Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Expediente N°
Lima, 14 de junio de 2022
148-2020-JUS/DGTAIPD-PAS
VISTOS:
CONSIDERANDO:
I. Antecedentes
1. Por medio del formulario de denuncia ingresado con la Hoja de Trámite N° 7424-
2020MSC del 3 de febrero de 2020, E (en adelante,
el denunciante) interpone una denuncia contra Entel Perú S.A. (en adelante, la
administrada)2, detallando lo siguiente:
1
Folios 284 a 292
2
Folios 3 al 27
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 1 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
2. Mediante la Orden de Visita de Fiscalización N° 20-2020-JUS/DGTAIPD-DFI del
27 de febrero de 20203, la DFI dispuso realizar una visita de fiscalización a la
administrada, a fin de verificar posibles incumplimientos de la Ley N° 29733, Ley
de Protección de Datos Personales (en adelante, LPDP) y su reglamento,
aprobado por el Decreto Supremo N° 003-2013-JUS (en adelante, Reglamento de
la LPDP), que se relacionen con los hechos denunciados.
3
Folio 29
4
Folios 35 al 39
5
Folios 43 al 44
6
Folios 45 al 50
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 2 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
7. Por medio del escrito ingresado con la Hoja de Trámite N° 357939-2020USC del
7 de septiembre de 20207, la administrada dio respuesta al requerimiento que se
le efectuó, remitiendo la documentación solicitada, indicando lo siguiente:
• Para validar los datos del comprador, se utiliza la información de su DNI, como
nombres y apellidos, dirección de domicilio, fecha y lugar de nacimiento
(distrito, provincia y departamento).
• La información del DNI, luego de ser descargada del portal empleado por sus
colaboradores, debe ser cotejada con las respuestas que dé el cliente,
identificando su fecha de nacimiento y ubigeo, dando este último, información
exacta sobre el lugar de nacimiento.
• Los procedimientos de renovación telefónica son realizados por sus socios
estratégicos, empresas de call center.
• Identificaron el número del teléfono móvil usado para realizar la renovación
objeto de denuncia, es de otra empresa.
10. Por medio del escrito con la Hoja de Trámite N° 150268-2021MSC del 7 de julio
de 202110, la administrada presentó sus descargos ante las imputaciones
efectuadas, reiterando documentación sustentatoria de sus argumentos, como la
7
Folios 60 al 230
8
Folios 231 al 251
9
Folios 252 al 256
10
Folios 258 al 274
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 3 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
grabación de la llamada realizada para la renovación de equipo y un archivo Excel
con el discurso utilizado por los operadores telefónicos para tales transacciones.
14. Por medio del escrito ingresado con la Hoja de Trámite N° 201293-2021 del 6 de
septiembre de 202113, la administrada presentó sus descargos contra el informe
final de instrucción mencionado y solicitó el uso de la palabra en un informe oral,
el cual se realizó el 2 de febrero de 2022.
11
Folios 306 al 310
12
Folios 311 al 315
13
Folios 317 al 344
14
Folios 349 al 351
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 4 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
• Documentación referida a las acciones efectuadas respecto del tratamiento de
los datos personales del denunciante, como parte de la contratación efectuada
el 17 de octubre de 2019, luego de haber recibido la Resolución N° 0056809-
2019- TRASU/OSIPTEL (detallar lo efectuado respecto de la facturación, del
tratamiento de los datos para cobranza de deudas, así como del reporte que
previa a dicha resolución, se haya realizado ante centrales privadas de riesgo,
como Infocorp).
16. Por medio del escrito ingresado con la Hoja de Trámite N° 57526 del 22 de febrero
de 202215, la administrada remitió la documentación solicitada.
