.

TÍTULO IV
REGISTRO Y BASE DE DATOS DE CÁMARAS DE VIDEOVIGILANCIA

Artículo 20. Registro de cámaras de videovigilancia


20.1. La autoridad competente a nivel local, regional o central, registra las
cámaras de videovigilancia que se encuentran bajo el ámbito de aplicación del
presente Reglamento, según los siguientes lineamientos:

a. Los Gobiernos Locales, a través de las Gerencias de Seguridad Ciudadana o las


que hagan sus veces, tienen a su cargo el registro de: i) cámaras de
videovigilancia en bienes de dominio público bajo su administración; ii) cámaras
de videovigilancia de establecimientos comerciales abiertos al público con un
aforo de cincuenta (50) personas o más, que se encuentren en su jurisdicción; y
iii) las cámaras de videovigilancia ubicadas en la parte externa de inmuebles de
propiedad privada en su jurisdicción.

b. Los Gobiernos Regionales y las instituciones del Gobierno Nacional bajo el


ámbito de aplicación del presente Reglamento, tienen a cargo el registro de las
cámaras de videovigilancia de los bienes de dominio público que estén bajo su
administración.

El accionar de las autoridades de los tres niveles de gobierno debe contemplar


relaciones de coordinación, cooperación y apoyo mutuo, en forma permanente y
continua, en el marco de lo dispuesto en la Ley N° 27783, Ley de Bases de la
Descentralización.
20.2. El registro contiene como mínimo la siguiente información sobre cámaras
de videovigilancia: i) tecnología (analógica o digital) y marca; ii) ubicación
(longitud y latitud); y iii) administrador o propietario. Dicha información tiene
carácter informativo y no es limitativa de derechos.

20.3. Los Gobiernos Locales y Regionales, así como las instituciones del Gobierno
Nacional, remiten trimestralmente los registros de cámaras de videovigilancia
actualizados al Centro Nacional de Videovigilancia y Radiocomunicaciones para
la Seguridad Ciudadana (CENVIR) o el que haga sus veces.

Artículo 21. Base de datos sobre cámaras de videovigilancia


El Ministerio del Interior, a través del Centro Nacional de Videovigilancia y
Radiocomunicaciones para la Seguridad Ciudadana (CENVIR), administra la
información de las cámaras de videovigilancia en atención a lo dispuesto en el
artículo 20.

Artículo 22. Interoperabilidad y Datos Abiertos


El Ministerio del Interior, a través del Centro Nacional de Videovigilancia y
Radiocomunicaciones para la Seguridad Ciudadana (CENVIR), publica servicios de
información del Registro y base de datos de las cámaras de videovigilancia en:

i) La Plataforma de Interoperabilidad del Estado (PIDE), administrada por la


Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno
Digital.

ii) El Portal Nacional de Datos Abiertos (en formatos abiertos), administrada por
la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno
Digital, y accesible a través del sitio web: www.datosabiertos.gob.pe. Los datos
publicados en el Portal Nacional de Datos Abiertos deben estar disponibles en
formatos legibles por personas y procesables por máquina.

La información publicada debe contener como mínimo los datos señalados en el


párrafo 20.2. del artículo 20 del presente Reglamento.

DISPOSICIONES COMPLEMENTARIAS FINALES

Primera.- Vigencia
La presente norma entra en vigencia al día siguiente de su publicación en el diario
oficial El Peruano, con excepción de los artículos 7, 9, 10, 11, 14, 15, 20 y 22, cuya
vigencia se da conforme a lo dispuesto en el Plan de Adecuación de los Sistema
de Videovigilancia.

Segunda.- Plan de Adecuación de los Sistemas de Videovigilancia


2.1. El Plan de Adecuación de los Sistema de Videovigilancia es un documento que
contiene los lineamientos, acciones, entidades responsables y programación para
el cumplimiento de las disposiciones contenidas en el presente Reglamento,
teniendo en cuenta los planes territoriales y de desarrollo urbano y rural. Dicho
documento es de obligatorio cumplimiento para las personas comprendidas en el
ámbito de aplicación y contempla, principalmente, los siguientes aspectos:

a. Difusión de las disposiciones del presente Reglamento a nivel de los tres niveles
de Gobierno;

b. Medidas a nivel de Gobierno Nacional, Gobiernos Regionales y Gobiernos


Locales, en atención a lo señalado en el artículo 6 del presente Reglamento

c. Acciones para la implementación de sistemas de videovigilancia en bienes de


dominio público, en vehículos de servicio de transporte público de pasajeros y en
establecimientos comerciales abiertos al público con un aforo de cincuenta (50)
personas o más, de acuerdo a lo señalado en el artículo 7 del presente
Reglamento.

d. Adecuación de las cámaras de videovigilancia ubicadas en bienes de dominio


público a los estándares técnicos establecidos en el artículo 9 del presente
Reglamento en un plazo no mayor a cinco (05) años a partir de su publicación,
conforme a lo señalado en la Segunda Disposición Complementaria Final del
Decreto Legislativo N° 1218. Dicha adecuación implica la identificación de
cámaras de videovigilancia que no cumplan con los citados estándares técnicos;
y posteriormente la gestión de su renovación, siempre que se cuente con la
disponibilidad de recursos en su presupuesto anual, autorizados parar tal fin. Los
nuevos procesos de adquisición referidos a cámaras de videovigilancia deben
cumplir con dichos estándares técnicos, de conformidad con lo establecido en la
Segunda Disposición Complementaria Final del Decreto Legislativo N° 1218.

e. Instalación y/o adecuación de cámaras de videovigilancia en los vehículos de


servicio de transporte público de pasajeros, previo estudio de su factibilidad y
proporcionalidad, entre otros aspectos que se consideren pertinentes; y de
acuerdo al calendario de progresividad que establezca el Ministerio de
Transportes y Comunicaciones. Este proceso se inicia con los vehículos que
brindan servicio de transporte regular, de la categoría M3.

f. Elaboración de lineamientos generales para estandarizar la entrega de


imágenes, videos o audios.

g. Medidas complementarias para videovigilancia en puertos, aeropuertos,


terminales terrestres, almacenes aduaneros y depósitos temporales, en atención
a lo señalado en los artículos 14 y 15 del presente Reglamento.

h. Medidas orientadas a la interconexión e interoperabilidad de las cámaras de


videovigilancia reguladas en el presente Reglamento con aquellas que se
encuentran a cargo de la Policía Nacional del Perú.
i. Adopción de medidas de carácter interinstitucional para el uso de cámaras de
videovigilancia en apoyo a la seguridad ciudadana.

j. Implementación del Registro de cámaras de videovigilancia y Base de datos


sobre cámaras de videovigilancia, bajo un enfoque de derechos humanos,
estableciendo lineamientos para garantizar la no vulneración al derecho de
propiedad.

k. Programa de Normalización que incluya el Proyecto de Norma Técnica Peruana


en materia de interoperabilidad de cámaras de videovigilancia y su fecha de
aprobación proyectada como Norma Técnica Peruana.

l. Articulación del Plan de Adecuación de los Sistemas de Videovigilancia con los


objetivos y acciones establecidas por estas en sus instrumentos de planificación
y operación, tales como: Plan Estratégico Sectorial Multianual, Planes de
Desarrollo Concertado, Plan Estratégico Institucional, Plan Operativo
Institucional Multianual y Plan de Gobierno Digital, según corresponda.

2.2. El Plan de Adecuación de Cámaras de Videovigilancia es elaborado por el


Ministerio del Interior en coordinación con la Secretaría de Gobierno Digital de la
Presidencia del Consejo de Ministros, en su calidad de ente rector de la materia
de gobierno digital y seguridad digital del país. El Plan se desarrolla en un plazo
no mayor a noventa (90) días hábiles, contados a partir de la publicación del
presente Reglamento. El Plan es aprobado mediante Resolución Ministerial.

Tercera.- Supervisión de los vehículos de servicio de transporte público de


pasajeros
El Ministerio de Transportes y Comunicaciones y las autoridades de transporte en
el ámbito regional y local supervisan el cumplimiento de las obligaciones
establecidas para los vehículos de servicio de transporte público de pasajeros, de
conformidad con el presente Reglamento. En tal sentido, el Ministerio de
Transportes y Comunicaciones, en el marco de sus competencias, actualiza el
Reglamento Nacional de Administración de Transportes, atendiendo en lo que
corresponda a los lineamientos y directivas de la Autoridad Nacional de
Protección de Datos Personales, para garantizar el cumplimiento de las
siguientes obligaciones:

a. Instalar cámaras de videovigilancia que permitan, como mínimo, registrar el


ingreso y salida de pasajeros;

b. Informar, mediante un cartel o anuncio de manera visible y permanente - tanto


en el exterior como en el interior de la unidad de transporte - la presencia de
videocámaras a sus usuarios;

c. Informar a la Policía Nacional del Perú o Ministerio Público, según corresponda,


sobre el hecho ilícito ocurrido, en un plazo máximo de veinticuatro (24) horas.
d. Mantener reserva, confidencialidad y cuidado debido de las imágenes, videos
o audios.

e. Almacenar las imágenes, videos o audios grabados por un plazo mínimo de


cuarenta y cinco (45) días calendario.

Cuarta.- Medidas orientadas al fortalecimiento de la seguridad ciudadana y


participación ciudadana
Con fines de fortalecimiento de la seguridad ciudadana, participación ciudadana
y prevención e investigación de delitos y faltas, las personas naturales o jurídicas,
propietarias o poseedoras de cámaras de videovigilancia en establecimientos
comerciales abiertos al público, en unidades de servicio de transporte público o
en la parte externa de inmuebles de propiedad privada, pueden aplicar los
estándares técnicos señalados en el artículo 9 del presente Reglamento.

Las asociaciones público privadas señaladas en el literal b del numeral 3.2. del
artículo 3 del Decreto Legislativo N° 1218 que contemplen bienes de dominio
público, vehículos de servicio de transporte público o establecimientos
comerciales abiertos al público pueden acoger los lineamientos de los sistemas
de videovigilancia, estándares técnicos y disposiciones sobre el tratamiento de
información proveniente de cámaras de videovigilancia señalados en los Títulos
II y III del presente Reglamento.

Quinta.- Central de Emergencia 105 de la Policía Nacional del Perú


La interconexión de las cámaras de videovigilancia reguladas en el presente
Reglamento con la Policía Nacional del Perú se realiza a través de la Central de
Emergencia 105, hasta el funcionamiento del Centro Nacional de Videovigilancia,
Radiocomunicación y Telecomunicaciones para Ia Seguridad Ciudadana (CENVIR)
o el que haga sus veces.
10. Decreto Legislativo de Lucha eficaz contra el lavado de activos y otros delitos
relacionados a la minería ilegal y crimen organizado (DL 1106)

(…)

DISPOSICIONES COMPLEMENTARIAS MODIFICATORIAS

(…)

Tercera.- Modificación de los artículos 17º y 18ºdel Texto Único Ordenado de la


Ley Nº 27806, Ley de Transparencia y Acceso a la Información Pública, aprobado
por Decreto Supremo Nº 043-2003-PCM

Modifíquense el artículo 17º numeral 5 y el artículo 18ºdel Decreto Supremo Nº


043-2003-PCM, en los términos siguientes:

"Artículo 17.- Excepciones al ejercicio del derecho: Información confidencial

El derecho de acceso a la información pública no podrá ser ejercido respecto de


lo siguiente:

(...)5. La información referida a los datos personales cuya publicidad constituya


una invasión de la intimidad personal y familiar. La información referida a la
salud personal, se considera comprendida dentro de la intimidad personal. En
este caso, sólo el juez puede ordenar la publicación sin perjuicio de lo establecido
en el inciso 5 del artículo 2 de la Constitución Política del Estado.

Por su parte, no opera la presente reserva cuando la Superintendencia de Banca,


Seguros y Administradoras Privadas de Fondos de Pensiones requiera
información especto a los bienes e ingresos de los funcionarios públicos, o cuando
requiera otra información pertinente para el cumplimiento de las funciones de la
Unidad de Inteligencia Financiera del Perú - UIF-Perú.(...)"

"Artículo 18.- Regulación de las excepciones

Los casos establecidos en los artículos 15, 16 y 17 son los únicos en los que se
puede limitar el derecho al acceso a la información pública, por lo que deben ser
interpretados de manera restrictiva por tratarse de una limitación a un derecho
fundamental. No se puede establecer por una norma de menor jerarquía ninguna
excepción a la presente Ley.

La información contenida en las excepciones señaladas en los artículos 15, 16 y


17 son accesibles para el Congreso de la República, el Poder Judicial, el Contralor
General de la República; el Defensor del Pueblo y el Superintendente de Banca,
Seguros y Administradoras Privadas de Fondos de Pensiones.
Para estos efectos, el Congreso de la República sólo tiene acceso mediante una
Comisión Investigadora formada de acuerdo al artículo 97 de la Constitución
Política del Perú y la Comisión establecida por el artículo 36 de la Ley Nº 27479.
Tratándose del Poder Judicial de acuerdo alas normas que regulan su
funcionamiento, solamente el juez en ejercicio de sus atribuciones
jurisdiccionales en un determinado caso y cuya información sea imprescindible
para llegar a la verdad, puede solicitar la información a que se refiere cualquiera
de las excepciones contenidas en este artículo. El Contralor General de la
República tiene acceso a la información contenida en este artículo solamente
dentro de una acción de control de su especialidad. El Defensor del Pueblo tiene
acceso a la información en el ámbito de sus atribuciones de defensa de los
derechos humanos. El Superintendente de Banca, Seguros y Administradoras
Privadas de Fondos de Pensiones tiene acceso a la información siempre que ésta
sea necesaria para el cumplimiento de las funciones de la Unidad de Inteligencia
Financiera del Perú - UIF-Perú.

Los funcionarios públicos que tengan en su poderla información contenida en los


artículos 15, 16 y 17 tienen la obligación de que ella no sea divulgada, siendo
responsables si esto ocurre.

El ejercicio de estas entidades de la administración pública se enmarca dentro de


las limitaciones que señala la Constitución Política del Perú.

Las excepciones señaladas en los puntos 15 y 16incluyen los documentos que se


generen sobre estas materias y no se considerará como información clasificada,
la relacionada a la violación de derechos humanos o de las Convenciones de
Ginebra de 1949 realizada en cualquier circunstancia, por cualquier persona.
Ninguna de las excepciones señaladas en este artículo pueden ser utilizadas en
contra de lo establecido en la Constitución Política del Perú."
11. Resolución Administrativa que Aprueba l Directiva 001- 2007-P-CS-PJ denominada
"Formación de la base de datos, publicación en la página web del Poder Judicial y
registro estadístico de Ejecutorias Supremas' (RA 062-2007-P-PJ)

Se cita Directiva

(…)

6. Procedimientos

(…)
6.3. Reserva de ldentidad
En procesos penales regulados por el artículo 45 de la: Ley 27115., art. 3 . Acápite
3.1 1; art. 22, Acápite 2, de la Ley Ne 27378 y el art. 2 del Decreto Legislativo
925 que regula la Colaboración Eficaz en Delitos de Terrorismo; así como en los
procesos regulados por el Código de los Niños y Adolescentes Art. 6 cuarto
párrafo 3,así como en otros casos en los que sea aplicable la protección al
derecho de reserva a la identidad que la Constitución Política del Perú en su
artículo 2, inciso 64. consagra referida a la privacidad de la intimidad personal y
familiar como uno de los derechos fundamentales de toda persona-, por tanto las
Identificaciones de las partes que se encuentran protegidas por la reserva de la
identidad serán anonimizadas en resguardo de este derecho, para ello el
software contara con la aplicación tecnológica correspondiente.
12. Texto Único Ordenado de la Ley Nº 27444, Ley del Procedimiento Administrativo
General (DS 004-2019-JUS)

CAPÍTULO VI
Instrucción del Procedimiento

(…)

Artículo 171.- Acceso al expediente

171.1 Los administrados, sus representantes o su abogado, tienen derecho de


acceso al expediente en cualquier momento de su trámite, así como a sus
documentos, antecedentes, estudios, informes y dictámenes, obtener
certificaciones de su estado y recabar copias de las piezas que contiene, previo
pago del costo de las mismas. Sólo se exceptúan aquellas actuaciones,
diligencias, informes o dictámenes que contienen información cuyo conocimiento
pueda afectar su derecho a la intimidad personal o familiar y las que
expresamente se excluyan por ley o por razones de seguridad nacional de acuerdo
a lo establecido en el inciso 5) del artículo 2 de la Constitución Política.
Adicionalmente se exceptúan las materias protegidas por el secreto bancario,
tributario, comercial e industrial, así como todos aquellos documentos que
impliquen un pronunciamiento previo por parte de la autoridad competente.

171.2 El pedido de acceso al expediente puede hacerse verbalmente, sin


necesidad de solicitarlo mediante el procedimiento de transparencia y acceso a
la información pública, siendo concedido de inmediato, sin necesidad de
resolución expresa, en la oficina en que se encuentre el expediente, aunque no
sea la unidad de recepción documental.

(Texto según el artículo 160 de la Ley N° 27444, modificado según el artículo 2


Decreto Legislativo Nº 1272)

(…)

TÍTULO IV
Del procedimiento trilateral, del procedimiento sancionador y la actividad
administrativa de fiscalización
(Denominación modificada por el artículo 3 del Decreto Legislativo Nº 1272)

(…)

CAPÍTULO II
LA ACTIVIDAD ADMINISTRATIVA DE FISCALIZACIÓN

(…)

Artículo 240.- Facultades de las entidades que realizan actividad de fiscalización


(…)

240.2 La Administración Pública en el ejercicio de la actividad de fiscalización está


facultada para realizar lo siguiente:
(…)

1. Requerir al administrado objeto de la fiscalización, la exhibición o presentación


de todo tipo de documentación, expedientes, archivos u otra información
necesaria, respetando el principio de legalidad.

El acceso a la información que pueda afectar la intimidad personal o familiar, así


como las materias protegidas por el secreto bancario, tributario, comercial e
industrial y la protección de datos personales, se rige por lo dispuesto en la
Constitución Política del Perú y las leyes especiales.
13. Reglamento de Agencias de Viajes y Turismo (DS 05-2020-MINCETUR)

(…)

CAPÍTULO V
CANALES DIGITALES PARA LA PRESTACIÓN DE SERVICIOS DE LAS AGENCIAS DE
VIAJES Y TURISMO
Artículo 22.- Cumplimiento de condiciones mínimas

22.1 La agencia de viajes y turismo que opte por ofrecer y comercializar sus
servicios a través de canales digitales, sea de manera exclusiva o no, debe cumplir
con las siguientes condiciones mínimas:

(…)

5. Política de Protección de Datos Personales.

(…)

22.3 La agencia de viajes y turismo que opte por ofrecer y comercializar sus
servicios a través de canales digitales, sea de manera exclusiva o no, debe cumplir
con implementar las siguientes medidas mínimas en los canales digitales:

(…)

b) Medidas técnicas de protección de los datos personales que son recabados a


través del canal digital.

(…)

DISPOSICIONES COMPLEMENTARIAS FINALES

(…)

Décimo Cuarta.- Datos personales

El tratamiento de datos personales se somete a lo dispuesto en la Ley Nº 29733,


Ley de Protección de Datos Personales, y a su reglamento, aprobado mediante
Decreto Supremo Nº 003-2013-JUS.
14. Ley de Apoyo a la seguridad ciudadana con cámaras de videovigilancia públicas y
privadas (Ley 30120)

Artículo 1. Objeto de la Ley

La presente Ley tiene como objeto incluir como instrumento de vigilancia


ciudadana en las políticas del Sistema Nacional de Seguridad Ciudadana las
imágenes y los audios registrados a través de las cámaras de videovigilancia,
ubicadas en la parte externa de inmuebles, de propiedad de las personas
naturales y jurídicas, públicas y privadas, en los casos de presunción de comisión
de un delito o de una falta.

Artículo 2. Entrega de imágenes y audios de las cámaras de videovigilancia

En el caso de presunción de comisión de un delito o una falta, el propietario de la


cámara de videovigilancia debe informar a la autoridad competente y entregar
copia de las imágenes y de los audios a la Policía Nacional del Perú o al Ministerio
Público, según corresponda; o cuando fuere requerido por dichas instituciones.

Artículo 3. Confidencialidad de la identidad


La Policía Nacional del Perú o el Ministerio Público, según corresponda, al
momento de recibir las grabaciones contenidas en el artículo anterior, garantiza
la confidencialidad de la identidad de los propietarios o poseedores de los
inmuebles y de las personas que hacen entrega de estas imágenes y audios.

Artículo 4. Base de datos del Centro Nacional de Videovigilancia y


Radiocomunicación para la Seguridad Ciudadana

El Ministerio del Interior, a través del Centro Nacional de Videovigilancia y


Radiocomunicación para la Seguridad Ciudadana, debe contar con una base de
datos actualizada de personas naturales y jurídicas, públicas y privadas, que
cuenten con cámaras de videovigilancia ubicadas en la parte externa de sus
inmuebles.

DISPOSICIÓN COMPLEMENTARIA FINAL

ÚNICA. Reglamentación

El Poder Ejecutivo aprueba el reglamento en un plazo no mayor de sesenta días


calendario, a partir de la vigencia de la presente Ley, donde se deberá precisar el
procedimiento de entrega de las grabaciones, así como las características de la
base de datos.
15. Ley que crea el Registro Nacional de Historias Clínicas Electrónicas (Ley 30024)

Artículo 1. Objeto de la Ley

La presente Ley tiene por objeto crear el Registro Nacional de Historias Clínicas
Electrónicas y establecer sus objetivos, administración, organización,
implementación, confidencialidad y accesibilidad.

Artículo 2. Creación y definición del Registro Nacional de Historias Clínicas


Electrónicas

2.1 Créase el Registro Nacional de Historias Clínicas Electrónicas como la


infraestructura tecnológica especializada en salud que permite al paciente o a su
representante legal y a los profesionales de la salud que son previamente
autorizados por aquellos, el acceso a la información clínica contenida en las
historias clínicas electrónicas dentro de los términos estrictamente necesarios
para garantizar la calidad de la atención en los establecimientos de salud y en los
servicios médicos de apoyo públicos, privados o mixtos, en el ámbito de la Ley
26842, Ley General de Salud.

2.2 El Registro Nacional de Historias Clínicas


Electrónicas contiene una base de dalos de filiación de cada persona con la
relación de los establecimientos de salud y de los servicios médicos de apoyo que
le han brindado atención de salud y generado una historia clínica electrónica. El
Ministerio de Salud es el titular de dicha base de dalos.

2.3 El Registro Nacional de Historias Clínicas


Electrónicas utiliza la Plataforma de lnteroperabilidad del Estado (PIDE) para el
acceso a la información clínica solicitada o autorizada por el paciente o su
representante legal.

Artículo 3. Definiciones para los efectos de la presente Ley

Para los efectos de la presente Ley, se entiende por:


a) Acceso. Posibilidad de ingresar a la información contenida en las historias
clínicas electrónicas. El acceso debe estar limitado tanto por el derecho
fundamental a la privacidad del paciente como por los mecanismos de seguridad
necesarios, entre los que se encuentra la autenticación.

b) Administrar. Manejar dalos por medio de su captura, mantenimiento,


interpretación, presentación, intercambio, análisis, definición y visibilidad.

c) Autenticar. Controlar el acceso a un sistema mediante la validación de la


identidad de un usuario, otro sistema o dispositivo antes de autorizar su acceso.
d) Atención de salud. Conjunto de acciones de salud que se brinda al paciente, las
cuales tienen como objetivo la promoción, prevención, recuperación y
rehabilitación en salud, y son efectuadas por los profesionales de salud.

e) Base de datos. Conjunto organizado de datos pertenecientes a un mismo


contexto y almacenados sistemáticamente para su posterior USO.

f) Certificación. Procedimiento por el cual se asegura que un producto, proceso,


sistema o servicio se ajuste a las normas oficiales.

g) Confidencialidad. Cualidad que indica que la información no está disponible


y no es revelada a individuos, entidades o procesos sin autorización.

h) Estándares. Documentos que contienen las especificaciones y


procedimientos destinados a la generación de productos, servicios y sistemas
confiables. Estos establecen un lenguaje común, el cual define los criterios de
calidad y seguridad.

i) Firma digital. Firma electrónica que utiliza una técnica de criptografía


asimétrica, basada en el uso de un par único de claves asociadas: una clave
privada y una clave pública, relacionadas matemáticamente entre si, de tal forma
que las personas que conocen la clave pública no pueden derivar de ella la clave
privada. La firma digital se utiliza en el marco de la Ley 27269, Ley de Firmas y
Certificados Digitales, su reglamento, así como de la normativa relacionada.

j) Historia clínica. Documento médico legal en el que se registran los dalos de


identificación y de los procesos relacionados con la atención del paciente, en
forma ordenada, integrada, secuencial e inmediata de la atención que el médico
u otros profesionales de salud brindan al paciente y que son refrendados con la
firma manuscrita de los mismos. Las historias clínicas son administradas por los
establecimientos de salud o los servicios médicos de apoyo.

k) Historia clínica electrónica. Historia clínica cuyo registro unificado y personal,


multimedia, se encuentra contenido en una base de dal os electrónica,
registrada mediante programas de computación y refrendada con firma digital
del profesional tratante. Su almacenamiento, actualización y uso se efectúa en
estrictas condiciones de seguridad, integralidad, autenticidad, confidencialidad,
exactitud, inteligibilidad, conservación, disponibilidad y acceso, de
conformidad con la normativa aprobada por el Ministerio de Salud, como órgano
rector competente.

l) Información clínica. Información relevante de la salud de un paciente que los


profesionales de la salud generan y requieren conocer y utilizar en el ámbito de
la atención de salud que brindan al paciente.
m) Integridad. Cualidad que indica que la información contenida en sistemas para
la prestación de servicios digitales permanece completa e inalterada y, en su
caso, que solo ha sido modificada por la fuente de confianza correspondiente.

n) lnteroperabilidad. Capacidad de los sistemas de diversas organizaciones para


interactuar con objetivos consensuados y comunes, con la finalidad de obtener
beneficios mutuos. La interacción implica que los establecimientos de salud
y los servicios médicos de apoyo compartan información y conocimiento
mediante el intercambio de datos entre sus respectivos sistemas de tecnología de
información y comunicaciones.

ñ) Paciente o usuario de salud. Beneficiario directo de la atención de salud.

o) Plataforma de lnteroperabilidad del Estado (PIDE). Infraestructura tecnológica


que permite la implementación de servicios públicos por medios electrónicos y el
intercambio electrónico de datos entre entidades del Estado, a través de Internet,
telefonía móvil y otros medios tecnológicos disponibles.

p) Seguridad. Preservación de la confidencialidad, integridad y disponibilidad de


la información, además de otras propiedades, como autenticidad,
responsabilidad, no repudio y fiabilidad.

q) Sistema de Gestión de la Seguridad de la Información. Parte de un sistema


global de gestión que, basado en el análisis de riesgos, establece, implementa,
opera, monitorea, revisa, mantiene y mejora la seguridad de la información. El
sistema de gestión incluye una estructura de organización, políticas,
planificación de actividades, responsabilidades, procedimientos, procesos y
recursos.

r) Sistema de Información de Historias Clínicas Electrónicas. Sistema de


información que cada establecimiento de salud o servicio médico de apoyo
implementa y administra para capturar, manejar e intercambiar la información
estructurada e integrada de las historias clínicas electrónicas en su poder.

s) Trazabilidad. Cualidad que permite que todas las acciones realizadas sobre la
información o un sistema de tratamiento de la información sean asociadas de
modo inequívoco a un individuo o entidad, dejando rastro del respectivo acceso.

Articulo 4. Objetivos del Registro Nacional de Historias Clínicas Electrónicas

El Registro Nacional de Historias Clínicas Electrónicas cumple con los objetivos


siguientes:

a) Organizar y mantener el registro de las historias clínicas electrónicas.


b) Estandarizarlos datos y la información clínica de las historias clínicas
electrónicas, así como las características y funcionalidades de los sistemas de
información de historias clínicas electrónicas, para lograr la interoperabilidad en
el sector salud.

c) Asegurar la disponibilidad de la información clínica contenida en las historias


clínicas electrónicas para el paciente o su representante legal y para los
profesionales de salud autorizados en el ámbito estricto de la atención de salud
al paciente.
d) Asegurar la continuidad de la atención de salud al paciente en los
establecimientos de salud y en los servicios médicos de apoyo, mediante el
intercambio de información clínica que aquel o su representante legal soliciten,
compartan o autoricen.
e) Brindar informacional Sistema Nacional de Salud para el diseño y aplicación de
políticas públicas que permitan el ejercicio efectivo del derecho a la salud de las
personas.
f) Los demás que establezca el reglamento de la
presente Ley.

Articulo 5. Administración y organización del Registro Nacional de Historias


Clínicas Electrónicas

5.1 El Ministerio de Salud administra el Registro Nacional de Historias Clínicas


Electrónicas y emite las normas complementarias para el establecimiento de
los procedimientos técnicos y administrativos necesarios para su implementación
y sostenibilidad, a fin de garantizar la interoperabilidad, procesamiento,
interpretación y seguridad de la información contenida en las historias clínicas
electrónicas.

5.2 El Ministerio de Salud y la autoridad regional de salud acreditan los sistemas


de historias clínicas electrónicas que implementan los establecimientos de salud
y los servicios médicos de apoyo.

