Resolución Directorial 2240 2022 Datos Personales - Laley.pe

Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP
Expediente N°
Lima, 14 de junio de 2022
148-2020-JUS/DGTAIPD-PAS
VISTOS:
El Informe N° 106-2021-JUS/DGTAIPD-DFI del 18 de agosto de 20211, emitido por la

Dirección de Fiscalización e Instrucción de la Dirección General de Transparencia,
Acceso a la Información Pública y Protección de Datos Personales (en adelante, la DFI),
y demás documentos que obran en el respectivo expediente, y;
CONSIDERANDO:
I. Antecedentes
1. Por medio del formulario de denuncia ingresado con la Hoja de Trámite N° 7424-
2020MSC del 3 de febrero de 2020, E (en adelante,
el denunciante) interpone una denuncia contra Entel Perú S.A. (en adelante, la
administrada)2, detallando lo siguiente:
• Había tomado conocimiento que, el 17 de octubre de 2019, se había acordado

telefónicamente la renovación del equipo de telefonía móvil que estaba a su
nombre, sin que él hubiese tomado parte en dicha adquisición, pues habían
suplantado su identidad.
• La administrada no había tomado las medidas suficientes para validar
adecuadamente su identidad, permitiendo que la suplantación se concretara,
pues entregaron el nuevo equipo al suplantador.
• La mencionada adquisición produjo una deuda por la cual se le había reportado
a centrales de riesgo crediticio.
• Ante tal situación, presentó las respectivas denuncias policiales, así como
reportó la situación a Entel y al Organismo Supervisor de la Inversión Privada
en Telecomunicaciones (en adelante, Osiptel), organismo en el cual se resolvió
que la administrada bloquee la línea adquirida y todo acuerdo y toda deuda
derivada de tal contratación.
1
Folios 284 a 292
2
Folios 3 al 27
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 1 de 19
2. Mediante la Orden de Visita de Fiscalización N° 20-2020-JUS/DGTAIPD-DFI del
27 de febrero de 20203, la DFI dispuso realizar una visita de fiscalización a la
administrada, a fin de verificar posibles incumplimientos de la Ley N° 29733, Ley
de Protección de Datos Personales (en adelante, LPDP) y su reglamento,
aprobado por el Decreto Supremo N° 003-2013-JUS (en adelante, Reglamento de
la LPDP), que se relacionen con los hechos denunciados.
3. En el Acta de Fiscalización N° 001-2020-DFI, levantada el 12 de marzo de 20204,

se detalló que no se pudo realizar la visita prevista.
4. Por medio del Oficio N° 525-2020-JUS/DGTAIPD-DFI del 15 de julio de 20205, se

notificó a la administrada la denuncia, y se le requirió la siguiente información:
• Detalle del procedimiento general establecido para las renovaciones de

equipos de telefonía móvil, así como el de la entrega de tales equipos.
• Documentos que acrediten la aplicación de dicho procedimiento para la
renovación del equipo que fue objeto de denuncia.
• Informar si la línea de dicho equipo corresponde al denunciante, detallando
fecha de contratación y adjuntando el contrato respectivo o el soporte
magnético, en caso se haya dado de manera telefónica.
• Copia legible del cargo de entrega del equipo objeto de renovación.
• El audio correspondiente a las comunicaciones telefónicas a través de las
cuales se renovó y se programó la entrega del equipo mencionado, precisando
el número telefónico mediante el cual se realizaron tales comunicaciones,
adjuntando el reporte correspondiente.
• Precisar el nombre del proveedor que efectuó tal servicio de renovación.
• Indicar el responsable de riesgos y responsable de seguridad de la información
tecnológica de la base de datos de sus clientes.
• Identidad de las personas que realizan el tratamiento de los datos personales
de sus clientes, tanto en su organización como de las empresas proveedoras
de servicios.
5. Pese a haber sido debidamente notificado dicho oficio el 20 de julio de 2020, la

administrada no dio respuesta a los requerimientos.
6. Mediante el Informe de Fiscalización N° 165-2020-JUS/DGTAIPD-DFI-JHV del 12

de agosto de 20206, se remitió a la Directora de la DFI el resultado de la
fiscalización a la administrada, concluyendo que se han determinado
preliminarmente las circunstancias que justifican el inicio de un procedimiento
administrativo sancionador contra ella, relativas al supuesto incumplimiento de lo
establecido en la LPDP y su reglamento. Dicho informe fue notificado a la
administrada a través del Oficio N° 691-2020-JUS/DGTAIPD-DFI.
3
Folio 29
4
Folios 35 al 39
5
Folios 43 al 44
6
Folios 45 al 50
según corresponda.
Página 2 de 19
7. Por medio del escrito ingresado con la Hoja de Trámite N° 357939-2020USC del
7 de septiembre de 20207, la administrada dio respuesta al requerimiento que se
le efectuó, remitiendo la documentación solicitada, indicando lo siguiente:
• Para validar los datos del comprador, se utiliza la información de su DNI, como
nombres y apellidos, dirección de domicilio, fecha y lugar de nacimiento
(distrito, provincia y departamento).
• La información del DNI, luego de ser descargada del portal empleado por sus
colaboradores, debe ser cotejada con las respuestas que dé el cliente,
identificando su fecha de nacimiento y ubigeo, dando este último, información
exacta sobre el lugar de nacimiento.
• Los procedimientos de renovación telefónica son realizados por sus socios
estratégicos, empresas de call center.
• Identificaron el número del teléfono móvil usado para realizar la renovación
objeto de denuncia, es de otra empresa.
8. Mediante la Resolución Directoral N° 102-2021-JUS/DGTAIPD-DFI del 2 de junio

de 20218, la DFI resolvió iniciar procedimiento administrativo sancionador a la
administrada por la supuesta comisión de los siguientes hechos infractores:
• Hecho imputado N° 1: Haber realizado el tratamiento de los datos personales

del denunciante para contratar la renovación de su equipo, así como un nuevo
plan de pagos mensuales, sin su consentimiento; incumpliendo lo establecido
en el numeral 13.5 del artículo 13 de la LPDP y en el artículo 12 del Reglamento
de la LPDP. Dicha situación configuraría la infracción grave tipificada en el
literal b) del numeral 2 del artículo 132 de dicho reglamento: “Dar tratamiento a
los datos personales sin el consentimiento libre, expreso, inequívoco, previo e
informado del titular, cuando el mismo sea necesario conforme a lo dispuesto
en la Ley Nº 29733 y su Reglamento”.
• Hecho imputado N° 2: No haber aplicado procedimientos de identificación y

autenticación que garanticen la seguridad del tratamiento de los datos del
denunciante, requerido en el último párrafo del artículo 39 del Reglamento de
la LPDP. Dicha situación configuraría la infracción leve tipificada en el literal a)
del numeral 1 del artículo 132 de dicho reglamento: “Realizar tratamiento de
datos personales incumpliendo las medidas de seguridad establecidas en la
normativa sobre la materia”.
9. Dicha resolución directoral se notifica a través de la Cédula de Notificación N° 438-

