Resolución Directoral N° 908-2019-Ja/DGTAIPD-D_PDP

Expediente N° Resolución N° 908-2019-JUS/DGTAIPD-DPOP

067-2018-JUSIDPDP-PS
Lima, 15 de abril de 2019

VISTOS:

El informe N° 090-2018-JUS/DGTAIPD-DFI del 28 de septiembre de 20181, emitido por

la Dirección de Fiscalización e Instrucción de la Dirección General de Transparencia,
Acceso a la Información Pública y Protección de Datos Personales (en adelante, DFI),
y demás documentos que obran en el respectivo expediente, y;

CONSIDERANDO:

I. Antecedentes

1. El 7 de septiembre de 2017, por medio de la Hoja de Tramite N° 53985-2017MSC, el

Sindicato Nacional de Empleados del Crediscotia Financiera (en adelante, el
sindicato), ingresó una denuncia contra Crediscotia Financiera S.A. (en adelante, lá
administrada) por presuntas infracciones a la Ley N° 29733, Ley de Prótección de
Datos Personales (en adelante, LPDP) y su reglamentó, aprobado por Decreto
Supremo N° 003-2013-JUS (en adelante, Reglamento de la LPDP),

2. En dicha denuncia, se alega que algunos de los afiliados al sindicato solicitaron

acceder a la información de lá cual son titulares, que obra en sus legajos personales,
por medio de las cartas recibidas por la administrada el 12 y el 30 de septiembre, así
como el 3 de octubre de 2016.

3. Ante ello, según se hace constar en la denuncia, la .adniinistrad-a. habría requerido a-

dichos trabajadores precisiones Innecesarias sobre la justificación de su pedido, por
lo que sus solicitudes se denegaron.

1 Folios 1517 al 1522

Página 1 de 26
 Resolución Directoral N° 908-2019-JUS/DGTAIPD-DPDP
4. Asimismo, en la documentación adjunta a la denuncia, se presenta el Oficio N° 124-
2017-SINECREDISCOTIA/CD remitido por el sindicato a la administrada el 23 de
junio de 20172, en representación de sus afiliados, en la que le solicita entregar a
cada afiliado mencionado en la lista adjunta, una copia de sus reportes de detalle
comisiona! mensual - detalle de resultados (en adelante, reportes comisionales)
correspondientes a los períodos de julio a diciembre de 2009, de enero a diciembre
de los años 2010 a 2016, y de enero a mayo de 2017.

5. Dicha solicitud tuvo respuesta mediante la carta del 20 de julio de 20173, por la cual
la administrada respondió que solo contaban con la información desde el año 2012.

6. Ante ello, mediante el Oficio N° 159-2017-SINECREDISCOTIA/CD del 24 de agosto

de 20174, el sindicato reitera su pedido.

7. Cabe indicar que el sindicato adjuntó copias de autorización firmadas por cada uno
de sus afiliados, con el fin de que en representación de ellos, el sindicato pueda
solicitar la documentación que contiene sus datos personales, entre los que se
incluyen ingresos económicos y reportes comisionales.

8. Dichas autorizaciones fueron puestas en conocimiento de la denunciada en fechas

28 de octubre de 20156, 24 de noviembre de 20156, 10 de diciembre de 20157, 18 de
diciembre de 20156 y 29 de diciembre de 20159, 21 de enero de 201610, 8 de,febrero
de 201611, 6 de abril de 201612, 14 de julio de 201613, 2 de agosto de 201614, 5 de
agosto de 201615, 19 de agosto de 201616, 5 de septiembre de 201617, 21 de octubre
de 201618 y 6 de septiembre de 201719.

9. Por medio del Oficio N° 128-2017-JUS/DGTAIPD-DFM, notificado el 5 de'octubre de

2017, se solicitó a la administrada informar lo siguiente:

• Si dieron respuesta a la solicitud efectuada por los afiliados al sindicato, respecto

de sus legajos personales.
• Si permitieron a dichos afiliados acceder a sus legajos personales.

