Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LEGALES
Editora Perú
ACTUALIZADAS
LEY DE PROTECCIÓN DE
DATOS PERSONALES
Ley Nº 29733
15. Procedimiento de disociación. Tratamiento recopilación de los datos personales por medios
de datos personales que impide la identificación fraudulentos, desleales o ilícitos.
o que no hace identificable al titular de estos. El
procedimiento es reversible. Artículo 5. Principio de consentimiento
16. Titular de datos personales. Persona Para el tratamiento de los datos personales
natural a quien corresponde los datos personales. debe mediar el consentimiento de su titular.
17. Titular del banco de datos personales.
Persona natural, persona jurídica de derecho Artículo 6. Principio de finalidad
privado o entidad pública que determina la Los datos personales deben ser recopilados
finalidad y contenido del banco de datos para una finalidad determinada, explícita y lícita.
personales, el tratamiento de estos y las medidas El tratamiento de los datos personales no debe
de seguridad. extenderse a otra finalidad que no haya sido la
18. Transferencia de datos personales. Toda establecida de manera inequívoca como tal al
transmisión, suministro o manifestación de datos momento de su recopilación, excluyendo los casos
personales, de carácter nacional o internacional, de actividades de valor histórico, estadístico o
a una persona jurídica de derecho privado, a una científico cuando se utilice un procedimiento de
entidad pública o a una persona natural distinta del disociación o anonimización.
titular de datos personales.
19. Tratamiento de datos personales. Cualquier Artículo 7. Principio de proporcionalidad
operación o procedimiento técnico, automatizado Todo tratamiento de datos personales debe ser
o no, que permite la recopilación, registro, adecuado, relevante y no excesivo a la finalidad
organización, almacenamiento, conservación, para la que estos hubiesen sido recopilados.
elaboración, modificación, extracción, consulta,
utilización, bloqueo, supresión, comunicación por Artículo 8. Principio de calidad
transferencia o por difusión o cualquier otra forma Los datos personales que vayan a ser tratados
de procesamiento que facilite el acceso, correlación deben ser veraces, exactos y, en la medida de
o interconexión de los datos personales”. lo posible, actualizados, necesarios, pertinentes
(*) Artículo modificado por la Tercera Disposición y adecuados respecto de la finalidad para la que
Complementaria Modificatoria del Decreto Legislativo fueron recopilados. Deben conservarse de forma
N° 1353, publicado el 7 de enero de 2017. tal que se garantice su seguridad y solo por el
tiempo necesario para cumplir con la finalidad del
“Artículo 3. Ámbito de aplicación tratamiento.
La presente Ley es de aplicación a los datos
personales contenidos o destinados a ser Artículo 9. Principio de seguridad
contenidos en bancos de datos personales de El titular del banco de datos personales y
administración pública y de administración privada, el encargado de su tratamiento deben adoptar
cuyo tratamiento se realiza en el territorio nacional. las medidas técnicas, organizativas y legales
Son objeto de especial protección los datos necesarias para garantizar la seguridad de los
sensibles. datos personales. Las medidas de seguridad
Las disposiciones de esta Ley no son de deben ser apropiadas y acordes con el tratamiento
aplicación a los siguientes datos personales: que se vaya a efectuar y con la categoría de datos
personales de que se trate.
1. A los contenidos o destinados a ser
contenidos en bancos de datos personales creados Artículo 10. Principio de disposición de
por personas naturales para fines exclusivamente recurso
relacionados con su vida privada o familiar. Todo titular de datos personales debe contar
2. A los contenidos o destinados a ser contenidos con las vías administrativas o jurisdiccionales
en bancos de datos de administración pública, necesarias para reclamar y hacer valer sus
solo en tanto su tratamiento resulte necesario derechos, cuando estos sean vulnerados por el
para el estricto cumplimiento de las competencias tratamiento de sus datos personales.
asignadas por ley a las respectivas entidades
públicas, para la defensa nacional, seguridad Artículo 11. Principio de nivel de protección
pública, y para el desarrollo de actividades en adecuado
materia penal para la investigación y represión Para el flujo transfronterizo de datos personales,
del delito”. (*) Artículo modificado por la Tercera se debe garantizar un nivel suficiente de protección
Disposición Complementaria Modificatoria del para los datos personales que se vayan a tratar o,
Decreto Legislativo N° 1353, publicado el 7 de enero por lo menos, equiparable a lo previsto por esta Ley
de 2017. o por los estándares internacionales en la materia.
Los principios rectores señalados sirven también administrativas solo puede ser efectuado por las
de criterio interpretativo para resolver las cuestiones entidades públicas competentes, salvo convenio
que puedan suscitarse en la aplicación de esta de encargo de gestión conforme a la Ley 27444,
Ley y de su reglamento, así como de parámetro Ley del Procedimiento Administrativo General, o la
para la elaboración de otras disposiciones y para que haga sus veces. Cuando se haya producido la
suplir vacíos en la legislación sobre la materia”. cancelación de los antecedentes penales, judiciales,
(*) Artículo modificado por la Tercera Disposición policiales y administrativos, estos datos no pueden
Complementaria Modificatoria del Decreto Legislativo ser suministrados salvo que sean requeridos por el
N° 1353, publicado el 7 de enero de 2017. Poder Judicial o el Ministerio Público, conforme a
ley.
TÍTULO II 13.9 La comercialización de datos personales
contenidos o destinados a ser contenidos en bancos
TRATAMIENTO DE DATOS PERSONALES de datos personales se sujeta a los principios
previstos en la presente Ley.
Artículo 13. Alcances sobre el tratamiento de
datos personales “Artículo 14. Limitaciones al consentimiento
para el tratamiento de datos personales
13.1 El tratamiento de datos personales debe No se requiere el consentimiento del titular
realizarse con pleno respeto de los derechos de datos personales, para los efectos de su
fundamentales de sus titulares y de los derechos tratamiento, en los siguientes casos:
que esta Ley les confiere. Igual regla rige para su
utilización por terceros. 1. Cuando los datos personales se recopilen
13.2 Las limitaciones al ejercicio del derecho o transfieran para el ejercicio de las funciones
fundamental a la protección de datos personales de las entidades públicas en el ámbito de sus
solo pueden ser establecidas por ley, respetando su competencias.
contenido esencial y estar justificadas en razón del 2. Cuando se trate de datos personales
respeto de otros derechos fundamentales o bienes contenidos o destinados a ser contenidos en
constitucionalmente protegidos. fuentes accesibles para el público.
13.3 Mediante reglamento se dictan medidas 3. Cuando se trate de datos personales relativos
especiales para el tratamiento de los datos a la solvencia patrimonial y de crédito, conforme a
personales de los niños y de los adolescentes, ley.
así como para la protección y garantía de sus 4. Cuando medie norma para la promoción
derechos. Para el ejercicio de los derechos que de la competencia en los mercados regulados
esta Ley reconoce, los niños y los adolescentes emitida en ejercicio de la función normativa por
actúan a través de sus representantes legales, los organismos reguladores a que se refiere la Ley
pudiendo el reglamento determinar las 27332, Ley Marco de los Organismos Reguladores
excepciones aplicables, de ser el caso, teniendo de la Inversión Privada en los Servicios Públicos, o
en cuenta para ello el interés superior del niño y la que haga sus veces, siempre que la información
del adolescente. brindada no sea utilizada en perjuicio de la
13.4 Las comunicaciones, telecomunicaciones, privacidad del usuario.
sistemas informáticos o sus instrumentos, cuando 5. Cuando los datos personales sean necesarios
sean de carácter privado o uso privado, solo para la preparación, celebración y ejecución de una
pueden ser abiertos, incautados, interceptados o relación contractual en la que el titular de datos
intervenidos por mandamiento motivado del juez personales sea parte, o cuando se trate de datos
o con autorización de su titular, con las garantías personales que deriven de una relación científica
previstas en la ley. Se guarda secreto de los o profesional del titular y sean necesarios para su
asuntos ajenos al hecho que motiva su examen. desarrollo o cumplimiento.
Los datos personales obtenidos con violación de 6. Cuando se trate de datos personales relativos
este precepto carecen de efecto legal. a la salud y sea necesario, en circunstancia
13.5 Los datos personales solo pueden ser objeto de riesgo, para la prevención, diagnóstico y
de tratamiento con consentimiento de su titular, tratamiento médico o quirúrgico del titular,
salvo ley autoritativa al respecto. El consentimiento siempre que dicho tratamiento sea realizado en
debe ser previo, informado, expreso e inequívoco. establecimientos de salud o por profesionales
13.6 En el caso de datos sensibles, el en ciencias de la salud, observando el secreto
consentimiento para efectos de su tratamiento, profesional; o cuando medien razones de interés
además, debe efectuarse por escrito. Aun cuando público previstas por ley o cuando deban tratarse
no mediara el consentimiento del titular, el por razones de salud pública, ambas razones
tratamiento de datos sensibles puede efectuarse deben ser calificadas como tales por el Ministerio
cuando la ley lo autorice, siempre que ello atienda de Salud; o para la realización de estudios
a motivos importantes de interés público. epidemiológicos o análogos, en tanto se apliquen
13.7 El titular de datos personales puede procedimientos de disociación adecuados.
revocar su consentimiento en cualquier momento, 7. Cuando el tratamiento sea efectuado por
observando al efecto los mismos requisitos que con organismos sin fines de lucro cuya finalidad
ocasión de su otorgamiento. sea política, religiosa o sindical y se refiera a los
13.8 El tratamiento de datos personales datos personales recopilados de sus respectivos
relativos a la comisión de infracciones penales o miembros, los que deben guardar relación con el
NORMAS LEGALES actualizadas 5
propósito a que se circunscriben sus actividades, cuenta y aquellas actividades que el manejo de la
no pudiendo ser transferidos sin consentimiento de relación contractual requiera.
aquellos. 5. Cuando se trate de transferencias bancarias
8. Cuando se hubiera aplicado un procedimiento o bursátiles, en lo relativo a las transacciones
de anonimización o disociación. respectivas y conforme a la ley aplicable.