2021-JUS/DGTAIPD-DFI9, el 15 de junio de 2021.
10. Por medio del escrito con la Hoja de Trámite N° 150268-2021MSC del 7 de julio
de 202110, la administrada presentó sus descargos ante las imputaciones
efectuadas, reiterando documentación sustentatoria de sus argumentos, como la
7
Folios 60 al 230
8
Folios 231 al 251
9
Folios 252 al 256
10
Folios 258 al 274
según corresponda.
Página 3 de 19
grabación de la llamada realizada para la renovación de equipo y un archivo Excel
con el discurso utilizado por los operadores telefónicos para tales transacciones.
11. Mediante el Informe N° 106-2021-JUS/DGTAIPD-DFI, la DFI remitió a la Dirección

de Protección de Datos Personales de la Dirección General de Transparencia,
Acceso a la Información Pública y Protección de Datos Personales (en adelante,
la DPDP) los actuados para que resuelva en primera instancia el procedimiento
administrativo sancionador iniciado, recomendando lo siguiente:
• Imponer a la administrada la multa de veinticuatro coma setenta y cinco

unidades impositivas tributarias (24,75 UIT) por la comisión de la infracción
grave tipificada en el literal b) del numeral 2 del artículo 132 del Reglamento de
la LPDP.
• Imponer a la administrada la multa de una coma setenta y tres unidades
impositivas tributarias (1,73 UIT) por la comisión de la infracción leve tipificada
en el literal a) del numeral 1 del artículo 132 del Reglamento de la LPDP.
12. Mediante la Resolución Directoral N° 174-2021-JUS/DGTAIPD-DFI del 18 de

agosto de 202111, la DFI dio por concluidas las actuaciones instructivas
correspondientes al procedimiento sancionador.
13. Dichos documentos fueron notificados a través de la Cédula de Notificación N°

662-2021-JUS/DGTAIPD-DFI12.
14. Por medio del escrito ingresado con la Hoja de Trámite N° 201293-2021 del 6 de
septiembre de 202113, la administrada presentó sus descargos contra el informe
final de instrucción mencionado y solicitó el uso de la palabra en un informe oral,
el cual se realizó el 2 de febrero de 2022.
15. Mediante la Resolución Directoral N° 115-2022-JUS/DGTAIPD-DPDP del 24 de

enero del 202214, se dispuso ampliar el plazo previo a la caducidad del presente
procedimiento por tres meses, a partir del 15 de marzo de 2022 y se requirió a la
administrada la siguiente información:
• Copia del contrato correspondiente al servicio de atención de solicitudes de

renovación o cambio de equipos vía telefónica, suscrito con la encargada, que
haya estado vigente el 17 de octubre de 2019.
• Copia de la comunicación dirigida a la empresa encargada del servicio de call
center, mediante la cual se le haya solicitado la grabación de la llamada en la
cual se solicitó la adquisición del equipo, empleándose los datos personales del
denunciante, el 17 de octubre de 2019.
• Documentación de las acciones que haya adoptado, luego de recibida la
reclamación del denunciante, para controlar el cumplimiento, por parte de la
encargada, de los procedimientos adoptados para atender solicitudes de
renovación o cambio de equipo vía telefónica.
11
Folios 306 al 310
12
Folios 311 al 315
13
Folios 317 al 344
14
Folios 349 al 351
según corresponda.
Página 4 de 19
• Documentación referida a las acciones efectuadas respecto del tratamiento de
los datos personales del denunciante, como parte de la contratación efectuada
el 17 de octubre de 2019, luego de haber recibido la Resolución N° 0056809-
2019- TRASU/OSIPTEL (detallar lo efectuado respecto de la facturación, del
tratamiento de los datos para cobranza de deudas, así como del reporte que
previa a dicha resolución, se haya realizado ante centrales privadas de riesgo,
como Infocorp).
16. Por medio del escrito ingresado con la Hoja de Trámite N° 57526 del 22 de febrero
de 202215, la administrada remitió la documentación solicitada.
II. Competencia
17. De conformidad con el artículo 74 del Reglamento de Organización y Funciones

del Ministerio de Justicia y Derechos Humanos, aprobado por Decreto Supremo
N° 013-2017-JUS, la DPDP es la unidad orgánica competente para resolver en
primera instancia, los procedimientos administrativos sancionadores iniciados por
la DFI.
18. En tal sentido, la autoridad que debe conocer el presente procedimiento

sancionador, a fin de emitir resolución en primera instancia, es la Directora de
Protección de Datos Personales.
III. Normas concernientes a la responsabilidad de la administrada
19. Para la determinación de la responsabilidad de la administrada respecto de una

infracción, se deberá tomar en cuenta lo establecido en el artículo 257 del Texto
Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo
General, aprobado por Decreto Supremo Nº 004-2019-JUS (en adelante, la
LPAG), en su calidad de norma común para los procedimientos administrativos,
conjuntamente con lo establecido en el Reglamento de la LPDP.
20. En tal sentido, se atiende al hecho de que el literal f) del numeral 1 de dicho artículo
de la LPAG, establece como una causal eximente de la responsabilidad por
infracciones, la subsanación del hecho imputado como infractor, si es realizada de
forma previa a la notificación de imputación de cargos y a iniciativa voluntaria por
parte de la administrada16, sin provenir del mandato de la autoridad a través de
algún documento mediante el cual se solicite subsanar el acto calificable como
infracción, como señala adecuadamente Morón17.
21. Por su parte, en lo que atañe a las atenuantes de la responsabilidad administrativa,

se debe prestar atención a lo dispuesto en el numeral 2 del mismo artículo de la
15
Folios 368 al 483
16
Artículo 257.- Eximentes y atenuantes de responsabilidad por infracciones
1.- Constituyen condiciones eximentes de la responsabilidad por infracciones las siguientes:
(…)
f) La subsanación voluntaria por parte del posible sancionado del acto u omisión imputado como constitutivo de infracción
administrativa, con anterioridad a la notificación de la imputación de cargos a que se refiere el inciso 3) del artículo 255.
17
MORÓN URBINA, Juan Carlos: “Comentarios a la Ley del Procedimiento Administrativo General”. Décimo quinta
edición. Lima, Gaceta Jurídica, 2020, tomo II, p. 522.
según corresponda.
Página 5 de 19
LPAG18, en virtud del cual la aplicación de aquellas dependerá del reconocimiento
expreso de la infracción, conjuntamente con los factores establecidos en la norma
especial, el artículo 126 del Reglamento de la LPDP: El reconocimiento
espontáneo, acompañado de acciones para su enmienda y colaboración con las
acciones de la autoridad, factores que, de acuerdo con lo oportuno del
reconocimiento y la efectividad de la enmienda, pueden conllevar la reducción
motivada de la sanción hasta por debajo del rango previsto en la LPDP19.
22. Por supuesto, la efectividad de los actos de enmienda mencionados, de acuerdo

con el objetivo de las normas de protección de datos personales y del
procedimiento administrativo, dependerá de su capacidad de diluir la
trascendencia y los efectos antijurídicos de la conducta infractora, reparando la
situación al punto de acercarla lo más posible al estado anterior al hecho infractor.
IV. Primera cuestión previa: Sobre la vinculación entre el Informe de Instrucción

y el pronunciamiento de esta dirección
23. El artículo 254 de la LPAG establece como carácter fundamental del

procedimiento administrativo sancionador, la separación entre la autoridad
instructora y la autoridad sancionadora o resolutora:
“Artículo 254.- Caracteres del procedimiento sancionador