Artículo 6. Implementación del Registro Nacional de Historias Clínicas


Electrónicas

6.1 El Ministerio de Salud conduce y regula el proceso de implementación del


Registro Nacional de Historias Clínicas Electrónicas, de acuerdo con la asignación
presupuesta! que se apruebe anualmente, en los pliegos involucrados , según
corresponda y sin demandar recursos adicionales al Tesoro Público.

6.2 El Ministerio de Salud, los gobiernos regionales y los gobiernos locales


promueven e implementan progresivamente, conforme a su disponibilidad
presupuesta!, el uso de la historia clínica electrónica en los establecimientos de
salud y en los servicios médicos de apoyo de su jurisdicción.

Artículo 7. Confidencialidad del Registro Nacional de Historias Clínicas


Electrónicas
Los que intervengan en la gestión de la información contenida en el Registro
Nacional de Historias Clínicas Electrónicas están obligados a guardar
confidencialidad respecto de este, de conformidad con el numeral 6) del articulo
2 de la Constitución Política del Perú; la Ley 29733, Ley de Protección de Dalos
Personales, y demás normas, bajo responsabilidad administrativa, civil o penal,
según sea el caso.

Artículo 8. Autenticación de la identidad de las personas para acceder al Registro


Nacional de Historias Clínicas Electrónicas

8.1 El Registro Nacional de Identificación y Estado Civil (Reniec), entidad de


certificación del Estado peruano, y las demás entidades de certificación digital
brindan los servicios de certificación digital para la autenticación de la identidad
de las personas naturales y jurídicas, mediante los
certificados y las firmas digitales, en el marco
de la Ley 27269, Ley de Firmas y Certificados Digitales, y su reglamento.

8.2 El Registro Nacional de Identificación y Estado Civil (Reniec) proporciona en


formato electrónico y en línea, y de forma irrestricta y gratuita, los servicios que
permitan autenticar la identificación de las personas en el ámbito de la atención
de salud a través del uso de la Plataforma de lnteroperabilidad del Estado
Peruano {PIDE) y de la gestión de las historias clínicas electrónicas a que se refiere
la presente Ley.

DISPOSICIONES COMPLEMENTARIAS FINALES

PRIMERA. Declaración de interés nacional

Declárase de interés nacional la implementación del Registro Nacional de


Historias Clínicas Electrónicas.

SEGUNDA. Plataforma de lnteroperabilidad del Estado


La Plataforma de lnteroperabilidad del Estado (PIDE), sobre la cual se opera el
acceso e intercambio de información en salud, es administrada por la Oficina
Nacional de Gobierno Electrónico e Informática (ONGEI), de la Presidencia del
Consejo de Ministros.

TERCERA. Propiedad, reserva y seguridad de la información clínica

La información clínica contenida en las historias clínicas electrónicas es


propiedad de cada paciente; su reserva, privacidad y confidencialidad es
garantizada por el Estado, los establecimientos de salud y los servicios médicos
de apoyo.

El paciente tiene derecho a la reserva de su información clínica, con las


excepciones que establece la Ley 26842, Ley General de Salud, y en especial de
la información clínica sensible relativa a su salud física o mental, características
físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o
familiar, hábitos personales y otras que corresponden a su esfera íntima.

CUARTA. Acceso a la información clínica

El paciente, o su representante legal, tiene acceso irrestricto a la información


clínica que necesite o desee, la cual está contenida en su historia clínica
electrónica. Solo él, o su representante legal, puede autorizar a los profesionales
de salud a acceder a dicha información.

La información clínica contenida en la historia clínica electrónica de un paciente


es visible exclusivamente para el profesional de salud que le presta atención
en un establecimiento de salud o en un servicio médico de apoyo cuando se
produzca dicha atención y accediendo exclusivamente a la información
pertinente, según lo establece el reglamento de la presente Ley.

El paciente, o su representante legal, que necesite o desee que la información


clínica contenida en su historia clínica electrónica sea accedida por profesionales
de salud que le brindan atención en un establecimiento de salud o en un servicio
médico de apoyo distinto de los que generaron las historias clínicas electrónicas,
debe autorizar expresamente dicho acceso a través de los mecanismos
informáticos que el reglamento de la presente Ley establece.

En casos de grave riesgo para la vida o la salud de una persona cuyo estado no
permita la capacidad de autorizar el acceso a su historia clínica electrónica, el
profesional de salud puede acceder a la información clínica básica contenida en
la historia clínica electrónica para el diagnóstico y tratamiento médico o
quirúrgico.

La clasificación de la información clínica y de la información clínica sensible, los


niveles y reglas de autorización y acceso, así como los procedimientos y
mecanismos informáticos que permitan al paciente, o a su representante legal,
otorgar autorización expresa al profesional de salud tratante para que acceda a
la información clínica de su historia clínica electrónica son determinados en el
reglamento de la presente Ley.

QUINTA. Seguimiento de los detalles de accesos a la información clínica

El paciente, o su representante legal, puede realizar el seguimiento de los accesos


realizados a la información clínica contenida en su historia clínica electrónica, a
fin de poder verificar la legitimidad de estos. Para tal efecto, dispone de
información relativa a la fecha y hora en que se realizó el acceso, al
establecimiento de salud o al servicio médico de apoyo desde el que se realizó
cada acceso, al profesional de salud que accedió a la información clínica y a las
características de la información clínica accedida.
SEXTA. Datos incompletos o errados registrados en la historia clínica electrónica

En el caso de que los datos registrados en la historia clínica electrónica de un


paciente estén incompletos o errados, este, o su representante legal, puede
solicitar la subsanación de estos en la forma que establece el reglamento de la
presente Ley.

SÉPTIMA. Exigencias para implementar sistemas de información de historias


clínicas electrónicas

Los establecimientos de salud y los servicios médicos de apoyo que implementan


sistemas de información de historias clínicas electrónicas deben cumplir con lo
siguiente:

a) Administrar la información clínica contenida en las historias clínicas


electrónicas con confidencialidad, de acuerdo con la Ley 26842, Ley General de
Salud, los principios científicos y éticos que orientan la práctica médica y demás
disposiciones legales aplicables.
b) Garantizar, bajo la responsabilidad administrativa, civil o penal a que hubiera
lugar, la confidencialidad de la identidad de los pacientes, así como la integridad,
disponibilidad, confiabilidad, trazabilidad y no repudio de la información clínica,
de conformidad con un sistema de gestión de seguridad de la información que
debe evitar el uso ilícito o ilegítimo que pueda lesionar los intereses o los derechos
del titular de la información, de acuerdo con las disposiciones legales aplicables.
c) Generar los medios para poner a disposición y compartir la información, así
como las funcionalidades y soluciones tecnológicas, entre aquellas que lo
requieran. En dicho intercambio, deben contar con trazabilidad en los registros
que les permitan identificar y analizar situaciones generales o especificas de los
servicios digitales.

OCTAVA. Garantía de la autenticación de las personas y de los agentes que


actúan en nombre de los establecimientos de salud, de los servicios médicos de
apoyo y del Registro Nacional de Historias Clínicas Electrónicas

Los establecimientos de salud y los servicios médicos de apoyo que implementan


sistemas de información de historias clínicas electrónicas, el Registro Nacional de
Historias Clínicas Electrónicas y la Plataforma de lnteroperabilidad del Estado
(PIDE) deben garantizar, mediante mecanismos informáticos seguros, la
autenticación de las personas y de los agentes que actúan en su nombre, así
como la privacidad y la integridad de la información clínica, de forma que esta no
sea revelada ni manipulada por terceros de ninguna forma, ni intencionada ni
accidentalmente.
NOVENA. Validez y eficacia jurídica de la historia clínica electrónica

La historia clínica electrónica tiene el mismo valor que la historia clínica


manuscrita, tanto en aspectos clínicos como legales, para lodo proceso de
registro y acceso a la información correspondiente a la salud de las personas, de
conformidad con la Ley 27269, Ley de Firmas y Certificados Digitales, y sus
disposiciones reglamentarias.

DÉCIMA. Aplicación de la historia clínica manuscrita

La historia clínica manuscrita contenida en papel continúa elaborándose en los


establecimientos de salud del país y en los servicios médicos de apoyo hasta que
se implemente totalmente el uso de la historia clínica electrónica.

DÉCIMA PRIMERA. Reglamento de la Ley

El Poder Ejecutivo reglamenta la presente Ley en un plazo máximo de ciento


veinte días calendario, contado a partir del día siguiente de su publicación.

DISPOSICIÓN COMPLEMENTARIA TRANSITORIA

ÚNICA. Adecuación a la presente Ley

Los establecimientos de salud y los servicios médicos de apoyo del país que
cuentan con historias clínicas electrónicas o informatizadas deben adecuarlas a
lo establecido en la presente Ley y su reglamento, dentro de un plazo de ciento
ochenta días calendario, contado a partir de la vigencia de este último
instrumento normativo.

DISPOSICIÓN COMPLEMENTARIA MODIFICATORIA

ÚNICA. Modificación del artículo 29 de la Ley 26842, Ley General de Salud

Modificase el artículo 29 de la Ley 26842, Ley General de Salud, modificado por


el artículo 1 de la Ley 29414, Ley que establece los derechos de las personas
usuarias de los servicios de salud, el cual queda redactado en los términos
siguientes:

"Artículo 29°.- El acto médico debe estar sustentado en una historia clínica veraz
y suficiente que contenga las prácticas y procedimientos aplicados al paciente
para resolver el problema de salud diagnosticado.

La historia clínica es manuscrita o electrónica para cada persona que se allende


en un establecimiento de salud o servicio médico de apoyo. En forma progresiva
debe ser soportada en medios electrónicos y compartida por profesionales,
establecimientos de salud y niveles de atención.
La información mínima, las especificaciones de registro y las características de la
historia clínica manuscrita o electrónica se rigen por el Reglamento de la presente
Ley y por las normas que regulan el uso y el registro de las historias clínicas
electrónicas .

Los establecimientos de salud y los servicios médicos de apoyo quedan obligados


a proporcionar copia, facilitar el acceso y entregar la información clínica
contenida en la historia clínica manuscrita o electrónica que llenen bajo su
custodia a su titular en caso de que este o su representante legal la soliciten. El
costo que irrogue este pedido es asumido por el interesado."
16. Reglamento de la Ley 30024, Ley que crea el Registro Nacional de Historias Clínicas
Electrónicas (DS 009-2017-SA)

TÍTULO I
DISPOSICIONES GENERALES

Artículo 1.- Objeto del Reglamento

El presente Reglamento tiene como objeto establecer las disposiciones para la


aplicación y adecuado cumplimiento de la Ley N° 30024, Ley que Crea el Registro
Nacional de Historias Clínicas Electrónicas y su modificatoria.

Cuando en el presente Reglamento se haga mención a la Ley, se entenderá que


se refiere a la Ley N° 30024, Ley que crea el Registro Nacional de Historias Clínicas
Electrónicas y su modificatoria.

Cuando en el presente Reglamento se haga mención al RENHICE, se entenderá


que alude al Registro Nacional de Historias Clínicas Electrónicas.

Artículo 2.- Ámbito de aplicación

Las disposiciones del presente Reglamento son de aplicación a los pacientes o


usuarios de salud, su representante legal, a los profesionales de la salud, a los
establecimientos de salud y a los servicios médicos de apoyo públicos, privados o
mixtos comprendidos en la Ley N° 26842, Ley General de Salud, que emplean
historias clínicas electrónicas, así como todas las personas que laboren en los
establecimientos de salud o servicios médicos de apoyo.

Artículo 3.- Definiciones operativas y acrónimos

Para los efectos del presente Reglamento entiéndase las siguientes definiciones
y acrónimos conforme se señalan a continuación:

Definiciones operativas:

a) Acreditación de sistemas de información de historias clínicas electrónicas.- La


acreditación es la verificación positiva que el sistema de información de historias
clínicas electrónicas que usa un establecimiento de salud o conjunto de
establecimientos de salud o servicios médicos de apoyo se sujeta a los criterios
técnicos establecidos en el presente Reglamento y por la Autoridad Nacional de
Salud en otras normas complementarias.

b) Auditoría de sistemas de información de historias clínicas electrónicas.- Es el


proceso programado o inopinado mediante el cual la Autoridad Nacional de
Salud recopila, verifica, analiza y evalúa evidencias para determinar si el
establecimiento de salud o servicio médico de apoyo en el uso de su sistema de
información de historias clínicas electrónicas, cumplen con lo establecido en la
Ley, en el presente Reglamento y en las normas complementarias, así como con
las medidas de seguridad y requisitos técnicos de interoperabilidad.

c) Asistencia técnica.- Es el proceso mediante el cual se brinda las orientaciones


técnicas necesarias a los establecimientos de salud y servicios médicos de apoyo
para la implementación de los sistemas de información de historias clínicas
electrónicas a nivel nacional, regional y local.

d) Autenticación de la identidad del usuario del RENHICE: Es el proceso por el cual


se verifica la identidad de una persona natural, para acceder al RENHICE.

e) Autoridad Nacional de Salud: Es el Ministerio de Salud, organismo rector del


Sector Salud.

f) Autoridad Regional de Salud: Son las direcciones regionales de salud (DIRESAS),


gerencias regionales de salud (GERESAS), o las que hagan sus veces en los
gobiernos regionales. En el caso de Lima Metropolitana corresponde a las
direcciones de redes integradas de salud (DIRIS).

g) Autorización de acceso del paciente o usuario de salud o de su representante


legal: Es el consentimiento que brinda el paciente o usuario de salud o su
representante legal al profesional de la salud para acceder a su información
clínica, a través del RENHICE conforme a las condiciones y procedimientos
previstos en la Ley N° 29733, Ley de Protección de Datos Personales, su norma
reglamentaria aprobada mediante Decreto Supremo N° 003-2013-JUS y el
presente Reglamento.

h) Certificado digital: El certificado digital es el documento electrónico generado


y firmado digitalmente por una entidad de certificación, la cual vincula un par de
claves con una persona determinada confirmando su identidad.

i) Datos de filiación: En el RENHICE los datos de filiación son la información


personal del paciente o usuario en salud, contenida en la historia clínica
electrónica, referida a los nombres, apellidos, tipo y número de documento de
identificación, dirección, distrito, sexo, estado civil, fecha de nacimiento, nombre
del padre y nombre de la madre. Además, incluyen los nombres, apellidos, el tipo
y número de documento de identificación del representante legal cuando
corresponda.

j) Documento nacional de identidad electrónico (DNIe): Es un documento nacional


de identidad, emitido por el RENIEC, que acredita presencial y electrónicamente,
la identidad personal de su titular, permitiendo la firma digital de documentos
electrónicos.

k) Historia clínica informatizada: Es la historia clínica soportada en medios


electrónicos que permiten su almacenamiento, actualización y recuperación, en
una amplia gama de posibilidades para el uso de la información clínica, procesos
y metodologías estandarizadas. Dicha historia clínica no utiliza la firma digital
para refrendar su contenido.

l) Implementación de los sistemas de información de historias clínicas


electrónicas: Es el proceso por el cual los establecimientos de salud o servicios
médicos de apoyo realizan las gestiones necesarias con la finalidad de disponer
de un sistema de información de historias clínicas electrónicas que les permitirá
interoperar con el RENHICE.

m) Información clínica: Es toda información contenida en una historia clínica


electrónica, que registra el profesional de la salud que atiende al paciente,
concerniente a la salud pasada, presente o pronosticada, física o mental, de una
persona, incluida la información complementaria (resultados de exámenes
auxiliares y otros). No incluye los datos de filiación contenidos en la historia
clínica electrónica.

De acuerdo a lo establecido en la Ley 29733, Ley de Protección de Datos


Personales y su Reglamento aprobado mediante Decreto Supremo N° 003-2013-
JUS, la información clínica constituye datos sensibles.

La información clínica a su vez contiene información clínica básica y también


información clínica sensible.

n) Información clínica básica: Es la información clínica contenida en la historia


clínica electrónica del paciente referida a los antecedentes generales, patológicos
y familiares más importantes, como alergias, diagnósticos anteriores,
medicación, cirugías previas, grupo sanguíneo, que proporcionen información
básica para la atención de salud ante una situación de emergencia, la misma a la
que el profesional de la salud podrá acceder a través del RENHICE, desde un
terminal en el establecimiento de salud o servicio médico de apoyo, sin la
autorización de acceso del paciente o usuario de salud, únicamente en casos de
grave riesgo para la vida o la salud de una persona cuyo estado no permita la
capacidad de autorizar el acceso a sus historias clínicas electrónicas.

o) Información clínica resumida: Es el resumen de la estancia en el servicio de


hospitalización del establecimiento de salud (Epicrisis), la misma que es
elaborada por el médico tratante al egreso del paciente.

p) Información clínica sensible: Es la información clínica contenida en la historia


clínica electrónica del paciente o usuario de salud y que este haya determinado
como tal, la misma que puede estar referida a su genética, sexualidad, paridad,
cirugías, enfermedades infecciosas como VIH, de transmisión sexual; y otras que
por su naturaleza son temas sensibles para el paciente por las características
físicas, morales o emocionales que pudieran presentar, así como los hechos o
circunstancias que se pudieran generar en su vida afectiva, familiar o esfera
íntima; y a la que solamente se debe acceder con su autorización expresa.
q) Médico tratante: Es el médico que tiene bajo su responsabilidad la atención de
un paciente.

r) Personas intervinientes en la gestión de la información accedida a través del


RENHICE: Son aquellas personas que por su labor u oficio acceden directa o
indirectamente a la información clínica contenida en las historias clínicas
electrónicas a través del RENHICE y que producto de ello se encuentran obligadas
a guardar confidencialidad de dicha información, conforme a lo señalado por la
Constitución Política del Perú, la Ley N° 29733, Ley de Protección de Datos
Personales, su Reglamento aprobado mediante Decreto Supremo N° 003-2013-
JUS y demás normas dadas en el ordenamiento jurídico. No están incluidos en
esta definición los usuarios del RENHICE.

s) Profesionales de la salud: Son aquellos como el médico, enfermera,


odontólogo, obstetra, psicólogo, nutricionista, entre otros, facultados para
acceder a la historia clínica de un paciente o usuario de salud, y registrar en ella
la atención que le brindan en el establecimiento de salud o servicio médico de
apoyo.

t) Sistema de Gestión de Seguridad de la Información: Es la parte del sistema


integral de gestión, basado en un enfoque de riesgo del negocio para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la
información. El sistema de gestión incluye la estructura organizacional, políticas,
actividades de planificación, responsabilidades, prácticas, procedimientos,
procesos y recursos.

u) Usuario del RENHICE: Paciente o usuario de salud o su representante legal que


autoriza que se pueda acceder a sus historias clínicas electrónicas a través del
RENHICE y de los sistemas de información de los establecimientos de salud o
servicios médicos de apoyo en los que se atendió, según lo establecido en el
presente Reglamento. También es el profesional de salud que es autorizado por
el paciente o usuario de salud o su representante legal, salvo en los supuestos
contemplados en el presente Reglamento, para que acceda a la información
clínica contenida en sus historias clínicas electrónicas correspondiente desde un
establecimiento de salud o servicio médico de apoyo.

Acrónimos:

a) DIRESA: Dirección Regional de Salud

b) DIRIS: Direcciones de Redes Integradas de Salud

c) GERESA: Gerencia Regional de Salud

d) IPRESS: Instituciones Prestadoras de Servicios de Salud


e) ONGEI: Oficina Nacional de Gobierno Electrónico e Informática

f) PIDE: Plataforma de Interoperabilidad del Estado

g) RENHICE: Registro Nacional de Historias Clínicas Electrónicas

h) RENIEC: Registro Nacional de Identificación y Estado Civil

i) SUSALUD: Superintendencia Nacional de Salud

TÍTULO II
EL REGISTRO NACIONAL DE HISTORIAS CLÍNICAS ELECTRÓNICAS

CAPÍTULO I
DEL REGISTRO NACIONAL DE HISTORIAS CLÍNICAS ELECTRÓNICAS

Artículo 4.- Objetivos del RENHICE

Además de los objetivos señalados en la Ley, se establecen los siguientes:

a) Establecer los mecanismos que garanticen la protección de datos personales


en el proceso de atención de salud en los establecimientos de salud y servicios
médicos de apoyo que implementan el uso de las historias clínicas electrónicas.

b) Optimizar el uso de recursos y reducir la duplicidad de procedimientos de


apoyo al diagnóstico que ya han sido aplicados al paciente o usuario de salud.

Artículo 5.- Principios del RENHICE

Son aplicables al RENHICE y su funcionamiento los siguientes principios:

a) Autonomía para la autorización de acceso

La autorización de acceso que brinda el paciente o usuario de salud o su


representante legal al profesional de la salud que lo atiende, para la visualización
o lectura de sus historias clínicas electrónicas a través del RENHICE, debe ser dado
con la capacidad autónoma, libre y de manera informada, en concordancia con
las exigencias de la normativa en materia de salud y con las obligaciones
dispuestas en la Ley Nº 29733, Ley de Protección de Datos Personales y su
Reglamento aprobado mediante Decreto Supremo N° 003-2013-JUS.

b) Disponibilidad

La continuidad de la operatividad del sistema de información del RENHICE debe


brindar y garantizar el acceso fácil, gratuito y seguro de los usuarios del RENHICE.

c) Veracidad
La información accedida a través del RENHICE debe corresponder con la
consignada en la historia clínica electrónica del paciente o usuario de salud al
momento de atenderse en cada establecimiento de salud o servicio médico de
apoyo al que acude para recibir la atención.

d) Confidencialidad

Todas aquellas personas que acceden a la información clínica disponible a través


del RENHICE, deben mantener la obligación de confidencialidad de dicha
información según el mandato de Ley y del presente Reglamento, además de la
obligación del secreto profesional correspondiente.

e) Accesibilidad

El paciente o usuario de salud como titular de su información clínica tendrá en


todo momento derecho a acceder para visualizar sus datos de filiación
registrados, así como a su información clínica contenida en sus historias clínicas
electrónicas a través del RENHICE, sin necesidad de motivar el requerimiento.

f) Seguridad

El RENHICE y los sistemas de información de historias clínicas electrónicas se


enmarcan dentro de un sistema de gestión de la seguridad de la información, que
garantiza la confidencialidad y el derecho a la privacidad de los propietarios de
la información clínica contenida en las historias clínicas electrónicas.

g) Finalidad de uso

Toda información disponible a través del acceso al RENHICE, en especial la


referida a la información clínica de los pacientes o usuarios de salud, no puede
ser utilizada o tratada para un uso distinto del autorizado por el paciente o
usuario de salud o su representante legal, o autorización dada por ley. El uso debe
ser para fines lícitos y en salvaguarda de los derechos constitucionales y legales
que tiene el paciente o usuario de salud a la privacidad y a la protección de sus
datos personales.

Artículo 6.- Autoridad competente

El Ministerio de Salud como Autoridad Nacional de Salud, es la autoridad


competente para regular, organizar, implementar y supervisar el RENHICE, así
como coordinar y supervisar el accionar de los diversos actores involucrados en
su funcionamiento, implementación y uso, en cumplimiento de los objetivos y
disposiciones establecidos por la Ley y el presente Reglamento.

Artículo 7.- Competencias del Ministerio de Salud en el RENHICE


Las competencias del Ministerio de Salud para la implementación y
funcionamiento del RENHICE, son las siguientes:

a) Ejercer la titularidad de la base de datos del RENHICE.

b) Conducir, regular y administrar el RENHICE, y promover junto con los gobiernos


regionales su implementación progresiva.

c) Acreditar y supervisar los Sistemas de Información de Historias Clínicas


Electrónicas implementados por los establecimientos de salud y servicios médicos
de apoyo, en coordinación con la PCM, a través de ONGEI como ente rector del
Sistema Nacional de Informática; de acuerdo a los lineamientos establecidos por
el MINSA.

d) Establecer la arquitectura, características, requisitos, estándares y buenas


prácticas básicos de un sistema de información de historias clínicas electrónicas
con los criterios técnicos establecidos en la Ley, el presente Reglamento y de
acuerdo a la normatividad vigente en Gobierno Electrónico, para ser destinados
a los establecimientos de salud y servicios médicos de apoyo públicos, bajo su
ámbito.

e) Suscribir convenios interinstitucionales o de cooperación técnica necesarios


para la implementación y operación del RENHICE.

f) Determinar e implementar el proceso de identificación y autenticación de la


identidad del usuario para el acceso al RENHICE y a los sistemas de información
de historias clínicas electrónicas.

g) Supervisar que los establecimientos de salud y servicios médicos de apoyo


aseguren la protección de los datos de filiación e información clínica involucrados
en el funcionamiento e interoperabilidad de sus sistemas de información.

h) Promover la implementación progresiva de los sistemas de información de


historias clínicas electrónicas en los establecimientos de salud y servicios médicos
de apoyo.

i) Supervisar el cumplimiento de las obligaciones señaladas en la Ley, el presente


Reglamento y demás normas complementarias que apruebe el Ministerio de
Salud.

j) Las demás competencias establecidas en la Ley.

Artículo 8.- Conducción del RENHICE

El Ministerio de Salud, a través de la Oficina General de Tecnologías de la


Información, ejerce la responsabilidad de conducir el RENHICE, desde los aspectos
técnicos y tecnológicos relacionados a su implementación. Dicha instancia
coordina con la Dirección General de Intervenciones Estratégicas en Salud
Pública, y demás órganos, unidades orgánicas y organismos públicos
especializados adscritos al Ministerio de Salud y otras entidades e instituciones
para el apoyo o la asistencia técnica del RENHICE que sean necesarios en
coordinación con la PCM. .

Artículo 9.- Procesos del RENHICE

Los procesos principales que se desarrollan para el funcionamiento adecuado del


RENHICE son los siguientes:

a. Gestión del modelo de información y de la infraestructura tecnológica del


RENHICE

b. Gestión del desempeño del RENHICE

c. Gestión de los servicios de autenticación del RENIEC

d. Acreditación de los sistemas de información de historias clínicas electrónicas

e. Supervisión y auditoría de los sistemas de información de historias clínicas


electrónicas

f. Administración del acceso a las historias clínicas electrónicas a través del


RENHICE

g. Asistencia técnica y soporte a los Usuarios del RENHICE

Artículo 10.- Información contenida en el RENHICE

El RENHICE, respecto a la información del paciente, contiene lo siguiente:

- La identificación estándar de dato en salud N° 003, “Usuario de salud en el


sector salud” correspondiente al número de documento nacional de identidad del
paciente o usuario de salud;

- La identificación estándar de dato en salud N° 004, “Establecimiento de salud y


de servicio médico de apoyo en el sector salud” correspondiente al código único
del Registro Nacional de IPRESS, o el que haga sus veces, del establecimiento de
salud o servicios médicos de apoyo que le ha generado una historia clínica
electrónica; y

- Las Historias Clínicas Electrónicas de los establecimientos de salud y/o Servicios


médicos de Apoyo, en los cuales el paciente haya recibido una atención, y haya
autorizado expresamente que estas se sitúen en el RENHICE, las mismas que se
encontrarán a modo de respaldo debidamente identificadas.
Esta información es por cada paciente o usuario de salud con historia clínica
electrónica generada en cada establecimiento de salud o servicio médico de
apoyo donde se haya atendido.

Artículo 11.- Características de la Información contenida en el RENHICE

La información contenida en el RENHICE debe estar disociada como


implementación del sistema de gestión de seguridad de la información y
protección de datos personales.

Artículo 12.- De la Información brindada por el RENHICE al Sistema Nacional de


Salud

El Ministerio de Salud debe asegurar que el RENHICE cuente con la capacidad


tecnológica necesaria principalmente para aplicar procedimientos de
anonimización para brindar información al Sistema Nacional de Salud para el
diseño y aplicación de políticas públicas que permitan el ejercicio efectivo del
derecho a la salud de las personas, de conformidad con lo establecido en el literal
“e” del artículo 4 de la Ley.

CAPÍTULO II
OBLIGACIÓN DE ACREDITAR LOS SISTEMAS DE INFORMACIÓN DE HISTORIAS
CLÍNICAS ELECTRÓNICAS ANTE EL MINISTERIO DE SALUD

Artículo 13.- Obligatoriedad de los establecimientos de salud y servicios médicos


de apoyo

Todo establecimiento de salud público, privado o mixto, que cuente con un


sistema de información de historias clínicas electrónicas deberá acreditarlo, de
manera obligatoria ante el Ministerio de Salud o la Autoridad Regional de Salud,
conforme a lo establecido en la Ley, el presente Reglamento y demás normas
complementarias.

Los servicios médicos de apoyo públicos, privados o mixtos, que brindan atención
reiterada a los mismos usuarios de salud o pacientes, y que por la naturaleza del
servicio que brindan, deben llevar el registro seriado de dichas atenciones en
historias clínicas, y que para tal fin empleen historias clínicas electrónicas, están
sujetos a lo dispuesto en el párrafo anterior. Lo dispuesto no aplica a los servicios
médicos de apoyo que funcionan dentro de un establecimiento de salud.

CAPÍTULO III
ACCESO AL REGISTRO NACIONAL DE HISTORIAS CLÍNICAS ELECTRÓNICAS

Artículo 14.- De los medios de acceso al RENHICE

El acceso al RENHICE se podrá realizar únicamente a través del sistema de


información de historias clínicas electrónicas de los establecimientos de salud o
de los servicios médicos de apoyo, y a través del sistema de información propio
del RENHICE, según las diferentes reglas de autorización de acceso establecidas
en el artículo 60 del presente Reglamento.