10. Mediante comunicación del 19 de octubre de 2017, ingresada con la Hoja de Trámite
Nl° 63600-201721, la administrada respondió en los siguientes términos:

2 Folios 36 al 39
Folio 40
Folios 41 al 42
Folios 43 al 178
8 Folios 179 al 180
7 Folios 185
8 Folios 186 al 188
Folios 189 al 190
1° Folios 191 al 193
11 Folios 194 al 195
12 Folio 196
13 Folios 197 a 199
14 Folios 200 a 203
15 Folio 204
1° Folios 205 al 206
17 Folios 207 al 208
18 Folio 209
19 Folios 210 a 232
20 Folio 234
21 Folios 237 al 244

Página 2 de 26
 Resolución Directoral N° 908-2019-JUS/DGTAIPD-DPDP
• Las solicitudes de acceso a los legajos personales, fueron presentadas
estableciendo el plazo de siete días hábiles para la entrega de la inforMación, lo
que demuestra el desconocimiento de los plazos de atención 'de los derechos
ARCO contemplados en la normativa,
• La Jefatura de Relaciones Laborales dio respuesta a lo requerido pór los afiliados
al sindicato respecto del 'acceso a sus legajos personales, mediante
comunicaciones recibidas el 24 de agosto de 2017, el 4 y el 16 de octubre de 2047.
• Se brindó copia de la totalidad de los legajos personales de los solicitantes, según
consta en la documentación adjunta.

Adjuntaron a dicha documentación cargos de recepción. de las cartas remitidas el 5 y

9113 de octubre de 201'6, por el área de RelaOlones LabOrales. de la aditinistrada al
M. GONZ sindicato, solicitando especificar lc):5 documentos que requieren'.

11. Mediante el Oficio N° 215-2016-SINECREDISCOTIA/CD, remitido el 31 de octubre

de 201722, el sindicato menciona lo sigUiente:

• Hasta la fecha. la administrada no habría cumplido con atender 'su solicitud

respecto de los reportes comisionales solicitados, a pesar de haberse.
comprometido a entregarla en un plazo no mayor a 20 días.
• Gracias a las gestiones que realizaron pare obtener el cobro de cOMisiones
impagas para el señor' alliall~lEM (en adelante, .e101~,
pudieron obtener algunos reportes córilisibnales, de diciembre de 2016 yfebtero,
marzo. y junio de 2017.
• Pese a que dichos reportes contienen información persOnal de cada trabajad«,
como su identificación personal, agencia donde laboran, -área geográfica,
estadísticas respecto al resultado y manejo de, la cartera (Clientes,. ..saldos y
deterioro), comisiones obtenidas, no tienen libre acceso á ellos, aún cuando la
administrada conserva dicha información eh un banco. de datos o registro, pot lo
que se debe entender que cada trabajador tiene derecho a acceder a la
información sin restricciones.

22 Folios 246 al 251

Página 3 de 26
 Resolución Directoral N° 908-2019-JUS/DGTAIPD-DPDP
12. Por medio del Oficio N° 241-2017-JUS/DGTAIPD-DFI23, notificado el 22 de diciembre
de 2017, se solicitó a la administrada lo siguiente:

• Detallar las circunstancias en las que facilitó al señor Mi sus reportes

comisionales mensuales como Asesor de Negocios.
• Informar si permitió a los afiliados al sindicato que lo hayan solicitado mediante, los
Oficios N° 124 y N° 159-2017-SINECREDISCOTIA/CD, acceder a sus reportes
comisionales mensuales, presentando la documentación que sustente que se les
permitió el acceso a dicha información.
• De ser el caso, explicar los motivos por los que se denegó el acceso a dichos
afiliados, a sus reportes comisionales,

13. Mediante la comunicación del 10 de enero de 2018, ingresada con Hoja de Trámite
N° 2415-201824, la administrada dio respuesta al requerimiento de información,
señalando que:

• Se elaboró y se entregó al señor 1/1~1111" sus reportes

comisionales en el marco de un requerimiento de la Superintendencia Nacional de
Fiscalización Laboral (Sunafil).
• El mencionado documento no fue entregado a los afiliados al sindicato, pues no
forma parte de sus legajos personales, a los cuales sí brindaron acceso,
No se denegó el acceso a los reportes comisionales, ya que siempre estuvieron
disponibles mientras fueron generados (desde el mes de junio de 2010), siendo
remitidos oportunamente por correo electrónico a sus trabajadores,

En dicha comunicación, la administrada adjunta las impresiones de los correos

electrónicos enviados a algunos de sus trabajadores el 30 de junio de.201525, el 25
de noviembre de 201526 y 5 de abril de 201627.

14. Por medio del Informe de Fiscalización N° 018-2018-JUS/DGTAIPD-DFI-KAT de 16

de enero de 201828, se remitió a la DFI el resultado de la fiscalización realizada en
virtud de la denuncia descrita, adjuntando los documentos que conforman el
respectivo expediente administrativo.

15. Mediante la Resolución Directoral N° 103-2018-JUS/DGTAIPD-DFI del 28 de junio

de 201829, la DFI resolvió iniciar procedimiento administrativo sancionador a la
administrada, puesto que no habría atendido el ejercicio del derecho de acceso de
determinados trabajadores afiliados al sindicato respecto de sus reportes
comisionales, en incumplimiento del artículo 19 de la LPDP, que configuraría la
infracción leve tipificada en el literal b. del numeral 1 del artículo 38 de dicha ley, en
su redacción anterior al 16 de septiembre de 2017: "No atender, impedir u
obstaculizar el ejercicio de los derechos del titular de datos personales reconocidos
en el título III, cuando legalmente proceda':

16. A través del Oficio N° 457-2018-JUS/DGTAIPD-DF13° recibido por la administrada el

19 de julio de 2018, se notificó la mencionada resolución directoral.

23 Folio 254
24 Folios 255 a 302
25
Folios 266 a 277
28 Folios 278 a 290
27 Folios 291 a 302
28 Folios 305 a 308
29 Folios 317 a 321
"Folio 324

Página 4 de 26
 Resolución Directoral N° 908-2019-JUS/DGTAIPD-DP.DP
17, Por medio del escrito ingresado el 9 de agosto de. 2018. ton Hoja de Trámite N°
51703-201831, Ia administrada presentó sus descargos, .argumentando lo . silgUiente.:.

• El 8 de agosto de 201.8, cumplieron con ..atender el derecho .solicitado de cáela

trabajador del sindicato, con el registro detallado de la información con Ia que
cuentan de los años 20.12 al. 2017, desglos:ando en los siguientes elementos que,
forman parte de out remuneraciones Sueldo básico., reintegro sueldo. baleo,
.asignación familiar, comisiones, campaña seguros, asignación por ,eSeolarided,
movilidad porfunción, incentivos libre disposición, vacaciones, vacaciones.—prom..
comisiones, gratificación .sernestral; aguinaldo navideño, reina. digit. rati.
Semestral, bonificación extraordinaria Art. 3 - Ley 29351,, reintegro • bonificación
extraordinaria Ley 29351, utilidades legales, descuento adelantó de quincena,
AFP fondo de pensiones, AFP comisión por servicios, AFP seguro de vida,.
impuesto a la renta 5ta, dscto. eventos/comen. bienestar, adelanto aguinaldo
navideño, seguro médico familiar, adelanto escolaridad anual, cuota ordinaria
sindicato, adelanto utilidades legales, otros. deseUentos,•dctb. teléfono:, dcto.- cuota
préstamo,. adelanto de gratificacioneS, adelanto de vacaciones, aportaciones
:ESSALUD.
• En abril dé 2Q16..se implementó una nueva estructure. organizacional corporativa
en materia financiera y control de gastoS, lo que hizo que los reportes comisionales
se dejaran de enviar periódicamente ,a cada Asesor de Negocio,
• El reporte comisionarse está enviando periódicatnente.a cada Aseáorde•egocio,
esté o no afiliado al sindicato. Dicho reporte se genera y té envía por émail de
forma individualizada mediante un proceso automático todos los meses..