254.1 Para el ejercicio de la potestad sancionadora se requiere
obligatoriamente haber seguido el procedimiento legal o reglamentariamente
establecido caracterizado por:
1. Diferenciar en su estructura entre la autoridad que conduce la fase
instructora y la que decide la aplicación de la sanción.
(…)”
24. Por su parte, el artículo 255 de dicha ley establece lo siguiente:
“Artículo 255.- Procedimiento sancionador

Las entidades en el ejercicio de su potestad sancionadora se ciñen a las
siguientes disposiciones:
(…)
5. Concluida, de ser el caso, la recolección de pruebas, la autoridad
instructora del procedimiento concluye determinando la existencia de una
infracción y, por ende, la imposición de una sanción; o la no existencia de
infracción. La autoridad instructora formula un informe final de instrucción en
el que se determina, de manera motivada, las conductas que se consideren
18
Artículo 257.- Eximentes y atenuantes de responsabilidad por infracciones
(…)
2.- Constituyen condiciones atenuantes de la responsabilidad por infracciones las siguientes:
a) Si iniciado un procedimiento administrativo sancionador el infractor reconoce su responsabilidad de forma expresa y
por escrito.
En los casos en que la sanción aplicable sea una multa esta se reduce hasta un monto no menor de la mitad de su
importe.
b) Otros que se establezcan por norma especial.
19
Artículo 126.- Atenuantes.
La colaboración con las acciones de la autoridad y el reconocimiento espontáneo de las infracciones acompañado de
acciones de enmienda se considerarán atenuantes. Atendiendo a la oportunidad del reconocimiento y a las fórmulas de
enmienda, la atenuación permitirá incluso la reducción motivada de la sanción por debajo del rango previsto en la Ley.
según corresponda.
Página 6 de 19
probadas constitutivas de infracción, la norma que prevé la imposición de
sanción; y, la sanción propuesta o la declaración de no existencia de
infracción, según corresponda.
Recibido el informe final, el órgano competente para decidir la aplicación de

la sanción puede disponer la realización de actuaciones complementarias,
siempre que las considere indispensables para resolver el procedimiento. El
informe final de instrucción debe ser notificado al administrado para que
formule sus descargos en un plazo no menor de cinco (5) días hábiles.”
25. De los artículos transcritos, se desprende que la separación de las dos

autoridades, así como la previsión de ejercicio de actuaciones por parte de la
autoridad sancionadora o resolutora, situaciones que implican la autonomía de
criterio de cada una de ellas.
26. En tal sentido, la autoridad sancionadora o resolutora puede hacer suyos todos
los argumentos, conclusiones y recomendaciones expuestos por la autoridad
instructora, así como puede efectuar una distinta evaluación de los hechos
comprobados o inclusive, cuestionar estos hechos o evaluar situaciones que si
bien fueron tomadas en cuenta al momento de efectuar la imputación, no se
evaluaron de la misma manera al finalizar la instrucción.
27. Por tal motivo, la resolución que emita una autoridad sancionadora o resolutora,
puede apartarse de las recomendaciones del informe final de instrucción o incluso
cuestionar los hechos expuestos y su valoración, haciendo una evaluación
diferente, teniendo en cuenta la su naturaleza no vinculante de dicho informe, y
sin que ello conlleve una vulneración de la predictibilidad o de la expectativa
legítima del administrado, la cual no encuentra asidero en la normativa referida al
procedimiento administrativo.
28. Por supuesto, la divergencia de criterios mencionada, no puede implicar

vulneraciones al debido procedimiento, como el impedir el derecho de defensa de
los administrados, ni ampliar o variar los hechos imputados y su valoración como
presuntas infracciones.
V. Segunda cuestión previa: Acerca del interés que define la responsabilidad

sobre el tratamiento de datos personales objeto de encargo y la exigencia
de ejercer diligentemente el control sobre la encargada
29. Entre los partícipes en los procesos que involucran tratamiento de datos
personales, se encuentra no solo el titular del banco de datos personales y/o el
responsable de dicho tratamiento; se desarrollan actividades de tratamiento de
datos personales que son parte de dichos procesos, a través de otras empresas
o personas, o se emplean los datos personales que estas entidades ponen a su
disposición, circunstancias que constituyen el encargo de tratamiento.
30. El artículo 2 de la LPDP contiene sus definiciones, transcritas a continuación:
“Artículo 2. Definiciones
Para todos los efectos de la presente Ley, se entiende por:
según corresponda.
Página 7 de 19
(…)
7. Encargado de tratamiento de datos personales. Toda persona natural,
persona jurídica de derecho privado o entidad pública que sola o actuando
conjuntamente con otra realiza el tratamiento de los datos personales por
encargo del titular del banco de datos personales en virtud de una relación
jurídica que le vincula con el mismo y delimita el ámbito de su actuación.
Incluye a quien realice el tratamiento sin la existencia de un banco de datos
personales.
8. Encargo de tratamiento. Entrega por parte del titular del banco de datos
personales a un encargado de tratamiento de datos personales en virtud de
una relación jurídica que los vincula. Dicha relación jurídica delimita el ámbito
de actuación del encargado de tratamiento de los datos personales.
(…)
17. Titular del banco de datos personales. Persona natural, persona
jurídica de derecho privado o entidad pública que determina la finalidad y
contenido del banco de datos personales, el tratamiento de estos y las
medidas de seguridad.”
31. Por su parte, el Reglamento de la LPDP, de forma complementaria, contiene las

siguientes definiciones:
“Artículo 1.- Objeto.

El presente reglamento tiene por objeto desarrollar la Ley Nº 29733, Ley de
Protección de Datos Personales, en adelante la Ley, a fin de garantizar el
derecho fundamental a la protección de datos personales, regulando un
adecuado tratamiento, tanto por las entidades públicas, como por las
instituciones pertenecientes al sector privado. Sus disposiciones constituyen
normas de orden público y de cumplimiento obligatorio.
Artículo 2.- Definiciones.

Para los efectos de la aplicación del presente reglamento, sin perjuicio de las
definiciones contenidas en la Ley, complementariamente, se entiende las
siguientes definiciones:
(…)
10. Encargado del tratamiento: Es quien realiza el tratamiento de los datos
personales, pudiendo ser el propio titular del banco de datos personales o el
encargado del banco de datos personales u otra persona por encargo del
titular del banco de datos personales en virtud de una relación jurídica que le
vincula con el mismo y delimita el ámbito de su actuación. Incluye a quien
realice el tratamiento de datos personales por orden del responsable del
tratamiento cuando este se realice sin la existencia de un banco de datos
personales.
(…)
14. Responsable del tratamiento: Es aquél que decide sobre el tratamiento
de datos personales, aun cuando no se encuentren en un banco de datos
personales.
15. Tercero: Es toda persona natural, persona jurídica de derecho privado o