El RENHICE utiliza la PIDE, la cual garantizará el intercambio automatizado de


datos y acceso a la información clínica del paciente o usuario de salud contenida
en los sistemas de información de historias clínicas electrónicas de los
establecimientos de salud y servicios médicos de apoyo y el RENHICE, mediante
implementación de los estándares de interoperabilidad en salud, de seguridad y
continuidad operativa, los cuales deberán ser acreditados y supervisados por el
MINSA, como administrador del RENHICE y ente rector del Sistema Nacional de
Salud.

Artículo 15.- Acceso de usuarios del RENHICE

Cada paciente o usuario de salud, según su necesidad, accede a su historia clínica


electrónica usando el sistema de información del RENHICE. También puede
brindar autorización de acceso a sus historias clínicas electrónicas, de otros
establecimientos de salud o servicios médicos de apoyo durante la atención que
le brinda el profesional de la salud en un establecimiento de salud y que necesita
visualizar o leer dichas historias clínicas electrónicas. En todos los casos, el
paciente o usuario de salud utiliza los mecanismos de autenticación establecidas
en el Título VI, Capítulo I del presente Reglamento.

Los profesionales de la salud solamente acceden al RENHICE cuando brindan la


atención, a través del sistema de información de historias clínicas electrónicas del
establecimiento de salud o servicio médico de apoyo. Para dicho acceso es
necesario que el paciente o usuario de salud le otorgue previa y expresamente su
autorización de acceso. El profesional de la salud que lo atiende, accede al
RENHICE cumpliendo con los mecanismos de autenticación de la identidad
establecidos en el Título VI, Capítulo I del presente Reglamento.

Artículo 16.- De la infraestructura tecnológica del RENHICE

El Ministerio de Salud planifica, implementa, opera y mantiene la infraestructura


tecnológica a través de la cual se realizará la recepción, almacenamiento,
consulta, verificación, administración, transmisión y seguridad de la información
contenida y accesible a través del RENHICE, ONGEI-PCM brindará la asistencia
técnica correspondiente.

TÍTULO III
SISTEMA DE INFORMACIÓN PARA LAS HISTORIAS CLÍNICAS ELECTRÓNICAS

CAPÍTULO I
DE LOS SISTEMAS DE INFORMACIÓN DE HISTORIAS CLÍNICAS ELECTRÓNICAS
Artículo 17.- Sistema de información de historias clínicas electrónicas

Todo establecimiento de salud o servicio médico de apoyo que cuente con


historias clínicas electrónicas debe acreditar obligatoriamente su sistema de
información para acceder al RENHICE.

El sistema de información de historias clínicas electrónicas de cada


establecimiento de salud o servicio médico de apoyo, permite que cada paciente
o usuario de salud, nuevo o continuador, pueda ser atendido con su historia
clínica electrónica, pero además si el paciente o usuario de salud lo autoriza
permite que el médico tratante pueda acceder a través del RENHICE, a visualizar
o leer sus otras historias clínicas electrónicas generadas en otros
establecimientos de salud o servicios médicos de apoyo.

El sistema de información de historias clínicas electrónicas de cada


establecimiento de salud o servicio médico de apoyo, debe estar diseñando para
transmitir la actualización de información de las historias clínicas electrónicas,
que el paciente haya autorizado expresamente, al repositorio de datos del
RENHICE, mediante los mecanismos que establezca el Ministerio de Salud en la
norma complementaria correspondiente.

El sistema de información de historias clínicas electrónicas de cada


establecimiento de salud o servicio médico de apoyo, debe estar diseñado para
presentar a requerimiento y por separado los datos de filiación, la información
clínica, la información clínica básica, y la información clínica sensible de cada
historia clínica electrónica.

Artículo 18.- De la implementación del RENHICE y de los sistemas de información


de historias clínicas electrónicas en los establecimientos de salud públicos o
servicios médicos de apoyo

Para la implementación del RENHICE y de los sistemas de información de historias


clínicas electrónicas en los establecimientos de salud o servicios médicos de
apoyo públicos del país, el gobierno nacional, gobiernos regionales, locales e
instituciones públicas, deben realizar la planificación necesaria e incluirla en los
presupuestos anuales correspondientes.

CAPÍTULO II
ACREDITACIÓN DE LOS SISTEMAS DE INFORMACIÓN DE LOS ESTABLECIMIENTOS
DE SALUD Y SERVICIOS MÉDICOS DE APOYO

Artículo 19.- Responsabilidad de la Autoridad Nacional de Salud

El Ministerio de Salud es responsable de acreditar los sistemas de información de


historias clínicas electrónicas de los establecimientos de salud y de los servicios
médicos de apoyo públicos, privados y mixtos del país, que cuenten con dicho tipo
de historia clínica; y de supervisar la implementación conforme a lo señalado en
la Ley, el presente Reglamento y demás normas complementarias, cumpliendo
con los criterios establecidos para acreditar, y garantizando que se resguarda la
reserva, privacidad y confidencialidad de la información clínica contenida en
estas.

Artículo 20.- Responsabilidad de la Autoridad Regional de Salud.

Las direcciones regionales de salud, gerencias regionales de salud, o las que


hagan sus veces en los gobiernos regionales y las direcciones de redes integradas
de salud, supervisan, promocionan e implementan progresivamente el uso de la
historia clínica electrónica en cumplimiento de la Ley, el presente Reglamento y
demás normas complementarias que emita el Ministerio de Salud. Asimismo,
participan en la acreditación de los sistemas de información de historias clínicas
electrónicas de los establecimientos de salud y servicios médicos de apoyo,
públicos, privados y mixtos de su ámbito.

Artículo 21.- Acreditación de los sistemas de información de historias clínicas


electrónicas para acceder al RENHICE

El Ministerio de Salud acredita los sistemas de información de historias clínicas


electrónicas para acceder al RENHICE. La Autoridad Regional de Salud acredita
los sistemas de información de historias clínicas electrónicas para acceder al
RENHICE, de los establecimientos de salud y servicios médicos de apoyo, públicos,
privados o mixtos, de su jurisdicción, bajo las disposiciones contenidas en la Ley,
el presente Reglamento y las normas emitidas por la Autoridad Nacional de
Salud.

Artículo 22.- Requisitos básicos para el proceso de acreditación del sistema de


información de historias clínicas electrónicas

Como parte de los requisitos básicos para el proceso de acreditación de sus


sistemas de información de historias clínicas electrónicas, los establecimientos de
salud y servicios médicos de apoyo deben cumplir con:

a. El establecimiento de salud o servicio médico de apoyo debe estar inscrito


obligatoriamente en el Registro Nacional de IPRESS, o el que haga sus veces y
deberá cumplir con lo señalado en la Norma Técnica de la Historia Clínica de los
Establecimientos del Sector Salud vigente.

b. El sistema de información de historias clínicas electrónicas debe cumplir con


las identificaciones estándar de datos de salud aprobados con el Decreto
Supremo N° 024-2005-SA y demás normas complementarias que el Ministerio de
Salud apruebe.

c. El sistema de información de historias clínicas electrónicas se contar con la


capacidad tecnológica necesaria de brindar información al Sistema Nacional de
Salud de acuerdo a lo establecido por el Ministerio de Salud. El sistema de
información de historias clínicas electrónicas debe interoperar con los servicios
de identificación de datos personales que brinda el RENIEC y el Ministerio del
Interior para el presente Reglamento.

d. Los requisitos mínimos de interoperabilidad establecidos en el artículo 34 del


presente Reglamento.

e. Los requisitos mínimos de la seguridad de la información referidos en el artículo


30 del presente Reglamento. Asimismo, la Base de Datos o el sistema de
información de historias clínicas electrónicas de los establecimientos de salud o
servicios médicos de apoyo deberán registrarse ante la Autoridad Nacional de
Protección de Datos Personales del Ministerio de Justicia conforme a lo
establecido en la Ley N° 29733, Ley de Protección de Datos Personales, su
Reglamento aprobado por Decreto Supremo N° 003-2013-JUS y la Directiva de
Seguridad de la Información aprobada por Resolución Directoral N° 019-2013-
JUS-DGPDP.

f. Incorporar la firma digital en los sistemas de información de historias clínicas


electrónicas del establecimiento de salud y servicios médicos de apoyo, conforme
a lo establecido en la Ley N° 27269, Ley de Firmas y Certificados Digitales su
Reglamento aprobado por Decreto Supremo N° 052-2008-PCM y sus
modificatorias.

g. Una estructura de datos que separe los datos de filiación del paciente o usuario
de salud de la información clínica correspondiente a sus atenciones, pudiendo
asociarse ambas únicamente en el ámbito de la prestación de una atención
asistencial al titular de la historia clínica electrónica, y que permita identificar la
información clínica básica y la información clínica sensible.

h. El registro en la historia clínica electrónica se hará únicamente como


consecuencia de la atención de salud al paciente o usuario de salud.

i. La implementación de mecanismos que permitan el acceso y disponibilidad para


asegurar la continuidad de las atenciones de salud, así como la transmisión de la
actualización de información de las historias clínicas electrónicas generadas en
los establecimientos de salud y servicios médicos de apoyo y autorizadas
expresamente por el paciente o usuario de salud para ser almacenadas en el
RENHICE.

j. Los establecimientos de salud y servicios médicos de apoyo deben contar con


equipos terminales de datos o dispositivos electrónicos para acceso, en cada
consultorio de atención; en cada piso de hospitalización; en emergencia y en cada
unidad productora de servicios de salud que generen información clínica del
paciente.
k. Los demás criterios que el Ministerio de Salud establezca en las normas
específicas y complementarias que sean necesarias en materia de gestión de la
historia clínica electrónica, identificación, autenticación de las personas,
seguridad de la información e interoperabilidad para acceder al RENHICE.

Artículo 23.- Acreditación de los sistemas de información de historias clínicas


electrónicas por la Autoridad Regional de Salud

El Ministerio de Salud establecerá el procedimiento mediante el cual faculta a la


Autoridad Regional de Salud a llevar a cabo la acreditación de los sistemas de
información de su jurisdicción. Para ello verificará periódicamente que cuenten
con las capacidades y competencias para cumplir con lo dispuesto en el presente
Reglamento, y desarrollará previamente las acciones de capacitación y asistencia
técnica necesaria, y de acompañamiento técnico, conforme a lo señalado en la
norma complementaria que el Ministerio de Salud apruebe.

CAPÍTULO III
IMPLEMENTACIÓN DE LOS SISTEMAS DE INFORMACIÓN DE HISTORIAS CLÍNICAS
ELECTRÓNICAS EN LOS ESTABLECIMIENTOS DE SALUD Y SERVICIOS MÉDICOS DE
APOYO

Artículo 24.- Implementación de los sistemas de información de historias clínicas


electrónicas de los establecimientos de salud

Los establecimientos de salud públicos, privados o mixtos, que usan historias


clínicas informatizadas, deberán implementar un sistema de información de
historias clínicas electrónicas para la acreditación establecida por la Ley, el
presente Reglamento y demás normas complementarias.

Artículo 25.- Implementación de los sistemas de información de los servicios


médicos de apoyo

Los servicios médicos de apoyo que no generen historias clínicas electrónicas no


se encuentran obligados a acreditar su sistema de información.

Los servicios médicos de apoyo, públicos, privados o mixtos, que brindan


atenciones continuas o repetidas y que por la naturaleza de su servicio generen
historias clínicas electrónicas o informatizadas deberán implementar un sistema
de información de historias clínicas electrónicas y acreditar obligatoriamente
éste para acceder al RENHICE, según lo señalado por la Ley, el presente
Reglamento y demás normas complementarias.

Artículo 26.- Obligatoriedad de adecuar el sistema de información de historias


clínicas electrónicas al RENHICE

Todo establecimiento de salud y servicio médico de apoyo público, privado o


mixto, que cuente con historias clínicas electrónicas o informatizadas están
obligados a formar parte del RENHICE. Para ser parte del RENHICE deberán
adecuar y acreditar su sistema de información de historias clínicas electrónicas,
en un plazo de doce (12) meses contados a partir de la aprobación del
procedimiento que establecerá el Ministerio de Salud, conforme a lo previsto en
el artículo 23 del presente Reglamento.

Artículo 27.- Implementación en los establecimientos de salud o servicios médicos


de apoyo que cuenten con historias clínicas manuscritas

Los establecimientos de salud o servicios médicos de apoyo, públicos, privados o


mixtos, que cuenten con historias clínicas manuscritas deberán de implementar
en forma progresiva la historia clínica electrónica, de acuerdo a su disponibilidad
presupuestal, y su implementación debe seguir los estándares para la
acreditación de su sistema de información de historias clínicas electrónicas ante
el RENHICE.

CAPÍTULO IV
CRITERIOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN

Artículo 28.- Del Ministerio de Salud

El Ministerio de Salud, a través de la Oficina General de Tecnologías de la


Información establece los requisitos técnicos respecto a las medidas de seguridad
necesarias para proteger y salvaguardar la información contenida en los sistemas
de información de historias clínicas electrónicas, en cumplimiento del marco
normativo de la seguridad de la información, en coordinación con ONGEI-PCM.

Artículo 29.- De los establecimientos de salud y servicios médicos de apoyo

Con el objeto de proteger la información clínica accedida a través del RENHICE,


los establecimientos de salud y servicios médicos de apoyo establecerán en sus
sistemas de información, las medidas necesarias que garanticen la seguridad de
los mismos para evitar su alteración, pérdida, intercambio y acceso no
autorizado, bajo responsabilidad señalada en el literal b) de la séptima
disposición complementaria final de la Ley.

Asimismo, cumplirán con las medidas de seguridad exigidas en la Ley N° 29733,


Ley de Protección de Datos Personales, su Reglamento aprobado mediante
Decreto Supremo N° 003-2013-JUS, su directiva de seguridad de la información
aprobada por Resolución Directoral N° 019-2013-JUS-DGPDP y demás normas
complementarias que el Ministerio de Salud apruebe.

Artículo 30.- Registro y resguardo de la prestación de servicios de salud

Los sistemas de información de historias clínicas electrónicas deberán de registrar


y resguardar la información derivada de la prestación de servicios de salud en
forma de documentos electrónicos estructurados e inalterables de acuerdo a la
directiva de acreditación de los sistemas de información de historias clínicas
electrónicas que apruebe el Ministerio de Salud.

Artículo 31.- De la seguridad en el RENHICE

En relación a los aspectos de seguridad, el RENHICE administrado por el


Ministerio de Salud debe implementar para el funcionamiento de los diversos
sistemas de información de los establecimientos de salud y servicios médicos de
apoyo como mínimo:

a. Redes privadas virtuales y esquemas de autenticación de la identidad de los


profesionales de la salud emitidos por una Entidad de Certificación conforme a lo
establecido en la Ley de Firmas y Certificados Digitales, su Reglamento aprobado
por el Decreto Supremo N°052-2008-PCM y sus modificatorias.

b. Mecanismos físicos y tecnológicos necesarios para mitigar los riesgos de


pérdida, modificación y/o alteración de la información durante todo el registro
y/o acceso a los datos de filiación e información clínica, garantizando la
confidencialidad, integridad y disponibilidad de la información.

c. Guías y formatos técnicos para la implementación del Sistema de Gestión de


Seguridad de la Información en los establecimientos de salud y servicios médicos
de apoyo, quienes deberán basarse en estos documentos para su
implementación.

d. Otras señaladas en las normas complementarias que el Ministerio de Salud


apruebe.

En relación a los establecimientos de salud y servicios médicos de apoyo se debe


implementar como mínimo:

a) Un Sistema de Gestión de Seguridad de la Información de acuerdo a la familia


ISO/IEC 27000 adoptadas como Normas Técnicas Peruanas vigentes
considerando además las normas en materia de protección de datos personales
conforme a lo señalado en la Ley N° 29733, Ley de Protección de Datos
Personales, su Reglamento aprobado mediante Decreto Supremo N° 003-2013-
JUS y su directiva de seguridad aprobada por Resolución Directoral N° 019-2013-
JUS-DGPDP. Asimismo, deberán considerar los estándares en materia de
seguridad de la información, que aseguren la confidencialidad, integridad,
disponibilidad, trazabilidad, autenticidad y no repudio de la información clínica
contenida en las historias clínicas electrónicas. Para el caso de los
establecimientos de salud y servicios médicos de apoyo públicos, sin perjuicio de
lo señalado, tienen la obligación de implementar la NTP-ISO/IEC 27001:2014,
conforme a lo dispuesto mediante Resolución Ministerial N° 004-2016-PCM o en
las normas que hagan sus veces.
b) Los procesos del ciclo de vida de software según lo establecido en la NTP
ISO/IEC 12207, y su normatividad vigente.

c) Mecanismos de autenticación, de cifrado y de firma digital conforme a lo


establecido en el presente Reglamento y en conformidad con la Ley N° 27269, Ley
de Firmas y Certificados Digitales, su Reglamento aprobado mediante Decreto
Supremo N° 052-2008-PCM y sus modificatorias.

d) Estrictos controles para proteger la información a la que acceden los


profesionales de la salud a través de sus sistemas de información de historias
clínicas electrónicas.

e) El acceso exclusivo para el uso de personas explícitamente autorizadas para


ello, con el soporte de firmas y certificados digitales, según lo establecido en el
presente Reglamento y en conformidad con la Ley N° 27269 — Ley de Firmas y
Certificados Digitales, aprobado mediante Decreto Supremo N° 052-2008-PCM y
sus modificatorias.

f) Un registro histórico informático de todas las transacciones ocurridas o


bloqueadas, lo que posibilitará al Ministerio de Salud tener la trazabilidad de
cada registro, pudiéndose evidenciar éstas de manera detallada e indubitable, a
través de auditorías a todas las actividades realizadas y por todas las personas
intervinientes en la gestión de la información accedida a través del RENHICE.

g) Otras señaladas en las normas complementarias que el Ministerio de Salud


apruebe.

Artículo 32.- De la trazabilidad de las modificaciones o actualizaciones

El sistema de información de historias clínicas electrónicas del establecimiento de


salud o servicio de apoyo debe permitir registrar y auditar de manera detallada
e indubitable todas las modificaciones, actualizaciones, correcciones o tachados
realizadas en la historia clínica electrónica, así como la información relativa a la
fecha y hora en que se realizó el acceso, al establecimiento de salud o servicio
médico de apoyo desde el que se realizó cada acceso, al profesional de salud que
accedió a la información clínica, clínica sensible y clínica básica, según sea el caso
y a las características de la información clínica accedida.

Artículo 33.- Condiciones específicas sobre la confidencialidad

Las personas autorizadas a acceder al RENHICE deben hacerlo respetando las


medidas establecidas para la gestión de la seguridad y confidencialidad de la
información, de conformidad con lo que se establezca en la Ley y el presente
Reglamento y en otras normas complementarias que apruebe el Ministerio de
Salud.
Todas las medidas de confidencialidad establecidas están dirigidas a prestar y
garantizar la adecuada atención de salud a los pacientes o usuarios de salud,
facilitar a los pacientes o usuarios de salud la información sobre cualquier
actuación en el ámbito de su salud, respetar las decisiones adoptadas libre y
voluntariamente por el paciente o usuario de salud dentro de los límites
permitidos por la legislación peruana, y gestionar y custodiar la información
clínica que guarden los sistemas de información de historias clínicas electrónicas.

Todo el personal que interviene directa o indirectamente en el funcionamiento


del sistema de información del RENHICE, y en los sistemas de información de
historias clínicas electrónicas de cada establecimiento de salud y servicio médico
de apoyo, está obligado a guardar cumplimiento de lo dispuesto en la Ley, el
presente Reglamento y demás normas complementarias, bajo responsabilidad
señalada en el literal b) de la séptima disposición complementaria final de la Ley.

Artículo 34.- Documento de seguridad de la información

Los establecimientos de salud y servicios médicos de apoyo deberán establecer


un documento maestro de seguridad de la información que incluya el sistema de
información de historias clínicas electrónicas, así como desarrollar y mantener
actualizado un documento de compromiso de confidencialidad en el tratamiento
de datos personales aplicable al personal relacionado con el tratamiento de
dichos datos, conforme a lo señalado en la Ley N° 29733, Ley de protección de
Datos Personales, su norma reglamentaria aprobado mediante Decreto Supremo
N° 003-2013-JUS y su directiva de seguridad aprobada por Resolución Directoral
N° 019-2013-JUS-DGPDP.

CAPÍTULO V
DE LA INTEROPERABILIDAD DE LOS SISTEMAS DE INFORMACIÓN

Artículo 35.- De los requerimientos para la interoperabilidad

El Ministerio de Salud aprueba la norma complementaria a la que deben


sujetarse los sistemas de información de historias clínicas electrónicas de los
establecimientos de salud y servicios médicos de apoyo, a fin de garantizar el
intercambio, procesamiento, interpretación y seguridad de la información
contenida en dichos sistemas.

Los establecimientos de salud y servicios médicos de apoyo deben implementar


como mínimo:

a. Las interfaces de intercambio y protocolos de información, las cuales deberán


observar la compatibilidad para su interacción con el RENHICE de acuerdo a lo
especificado en la norma del Ministerio de Salud y normatividad vigente..

b. El equipamiento informático necesario para acceder al Sistema de información


de historias clínicas electrónicas, cuando se realice la atención y se requiera
consultar la información clínica autorizada por el paciente o usuario de salud en
un establecimiento de salud o servicio médico de apoyo distinto al que le brinda
dicha atención.

c. La infraestructura tecnológica que permita conservar y mantener en


condiciones adecuadas de operación su sistema de información de historias
clínicas electrónicas, para asegurar la integridad, autenticidad y disponibilidad
de los datos e información contenidos en el mismo a través del tiempo, así como
para el acceso al RENHICE.

d. Los protocolos de interoperabilidad que el Ministerio de Salud apruebe en las


normas complementarias respectivas en coordinación con la ONGEI-PCM.

e. La seguridad física y lógica para proteger todo componente que interviene en


el tratamiento de los datos de filiación y la información clínica del paciente o
usuario de salud contenidas en las historias clínicas electrónicas desde su
registro.

f. La interconexión a través de redes privadas virtuales u otros canales seguros


para acceder al RENHICE y a la PIDE. Para el caso de Sistemas de Información de
Historia Clínicas Electrónicas (SIHCE) compartidos por varios establecimientos de
salud o servicios médicos de apoyo, bastará la interconexión vía red privada
virtual u otros canales seguros desde el punto donde se centraliza la información.

g. Otras señaladas en las normas complementarias que el Ministerio de Salud


apruebe.

Artículo 36.- De la interoperabilidad en el RENHICE

El Ministerio de Salud en coordinación con la ONGEI determina los requisitos


técnicos o tecnológicos que faciliten las disposiciones de intercambio de
información, estándares técnicos probados, elaboración de guías, formatos que
orientan a los establecimientos de salud y servicios médicos de apoyo para lograr
la interoperabilidad semántica e interoperabilidad técnica en escenarios
concretos de intercambio de información entre los sistemas de información de
historias clínicas electrónicas, a efectos de procurar la compatibilización entre
estos con los sistemas de gestión de la seguridad de la información en el ámbito
del RENHICE, los cuales serán desarrolladas en una norma complementaria que
el Ministerio de Salud apruebe.

CAPÍTULO VI
CARACTERÍSTICAS TÉCNICO INFORMÁTICAS
Artículo 37.- De la firma digital en la historia clínica electrónica

La historia clínica electrónica de un establecimiento de salud o servicio médico de


apoyo debe estar soportada por un sistema de información que le permita firmar
digitalmente al profesional de salud que brinda la atención.

Artículo 38.- Del sistema de información de historias clínicas electrónicas

El sistema de información de historias clínicas electrónicas de los


establecimientos de salud o servicios médicos de apoyo debe estar acreditado
para acceder al RENHICE y debe tener la posibilidad de identificar al paciente o
usuario de salud y permitir la firma digital tanto del profesional de la salud como
del paciente o usuario de salud.

TÍTULO IV
DE LA HISTORIA CLÍNICA ELECTRÓNICA

CAPÍTULO I
DE LA HISTORIA CLÍNICA ELECTRÓNICA

Artículo 39.- Información de la historia clínica electrónica

La historia clínica electrónica contiene los datos de filiación del paciente o usuario
de salud, la información clínica y otras que señala la Norma Técnica de la Historia
Clínica de los Establecimientos del Sector Salud vigente. El paciente o usuario de
salud debe proporcionar sus datos de filiación al abrir o crear una historia clínica
electrónica, sujetándose al principio de veracidad.

El paciente o usuario de salud podrá señalar en cada historia clínica electrónica


de cada establecimiento de salud en el que reciba la atención el nombre de su
representante legal, para los casos en que corresponda.

La información clínica que se encuentra contenida en las historias clínicas


electrónicas es registrada por los profesionales de la salud, y refrendada con su
firma digital.

Artículo 40.- De los datos de filiación

Los datos de filiación contenidos en la historia clínica electrónica son generados


en cada establecimiento de salud al momento de abrir una historia clínica
electrónica nueva, y el respectivo sistema informático se apoya en la base del
RENIEC para verificar los datos referidos a nombres y apellidos del paciente o
usuario de salud, y el número de su documento nacional de identidad - DNI. Los
demás datos de filiación son obtenidos de la información directa que brinda el
paciente o usuario de salud o su representante legal, según corresponda.
Los datos de filiación contenidos en las historias clínicas electrónicas únicamente
se pueden modificar o actualizar en el establecimiento de salud o servicio médico
de apoyo donde se generaron, y exclusivamente a solicitud del paciente o usuario
de salud.

Artículo 41.- De la información clínica

La información clínica contenida en las historias clínicas electrónicas que registra


el profesional de la salud que atiende al paciente se realiza a través del sistema
de información de historias clínicas electrónicas del establecimiento de salud o
servicio médico de apoyo y es refrendada con la firma digital de dicho profesional
de la salud.

La información clínica tiene dentro de su contenido a la denominada información


clínica sensible y la información clínica básica.

En caso que el profesional de la salud que atiende necesite acceder a la


información clínica de su paciente o usuario de salud, contenida en las historias
clínicas electrónicas de otros establecimientos de salud o servicios médicos de
apoyo diferentes del que le brinda la atención, debe solicitar la autorización de
acceso a dicho paciente o usuario de salud.

El paciente o usuario de salud, de estimarlo pertinente, puede autorizar el acceso


del profesional de la salud a dichas historias clínicas electrónicas a través del
mecanismo de autenticación señalado en el artículo 74 del presente Reglamento.

La autorización de acceso brindada por el paciente o usuario de salud, debe ser


otorgada conforme a lo establecido en el artículo 62 del presente Reglamento.

El acceso del profesional de la salud a la información clínica de su paciente o


usuario de salud, contenida en las historias clínicas electrónicas de otros
establecimientos de salud o servicios médicos de apoyo diferentes al que le brinda
la atención, es únicamente para visualización o lectura.

Artículo 42.- De la información clínica sensible

La información clínica sensible será determinada por el paciente o usuario de


salud, para lo cual deberá indicarlo a través del sistema de información de las
historias clínicas electrónicas del establecimiento de salud o servicio médico de
apoyo donde recibió la atención.

El profesional de la salud que atiende accede a la información clínica sensible


contenida en los sistemas de información de historias clínicas electrónicas del
establecimiento de salud o servicio médico de apoyo donde se produce la
atención. Para el caso en que éste necesite visualizar o leer la información clínica
sensible contenida en las historias clínicas electrónicas de otros establecimientos
de salud o servicios médicos de apoyo distintos del que brinda la atención, se
requiere que el paciente o usuario de salud le brinde su autorización de acceso,
según lo dispuesto por el artículo 63 del presente Reglamento.

Artículo 43.- De la información clínica básica

En situación de emergencia o cuando dada su condición, el paciente no pueda


autorizar el acceso a sus historias clínicas electrónicas y no se cuente con
representante legal autorizado, el profesional de la salud médico que lo atiende
podrá acceder, únicamente, a la información clínica básica contenida en aquéllas.
El profesional de salud que atiende asume la responsabilidad de dicho acceso,
por lo que debe valorar si es imprescindible para el tratamiento de la emergencia.

El sistema de información de historias clínicas electrónicas de cada


establecimiento de salud o servicio médico de apoyo debe permitir identificar la
información clínica básica, para que el RENHICE pueda visualizar o leer aquella
que proviene de todas las historias clínicas electrónicas del mismo paciente o
usuario de salud, y ponerla a disposición del profesional de salud autorizado que
la solicita y que atiende la emergencia.

CAPÍTULO II
ACTUALIZACIÓN Y MODIFICACIÓN DEL CONTENIDO DE LA HISTORIA CLÍNICA
ELECTRÓNICA

Artículo 44.- Obligatoriedad de atender la solicitud de los pacientes o usuarios de


salud

Los establecimientos de salud o servicios médicos de apoyo son responsables de


atender las solicitudes planteadas por los pacientes o usuarios de salud en
referencia a sus historias clínicas electrónicas, para actualizar o corregir
información errada, así como de la determinación de la procedencia o no de dicha
solicitud; para lo cual deberán responder en la forma y plazo propuesto para cada
derecho, según lo establecido en la Ley N° 29733, Ley de Protección de Datos
Personales y su Reglamento aprobado por Decreto Supremo N° 003-2013-JUS. La
actualización o corrección solicitada se realiza en el marco de lo dispuesto en el
presente Reglamento y por el Ministerio de Salud en las normas complementarias
que apruebe.