9. Cuando el tratamiento de los datos personales 6. Cuando el flujo transfronterizo de datos
sea necesario para salvaguardar intereses personales se realice para la protección,
legítimos del titular de datos personales por parte prevención, diagnóstico o tratamiento médico o
del titular de datos personales o por el encargado quirúrgico de su titular; o cuando sea necesario
de tratamiento de datos personales. para la realización de estudios epidemiológicos o
10. Cuando el tratamiento sea para fines análogos, en tanto se apliquen procedimientos de
vinculados al sistema de prevención de lavado de disociación adecuados.
activos y financiamiento del terrorismo u otros que 7. Cuando el titular de los datos personales haya
respondan a un mandato legal. dado su consentimiento previo, informado, expreso
11. En el caso de grupos económicos e inequívoco.
conformados por empresas que son consideradas 8. Otros que establezca el reglamento de la
sujetos obligados a informar, conforme a las normas presente Ley, con sujeción a lo dispuesto en el
que regulan a la Unidad de Inteligencia Financiera, artículo 12”. (*) Artículo modificado por la Tercera
que éstas puedan compartir información entre sí de Disposición Complementaria Modificatoria del
sus respectivos clientes para fines de prevención de Decreto Legislativo N° 1353, publicado el 7 de
lavado de activos y financiamiento del terrorismo, enero de 2017.
así como otros de cumplimiento regulatorio,
estableciendo las salvaguardas adecuadas Artículo 16. Seguridad del tratamiento de
sobre la confidencialidad y uso de la información datos personales
intercambiada. Para fines del tratamiento de datos personales,
12. Cuando el tratamiento se realiza en ejercicio el titular del banco de datos personales debe
constitucionalmente válido del derecho fundamental adoptar medidas técnicas, organizativas y legales
a la libertad de información. que garanticen su seguridad y eviten su alteración,
13. Otros que deriven del ejercicio de pérdida, tratamiento o acceso no autorizado.
competencias expresamente establecidas por Ley”. Los requisitos y condiciones que deben reunir
(*) Artículo modificado por la Tercera Disposición los bancos de datos personales en materia de
Complementaria Modificatoria del Decreto Legislativo seguridad son establecidos por la Autoridad
N° 1353, publicado el 7 de enero de 2017. Nacional de Protección de Datos Personales,
salvo la existencia de disposiciones especiales
“Artículo 15. Flujo transfronterizo de datos contenidas en otras leyes.
personales Queda prohibido el tratamiento de datos
El titular y el encargado de tratamiento de datos personales en bancos de datos que no reúnan los
personales deben realizar el flujo transfronterizo requisitos y las condiciones de seguridad a que se
de datos personales solo si el país destinatario refiere este artículo.
mantiene niveles de protección adecuados
conforme a la presente Ley. Artículo 17. Confidencialidad de datos
En caso de que el país destinatario no cuente personales
con un nivel de protección adecuado, el emisor El titular del banco de datos personales, el
del flujo transfronterizo de datos personales encargado y quienes intervengan en cualquier
debe garantizar que el tratamiento de los datos parte de su tratamiento están obligados a guardar
personales se efectúe conforme a lo dispuesto por confidencialidad respecto de los mismos y de
la presente Ley. sus antecedentes. Esta obligación subsiste aun
No se aplica lo dispuesto en el segundo párrafo después de finalizadas las relaciones con el titular
en los siguientes casos: del banco de datos personales.
El obligado puede ser relevado de la obligación
1. Acuerdos en el marco de tratados de confidencialidad cuando medie consentimiento
internacionales sobre la materia en los cuales la previo, informado, expreso e inequívoco del
República del Perú sea parte. titular de los datos personales, resolución judicial
2. Cooperación judicial internacional. consentida o ejecutoriada, o cuando medien
3. Cooperación internacional entre organismos razones fundadas relativas a la defensa nacional,
de inteligencia para la lucha contra el terrorismo, seguridad pública o la sanidad pública, sin perjuicio
tráfico ilícito de drogas, lavado de activos, del derecho a guardar el secreto profesional.
corrupción, trata de personas y otras formas de
criminalidad organizada. TÍTULO III
4. Cuando los datos personales sean necesarios
para la ejecución de una relación contractual en DERECHOS DEL TITULAR DE
la que el titular de datos personales sea parte, DATOS PERSONALES
incluyendo lo necesario para actividades como
la autentificación de usuario, mejora y soporte “Artículo 18. Derecho de información del titular
del servicio, monitoreo de la calidad del servicio, de datos personales El titular de datos personales
soporte para el mantenimiento y facturación de la tiene derecho a ser informado en forma detallada,
6 NORMAS LEGALES actualizadas
sencilla, expresa, inequívoca y de manera previa tratamiento de datos personales debe comunicar
a su recopilación, sobre la finalidad para la que la actualización, inclusión, rectificación o supresión
sus datos personales serán tratados; quiénes a quienes se hayan transferido, en el caso que
son o pueden ser sus destinatarios, la existencia se mantenga el tratamiento por este último, quien
del banco de datos en que se almacenarán, así debe también proceder a la actualización, inclusión,
como la identidad y domicilio de su titular y, de ser rectificación o supresión, según corresponda.
el caso, del o de los encargados del tratamiento Durante el proceso de actualización, inclusión,
de sus datos personales; el carácter obligatorio rectificación o supresión de datos personales, el
o facultativo de sus respuestas al cuestionario encargado de tratamiento de datos personales
que se le proponga, en especial en cuanto a los dispone su bloqueo, quedando impedido de permitir
datos sensibles; la transferencia de los datos que terceros accedan a ellos. Dicho bloqueo no es
personales; las consecuencias de proporcionar aplicable a las entidades públicas que requieren de
sus datos personales y de su negativa a hacerlo; tal información para el adecuado ejercicio de sus
el tiempo durante el cual se conserven sus datos competencias, según ley, las que deben informar
personales; y la posibilidad de ejercer los derechos que se encuentra en trámite cualquiera de los
que la ley le concede y los medios previstos para mencionados procesos.
ello. La supresión de datos personales contenidos
Si los datos personales son recogidos en línea en bancos de datos personales de administración
a través de redes de comunicaciones electrónicas, pública se sujeta a lo dispuesto en el artículo 21
las obligaciones del presente artículo pueden del Texto Único Ordenado de la Ley 27806, Ley de
satisfacerse mediante la publicación de políticas de Transparencia y Acceso a la Información Pública, o
privacidad, las que deben ser fácilmente accesibles la que haga sus veces”. (*) Artículo modificado por
e identificables. la Tercera Disposición Complementaria Modificatoria
En el caso que el titular del banco de datos del Decreto Legislativo N° 1353, publicado el 7 de
establezca vinculación con un encargado de enero de 2017.
tratamiento de manera posterior al consentimiento, el
accionar del encargado queda bajo responsabilidad “Artículo 21. Derecho a impedir el suministro
del Titular del Banco de Datos, debiendo establecer El titular de datos personales tiene derecho
un mecanismo de información personalizado para a impedir que estos sean suministrados,
el titular de los datos personales sobre dicho nuevo especialmente cuando ello afecte sus derechos
encargado de tratamiento. fundamentales. El derecho a impedir el suministro
Si con posterioridad al consentimiento se produce no aplica para la relación entre el titular del
la transferencia de datos personales por fusión, banco de datos personales y el encargado de
adquisición de cartera, o supuestos similares, el tratamiento de datos personales para los efectos
nuevo titular del banco de datos debe establecer un del tratamiento de estos”. (*) Artículo modificado por
mecanismo de información eficaz para el titular de la Tercera Disposición Complementaria Modificatoria
los datos personales sobre dicho nuevo encargado del Decreto Legislativo N° 1353, publicado el 7 de
de tratamiento”. (*) Artículo modificado por la Tercera enero de 2017.
Disposición Complementaria Modificatoria del
Decreto Legislativo N° 1353, publicado el 7 de enero “Artículo 22. Derecho de oposición
de 2017. Siempre que, por ley, no se disponga lo contrario
y cuando no hubiera prestado consentimiento,
Artículo 19. Derecho de acceso del titular de el titular de datos personales puede oponerse a
datos personales su tratamiento cuando existan motivos fundados
El titular de datos personales tiene derecho y legítimos relativos a una concreta situación
a obtener la información que sobre sí mismo sea personal. En caso de oposición justificada, el titular
objeto de tratamiento en bancos de datos de o el encargado de tratamiento de datos personales,
administración pública o privada, la forma en que según corresponda, debe proceder a su supresión,
sus datos fueron recopilados, las razones que conforme a ley”. (*) Artículo modificado por la Tercera
motivaron su recopilación y a solicitud de quién se Disposición Complementaria Modificatoria del Decreto
realizó la recopilación, así como las transferencias Legislativo N° 1353, publicado el 7 de enero de 2017.
realizadas o que se prevén hacer de ellos.