II. Competencia
20. En tal sentido, se atiende al hecho de que el literal f) del numeral 1 de dicho artículo
de la LPAG, establece como una causal eximente de la responsabilidad por
infracciones, la subsanación del hecho imputado como infractor, si es realizada de
forma previa a la notificación de imputación de cargos y a iniciativa voluntaria por
parte de la administrada16, sin provenir del mandato de la autoridad a través de
algún documento mediante el cual se solicite subsanar el acto calificable como
infracción, como señala adecuadamente Morón17.
15
Folios 368 al 483
16
Artículo 257.- Eximentes y atenuantes de responsabilidad por infracciones
1.- Constituyen condiciones eximentes de la responsabilidad por infracciones las siguientes:
(…)
f) La subsanación voluntaria por parte del posible sancionado del acto u omisión imputado como constitutivo de infracción
administrativa, con anterioridad a la notificación de la imputación de cargos a que se refiere el inciso 3) del artículo 255.
17
MORÓN URBINA, Juan Carlos: “Comentarios a la Ley del Procedimiento Administrativo General”. Décimo quinta
edición. Lima, Gaceta Jurídica, 2020, tomo II, p. 522.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 5 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
LPAG18, en virtud del cual la aplicación de aquellas dependerá del reconocimiento
expreso de la infracción, conjuntamente con los factores establecidos en la norma
especial, el artículo 126 del Reglamento de la LPDP: El reconocimiento
espontáneo, acompañado de acciones para su enmienda y colaboración con las
acciones de la autoridad, factores que, de acuerdo con lo oportuno del
reconocimiento y la efectividad de la enmienda, pueden conllevar la reducción
motivada de la sanción hasta por debajo del rango previsto en la LPDP19.
18
Artículo 257.- Eximentes y atenuantes de responsabilidad por infracciones
(…)
2.- Constituyen condiciones atenuantes de la responsabilidad por infracciones las siguientes:
a) Si iniciado un procedimiento administrativo sancionador el infractor reconoce su responsabilidad de forma expresa y
por escrito.
En los casos en que la sanción aplicable sea una multa esta se reduce hasta un monto no menor de la mitad de su
importe.
b) Otros que se establezcan por norma especial.
19
Artículo 126.- Atenuantes.
La colaboración con las acciones de la autoridad y el reconocimiento espontáneo de las infracciones acompañado de
acciones de enmienda se considerarán atenuantes. Atendiendo a la oportunidad del reconocimiento y a las fórmulas de
enmienda, la atenuación permitirá incluso la reducción motivada de la sanción por debajo del rango previsto en la Ley.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 6 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
probadas constitutivas de infracción, la norma que prevé la imposición de
sanción; y, la sanción propuesta o la declaración de no existencia de
infracción, según corresponda.
26. En tal sentido, la autoridad sancionadora o resolutora puede hacer suyos todos
los argumentos, conclusiones y recomendaciones expuestos por la autoridad
instructora, así como puede efectuar una distinta evaluación de los hechos
comprobados o inclusive, cuestionar estos hechos o evaluar situaciones que si
bien fueron tomadas en cuenta al momento de efectuar la imputación, no se
evaluaron de la misma manera al finalizar la instrucción.
27. Por tal motivo, la resolución que emita una autoridad sancionadora o resolutora,
puede apartarse de las recomendaciones del informe final de instrucción o incluso
cuestionar los hechos expuestos y su valoración, haciendo una evaluación
diferente, teniendo en cuenta la su naturaleza no vinculante de dicho informe, y
sin que ello conlleve una vulneración de la predictibilidad o de la expectativa
legítima del administrado, la cual no encuentra asidero en la normativa referida al
procedimiento administrativo.
29. Entre los partícipes en los procesos que involucran tratamiento de datos
personales, se encuentra no solo el titular del banco de datos personales y/o el
responsable de dicho tratamiento; se desarrollan actividades de tratamiento de
datos personales que son parte de dichos procesos, a través de otras empresas
o personas, o se emplean los datos personales que estas entidades ponen a su
disposición, circunstancias que constituyen el encargo de tratamiento.