18. Mediante el Oficio N° 167-2018-SINECREDISCOTIA/CD, ingresado el 15 de agosto

de 2018 a través de la Hoja de Trámite N° 52675-2018, el sindicato expuso lo
siguiente:

• El objeto del procedimiento sancionador iniciado es el incumplirniento; por parte

de la administrada de la entrega de los reportes comisionales solicitados,
• En los descargos de la administrada, esta presenta. la documentación.
correspondiente a la planilla anual de remuneraciones,, que es la información que
figura en cada boleta de remuneraciones, la cual no es la inforrnaCión, que
solicitaron.

11 Folios 325 al 1344

Página S de 26
 Resolución Directoral N° 908-2019-JUS/DGTAIPD-DPDP
• La administrada ya había declarado que si posee información sobre concerniente
al reporte comisional.

19. Por medio del escrito del 20 de septiembre de 2018, ingresado con Hoja de Trámite
N° 60396-2010, la administrada amplió sus descargos, alegando lo siguiente:

• Adjuntan medios probatorios del envío automático del reporte comisional de

asesores de productos "Microempresa" del mes de agosto, a 63 Asesores de
Negocio activos, con información al 31 de agosto de 2018.
• No guardan los citados reportes en soporte físico ni en soporte electrónico, en
razón de la generación y envío automática señalada. En el presente caso y solo
para efectos de acreditar su envio mensual, se aprobó mantener en copia los
correos electrónicos enviados con tal información.

20. Mediante la Resolución Directoral N° 162-2018-JUS/DGTAIPD-DFI del 28 de

septiembre de 2010, la DFI dio por concluidas las actuaciones instructivas
correspondientes al procedimiento sancionador. Dicha resolución fue notificada, a la
administrada el 11 de octubre de 2018, a través del Oficio N° 626-2018-
J US/DGTAI PD-DFI.

21. Por medio del Informe N° 090-2018-JUS/DGTAIPD-DFI del 28 de septiembre de

2018, la DFI remitió a la Dirección de Protección de Datos Personales de la Dirección.
General de Transparencia, Acceso a la Información Pública y Protección de. Datos
Personales (en adelante, DPDP) los actuados para que resuelva en primera instancia
el procedimiento administrativo sancionador iniciado, recomendando imponer la
sanción administrativa de multa ascendente a cinco unidades impositivas tributarias
(5 UIT) por el hecho imputado, por infracción leve tipificada en el literal b., numeral 1,
artículo 38° del LPDP, en su redacción anterior al 16 de septiembre de 2017: "No
atender, impedir u obstaculizar e/ ejercicio de los derechos del titular de datos
personales reconocidos en el título III, cuando legalmente proceda".

22. Mediante el escrito presentado el 18 de octubre de 2018 con la Hoja de Trámite N°

66384-201834, la administrada presentó sus descargos sobre dicho informe,
alegando lo siguiente:

• Al haber enviado a cada trabajador afiliado al sindicato, el 8 de agosto de 2018,

los reportes comisionales de los años 2012 al 2017, cumplieron con entregar con
la información que tenían al momento de la solicitud efectuada por el sindicato.
• En el momento de presentación de dicha solicitud, no contaban con la información,
puesto que de acuerdo con la normativa laboral, solo deben mantener en custodia
la información remunerativa final (boletas de pago con el importe total de las
comisiones) de los últimos cinco años.
• El reporte comisional se elabora de forma automática, generando un fichero
temporal para enviar a todos los trabajadores, pero no se conserva ninguna copia
del mismo.
• No corresponde alegar que vulneraron el acceso a la información de los
trabajadores, toda vez que permitieron el acceso a la información requerida por
ellos, por lo que carecen de responsabilidad al respecto.