entidad pública, distinta del titular de datos personales, del titular o encargado
según corresponda.
Página 8 de 19
del banco de datos personales y del responsable del tratamiento, incluyendo
a quienes tratan los datos bajo autoridad directa de aquellos.”
32. De las normas citadas, se desprende que existe una pluralidad de niveles de
participación en el tratamiento; teniendo como el concepto más amplio el del
responsable del tratamiento, definido llanamente como quien “decide sobre el
tratamiento de datos personales”, lo que a su vez incorpora el concepto de titular
de los bancos de datos personales, que es una persona o entidad que decide
sobre las actividades de tratamiento y la estructura, finalidad y preservación de la
seguridad de los datos personales incorporados en un conjunto estructurado.
33. En ambos casos, está presente el poder de decisión que tienen sobre los datos
personales, estructurados o no en un banco de datos personales, que se ejerce a
través de la elección de los datos personales que serán objeto de tratamiento (en
el caso de los bancos de datos personales, en su contenido y estructura), de las
actividades de tratamiento de datos personales a realizar, de quiénes intervienen
en tales actividades y, principalmente, de la finalidad a alcanzar, relacionada con
el interés del responsable que se busca atender con dicho tratamiento.
34. En tal sentido, debe entenderse que dicho interés se satisface a través de medios
(acciones, servicios, actividades de tratamiento, bienes empleados, entre otros),
provistos o desarrollados por otras empresas, cuya contratación le resulta más
provechosa que realizar la actividad encargada por su propia cuenta.
35. Sobre la finalidad y el correcto empleo de estos medios contratados, a fin de que
sean compatibles con dicha finalidad, el responsable decide y ejerce el control
supremo, y a la vez que goza de los beneficios que surta la actividad que conlleva
el tratamiento de datos personales.
36. Al estar orientados hacia la satisfacción del responsable del tratamiento, tales
medios se emplean en favor de este y su interés, siendo estos cualesquiera con
los que desarrollen alguna actividad de tratamiento de datos personales, que
pueden ser proporcionados por el mismo responsable al encargado para realizar
la actividad del tratamiento, sin perjuicio de que este último realice otra actividad
de tratamiento, como por ejemplo la recopilación de datos personales para la
validación de identidad de los titulares.
37. Al atenderse en este proceso comercial el interés del responsable del tratamiento,
surge la obligación a cargo de este, de garantizar un lícito y adecuado tratamiento
de datos personales a lo largo de todo ese proceso, a fin de que la satisfacción de
tal interés mantenga compatibilidad con el ordenamiento jurídico y con los
derechos de las personas, los titulares de los datos personales.
38. Ello, aunado a su posición contractual, obliga al encargado a ceñir su desempeño

a lo que establezca el responsable y a los resultados que este requiera, situación
que conlleva dos labores que debe desarrollar el responsable:
• Llevar a cabo con diligencia, las acciones de control necesarias para que el
encargo se cumpla de acuerdo con lo pactado, en protección de sus intereses,
sin efectos ilícitos en la prestación.
según corresponda.
Página 9 de 19
• En lo relativo a evitar efectos ilícitos, la obligación de controlar y supervisar el
cumplimiento de disposiciones legales y reglamentarias y/o evitar que algún
daño ilícito se produzca como consecuencia de un desarrollo negligente de las
actividades que satisfacen su interés, por parte del encargado.
39. El control ejercido sobre la actuación del encargado se traduce en la instrucción

sobre los objetivos y modalidades de tratamiento, provisión de medios e
información necesarios (como puede ser las modalidades de validación de
identidad de clientes), así como en la implementación de medios para el ejercicio
de los derechos de los titulares de los datos personales, para el contacto
permanente entre el responsable y el encargado, y de otro lado, el requerimiento
información u ordenar acciones específicas, sin que estas necesariamente se
deriven de estipulaciones contractuales, sino del deber de control del responsable.
40. Asimismo, al estar obligado a ejercer dicho control, el responsable debe ser capaz
de demostrar en cualquier momento que lo efectúa de manera efectiva; sea
durante la vigencia del contrato de encargo, durante el período en el que se
ejecutan las prestaciones respectivas, así como después de dicha vigencia y de
haberse completado la mencionada ejecución, cuando haya efectos remanentes
del tratamiento de datos personales objeto de encargo.
41. Entonces, cuando en un encargo de tratamiento se configure la comisión de una

infracción y/o de cualquier hecho que implique un daño efectivo o potencial, debe
tomarse en cuenta respecto de la responsabilidad, lo siguiente:
• El principal obligado para preservar la licitud del tratamiento de los datos

personales es el responsable de este, al ser necesario dicho tratamiento para
satisfacer su interés, por lo que debe ejercer diligentemente el control del
mismo y demostrar haber ejercido dicho control en todo momento.
• En caso de que el responsable no haya ejercido diligentemente el control sobre
el encargo de dicho tratamiento y/o no demuestre tal actuación, deberá
responder por la infracción.
• Sin perjuicio de lo anterior, la responsabilidad del encargado por el
incumplimiento o el tratamiento ilícito, coexistirá respecto de aquellas acciones
que implican una conducta distinta a la que se estipuló para el encargo y a las
instruidas por el responsable durante la prestación del servicio.
• En caso de que el responsable haya ejercido de forma diligente el control de
las acciones de tratamiento de datos personales objeto de encargo y sustente
adecuadamente el haber ejercitado dicho control, no le serán imputables los
hechos ilícitos o dañosos.
• En ese mismo caso, al detectarse un hecho infractor que haya sobrepasado el
diligente control del responsable, el encargado será responsable.
42. Ahora bien, la capacidad de ejercicio del control por parte del responsable del
tratamiento de los datos personales, así como su demostración, no puede
evaluarse de la misma manera para todas las empresas ni para todos los rubros
o actividades del mercado; debiendo obedecerse a las particularidades que se
presentan en cada caso concreto.
según corresponda.
Página 10 de 19
43. Así, la exigencia de control y demostración de su ejercicio, será alta cuando el
encargo se vincule con una actividad de gran extensión en el mercado o en un
numeroso público objetivo, como los casos de productos de consumo masivo o la
prestación de servicios de salud, educación, telecomunicaciones o financieros,
debiendo ser menor en los casos de actividades más reducidas.
44. Para determinar tal exigencia, también se evaluará tal factor en función a la mayor
o menor especialización, mayores o menores capacidades para aplicar la
normativa de protección de datos personales, así como el posicionamiento y
presencia del responsable en su mercado relevante.
45. De lo expuesto, se desprende que quien determina y controla las finalidades y

modalidades de las actividades de tratamiento de datos personales, dirigidas a la
satisfacción de su interés, es responsable por dicho tratamiento, debiendo ejercer
el control sobre tales actividades encargadas de formar diligente y poder
demostrar siempre tal ejercicio, asumiendo un rol proactivo para preservar los
derechos de los titulares de los datos personales.
46. Por ello, conjuntamente con lo concerniente a la existencia de infracción, es

necesario examinar factores como el interés de la administrada, así como el
ejercicio del control sobre las actividades dirigidas a satisfacerlo, por parte de
quien cumpla el rol de encargado.
VI. Cuestiones en discusión
47. Para emitir pronunciamiento en el presente caso, se debe determinar lo siguiente:
47.1 Si la administrada es responsable los siguientes presuntos hechos

infractores:
• Haber realizado el tratamiento de los datos personales del denunciante