“Artículo 2. Definiciones
Para todos los efectos de la presente Ley, se entiende por:
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 7 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
(…)
7. Encargado de tratamiento de datos personales. Toda persona natural,
persona jurídica de derecho privado o entidad pública que sola o actuando
conjuntamente con otra realiza el tratamiento de los datos personales por
encargo del titular del banco de datos personales en virtud de una relación
jurídica que le vincula con el mismo y delimita el ámbito de su actuación.
Incluye a quien realice el tratamiento sin la existencia de un banco de datos
personales.
8. Encargo de tratamiento. Entrega por parte del titular del banco de datos
personales a un encargado de tratamiento de datos personales en virtud de
una relación jurídica que los vincula. Dicha relación jurídica delimita el ámbito
de actuación del encargado de tratamiento de los datos personales.
(…)
17. Titular del banco de datos personales. Persona natural, persona
jurídica de derecho privado o entidad pública que determina la finalidad y
contenido del banco de datos personales, el tratamiento de estos y las
medidas de seguridad.”
Página 8 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
del banco de datos personales y del responsable del tratamiento, incluyendo
a quienes tratan los datos bajo autoridad directa de aquellos.”
32. De las normas citadas, se desprende que existe una pluralidad de niveles de
participación en el tratamiento; teniendo como el concepto más amplio el del
responsable del tratamiento, definido llanamente como quien “decide sobre el
tratamiento de datos personales”, lo que a su vez incorpora el concepto de titular
de los bancos de datos personales, que es una persona o entidad que decide
sobre las actividades de tratamiento y la estructura, finalidad y preservación de la
seguridad de los datos personales incorporados en un conjunto estructurado.
33. En ambos casos, está presente el poder de decisión que tienen sobre los datos
personales, estructurados o no en un banco de datos personales, que se ejerce a
través de la elección de los datos personales que serán objeto de tratamiento (en
el caso de los bancos de datos personales, en su contenido y estructura), de las
actividades de tratamiento de datos personales a realizar, de quiénes intervienen
en tales actividades y, principalmente, de la finalidad a alcanzar, relacionada con
el interés del responsable que se busca atender con dicho tratamiento.
34. En tal sentido, debe entenderse que dicho interés se satisface a través de medios
(acciones, servicios, actividades de tratamiento, bienes empleados, entre otros),
provistos o desarrollados por otras empresas, cuya contratación le resulta más
provechosa que realizar la actividad encargada por su propia cuenta.
35. Sobre la finalidad y el correcto empleo de estos medios contratados, a fin de que
sean compatibles con dicha finalidad, el responsable decide y ejerce el control
supremo, y a la vez que goza de los beneficios que surta la actividad que conlleva
el tratamiento de datos personales.
36. Al estar orientados hacia la satisfacción del responsable del tratamiento, tales
medios se emplean en favor de este y su interés, siendo estos cualesquiera con
los que desarrollen alguna actividad de tratamiento de datos personales, que
pueden ser proporcionados por el mismo responsable al encargado para realizar
la actividad del tratamiento, sin perjuicio de que este último realice otra actividad
de tratamiento, como por ejemplo la recopilación de datos personales para la
validación de identidad de los titulares.
37. Al atenderse en este proceso comercial el interés del responsable del tratamiento,
surge la obligación a cargo de este, de garantizar un lícito y adecuado tratamiento
de datos personales a lo largo de todo ese proceso, a fin de que la satisfacción de
tal interés mantenga compatibilidad con el ordenamiento jurídico y con los
derechos de las personas, los titulares de los datos personales.
• Llevar a cabo con diligencia, las acciones de control necesarias para que el
encargo se cumpla de acuerdo con lo pactado, en protección de sus intereses,
sin efectos ilícitos en la prestación.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 9 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
• En lo relativo a evitar efectos ilícitos, la obligación de controlar y supervisar el
cumplimiento de disposiciones legales y reglamentarias y/o evitar que algún
daño ilícito se produzca como consecuencia de un desarrollo negligente de las
actividades que satisfacen su interés, por parte del encargado.