Artículo 23. Derecho al tratamiento objetivo
“Artículo 20. Derecho de actualización, El titular de datos personales tiene derecho
inclusión, rectificación y supresión a no verse sometido a una decisión con efectos
El titular de datos personales tiene derecho a jurídicos sobre él o que le afecte de manera
la actualización, inclusión, rectificación y supresión significativa, sustentada únicamente en un
de sus datos personales materia de tratamiento, tratamiento de datos personales destinado
cuando estos sean parcial o totalmente inexactos, a evaluar determinados aspectos de su
incompletos, cuando se hubiere advertido omisión, personalidad o conducta, salvo que ello ocurra
error o falsedad, cuando hayan dejado de ser en el marco de la negociación, celebración o
necesarios o pertinentes a la finalidad para la cual ejecución de un contrato o en los casos de
hayan sido recopilados o cuando hubiera vencido el evaluación con fines de incorporación a una
plazo establecido para su tratamiento. entidad pública, de acuerdo a ley, sin perjuicio de
Si sus datos personales hubieran sido la posibilidad de defender su punto de vista, para
transferidos previamente, el encargado de salvaguardar su legítimo interés.
NORMAS LEGALES actualizadas 7
pública y de administración privada se sujetan a lo las acciones necesarias para el cumplimiento del
que establezca el reglamento, salvo la existencia de objeto y demás disposiciones de la presente Ley y
disposiciones especiales contenidas en otras leyes. de su reglamento. Para tal efecto, goza de potestad
En todo caso, se garantiza la publicidad sobre su sancionadora, de conformidad con la Ley 27444,
existencia, finalidad, identidad y el domicilio de su Ley del Procedimiento Administrativo General,
titular y, de ser el caso, de su encargado. o la que haga sus veces, así como de potestad
coactiva, de conformidad con la Ley 26979, Ley
Artículo 30. Prestación de servicios de de Procedimiento de Ejecución Coactiva, o la que
tratamiento de datos personales haga sus veces.
Cuando, por cuenta de terceros, se presten La Autoridad Nacional de Protección de Datos
servicios de tratamiento de datos personales, estos Personales debe presentar periódicamente un
no pueden aplicarse o utilizarse con un fin distinto informe sobre sus actividades al Ministro de Justicia.
al que figura en el contrato o convenio celebrado Para el cumplimiento de sus funciones, la
ni ser transferidos a otras personas, ni aun para su Autoridad Nacional de Protección de Datos
conservación. Personales cuenta con el apoyo y asesoramiento
Una vez ejecutada la prestación materia del técnico de la Oficina Nacional de Gobierno
contrato o del convenio, según el caso, los datos Electrónico e Informática (ONGEI) de la Presidencia
personales tratados deben ser suprimidos, salvo del Consejo de Ministros, o la que haga sus veces.
que medie autorización expresa de aquel por
cuenta de quien se prestan tales servicios cuando Artículo 33. Funciones de la Autoridad
razonablemente se presuma la posibilidad de Nacional de Protección de Datos Personales
ulteriores encargos, en cuyo caso se pueden La Autoridad Nacional de Protección de Datos
conservar con las debidas condiciones de Personales ejerce las funciones administrativas,
seguridad, hasta por el plazo que determine el orientadoras, normativas, resolutivas, fiscalizadoras
reglamento de esta Ley. (*) Artículo modificado por la y sancionadoras siguientes:
Cuarta Disposición Complementaria Modificatoria del
Decreto Legislativo N° 1353, publicado el 7 de enero de 1. Representar al país ante las instancias
2017, la misma que entró en vigencia al día siguiente internacionales en materia de protección de datos
de la publicación del Decreto Supremo que aprueba personales.
su Reglamento y la modificación del Reglamento de 2. Cooperar con las autoridades extranjeras de
Organización y Funciones del Ministerio de Justicia y protección de datos personales para el cumplimiento
Derechos Humanos, cuyo texto es el siguiente: de sus competencias y generar mecanismos de
cooperación bilateral y multilateral para asistirse
“Artículo 31. Códigos de conducta entre sí y prestarse debido auxilio mutuo cuando
se requiera.
31.1 Las entidades representativas de los 3. Administrar y mantener actualizado el Registro
titulares o encargados de tratamiento de datos Nacional de Protección de Datos Personales.
personales administración privada pueden elaborar 4. Publicitar, a través del portal institucional, la
códigos de conducta que establezcan normas para relación actualizada de bancos de datos personales
el tratamiento de datos personales que tiendan a de administración pública y privada.
asegurar y mejorar las condiciones de operación 5. Promover campañas de difusión y promoción
de los sistemas de información en función de los sobre la protección de datos personales.
principios rectores establecidos en esta Ley.” 6. Promover y fortalecer una cultura de
(*) Artículo modificado por la Cuarta Disposición protección de los datos personales de los niños y
Complementaria Modificatoria del Decreto Legislativo de los adolescentes.
N° 1353, publicado el 7 de enero de 2017. 7. Coordinar la inclusión de información sobre
la importancia de la vida privada y de la protección
TÍTULO VI de datos personales en los planes de estudios
de todos los niveles educativos y fomentar,
AUTORIDAD NACIONAL DE PROTECCIÓN asimismo, la capacitación de los docentes en
DE DATOS PERSONALES estos temas.
8. Supervisar el cumplimiento de las exigencias
Artículo 32. Órgano competente y régimen previstas en esta Ley, para el flujo transfronterizo
jurídico de datos personales.
El Ministerio de Justicia, a través de la Dirección 9. Emitir autorizaciones, cuando corresponda,
Nacional de Justicia, es la Autoridad Nacional de conforme al reglamento de esta Ley.
Protección de Datos Personales. Para el adecuado 10. Absolver consultas sobre protección de
desempeño de sus funciones, puede crear oficinas datos personales y el sentido de las normas
en todo el país. vigentes en la materia, particularmente sobre las
La Autoridad Nacional de Protección de Datos que ella hubiera emitido.
Personales se rige por lo dispuesto en esta Ley, 11. Emitir opinión técnica respecto de los
en su reglamento y en los artículos pertinentes proyectos de normas que se refieran total o
del Reglamento de Organización y Funciones del parcialmente a los datos personales, la que es
Ministerio de Justicia. vinculante.
Corresponde a la Autoridad Nacional de 12. Emitir las directivas que correspondan para
Protección de Datos Personales realizar todas la mejor aplicación de lo previsto en esta Ley y
NORMAS LEGALES actualizadas 9
“Artículo 38.- Tipificación de infracciones Administrativo General, o la que haga sus veces,
Las infracciones se clasifican en leves, graves la Autoridad Nacional de Protección de Datos
y muy graves, las cuales son tipificadas vía Personales puede imponer multas coercitivas por un
reglamentaria, de acuerdo a lo establecido en el monto que no supere las diez unidades impositivas
numeral 4) del artículo 230 de la Ley Nº 27444, tributarias (UIT), frente al incumplimiento de las
Ley del Procedimiento Administrativo General, obligaciones accesorias a la sanción, impuestas
mediante Decreto Supremo con el voto aprobatorio en el procedimiento sancionador. Las multas
del Consejo de Ministros. coercitivas se imponen una vez vencido el plazo de
Sin perjuicio de las sanciones que en el cumplimiento.
marco de su competencia imponga la autoridad La imposición de las multas coercitivas no impide
competente, esta puede ordenar la implementación el ejercicio de otro medio de ejecución forzosa,
de una o más medidas correctivas, con el objetivo conforme a lo dispuesto en el artículo 196 de la
de corregir o revertir los efectos que la conducta Ley 27444, Ley del Procedimiento Administrativo
infractora hubiere ocasionado o evitar que ésta se General.
produzca nuevamente. El reglamento de la presente Ley regula
Los administrados son responsables lo concerniente a la aplicación de las multas
objetivamente por el incumplimiento de obligaciones coercitivas.
derivadas de las normas sobre protección de datos
personales”. (*) Artículo modificado por la Cuarta DISPOSICIONES COMPLEMENTARIAS
Disposición Complementaria Modificatoria del FINALES
Decreto Legislativo N° 1353, publicado el 7 de enero
de 2017. Primera. Reglamento de la Ley
Para la elaboración del proyecto de reglamento,
Artículo 39. Sanciones administrativas se constituye una comisión multisectorial, la que es
En caso de violación de las normas de esta presidida por la Autoridad Nacional de Protección
Ley o de su reglamento, la Autoridad Nacional de de Datos Personales.
Protección de Datos Personales puede aplicar las El proyecto de reglamento es elaborado en un
siguientes multas: plazo máximo de ciento veinte días hábiles, a partir
de la instalación de la comisión multisectorial, lo
1. Las infracciones leves son sancionadas que debe ocurrir en un plazo no mayor de quince
con una multa mínima desde cero coma cinco de días hábiles, contado a partir del día siguiente de la
una unidad impositiva tributaria (UIT) hasta cinco publicación de la presente Ley.
unidades impositivas tributarias (UIT).
2. Las infracciones graves son sancionadas con Segunda. Directiva de seguridad
multa desde más de cinco unidades impositivas La Autoridad Nacional de Protección de Datos
tributarias (UIT) hasta cincuenta unidades Personales elabora la directiva de seguridad
impositivas tributarias (UIT). de la información administrada por los bancos
3. Las infracciones muy graves son sancionadas de datos personales en un plazo no mayor de
con multa desde más de cincuenta unidades ciento veinte días hábiles, contado a partir del
impositivas tributarias (UIT) hasta cien unidades día siguiente de la publicación de la presente
impositivas tributarias (UIT). Ley.