para contratar la renovación de su equipo, así como un nuevo plan de
pagos mensuales, sin su consentimiento; incumpliendo lo establecido en
el numeral 13.5 del artículo 13 de la LPDP y en el artículo 12 del
Reglamento de la LPDP.
• No haber aplicado procedimientos de identificación y autenticación que
garanticen la seguridad del tratamiento de los datos del denunciante,
requerido en el último párrafo del artículo 39 del Reglamento de la LPDP.
47.2 En el supuesto de resultar responsable en cada caso, si debe aplicarse la

exención de responsabilidad por la subsanación de la infracción, según lo
previsto en el numeral 1 del artículo 257 de la LPAG, o las atenuantes, de
acuerdo con lo dispuesto en el artículo 126 del reglamento de la LPDP, en
consonancia con el numeral 2 del artículo 257 de la LPAG.
47.3 Determinar en cada caso, la multa que corresponde imponer, tomando en

consideración los criterios de graduación contemplados en el numeral 3) del
artículo 248 de la LPAG.
según corresponda.
Página 11 de 19
47.4 De ser el caso, determinar si correspondería evaluar la conducta y posible
ilicitud de la conducta de la encargada.
VII. Análisis de las cuestiones en discusión
Sobre el presunto tratamiento de datos personales del denunciante, sin haber

obtenido el consentimiento válido
48. La Constitución Política del Perú, establece en el artículo 2, numeral 6, que toda
persona tiene derecho “a que los servicios informáticos, computarizados o no,
públicos o privados, no suministren informaciones que afecten la intimidad
personal y familiar”, es decir toda persona tiene derecho a la autodeterminación
informativa y, por lo tanto, a la protección de sus datos personales.
49. El Tribunal Constitucional, máximo intérprete de la Constitución Política del Perú,

ha definido el derecho a la autodeterminación informativa en la sentencia recaída
en el expediente N° 04739-2007-PHD/TC, de la siguiente forma:
“[e]l derecho a la autodeterminación informativa consiste en la serie de

facultades que tiene toda persona para ejercer control sobre la información
personal que le concierne, contenida en registros ya sean públicos, privados
o informáticos, a fin de enfrentar las posibles extralimitaciones de los mismos.
Se encuentra estrechamente ligado a un control sobre la información, como
una autodeterminación de la vida íntima, de la esfera personal. Mediante la
autodeterminación informativa se busca proteger a la persona en sí misma,
no únicamente en los derechos que conciernen a su esfera personalísima,
sino a la persona en la totalidad de ámbitos; por tanto, no puede identificarse
con el derecho a la intimidad, personal o familiar, ya que mientras éste protege
el derecho a la vida privada, el derecho a la autodeterminación informativa
busca garantizar la facultad de todo individuo de poder preservarla ejerciendo
un control en el registro, uso y revelación de los datos que le conciernen (…).
En este orden de ideas, el derecho a la autodeterminación informativa protege
al titular del mismo frente a posibles abusos o riesgos derivados de la
utilización de los datos, brindando al titular afectado la posibilidad de lograr la
exclusión de los datos que considera ‘sensibles’ y que no deben ser objeto de
difusión ni de registro; así como le otorga la facultad de poder oponerse a la
transmisión y difusión de los mismos”
50. En esa línea, el ejercicio del derecho fundamental consiste en la posibilidad de

autorizar o impedir el tratamiento de sus datos personales, vale decir, de
manifestar su voluntad al respecto, lo cual se expresa afirmativamente a través
del consentimiento, y que la misma se vea plasmada en la conducta de quien
realiza el tratamiento de sus datos personales.
51. Por supuesto, no se puede ejercer un control efectivo de la información personal

a través de un consentimiento acompañado del desconocimiento respecto de
cómo se van a utilizar los datos recopilados, qué tratamiento se les va a dar, con
quiénes se va a compartir y otros pormenores del tratamiento.
según corresponda.
Página 12 de 19
52. La LPDP, que desarrolla el mencionado derecho fundamental, establece que todo
tratamiento de datos personales requiere el consentimiento del titular de los datos
personales. Así, el principio de consentimiento se tiene previsto en su artículo 5:
“Artículo 5. Principio de consentimiento

Para el tratamiento de los datos personales debe mediar el consentimiento de
su titular.”
53. Asimismo, según lo dispone el inciso 13.5 del artículo 13 de la LPDP, el

consentimiento del titular de los datos personales deberá ser otorgado de manera
previa, informada, expresa e inequívoca:
“Artículo 13. Alcances sobre el tratamiento de datos personales

(…)
13.5 Los datos personales solo pueden ser objeto de tratamiento con
consentimiento de su titular, salvo ley autoritativa al respecto. El
consentimiento debe ser previo, informado, expreso e inequívoco.”
54. Por su parte, el artículo 12 del Reglamento de la LPDP establece los presupuestos
bajo los cuales se otorga válidamente el consentimiento para el tratamiento de los
datos personales: 1. Libre; 2. Previo; 3. Expreso e Inequívoco; y, 4. Informado20.
20 Artículo 12.- Características del consentimiento.

Además de lo dispuesto en el artículo 18 de la Ley y en el artículo precedente del presente reglamento, la obtención del
consentimiento debe ser:
1. L bre: Sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de voluntad del titular de los
datos personales. La entrega de obsequios o el otorgamiento de beneficios al titular de los datos personales con ocasión
de su consentimiento no afectan la condición de l bertad que tiene para otorgarlo, salvo en el caso de menores de edad,
en los supuestos en que se admite su consentimiento, en que no se considerará libre el consentimiento otorgado
mediando obsequios o beneficios. El condicionamiento de la prestación de un servicio, o la advertencia o amenaza de
denegar el acceso a beneficios o servicios que normalmente son de acceso no restringido, sí afecta la l bertad de quien
otorga consentimiento para el tratamiento de sus datos personales, si los datos solicitados no son indispensables para
la prestación de los beneficios o servicios.
2. Previo: Con anterioridad a la recopilación de los datos o en su caso, anterior al tratamiento distinto a aquel por el cual
ya se recopilaron.
3. Expreso e Inequívoco: Con anterioridad a la recopilación de los datos o en su caso, anterior al tratamiento distinto a
aquel por el cual ya se recopilaron queda o pueda ser impreso en una superficie de papel o similar. La condición de
expreso no se limita a la manifestación verbal o escrita. En sentido restrictivo y siempre de acuerdo con lo dispuesto por
el artículo 7 del presente reglamento, se considerará consentimiento expreso a aquel que se manifieste mediante la
conducta del titular que evidencie que ha consentido inequívocamente, dado que de lo contrario su conducta,
necesariamente, hubiera sido otra.
Tratándose del entorno digital, también se considera expresa la manifestación consistente en “hacer clic”, “cliquear” o
“pinchar”, “dar un toque”, “touch” o “pad” u otros similares. En este contexto el consentimiento escrito podrá otorgarse
mediante firma electrónica, mediante escritura que quede grabada, de forma tal que pueda ser leída e impresa, o que
por cualquier otro mecanismo o procedimiento establecido permita identificar al titular y recabar su consentimiento, a
través de texto escrito. También podrá otorgarse mediante texto preestablecido, fácilmente visible, leg ble y en lenguaje
sencillo, que el titular pueda hacer suyo, o no, mediante una respuesta escrita, gráfica o mediante clic o pinchado. La
sola conducta de expresar voluntad en cualquiera de las formas reguladas en el presente numeral no elimina, ni da por
cumplidos, los otros requisitos del consentimiento referidos a la l bertad, oportunidad e información.
4. Informado: Cuando al titular de los datos personales se le comunique clara, expresa e indubitablemente, con lenguaje
sencillo, cuando menos de lo siguiente a. La identidad y domicilio o dirección del titular del banco de datos personales o
del responsable del tratamiento al que puede dirigirse para revocar el consentimiento o ejercer sus derechos. b. La
finalidad o finalidades del tratamiento a las que sus datos serán sometidos. c. La identidad de los que son o pueden ser
sus destinatarios, de ser el caso. d. La existencia del banco de datos personales en que se almacenarán, cuando
corresponda. e. El carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, cuando sea el
caso. f. Las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo. g. En su caso, la
transferencia nacional e internacional de datos que se efectúen.
según corresponda.
Página 13 de 19
55. De otro lado, es preciso tener en cuenta que la obligación de obtener el
consentimiento tiene excepciones, las cuales se encuentran previstas en el
artículo 14 de la LPDP21.
56. Respecto de la prueba de la obtención del consentimiento válido para el