40. Asimismo, al estar obligado a ejercer dicho control, el responsable debe ser capaz
de demostrar en cualquier momento que lo efectúa de manera efectiva; sea
durante la vigencia del contrato de encargo, durante el período en el que se
ejecutan las prestaciones respectivas, así como después de dicha vigencia y de
haberse completado la mencionada ejecución, cuando haya efectos remanentes
del tratamiento de datos personales objeto de encargo.
42. Ahora bien, la capacidad de ejercicio del control por parte del responsable del
tratamiento de los datos personales, así como su demostración, no puede
evaluarse de la misma manera para todas las empresas ni para todos los rubros
o actividades del mercado; debiendo obedecerse a las particularidades que se
presentan en cada caso concreto.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 10 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
43. Así, la exigencia de control y demostración de su ejercicio, será alta cuando el
encargo se vincule con una actividad de gran extensión en el mercado o en un
numeroso público objetivo, como los casos de productos de consumo masivo o la
prestación de servicios de salud, educación, telecomunicaciones o financieros,
debiendo ser menor en los casos de actividades más reducidas.
44. Para determinar tal exigencia, también se evaluará tal factor en función a la mayor
o menor especialización, mayores o menores capacidades para aplicar la
normativa de protección de datos personales, así como el posicionamiento y
presencia del responsable en su mercado relevante.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 11 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
47.4 De ser el caso, determinar si correspondería evaluar la conducta y posible
ilicitud de la conducta de la encargada.
48. La Constitución Política del Perú, establece en el artículo 2, numeral 6, que toda
persona tiene derecho “a que los servicios informáticos, computarizados o no,
públicos o privados, no suministren informaciones que afecten la intimidad
personal y familiar”, es decir toda persona tiene derecho a la autodeterminación
informativa y, por lo tanto, a la protección de sus datos personales.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 12 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
52. La LPDP, que desarrolla el mencionado derecho fundamental, establece que todo
tratamiento de datos personales requiere el consentimiento del titular de los datos
personales. Así, el principio de consentimiento se tiene previsto en su artículo 5:
54. Por su parte, el artículo 12 del Reglamento de la LPDP establece los presupuestos
bajo los cuales se otorga válidamente el consentimiento para el tratamiento de los
datos personales: 1. Libre; 2. Previo; 3. Expreso e Inequívoco; y, 4. Informado20.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 13 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
55. De otro lado, es preciso tener en cuenta que la obligación de obtener el
consentimiento tiene excepciones, las cuales se encuentran previstas en el
artículo 14 de la LPDP21.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 14 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
59. La administrada añade a ello que se actuó de buena fe, al no tener cómo
comprobar que se trataba de una persona no autorizada por el denunciante, y
utilizando solo los datos personales con los que ya contaba, teniendo en cuenta
de que esta persona ya era su cliente y se estaba efectuando el tratamiento para
cumplir con la contratación de un nuevo equipo de telefonía móvil, por lo que su
actuación, en cualquier caso, estaría exenta de la obligación de obtener el
consentimiento del titular, de acuerdo con el numeral 5 del artículo 14 de la LPDP.
60. En efecto, debe señalarse que el tratamiento de los datos personales ha sido
realizado de forma directa por la encargada, con la finalidad de realizar acciones
que, en una circunstancia normal, serían necesarias para el establecimiento de
una relación contractual válida, por lo que no requerirían el consentimiento del
titular de los datos personales.
62. Sin perjuicio de lo anterior, esta Dirección debe anotar que la mencionada
contratación se habría ejecutado sin efectuarse adecuadamente la verificación de
identidad del contratante, generando sucesivas actividades de tratamiento de tales
datos personales, relacionadas con su cumplimiento, lo cual se analizará en un
posterior subtítulo de este acápite.