En tanto se apruebe y rija la referida directiva,
En ningún caso, la multa impuesta puede se mantienen vigentes las disposiciones sectoriales
exceder del diez por ciento de los ingresos brutos sobre la materia.
anuales que hubiera percibido el presunto infractor
durante el ejercicio anterior. Tercera. Adecuación de documentos de
La Autoridad Nacional de Protección de Datos gestión y del Texto Único de Procedimientos
Personales determina la infracción cometida y el Administrativos del Ministerio de Justicia
monto de la multa imponible mediante resolución Estando a la creación de la Autoridad Nacional
debidamente motivada. Para la graduación del de Protección de Datos Personales, en un plazo
monto de las multas, se toman en cuenta los criterios máximo de ciento veinte días hábiles, contado
establecidos en el artículo 230, numeral 3), de la a partir del día siguiente de la publicación de la
Ley 27444, Ley del Procedimiento Administrativo presente Ley, el Ministerio de Justicia elabora las
General, o la que haga sus veces. modificaciones pertinentes en sus documentos de
La imposición de la multa se efectúa sin gestión y en su Texto Único de Procedimientos
perjuicio de las sanciones disciplinarias sobre el Administrativos.
personal de las entidades públicas en los casos
de bancos de datos personales de administración Cuarta. Adecuación normativa
pública, así como de la indemnización por daños Dentro del plazo de sesenta días hábiles, el
y perjuicios y de las sanciones penales a que Poder Ejecutivo remite al Congreso de la República
hubiera lugar. un proyecto de ley que contenga las modificaciones
necesarias a las leyes existentes a efectos de su
Artículo 40. Multas coercitivas adecuación a la presente Ley.
En aplicación de lo dispuesto en el artículo Para las normas de rango inferior, las entidades
199 de la Ley 27444, Ley del Procedimiento públicas competentes revisan la normativa
NORMAS LEGALES actualizadas 11
correspondiente y elaboran las propuestas artículo 17 del Texto Único Ordenado de la Ley
necesarias para su adecuación a lo dispuesto en 28706 , Ley de Transparencia y Acceso a la
esta Ley. Información Pública, constituye dato sensible
En ambos casos se requiere la opinión técnica conforme a los alcances de esta Ley.(*)
favorable previa de la Autoridad Nacional de
Protección de Datos Personales, de conformidad Novena. Inafectación de facultades de la
con el artículo 33 numeral 11. administración tributaria
Lo dispuesto en la presente Ley no se debe
Quinta. Bancos de datos personales interpretar en detrimento de las facultades de la
preexistentes administración tributaria respecto de la información
Los bancos de datos personales creados con que obre y requiera para sus registros, o para el
anterioridad a la presente Ley y sus respectivos cumplimiento de sus funciones.
reglamentos deben adecuarse a esta norma
dentro del plazo que establezca el reglamento. Sin Décima. Financiamiento
perjuicio de ello, sus titulares deben declararlos La realización de las acciones necesarias para la
ante la Autoridad Nacional de Protección de Datos aplicación de la presente Ley se ejecuta con cargo
Personales, con sujeción a lo dispuesto en el al presupuesto institucional del pliego Ministerio de
artículo 29. Justicia y de los recursos a los que hace referencia
el artículo 36, sin demandar recursos adicionales al
Sexta. Hábeas data Tesoro Público.
Las normas establecidas en el Código Procesal
Constitucional sobre el proceso de hábeas Duodécima. Vigencia de la Ley
data se aplican en el ámbito constitucional, La presente Ley entra en vigencia conforme a
independientemente del ámbito administrativo lo siguiente:
materia de la presente Ley. El procedimiento
administrativo establecido en la presente Ley no 1. Las disposiciones previstas en el Título II, en
constituye vía previa para el ejercicio del derecho el primer párrafo del artículo 32 y en las primera,
vía proceso constitucional. segunda, tercera, cuarta, novena y décima
disposiciones complementarias finales rigen a
Sétima. Competencias del Instituto Nacional partir del día siguiente de la publicación de esta
de Defensa de la Competencia y de la Protección Ley.
de la Propiedad Intelectual (Indecopi) 2. Las demás disposiciones rigen en el plazo
La Autoridad Nacional de Protección de Datos de treinta días hábiles, contado a partir de la
Personales es competente para salvaguardar publicación del reglamento de la presente Ley.
los derechos de los titulares de la información
administrada por las Centrales Privadas de Comuníquese al señor Presidente de la
Información de Riesgos (Cepirs) o similares República para su promulgación.
conforme a los términos establecidos en la presente
Ley. En Lima, a los veintiún días del mes de junio de
Sin perjuicio de ello, en materia de infracción dos mil once.
a los derechos de los consumidores en general
mediante la prestación de los servicios e CÉSAR ZUMAETA FLORES
información brindados por las Cepirs o similares, Presidente del Congreso de la República
en el marco de las relaciones de consumo,
son aplicables las normas sobre protección ALDA LAZO RÍOS DE HORNUNG
al consumidor, siendo el ente competente Segunda Vicepresidenta del Congreso
de manera exclusiva y excluyente para la de la República
supervisión de su cumplimiento la Comisión de
Protección al Consumidor del Instituto Nacional AL SEÑOR PRESIDENTE CONSTITUCIONAL
de Defensa de la Competencia y de la Protección DE LA REPÚBLICA
de la Propiedad Intelectual (Indecopi), la que
debe velar por la idoneidad de los bienes y POR TANTO:
servicios en función de la información brindada
a los consumidores. Mando se publique y cumpla.
regulaciones sobre datos personales, no excluye se encuentre establecido en territorio peruano, pero
a las entidades públicas o instituciones privadas a el encargado del tratamiento lo esté, a este último
las que dichos regímenes se aplican del ámbito de le serán aplicables las disposiciones relativas a las
aplicación de la Ley y del presente reglamento. medidas de seguridad contenidas en el presente
Lo dispuesto en el párrafo precedente no reglamento.
implica la derogatoria o inaplicación de las normas En el caso de personas naturales, el
particulares, en tanto su aplicación no genere la establecimiento se entenderá como el local en
afectación del derecho a la protección de datos donde se encuentre el principal asiento de sus
personales. negocios, o el que utilicen para el desempeño de
sus actividades o su domicilio.
Artículo 4.- Excepciones al ámbito de Tratándose de personas jurídicas, se entenderá
aplicación. como el establecimiento el local en el que se
Las disposiciones de este reglamento no serán encuentre la administración principal del negocio.
de aplicación a: Si se trata de personas jurídicas residentes en
el extranjero, se entenderá que es el local en el
1. El tratamiento de datos personales realizado que se encuentre la administración principal del
por personas naturales para fines exclusivamente negocio en territorio peruano, o en su defecto el
domésticos, personales o relacionados con su vida que designen, o cualquier instalación estable que
privada o familiar. permita el ejercicio efectivo o real de una actividad.
2. Los contenidos o destinados a ser Si no fuera posible establecer la dirección del
contenidos en bancos de datos personales de la domicilio o del establecimiento, se le considerará
administración pública, solo en tanto su tratamiento con domicilio desconocido en territorio peruano.
resulte necesario para el estricto cumplimiento de
competencias asignadas por ley a las respectivas TÍTULO II
entidades públicas siempre que tengan por objeto:
Principios rectores
2.1 La defensa nacional.
2.2 La seguridad pública y, Artículo 6.- Principios rectores.
2.3 El desarrollo de actividades en materia penal El titular del banco de datos personales, o en
para la investigación y represión del delito. su caso, quien resulte responsable del tratamiento,
debe cumplir con los principios rectores de la
Artículo 5.- Ámbito de aplicación territorial. protección de datos personales, de conformidad
con lo establecido en la Ley, aplicando los criterios
Las disposiciones de la Ley y del presente
de desarrollo que se establecen en el presente
reglamento son de aplicación al tratamiento de
título del reglamento.
datos personales cuando:
Artículo 7.- Principio de consentimiento.
1. Sea efectuado en un establecimiento ubicado
En atención al principio de consentimiento,
en territorio peruano correspondiente al titular del
el tratamiento de los datos personales es lícito
banco de datos personales o de quien resulte
cuando el titular del dato personal hubiere
responsable del tratamiento. prestado su consentimiento libre, previo, expreso,
2. Sea efectuado por un encargado del informado e inequívoco. No se admiten fórmulas de
tratamiento, con independencia de su ubicación, a consentimiento en las que éste no sea expresado
nombre de un titular de banco de datos personales de forma directa, como aquellas en las que se
establecido en territorio peruano o de quien sea el requiere presumir, o asumir la existencia de
responsable del tratamiento. una voluntad que no ha sido expresa. Incluso el
3. El titular del banco de datos personales o consentimiento prestado con otras declaraciones,
quien resulte responsable del tratamiento no esté deberá manifestarse en forma expresa y clara.
establecido en territorio peruano, pero le resulte
aplicable la legislación peruana, por disposición Artículo 8.- Principio de finalidad.
contractual o del derecho internacional; y En atención al principio de finalidad se considera
4. El titular del banco de datos personales o que una finalidad está determinada cuando haya
quien resulte responsable no esté establecido en sido expresada con claridad, sin lugar a confusión y
territorio peruano, pero utilice medios situados en cuando de manera objetiva se especifica el objeto
dicho territorio, salvo que tales medios se utilicen que tendrá el tratamiento de los datos personales.