Artículo 45.- De la actualización de información susceptible de modificación o


corrección

Los datos de filiación del paciente o usuario de salud, contenidos en las historias
clínicas electrónicas que sean actualizables o susceptibles de actualización, o
corrección, se procesarán únicamente en el establecimiento de salud o servicio
médico de apoyo que la generó, solamente a solicitud del paciente o usuario de
salud y bajo su responsabilidad.
El establecimiento de salud o servicio médico de apoyo atenderá lo solicitado,
únicamente si el paciente o usuario de salud tiene fundamentada razón.

El sistema de información de historias clínicas electrónicas debe mantener


registro de lo solicitado, y lo resuelto respecto a lo actualizado o corregido, los
cambios realizados de ser el caso, y la persona que autorizó hacerlo. El sistema
de información debe permitir la completa trazabilidad de lo actuado.

Artículo 46.- Prohibición de modificación de la información clínica de la historia


clínica electrónica

Los establecimientos de salud y servicios médicos de apoyo, así como su personal


profesional o técnico, administrativo o asistencial, están prohibidos de modificar
el contenido de la información clínica de las historias clínicas electrónicas, a
través de sus sistemas de información o de alguna otra forma, bajo
responsabilidad.

Los establecimientos de salud y servicios médicos de apoyo son responsables de


que los datos e información contenidos en sus sistemas de información de
historias clínicas electrónicas para la prestación de servicios de salud
permanezcan completos e inalterados.

No se puede modificar la información clínica de la historia clínica electrónica de


un registro hecho anteriormente aduciendo que no refleja la realidad actual.

Artículo 47.- Actualización o modificación autorizada de la historia clínica


electrónica

La información de las historias clínicas electrónicas solamente podrá ser


modificada o actualizada en los establecimientos de salud y servicios médicos de
apoyo donde fue generada, en las condiciones siguientes:

a) Actualización de los datos de filiación, a solicitud del paciente o usuario de


salud, quien tiene la carga de la prueba.

b) Modificación de la información clínica, a solicitud del paciente o usuario de


salud, cuando éste haya detectado alguna información errónea o ajena a la
verdad, y requiere que el profesional de la salud que hizo el registro acepte hacer
la modificación solicitada.

c) Cuando el profesional de la salud que atiende detecta un error material en su


registro de la atención procederá hacer la corrección como un registro nuevo,
precisando la ubicación del error. Esto no aplica para los diagnósticos ni omisión
de registro.

En caso que el profesional de la salud que hizo el registro no acepte hacer la


modificación solicitada, o no sea ubicable, el paciente o usuario de salud puede
solicitar que se deje constancia en la atención actual, su acotación respecto al
dato que él considera errado y que solicita sea modificado.

En caso de ser información clínica debe mantenerse mandato de conservación del


dato anterior con indicación de la nueva data introducida y la anterior
modificada. No procede la actualización de la información que fue registrada
como información clínica por el médico tratante en el momento de la atención.

TÍTULO V
USUARIOS DEL RENHICE

CAPÍTULO I
DE LOS USUARIOS DEL RENHICE

Artículo 48.- De los pacientes o usuarios de salud

Los pacientes o usuarios de salud tienen derecho a solicitar al establecimiento de


salud o servicio médico de apoyo, responsable del sistema de información de
historias clínicas electrónicas, que verifique su condición de registrado en éste o
si contiene algún tipo de información concerniente a él.

Los pacientes o usuarios de salud pueden realizar, a través del sistema de


información del RENHICE y de los sistemas de información de historias clínicas
electrónicas del establecimiento de salud o servicio médico de apoyo donde se
atiende, el seguimiento de los accesos realizados por los profesionales de la salud
a la información clínica contenida en sus historias clínicas electrónicas a través
de la fecha y hora del acceso, el establecimiento de salud o servicio médico de
apoyo que realizó el acceso, el profesional de la salud que accedió y el tipo de
información accedida, a fin de verificar la legitimidad de estos.

La consulta a todas sus historias clínicas electrónicas en los establecimientos de


salud o servicios médicos de apoyo, en los que haya sido atendido, podrá ser
hecha a través del portal que el Ministerio de Salud disponga para tal fin y con
los mecanismos que permitan la confidencialidad, seguridad, integridad y
disponibilidad de la información.

El paciente o usuario de salud podrá acceder a través del sistema de información


del RENHICE, con su debida identificación y mediante los mecanismos de
autenticación de la identidad establecidos en el Título VI Capítulo I del presente
Reglamento.

Artículo 49.- Del representante Legal

La representación legal a la que se hace referencia en el presente artículo y en el


presente Reglamento está relacionada únicamente al acceso a las historias
clínicas electrónicas a través del sistema de información del establecimiento de
salud o servicio médico de apoyo y del RENHICE, y para autorizar el acceso a los
profesionales de la salud que atienden a su representado.

El representante legal del paciente o usuario de salud tendrá los mismos derechos
y obligaciones que éste, siempre que cumpla con haber sido consignada su
calidad de representante legal en el sistema de información de cada
establecimiento de salud o servicio médico de apoyo donde se atienda el paciente
o usuario de salud, y éste fuera menor de edad o tuviera impedimento legal para
ejercer el derecho por sí mismo.

Para el caso de los menores de edad y los incapaces, la representación legal se


ejerce según el mandato que señala el Código Civil en el artículo 45.

El paciente o usuario de salud con plena capacidad de ejercicio de sus derechos


civiles podrá designar a su representante legal para este fin, de estimarlo
pertinente, en cada establecimiento de salud o servicio médico de apoyo donde
acuda para la atención, para que lo represente en caso que por razones de salud
no pudiera ejercerlo por sí mismo.

En caso no lo indique, y se requiera dicha información por encontrarse en


situación de emergencia, o inconsciente o en riesgo de morir, podrá ser
representado en forma excluyente y en el siguiente orden por:

a) Pareja, cónyuge o concubino

b) Descendientes mayores de edad

c) Ascendientes

d) Hermanos

El representante legal del paciente o usuario de salud tiene acceso a la


información clínica de este, de acuerdo a lo establecido en el presente artículo, y
según lo que señale la ley, el presente Reglamento y demás normas
complementarias, siempre que dicha información clínica esté disponible a través
del RENHICE.

Artículo 50.- Profesionales de salud en atención directa y atención de soporte

Los profesionales de salud que laboran en una unidad productora de servicios de


salud de atención directa acceden a la historia clínica electrónica de sus pacientes
mediante el mecanismo de autenticación de la identidad señalado en el presente
Reglamento y, deben firmar digitalmente mediante su certificado digital la
información registrada en la historia clínica electrónica.

Para acceder a la historia clínica electrónica del establecimiento de salud o


servicio médico de apoyo, los profesionales de salud que brindan atención de
soporte lo realizan por el sistema de información de las historias clínicas
electrónicas del mismo establecimiento de salud o servicio médico de apoyo, al
que acceden mediante un mecanismo de autenticación de la identidad y
únicamente a la información clínica correspondiente a su profesión, salvo que el
paciente o usuario de salud no desee restringirlo en estos términos.

Los profesionales de salud son responsables de los registros que hacen en la


historia clínica electrónica de los pacientes a los que atienden.

Para acceder a las historia clínicas electrónicas del paciente o usuario de salud, a
través del RENHICE en otros establecimientos de salud o servicios médicos de
apoyo, diferente a aquel en el que se atiende, los profesionales de salud que
brindan atención directa como el médico, obstetra u odontólogo, podrán hacerlo
a través del sistema de información de historias clínicas electrónicas del
establecimiento de salud o servicio médico de apoyo, con su debida identificación
y mediante los mecanismos de autenticación de la identidad establecidos en el
Título VI Capítulo I del presente Reglamento, previa autorización expresa del
paciente o usuario de salud, o su representante legal, según corresponda. Este
acceso será únicamente para visualización o lectura.

Artículo 51.- Registro del acceso de los profesionales de la salud

Todos los accesos realizados por los profesionales de la salud al RENHICE y a la


información disponible a través de éste, serán registrados y estarán disponibles
para los procedimientos de verificación y trazabilidad, debiendo permitir
identificar de manera indubitable a la persona que lo realiza, el sistema de
información utilizado, la ubicación desde donde se accede, la fecha y la hora de
acceso, y las acciones realizadas.

Los procedimientos pertinentes para tal fin los establece el Ministerio de Salud en
la norma complementaria correspondiente.

Artículo 52.- De los alcances de la autorización de acceso otorgada para acceder


al RENHICE

Cuando el médico tratante haya obtenido la autorización de acceso explícito y


expreso del paciente o usuario de salud o de su representante legal a través de
un formulario refrendado con firma digital o cualquier otro mecanismo de
autenticación que garantice la voluntad inequívoca de éste, podrá acceder a
través del RENHICE a las historias clínicas electrónicas de dicho paciente,
debiendo mantener la reserva y el secreto profesional respecto a la información
a la que accede.

El acceso autorizado a las historias clínicas electrónicas a través del RENHICE


debe respetar el tiempo establecido en el artículo 67 del presente Reglamento.
CAPÍTULO II
DERECHOS DEL PACIENTE O USUARIO DE SALUD

Artículo 53.- Titularidad y propiedad de las historias clínicas electrónicas

El paciente o usuario de salud es el titular de su historia clínica electrónica en


tanto es el propietario de su información clínica allí contenida.

El establecimiento de salud o servicio médico de apoyo es el propietario de las


historias clínicas electrónicas y del sistema de información de historias clínicas
electrónicas acreditado ante el RENHICE; y por tanto tiene la responsabilidad de
conservar, custodiar y garantizar la seguridad de estas y de la información allí
contenida.

Artículo 54.- Responsabilidad del establecimiento de salud o servicio médico de


apoyo de informar al paciente o usuario de salud

Cada establecimiento de salud o servicio médico de apoyo que cuente con un


sistema de información acreditado de historias clínicas electrónicas es
responsable de informar al paciente o usuario de salud que el establecimiento se
encuentra incorporado al RENHICE, por lo que su documento nacional de
identidad, los códigos del Registro Nacional de IPRESS, o el que haga sus veces,
de los establecimientos en que se atendió y su historia clínica electrónica si es que
lo autoriza expresamente, estarán en dicho registro; pero además que el acceso
a sus historias clínicas electrónicas y su información clínica únicamente podrá ser
visible siempre y cuando el paciente o usuario de salud lo autorice expresamente,
usando los mecanismos de autenticación de la identidad establecidos en el Título
VI, Capítulo I del presente Reglamento.

Dicha información debe incluir también a las excepciones de reserva de la


información que establece la Ley N° 26842, Ley General de Salud, y la
responsabilidad que asume el paciente o usuario de salud en los resultados de la
asistencia médica recibida, cuando este decide limitar el acceso a todo o parte de
su información clínica sensible contenida en sus historias clínicas electrónicas a
su médico tratante.

Artículo 55.- Derecho de información

Los pacientes o usuarios de salud tienen el derecho a solicitar a cualquier


establecimiento de salud o servicio médico de apoyo que le informen si su historia
clínica electrónica ha sido incluida por el establecimiento de salud o servicio
médico de apoyo en el RENHICE. Este derecho incluye a toda persona que
considere que necesita ser informado sobre este aspecto independiente de que
sea o no paciente o usuario de salud del establecimiento de salud o servicio
médico de apoyo. El acceso a la información solicitada está referido únicamente
a la misma persona solicitante.
Artículo 56.- Derecho de acceso

Los pacientes o usuarios de salud tienen el derecho de acceder a la información


clínica contenida en sus historias clínicas electrónicas a través del sistema de
información del RENHICE aplicando los mecanismos establecidos en la Ley, el
presente Reglamento y las normas complementarias que el Ministerio de Salud
apruebe. Asimismo, es parte del ejercicio de ese derecho el poder imprimir,
copiar, descargar a un dispositivo de almacenamiento local, entre otras, la
información clínica contenida en sus historias clínicas electrónicas o parte de
ellas, para lo cual el sistema de información del RENHICE le permitirá hacerlo en
formato que asegure que no se podrá modificar ni alterar el contenido.

Tales acciones deberán quedar registradas en el sistema de información del


RENHICE conforme a los criterios de seguridad y trazabilidad señalados en el
Título III, Capítulo IV del presente Reglamento.

Artículo 57.- Acceso a la información clínica a través del sistema de información


de historias clínicas electrónicas

Para que los médicos tratantes accedan a la información clínica a través del
RENHICE, esta se podrá realizar únicamente a través del sistema de información
de historias clínicas electrónicas de los establecimientos de salud o servicios
médicos de apoyo donde se produce la atención y siempre que el paciente o
usuario de salud brinde su autorización de acceso a éste, conforme a lo
establecido en el artículo 62 del presente Reglamento.

El profesional de la salud no está facultado a que la información clínica


visualizada sea impresa, copiada, capturada o descargada a cualquier dispositivo
de almacenamiento local, entre otros.

Artículo 58.- Derecho de oposición

El paciente o usuario de salud puede negarse a que una o todas sus historias
clínicas electrónicas en diferentes establecimientos de salud o servicios médicos
de apoyo sean accedidas a través del RENHICE, en alguna circunstancia, sin
necesidad de expresar motivación alguna, bajo su responsabilidad.

Artículo 59.- Derecho a limitar el acceso a parte de su información clínica sensible


a través del RENHICE

El paciente o usuario de salud tiene derecho a que la información clínica sensible


contenida en las historias clínicas electrónicas a las que se accede a través del
RENHICE, no sea visualizada o leída por el profesional de la salud, bajo ningún
mecanismo. Tal decisión de ocultar o limitar el acceso podrá ser ejercida a
iniciativa expresa del paciente o usuario de salud, y revertida o revocada por el
propio paciente o usuario de salud en el momento que este así lo disponga.

El sistema de información de historias clínicas electrónicas deberá advertir al


paciente o usuario de salud de las consecuencias negativas que dicha acción
puede ocasionarle por condicionar la toma de decisiones del profesional de la
salud, que debe realizar el proceso diagnóstico y terapéutico sin contar con toda
la información existente.

Este derecho no implica que dicha información sea eliminada de la historia clínica
electrónica sino que queda oculta.

La información clínica sensible ocultada deberá ser advertida a través del sistema
de información de historias clínicas electrónicas al profesional de la salud en la
atención que le brinde al paciente o usuario de salud. Dicha advertencia no
implica la especificación del tipo de información clínica sensible ocultada.

El profesional de la salud, durante la atención, podrá informar al paciente o


usuario de salud la trascendencia que tiene conocer dicha información sensible
ocultada, para que este la desproteja, si así lo decide.

CAPÍTULO III
AUTORIZACIÓN DE ACCESO DEL PACIENTE O USUARIO DE SALUD A LA HISTORIA
CLÍNICA ELECTRÓNICA

Artículo 60.- Reglas de autorización de acceso

En el establecimiento de salud se realiza la primera autorización de acceso dado


por el paciente o usuario de salud, conforme a lo señalado en la Ley N° 29733,
Ley de Protección de Datos Personales, y su Reglamento aprobado mediante
Decreto Supremo N° 003-2013-JUS, cuando se crea o apertura una historia clínica
electrónica en el sistema de información de historias clínicas electrónicas del
establecimiento de salud o servicio médico de apoyo al que acude para la
atención. Dicha autorización de acceso debe ser entendida tanto para acceder a
los datos de filiación e información clínica como para la información clínica
sensible, por los profesionales de la salud que lo atienden directamente en dicho
establecimiento de salud.

En el RENHICE se realiza la segunda y tercera autorización de acceso. La segunda


regla es para que el profesional de la salud que lo atiende, acceda a la lectura de
la información clínica contenida en las historias clínicas electrónicas del mismo
paciente o usuario de salud a través del RENHICE, y que fueron generadas en otro
establecimiento de salud o servicio médico de apoyo distinto al que le brinda la
atención en ese momento. Esta autorización de acceso no incluye a la
información clínica sensible en ningún caso.
La tercera autorización de acceso es para la lectura de la información clínica
sensible contenida en las historias clínicas electrónicas del mismo paciente o
usuario de salud a través del RENHICE, y que fueron generadas en otro
establecimiento de salud o servicio médico de apoyo distinto al que le brinda la
atención en ese momento; para lo cual éste o su representante legal deben
brindar la autorización de acceso de manera expresa, si lo estima necesario
conforme a lo señalado en el artículo 62 del presente Reglamento. La
autorización de acceso podrá ser para todas las historias clínicas electrónicas o
seleccionar alguna de ellas, según lo que el paciente o usuario de salud decida.

Es facultad del Ministerio de Salud normar las demás consideraciones


relacionadas a las reglas de autorización de acceso que el paciente o usuario de
salud debe brindar al profesional de la salud.

Artículo 61.- Acceso a través del RENHICE

Para visualizar o leer la historia clínica electrónica del paciente o usuario de salud,
de otros establecimientos de salud o servicios médicos de apoyo, el profesional
de la salud deberá acceder a través del sistema de información de historias
clínicas electrónicas del establecimiento de salud o servicio médico de apoyo al
RENHICE, cumpliendo con lo señalado en el artículo 60 del presente Reglamento.

El paciente o usuario de salud tiene acceso a su información clínica a través del


sistema de información del RENHICE según lo establecido en la Ley, el presente
Reglamento y demás normas complementarias. Para tal fin el paciente o usuario
de salud debe autenticar debidamente su identidad mediante los mecanismos
señalados en el Título VI Capítulo I del presente Reglamento.

Artículo 62.- La autorización de acceso a la información clínica contenida en las


historias clínicas electrónicas

El acceso a la información clínica contenida en una o todas las historias clínicas


electrónicas a través del RENHICE por el profesional de la salud debe ser
autorizado por el paciente o usuario de salud o su representante legal de manera
expresa. La voluntad del paciente debe quedar consignada en un formulario de
autorización de acceso que deberá estar refrendado mediante su firma digital o
cualquier otro mecanismo de autenticación que garantice dicha voluntad.

El contenido del formulario de la autorización de acceso que brinda el paciente o


usuario de salud debe incluir la información establecida para cumplir con el
requisito de consentimiento conforme a lo señalado en la Ley N° 29733, Ley de
Protección de Datos Personales y su Reglamento aprobado mediante Decreto
Supremo N° 003-2013-JUS.
Artículo 63.- Condiciones para acceder a la información clínica sensible

En caso de ser necesario para el profesional de salud acceder a través del


RENHICE a la lectura de la información clínica sensible del paciente o usuario de
salud, contenida en las historias clínicas electrónicas de otros establecimientos
de salud o servicios médicos de apoyo, éste debe brindar la autorización de
acceso señalada en el artículo 62 y de acuerdo a las reglas de autorización de
acceso dispuesta en el artículo 60 del presente Reglamento.

Artículo 64.- Acceso y estado de inconciencia

En situación de grave riesgo para la vida o la salud de un paciente o usuario de


salud, cuyo estado no permita la capacidad de autorizar el acceso a sus historias
clínicas electrónicas, y no estuviera su representante legal, el profesional de la
salud podrá acceder, a través del sistema de información de las historias clínicas
electrónicas del establecimiento de salud o servicio médico de apoyo al RENHICE,
a la información clínica básica contenida en las historias clínicas electrónicas del
paciente, con fines de diagnóstico y tratamiento médico o quirúrgico. El
profesional de la salud asume la responsabilidad de dicho acceso, por lo que debe
valorar si es imprescindible para el tratamiento de la emergencia.

Artículo 65.- Casos excepcionales de menores de edad

En casos de urgencia o emergencia de un paciente o usuario de salud menor de


edad, ante la ausencia de los titulares de la patria potestad o tutores, según
corresponda, el profesional de la salud podrá acceder a la información clínica
básica a través del sistema de información de las historias clínicas electrónicas
del establecimiento de salud o servicio médico de apoyo al RENHICE, en función
del interés superior del niño. El profesional de la salud asume la responsabilidad
de dicho acceso, por lo que debe valorar si es imprescindible para el tratamiento
de la emergencia.

Artículo 66.- Personas intervinientes en la gestión de la información accedida a


través del RENHICE

Las personas responsables de la gestión de la información contenida y accesible


a través del RENHICE y quienes intervengan en cualquiera de las actividades de
gestión de la misma, están sometidas al secreto profesional y a mantener
confidencialidad, el cual persistirá aunque finalice su contrato laboral en estas
dependencias o cualquier otra relación jurídica o de hecho que haya amparado
su participación.

El cumplimiento de este deber no debe limitar el acatamiento de los protocolos,


registros, informes, estadísticas y demás documentación que guarde relación con
los procesos clínicos en que intervienen los autorizados a acceder al RENHICE.
Artículo 67.- Temporalidad de la autorización a través del RENHICE

El acceso autorizado al profesional de la salud que atiende para visualizar o leer


las historias clínicas electrónicas del paciente o usuario de salud a través del
RENHICE, caduca obligatoriamente al terminar la atención o cumplido un periodo
de tiempo máximo que no debe exceder de los cuarenta (40) minutos, lo que
ocurra primero. La necesidad de un nuevo acceso requiere de una nueva
autorización del paciente o usuario de salud.

Artículo 68.- Revocatoria de autorización de acceso

La autorización de acceso dado al profesional de la salud podrá ser revocada por


el paciente o usuario de salud o su representante legal, en el momento que lo
estime pertinente, en el sistema de información de historias clínicas electrónicas
del establecimiento de salud o servicio médico de apoyo donde se atiende, sin
que deba expresar la motivación, y mediante los mecanismos informáticos que
apruebe el Ministerio de Salud en una norma complementaria.

CAPÍTULO IV
RESTRICCIÓN DE ACCESO AL RENHICE

Artículo 69.- Suspensión de acceso al RENHICE del profesional de la salud

El Ministerio de Salud, en su calidad de administrador del RENHICE está facultado


a suspender el acceso a determinados profesionales de la salud cuando se
compruebe el incumplimiento de la Ley, el presente Reglamento y demás normas
complementarias.

La suspensión de acceso al RENHICE del profesional de la salud podrá ser


temporal o definitiva según corresponda. Esta suspensión no implica la
inhabilitación del ejercicio profesional.

Además, procederá a suspender el acceso temporal o permanente a aquellos


profesionales de la salud cuyos respectivos colegios profesionales los hayan
suspendido en el ejercicio de su profesión, por lo que dichas entidades están
obligadas a comunicarlo a la Autoridad Nacional de Salud de manera inmediata
bajo responsabilidad establecida en el literal b) de la séptima disposición
complementaria final de la Ley.

Artículo 70.- Suspensión de acceso al RENHICE del paciente o usuario salud

El Ministerio de Salud suspenderá el acceso dado a un paciente o usuario de salud


en los siguientes casos:

a. Muerte del paciente o usuario de salud,


b. Declaración de incapacidad legal del paciente o usuario de salud y que no
cuente con su representante legal conforme a los criterios señalados en el artículo
49 del presente Reglamento.

Artículo 71.- Denegación de acceso de forma temporal de un usuario del RENHICE

El Ministerio de Salud puede denegar el acceso al RENHICE de forma temporal a


un paciente o usuario de salud o a su representante legal, y a un profesional de
la salud, si comprueba o tiene indicios razonables de un acceso no autorizado o
no consentido, o cuando exista un acceso autorizado y consentido pero con fines
distintos a los señalados en la Ley, el presente Reglamento y demás normas
complementarias o existen indicios de la comisión de delitos contra la intimidad
de los pacientes o usuarios de salud, conforme a lo establecido en los artículos
154A y 157 del Código Penal. Estas personas podrán estar sujetas al inicio de
acciones administrativas, civiles y/o penales que correspondan conforme al
marco jurídico vigente.

La denegación será por el plazo necesario para subsanar o aclarar los


acontecimientos que originaron la misma.

La denegación de acceso al RENHICE no implica que el paciente o usuario de salud


no pueda acceder a sus historias clínicas electrónicas directamente en cada uno
de los establecimientos de salud o servicio médico de apoyo donde se haya
atendido.

Artículo 72.- Denegación de acceso de forma permanente de un usuario del


RENHICE

El Ministerio de Salud puede denegar de manera permanente el acceso a un


usuario del RENHICE, si comprueba que de manera dolosa, ha cometido acciones
que ponen o podrían haber puesto en grave riesgo o peligro la seguridad,
disponibilidad del servicio, integridad y la confidencialidad de la información
contenida o accesible a través del RENHICE. Estas personas podrán estar sujetas
al inicio de acciones administrativas, civiles y/o penales que correspondan
conforme al marco jurídico vigente.

La denegación de acceso al RENHICE no implica que el paciente o usuario de salud


no pueda acceder a sus historias clínicas electrónicas directamente en cada uno
de los establecimientos de salud o servicio médico de apoyo donde se haya
atendido.

TÍTULO VI
MECANISMOS DE AUTENTICACIÓN DE LA IDENTIDAD Y FIRMA DIGITAL

CAPÍTULO I
DE LA AUTENTICACIÓN DE LA IDENTIDAD Y FIRMA DIGITAL
Artículo 73.- Mecanismos de autenticación de la identidad del paciente o usuario
de salud

La autenticación de la identidad del paciente o usuario de salud o su


representante legal es para que reciba la atención de salud correspondiente, para
que el paciente o su representante legal otorguen la autorización de acceso al
profesional de la salud o para el acceso del paciente o su representante legal al
RENHICE.

Corresponderá a los establecimientos de salud y los servicios médicos de apoyo


públicos, privados o mixtos integrar el presente procedimiento de autenticación
de la identidad del paciente o usuario de salud o su representante legal con el
sistema de información de historias clínicas electrónicas, conforme a lo que
señala el presente Reglamento y las normas complementarias que apruebe el
Ministerio de Salud.

Artículo 74.- Autenticación de la identidad del paciente o usuario de salud para


la atención de salud

Para la atención de salud, el paciente o usuario de salud deberá autenticar su


identidad, considerando los siguientes mecanismos:

Nacionales

a. Autenticación biométrica mediante el uso del aplicativo Match OnCard del


documento nacional de identidad electrónico - DNIe.

b. Autenticación digital mediante el correspondiente certificado digital para


persona natural contenido en el documento nacional de identidad electrónico -
DNIe.

c. Y otro que se establezca conforme a lo señalado en el artículo 8 de la Ley.

Extranjeros residentes o en tránsito:

Autenticación a través de Carné de Extranjería que emite el Ministerio del Interior


para extranjeros residentes, o del Pasaporte o Documento de Identidad
Extranjero para los extranjeros en tránsito; y de una clave generada por el
Ministerio de Salud.

Artículo 75.- Autenticación de la identidad y firma digital para que el paciente o


usuario de salud autorice el acceso desde el establecimiento de salud o servicio
médico de apoyo donde se atiende

Para que el paciente o usuario de salud o su representante legal otorgue la


autorización de acceso a sus historias clínicas electrónicas a través del RENHICE
desde el establecimiento de salud donde se atiende, deberá autenticar su
identidad mediante el documento nacional de identidad electrónico - DNIe a
través del correspondiente certificado digital para persona natural contenido en
este.

Luego especificará, en el formulario de autorización de acceso, a qué historias


clínicas electrónicas le autoriza a acceder, debiendo firmar digitalmente dicha
autorización, o usar cualquier otro mecanismo de autenticación que garantice la
voluntad inequívoca de éste con su DNIe.

Artículo 76.- Autenticación de la identidad para que el paciente o usuario de salud


acceda a sus historias clínicas electrónicas a través del RENHICE

Para que el paciente o usuario de salud o su representante legal acceda a sus


historias clínicas electrónicas directamente a través del RENHICE, utilizará la
autenticación digital mediante el correspondiente certificado digital para
persona natural contenido en el documento nacional de identidad electrónico –
DNIe u otros que se determinen de acuerdo a la normatividad vigente.

Artículo 77.- Mecanismos de autenticación de la identidad del profesional de la


salud

La autenticación de la identidad de los profesionales de salud para acceder al


sistema de información de historias clínicas electrónicas del establecimiento de
salud o servicio médico de apoyo, se realizará mediante su certificado digital, el
cual debe ser emitido de conformidad con la Ley N° 27269, Ley de Firmas y
Certificados Digitales, su Reglamento aprobado mediante Decreto Supremo N°
052-2008-PCM y sus modificatorias.

El certificado digital respectivo debe tener las funciones de autenticación y de


firma.

La autenticación del profesional de la salud se realizará por medio del certificado


digital contenido en su DNIe o el certificado digital entregado por el
establecimiento de salud o servicio médico de apoyo donde preste servicios.

Artículo 78.- Firma digital del profesional de la salud en la historia clínica


electrónica

Para firmar digitalmente la historia clínica electrónica, el profesional de la salud


adscrito a su establecimiento de salud utilizará el certificado digital contenido en
el DNIe o el entregado por el establecimiento de salud y/o servicio médico de
apoyo.

CAPÍTULO II
DE LA PARTICIPACIÓN DEL RENIEC
Artículo 79.- Financiamiento de los servicios que preste el Registro Nacional de
Identificación y Estado Civil – RENIEC

El Registro Nacional de Identificación y Estado Civil – RENIEC incluirá en su


presupuesto anual los costos operativos de la autenticación de la identidad de los
pacientes o usuarios de salud así como del personal de la salud involucrados en
el funcionamiento del RENHICE, de manera que se asegure su implementación.

Para la determinación del presupuesto anual a ser financiado por el Estado a


través del marco normativo correspondiente, el RENIEC, sobre la base de la
información proporcionada por el Ministerio de Salud, determinará la cantidad
de consultas de autenticación proyectadas de los establecimientos de salud y
servicios médicos de apoyo de acuerdo a las modalidades previstas de
autenticación, autenticación digital, biométrica o consultas en línea. Lo
cuantificado por el RENIEC deberá incluirlo en la programación y formulación de
su presupuesto anual.