63. El Título I de la LPDP establece los principios rectores para la protección de datos
personales, entre ellos el principio de Seguridad, regulado en el artículo 9 de dicha
ley:
64. Por su parte, el artículo 16 de la misma ley tiene los siguientes términos:
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 15 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
Para fines del tratamiento de datos personales, el titular del banco de datos
personales debe adoptar medidas técnicas, organizativas y legales que
garanticen su seguridad y eviten su alteración, pérdida, tratamiento o acceso
no autorizado.
Los requisitos y condiciones que deben reunir los bancos de datos personales
en materia de seguridad son establecidos por la Autoridad Nacional de
Protección de Datos Personales, salvo la existencia de disposiciones
especiales contenidas en otras leyes.
Queda prohibido el tratamiento de datos personales en bancos de datos que
no reúnan los requisitos y las condiciones de seguridad a que se refiere este
artículo.”
65. Este artículo, que desarrolla las principales acciones a realizar a fin de cumplir con
el principio de Seguridad, establece dos tipos de objetivos de la adopción de
medidas técnicas, organizativas y legales de seguridad: El objetivo general, que
es la garantía de la seguridad de los datos personales, y el objetivo específico,
que es la adopción de medidas a través de las cuales se concreta tal garantía,
dirigidas a evitar la alteración, pérdida, tratamiento o acceso no autorizado a la
información custodiada.
Página 16 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
estas acciones, con el fin de poder verificar ex post las acciones llevadas a cabo
en el sistema.
68. De acuerdo con ello, el último párrafo de dicho artículo hace referencia a las
medidas de seguridad a aplicar sobre los accesos al sistema que se asignan,
existiendo la obligación de autenticar adecuadamente la identificación de los
usuarios que accedan a los sistemas.
70. Ante ello, en su escrito del 6 de septiembre de 2020, la administrada señala tener
discurso para el procedimiento de validación en una contratación telefónica que
permite validar los datos personales de los titulares de las líneas telefónicas: DNI,
dirección de domicilio, fecha y lugar de nacimiento (departamento, provincia y
distrito)
73. Sobre la presente imputación, esta Dirección, haciendo una lectura integral del
artículo 39 del Reglamento de la LPDP, considera que los hechos verificados no
tienen relación con el incumplimiento de las disposiciones de dicho artículo;
considerando que estas se refieren a la autenticación de la identificación de los
usuarios de los sistemas, vale decir, de aquellas personas que, dentro de la
organización responsable del determinado sistema y en mérito de sus funciones
específicas en ella, pueden acceder y realizar las acciones de tratamiento de datos
personales que se efectúa por medio del señalado sistema.
Página 17 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
SE RESUELVE:
Artículo 1.- Declarar infundada la imputación realizada contra Entel Perú S.A.
por la presunta comisión de la infracción grave tipificada en el literal b) del numeral 2 del
artículo 132 del Reglamento de la LPDP.
Artículo 2.- Declarar infundada la imputación realizada contra Entel Perú S.A.
S.A. por la presunta comisión de la infracción leve tipificada en el literal a) del numeral
1 del artículo 132 del Reglamento de la LPDP.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 18 de 19
Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
Entel Perú S.A. y de la encargada de tratamiento, al momento de recopilar y realizar
tratamiento de los datos personales de la denunciante.
Artículo 4.- Informar a Entel Perú S.A. que, contra la presente resolución, de
acuerdo con lo indicado en el artículo 218 de la LPAG, proceden los recursos de
reconsideración o apelación dentro de los quince (15) días hábiles posteriores a su
notificación22.
Regístrese y comuníquese.
MAGL/rvr
22
Artículo 218. Recursos administrativos
218.1 Los recursos administrativos son:
a) Recurso de reconsideración
b) Recurso de apelación
Solo en caso que por ley o decreto legislativo se establezca expresamente, cabe la interposición del recurso
administrativo de revisión.
218.2 El término para la interposición de los recursos es de quince (15) días perentorios, y deberán resolverse en el plazo
de treinta (30) días.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 19 de 19