únicamente con fines de tránsito que no impliquen Tratándose de banco de datos personales que
un tratamiento. contengan datos sensibles, su creación solo puede
justificarse si su finalidad además de ser legítima,
Para estos efectos, el responsable deberá es concreta y acorde con las actividades o fines
proveer los medios que resulten necesarios para explícitos del titular del banco de datos personales.
el efectivo cumplimiento de las obligaciones que Los profesionales que realicen el tratamiento
imponen la Ley y el presente reglamento y designará de algún dato personal, además de estar limitados
un representante o implementar los mecanismos por la finalidad de sus servicios, se encuentran
suficientes para estar en posibilidades de cumplir obligados a guardar secreto profesional.
de manera efectiva, en territorio peruano, con las
obligaciones que impone la legislación peruana. Artículo 9.- Principio de calidad.
Cuando el titular del banco de datos personales En atención al principio de calidad, los datos
o quien resulte el responsable del tratamiento no contenidos en un banco de datos personales,
NORMAS LEGALES actualizadas 15
deben ajustarse con precisión a la realidad. Se en el caso de menores de edad, en los supuestos
presume que los datos directamente facilitados por en que se admite su consentimiento, en que no
el titular de los mismos son exactos. se considerará libre el consentimiento otorgado
mediando obsequios o beneficios.
Artículo 10.- Principio de seguridad. El condicionamiento de la prestación de un
En atención al principio de seguridad, en servicio, o la advertencia o amenaza de denegar el
el tratamiento de los datos personales deben acceso a beneficios o servicios que normalmente
adoptarse las medidas de seguridad que resulten son de acceso no restringido, sí afecta la libertad
necesarias a fin de evitar cualquier tratamiento de quien otorga consentimiento para el tratamiento
contrario a la Ley o al presente reglamento, de sus datos personales, si los datos solicitados
incluyéndose en ellos a la adulteración, la pérdida, no son indispensables para la prestación de los
las desviaciones de información, intencionales o beneficios o servicios.
no, ya sea que los riesgos provengan de la acción 2. Previo: Con anterioridad a la recopilación
humana o del medio técnico utilizado. de los datos o en su caso, anterior al tratamiento
distinto a aquel por el cual ya se recopilaron.
TÍTULO III 3. Expreso e Inequívoco: Cuando el
consentimiento haya sido manifestado en condiciones
Tratamiento de datos personales que no admitan dudas de su otorgamiento.
Se considera que el consentimiento expreso se
Capítulo I otorgó verbalmente cuando el titular lo exterioriza
oralmente de manera presencial o mediante el uso
Consentimiento de cualquier tecnología que permita la interlocución
oral.
Artículo 11.- Disposiciones generales sobre Se considera consentimiento escrito a aquél
el consentimiento para el tratamiento de datos que otorga el titular mediante un documento con
personales. su firma autógrafa, huella dactilar o cualquier otro
El titular del banco de datos personales o quien mecanismo autorizado por el ordenamiento jurídico
resulte como responsable del tratamiento, deberá que queda o pueda ser impreso en una superficie
obtener el consentimiento para el tratamiento de papel o similar.
de los datos personales, de conformidad con lo La condición de expreso no se limita a la
establecido en la Ley y en el presente reglamento, manifestación verbal o escrita.
salvo los supuestos establecidos en el artículo 14 En sentido restrictivo y siempre de acuerdo con lo
de la Ley, en cuyo numeral 1) queda comprendido dispuesto por el artículo 7 del presente reglamento,
el tratamiento de datos personales que resulte se considerará consentimiento expreso a aquel que
imprescindible para ejecutar la interoperabilidad se manifieste mediante la conducta del titular que
entre las entidades públicas. evidencie que ha consentido inequívocamente, dado
La solicitud del consentimiento deberá estar que de lo contrario su conducta, necesariamente,
referida a un tratamiento o serie de tratamientos hubiera sido otra.
determinados, con expresa identificación de la Tratándose del entorno digital, también se
finalidad o finalidades para las que se recaban considera expresa la manifestación consistente en
los datos; así como las demás condiciones que “hacer clic”, “cliquear” o “pinchar”, “dar un toque”,
concurran en el tratamiento o tratamientos, sin “touch” o “pad” u otros similares.
perjuicio de lo dispuesto en el artículo siguiente En este contexto el consentimiento escrito podrá
sobre las características del consentimiento. otorgarse mediante firma electrónica, mediante
Cuando se solicite el consentimiento para una escritura que quede grabada, de forma tal que
forma de tratamiento que incluya o pueda incluir la pueda ser leída e impresa, o que por cualquier otro
transferencia nacional o internacional de los datos, el mecanismo o procedimiento establecido permita
titular de los mismos deberá ser informado de forma identificar al titular y recabar su consentimiento, a
que conozca inequívocamente tal circunstancia, través de texto escrito. También podrá otorgarse
además de la finalidad a la que se destinarán sus mediante texto preestablecido, fácilmente visible,
datos y el tipo de actividad desarrollada por quien legible y en lenguaje sencillo, que el titular pueda
recibirá los mismos. hacer suyo, o no, mediante una respuesta escrita,
gráfica o mediante clic o pinchado.
Artículo 12.- Características del La sola conducta de expresar voluntad en
consentimiento. cualquiera de las formas reguladas en el presente
Además de lo dispuesto en el artículo 18 de numeral no elimina, ni da por cumplidos, los otros
la Ley y en el artículo precedente del presente requisitos del consentimiento referidos a la libertad,
reglamento, la obtención del consentimiento debe oportunidad e información.
ser: 4. Informado: Cuando al titular de los datos
personales se le comunique clara, expresa e
1. Libre: Sin que medie error, mala fe, violencia indubitablemente, con lenguaje sencillo, cuando
o dolo que puedan afectar la manifestación de menos de lo siguiente:
voluntad del titular de los datos personales.
La entrega de obsequios o el otorgamiento a. La identidad y domicilio o dirección del titular
de beneficios al titular de los datos personales del banco de datos personales o del responsable
con ocasión de su consentimiento no afectan la del tratamiento al que puede dirigirse para revocar
condición de libertad que tiene para otorgarlo, salvo el consentimiento o ejercer sus derechos.
16 NORMAS LEGALES actualizadas
del territorio nacional realizada a persona distinta Los flujos transfronterizos de datos personales
al titular de los datos personales, al encargado serán posibles cuando el receptor o importador
del banco de datos personales o al encargado del de los datos personales asuma las mismas
tratamiento de datos personales. obligaciones que corresponden al titular del banco
Se denomina flujo transfronterizo de datos de datos personales o responsable del tratamiento
personales a la transferencia de datos personales que como emisor o exportador transfirió los datos
fuera del territorio nacional. personales.
Aquél a quien se transfieran los datos personales De conformidad con el artículo 15 de la Ley,
se obliga, por el solo hecho de la transferencia, a la además de los supuestos previstos en el primer y
observancia de las disposiciones de la Ley y del tercer párrafo de dicho artículo, lo dispuesto en el
presente reglamento. segundo párrafo del mismo tampoco aplica cuando
se traten de datos personales que deriven de una
Artículo 19.- Condiciones para la relación científica o profesional del titular y sean
transferencia. necesarios para su desarrollo o cumplimiento.
Toda transferencia de datos personales
requiere el consentimiento de su titular, salvo las Artículo 25.- Formalización del flujo
excepciones previstas en el artículo 14 de la Ley y transfronterizo de datos personales.
debe limitarse a la finalidad que la justifique. Para los efectos del artículo precedente, el
emisor o exportador podrá valerse de cláusulas
Artículo 20.- Prueba del cumplimiento de las contractuales u otros instrumentos jurídicos en
obligaciones en materia de transferencias. los que se establezcan cuando menos las mismas
Para efectos de demostrar que la transferencia obligaciones a las que se encuentra sujeto, así
se realizó conforme a lo que establece la Ley y el como las condiciones en las que el titular consintió
presente reglamento, la carga de la prueba recaerá, el tratamiento de sus datos personales.
en todos los casos, en el emisor de datos.
Artículo 26.- Participación de la Dirección
Artículo 21.- Transferencia dentro de General de Protección de Datos Personales
un sector o grupo empresarial y código de respecto del flujo transfronterizo de datos
conducta. personales.
En el caso de transferencias de datos personales Los titulares del banco de datos personales o
dentro de grupos empresariales, sociedades responsables del tratamiento, podrán solicitar la
subsidiarias afiliadas o vinculadas bajo el control opinión de la Dirección General de Protección
común del mismo grupo del titular del banco de de Datos Personales respecto a si el flujo
datos personales o responsable del tratamiento, transfronterizo de datos personales que realiza o
o a aquellas afiliadas o vinculadas a una sociedad realizará cumple con lo dispuesto por la Ley y el
matriz o a cualquier sociedad del mismo grupo presente reglamento.
del titular del banco de datos o responsable del En cualquier caso, el flujo transfronterizo de
tratamiento, se cumple con garantizar el tratamiento datos personales se pondrá en conocimiento
de datos personales, si se cuenta con un código de de la Dirección General de Protección de Datos
conducta que establezca las normas internas de Personales, incluyendo la información que se
protección de datos personales con el contenido requiere para la transferencia de datos personales
previsto por el artículo 31 de la Ley, e inscrito según y el registro de banco de datos.
lo previsto por los artículos 89 a 97 del presente
reglamento. Capítulo IV
El plazo para la conservación de los datos será lógicos, incluyendo para los fines de la trazabilidad,
de dos (2) años contado desde la finalización del la información de cuentas de usuario con acceso
último encargo realizado. al sistema, horas de inicio y cierre de sesión y
Lo dispuesto en el presente artículo acciones relevantes. Estos registros deben ser
será aplicable, en lo que corresponda, a la legibles, oportunos y tener un procedimiento de
subcontratación de la prestación de servicios de disposición, entre los que se encuentran el destino
tratamiento de datos personales. de los registros, una vez que éstos ya no sean útiles,
su destrucción, transferencia, almacenamiento,
Artículo 37.- Tratamiento a través de entre otros.
subcontratación.