32 Folios 1383 al 1513

33 Folios 1514 al 1515
34 Folios 1525 al 1534

Página 6 de 26
 v?).k..ICA DEC

Resolución Directoral N° 908-2019-1US/DGTAIPD-DPDP

• La presunta infracción no es de probabilidad baja de detección, ni implica un grave
daño al interés público y/o bien jurídico protegido, pues todos sus trabajadores
reciben el mencionado reporte comisiona! de forma oportuna.

En el mismo escrito, solicitaron que se les conceda el uso de la palabra.

23. Por medio del Oficio N° 2228-2018-JUS/DGTAIPD-DPDP, notificado el 14 de

noviembre de 2018, se otorgó el uso de la palabra a la administrada, efectuándose
el informe oral respectivo. el 16 de noviembre de 2018.

24. Por medio del Oficio N° 2341-2018-JUS/DGTAIPD-D.PDP, notificado el 22 de

noviembre de 2018, se solicitó a la administrada lo siguiente:

Remitir la documentación mediante la cual instruya a sus trabajadores sobre la

forma de obtener sus reportes com.isionales, acerca de los cuales les solicitaron
información.
• Detallar la modalidad en la que almacena la información concerniente a los
reportes •cornisionales, obtenida de sus sistemas, adjUntarido Iá evidencia
correspondiente.

25. Mediante el escrito ingresado con Hoja de Trámite N° 75692-2018 del 29 de

noviembre de 201836, la administrada adjuntó los correos electrónicos que evidencian
la comunicación del esquema de remuneración variable (mecanismo mediante el cual
se instruiría sobre la determinación de la comisión) y la "Guía Operativa'', que en su
Capítulo fl indica que el reporte comisiona! se envía por correo electrónico,
detallándose que los mismos se almacenan con un máximo de tres meses.

26.. Por medio del Oficio N° 674-2019-JUS/DGTAIPD-DPDP36, esta dirección solicitó a la

DFI efectuar lo siguiente:

• La realización de una visita de fiscalización a las áreas de la administrada de

Gestión dé la Información, Control de Gastos e Inversión Corporativo y Analistas
de Comisiones Externas.

35 Folios 1542 al 1574

/6 Folio 1576

Página 7 de 26
 Resolución Directoral N° 908-2019,-JUS/DGTAIPD-DPDP
• Verificar en dichas áreas; si se realiza o no el tratamiento de la información
correspondiente a los trabajadores de la fuerza de venta interna (Asesores y
Funcionarios de Negocios "Microempresa", del banco de datos personales
denominado "Colaboradores"), con la que se elabora el reporte comisiona' de cada
trabajador.
• En tales áreas, recoger información acerca de la conservación de los datos que
componen el reporte comisional correspondiente a los meses de enero y febrero
de 2019.
• Igualmente, recoger información acerca de la conservación de los datos que
componen el reporte comisional correspondiente a los meses de noviembre de
2018 hacia atrás; informando en el caso de que no se conserve la misma en
ningún soporte.
• En caso de que se conserve la información del reporte comisiona' correspondiente
a los meses de noviembre de 2018 hacia atrás, indicar el sistema utilizado y el
plazo durante el cual se conserva.
• En caso de no conservar la información referida en el literal anterior, verificar la
modalidad y la periodicidad de su eliminación, así como el documento Interno que
establezca el procedimiento para eliminar la información señalada.
• Asimismo, en el caso de la eliminación de la información señalada, obtener el
reporte de los registros de interacciones lógicas de los usuarios con el sistema
usado para el almacenamiento, en el que se indique dicha eliminación.
Emitir un informe sobre los pormenores antes listados en los literales anteriores,
sobre la información vinculada al reporte comisional, adjuntando la doeurnentación
sustentatoria y las actas correspondientes.
1
27. Es así que en mérito de la Orden de. Visita de Fiscalización N° 31-2019-
JUS/DGTAIPD-DFI37, se efectuaron visitas de fiscalización a la administrada, siendo
la primera del 27 de marzo de 2019, en el establecimiento de la Av. Paseo de la
República N° 3587, San Isidro.