tratamiento de los datos personales, debe señalarse que esta corre a cargo del
responsable del tratamiento, quien debe ser siempre capaz de sustentar tal
obtención, de acuerdo con el artículo 15 del Reglamento de la LPDP:
“Artículo 15.- Consentimiento y carga de la prueba.

Para efectos de demostrar la obtención del consentimiento en los términos
establecidos en la Ley y en el presente reglamento, la carga de la prueba
recaerá en todos los casos en el titular del banco de datos personales o quien
resulte el responsable del tratamiento.”
57. En el presente caso, se imputó a la administrada haber realizado el tratamiento de

datos personales del denunciante, sin su consentimiento, de acuerdo con la
Resolución Directoral N° 102-2021-JUS/DGTAIPD-DFI, en atención a la denuncia
presentada, así como en la documentación presentada por la administrada en su
escrito del 7 de septiembre de 2020, que no habrían incorporado un contrato
escrito, solo una copia del cargo de remisión, que fue firmado por una persona
distinta del denunciante.
21
Artículo 14. Limitaciones al consentimiento para el tratamiento de datos personales
No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes
casos:
1. Cuando los datos personales se recopilen o transfieran para el ejercicio de las funciones de las entidades públicas en
el ámbito de sus competencias.
2. Cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público.
3. Cuando se trate de datos personales relativos a la solvencia patrimonial y de crédito, conforme a ley.
4. Cuando medie norma para la promoción de la competencia en los mercados regulados emitida en ejercicio de la
función normativa por los organismos reguladores a que se refiere la Ley 27332, Ley Marco de los Organismos
Reguladores de la Inversión Privada en los Servicios Públicos, o la que haga sus veces, siempre que la información
brindada no sea utilizada en perjuicio de la privacidad del usuario.
5. Cuando los datos personales sean necesarios para la preparación, celebración y ejecución de una relación contractual
en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación
científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento.
6. Cuando se trate de datos personales relativos a la salud y sea necesario, en circunstancia de riesgo, para la
prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho tratamiento sea realizado en
establecimientos de salud o por profesionales en ciencias de la salud, observando el secreto profesional; o cuando
medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones
deben ser calificadas como tales por el Ministerio de Salud; o para la realización de estudios epidemiológicos o análogos,
en tanto se apliquen procedimientos de disociación adecuados.
7. Cuando el tratamiento sea efectuado por organismos sin fines de lucro cuya finalidad sea política, religiosa o sindical
y se refiera a los datos personales recopilados de sus respectivos miembros, los que deben guardar relación con el
propósito a que se circunscriben sus actividades, no pudiendo ser transferidos sin consentimiento de aquellos.
8. Cuando se hubiera aplicado un procedimiento de anonimización o disociación.
9. Cuando el tratamiento de los datos personales sea necesario para salvaguardar intereses legítimos del titular de datos
personales por parte del titular de datos personales o por el encargado de tratamiento de datos personales.
10. Cuando el tratamiento sea para fines vinculados al sistema de prevención de lavado de activos y financiamiento del
terrorismo u otros que respondan a un mandato legal.
11. En el caso de grupos económicos conformados por empresas que son consideradas sujetos obligados a informar,
conforme a las normas que regulan a la Unidad de Inteligencia Financiera, que éstas puedan compartir información entre
sí de sus respectivos clientes para fines de prevención de lavado de activos y financiamiento del terrorismo, así como
otros de cumplimiento regulatorio, estableciendo las salvaguardas adecuadas sobre la confidencialidad y uso de la
información intercambiada.
12. Cuando el tratamiento se realiza en ejercicio constitucionalmente válido del derecho fundamental a la l bertad de
información.
13. Otros que deriven del ejercicio de competencias expresamente establecidas por Ley.
según corresponda.
Página 14 de 19
58. En sus descargos, la administrada refiere que la operadora telefónica obtiene

información correcta del denunciante, al preguntársela a la persona que hizo la
llamada, validando con ello su identidad, verificando la coincidencia de los datos
otorgados con los del DNI del denunciante; no entregando nunca información de
este a los suplantadores.
59. La administrada añade a ello que se actuó de buena fe, al no tener cómo
comprobar que se trataba de una persona no autorizada por el denunciante, y
utilizando solo los datos personales con los que ya contaba, teniendo en cuenta
de que esta persona ya era su cliente y se estaba efectuando el tratamiento para
cumplir con la contratación de un nuevo equipo de telefonía móvil, por lo que su
actuación, en cualquier caso, estaría exenta de la obligación de obtener el
consentimiento del titular, de acuerdo con el numeral 5 del artículo 14 de la LPDP.
60. En efecto, debe señalarse que el tratamiento de los datos personales ha sido
realizado de forma directa por la encargada, con la finalidad de realizar acciones
que, en una circunstancia normal, serían necesarias para el establecimiento de
una relación contractual válida, por lo que no requerirían el consentimiento del
titular de los datos personales.
61. En consecuencia, se aprecia que, al no requerirse el consentimiento para el

tratamiento dirigido a la contratación de la renovación de equipo de telefonía móvil,
no se aprecia el incumplimiento imputado, debiendo declararse infundada la
presente imputación.
62. Sin perjuicio de lo anterior, esta Dirección debe anotar que la mencionada
contratación se habría ejecutado sin efectuarse adecuadamente la verificación de
identidad del contratante, generando sucesivas actividades de tratamiento de tales
datos personales, relacionadas con su cumplimiento, lo cual se analizará en un
posterior subtítulo de este acápite.
Sobre el presunto tratamiento de los datos personales de la denunciante, sin

aplicar las medidas de seguridad correspondientes
63. El Título I de la LPDP establece los principios rectores para la protección de datos
personales, entre ellos el principio de Seguridad, regulado en el artículo 9 de dicha
ley:
“Artículo 9. Principio de seguridad