El tratamiento de datos personales puede Asimismo, se deben establecer las medidas
realizarse por un tercero diferente al encargado de seguridad relacionadas con los accesos
del tratamiento, a través de un convenio o contrato autorizados a los datos mediante procedimientos
entre estos dos. de identificación y autenticación que garanticen la
Para este supuesto se requerirá de manera seguridad del tratamiento de los datos personales.
previa una autorización por parte del titular del
banco de datos personales o responsable del Artículo 40.- Conservación, respaldo y
tratamiento. Dicha autorización se entenderá recuperación de los datos personales.
también concedida si estaba prevista en el Los ambientes en los que se procese,
instrumento jurídico mediante el cual se formalizó almacene o transmita la información deberán
la relación entre el responsable del tratamiento y el ser implementados, con controles de seguridad
encargado del mismo. El tratamiento que haga el apropiados, tomando como referencia las
subcontratista se realizará en nombre y por cuenta recomendaciones de seguridad física y ambiental
del responsable del tratamiento, pero la carga de recomendados en la “NTP ISO/IEC 17799 EDI.
probar la autorización le corresponde al encargado Tecnología de la Información. Código de Buenas
del tratamiento. Prácticas para la Gestión de Seguridad de la
Información.” en la edición que se encuentre
Artículo 38.- Responsabilidad del tercero vigente.
subcontratado. Adicionalmente, se deben contemplar los
La persona natural o jurídica subcontratada mecanismos de respaldo de seguridad de la
asume las mismas obligaciones que se establezcan información de la base de datos personales con
para el encargado del tratamiento en la Ley, el un procedimiento que contemple la verificación
presente reglamento y demás disposiciones de la integridad de los datos almacenados en el
aplicables. Sin embargo, asumirá las obligaciones respaldo, incluyendo cuando sea pertinente, la
del titular del banco de datos personales o recuperación completa ante una interrupción o
encargado del tratamiento cuando: daño, garantizando el retorno al estado en el que
se encontraba al momento en que se produjo la
1. Destine o utilice los datos personales con una interrupción o daño.
finalidad distinta a la autorizada por el titular del
banco de datos o responsable del tratamiento; o Artículo 41.- Transferencia lógica o
2. Efectúe una transferencia, incumpliendo electrónica de los datos personales.
las instrucciones del titular del banco de datos El intercambio de datos personales desde los
personales, aun cuando sea para la conservación ambientes de procesamiento o almacenamiento
de dichos datos. hacia cualquier destino fuera de las instalaciones
físicas de la entidad, solo procederá con la
Capítulo V autorización del titular del banco de datos
personales y se hará utilizando los medios de
Medidas de seguridad transporte autorizados por el mismo, tomando las
medidas necesarias, entre las que se encuentran
Artículo 39.- Seguridad para el tratamiento cifrado de datos, firmas digitales, información,
de la información digital. checksum de verificación, entre otros, destinados a
Los sistemas informáticos que manejen evitar el acceso no autorizado, pérdida o corrupción
bancos de datos personales deberán incluir en su durante el tránsito hacia su destino.
funcionamiento:
Artículo 42.- Almacenamiento de
1. El control de acceso a la información de datos documentación no automatizada.
personales incluyendo la gestión de accesos desde Los armarios, archivadores u otros elementos en
el registro de un usuario, la gestión de los privilegios los que se almacenen documentos no automatizados
de dicho usuario, la identificación del usuario ante con datos personales deberán encontrarse en áreas
el sistema, entre los que se encuentran usuario- en las que el acceso esté protegido con puertas de
contraseña, uso de certificados digitales, tokens, acceso dotadas de sistemas de apertura mediante
entre otros, y realizar una verificación periódica de llave u otro dispositivo equivalente. Dichas áreas
los privilegios asignados, los cuales deben estar deberán permanecer cerradas cuando no sea
definidos mediante un procedimiento documentado preciso el acceso a los documentos incluidos en el
a fin de garantizar su idoneidad. banco de datos.
2. Generar y mantener registros que provean Si por las características de los locales que se
evidencia sobre las interacciones con los datos dispusiera no fuera posible cumplir lo establecido
20 NORMAS LEGALES actualizadas
en el apartado anterior, se adoptarán las medidas El ejercicio de alguno o algunos de los derechos
alternativas, conforme a las directivas de la Dirección no excluye la posibilidad de ejercer alguno o
General de Protección de Datos Personales. algunos de los otros, ni puede ser entendido como
requisito previo para el ejercicio de cualquiera de
Artículo 43.- Copia o reproducción. ellos.
La generación de copias o la reproducción de
los documentos únicamente podrán ser realizadas Artículo 49.- Legitimidad para ejercer los
bajo el control del personal autorizado. derechos.
Deberá procederse a la destrucción de las El ejercicio de los derechos contenidos en el
copias o reproducciones desechadas de forma que presente título se realiza:
se evite el acceso a la información contenida en las
mismas o su recuperación posterior. 1. Por el titular de datos personales, acreditando
su identidad y presentando copia del Documento
Artículo 44.- Acceso a la documentación. Nacional de Identidad o documento equivalente.
El acceso a la documentación se limitará El empleo de la firma digital conforme a la
exclusivamente al personal autorizado. normatividad vigente, sustituye la presentación del
Se establecerán mecanismos que permitan Documento Nacional de Identidad y su copia.
identificar los accesos realizados en el caso de 2. Mediante representante legal acreditado
documentos que puedan ser utilizados por múltiples como tal.
usuarios. 3. Mediante representante expresamente
El acceso de personas no incluidas en el párrafo facultado para el ejercicio del derecho, adjuntando
anterior deberá quedar adecuadamente registrado la copia de su Documento Nacional de Identidad o
de acuerdo a las directivas de seguridad que documento equivalente, y del título que acredite la
emita la Dirección General de Protección de Datos representación.
Personales. Cuando el titular del banco de datos personales
sea una entidad pública, podrá acreditarse la
Artículo 45.- Traslado de documentación no representación por cualquier medio válido en
automatizada. derecho que deje constancia fidedigna, conforme
Siempre que se proceda al traslado físico de la al artículo 115 de la Ley Nº 27444, Ley del
documentación contenida en un banco de datos, Procedimiento Administrativo General.
deberán adoptarse medidas dirigidas a impedir el 4. En caso se opte por el procedimiento
acceso o manipulación de la información objeto de señalado en el artículo 51 del presente reglamento,
traslado. la acreditación de la identidad del titular se sujetará
a lo dispuesto en dicha disposición.
Artículo 46.- Prestaciones de servicios sin
acceso a datos personales. Artículo 50.- Requisitos de la solicitud.
El responsable o el encargado de la información o El ejercicio de los derechos se lleva a cabo
tratamiento adoptarán las medidas adecuadas para mediante solicitud dirigida al titular del banco de
limitar el acceso del personal a datos personales, datos personales o responsable del tratamiento, la
a los soportes que los contengan o a los recursos misma que contendrá:
del sistema de información, para la realización de
trabajos que no impliquen el tratamiento de datos 1. Nombres y apellidos del titular del derecho
personales. y acreditación de los mismos, y en su caso de su
Cuando se trate de personal ajeno, el contrato representante conforme al artículo precedente.
de prestación de servicios recogerá expresamente 2. Petición concreta que da lugar a la solicitud.
la prohibición de acceder a los datos personales y 3. Domicilio, o dirección que puede ser
la obligación de secreto respecto a los datos que el electrónica, a efectos de las notificaciones que
personal hubiera podido conocer con motivo de la correspondan.
prestación del servicio. 4. Fecha y firma del solicitante.
5. Documentos que sustenten la petición, de ser
TÍTULO IV el caso.
6. Pago de la contraprestación, tratándose de
Derechos del titular de datos personales entidades públicas siempre que lo tengan previsto
en sus procedimientos de fecha anterior a la
Capítulo I vigencia del presente reglamento.