28. El Acta de Fiscalización N° 01-201938 fue suscrita por Alexandre Victoria López
López, identificada con. DM N° 45806482, Oficial de Privacidad del Grupo
Scotiabank, y por Dessiree Carranza Urbina, identificada con DNI N° 42597355,
Abogada Legal Comercial; en la misma, se consignó que el personal de la
administrada (el responsable del área de Gestión de la información, Javier Álvarez
Ly), informó lo siguiente:

• El área de Gestión de la Información proporciona la información correspondiente

a las transacciones realizadas por parte de sus Asesores y Funcionarios de
Negocios (ventas de productos financieros) al área de Control de Gastos e
Inversión Corporativa, en la que se calculan las comisiones a pagar por dichas
ventas, a los mencionados trabajadores.
• Dicha información es almacenada en un servidor localizado en México, al cual el
área de Control de Gastos e Inversión Corporativa tiene acceso; es custodiada
por tiempo indeterminado.
• Para procesar dicha información en la actualidad, se utiliza una base de datos
"SQL 2008R2", habiéndose utilizado anteriormente el sistema "Access" para
almacenar y procesar tal información.

37 Folio 1578
36 Folios 1579 a 1588

Página 8 de 26
 osa,LICA

Resolución Directoral N° 908-2019-JUS/DGTAIPD-DPDP

29. Se adjuntó a dicha acta las muestras de las consultas efectuadas en la base de datos,
correspondiente a la información de cinco traba.adores seleccionados aleatoriamente

en las que se puede apreciar transacciones realizadas as a e

30. El Acta de Fiscalización N° 02-2019 del 1 de abril de 201940,,fue suscrita por la Oficial
de Privacidad del Grupo Scotiabank, y por Katerine Jiménez Carreño, identificada
con DNI N° 40384780, Abogada Legal Senior. En la misma, se consigna que el
especialista del área de Gestión de Información (el señor Williams Marcelo López)
proporcionó al personal fiscalizador muestras correspondientes a las actividades de
cinco funcionarios en torno a créditos "Microempresa" y productos de consumo,
extraídas de la base de datos "SQR 2008R2".

1. Asimismo, durante dicha visita, se informó que el área de Gestión de la Información

proporciona a la de Control de Gastos e Inversión Corporativa,. a través de una
carpeta compartida en red, una baga de datos "Access" enla que se realiza el cálculo
de las comisiones de los Asesores y Funcionarios que comercializan :los créditos.
"Microempresa", cuyo detallé es remitido a cada uno de ellOs vía correo electrónico,

32. También se informó que la administrada almacena la información del cálculo de

comisiones por tres meses, luego de lo cual elimina toda la base de datos
proporcionada por el área de Gestión de la Información, contando con un
procedimiento de :eliminación de información contemplado en la "Guía Operativa
Liquidación de Comunicaciones FFW Interna".

33. La representación de la administrada consignó en dicha acta la siguiente deClaracióh:

• La base alcanzada por el área de Gestión de la Información contiene datos

personales de colaboradores que se han incluido a solicitud de los fiscalizadores,
como el DNI, puesto que lo que usualmente se consigna es el código interno de
identificación.

ae
Folios.1589 a 1629
49 Folios 16.30 a 1639

Página 9 de 26
 Resolución Directoral N° 908-2019-JUS/DGTAIPD-DPDP
• El reporte comisional se remite al colaborador antes de generar la boleta de pago,
y la información eliminada está referida a los volúmenes de venta, número de
clientes captados y no a datos personales del colaborador.
• Por razones de tiempo y carga, la información solicitada en la próxima visita podría
no estar completa o a tiempo.

34. Se adjuntó a dicha acta capturas de pantalla del reporte comisional referido a
productos "Microernpresa"41, así como muestras de las actividades de los Asesores
y/o Funcionarios de Negocio (en las que se aprecian transacciones realizadas hasta
el año 2011), extraídas de la base de datos "SQL 2008R2"42 y el detalle de los campos
de datos de información que conforman dicha base de datos: Código interno y
nombre del vendedor; nombre y fecha de alta del producto; código, interno .y nombre
de la agencia, DNI del cliente, importe de la operación y seguros.