El titular del banco de datos personales y el encargado de su tratamiento
deben adoptar las medidas técnicas, organizativas y legales necesarias para
garantizar la seguridad de los datos personales. Las medidas de seguridad
deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y
con la categoría de datos personales de que se trate.”
64. Por su parte, el artículo 16 de la misma ley tiene los siguientes términos:
“Artículo 16. Seguridad del tratamiento de datos personales
según corresponda.
Página 15 de 19
Para fines del tratamiento de datos personales, el titular del banco de datos
personales debe adoptar medidas técnicas, organizativas y legales que
garanticen su seguridad y eviten su alteración, pérdida, tratamiento o acceso
no autorizado.
Los requisitos y condiciones que deben reunir los bancos de datos personales
en materia de seguridad son establecidos por la Autoridad Nacional de
Protección de Datos Personales, salvo la existencia de disposiciones
especiales contenidas en otras leyes.
Queda prohibido el tratamiento de datos personales en bancos de datos que
no reúnan los requisitos y las condiciones de seguridad a que se refiere este
artículo.”
65. Este artículo, que desarrolla las principales acciones a realizar a fin de cumplir con
el principio de Seguridad, establece dos tipos de objetivos de la adopción de
medidas técnicas, organizativas y legales de seguridad: El objetivo general, que
es la garantía de la seguridad de los datos personales, y el objetivo específico,
que es la adopción de medidas a través de las cuales se concreta tal garantía,
dirigidas a evitar la alteración, pérdida, tratamiento o acceso no autorizado a la
información custodiada.
66. Entre tales medidas de seguridad, el artículo 39 del Reglamento de la LPDP,

establece las siguientes:
“Artículo 39.- Seguridad para el tratamiento de la información digital.

Los sistemas informáticos que manejen bancos de datos personales deberán
incluir en su funcionamiento:
1. El control de acceso a la información de datos personales incluyendo la
gestión de accesos desde el registro de un usuario, la gestión de los
privilegios de dicho usuario, la identificación del usuario ante el sistema, entre
los que se encuentran usuario-contraseña, uso de certificados digitales,
tokens, entre otros, y realizar una verificación periódica de los privilegios
asignados, los cuales deben estar definidos mediante un procedimiento
documentado a fin de garantizar su idoneidad.
2. Generar y mantener registros que provean evidencia sobre las
interacciones con los datos lógicos, incluyendo para los fines de la
trazabilidad, la información de cuentas de usuario con acceso al sistema,
horas de inicio y cierre de sesión y acciones relevantes. Estos registros deben
ser legibles, oportunos y tener un procedimiento de disposición, entre los que
se encuentran el destino de los registros, una vez que éstos ya no sean útiles,
su destrucción, transferencia, almacenamiento, entre otros.
Asimismo, se deben establecer las medidas de seguridad relacionadas con
los accesos autorizados a los datos mediante procedimientos de identificación
y autenticación que garanticen la seguridad del tratamiento de los datos
personales.”
67. En el artículo reglamentario transcrito, se aprecia como finalidad el control de las

acciones realizadas en un sistema automatizado por sus usuarios, verificándose
el deber de control desde la asignación y autorización de accesos al sistema por
parte de los usuarios, la determinación de las acciones a realizar por estos
(privilegios), así como la generación y custodia del registro pormenorizado de
según corresponda.
Página 16 de 19
estas acciones, con el fin de poder verificar ex post las acciones llevadas a cabo
en el sistema.
68. De acuerdo con ello, el último párrafo de dicho artículo hace referencia a las
medidas de seguridad a aplicar sobre los accesos al sistema que se asignan,
existiendo la obligación de autenticar adecuadamente la identificación de los
usuarios que accedan a los sistemas.
69. En el Informe de Fiscalización N° 165-2020-JUS/DGTAIPD-DFI-JHV se analizaron

factores de la validación realizada al momento de la contratación telefónica, como
la variación del domicilio registrado por el denunciante para la facturación, para el
lugar de entrega, así como otras deficiencias surgidas en tal validación; siendo
cargo de la administrada demostrar la implementación de las medidas de
seguridad necesaria relativas a tal modalidad de venta.
70. Ante ello, en su escrito del 6 de septiembre de 2020, la administrada señala tener
discurso para el procedimiento de validación en una contratación telefónica que
permite validar los datos personales de los titulares de las líneas telefónicas: DNI,
dirección de domicilio, fecha y lugar de nacimiento (departamento, provincia y
distrito)
71. Al momento de realizar las preguntas de validación en tal proceso, se podrá

identificar la fecha de nacimiento del cliente y el ubigeo (con el cual se podrá saber
en qué distrito, provincia y departamento nació el cliente), la misma que debe
haberse utilizado para contrastarlo con la información proporcionada por el
solicitante de la renovación.
72. En sus descargos, la administrada reconoció su responsabilidad por la deficiencia

de las medidas de seguridad implementadas, señalando que en su protocolo de
renovación, se añadieron dos preguntas para validar la identidad de los
contratantes y recurriendo a la identificación con huellas biométrica.
73. Sobre la presente imputación, esta Dirección, haciendo una lectura integral del
artículo 39 del Reglamento de la LPDP, considera que los hechos verificados no
tienen relación con el incumplimiento de las disposiciones de dicho artículo;
considerando que estas se refieren a la autenticación de la identificación de los
usuarios de los sistemas, vale decir, de aquellas personas que, dentro de la
organización responsable del determinado sistema y en mérito de sus funciones
específicas en ella, pueden acceder y realizar las acciones de tratamiento de datos
personales que se efectúa por medio del señalado sistema.
74. En tal sentido, la disposición del último párrafo no se refiere a la autenticación de

identidad de clientes, sino a la de usuarios, con la finalidad de evitar que personas
que no sean usuarias de un determinado sistema utilizado para el tratamiento de
datos personales, puedan hacer uso de este, o siendo usuarios, que sus acciones
no se extralimiten de las funciones asignadas en función de su cargo.
75. Por consiguiente, se aprecia que no se ha configurado el incumplimiento de las

disposiciones del artículo 39 del Reglamento de la LPDP, correspondiendo
declarar infundada esta imputación.
según corresponda.
Página 17 de 19
76. Sin perjuicio de ello, habiéndose hallado indicios suficientes de deficiencias en la

validación de la identidad del denunciante en los procedimientos de venta
telefónica de líneas, es necesario analizar la relevancia de las modalidades de
tratamiento efectuadas tanto por la administrada como por la encargada, y las
responsabilidades de estos por la presunta afectación al principio de Calidad
establecido en el artículo 8 de la LPDP:
“Artículo 8. Principio de calidad

Los datos personales que vayan a ser tratados deben ser veraces, exactos y,
en la medida de lo posible, actualizados, necesarios, pertinentes y adecuados
respecto de la finalidad para la que fueron recopilados. Deben conservarse
de forma tal que se garantice su seguridad y solo por el tiempo necesario para
cumplir con la finalidad del tratamiento.”
77. Dicha disposición legal encuentra complemento en el artículo 9 de su reglamento,

que dispone lo siguiente:
“Artículo 9.- Principio de calidad.