En este caso, la identidad del titular de datos presente reglamento, con independencia de que
personales se considera acreditada por los medios figuren o no datos personales del titular de los
establecidos por el titular del banco de datos mismos en los bancos de datos personales que
personales o responsable del tratamiento para la administre.
identificación de aquél, siempre que se acredite la La respuesta al titular de datos personales
misma, conforme a la naturaleza de la prestación deberá referirse únicamente a aquellos datos que
del servicio o producto ofertado. específicamente se hayan indicado en su solicitud
y deberá presentarse en forma clara, legible,
Artículo 52.- Recepción y subsanación de la comprensible y de fácil acceso.
petición. En caso de ser necesario el empleo de claves
Deben ser recibidas todas las solicitudes o códigos, deberán proporcionarse los significados
presentadas, dejándose constancia de su recepción correspondientes.
por parte del titular del banco de datos personales Corresponderá al titular del banco de datos
o responsable del tratamiento. En caso de que la personales o responsable del tratamiento la prueba
solicitud no cumpla con los requisitos señalados del cumplimiento del deber de respuesta, debiendo
en el artículo anterior, el titular del banco de datos conservar los medios para hacerlo. Lo señalado
personales o responsable de su tratamiento, en será de aplicación, en lo que fuera pertinente,
un plazo de cinco (5) días, contado desde el día para acreditar la realización de lo establecido en el
siguiente de la recepción de la solicitud, formula segundo párrafo del artículo 20 de la Ley.
las observaciones por incumplimiento que no
puedan ser salvadas de oficio, invitando al titular Artículo 55.- Plazos de respuesta.
a subsanarlas dentro de un plazo máximo de cinco
(5) días. 1. El plazo máximo de respuesta del titular
Transcurrido el plazo señalado sin que ocurra del banco de datos personales o responsable
la subsanación se tendrá por no presentada la del tratamiento ante el ejercicio del derecho de
solicitud. información será de ocho (08) días contados desde
Las entidades públicas aplican el artículo el día siguiente de la presentación de la solicitud
126 de la Ley Nº 27444, Ley del Procedimiento correspondiente.
Administrativo General, sobre observaciones a la 2. El plazo máximo para la respuesta del titular
documentación presentada. del banco de datos personales o responsable del
tratamiento ante el ejercicio del derecho de acceso
Artículo 53.- Facilidades para el ejercicio del será de veinte (20) días contados desde el día
derecho. siguiente de la presentación de la solicitud por el
El titular del banco de datos personales o titular de datos personales.
responsable del tratamiento está obligado a Si la solicitud fuera estimada y el titular del banco
establecer un procedimiento sencillo para el ejercicio de datos personales o responsable del tratamiento
de los derechos. Sin perjuicio de lo señalado e no acompañase a su respuesta la información
independientemente de los medios o mecanismos solicitada, el acceso será efectivo dentro de los diez
que la Ley y el presente reglamento establezcan (10) días siguientes a dicha respuesta.
para el ejercicio de los derechos correspondientes 3. Tratándose del ejercicio de los otros
al titular de datos personales, el titular del banco de derechos como los de rectificación, cancelación u
datos personales o el responsable del tratamiento, oposición, el plazo máximo de respuesta del titular
podrá ofrecer mecanismos que faciliten el ejercicio del banco de datos personales o responsable del
de tales derechos en beneficio del titular de datos tratamiento será de diez (10) días contados desde
personales. el día siguiente de la presentación de la solicitud
Para efectos de la contraprestación que debe correspondiente.
abonar el titular de datos personales para el
ejercicio de sus derechos ante la administración Artículo 56.- Requerimiento de información
pública se estará a lo dispuesto en el primer párrafo adicional.
del artículo 26 de la Ley. En el caso que la información proporcionada
El ejercicio por el titular de datos personales de en la solicitud sea insuficiente o errónea de forma
sus derechos ante los bancos de datos personales que no permita su atención, el titular del banco
de administración privada será de carácter gratuito, de datos personales podrá requerir dentro de los
salvo lo establecido en normas especiales de siete (7) días siguientes de recibida la solicitud,
la materia. En ningún caso el ejercicio de estos documentación adicional al titular de los datos
derechos implicará ingreso adicional para el titular personales para atenderla.
del banco de datos personales o responsable del En un plazo de diez (10) días de recibido el
tratamiento ante el cual se ejercen. requerimiento, contado desde el día siguiente de la
No se podrá establecer como medios para el recepción del mismo, el titular de datos personales
ejercicio de los derechos ninguno que implique el acompañará la documentación adicional que
cobro de una tarifa adicional al solicitante o cualquier estime pertinente para fundamentar su solicitud. En
otro medio que suponga un costo excesivo. caso contrario, se tendrá por no presentada dicha
solicitud.
Artículo 54.- Forma de la respuesta.
El titular del banco de datos personales o Artículo 57.- Ampliación de los plazos.
responsable del tratamiento deberá dar respuesta Salvo el plazo establecido para el ejercicio
a la solicitud en la forma y plazo establecido en el del derecho de información, los plazos que
22 NORMAS LEGALES actualizadas
incorporación que haya de realizarse en ellos, En caso que la oposición resulte justificada el
acompañando la documentación que sustente la titular del banco de datos personales o responsable
procedencia e interés fundado para el mismo. de su tratamiento deberá proceder al cese del
tratamiento que ha dado lugar a la oposición.
Artículo 67.- Supresión o cancelación.
El titular de los datos personales podrá solicitar Artículo 72.- Derecho al tratamiento objetivo
la supresión o cancelación de sus datos personales de datos personales.
de un banco de datos personales cuando éstos Para garantizar el ejercicio del derecho al
hayan dejado de ser necesarios o pertinentes para tratamiento objetivo de conformidad con lo
la finalidad para la cual hayan sido recopilados, establecido en el artículo 23 de la Ley, cuando se
cuando hubiere vencido el plazo establecido para su traten datos personales como parte de un proceso
tratamiento, cuando ha revocado su consentimiento de toma de decisiones sin participación del titular de
para el tratamiento y en los demás casos en los los datos personales, el titular del banco de datos
que no están siendo tratados conforme a la Ley y al personales o responsable del tratamiento deberá
presente reglamento. informárselo a la brevedad posible, sin perjuicio de
La solicitud de supresión o cancelación podrá lo regulado para el ejercicio de los demás derechos
referirse a todos los datos personales del titular en la Ley y el presente reglamento.
contenidos en un banco de datos personales o sólo
a alguna parte de ellos. Capítulo III
Dentro de lo establecido por el artículo 20 de
la Ley y el numeral 3) del artículo 2 del presente Procedimiento de tutela
reglamento, la solicitud de supresión implica el
cese en el tratamiento de los datos personales a Artículo 73.- Procedimiento de tutela directa.
partir de un bloqueo de los mismos y su posterior El ejercicio de los derechos regulados por
eliminación. la Ley y el presente reglamento se inicia con la
solicitud que el titular de los datos personales
Artículo 68.- Comunicación de la supresión debe dirigir directamente al titular del banco de
o cancelación. datos personales o responsable del tratamiento, de
El titular del banco de datos personales o acuerdo a las características que se regulan en los
responsable del tratamiento deberá documentar artículos precedentes del presente título.
ante el titular de los datos personales haber cumplido El titular del banco de datos personales o
con lo solicitado e indicar las transferencias de los responsable del tratamiento deberá dar respuesta,
datos suprimidos, identificando a quién o a quiénes en los plazos previstos en el artículo 55 del presente
fueron transferidos, así como la comunicación de la reglamento, expresando lo correspondiente a cada
supresión correspondiente. uno de los extremos de la solicitud. Transcurrido el
plazo sin haber recibido la respuesta el solicitante
Artículo 69.- Improcedencia de la supresión podrá considerar denegada su solicitud.
o cancelación. La denegatoria o la respuesta insatisfactoria
La supresión no procederá cuando los datos habilitan al solicitante a iniciar el procedimiento
personales deban ser conservados en virtud de administrativo ante la Dirección General de
razones históricas, estadísticas o científicas de Protección de Datos Personales, de acuerdo al
acuerdo con la legislación aplicable o, en su caso, artículo 74 del presente reglamento.
en las relaciones contractuales entre el responsable
y el titular de los datos personales, que justifiquen Artículo 74.- Procedimiento trilateral de
el tratamiento de los mismos. tutela.
El procedimiento administrativo de tutela de
Artículo 70.- Protección en caso de los derechos regulados por la Ley y el presente
denegatoria de supresión o cancelación. reglamento, se sujeta a lo dispuesto por los
Siempre que sea posible, según la naturaleza artículos 219 al 228 de la Ley Nº 27444, Ley del
de las razones que sustenten la denegatoria Procedimiento Administrativo General en lo que le
prevista en el párrafo precedente, se deberán sea aplicable, y será resuelto mediante resolución
emplear medios de disociación o anonimización del Director General de Protección de Datos
para continuar el tratamiento. Personales. Contra esta resolución solo procede
recurso de reconsideración, el que, una vez
Artículo 71.- Oposición. resuelto, agota la vía administrativa.
El titular de datos personales tiene derecho Para iniciar el procedimiento administrativo
a que no se lleve a cabo el tratamiento de sus a que se refiere este artículo, sin perjuicio de los
datos personales o se cese en el mismo, cuando requisitos generales previstos en el presente
no hubiere prestado su consentimiento para su reglamento, el titular de los datos personales
recopilación por haber sido tomados de fuente de deberá presentar con su solicitud de tutela:
acceso al público.