TÍTULO VII
DECLARACIÓN DE INTERÉS NACIONAL

CAPÍTULO I
DE LA DECLARACIÓN DE INTERÉS NACIONAL

Artículo 80.- De la Declaración de interés nacional

En tanto la implementación de RENHICE ha sido declarada de interés nacional, el


Ministerio de Salud y las entidades públicas relacionadas dispondrán en su
presupuesto anual del financiamiento necesario para el cumplimiento de lo
establecido por la Ley y el presente Reglamento.

CAPÍTULO II
DE LA IMPLEMENTACIÓN

Artículo 81.- Normas complementarias para la implementación del RENHICE y de


los sistemas de información de historias clínicas electrónicas

El Ministerio de Salud establecerá las normas complementarias para la


implementación del RENHICE, de los sistemas de información de historias clínicas
electrónicas de los establecimientos de salud o servicios médicos de apoyo, y para
la temporalidad de los plazos para lo que estime pertinente.

Artículo 82.- Disponibilidad de recursos necesarios para la implementación

El Director médico o el responsable de la atención de salud de los


establecimientos de salud o servicios médicos de apoyo asegurarán la
disponibilidad de recursos necesarios para la implementación de lo dispuesto en
el presente Reglamento.
Artículo 83.- Implementación del identificador de la Historia Clínica

La implementación del identificador de la Historia Clínica será gradual y


progresiva en el establecimiento de salud o servicio médico de apoyo, la misma
que debe realizarse Cuando se apertura una historia clínica electrónica por
primera vez.

El identificador que se usa para los pacientes o usuarios nacionales es el número


del Documento Nacional de Identidad – DNI emitido por el Registro Nacional de
Identificación y Estado Civil – RENIEC; en el caso de los extranjeros residentes, el
carnet de extranjería que emite la Superintendencia Nacional de Migraciones; y,
para los extranjeros en tránsito, el pasaporte o el documento de identidad
extranjero.

DISPOSICIONES COMPLEMENTARIAS FINALES

Primera.- Del grupo de trabajo responsable del Ministerio de Salud

El Ministerio de Salud conforma en un plazo máximo de 15 días hábiles después


de la publicación del presente Reglamento, un grupo de trabajo responsable de
elaborar el plan de implementación del RENHICE, donde se definan las
condiciones, los requerimientos, entre otros que demande su implementación.

Segunda.- Normas complementarias para la implementación del RENHICE

El Ministerio de Salud emitirá los documentos normativos correspondientes a la


acreditación de los sistemas de información de historias clínicas electrónicas, la
autenticación de la identidad del usuario del RENHICE, las medidas de seguridad
referida a los aspectos técnicos y organizacionales del RENHICE, y demás que se
consideren pertinentes, las cuales deberán observar los mandatos relativos a
seguridad establecidos en el presente Reglamento, lo establecido en la Ley N°
29733, Ley de Protección de Datos Personales, su Reglamento aprobado
mediante Decreto Supremo N° 003-2013-JUS y su Directiva de Seguridad de la
Información aprobada por Resolución Directoral N° 019-2013-JUS-DGPDP, o la
que haga sus veces, así como la Ley N° 27269, Ley de Firmas y Certificados
Digitales, su Reglamento aprobado mediante Decreto Supremo N° 052-2008-
PCM y sus modificatorias, NTP ISO/IEC N° 12207 Procesos del ciclo de vida de
software, NTP ISO/IEC N° 27001:2014 Sistema de gestión de seguridad de la
información, entre otras normas.

Tercera.- Participación de SUSALUD

SUSALUD, en el marco de sus competencias, supervisará el cumplimiento de las


obligaciones contenidas en el presente Reglamento en los establecimientos de
salud o servicios médicos de apoyo referidas a la atención de salud.
DISPOSICIONES COMPLEMENTARIAS TRANSITORIAS

Primera.- Autenticación de la identidad del paciente o usuario de salud para la


atención de salud

En tanto no se implemente en su totalidad el documento nacional de identidad


electrónico –DNIe o no se cuente con los mecanismos o dispositivos necesarios
para la autenticación de la identidad a través del DNIe, la autenticación de la
identidad del paciente o usuario de salud para la atención de salud en los
establecimientos de salud o servicios médicos de apoyo que cuenten con un
sistema de información de historias clínicas electrónicas será mediante uno de
los siguientes mecanismos:

a) Documento nacional de identidad vigente y una contraseña que el Ministerio


de Salud le proporcione, o

b) Documento nacional de identidad vigente y servicio de autenticación


biométrica de RENIEC.

Segunda.- Autenticación de la identidad para que el paciente o usuario de salud


autorice el acceso a sus historias clínicas electrónicas a través del RENHICE desde
el establecimiento de salud o servicio médico de apoyo

En tanto no se implemente en su totalidad el documento nacional de identidad


electrónico – DNIe o no se cuente con los mecanismos o dispositivos necesarios
para la autenticación de la identidad a través del DNIe, el paciente o usuario de
salud, para otorgar su autorización de acceso a sus historias clínicas electrónicas
deberá autenticar su identidad ante el profesional de la salud que lo atiende y a
través del sistema de información de historias clínicas electrónicas del
establecimiento de salud o servicio médico de apoyo, mediante uno de los
siguientes mecanismos:

a) Documento nacional de identidad vigente, una contraseña que el Ministerio de


Salud le proporcione y firma manuscrita, o

b) Documento nacional de identidad vigente y servicio de autenticación


biométrica de RENIEC.

Tercera.- Autenticación de la identidad para que el paciente o usuario de salud


acceda a sus historias clínicas electrónicas a través del RENHICE

En tanto no se implemente en su totalidad el documento nacional de identidad


electrónico –DNIe o no se cuente con los mecanismos o dispositivos necesarios
para la autenticación de la identidad a través del DNIe, el paciente o usuario de
salud o su representante legal para que acceda a sus historias clínicas
electrónicas a través del RENHICE, autenticará su identidad con su documento
nacional de identidad vigente más la contraseña que el Ministerio de Salud le
proporcione.

Cuarta.- Proceso de autenticación de la identidad y firma digital para los


profesionales de la salud.

El Ministerio de Salud podrá determinar mediante una norma complementaria


las disposiciones y los mecanismos para asegurar el proceso de certificación
digital de los profesionales de salud, en los sistemas de información de historias
clínicas electrónicas.

Quinta.- Validez legal a las historias clínicas electrónicas implementadas antes de


la entrada en vigencia del presente reglamento

Las historias clínicas electrónicas implementadas con firma digital antes de la


entrada en vigencia del presente reglamento, dentro del marco de la Ley N°
27269, Ley de Firmas y Certificados Digitales, su reglamento aprobado mediante
Decreto Supremo N° 052-2008-PCM y sus modificatorias, continuarán con la
validez legal correspondiente, hasta que el Ministerio de Salud establezca la
implementación del RENHICE.

Sexta.- Temporalidad del RENHICE de asumir las funciones de acceso e


intercambio de información clínica atribuidas a la PIDE

El MINSA desarrollará la plataforma correspondiente para que se implemente el


RENHICE, en tanto la PIDE concluya con la implementación de los estándares de
interoperabilidad en salud, de seguridad y continuidad operativa para el
intercambio de información clínica contenida en los sistemas de información de
historias clínicas electrónicas (sistema de misión crítica) de los establecimientos
de salud o servicios médicos de apoyo, lo cual deberá ser acreditado por el
MINSA, como administrador del RENHICE y ente rector del Sistema Nacional de
Salud.
17. Código de Protección y Defensa del Consumidor (Ley 29571 modificado por DL
1390)

(…)

Capítulo V
Protección de los intereses sociales y económicos

(…)

Artículo 42.- Información sobre consumidores en centrales privadas de riesgo

42.1 Todo consumidor tiene derecho a conocer los datos, el contenido y las
anotaciones de su historial crediticio registrado en las centrales de riesgo en
forma gratuita mediante la visualización en pantalla y cuando lo considere
necesario.

42.2 Todo consumidor tiene derecho, a su solicitud, a obtener gratuita y


semestralmente de cualquier central de riesgo o cuando la información contenida
en sus bancos de datos haya sido objeto de rectificación, un reporte escrito con
la información sobre su historial crediticio que conste en dicha base de datos.

42.3 El consumidor tiene derecho a la actualización de su registro en una central


de riesgo, dentro de un plazo no mayor a cinco (5) días hábiles contados desde
que la central de riesgo recibe la información pertinente que le permita efectuar
la actualización. El acreedor tiene la obligación de informar oportunamente en
los plazos previstos en la normativa correspondiente a las centrales de riesgo a
las que reportó de un deudor moroso, en el momento en que este haya cancelado
su obligación, para el registro respectivo.

42.4 La información que haya originado una anotación errónea debe ser retirada
inmediatamente, bajo responsabilidad y costo de la misma central de riesgo.

42.5 Las centrales de riesgo están en la obligación de salvaguardar la información


personal de los consumidores bajo responsabilidad y a que la información que
sea pública responda a la situación real del titular de la información en
determinado momento, conforme a la normativa correspondiente.

42.6 Las disposiciones del presente artículo se aplican en concordancia con la


legislación especial sobre la materia.

(…)

TÍTULO III
MÉTODOS COMERCIALES ABUSIVOS

(…)
Capítulo II
Métodos comerciales agresivos o engañosos

Artículo 58.- Definición y alcances

58.1 El derecho de todo consumidor a la protección contra los métodos


comerciales agresivos o engañosos implica que los proveedores no pueden llevar
a cabo prácticas que mermen de forma significativa la libertad de elección del
consumidor a través de figuras como el acoso, la coacción, la influencia indebida
o el dolo.

En tal sentido, están prohibidas todas aquellas prácticas comerciales que


importen:

(…)

e. Emplear centros de llamada (call centers), sistemas de llamado telefónico,


envío de mensajes de texto a celular o de mensajes electrónicos masivos para
promover productos y servicios, así como prestar el servicio de telemercadeo, a
todos aquellos números telefónicos y direcciones electrónicas de consumidores
que no hayan brindado a los proveedores de dichos bienes y servicios su
consentimiento previo, informado, expreso e inequívoco, para la utilización de
esta práctica comercial. Este consentimiento puede ser revocado, en cualquier
momento y conforme a la normativa que rige la protección de datos personales.
18. Ley que regula la explotación de los juegos de casino y máquinas tragamonedas
(Ley 27153 modificada por la ley 27796 y la ley 29945 y la ley 29907)

(…)

TITULO II
DE LOS JUEGOS DE CASINO Y DE LAS MAQUINAS TRAGAMONEDAS

CAPITULO I
DE LOS ESTABLECIMIENTOS

(…)

Artículo 7.- Requisitos de los establecimientos y de las salas de juegos

(…)

7.2 Las salas de juegos de casino y de máquinas tragamonedas, contarán con


instalaciones sanitarias, sistema de ventilación artificial, sistema de extinción de
incendios, sistema de vídeos, controles de acceso, salidas de emergencia, sistema
aislante acústico y ventanillas de caja, sala de caja, bóveda, sala de conteo y
demás instalaciones anexas.

(…)

“Artículo 9º.- Personas prohibidas de ingresar y participar


No podrán ingresar a las salas destinadas a la explotación de juegos de casino y
máquinas tragamonedas, ni participar de los juegos:

(...)

e. Quienes se encuentren comprendidos en el Registro de Personas Prohibidas de


Acceder a Establecimientos Destinados a la Explotación de Juegos de Casino y
Máquinas Tragamonedas.

(…)

TITULO III
DE LA AUTORIZACION, GARANTIAS E INICIO DE OPERACIONES

CAPITULO I
DE LA AUTORIZACION

(…)

Artículo 14.- Solicitud de autorización


14.1 Para la explotación de juegos de casino y máquinas tragamonedas, los
interesados deben presentar la solicitud ante la autoridad competente,
adjuntando lo siguiente:

(…)

q) Para el caso de salas de juegos de casino: información detallada del sistema


de audio y video en cada una de las mesas de juego, en las áreas de caja y sala
de conteo, bóveda, así como en las puertas de ingreso y salida de personas, de
conformidad con las especificaciones técnicas previstas en el Reglamento.
Para el caso de salas de juegos de máquinas tragamonedas: información
detallada del sistema de audio y vídeo en las áreas de caja y sala de conteo,
bóveda, así como en las puertas de ingreso y salida de personas, de conformidad
con las especificaciones técnicas previstas en el Reglamento.

(…)

t. Plan de Prevención de la Ludopatía, que debe contener las acciones concretas


que la empresa operadora se compromete a realizar, por ella misma o asociada
con otras empresas, con la finalidad de disminuir los riesgos de la ludopatía en la
población, cada 2 años y presenta los resultados a la Dirección General de Juegos
de Casino y Máquinas Tragamonedas que remite un informe a la Comisión
Nacional de Prevención y Rehabilitación de Personas Adictas a los Juegos de Azar.

u. Otros que establezca el Reglamento.

(…)

CAPITULO III
DEL INICIO DE OPERACIONES

Artículo 23.- Inicio de operaciones

23.1 El titular de la autorización deberá comunicar a la autoridad competente,


bajo sanción de caducidad automática de la autorización, la fecha de inicio de
sus operaciones con una anticipación mínima de 20 (veinte) días hábiles,
adjuntando la siguiente documentación:

(…)

c. Aprobación del funcionamiento del sistema de circuito cerrado de audio y


vídeo, con el reglamento de operación;

(…)

TITULO V
DE LOS TlTULARES DE LA AUTORIZACIÓN DE EXPLOTACIÓN DE JUEGOS DE
CASINO Y MAQUINAS TRAGAMONEDAS

Artículo 31.- Obligaciones del titular de una autorización

El titular de una autorización queda obligado a:

(…)

k. Mantener en operación, bajo responsabilidad, un sistema de circuito cerrado


de audio y vídeo no visible al público, en las salas donde se exploten juegos de
casino y máquinas tragamonedas, de acuerdo a las especificaciones y plazos
establecidos en Ias normas reglamentarias; asimismo conservar los registros
magnéticos correspondientes por los plazos señalados en el reglamento de la
presente Ley;

(…)

u. Publicitar en un lugar visible de su establecimiento un aviso notorio con el


rótulo siguiente: Jugar en exceso causa ludopatía. Difundir sobre los riesgos y
consecuencias de la ludopatía.

(…)

TITULO IX
PREVENCION DE LA SALUD PUBLICA

Articulo 48 . - Creación de la Comisión

48.1. Crease la Comisión Nacional de Prevención y Rehabilitación de Personas


Adictas a los Juegos de Azar, dependiendo del Ministerio de Salud (…)

Articulo 49. - Funciones

Con el fin de preservar y proteger a la ciudadanía de los posibles perjuicios o


daños que afectan la salud pública, la comisión creada en el artículo anterior,
realiza las siguientes funciones:

(…)

b) Acopia y difunde estadísticas respecto al número de jugadores, el efecto a la


salud y el impacto socioeconómico que produce el juego de azar en las personas
y en su entorno familiar.
c) Ejecuta campañas informativas y preventivas hacía la población para
desincentivar los hábitos y conductas patológicas relacionados con el juego de
azar, con especial atención a los sectores sociales más vulnerados.
d) Elabora un Programa Nacional Bianual para la Prevención y Rehabilitación de
la Ludopatía. El ministro de Salud informa por escrito en marzo de cada año a las
comisiones de Salud y Población y de Comercio Exterior y Turismo del Congreso
de la República sobre los resultados de la aplicación de dicho Programa Nacional.

(…)

f) Coordina ante los centros hospitalarios, asistencia médica y tratamiento


especializado para rehabilitar a personas afectadas por el juego de azar.
g) Colabora y coordina acciones de rehabilitación con diversas asociaciones de
personas afectadas por el juego de azar.

(…)
19. Ley para la prevención y el tratamiento de la ludopatía en las salas de juego de
casino y máquinas tragamonedas. (Ley 29907)

Artículo 1. Objeto
La presente Ley tiene por objeto regular la prevención y el tratamiento de la
ludopatía en los juegos de azar que se realizan en los establecimientos destinados
a la explotación de juegos de casino y máquinas tragamonedas,

Artículo 2. Definición de ludopatía


Entiéndese por ludopatía la alteración progresiva del comportamiento a través
de una incontrolable necesidad de apostar, sin medir las consecuencias negativas
que de ello deriven.

Artículo 3. Creación del Registro


3.1 Créase el Registro de Personas Prohibidas de Acceder a Establecimientos
Destinados a la Explotación de Juegos de Casino y Máquinas Tragamonedas, a
cargo de la Dirección General de Juegos de Casino y Máquinas Tragamonedas,
dependiente del Ministerio de Comercio Exterior y Turismo.

3.2 En este registro se inscriben las siguientes personas:


a) Las que voluntariamente lo soliciten.
b) Aquellas cuya capacidad de juicio esté afectada, la cual es determinada por
una Junta Médica, a solicitud de la familia. Para el caso de las personas que
voluntariamente soliciten su inscripción en el Registro, el tiempo mínimo de
permanencia obligatorio es de seis meses, renovable automáticamente por igual
período.

Artículo 4. Funcionamiento del Registro


4.1 La Dirección General de Juegos de Casino y Máquinas Tragamonedas pone en
conocimiento de las empresas que operan las salas de juegos de casino y
máquinas tragamonedas el contenido del Registro de Personas Prohibidas de
Acceder a Establecimientos Destinados a la Explotación de Juegos de Casino y
Máquinas Tragamonedas y sus modificaciones.

4.2 Los titulares de las empresas son responsables de hacer cumplir la prohibición
del ingreso a sus instalaciones de las personas inscritas en el Registro y adoptan
las medidas necesarias para detectar y retirar a las personas inscritas en el
Registro que hayan ingresado a las salas de juego y máquinas tragamonedas. El
reglamento de la presente Ley fija las sanciones para los titulares de estas
empresas ante su incumplimiento.

Artículo 5. Reserva de identidad


5.1 La Dirección General de Juegos de Casino y Máquinas Tragamonedas, así
como los titulares de las salas de juegos de casino y máquinas tragamonedas,
son responsables de velar por la reserva de identidad de las personas inscritas en
el Registro ante terceros.
5.2 El reglamento de la presente Ley establece los mecanismos y garantías para
que la información contenida en el mencionado registro se conserve en reserva y
cumpla con la finalidad de la presente Ley. Asimismo, establece las sanciones
para los que incumplan la presente disposición.

5.3 La reserva de la información contenida en el Registro solo puede ser


levantada por el mismo interesado o por la autoridad judicial.

Artículo 6. Modificación de la Ley 27153, Ley que regula la explotación de los


juegos de casino y máquinas tragamonedas
Adiciónase el literal e) al artículo 9, modifícase el literal t) y adiciónase el literal
u) al párrafo 14.1 del artículo 14; adiciónase el literal u) al artículo 31 y modifícase
el literal d) del artículo 49 de la Ley 27153, Ley que regula la explotación de los
juegos de casino y máquinas tragamonedas, en los siguientes términos:

“Artículo 9º.- Personas prohibidas de ingresar y participar


No podrán ingresar a las salas destinadas a la explotación de juegos de casino y
máquinas tragamonedas, ni participar de los juegos:
(...)
e. Quienes se encuentren comprendidos en el Registro de Personas Prohibidas de
Acceder a Establecimientos Destinados a la Explotación de Juegos de Casino y
Máquinas Tragamonedas.

Artículo 14º.- Solicitud de autorización


14.1Para la explotación de juegos de casino y máquinas tragamonedas, los
interesados deben presentar la solicitud ante la autoridad competente,
adjuntando lo siguiente:
(...)
t. Plan de Prevención de la Ludopatía, que debe contener las acciones concretas
que la empresa operadora se compromete a realizar, por ella misma o asociada
con otras empresas, con la finalidad de disminuir los riesgos de la ludopatía en la
población, cada 2 años y presenta los resultados a la Dirección General de Juegos
de Casino y Máquinas Tragamonedas que remite un informe a la Comisión
Nacional de Prevención y Rehabilitación de Personas Adictas a los Juegos de Azar.
u. Otros que establezca el Reglamento.

Artículo 31º.- Obligaciones del titular de una autorización


El titular de una autorización queda obligado a:
(...)
u. Publicitar en un lugar visible de su establecimiento un aviso notorio con el
rótulo siguiente: Jugar en exceso causa ludopatía. Difundir sobre los riesgos y
consecuencias de la ludopatía.

Artículo 49º.- Funciones


Con el fin de preservar y proteger a la ciudadanía de los posibles perjuicios o
daños que afectan la salud pública, la comisión creada en el artículo anterior,
realiza las siguientes funciones:
(...)
d) Elabora un Programa Nacional Bianual para la Prevención y Rehabilitación de
la Ludopatía. El ministro de Salud informa por escrito en marzo de cada año a las
comisiones de Salud y Población y de Comercio Exterior y Turismo del Congreso
de la República sobre los resultados de la aplicación de dicho Programa
Nacional.”

Artículo 7. Modificación de la Ley 26842, Ley General de Salud


Modifícase el artículo 5 de la Ley 26842, Ley General de Salud, en los siguientes
términos:

“Artículo 5º.- Toda persona tiene derecho a ser debida y oportunamente


informada por la Autoridad de Salud sobre medidas y prácticas de higiene, dieta
adecuada, salud mental, salud reproductiva, enfermedades transmisibles,
enfermedades crónicas degenerativas, diagnóstico precoz de enfermedades y
demás acciones conducentes a la promoción de estilos de vida saludable. Tiene
derecho a recibir información sobre los riesgos que ocasiona el tabaquismo, el
alcoholismo, la drogadicción, la ludopatía, la violencia y los accidentes. Asimismo,
tiene derecho a exigir a la Autoridad de Salud a que se le brinde, sin expresión de
causa, información en materia de salud, con arreglo a lo que establece la
presente Ley.”

(…)
20. Ley que previene y sanciona la violencia en los espectáculos deportivos (Ley 30037)

CAPÍTULO II
PREVENCIÓN, SEGURIDAD INTERNA Y SISTEMAS DE VIGILANCIA EN
ESPECTÁCULOS DEPORTIVOS

Artículo 9. Verificación de requisitorias


La Policía Nacional del Perú tiene la obligación de verificar de manera aleatoria
que ninguna persona que ingrese a los espectáculos deportivos posea orden de
captura emitida por un órgano jurisdiccional competente; para ello cruza
información con su base de datos de requisitorias al momento del ingreso al
recinto deportivo. Si se encuentra a alguna persona que posea orden de captura,
se le prohíbe el ingreso y se la conduce en forma inmediata a la dependencia
policial correspondiente.

CAPÍTULO III
EMPADRONAMIENTO DE INTEGRANTES DE BARRAS

Artículo 10. Registro de empadronamiento de integrantes de barras


Los responsables de los clubes deportivos y profesionales implementan
obligatoriamente un registro de identificación en el que se individualice con toda
facilidad a los barristas organizados, el cual debe contener los datos de
identificación, domicilio, ocupación y/o profesión de cada uno de ellos; luego,
les otorgan un carné que les permita acceder al estadio, recinto o complejo
deportivo y a los beneficios que eventualmente se les confiera.

(…)

GLOSARIO DE TÉRMINOS
La presente Ley considera las definiciones siguientes:

(…)

11. Registro de barristas. Padrón de identificación de los barristas, en el que se


precisan sus datos y las incidencias en las que estos incurren.
21. Ley que regula el uso y las operaciones de los sistemas de aeronaves pilotadas a
distancia (rpas) (Ley 30740)

Artículo 5. Operaciones no permitidas

De conformidad con el párrafo 2.4 del artículo 2 de la presente ley, la Dirección


General de Aeronáutica Civil (DGAC) del Ministerio de Transportes y
Comunicaciones no autoriza las operaciones de los sistemas de aeronaves
pilotadas a distancia (RPAS) y sanciona a los responsables cuando corresponda:

(…)

b) Si se sobrevuela espacios urbanos o con alta densidad poblacional o áreas


naturales protegidas, zonas peligrosas, zonas restringidas y zonas prohibidas,
salvo que cuente con la autorización excepcional expedida por la autoridad
competente.

c) Si se viola la privacidad de los ciudadanos.

La autoridad competente, mediante normas administrativas, determina otros


casos para la no autorización de dichas operaciones y las correspondientes
sanciones.
22. Decreto Legislativo que modifica la Ley 27933, Ley del sistema nacional de
seguridad ciudadana y regula la cooperación de la pnp con las municipalidades para
fortalecer el sistema de seguridad ciudadana (DL 1316)

(…)

Artículo 3°.- Incorporan los artículos 3–A y 10–A a la Ley N° 27933

Incorpórase el Artículo 3-A que regula las funciones del ente rector del SINASEC a
la Ley N° 27933, Ley del Sistema Nacional de Seguridad Ciudadana, en los
términos siguientes:

Artículo 3-A.- Competencia y funciones del ente rector del Sistema Nacional de
Seguridad Ciudadana

El Ministerio del Interior en su calidad de ente rector del Sistema Nacional de


Seguridad Ciudadana tiene competencia para dictar las normas y procedimientos
relacionados con la Seguridad Ciudadana en el marco de la presente Ley.

Son funciones del ente rector ejerce las siguientes:

a) Dictar, en el ámbito de su competencia, las normas técnicas, procedimientos,


directivas y otras normas referidas a la gestión del servicio de seguridad
ciudadana, con carácter vinculante para todos los integrantes del sistema, y de
alcance nacional, regional, o local;

b) Supervisar el seguimiento y evaluación de las políticas, normas y acciones en


seguridad ciudadana de las entidades que conforman el SINASEC;

c) Fiscalizar los documentos que sustentan el cumplimiento de las políticas y


normas del Sistema, cuando estime necesario o detecte irregularidades.

d) Aprobar lineamientos técnicos e instrumentos para la programación,


ejecución, seguimiento y evaluación, difusión y promoción de las políticas y
planes de seguridad ciudadana.

e) Proponer los planes, programas y proyectos, en materia de seguridad


ciudadana al CONASEC.

f) Establecer las características de las armas no letales, menos letales o


potencialmente letales; de las tecnologías y otros medios o instrumentos
utilizados en el servicio de seguridad ciudadana, en concordancia con los
acuerdos internacionales multilaterales suscritos por el Perú, y el ordenamiento
jurídico nacional en materia de restricciones al comercio.

g) Administrar el Registro Nacional de Serenazgos, el Registro Nacional de


Serenos y el Registro de Centros de Capacitación de Serenos.
h) Certificar a los Centros de Capacitación de Serenos.

i) Establecer los requisitos mínimos para la selección, ingreso, formación y


capacitación de los serenos; y aprobar la estructura curricular básica de cualquier
Centro de Capacitación de Serenos.

j) Normar las características, especificaciones técnicas y uso de vehículos,


uniformes, distintivos e implementos del sereno. El uniforme utilizado por el
sereno no deberá ser igual ni tener similitud o generar confusión con los
uniformes de las Fuerzas Armadas o Policía Nacional del Perú.
23. Ley General de Salud (Ley 26842 modificado por Ley 29907, modificado por Ley
29973 y modificado por ley 29889)

TITULO PRELIMINAR

I. La salud es condición indispensable del desarrollo humano y medio


fundamental para alcanzar el bienestar individual y colectivo.
II. La protección de la salud es de interés público. Por tanto, es responsabilidad
del Estado regularla, vigilarla y promoverla.
III. Toda persona tiene derecho a la protección de su salud en los términos y
condiciones que establece la ley. El derecho a la protección de la salud es
irrenunciable.
El concebido es sujeto de derecho en el campo de la salud.
IV. La salud pública es responsabilidad primaria del Estado. La responsabilidad en
materia de salud individual es compartida por el individuo, la sociedad y el
Estado.
V. Es responsabilidad del Estado vigilar, cautelar y atender los problemas de
desnutrición y de salud mental de la población, y los de salud ambiental, así como
los problemas de salud de la persona con discapacidad, del niño, del adolescente,
de la madre y del adulto mayor en situación de abandono social.
VI. Es de interés público la provisión de servicios de salud, cualquiera sea la
persona o institución que los provea. Es responsabilidad del Estado promover las
condiciones que garanticen una adecuada cobertura de prestaciones de salud a
la población, en términos socialmente aceptables de seguridad, oportunidad y
calidad.
Es irrenunciable la responsabilidad del Estado en la provisión de servicios de salud
pública. El Estado interviene en la provisión de servicios de atención médica con
arreglo a principios de equidad.
VII. El Estado promueve el aseguramiento universal y progresivo de la población
para la protección de las contingencias que pueden afectar su salud y garantiza
la libre elección de sistemas previsionales, sin perjuicio de un sistema
obligatoriamente impuesto por el Estado para que nadie quede desprotegido.
VIII. El financiamiento del Estado se orienta preferentemente a las acciones de
salud pública y a subsidiar total o parcialmente la atención médica a las
poblaciones de menores recursos, que no gocen de la cobertura de otro régimen
de prestaciones de salud, público o privado.
IX. La norma de salud es de orden público y regula materia sanitaria, así como la
protección del ambiente para la salud y la asistencia médica para la recuperación
y rehabilitación de la salud de las personas.
Nadie puede pactar en contra de ella.
X. Toda persona dentro del territorio nacional está sujeta al cumplimiento de la
norma de salud. Ningún extranjero puede invocar su ley territorial en materia de
salud.
XI. En caso de defecto o deficiencia de la norma de salud, se aplican los principios
generales del derecho.
XII. El ejercicio del derecho a la propiedad, a la inviolabilidad del domicilio, al libre
tránsito, a la libertad de trabajo, empresa, comercio e industria así como el
ejercicio del derecho de reunión están sujetos a las limitaciones que establece la
ley en resguardo de la salud pública.
Las razones de conciencia o de creencia no pueden ser invocadas para eximirse
de las disposiciones de la Autoridad de Salud cuando de tal exención se deriven
riesgos para la salud de terceros.
XIII. El uso o usufructo de los bienes en condiciones higiénicas y sanitarias
inaparentes para el fin al que están destinadas, constituye un abuso del derecho,
cualquiera que sea el régimen a que están sujetas.
XIV. La información en salud es de interés público. Toda persona está obligada a
proporcionar a la Autoridad de Salud la información que le sea exigible de
acuerdo a ley. La que el Estado tiene en su poder es de dominio público, con las
excepciones que establece la ley.
XV. El Estado promueve la investigación científica y tecnológica en el campo de
la salud, así como la formación, capacitación y entrenamiento de recursos
humanos para el cuidado de la salud.
XVI. El Estado promueve la educación en salud en todos los niveles y modalidades.
XVII. La promoción de la medicina tradicional es de interés y atención preferente
del Estado.
XVIII. El Estado promueve la participación de la comunidad en la gestión de los
servicios públicos de salud.