En atención al principio de calidad, los datos contenidos en un banco de datos
personales, deben ajustarse con precisión a la realidad. Se presume que los
datos directamente facilitados por el titular de los mismos son exactos.”
78. De acuerdo con dichas disposiciones, el responsable de dicho tratamiento debe

asegurar la veracidad y exactitud de la información que se esté empleando, que
esta guarde correspondencia con la realidad, a fin de que dicho tratamiento
satisfaga los intereses propios y los del titular de los datos personales, evitando
los riesgos que conlleva el tratamiento de información inexacta, como la
desinformación, la deficiencia en comunicaciones o notificaciones, o la
suplantación.
Por las consideraciones expuestas y de conformidad con lo dispuesto por la LPDP y su

reglamento, la LPAG, y el Reglamento del Decreto Legislativo N° 1353;
SE RESUELVE:
Artículo 1.- Declarar infundada la imputación realizada contra Entel Perú S.A.
por la presunta comisión de la infracción grave tipificada en el literal b) del numeral 2 del
artículo 132 del Reglamento de la LPDP.
Artículo 2.- Declarar infundada la imputación realizada contra Entel Perú S.A.
S.A. por la presunta comisión de la infracción leve tipificada en el literal a) del numeral
1 del artículo 132 del Reglamento de la LPDP.
Artículo 3.- Remitir la presente resolución directoral a la DFI, juntamente con el

expediente respectivo, a fin de que evalúe el inicio de acciones de fiscalización a en lo
concerniente al tratamiento de datos personales del denunciante, específicamente
respecto a la presunta inobservancia del principio de Calidad de la LPDP, por parte de
según corresponda.
Página 18 de 19
Entel Perú S.A. y de la encargada de tratamiento, al momento de recopilar y realizar
tratamiento de los datos personales de la denunciante.
Artículo 4.- Informar a Entel Perú S.A. que, contra la presente resolución, de
acuerdo con lo indicado en el artículo 218 de la LPAG, proceden los recursos de
reconsideración o apelación dentro de los quince (15) días hábiles posteriores a su
notificación22.
Artículo 5.- Notificar a Entel Perú S.A. la presente resolución directoral.
Artículo 6.- Notificar al denunciante la presente resolución directoral.
Regístrese y comuníquese.
María Alejandra González Luna

Directora (e) de Protección de Datos Personales
MAGL/rvr
22
Artículo 218. Recursos administrativos
218.1 Los recursos administrativos son:
a) Recurso de reconsideración
b) Recurso de apelación
Solo en caso que por ley o decreto legislativo se establezca expresamente, cabe la interposición del recurso
administrativo de revisión.
218.2 El término para la interposición de los recursos es de quince (15) días perentorios, y deberán resolverse en el plazo
de treinta (30) días.
según corresponda.
Página 19 de 19

Resolución Directorial 2240 2022 Datos Personales - Laley.pe

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Resolución Directorial 2240 2022 Datos Personales - Laley.pe

Cargado por

Copyright:

Formatos disponibles

Resolución Directoral N° 2240-2022-JUS/DGTAIPD-DPDP

El Informe N° 106-2021-JUS/DGTAIPD-DFI del 18 de agosto de 20211, emitido por la

• Había tomado conocimiento que, el 17 de octubre de 2019, se había acordado

3. En el Acta de Fiscalización N° 001-2020-DFI, levantada el 12 de marzo de 20204,

4. Por medio del Oficio N° 525-2020-JUS/DGTAIPD-DFI del 15 de julio de 20205, se

• Detalle del procedimiento general establecido para las renovaciones de

5. Pese a haber sido debidamente notificado dicho oficio el 20 de julio de 2020, la

6. Mediante el Informe de Fiscalización N° 165-2020-JUS/DGTAIPD-DFI-JHV del 12

8. Mediante la Resolución Directoral N° 102-2021-JUS/DGTAIPD-DFI del 2 de junio

• Hecho imputado N° 1: Haber realizado el tratamiento de los datos personales

• Hecho imputado N° 2: No haber aplicado procedimientos de identificación y

9. Dicha resolución directoral se notifica a través de la Cédula de Notificación N° 438-

11. Mediante el Informe N° 106-2021-JUS/DGTAIPD-DFI, la DFI remitió a la Dirección

• Imponer a la administrada la multa de veinticuatro coma setenta y cinco

12. Mediante la Resolución Directoral N° 174-2021-JUS/DGTAIPD-DFI del 18 de

13. Dichos documentos fueron notificados a través de la Cédula de Notificación N°

15. Mediante la Resolución Directoral N° 115-2022-JUS/DGTAIPD-DPDP del 24 de

• Copia del contrato correspondiente al servicio de atención de solicitudes de

17. De conformidad con el artículo 74 del Reglamento de Organización y Funciones

18. En tal sentido, la autoridad que debe conocer el presente procedimiento

III. Normas concernientes a la responsabilidad de la administrada

19. Para la determinación de la responsabilidad de la administrada respecto de una

21. Por su parte, en lo que atañe a las atenuantes de la responsabilidad administrativa,

22. Por supuesto, la efectividad de los actos de enmienda mencionados, de acuerdo

IV. Primera cuestión previa: Sobre la vinculación entre el Informe de Instrucción

23. El artículo 254 de la LPAG establece como carácter fundamental del

“Artículo 254.- Caracteres del procedimiento sancionador

24. Por su parte, el artículo 255 de dicha ley establece lo siguiente:

“Artículo 255.- Procedimiento sancionador

Recibido el informe final, el órgano competente para decidir la aplicación de

25. De los artículos transcritos, se desprende que la separación de las dos

28. Por supuesto, la divergencia de criterios mencionada, no puede implicar

V. Segunda cuestión previa: Acerca del interés que define la responsabilidad

30. El artículo 2 de la LPDP contiene sus definiciones, transcritas a continuación:

31. Por su parte, el Reglamento de la LPDP, de forma complementaria, contiene las

“Artículo 1.- Objeto.

Artículo 2.- Definiciones.

15. Tercero: Es toda persona natural, persona jurídica de derecho privado o

38. Ello, aunado a su posición contractual, obliga al encargado a ceñir su desempeño

39. El control ejercido sobre la actuación del encargado se traduce en la instrucción

41. Entonces, cuando en un encargo de tratamiento se configure la comisión de una

• El principal obligado para preservar la licitud del tratamiento de los datos

45. De lo expuesto, se desprende que quien determina y controla las finalidades y

46. Por ello, conjuntamente con lo concerniente a la existencia de infracción, es

VI. Cuestiones en discusión

47. Para emitir pronunciamiento en el presente caso, se debe determinar lo siguiente:

47.1 Si la administrada es responsable los siguientes presuntos hechos

• Haber realizado el tratamiento de los datos personales del denunciante

47.2 En el supuesto de resultar responsable en cada caso, si debe aplicarse la

47.3 Determinar en cada caso, la multa que corresponde imponer, tomando en

VII. Análisis de las cuestiones en discusión

Sobre el presunto tratamiento de datos personales del denunciante, sin haber

49. El Tribunal Constitucional, máximo intérprete de la Constitución Política del Perú,

“[e]l derecho a la autodeterminación informativa consiste en la serie de

50. En esa línea, el ejercicio del derecho fundamental consiste en la posibilidad de

51. Por supuesto, no se puede ejercer un control efectivo de la información personal

“Artículo 5. Principio de consentimiento

53. Asimismo, según lo dispone el inciso 13.5 del artículo 13 de la LPDP, el

“Artículo 13. Alcances sobre el tratamiento de datos personales

20 Artículo 12.- Características del consentimiento.

56. Respecto de la prueba de la obtención del consentimiento válido para el

“Artículo 15.- Consentimiento y carga de la prueba.

57. En el presente caso, se imputó a la administrada haber realizado el tratamiento de