Aun cuando hubiera prestado consentimiento, 1. El cargo de la solicitud que previamente
el titular de datos personales tiene derecho a envió al titular del banco de datos personales o
oponerse al tratamiento de sus datos, si acredita la responsable del tratamiento para obtener de él,
existencia de motivos fundados y legítimos relativos directamente, la tutela de sus derechos.
a una concreta situación personal que justifiquen el 2. El documento que contenga la respuesta del
ejercicio de este derecho. titular del banco de datos personales o responsable
24 NORMAS LEGALES actualizadas
Artículo 82.- Subsanación de los defectos y Si en dicho plazo no se hubiese emitido resolución
archivamiento. expresa, se entenderá inscrito, modificado o
Si la solicitud presentada no cumple con los cancelado el banco de datos personales, para
requisitos exigidos por el reglamento, la Dirección todos los efectos.
de Registro Nacional de Protección de Datos
Personales requerirá al solicitante que en el plazo Artículo 86.- Improcedencia o denegación de
de diez (10) días subsane la omisión. Vencido el la inscripción.
plazo máximo, sin que el interesado haya cumplido El Director de la Dirección de Registro Nacional
con subsanar dicha omisión, se procederá al de Protección de Datos emitirá resolución
archivamiento de la solicitud. denegando la inscripción cuando la solicitud no
cumpla con los requisitos dispuestos en la Ley y en
Artículo 83.- Resolución de inscripción. el presente reglamento u otras disposiciones que
El Director de la Dirección de Registro Nacional dicte la Dirección General de Protección de Datos
de Protección de Datos Personales emitirá la Personales de conformidad a las facultades legales
resolución disponiendo la inscripción del banco conferidas.
de datos personales, siempre que se ajuste a La resolución debe estar debidamente motivada,
con indicación expresa de las causas que impiden
los requisitos exigidos en la Ley y el presente
la inscripción, modificación o cancelación.
reglamento.
La resolución debe consignar:
Artículo 87.- Impugnación.
Contra la resolución que deniega la inscripción
1. El código asignado por el Registro. proceden los recursos de reconsideración y
2. La identificación del banco de datos apelación, conforme al procedimiento señalado
personales. en la Ley Nº 27444, Ley del Procedimiento
3. La descripción de la finalidad y usos previstos. Administrativo General.
4. La identificación del titular del banco de datos
personales. Artículo 88.- Las instancias.
5. La categoría de los datos personales que La Dirección de Registro Nacional de Protección
contiene. de Datos Personales constituye la primera instancia
6. Los procedimientos de obtención. para efectos de atender los recursos administrativos
7. El sistema de tratamiento de los datos interpuestos contra la denegatoria de inscripción
personales y la indicación de las medidas de de un banco de datos personales. Resolverá
seguridad. los recursos de reconsideración y elevará los de
apelación a la Dirección General de Protección de
Asimismo, se incluirán, en su caso, la Datos Personales que resolverá en última instancia
identificación del encargado del tratamiento en administrativa por la procedencia o improcedencia
donde se encuentre ubicado el banco de datos de la inscripción.
personales y los receptores de los datos personales
y del flujo transfronterizo. Capítulo III
Una vez inscrito el banco de datos personales
en el Registro Nacional de Protección de Datos, se Procedimiento de inscripción de los
notificará la decisión al interesado. códigos de conducta
La inscripción de un banco de datos personales
en el Registro Nacional de Protección de Datos Artículo 89.- Ámbito de aplicación de los
no exime al titular del cumplimiento del resto de códigos de conducta.
las obligaciones previstas en la Ley y el presente
reglamento. 1. Los códigos de conducta tendrán carácter
voluntario.
Artículo 84.- Modificación o cancelación de 2. Los códigos de conducta de carácter sectorial
bancos de datos personales. podrán referirse a la totalidad o a parte de los
tratamientos llevados a cabo por el sector, debiendo
La inscripción de un banco de datos personales
ser formulados por organizaciones representativas
deberá mantenerse actualizada en todo momento.
del mismo.
Cualquier modificación que afecte al contenido de
3. Los códigos de conducta promovidos por una
la inscripción deberá ser previamente comunicada empresa o grupo empresarial deberán referirse a
a la Dirección de Registro Nacional de Protección la totalidad de los tratamientos llevados a cabo por
de Datos Personales para su inscripción. los mismos.
Cuando el titular de un banco de datos
personales decida su cancelación, deberá Artículo 90.- Contenido.
comunicarla a la Dirección de Registro Nacional
de Protección de Datos Personales, a efectos de 1. Los códigos de conducta deben estar
que proceda a la cancelación de la inscripción. El redactados en términos claros y accesibles.
solicitante precisará el destino que va a darse a los 2. Los códigos de conducta deben estar
datos o las previsiones para su destrucción. adecuados a lo establecido en la Ley e incluir como
mínimo los siguientes aspectos:
Artículo 85.- Duración del procedimiento.
El plazo máximo para emitir la resolución acerca 2.1. La delimitación clara y precisa de su ámbito
de la inscripción, modificación o cancelación será de aplicación, las actividades a que el código se
de treinta (30) días. refiere y los tratamientos sometidos al mismo.
26 NORMAS LEGALES actualizadas
durante la visita de verificación. Dicha acta se podrán hacerlo por escrito dentro del término de
levantará en presencia de dos testigos propuestos los cinco (5) días siguientes a la fecha en que se
por la persona con quien se entendió la diligencia. hubiere levantado.
Si se hubiera negado a proponerlos o no hubieran
participado los propuestos, bastará la firma de la Artículo 113.- Informe.
persona con quien se entendió la diligencia o la El procedimiento de fiscalización concluirá con
constancia de su negativa a firmar, de ser el caso. el informe que expida la Dirección de Supervisión
El acta se elaborará por duplicado y será y Control, en el que determinará con carácter
firmada por el personal fiscalizador y quienes hayan preliminar las circunstancias que justifiquen la
participado en la diligencia. El acta puede incluir la instauración del procedimiento sancionador o la
manifestación que los participantes consideren que ausencia de ellas.
conviene a su derecho. De ser el caso, se establecerán las medidas
Se entregará al fiscalizado uno de los originales que deberá ordenarse al presunto responsable,
del acta de fiscalización, incorporándose el otro a en vía cautelar. La instrucción del procedimiento
los actuados. sancionador se llevará a cabo conforme a lo
dispuesto por la Ley y el presente reglamento.
Artículo 110.- Contenido de las actas de La determinación de la presunta responsabilidad
fiscalización. por actos contrarios a lo establecido en la Ley y el
En las actas de fiscalización se hará constar: presente reglamento contenida en el Informe, será
notificada al fiscalizado y al denunciante, de ser el
1. Nombre, denominación o razón social del caso, en un plazo que no excederá de cinco (5)
fiscalizado. días.
2. Hora, día, mes y año en que se inicie y
concluya la fiscalización. Artículo 114.- Improcedencia de medios de
3. Los datos que identifiquen plenamente el lugar impugnación.
donde se realizó la fiscalización, tales como calle, En contra del informe de fiscalización que expide
avenida, pasaje, número, distrito, código postal, la Dirección de Supervisión y Control no procede
la entidad pública o privada en que se encuentre la interposición de recurso alguno, la contradicción
ubicado el lugar en que se practicó la fiscalización, de su contenido y cualquier forma de defensa
así como el número telefónico u otra forma de respecto de él se harán valer en el procedimiento
comunicación disponible con el fiscalizado. sancionador, de ser el caso.
4. Número y fecha de la orden de fiscalización
que la motivó.
Capítulo II
5. Nombre y cargo de la persona que atendió a
los fiscalizadores.
Procedimiento sancionador
6. Nombre y domicilio de las personas que
participaron como testigos.
Artículo 115.- Autoridades del procedimiento
7. Datos y detalles relativos a la actuación.
sancionador.
8. Declaración del fiscalizado si lo solicitase.
9. Nombre y firma de quienes intervinieron Para efectos de la aplicación de las normas
en la fiscalización, incluyendo los de quienes la sobre el procedimiento sancionador establecido en
hubieran llevado a cabo. Si se negara a firmar el la Ley, las autoridades son:
fiscalizado, su representante legal o la persona que
atendió al fiscalizador, ello no afectará la validez del 1. El Director de la Dirección de Sanciones
acta, debiendo el personal fiscalizador asentar la es la autoridad que instruye y resuelve, en
respectiva razón. primera instancia, sobre la existencia de
infracción e imposición o no de sanciones y
La firma del fiscalizado no supondrá su sobre obligaciones accesorias tendientes a la
conformidad con el contenido, sino tan sólo su protección de los datos personales. Asimismo,
participación y la recepción de la misma. es competente para conducir y desarrollar la
fase de investigación, y es responsable de
Artículo 111.- Obstrucción a la fiscalización. llevar a cabo las actuaciones necesarias para
Si el fiscalizado se negara directamente a determinar las circunstancias de la comisión, o
colaborar u observara una conducta obstructiva, no, de los actos contrarios a lo establecido en la
demorando injustificadamente su colaboración, Ley y el presente reglamento.
planteando cuestionamientos no razonables a la 2. El Director General de Protección de Datos
labor fiscalizadora, desatendiendo las indicaciones Personales resuelve en segunda y última instancia
de los fiscalizadores o cualquier otra conducta el procedimiento sancionador y su decisión agota la
similar o equivalente, se dejará constancia en el vía administrativa.
acta, con precisión del acto o los actos obstructivos
y de su naturaleza sistemática, de ser el caso. Artículo 116.- Inicio del procedimiento
sancionador.
Artículo 112.- Observaciones en el acto de El procedimiento sancionador será promovido
fiscalización o posteriores. siempre de oficio, en atención a un informe de la
Sin perjuicio de que los fiscalizados puedan Dirección de Supervisión y Control que puede
formular observaciones en el acto de la fiscalización obedecer a una denuncia de parte o a decisión
y manifestar lo que a su derecho convenga en motivada del Director General de Protección de
relación a los hechos contenidos en el acta, también Datos Personales.
NORMAS LEGALES actualizadas 29