TITULO I
DE LOS DERECHOS, DEBERES Y RESPONSABILIDADES CONCERNIENTES A LA
SALUD INDIVIDUAL

Artículo 1º.- Toda persona tiene el derecho al libre acceso a prestaciones de salud
y a elegir el sistema previsional de su preferencia.

Artículo 2º.- Toda persona tiene derecho a exigir que los bienes destinados a la
atención de su salud correspondan a las características y atributos indicados en
su presentación y a todas aquellas que se acreditaron para su autorización.
Así mismo, tiene derecho a exigir que los servicios que se le prestan para la
atención de su salud cumplan con los estándares; de calidad aceptados en los
procedimientos y prácticas institucionales y profesionales.

Artículo 3º.- Toda persona tiene derecho a recibir, en cualquier establecimiento


de salud, atención médico-quirúrgica de emergencia cuando la necesite y
mientras subsista el estado de grave riesgo para su vida o su salud.
El reglamento establece los criterios para la calificación de la situación de
emergencia, las condiciones de reembolso de gastos y las responsabilidades de
los conductores de los establecimientos.

Artículo 4º.- Ninguna persona puede ser sometida a tratamiento médico o


quirúrgico, sin su consentimiento previo o el de la persona llamada legalmente
a darlo, si correspondiere o estuviere impedida de hacerlo. Se exceptúa de este
requisito las intervenciones de emergencia.
La negativa a recibir tratamiento médico o quirúrgico exime de responsabilidad
al médico tratante y al establecimiento de salud, en su caso.
En caso que los representantes legales de los absolutamente incapaces o de los
relativamente incapaces, a que se refieren los numerales 1 al 3 del Artículo 44
del Código Civil, negaren su consentimiento para el tratamiento médico o
quirúrgico de las personas a su cargo, el médico tratante o el establecimiento
de salud, en su caso, debe comunicarlo a la autoridad judicial competente para
dejar expeditas las acciones a que hubiere lugar en salvaguarda de la vida y la
salud de los mismos.
El reglamento establece los casos y los requisitos de formalidad que deben
observarse para que el consentimiento se considere válidamente emitido.

Artículo 5º.- Toda persona tiene derecho a ser debida y oportunamente


informada por la Autoridad de Salud sobre medidas y prácticas de higiene, dieta
adecuada, salud mental, salud reproductiva, enfermedades transmisibles,
enfermedades crónicas degenerativas, diagnóstico precoz de enfermedades y
demás acciones conducentes a la promoción de estilos de vida saludable. Tiene
derecho a recibir información sobre los riesgos que ocasiona el tabaquismo, el
alcoholismo, la drogadicción, la ludopatía, la violencia y los accidentes. Asimismo,
tiene derecho a exigir a la Autoridad de Salud a que se le brinde, sin expresión de
causa, información en materia de salud, con arreglo a lo que establece la
presente Ley.

Artículo 6º.- Toda persona tiene el derecho a elegir libremente el método


anticonceptivo de su preferencia, incluyendo los naturales, y a recibir, con
carácter previo a la prescripción o aplicación de cualquier método anticonceptivo,
información adecuada sobre los métodos disponibles, sus riesgos,
contraindicaciones, precauciones, advertencias y efectos físicos, fisiológicos o
psicológicos que su uso o aplicación puede ocasionar.
Para la aplicación de cualquier método anticonceptivo se requiere del
consentimiento previo del paciente. En caso de métodos definitivos, la
declaración del consentimiento debe constar en documento escrito.

Artículo 7º.- Toda persona tiene derecho a recurrir al tratamiento de su


infertilidad, así como a procrear mediante el uso de técnicas de reproducción
asistida, siempre que la condición de madre genética y de madre gestante recaiga
sobre la misma persona. Para la aplicación de técnicas de reproducción asistida,
se requiere del consentimiento previo y por escrito de los padres biológicos.
Está prohibida la fecundación de óvulos humanos con fines distintos a la
procreación, así como la clonación de seres humanos.

Artículo 8º.- Toda persona tiene derecho a recibir órganos o tejidos de seres
humanos vivos de cadáveres o de animales para conservar su vida o recuperar su
salud. Puede, así mismo, disponer a título gratuito de sus órganos y tejidos con
fines de transplante, injerto o transfusión, siempre que ello no ocasiones grave
perjuicio a su salud o comprometa su vida.
La disposición de órganos y tejidos de seres humanos vivos está sujeta a
consentimiento expreso y escrito del donante. Los representantes de los
incapaces, comprendidos dentro de los alcances del Artículo 4 de esta ley,
carecen de capacidad legal para otorgarlo.
Para la disposición de órganos y tejidos de cadáveres se estará a lo declarado en
el Documento Nacional de Identidad, salvo declaración posterior en contrario
hecha en vida por el fallecido que conste de manera indubitable y los casos
previstos en el Artículo 110 de la presente ley.
En caso de muerte de una persona, sin que ésta haya expresado en vida su
voluntad de donar sus órganos o tejidos, o su negativa de hacerlo, corresponde a
sus familiares más cercanos disponerlo.

Artículo 9º.- La persona con discapacidad tiene derecho a recibir prestaciones de


salud y rehabilitación de calidad, sin discriminación, en igualdad de condiciones
que las demás. El Estado presta servicios de detección e intervención temprana,
así como servicios dirigidos a prevenir y reducir a su mínima expresión la
aparición de nuevas discapacidades. Los servicios de rehabilitación se prestan en
los ámbitos de la salud, el empleo, la educación y los servicios sociales de manera
descentralizada y comunitaria. El Ministerio de Salud garantiza la disponibilidad
y el acceso de la persona con discapacidad a tecnologías de apoyo, dispositivos,
medicamentos y la ayuda compensatoria necesaria para su atención y
rehabilitación.

Artículo 10º.- Toda persona tiene derecho a recibir una alimentación sana y
suficiente para cubrir sus necesidades biológicas. La alimentación de las personas
es responsabilidad primaria de la familia.
En los programas de nutrición y asistencia alimentaria, el Estado brinda atención
preferente al niño, a la madre gestante y lactante, al adolescente y al anciano en
situación de abandono social.

Artículo 11º.- Toda persona tiene derecho a gozar del más alto nivel posible de
salud mental, sin discriminación. El Estado garantiza la disponibilidad de
programas y servicios para la atención de la salud mental en número suficiente,
en todo el territorio nacional; y el acceso a prestaciones de salud mental
adecuadas y de calidad incluyendo intervenciones de promoción, prevención,
recuperación y rehabilitación. Además de los procedimientos y derechos
establecidos en el artículo 15 de la presente Ley, en la atención de la salud mental
se considera lo siguiente:
a. La atención de la salud mental se realiza en el marco de un abordaje
comunitario, interdisciplinario ,integral, participativo, descentralizado e
intersectorial.
b. La atención de la salud mental se realiza preferentemente de manera
ambulatoria, dentro del entorno familiar, comunitario y social.
c. El internamiento es un recurso terapéutico de carácter excepcional y solo puede
llevarse a cabo cuando aporte mayores beneficios terapéuticos para el paciente
que el resto de intervenciones posibles. Se realiza por el tiempo estrictamente
necesario y en el establecimiento de salud más cercano al domicilio del usuario.
d. El tratamiento e internamiento se realizan con el consentimiento informado,
libre y voluntario del usuario, salvo en situaciones de emergencia.
e. La revisión médica periódica de los diagnóstico se informes que recomiendan
el internamiento de pacientes. El internamiento tendrá una segunda opinión
médica.
f. Los usuarios de los servicios de salud mental, incluidas las personas con
discapacidad mental, mantienen el pleno ejercicio de sus derechos durante su
tratamiento e internamiento.
g. Las personas con adicciones gozan de los mismos derechos y garantías que se
reconocen a los demás usuarios de los servicios de salud. Su tratamiento e
internamiento involuntario no requiere de su consentimiento informado y se
realiza a solicitud de la familia cuando su capacidad de juicio esté afectada, lo
cual debe ser determinado por una Junta Médica.

Artículo 12º.- Las obligaciones a que se refieren los Artículos 10 y 11 de la


presente ley, son exigibles, por el Estado o por quienes tengan legítimo interés, a
los responsables o familiares, con arreglo a lo que establecen loa Artículos 473 y
siguientes del Libro Tercero, Sección Cuarta, Título I, Capítulo I, de los
"Alimentos", del Código Civil. Tratándose de niños o adolescentes se estará a lo
que dispone la ley de la materia.
En los casos que, por ausencia de familia, la persona se encuentre desprotegida,
el Estado deberá asumir su protección.

Artículo 13º.- Toda persona tiene derecho a que se le extienda la certificación


de su estado de salud cuando lo considere conveniente.
Ninguna autoridad pública podrá exigir a las personas la certificación de su
estado de salud, carné sanitario, carné de salud o documento similar, como
condición para el ejercicio de actividades profesionales, de producción,
comercio o afines.
Lo dispuesto en la presente disposición no exime a las personas del
cumplimiento de las disposiciones relacionadas con el carné o certificado de
vacunaciones, de conformidad con lo que establece la norma de salud, ni de
aquellas relacionadas con la certificación de su estado de salud como requisito
para obtener licencias para conducir vehículos naves y aeronaves, o manejar
armas o explosivos con arreglo a la ley de la materia.

Artículo 14º.- Toda persona tiene el derecho de participar individual o


asociadamente en programas de promoción y mejoramiento de la salud invidual
o colectiva.

Artículo 15º.- Toda persona, usuaria de los servicios de salud, tiene derecho:

a) Al respeto de su personalidad, dignidad e intimidad;


b) A exigir la reserva de la información relacionada con el acto médico y su
historia clínica, con las excepciones que la ley establece;
c) A no ser sometida, sin su consentimiento, a exploración, tratamiento o
exhibición con fines docentes;
d) A no ser objeto de experimentación para la aplicación de medicamentos o
tratamientos sin ser debidamente informada sobre la condición experimental de
éstos, de los riesgos que corre y sin que medie previamente su consentimiento
escrito o el de la persona llamada legalmente a darlo, si correspondiere, o si
estuviere impedida de hacerlo;
e) A no ser discriminado en razón de cualquier enfermedad o padecimiento que
le afectare;
f) A que se le brinde información veraz, oportuna y completa sobre las
características del servicio, las condiciones económicas de la prestación y demás
términos y condiciones del servicio;
g) A que se le dé en términos comprensibles información completa y continuada
sobre su proceso, incluyendo el diagnóstico, pronóstico y alternativas de
tratamiento, así como sobre los riesgos, contraindicaciones, precauciones y
advertencias de las medicamentos que se le prescriban y administren;
h) A que se le comunique todo lo necesario para que pueda dar su
consentimiento informado, previo a la aplicación de cualquier procedimiento o
tratamiento, así como negarse a éste;
i) A que se le entregue el informe de alta al finalizar su estancia en el
establecimiento de salud y, si lo solicita, copia de la epicrisis y de su historia
clínica.

Artículo 16º.- Toda persona debe velar por el mejoramiento, la conservación y la


recuperación de su salud y la de las personas a su cargo.
El deber personal de atender y conservar la propia salud sólo puede ser exigido
cuando tal omisión es susceptible de incidir negativamente en la salud pública o
en la de terceras personas.

Artículo 17º.- Ninguna persona puede actuar o ayudar en prácticas que


signifiquen peligro, menoscabo o daño para la salud de terceros de la población.

Artículo 18º.- Toda persona es responsable frente a terceros por el


incumplimiento de las prácticas sanitarias y de higiene destinadas a prevenir la
aparición y propagación de enfermedades transmisibles, así como por los actos
o hechos que originen contaminación del ambiente.

Artículo 19º.- Es obligación de toda persona cumplir con las normas de seguridad
que establecen las disposiciones pertinentes y participar y colaborar en la
prevención y reducción de los riesgos por accidentes.

Artículo 20º.- Es deber de toda persona participar en el mejoramiento de la


cultura sanitaria de su comunidad.

Artículo 21º.- Toda persona tiene el deber de participar y cooperar con las
autoridades públicas en la prevención y solución de los problemas ocasionados
por situaciones de desastre.

TITULO II
DE LOS DEBERES, RESTRICCIONES Y RESPONSABILIDADES EN CONSIDERACION A
LA SALUD DE TERCEROS

CAPITULO I
DEL EJERCICIO DE LAS PROFESIONES MEDICAS Y AFINES DE LAS ACTIVIDADES
TECNICAS Y AUXILIARES EN EL CAMPO DE LA SALUD

Artículo 22º.- Para desempeñar actividades profesionales propias de la medicina,


odontología, farmacia o cualquier otra relacionada con la atención de la salud,
se requiere tener título profesional en los casos que la ley así lo establece y
cumplir con los requisitos de colegiación, especialización, licenciamiento y demás
que dispone la ley.

Artículo 23º.- Las incompatibilidades, limitaciones y prohibiciones así como el


régimen de sanciones aplicables a los profesionales a que se refiere el presente
Capítulo, se rigen por los Códigos de Etica y normas estatutarias de los Colegios
Profesionales correspondientes.

Artículo 24º.- La expedición de recetas, certificados e informes directamente


relacionados con la atención de pacientes, la ejecución de intervenciones
quirúrgicas, la prescripción o experimentación de drogas, medicamentos o
cualquier producto, sustancia o agente destinado al diagnóstico, prevención o
tratamiento de enfermedades, se reputan actos del ejercicio profesional de la
medicina y están sujetos a la vigilancia de los Colegios Profesionales
correspondientes.

Artículo 25º.- Toda información relativa al acto médico que se realiza, tiene
carácter reservado.
El profesional de la salud, el técnico o el auxiliar que proporciona o divulga, por
cualquier medio, información relacionada al acto médico en el que participa o
del que tiene conocimiento, incurre en responsabilidad civil o penal, según el
caso, sin perjuicio de las sanciones que correspondan en aplicación de los
respectivos Códigos de Etica Profesional.
Se exceptúan de la reserva de la información relativa al acto médico en los
casos siguientes:

a) Cuando hubiere consentimiento por escrito del paciente;


b) Cuando sea requerida por la autoridad judicial competente;
c) Cuando fuere utilizada con fines académicos o de investigación científica,
siempre que la información obtenida de la historia clínica se consigne en forma
anónima;
d) Cuando fuere proporcionada a familiares o allegados del paciente con el
propósito de beneficiarlo, siempre que éste no lo prohíba expresamente;
e) Cuando versare sobre enfermedades y daños de declaración y notificación
obligatorias, siempre que sea proporcinada a la Autoridad de Salud;
f) Cuando fuere proporcionada a la entidad aseguradora o administradora de
financiamiento vinculada con la atención prestada al paciente siempre que
fuere con fines de reembolso, pago de beneficios, fiscalización o auditoría; y,
g) Cuando fuere necesaria para mantener la continuidad de la atención médica
al paciente.
La información sobre el diagnóstico de las lesiones o daños en los casos a los
que se refiere el Artículo 30 de esta ley, deberá ser proporcionada a la autoridad
policial o al Ministerio Público a su requerimiento.

Artículo 26º.- Sólo los médicos puedes prescribir medicamentos. Los


cirujanodentistas y las obstetrices sólo pueden prescribir medicamentos dentro
del área de su profesión.
Al prescribir medicamentos deben consignar obligatoriamente su Denominación
Común Internacional (DCI), el nombre de marca si lo tuviere, la forma
farmacéutica, posología, dosis y período de administración. Asimismo, están
obligados a informar al paciente sobre los riesgos, contraindicaciones, reacciones
adversas e interacciones que su administración puede ocasionar y sobre las
precauciones que debe observar para su uso correcto y seguro.

Artículo 27º.- El médico tratante, así como el cirujano- dentista y la obstetriz


están obligados a informar al paciente sobre el diagnóstico, pronóstico,
tratamiento y manejo de su problema de salud, así como sobre los riesgos y
consecuencias de los mismos.
Para aplicar tratamientos especiales, realizar pruebas riesgosas o practicar
intervenciones que puedan afectar psíquica o físicamente al paciente, el médico
está obligado a obtener por escrito su consentimiento informado.

Artículo 28º.- La investigación experimental con personas debe ceñirse a la


legislación especial sobre la materia y a los postulados éticos contenidos en la
Declaración Helsinki y sucesivas declaraciones que actualicen los referidos
postulados.

Artículo 29º.- El acto médico debe estar sustentado en una historia clínica veraz
y suficiente que contenga las prácticas y procedimientos aplicados al paciente
para resolver el problema de salud diagnosticado.
La información mínima que debe contener la historia clínica se rige por el
reglamento de la presente ley.
El médico y el cirujano-dentista quedan obligados a proporcionar copia de la
historia clínica al paciente en caso que éste o su representante lo solicite. El
interesado asume el costo que supone el pedido.

Artículo 30º.- El médico que brinda atención médica a una persona herida por
arma blanca, herida de bala, accidente de tránsito o por causa de otro tipo de
violencia que constituya delito perseguible de oficio o cuando existan indicios de
aborto criminal, está obligado a poner el hecho en conocimiento de la autoridad
competente.
Artículo 31º.- Es responsabilidad del médico tratante, del médico legista que
practica la necropsia o del médico señalado por el establecimiento de salud en el
que ocurre el fallecimiento de la persona, el extender debidamente el certificado
de defunción correspondiente.

Artículo 32º.- Los profesionales de la salud, técnicos y auxiliares están obligados


a informar a la Autoridad de Salud los casos de enfermedades y daños de
declaración y notificación obligatorias.

Artículo 33º.- El químico-farmacéutico es responsable de la dispensación y de la


información y orientación al usuario sobre la administración, uso y dosis del
producto farmacéutico, su interacción con otros medicamentos, sus reacciones
adversas y sus condiciones de conservación.
Asimismo, está facultado para ofrecer al usuario alternativas de medicamentos
química y farmacológicamente equivalentes al prescrito en la receta, en igual
forma farmacéutica y dosis.

Artículo 34º.- Los profesionales de la salud que detecten reacciones adversas a


medicamentos que revistan gravedad, están obligados a comunicarlos a la
Autoridad de Salud de nivel nacional, o a quien ésta delegue, bajo
responsabilidad.

Artículo 35º.- Quienes desarrollan actividades profesionales, técnicas o auxiliares


relacionadas con la salud de las personas, se limitarán a ejercerlas en el área que
el título, certificado o autorización legalmente expedidos determine.

Artículo 36º.- Los profesionales, técnicos y auxiliares a que se refiere este


Capítulo, son responsables por los daños y perjuicios que ocasionen al paciente
por el ejercicio negligente, imprudente e imperito de sus actividades.

CAPITULO II
DE LOS ESTABLECIMIENTOS DE SALUD Y SERVICIOS MEDICOS DE APOYO

Artículo 37º.- Los establecimientos de salud y los servicios médicos de apoyo,


cualquiera sea su naturaleza o modalidad de gestión, deben cumplir los requisitos
que disponen los reglamentos y normas técnicas que dicta la Autoridad de Salud
de nivel nacional relación a planta física, equipamiento, personal asistencial,
sistemas de saneamiento y control de riesgos relacionados con los agentes
ambientales físicos, químicos, biológicos y ergonómicos y demás que proceden
atendiendo a la naturaleza y complejidad de los mismos.
La Autoridad de Salud de nivel nacional o a quien ésta delegue, verificará
periódicamente el cumplimiento de lo establecido en la presente disposición.

Artículo 38.- Los establecimientos de salud y servicios a que se refiere el presente


Capítulo, quedan sujetos a la evaluación y control periódicos y a las auditorías
que dispone la Autoridad de Salud de nivel nacional.
La Autoridad de Salud de nivel nacional dicta las normas de evaluación y control
y de auditoría correspondientes.

Artículo 39º.- Los establecimientos de salud, sin excepción, están obligados a


prestar atención médico-quirúrgica de emergencia, a quien la necesita y mientras
subsista el estado de grave riesgo para su vida o salud, en la forma y condiciones
que establece el reglamento.

Artículo 40º.- Los establecimientos de salud y los servicios médicos de apoyo


tienen el deber de informar al paciente y sus familiares sobre las características
del servicio, las condiciones económicas de la prestación y demás términos y
condiciones del servicio, así como los aspectos esenciales vinculados con el acto
médico.
Ningún establecimiento de salud o servicio médico de apoyo podrá efectuar
acciones que correspondan a actos que no hayan sido previamente autorizados
por el paciente o por la persona llamada legalmente a hacerlo, si correspondiere,
o estuviere impedido de hacerlo, de conformidad con lo que establece el
reglamento de la presente ley.
Se exceptúa de lo dispuesto en el párrafo precedente la atención de emergencia
destinada a enfrentar la situación que pone en peligro inminente la vida o la salud
del paciente.

Artículo 41º.- Todo establecimiento de salud deberá, al momento de la admisión,


consignar por escrito la voluntad del paciente de donar, en caso de muerte, sus
órganos y tejidos para fines de transplante, injerto, docencia o investigación, o,
en su caso, la negativa de hacerlo. Se exceptúa de los dispuesto en la presente
disposición la admisión de emergencia.

Artículo 42º.- Todo acto médico que se lleve a cabo en un establecimiento de


salud o servicio médico de apoyo es susceptible de auditorías internas y externas
en las que puedan verificarse los diversos procedimientos a que es sometido el
paciente, sean éstos para prevenir, diagnosticar, curar, rehabilitar o realizar
acciones de investigación.

Artículo 43º.- Son de aplicación a los establecimientos de salud, el Artículo 25 y el


primer y segundo párrafo del Artículo 29 de la presente ley.
En los casos previstos en el Artículo 30 de esta ley, el médico tratante informará
al Director del establecimiento, quien deberá poner en conocimiento de la
autoridad competente el hecho correspondiente.

Artículo 44º.- Al egreso del paciente, el responsable del establecimiento de salud


está obligado a entregar al paciente o a su representante el informe de alta que
contiene el diagnóstico de ingreso, los procedimientos efectuados, el diagnóstico
de alta, pronóstico y recomendaciones del padecimiento que ameritó el
internamiento. Así mismo, cuando el paciente o su representante lo solicite, debe
proporcionarle copia de la epicrisis y de la historia clínica, en cuyo caso el costo
será asumido por el interesado.
Artículo 45º.- La ablación de órganos o tejidos con fines de transplante o injerto
sólo puede realizarse en establecimientos de salud debidamente habilitados o en
instituciones médico-legales, cumpliendo, en cada caso, los procedimientos que
la ley establece. Los transplantes de órganos o injertos de tejidos sólo pueden
efectuarse en establecimientos de salud que cuenten con servicios especializados
debidamente acreditados para tal fin.
La ablación de órganos y tejidos así como el transplante o injerto de los mismos
se rigen por la presente ley, la ley de la materia y su reglamento. Los
establecimientos de salud sólo podrán disponer de órganos y tejidos con fines de
transplante o injerto a título gratuito.
Los establecimientos de salud que la Autoridad de Salud de nivel nacional
autorice, podrán instalar y mantener, para fines terapéuticos, bancos físicos de
órganos y tejidos.

Artículo 46º.- Las actividades de obtención, donación, conservación, transfusión


y suministro de sangre humana, sus componentes y derivados, así como el
funcionamiento de bancos de sangre, centros de hemoterapia y plantas de
hemoderivados, se rigen por la ley de la materia y su reglamento y están sujetas
a la supervisión y fiscalización por parte de la Autoridad de Salud de nivel nacional
o de a quien ésta delegue.

Artículo 47º.- Los establecimientos de salud, que cuenten con servicios de


internamiento de pacientes, están obligados a practicar la necropsia por razones
clínicas para vigilar la calidad de la atención que proveen, siempre que cuenten
con la autorización previa del paciente o de sus familiares, a falta de declaración
hecha en vida por éste, con arreglo a lo dispuesto en el Artículo 13 del Código
Civil.
No procede practicar necropsias por razones clínicas cuando las circunstancias de
la muerte del paciente suponen la obligación de practicar la necropsia de ley.

Artículo 48º.- El establecimiento de salud o servicio médico de apoyo es


solidariamente responsable por los daños y perjuicios que se ocasionan al
paciente, derivados del ejercicio negligente imprudente o imperito de las
actividades de los profesionales, técnicos o auxiliares que se desempeñan en éste
con relación de dependencia.
Es exclusivamente responsable por los daños y perjuicios que se ocasionan al
paciente por no haber dispuesto o brindado los medios que hubieren evitado que
ellos se produjeran, siempre que la disposición de dichos medios sea exigible
atendiendo a la naturaleza del servicio que ofrece.

CAPITULO III
DE LOS PRODUCTOS FARMACEUTICOS Y GALENICOS, Y DE LOS RECURSOS
TERAPEUTICOS NATURALES

Artículo 49º.- La Autoridad de Salud de nivel nacional es la encargada del control


sanitario de los productos farmacéuticos y galénicos, así como de velar por el
cumplimiento de las disposiciones que sobre la materia se establecen en la
presente ley y el reglamento.

Artículo 50º.- Todos los productos comprendidos en el presente Capítulo


requieren de Registro Sanitario para su fabricación, importación, distribución o
expendio.
Toda modificación debe, igualmente, constar en dicho Registro.
Sólo se podrá inscribir o reinscribir en el Registro Sanitario de medicamentos las
fórmulas farmacéuticas señaladas en las siguientes obras, en sus últimas
ediciones y suplementos:

- USP
- Farmacopea Británica
- Farmacopea Internacional de la Organización Mundial de la Salud
- Formulario Nacional Británico
- Farmacopea Alemana
- Farmacopea Francesa
- Farmacopea Belga
- Farmacopea Europea
- USP-DI
- Farmacopea Helvética
- Farmacopea Japonesa

Para la obtención del Registro Sanitario de medicamentos, bajo ninguna


condición será exigible por la autoridad de salud otros documentos, visaciones,
requisitos previos ni condicionalidad de clase alguna, que los señalados a
continuación, bajo responsabilidad:

a. Solicitud con carácter de declaración jurada consignando el número


correspondiente al Registro Unificado de la persona natural o jurídica solicitante,
y garantizando la calidad, seguridad y eficacia del producto.
b. Protocolo de análisis sobre la base metodológica de una de las farmacopeas
autorizadas.
c. Certificado de libre comercialización y certificado de consumo del país de
origen, expedido por la autoridad competente. Alternativamente ambas
certificaciones podrán constar en un solo documento.
d. Proyecto de rotulado del envase mediato e inmediato en idioma español.

También podrán inscribirse los productos, cuya formulación aún no se encuentre


comprendida en las obras antes señaladas, que se encuentren autorizados por
las autoridades competentes del país de origen. En este caso serán exigibles los
requisitos establecidos en los literales a), c) y d) del presente artículo. En lo que
respecta al protocolo de análisis referido en el literal b), éste deberá sustentarse
en las metodologías aplicadas en su país de origen, que servirá de base para el
posterior control de calidad.
La inscripción en el Registro Sanitario de medicamentos es automática, con la
sola presentación de los documentos establecidos en la presente disposición,
teniendo la autoridad de salud un plazo máximo de 7 días útiles para expedir el
documento que acredite el número de registro.

Artículo 51º.- La Autoridad de Salud de Nivel Nacional aprueba el Formulario


Nacional de Medicamentos, el cual contiene la lista de medicamentos que
cuentan con registro sanitario en el país. Dicho Formulario incorpora de manera
automática a los productos registrados.
El Formulario Nacional será elaborado por una Comisión de Expertos, cuya
conformación y funciones será determinada por el reglamento correspondiente,
y precisará, la forma farmacéutica, dosis, indicaciones, contraindicaciones,
reacciones adversas, advertencias y otras especificaciones que garanticen la
eficacia y seguridad para el uso de los medicamentos.
Los lineamientos para la elaboración y actualización del citado Formulario se
establecen en el reglamento.

Artículo 52º.- Para la importación de productos farmacéuticos y galénicos, las


Aduanas de la República, bajo responsabilidad, procederán al despacho de los
mismos exigiendo únicamente una declaración jurada consignando lo siguiente:
a) el número de registro sanitario o, en su defecto, la fecha de presentación de la
solicitud correspondiente; y b) identificación del embarque por lote de producción
y fecha de vencimiento del medicamento; sin perjuicio de la documentación
general requerida para las importaciones. Adicionalmente, tratándose de
productos farmacéuticos derivados de sangre humana, se exigirá, por cada lote
de fabricación, un Certificado Analítico de Negatividad de los Virus de
Inmunodeficiencia Humana y Hepatitis Virales B y C.
La razón social y el registro unificado del importador o distribuidor general
deberán figurar obligatoriamente por impresión o etiquetado en cada envase de
venta al consumidor, conjuntamente con la fecha de vencimiento del
medicamento.
La Autoridad de Salud de nivel nacional podrá autorizar provisionalmente, en
casos debidamente calificados, la importación y venta, sin previo registro, de los
productos comprendidos en el presente capítulo que correspondan, para usos
medicinales de urgencia.

Artículo 53º.- Para fines exclusivos de investigación podrá autorizarse la


importación, producción y uso de medicamentos no registrados, de conformidad
con las disposiciones reglamentarias correspondientes.

Artículo 54º.- El Registro Sanitario es temporal y renovable cada cinco años. La


Autoridad de Salud de nivel nacional podrá suspender o cancelar el Registro de
los productos que no cumplen con las especificaciones técnicas que amparan su
otorgamiento.
Así mismo procederá la suspensión o cancelación del Registro Sanitario cuando
informaciones científicas provenientes de la Organización Mundial de la Salud
determinen que el producto es inseguro o ineficaz en su uso en los términos en
que fue autorizado su registro.
Artículo 55º.- Queda prohibida la fabricación, importación, tenencia, distribución
y transferencia a cualquier título, de productos farmacéuticos y demás que señale
el reglamento, contaminados, adulterados, falsificados, alterados y expirados.
Los productos antes señalados deben ser inmediatamente retirados del mercado
y destruidos apropiadamente, bajo responsabilidad.

Artículo 56º.- Para desarrollar sus actividades, las personas naturales o jurídicas
que se dedican a la fabricación o almacenamiento de productos farmacéuticos o
ejecuten parte de los procesos que éstas comprenden, deben disponer de locales,
equipo técnico y de control adecuados y suficientes según lo establece el
reglamento. Así mismo, deben ceñirse a las Buenas Prácticas de Manufactura, de
Laboratorio y de Almacenamiento recomendadas por la Organización Mundial
de la Salud o a las que dicte la Autoridad de Salud de nivel nacional, y a las normas
técnicas de fabricación según corresponda.
La Autoridad de Salud de nivel nacional o a quien ésta delegue, verificará
periódicamente el cumplimiento de lo establecido en la presente disposición.

Artículo 57º.- El responsable de la calidad de los productos farmacéuticos es la


empresa fabricante, si son elaborados en el país. Tratándose de productos
elaborados en el extranjero la responsabilidad es del importador o distribuidor.
Cuando se trate de laboratorios encargados de elaborar productos por cuenta de
terceros, ya sea en su totalidad o en alguna de las etapas del proceso de
producción, la responsabilidad por la calidad del producto es asumida
solidariamente por éste y por la empresa titular del Registro.
Las distribuidoras y los establecimientos de venta al público de productos
farmacéuticos, cada uno en su ámbito de comercialización, están obligados a
conservar y vigilar el mantenimiento de su calidad hasta que sean recibidos por
los usuarios, bajo responsabilidad.

Artículo 58º.- Los productos farmacéuticos que se comercializan en el país y


demás que correspondan, deben responder en sus análisis cualitativos y
cuantitativos a la fórmula y composición declarada por el fabricante y autorizada
para su fabricación y expendio al otorgarse el Registro Sanitario.

Artículo 59º.- El control de calidad de los productos farmacéuticos y demás


productos que correspondan es obligatorio, integral y permanente. Para
garantizar su calidad, las empresas fabricantes, bajo responsabilidad, deben
contar con un sistema de control de calidad, que abarque todos los aspectos del
proceso de elaboración, desde las materias primas empleadas hasta los
productos terminados.

Artículo 60º.- La Autoridad de Salud de nivel nacional es la encargada de vigilar


la calidad de los productos comprendidos en este Capítulo. El control se efectúa
mediante inspecciones en las empresas fabricantes, distribuidoras y
dispensadoras y la ejecución de análisis de muestras de productos pesquisados
en cualquiera de sus etapas de elaboración, distribución y expendio.
Artículo 61º.- Los estupefacientes, psicotrópicos y precursores de uso médico
incluidos en los Convenios Internacionales sobre la materia y los que determine
la Autoridad de Salud de nivel nacional, se rigen por esta ley y por su legislación
especial.

Artículo 62º.- La Autoridad de Salud a nivel nacional establece un listado de


plantas medicinales de uso restringido o prohibido por razón de su toxicidad o
peligrosidad.

Artículo 63º.- La comercialización de plantas medicinales y sus preparados


obtenidos en forma de extractos, liofilizados, destilados, tinturas, cocimientos o
cualquier otra preparación galénica con finalidad terapéutica, diagnóstica o
preventiva en la condición de fórmulas magistrales, preparados oficiales o
medicamentos, se sujeta a los requisitos y condiciones que establece el
reglamento.
Las plantas medicinales que se ofrezcan sin referencia a propiedades
terapéuticas, diagnósticas o preventivas, pueden comercializarse libremente.

Artículo 64º.- Las personas naturales o jurídicas que se dedican a la


comercialización de productos farmacéuticos para desarrollar sus actividades
deben cumplir con los requisitos y condiciones sanitarias establecidas en el
reglamento, y ceñirse a las Buenas Prácticas de Almacenamiento y Dispensación
que dicta la Autoridad de Salud de nivel nacional.
La Autoridad de Salud de nivel nacional o a quien ésta delegue, verificará
periódicamente el cumplimiento de lo establecido en la presente disposición.

Artículo 65º.- Queda prohibida la venta ambulatoria de productos farmacéuticos.


Con excepción de lo dispuesto en el inciso d) del Artículo 68 de la presente ley, el
comercio de productos farmacéuticos sólo podrá efectuarse en establecimientos
farmacéuticos, los que deben estar bajo la responsabilidad de un profesional
químico farmacéutico. En los lugares donde no existan químicos farmacéuticos
en número suficiente, se estará a lo que establece el reglamento.

Artículo 66º.- El profesional químico-farmacéutico que asume la dirección técnica


o regencia de cualquier establecimiento farmacéutico es responsable de cuanto
afecte la identidad, pureza y buen estado de los productos que se elaboran,
preparan, manipulan, almacenan o suministran en éstos.
Así mismo, responde de que la distribución o adquisición de los productos
farmacéuticos en los establecimientos que dirigen o regentan, sólo se efectúe a y
en establecimientos farmacéuticos, según el caso.
La responsabilidad del director técnico o del regente, no excluye, en ningún caso,
la responsabilidad del establecimiento farmacéutico.

Artículo 67º.- Los medicamentos deberán ser identificados con su nombre de


marca si lo tuvieren, y con su Denominación Común Internacional (DCI),
establecida por la Organización Mundial de la Salud.
No podrán registrarse como marcas, para distinguir medicamentos, las DCI o
aquellas otras denominaciones que puedan confundirse con éstas.

Artículo 68º.- La Autoridad de Salud de nivel nacional clasificará los productos


farmacéuticos para efectos de su expendio en las siguientes categorías:

a) De venta con presentación de receta especial numerada, que sólo pueden ser
expendidos en farmacias y boticas, las que cumplirán con las exigencias que
determinan los convenios internacionales en los que el Perú es parte, la ley de la
materia y su reglamento;
b) De venta bajo receta médica que sólo pueden ser expendidos en farmacias y
boticas;
c) De venta sin receta médica que se expenden exclusivamente en farmacias y
boticas; y,
d) De venta sin receta médica que pueden ser comercializados en
establecimientos no farmacéuticos.

Artículo 69º.- Pueden ser objeto de publicidad a través de medios que se


encuentren al alcance del público en general, los productos farmacéuticos que
cuentan con Registro Sanitario en el país y autorizados para su venta sin receta
médica.
Además de lo dispuesto en las normas generales sobre publicidad en defensa del
consumidor, el anuncio publicitario destinado al público en general, no deberá
contener exageraciones sobre sus propiedades que puedan inducir a error al
consumidor.
Sólo por excepción y atendiendo a razones debidamente justificadas, la Autoridad
de Salud de nivel nacional podrá determinar los productos farmacéuticos de
venta bajo receta médica que pueden ser objeto de publicidad a través de medios
que se encuentren al alcance del público en general. En este caso la publicidad
remitirá al consumidor a leer las instrucciones contenidas en el prospecto o
inserto que acompañan al producto farmacéutico.

Artículo 70º.- Queda prohibida la publicidad en envases, etiquetas, rótulos,


empaques, insertos o prospectos que acompañan a los productos farmacéuticos
de venta bajo receta médica.

Artículo 71º.- La promoción y la publicidad de productos farmacéuticos


autorizados para venta bajo receta médica, se encuentra restringida a los
profesionales que los prescriben y dispensan. En el caso de tratarse de publicidad
gráfica podrá hacerse únicamente a través de revistas especializadas, folletos,
prospectos o cualquier otra forma impresa que contenga información técnica y
científica.
Por excepción está permitida la difusión de anuncios de introducción y
recordatorios dirigidos a los profesionales de los Cuerpos Médico y Farmacéutico
a través de medios al alcance del público en general. El contenido de la
información que se brinde está sujeta a la norma que la Autoridad de Salud de
nivel nacional dicte sobre esta materia.
La información contenida en la publicidad de los productos farmacéuticos en
general, debe arreglarse a lo autorizado en el Registro Sanitario.

Artículo 72º.- La publicidad engañosa de medicamentos está sujeta a


rectificación.

Artículo 73º.- Los productores y distribuidores de medicamentos están obligados


a informar a la Autoridad de Salud de nivel nacional las reacciones adversas de
las que tengan conocimiento y que pudieran haberse derivado por el uso de los
medicamentos que fabrican o comercializan, bajo responsabilidad.

Artículo 74º.- La Autoridad de Salud de nivel nacional recoge y evalúa la


información sobre las reacciones adversas de los medicamentos que se
comercializan en el país y adopta las medidas a que hubiere lugar en resguardo
de la salud de la población.

Artículo 75º.- La Autoridad de Salud de nivel nacional vela por el uso racional de
medicamentos, promoviendo la provisión de medicamentos esenciales.

CAPITULO IV
DEL CONTROL NACIONAL E INTERNACIONAL DE LAS ENFERMEDADES
TRANSMISIBLES

Artículo 76º.- La Autoridad de Salud de nivel nacional es responsable de dirigir y


normar las acciones destinadas a evitar la propagación y lograr el control y
erradicación de las enfermedades transmisibles en todo el territorio nacional,
ejerciendo la vigilancia epidemiológica e inteligencia sanitaria y dictando las
disposiciones correspondientes.
Así mismo tiene la potestad de promover y coordinar con personas e instituciones
públicas o privadas la realización de actividades en el campo epidemiológico y
sanitario.

Artículo 77º.- La Autoridad de Salud competente es responsable del control de las


enfermedades transmisibles en el ámbito de su jurisdicción.

Artículo 78º.- La Autoridad de Salud de nivel nacional determinará las


enfermedades transmisibles de declaración y notificación obligatorias. Todas
las personas naturales o jurídicas están obligadas a proporcionar dicha
información epidemiológica, dentro de los términos de responsabilidad,
clasificación, periodicidad, destino y claridad que señala el reglamento.

Artículo 79º.- La Autoridad de Salud queda facultada a dictar las medidas de


prevención y control para evitar la aparición y propagación de enfermedades
transmisibles. Todas las personas naturales o jurídicas, dentro del territorio,
quedan obligadas al cumplimiento de dichas medidas, bajo sanción.
Artículo 80º.- Sólo por razones médicas o biológicas podrá establecerse
excepciones a la vacunación y revacunación obligatorias, establecida por la
Autoridad de Salud de nivel nacional.

Artículo 81º.- Las autoridades administrativas, municipales, militares y policiales,


así como los particulares, están obligados a prestar el apoyo requerido por la
Autoridad de Salud para controlar la propagación de enfermedades transmisibles
en los lugares del territorio nacional en los que éstas adquieran características
epidémicas graves.

Artículo 82º.- En la lucha contra las epidemias, la Autoridad de Salud queda


facultada para disponer la utilización de todos los recursos médico-asistenciales
de los sectores público y privado existentes en las zonas afectadas y en las
colindantes.

Artículo 83º.- La Autoridad de Salud es responsable de la vigilancia y control


sanitario de las fronteras, así como de todos los puertos marítimos, aéreos,
fluviales, lacustres o terrestres en el territorio nacional.

Artículo 84º.- Transitoriamente, y sólo por razones de salud pública, la Autoridad


de Salud puede restringir, la realización de actividades de producción de bienes y
servicios y las de comercio, así como el tránsito de personas, animales, vehículos,
objetos y artículos que representen un grave riesgo para la salud de la población.

Artículo 85º.- Los servicios de sanidad internacional se rigen por las disposiciones
de esta ley, sus reglamentos y las normas técnicas que dicta la Autoridad de Salud
de nivel nacional, así como por los tratados y convenios internacionales en los
que el Perú es parte.

Artículo 86º.- Las personas naturales o jurídicas que trabajan con virus, hongos,
bacterias o sus componentes y, en general, con agentes biológicos peligrosos
para la salud humana, deberán cumplir con las medidas de bioseguridad
correspondientes. Sus actividades están sujetas a vigilancia de la Autoridad de
Salud competente.

Artículo 87º.- Para evitar la transmisión de enfermedades a las personas, los


propietarios o poseedores de animales domésticos, domesticados o en cautiverio
deben cumplir las medidas sanitarias que la Autoridad de Salud competente
determine.
Son responsables frente a terceros los propietarios o poseedores de animales que
transmitan enfermedades a las personas. La producción del daño motiva la
pérdida de su propiedad o su posesión, debiendo la Autoridad de Salud
competente disponer del mismo en la forma que señale el reglamento.
La Autoridad de Salud competente tiene la libre disposición de los animales sin
dueño o abandonados aunque no representen riesgo inmediato para la salud
humana.
CAPITULO V
DE LOS ALIMENTOS Y BEBIDAS, PRODUCTOS COSMETICOS Y SIMILARES,
INSUMOS, INSTRUMENTAL Y EQUIPO DE USO MEDICO-QUIRURGICO U
ODONTOLOGICO, PRODUCTOS SANITARIOS Y PRODUCTOS DE HIGIENE
PERSONAL Y DOMESTICA

Artículo 88º.- La producción y comercio de alimentos y bebidas destinados al


consumo humano así como de bebidas alcohólicas están sujetos a vigilancia
higiénica y sanitaria, en protección de la salud.

Artículo 89º.- Un alimento es legalmente apto para el consumo humano cuando


cumple con las características establecidas por las normas sanitarias y de calidad
aprobadas por la Autoridad de Salud de nivel nacional.

Artículo 90º.- Queda estrictamente prohibido importar, fabricar, fraccionar,


elaborar, comerciar, traspasar a título gratuito, distribuir y almacenar alimentos
y bebidas alterados, contaminados, adulterados o falsificados.

Artículo 91º.- Todo alimento y bebida elaborados industrialmente, de producción


nacional o extranjera, sólo podrán expenderse previo Registro Sanitario.

Artículo 92º.- La Autoridad de Salud de nivel nacional es la encargada del control


sanitario de los alimentos y bebidas, productos cosméticos y similares, así como
de insumos, instrumental y equipo de uso médico-quirúrgico u odontológico,
productos sanitarios y productos de higiene personal y doméstica.
El Registro Sanitario de alimentos y bebidas, productos cosméticos y similares,
así como de insumos, instrumental y equipo de uso médico-quirúrgico u
odontológico, productos sanitarios y productos de higiene personal y doméstica,
será automático con la sola presentación de una solicitud con carácter de
declaración jurada consignando el número de registro unificado de la persona
natural o jurídica solicitante, y la certificación de libre comercialización y de uso,
pudiendo constar ambas en un solo documento, emitido por la autoridad
competente del país de origen o de exportación del producto.
La inscripción en el referido Registro Sanitario es automática, con la sola
presentación de los documentos establecidos en la presente disposición, teniendo
la autoridad de salud un plazo máximo de 7 días útiles para expedir el documento
que acredite el número de registro.
El mencionado Registro Sanitario es temporal y renovable. Las Aduanas de la
República procederán al despacho de las mercancías a que se refiere el presente
artículo, exigiendo además de la documentación general requerida para la
importación, sólo la declaración jurada del importador consignando el número
de registro sanitario, o en su defecto la fecha de presentación de la solicitud
correspondiente, así como la fecha de vencimiento en el caso de alimentos
envasados, la misma que debe figurar por impresión o etiquetado en los envases
de venta al consumidor, conjuntamente con la razón social y Registro Unificado
del importador o distribuidor general.
Queda prohibida la venta ambulatoria de insumos, instrumental y equipo de uso
médico-quirúrgico u odontológico.

Artículo 93º.- Se prohíbe la importación de todo alimento o bebida cuyo comercio,


distribución y consumo no estén permitidos en el país de origen por constituir
riesgo para la salud.

Artículo 94º.- El personal que intervenga en la producción, manipulación,


transporte, conservación, almacenamiento, expendio y suministro de alimentos
está obligado a realizarlo en condiciones higiénicas y sanitarias para evitar su
contaminación.

Artículo 95º.- La fabricación, elaboración, fraccionamiento, almacenamiento y


expendio de alimentos y bebidas debe realizarse en locales que reúnan las
condiciones de ubicación, instalación y operación sanitariamente adecuadas, y
cumplir con las exigencias establecidas en el reglamento que dicta la Autoridad
de Salud de nivel nacional.
La Autoridad de Salud de nivel nacional o a quien ésta delegue, verificará
periódicamente el cumplimiento de lo establecido en la presente disposición.

CAPITULO VI
DE LAS SUSTANCIAS Y PRODUCTOS PELIGROSOS PARA LA SALUD

Artículo 96º.- En la importación, fabricación, almacenamiento, transporte,


comercio, manejo y disposición de sustancias y productos peligrosos deben
tomarse todas las medidas y precauciones necesarias para prevenir daños a la
salud humana, animal o al ambiente, de acuerdo con la reglamentación
correspondiente.

Artículo 97º.- Cuando la importación, fabricación, transporte, almacenamiento,


comercio y empleo de una sustancia o producto se considere peligroso para la
salud de la población, el Estado debe establecer las medidas de protección y
prevención correspondiente.

Artículo 98º.- La Autoridad de Salud competente dicta las normas relacionadas


con la calificación de las sustancias y productos peligrosos, las condiciones y
límites de toxicidad y peligrosidad de dichas sustancias y productos, los requisitos
sobre información, empaque, envase, embalaje, transporte, rotulado y demás
aspectos requeridos para controlar los riesgos y prevenir los daños que esas
sustancias y productos puedan causar a la salud de las personas.

Artículo 99º.- Los residuos procedentes de establecimientos donde se fabriquen,


formulen, envasen o manipulen sustancias y productos peligrosos deben ser
sometidos al tratamiento y disposición que señalan las normas correspondientes.
Dichos residuos no deben ser vertidos directamente a las fuentes, cursos o
reservorios de agua, al suelo o al aire, bajo responsabilidad.
CAPITULO VII
DE LA HIGIENE Y SEGURIDAD EN LOS AMBIENTES DE TRABAJO

Artículo 100º .- Quienes conduzcan o administren actividades de extracción,


producción, transporte y comercio de bienes o servicios, cualesquiera que éstos
sean, tienen la obligación de adoptar las medidas necesarias para garantizar la
promoción de la salud y la seguridad de los trabajadores y de terceras personas
en sus instalaciones o ambientes de trabajo.

Artículo 101º.- Las condiciones de higiene y seguridad que deben reunir los
lugares de trabajo, los equipos, maquinarias, instalaciones, materiales y
cualquier otro elemento relacionado con el desempeño de actividades de
extracción, producción, transporte y comercio de bienes o servicios, se sujetan a
las disposiciones que dicta la Autoridad de Salud competente, la que vigilará su
cumplimiento.

Artículo 102º.- Las condiciones higiénicas y sanitarias de todo centro de trabajo


deben ser uniformes y acordes con la naturaleza de la actividad que se realiza sin
distinción de rango o categoría, edad o sexo.

CAPITULO VIII
DE LA PROTECCION DEL AMBIENTE PARA LA SALUD

Artículo 103º.- La protección del ambiente es responsabilidad del Estado y de las


personas naturales y jurídicas, los que tienen la obligación de mantenerlo dentro
de los estándares que para preservar la salud de las personas, establece la
Autoridad de Salud competente.

Artículo 104º .- Toda persona natural o jurídica, está impedida de efectuar


descargas de desechos o sustancias contaminantes en el agua el aire o el suelo,
sin haber adoptado las precauciones de depuración en la forma que señalan las
normas sanitarias y de protección del ambiente.

Artículo 105º.- Corresponde a la Autoridad de Salud competente, dictar las


medidas necesarias para minimizar y controlar los riesgos para la salud de las
personas derivados de elementos, factores y agentes ambientales, de
conformidad con lo que establece, en cada caso, la ley de la materia.

Artículo 106º.- Cuanto la contaminación del ambiente signifique riesgo o daño a


la salud de las personas, la Autoridad de Salud de nivel nacional dictará las
medidas de prevención y control indispensables para que cesen los actos o hechos
que ocasionan dichos riesgos y daños.

Artículo 107º.- El abastecimiento de agua, alcantarillado, disposición de excretas,


reuso de aguas servidas y disposición de residuos sólidos quedan sujetos a las
disposiciones que dicta la Autoridad de Salud competente, la que vigilará su
cumplimiento.
TITULO TERCERO
DEL FIN DE LA VIDA

Artículo 108º.- La muerte pone fin a la persona. Se considera ausencia de vida al


cese definitivo de la actividad cerebral, independientemente de que algunos de
sus órganos o tejidos mantengan actividad biológica y puedan ser usados con
fines de transplante, injerto o cultivo.
El diagnóstico fundado de cese definitivo de la actividad cerebral verifica la
muerte.
Cuando no es posible establecer tal diagnóstico, la constatación de paro
cardiorespiratorio irreversible confirma la muerte.
Ninguno de estos criterios que demuestra por diagnóstico o corroboran por
constatación la muerte del individuo, podrán figurar como causas de la misma en
los documentos que la certifiquen.

Artículo 109º.- Procede la práctica de la necropsia en los casos siguientes:

a) Por razones clínicas, para evaluar la exactitud y precisión diagnóstica y la


calidad del tratamiento de pacientes;
b) Con fines de cremación, para determinar la causa de la muerte y prever la
desaparición de pruebas de la comisión de delitos;
c) Por razones sanitarias, para establecer la causa de la muerte con el propósito
de proteger la salud de terceros; y,
d) Por razones médico-legales, para determinar la causa de muerte, en los casos
que la ley lo establece o cuando lo ordena la autoridad judicial competente, o
para precisar la identidad del fallecido.
Sólo la necropsia por razones clínicas requiere de la autorización a que se refiere
el Artículo 47 de la presente ley.

Artículo 110º.- En los casos en que por mandato de la ley deba hacerse la
necropsia o cuando se proceda al embalsamamiento o cremación del cadáver se
podrá realizar la ablación de órganos y tejidos con fines de transplante o injerto,
sin requerirse para ello de autorización dada en vida por el fallecido o del
consentimiento de sus familiares.
La disposición de órganos y tejidos de cadáveres para los fines previstos en la
presente disposición se rige por esta ley, la ley de la materia y su reglamento.

Artículo 111º.- Sólo es permitido inhumar cadáveres en cementerios


debidamente autorizados por la Autoridad de Salud competente, conforme a lo
que dispone la ley de la materia y su reglamento.

Artículo 112º.- Todo cadáver que haga posible la propagación de enfermedades


será cremado previa necropsia.
Artículo 113º.- La Autoridad de Salud competente está obligada a disponer la
erradicación de cementerios cuando su ubicación constituya un riesgo para la
salud.

Artículo 114º.- Los cadáveres de personas no identificadas o, que habiendo sido


identificados, no hubieren sido reclamados dentro del plazo de treintiséis (36)
horas luego de su ingreso a la morgue, podrán ser dedicados a fines de
investigación o estudio. Para los mismos fines podrán utilizarse cadáveres o
restos humanos por voluntad manifiesta de la persona antes de fallecer o con
consentimiento de sus familiares.

Artículo 115º.- La inhumación, exhumación, traslado y cremación de cadáveres o


restos humanos, así como el funcionamiento de cementerios y crematorios se
rigen por las disposiciones de esta ley, la ley de la materia y sus reglamentos.

Artículo 116º.- Queda prohibido el comercio de cadáveres y restos humanos.

TITULO CUARTO
DE LA INFORMACION EN SALUD Y SU DIFUSION

Artículo 117º.- Toda persona natural o jurídica, está obligada a proporcionar


de manera correcta y oportuna los datos que la Autoridad de Salud requiere
para la elaboración de las estadísticas, la evaluación de los recursos en salud y
otros estudios especiales que sea necesario realizar y concurran al
conocimiento de los problemas de salud o de las medidas para enfrentarlos.

Artículo 118º.- En caso de epidemia declarada o de peligro de epidemia, la


prensa, la radio, la televisión y todo otro medio de comunicación social debe
colaborar con la Autoridad de Salud competente en la forma que el Poder
Ejecutivo disponga.

Artículo 119º.- La información, la propaganda y la publicidad que se refiere a la


salud, al tratamiento de enfermedades, a la rehabilitación, al ejercicio de las
profesiones de la salud y servicios a que se refiere esta ley, no debe inducir a
conductas, prácticas o hábitos nocivos que impliquen riesgo para la salud física o
mental, ni desvirtuar o contravenir las disposiciones que en materia de
prevención, tratamiento o rehabilitación de enfermedades establece la Autoridad
de Salud.
Sin perjuicio de lo dispuesto en las normas generales de publicidad en defensa del
consumidor, la publicidad sobre prestación de servicios de salud no podrá ofrecer
tratamientos preventivos, curativos o de rehabilitación cuya eficacia no haya sido
comprobada científicamente.

Artículo 120º.- Toda información en materia de salud que las entidades del
Sector Público tengan en su poder es de dominio público. Queda exceptuado la
información que pueda afectar la intimidad personal y familiar o la imagen
propia, la seguridad nacional y las relaciones exteriores, así como aquélla que
se refiere a aspectos protegidos por las normas de propiedad industrial de
conformidad con la ley de la materia.

Artículo 121º.- Es obligación de la Autoridad de Salud competente advertir a la


población, por los canales y medios más convenientes y que más se adecúen a las
circunstancias, sobre los riesgos y daños que ocasionan o pueden ocasionar a la
salud determinados productos, sustancias o actividades.

TITULO QUINTO
DE LA AUTORIDAD DE SALUD

Artículo 122º.- La Autoridad de Salud se organiza y se ejerce a nivel central,


desconcentrado y descentralizado.

La Autoridad de Salud la ejercen los órganos del Poder Ejecutivo y los órganos
descentralizados de gobierno, de conformidad con las atribuciones que les
confieren sus respectivas leyes de organización y funciones, leyes orgánicas o
leyes especiales en el campo de la salud.

Artículo 123º.- Entiéndase que la Autoridad de Salud de nivel nacional es el


órgano especializado del Poder Ejecutivo que tiene a su cargo la dirección y
gestión de la política nacional de salud y actúa como la máxima autoridad
normativa en materia de salud.

Artículo 124º.- En aplicación y cumplimiento de las normas de salud que dicta la


Autoridad de Salud de nivel nacional, los órganos desconcentrados o
descentralizadas quedan facultados para disponer, dentro de su ámbito, medidas
de prevención y control de carácter general o particular en las materias de su
competencia.

Artículo 125º.- El ejercicio descentralizado de competencias de control en


materias de salud, no supone, en ningún caso, el ejercicio de competencia
normativa, salvo estipulación en contrario de la propia ley.
La delegación de competencias de control en materia de salud, no supone, en
ningún caso, la delegación de facultades normativas.

Artículo 126º.- No se podrá dictar normas que reglamentan leyes o que tengan
jerarquía equivalente, que incidan en materia de salud, sin el refrendo de la
Autoridad de Salud de nivel nacional.

Artículo 127º.- Quedan sujetas a supervigilancia de la Autoridad de Salud de nivel


nacional, las entidades públicas que por sus leyes de organización y funciones,
leyes orgánicas o leyes especiales están facultadas para controlar aspectos
sanitarios y ambientales.
Asimismo, quedan sujetos a supervigilancia de la Autoridad de Salud de nivel
nacional los Colegios Profesionales de las ciencias de la salud, únicamente en lo
que se refiere a la vigilancia que éstos realizan sobre las actividades que sus
asociados efectúan en el ejercicio su profesión.

Artículo 128º.- En el uso de las atribuciones que le confieren la presente ley, las
leyes orgánicas, las leyes de organización y funciones, otras leyes especiales y sus
reglamentos, la Autoridad de Salud está facultada a disponer acciones de
orientación y educación, practicar inspecciones en cualquier bien mueble o
inmueble, tomar muestras y proceder a las pruebas correspondientes, recabar
información y realizar las demás acciones que considere pertinentes para el
cumplimiento de sus funciones, así como, de ser el caso, aplicar medidas de
seguridad y sanciones.

Artículo 129º.- La Autoridad de Salud podrá solicitar el auxilio de la fuerza pública


para asegurar el cumplimiento de las disposiciones y medidas que adopte en
resguardo de la salud.

TITULO SEXTO
DE LAS MEDIDAS DE SEGURIDAD, INFRACCIONES Y SANCIONES

CAPITULO I
DE LAS MEDIDAS DE SEGURIDAD

Artículo 130º.- Son medidas de seguridad las siguientes:


a) El aislamiento;
b) La cuarentena;
c) La observación personal;
d) La vacunación de personas;
e) La observación animal;
f) La vacunación de animales;
g) La destrucción o control de insectos u otra fauna transmisora y nociva;
h) El decomiso o sacrificio de animales que constituyan peligro para la seguridad
o la salud de las personas;
i) La suspensión de trabajos o servicios;
j) La emisión de mensajes publicitarios que adviertan peligro de daños a la salud
de la población;
k) El decomiso, incautación, inmovilización, retiro del mercado o destrucción de
objetos, productos o sustancias;
l) La suspensión temporal del ejercicio de actividades de producción y comercio y
la restricción del tránsito de personas, animales, vehículos, objetos y artículos;
ll) El cierre temporal o definitivo de empresas o sus instalaciones;
m) Suspensión o cancelación del Registro Sanitario; y,
n) Las demás que a criterio de la Autoridad de Salud se consideran sanitariamente
justificables, para evitar que se cause o continúe causando riesgo o daños a la
salud de la población.

Artículo 131º.- Las medidas de seguridad son de inmediata ejecución y se aplican


sin perjuicio de las sanciones que correspondan.
Artículo 132º.- Todas las medidas de seguridad que adopta la Autoridad de Salud
en aplicación de la presente ley, se sujetan a los siguientes principios:

a) Deben ser proporcionales a los fines que se persiguen;


b) Su duración no debe exceder lo que exige la situación de riesgo inminente y
grave que las justificó; y,
c) Debe preferirse aquellas medidas que siendo eficaces para el fin que se
persigue, menos perjudiquen al principio de libre circulación de las personas y de
los bienes, la libertad de empresa y cualesquiera otros derechos afectados.

Artículo 133º.- El reglamento establece el procedimiento para la aplicación de las


medidas de seguridad a que se refiere este Capítulo.

CAPITULO II
DE LAS INFRACCIONES Y SANCIONES

Artículo 134º.- Sin perjuicio de las acciones civiles o penales a que hubiere lugar,
las infracciones a las disposiciones contenidas en la presente ley y su reglamento,
serán pasibles a una o más de las siguientes sanciones administrativas:

a) Amonestación
b) Multa
c) Cierre temporal o clausura del establecimiento; y,
d) Suspensión o cancelación del Registro Sanitario del producto.

Artículo 135º.- Al imponer una sanción, la Autoridad de Salud tendrá en cuenta:


a) Los daños que se hayan producido o puedan producirse en la salud de las
personas;
b) La gravedad de la infracción; y,
c) La condición de reincidencia o reiterancia del infractor.

Artículo 136º.- Toda sanción de clausura y cierre temporal de establecimientos,


así como de suspensión o cancelación de Registro Sanitario de productos, debe
ser publicada, a costa del infractor, por la Autoridad de Salud en la forma que
establece el reglamento.

Artículo 137º.- El reglamento establece la calificación de las infracciones, la


escala de sanciones y el procedimiento para su aplicación.

DISPOSICIONES COMPLEMENTARIAS, TRANSITORIAS Y FINALES

Primera.- Los establecimientos a que se refiere el Artículo 37, los establecimientos


dedicados a las actividades comprendidas en los Artículos 56, 64, 95, 96 de la
presente ley, así como las agencias funerarias, velatorios y demás servicios
funerarios relacionados con éstos no requieren de autorización sanitaria para su
habilitación o funcionamiento.
Segunda.- La Autoridad de Salud de nivel nacional determina la tarifa por
concepto de registro sanitario, la misma que no podrá exceder del 10% de la
Unidad Impositiva Tributaria. Los ingresos provenientes por dicho concepto serán
utilizados exclusivamente para las acciones de inspección y control de calidad.

Tercera.- En los casos de muerte súbita o accidental, y en tanto no se complete el


canje de la Libreta Electoral por el Documento Nacional de Identidad al que se
refieren las Leyes Nºs. 26497 y 26745, se presume la voluntad positiva del
fallecido de donar sus órganos o tejidos para fines de transplante o injerto, sin
que se admita prueba en contrario.

Cuarta.- Deróganse las siguientes disposiciones:


a) Decreto Ley Nº 17505, que aprueba el Código Sanitario;
b) Decreto Ley Nº 19609, referido a la atención de emergencia;
c) Ley Nº 2348, del 23 de noviembre de 1916, de Declaración, Aislamiento y
Desinfección Obligatoria de Enfermedades;
d) Ley del Ejercicio de la Medicina y la Farmacia, de fecha 28 de noviembre de
1888;
e) Decreto Ley Nº 25596 por el cual se establece los requisitos para la obtención
del Registro Sanitario y de la Autorización para la importación y comercialización
de medicamentos genéricos y de marca;
f) Tercera Disposición Complementaria del Decreto Ley Nº 25988, sobre carné de
salud, así como toda disposición legal, administrativa y técnica que establezca la
obligatoriedad de obtener y portar carné de salud o documento similar, y
g) Las demás que se opongan a lo establecido por la presente ley.

Quinta.- El Ministerio de Salud, en el término máximo de treinta (30) días,


contados a partir de la vigencia de la presente ley, presentará, para su
aprobación, los reglamentos que se requieran para la ejecución de lo dispuesto
por esta ley.

Sexta.- La presente Ley entrará en vigencia a los ciento ochenta (180) días
calendario de su publicación, con excepción de los Capítulos III y V del Título
Segundo, que rigen desde el día siguiente a la publicación de esta Ley.
24. Texto Único Ordenado del D. Leg. No 728, Ley de Productividad y Competitividad
Laboral (DS 003-97-TR modificado por ley 29973)

Artículo 2.- El Estado estimula y promueve la innovación tecnológica de


conformidad con el segundo párrafo del Artículo 14 de la Constitución Política del
Perú, como la condición necesaria para el desarrollo económico.

La introducción de tecnología que eleve los niveles de productividad del trabajo,


constituye un derecho y un deber social a cargo de todos los empresarios
establecidos en el país.

El impacto de los cambios tecnológicos en las relaciones laborales podrá ser


materia de negociación colectiva entre empresarios y trabajadores, dentro del
marco de convenios de productividad, que podrán establecer normas relativas a:

a) Sistemas de formación laboral que tiendan hacia una calificación polifuncional


de los trabajadores en la empresa;
b) Medidas orientadas a promover la movilidad funcional y geográfica de los
trabajadores;
c) Sistemas de fijación de los niveles salariales de los trabajadores en función de
sus niveles de productividad;
d) Mecanismos alternativos de implementación de las modalidades de
contratación laboral previstas en la presente Ley; y,
e) Programas de reconversión productiva y medidas orientadas a facilitar la
readaptación profesional de los trabajadores cesantes.
Las empresas que celebren contratos de productividad con sus trabajadores
podrán solicitar al Ministerio de Trabajo y Promoción Social el apoyo técnico que
requieran para la implementación de cualquiera de los programas de promoción
del empleo, establecidos en virtud de la presente Ley.

(…)

Artículo 29.- Es nulo el despido que tenga por motivo:

(…)

"d) La discriminación por razón de sexo, raza, religión, opinión, idioma,


discapacidad o de cualquier otra índole;"

(…)

Artículo 30.- Son actos de hostilidad equiparables al despido los siguientes:

(…)

"f) Los actos de discriminación por razón de sexo, raza, religión, opinión, idioma,
discapacidad o de cualquier otra índole;"
(…)

CAPITULO VII
DE LA TERMINACION DE LA RELACION DE TRABAJO POR CAUSAS OBJETIVAS

Artículo 46.- Son causas objetivas para la terminación colectiva de los contratos
de trabajo:

a) El caso fortuito y la fuerza mayor;


b) Los motivos económicos, tecnológicos, estructurales o análogos;

(…)
25. Reglamento de la Ley Nº 27933, Ley del Sistema Nacional de Seguridad Ciudadana
(DS 011-2014-IN)

(…)

DISPOSICIONES COMPLEMENTARIAS TRANSITORIAS

(…)

SÉTIMA.- Implementación gradual de los estándares técnicos


Los estándares técnicos a los que se refiere el artículo 62 del Reglamento
aprobado por el presente Decreto Supremo, se implementarán gradualmente en
un periodo no mayor a tres (3) años.

OCTAVA.- Regulación de vehículos aéreos no tripulados


El Ministerio de Transportes y Comunicaciones, a través de la Dirección General
de Aeronáutica Civil, en el ámbito de sus competencias, en un plazo no mayor de
ciento veinte (120) días hábiles contados a partir de la publicación del presente
Decreto Supremo regulará el uso de los vehículos aéreos no tripulados para la
seguridad ciudadana, disponiendo los requisitos, estándares técnicos y
restricciones para su circulación.

(…)

TÍTULO II
SISTEMA NACIONAL DE SEGURIDAD CIUDADANA

CAPÍTULO I
ASPECTOS GENERALES

(…)

Artículo 5.- Objetivos


Son objetivos del Sistema Nacional de Seguridad Ciudadana (SINASEC) los
siguientes:

(…)

f. Coordinar las políticas, lineamientos y especifi caciones técnicas a fi n de


garantizar la estandarización e interoperabilidad de los sistemas de video
vigilancia, radiocomunicación y telecomunicaciones a nivel nacional para la
seguridad ciudadana. Las coordinaciones, en cuanto a las especifi caciones
técnicas, se ciñen al apoyo que pueda requerir el órgano encargado de
elaborarlas, en el marco de las normas de contratación pública vigente y de las
disposiciones que emita el Ministerio del Interior

(…)
l. Coadyuvar a la consolidación del Gobierno Policial Electrónico

(…)

CAPÍTULO II
COMPONENTES DEL SISTEMA NACIONAL DE SEGURIDAD CIUDADANA

(…)

Artículo 9.- Ente rector


El Ministerio del Interior es el ente rector del Sistema Nacional de Seguridad
Ciudadana (SINASEC). Constituye la autoridad técnico normativa de alcance
nacional encargada de dictar normas, establecer los procedimientos
relacionados con la implementación de las políticas nacionales y coordinar su
operación técnica, así como las formas d articulación entre las diversas entidades
involucradas. Es responsable de su correcto funcionamiento.
En el ejercicio de su rectoría, el Ministerio del Interior, a través de la Dirección
General de Seguridad Ciudadana, tiene las siguientes funciones:

(…)

l. Establecer las políticas, lineamientos, mecanismos y especificaciones técnicas


de estandarización de los sistemas de video vigilancia, radiocomunicación y
telecomunicaciones

(…)

CAPÍTULO IV
COMITÉS REGIONALES DE SEGURIDAD CIUDADANA
(…)

Artículo 17.- Funciones


Son funciones del Comité Regional de Seguridad Ciudadana (CORESEC), además
de las establecidas en la Ley Nº 27933 y sus modificatorias, las siguientes:

(…)

j. Coadyuvar a la implementación de los centros de video vigilancia y


observatorios regionales de seguridad ciudadana.

(…)

CAPÍTULO V
COMITÉS PROVINCIALES DE SEGURIDAD CIUDADANA

(…)
Artículo 23.- Funciones
Son funciones del Comité Provincial de Seguridad Ciudadana (COPROSEC),
además de las establecidas en la Ley Nº 27933 y sus modificatorias, las
siguientes:

(…)

j. Coadyuvar a la implementación de los centros de video vigilancia y


observatorios provinciales de seguridad ciudadana.

(...)

CAPÍTULO VI
COMITÉS DISTRITALES DE SEGURIDAD CIUDADANA

(…)

Artículo 28.- Funciones


Son funciones del Comité Distrital de Seguridad Ciudadana (CODISEC), además de
las establecidas en la Ley Nº 27933 y sus modificatorias, las siguientes:

(…)

h. Coadyuvar a la implementación de los centros de video vigilancia y


observatorios provinciales de seguridad ciudadana.

(…)

CAPÍTULO IX
PARTICIPACIÓN CIUDADANA, SOCIEDAD CIVIL, MEDIOS DE COMUNICACIÓN,
SECTOR PRIVADO, COMUNIDADES CAMPESINAS Y NATIVAS, COMITES DE
AUTODEFENSA Y OTROS

Artículo 37.- Participación ciudadana


Las entidades que conforman el Sistema Nacional de Seguridad Ciudadana
(SINASEC) deben promover la activa participación de la población en acciones de
prevención de la violencia y de los delitos, faltas y contravenciones.
Para ello, deben promover, esencialmente:

(…)

i. La promoción de la participación ciudadana a través de los diversos medios


tecnológicos, constituyendo canales de comunicación de hechos de violencia, así
como de delitos, faltas y contravenciones.

(…)
CAPÍTULO III
CENTRO NACIONAL DE VIDEO VIGILANCIA, RADIOCOMUNICACIÓN Y
TELECOMUNICACIONES PARA LA SEGURIDAD CIUDADANA

Artículo 60.- Centro Nacional de Video Vigilancia, Radiocomunicación y


Telecomunicaciones
El Centro Nacional de Video Vigilancia, Radiocomunicación y Telecomunicaciones
para la Seguridad Ciudadana, previsto en el Decreto Legislativo Nº 1135, Ley de
Organización y Funciones del Ministerio del Interior, es administrado por éste, a
través de la Policía Nacional del Perú, como plataforma de interoperabilidad, con
la finalidad de integrar los sistemas de video vigilancia y radiocomunicación de
las entidades de la administración pública y del sector privado que administran
sistema de video vigilancia en lugares de concentración regular de personas o de
alta afluencia de público, a efectos de mejorar la disponibilidad de los recursos
audiovisuales para la seguridad ciudadana.
El financiamiento del Centro Nacional de Video Vigilancia, Radiocomunicación y
Telecomunicaciones para la Seguridad Ciudadana se efectuará con cargo al
presupuesto asignado al Ministerio del Interior.

Artículo 61.- Obligatoriedad de la instalación, operación e interconexión de los


Centros de Video Vigilancia, Radiocomunicación y Telecomunicaciones
61.1 Los Gobiernos Regionales y Locales están obligados a implementar y
garantizar el funcionamiento del Sistema de Video Vigilancia, Radiocomunicación
y Telecomunicaciones para la Seguridad Ciudadana, en vías y espacios públicos
en el ámbito de su jurisdicción, con cargo a sus respectivos presupuestos
institucionales, sin demandar recursos adicionales al Tesoro Público.
Los Gobiernos Regionales financiarán tales sistemas, en coparticipación con los
Gobiernos Locales. La instalación y operación de dichos sistemas estará a cargo
de los Gobiernos Locales, a través de sus Gerencias de Seguridad Ciudadana.
Los Presidentes de los Gobiernos Regionales y los Alcaldes Provinciales y
Distritales son los responsables del transporte e integración de las plataformas
de sus sistemas de video vigilancia, radiocomunicación y telecomunicaciones con
el Centro Nacional de Video Vigilancia y Radiocomunicación y
Telecomunicaciones para la Seguridad Ciudadana.
61.2 La obligación establecida en el numeral 61.1 también alcanza a las
instituciones privadas que administran sistemas de video vigilancia direccionados
a lugares de tránsito, de concentración regular de personas o de alta afluencia
de público, quienes asumirán el transporte e integración de las plataformas
correspondientes.
Las instituciones privadas deberán almacenar la información captada por las
cámaras de video vigilancia por un periodo que será determinado mediante
Resolución Ministerial del Titular del Sector Interior.
61.3 El incumplimiento de lo dispuesto en los numerales 61.1 y 61.2 estará sujeto
a responsabilidad civil, administrativa o penal, según corresponda.
61.4 En atención a lo dispuesto por la Ley Nº 30120,
Ley de Apoyo a la Seguridad Ciudadana con Cámaras de Video Vigilancia Públicas
y Privadas, cuando se presuma la comisión de un delito o una falta, las personas
naturales y jurídicas, públicas y privadas, deberán entregar gratuitamente copia
de las imágenes y audios registrados a través de dichas cámaras a la Policía
Nacional del Perú y al Ministerio Público, según corresponda. Se garantiza la
confidencialidad de la identidad de los propietarios o poseedores de los
inmuebles y de las personas que hacen entrega de esta información.

Artículo 62.- Estándares técnicos


Mediante Resolución Ministerial del Titular del Sector Interior, en coordinación
con el Ministerio de Transportes y Comunicaciones, se establecerán los
estándares mínimos aplicables para la implementación de las plataformas de los
sistemas de video vigilancia, radiocomunicación y telecomunicaciones a cargo de
las entidades e instituciones señaladas en los numerales 61.1 y 61.2 del artículo
61, así como para establecer las condiciones para la integración de las
plataformas con el Centro Nacional de Video Vigilancia, Radiocomunicación y
Telecomunicaciones para la Seguridad Ciudadana.

Artículo 63.- Limitaciones de uso de información


La información obtenida por el Centro Nacional de Video Vigilancia,
Radiocomunicación y Telecomunicaciones para la Seguridad Ciudadana será
utilizada exclusivamente para los fines regulados en la Ley del Sistema Nacional
de Seguridad Ciudadana y sus modificatorias, y el presente Reglamento, de
acuerdo a las normas legales vigentes, especialmente las que protegen los
derechos fundamentales, bajo responsabilidad administrativa, civil o penal,
según corresponda.

(…)

TÍTULO V
COORDINACIÓN ENTRE LAS ENTIDADES QUE CONFORMAN EL SISTEMA
NACIONAL DE SEGURIDAD CIUDADANA

CAPÍTULO I
COOPERACIÓN ENTRE LA POLICÍA NACIONAL DEL PERÚ Y LAS MUNICIPALIDADES
EN MATERIA DE SEGURIDAD CIUDADANA

(…)

Artículo 69.- Planes de Patrullaje Integrado.


La Policía Nacional del Perú y los Gobiernos Locales adoptarán en forma
coordinada planes de patrullaje integrado bajo el liderazgo operativo del
Comisario de la jurisdicción, empleando los bienes y recursos no dinerarios
disponibles, tales como: unidades vehiculares, recursos humanos, sistemas
informáticos, de video vigilancia y de comunicaciones, entre otros. Para tal
efecto, se coordinará con las jurisdicciones contiguas geográficamente el
desarrollo de dicho servicio, de tal forma que ninguna zona o área quede
desprotegida.
Los planes de patrullaje integrado deben ser visados por los respectivos
Comisarios y Gerentes de Seguridad Ciudadana.
26. Decreto Supremo que aprueba el Reglamento de la Ley N° 30037, Ley que previene
y sanciona la violencia en los Espectáculos Deportivos (DS 007-2016-IN)

(…)

CAPÍTULO III
REGLAS APLICABLES A LA REALIZACIÓN DE ESPECTÁCULOS DEPORTIVOS
PROFESIONALES

(…)

Artículo 13.- Información sobre Protección del Plan de Protección y Seguridad

13.1. El Plan de Protección y Seguridad contiene la siguiente información sobre


protección:

(…)

g) Ubicación de las barras, en sectores separados, claramente delimitados; así


como la precisión de los parámetros que determinen el aforo de las ubicaciones
de las barras en los sectores de las tribunas, las cuales están provistas de cámaras
de vigilancia.

(…)

CAPÍTULO IV
REGISTRO ÚNICO DE
EMPADRONAMIENTO DE BARRISTAS
Artículo 26.- Creación y funcionamiento del Registro

26.1. Créase el Registro Único de Empadronamiento de Barristas -RUEBAR, en el


marco de lo dispuesto en los artículos 10 al 12 de la Ley, el cual está a cargo del
MININTER, con la asistencia técnica de la Oficina Nacional de Gobierno
Electrónico-ONGEI de la Presidencia del Consejo de Ministros, quien además
proporciona la Plataforma de Interoperabilidad del Estado – PIDE para el
intercambio de datos automatizados entre entidades públicas participantes del
RUEBAR. El MININTER mediante Resolución Ministerial dictará las medidas
complementarias para la implementación del referido registro.

26.2. Cada club deportivo profesional es responsable de ingresar la información


correspondiente a la base de datos que contiene el RUEBAR, y que como mínimo
debe contener los datos establecidos en el artículo 10 de la Ley, así como
mantenerla actualizada permanentemente. Esta información debe estar
acreditada con la documentación presentada para el empadronamiento
respectivo, señalada en el artículo 12 de la Ley.

(…)
29.3. El tratamiento de los datos obtenidos con arreglo a estos procedimientos se
limita a proporcionar información sobre quienes accedan o pretendan acceder a
los escenarios deportivos, con la finalidad de garantizar el cumplimiento de las
prohibiciones existentes y, en su caso, establecer las responsabilidades a que
hubiere lugar.

29.4. Los datos personales de los espectadores a los eventos deportivos


solamente pueden ser cedidos a las autoridades u órganos competentes, con las
limitaciones establecidas por la ley pertinente.
(…)

CAPÍTULO V
DE LA GESTIÓN DE LAS ENTRADAS

(…)

Artículo 29.- Sistemas de venta de entradas nominativas

(…)

(…)

Artículo 32.- Anverso y reverso de las entradas

32.1. Las entradas deben contener en el anverso los siguientes datos de


identificación, como mínimo:

a) Nombre completo y DNI o documento de identificación equivalente del


adquiriente de la entrada.

b) Numeración correspondiente.

c) Nombre y ubicación del escenario deportivo.

d) Clase de competición, torneo y organizador del espectáculo deportivo.

e) Denominación del espectáculo deportivo profesional, clubes deportivos


profesionales, sociedades o entidades participantes.

f) Clase y tipo de localidad.

g) Puerta de acceso al escenario deportivo.

h) Número de asiento.
32.2. Las entradas indican en su reverso que el escenario deportivo es una zona
video vigilada para la seguridad de los espectadores y participantes en el
encuentro, y especifican las causas que impidan el acceso a este o la permanencia
en el mismo, establecidas en el presente Reglamento.

(…)

CAPÍTULO VI
DE LA INFRAESTRUCTURA Y OTRAS CONDICIONES PARA EL DESARROLLO DE
ESPECTÁCULOS DEPORTIVOS PROFESIONALES
Artículo 38.- Infraestructura de los escenarios deportivos

38.1 Los escenarios deportivos donde se desarrollen los espectáculos deportivos


profesionales deben contar con el Certificado de Seguridad en Edificaciones
Vigente y el pronunciamiento del Gobierno Local correspondiente de que se
mantiene el cumplimiento de las normas de seguridad en edificaciones, mediante
la Visita de Seguridad en Edificaciones-VISE en el marco de las normas sobre la
materia. Los escenarios deportivos cuentan con todos los elementos que
aseguren las condiciones mínimas de seguridad y calidad, tales como: accesos y
salidas adecuadas, salidas de emergencia, rutas, rampas, lugares accesibles
habilitados y acondicionados para personas con discapacidad y su acompañante,
sistemas de video vigilancia, butacas, barandas, vallas y divisiones.

38.2 La ubicación de los lugares habilitados y acondicionados para el uso de la


persona con discapacidad y su acompañante no deben vulnerar el respeto a la
dignidad de la persona, salvaguardando su seguridad y comodidad.

Artículo 39.- Sistemas de video vigilancia

39.1. Los propietarios de los escenarios deportivos, en coordinación con los


organizadores de los espectáculos deportivos profesionales, deben instalar en sus
escenarios deportivos, sistemas de video vigilancia para grabar los lugares de
ingreso y salida de los espectadores al evento, así como las instalaciones del
escenario y sus alrededores, en donde puedan producirse disturbios o
concentración de público. Además, adoptan las medidas necesarias para
garantizar su buen estado de conservación y correcto funcionamiento.

39.2. Los sistemas de video vigilancia deben ser interconectados con los sistemas
de video vigilancia de la Policía Nacional del Perú, de forma tal que puedan
brindar información en tiempo real.

39.3. Cada escenario deportivo debe contar con un centro de control de los
sistemas de video vigilancia, debidamente implementado. Debe incluir las
cámaras de vigilancia, el sistema de megafonía, el sistema informatizado de
control y gestión de venta de entradas, el control de accesos, pantallas de
publicidad del escenario deportivo, así como otros sistemas que puedan
implementarse.
(…)

39.5 Los organizadores de espectáculos deportivos deben conservar y remitir la


información obtenida de las cámaras de vigilancia a la Policía Nacional del Perú
hasta el último día hábil del mes siguiente a la realización del espectáculo
deportivo. Si no pudiera remitirse la grabación por imposibilidad del calendario
será entregada el primer día hábil del mes siguiente.

(…)
27. DS 013-2017-JUS - Reglamento de Organización y Funciones del Ministerio de
Justicia y Derechos Humanos

TÍTULO I
DISPOSICIONES GENERALES

Artículo 4.- Ámbito de competencia

El Ministerio es la entidad competente, a nivel nacional, en las siguientes


materias:

a) Derechos Humanos
(…)
g) Protección de Datos Personales
(…)
k) Transparencia y Acceso a la Información Pública

Artículo 5.- Funciones del Ministerio de Justicia y Derechos Humanos

Son funciones del Ministerio de Justicia y Derechos Humanos las siguientes:

(…)

5.2 Funciones específicas:

(…)

c) Promover el respeto de los derechos humanos en el marco de un Estado


Constitucional de Derecho, así como elaborar planes nacionales en dicho ámbito.

(…)

g) Ejercer la Autoridad Nacional de Protección de Datos Personales, así como


ejercer la Autoridad Nacional de Transparencia.

(…)

TÍTULO II
ESTRUCTURA ORGÁNICA Y FUNCIONES DE LOS ÓRGANOS Y UNIDADES
ORGÁNICAS

CAPÍTULO I
ESTRUCTURA ORGÁNICA

Artículo 7.- Ministerio de Justicia y Derechos Humanos


El Ministerio de Justicia y Derechos Humanos cuenta con la siguiente estructura
orgánica:

(…)

05. ÓRGANO RESOLUTIVO

05.1 Tribunal de Transparencia y Acceso a la Información Pública

(…)

VICEMINISTERIO DE JUSTICIA

08 ÓRGANOS DE LÍNEA

(…)

08.4 Dirección General de Transparencia, Acceso a la Información Pública y


Protección de Datos Personales

08.4.1 Dirección de Transparencia y Acceso a la Información Pública

08.4.2 Dirección de Protección de Datos Personales

08.4.3 Dirección de Fiscalización e Instrucción

(…)

CAPÍTULO II
ALTA DIRECCIÓN

(…)

SUB CAPITULO II
DESPACHO VICEMINISTERIAL DE JUSTICIA

Artículo 11.- Despacho Viceministerial de Justicia

El Despacho Viceministerial de Justicia está a cargo del Viceministro de Justicia,


quien es la autoridad inmediata al Ministro de Justicia y Derechos Humanos en
asuntos de su competencia y por encargo del Ministro. El ámbito de competencia
del Despacho Viceministerial de Justicia corresponde a los asuntos relacionados
a Desarrollo Normativo y Calidad Regulatoria, a los Asuntos Criminológicos, a la
Justicia y Libertad Religiosa, a Transparencia, Acceso a la Información Pública y
Protección de Datos Personales, a la Supervisión de Fundaciones y a los temas de
extradiciones y traslado de condenados.

(…)

CAPÍTULO VI ÓRGANO RESOLUTIVO


TRIBUNAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN PÚBLICA

Artículo 22.- Tribunal de Transparencia y Acceso a la Información Pública

El Tribunal de Transparencia y Acceso a la Información Pública es un órgano


resolutivo del Ministerio que constituye la última instancia administrativa en
materia de transparencia y derecho al acceso a la información pública a nivel
nacional. Como tal, es competente para resolver las controversias que se susciten
en dichas materias. Cuenta con una Secretaría Técnica encargada de brindar
apoyo técnico y administrativo permanente. Depende del Ministro y tiene
autonomía en el ejercicio de sus funciones.

Artículo 23.- Funciones del Tribunal de Transparencia y Acceso a la Información


Pública

Son funciones del Tribunal de Transparencia y Acceso a la Información Pública las


siguientes:

a) Resolver los recursos de apelación contra las decisiones de las entidades


comprendidas en el artículo I del Título Preliminar de la Ley Nº 27444, Ley del
Procedimiento Administrativo General, en materias de transparencia y acceso a
la información pública. Su decisión agota la vía administrativa.

b) Resolver , en última instancia administrativa, los recursos de apelación que


interpongan los funcionarios y servidores públicos sancionados por el
incumplimiento de las normas de transparencia y acceso a la información pública.

c) Dirimir mediante opinión técnica vinculante los casos en los que se presente
conflicto entre la aplicación de la Ley Nº 29733, Ley de Protección de Datos
Personales y de la Ley Nº 27806, Ley de Transparencia y Acceso a la Información
Pública.

d) Establecer precedentes vinculantes cuando así lo señale expresamente en la


resolución que expida, en cuyo caso debe disponer su publicación en el Diario
Oficial El Peruano y en su portal institucional.

e) Custodiar declaraciones de conflicto de interés.

f) Requerir a los administrados, entidades y terceros la información adicional


necesaria para resolver los expedientes a su cargo a través de la Secretaría
Técnica del Tribunal, la misma que brinda el apoyo técnico, legal y administrativo
que requiera el Tribunal para el cumplimiento de sus funciones.

g) Otras funciones que le sean dadas por normativa expresa.

(…)

CAPÍTULO VIII ÓRGANOS DE LÍNEA

(…)

DIRECCIÓN GENERAL DE TRANSPARENCIA, ACCESO A LA INFORMACIÓN PÚBLICA


Y PROTECCIÓN DE DATOS PERSONALES

Artículo 70.- Dirección General de Transparencia, Acceso a la Información Pública


y Protección