35. En el Acta de Fiscalización N° 03-2019 del 4 de abril de 201943, suscrita por

Alexandra Victoria López y Dessiree Carranza Urbina, correspondiente a la tercera
visita de fiscalización, se consignó lo siguiente:

• Se verificó que cuentan con una base de datos "Access", que contiene información
referente a la venta de productos financieros "Mícroempresa" por parte de los
Asesores y/o Funcionarios de Negocio, la cual corresponde a periodos desde
enero de 2009 a febrero de 2014, almacenando también información sobre venta
de productos de consumo del período de enero de 2012 a julio de 2013.
• Dicha base de datos almacena 332101 registros de correspondientes a la venta
de productos, incluyendo las ventas realizadas por su fuerza de venta.
• Se consultó la información correspondiente a cinco Asesores y/o Funcionarios de
Negocio dedicados a la venta de productos de consumo y "Microempresa".
• Se informó al personal fiscalizador que para el período de enero de 2013 a julio
2017, ya contaban con el gestor de base de datos "SQL 2008R2", el cual solo era
utilizado para el almacenamiento de las copias de respaldo de la información de
las bases de datos "Access" que contienen la información de las ventas de
productos financieras a cargo' de sus fuerzas de ventas internas.

36. Se adjuntó a dicha acta los campos de información de la base de datos "Access", y
los registros de los cinco trabajadores mencionados en el considerando 29 de esta
resolución directoral, que contienen los siguientes datos; Código interno y nombre
del vendedor; nombre y fecha de alta del producto; código interno y nombre de la
agencia, DNI del cliente, importe de la operación, seguros y plazo del crédito otorgado
en meses44.

37, En el Informe Técnico N° 60-2019-DFI-ORQR del 11 de abril de 201945, el Analista

de Fiscalización en Seguridad de la Información señaló lo siguiente:

• Al consultar la información de los cinco Asesores y/o Funcionarios de Negocio de

créditos "Microempresa" antes señalados, contenida en la base de datos "SQL
Server 2008R2" del área de Gestión de la Información, correspondiente a los
últimos tres años, en los siguientes campos: Código interno y nombre del
vendedor; nombre y fecha de alta del producto; código interno y nombre de la
agencia, DNI del cliente, importe de la operación y seguros.

41 Folios 1640 a 1641

42 Folios 1665 a 1782
43 Folios 1783 a 1792
44 Folios 1800 a 1878
45 Folios 1882 a 1885

Página 10 de 26
 .0∎0 CA D

Resolución Directoral N° 908-2019-JUS/DGTAIPD-DPDP

• En la base de. datos "Access", se comprobó que se almacena información de las
referidas actividades de los Asesores y' Funcionarios de Negocio de créditos
"Microempresa" desde enero de 2009 a febrero de 2014, contando ya con el gestor
de base de datos "SQL Server 2008R2", el cual eta utilizado desde enero de 2013
hasta julio de 2017. En la base de datos "Access" se almacenaba la siguiente
información de Asesores y Funcionarios de Negocio de productos
"Microempresa": Código interno y nombre del vendedor; nombre y fecha de alta
del producto; código interno y nombre de la agencia, D,NI del cliente, importe de la
operación, seguros y plazo del crédito otorgado en meses.
• En el área de Control de Gastos e Inversión Corporativa, se verificó que .esta
realiza el cálculo de las comisiones por las ventas realizadas por los Asesores y
Funcionarios encargados de productos "Microempresa", cuyo detalle se envía por
correo electrónico al trabajador; el reporte correspondiente almacenado por tres
Duce meses, luego de lo cual se elimina la información proporcionada por el área de
roce
os Gestión de la Información, y los reportes comisionales
• Más allá de ello, se debe recordar que el área de Gestión de la Información
almacena la información relativa a los reportes comisionales por tiempo indefinido,
con lo que se puede generar el cálculo de los reportes comisionales anteriores.

38. Dicho Informe Técnico, conjuntamente con el expediente, fue remitido a esta
dirección por medio del Oficio N° 298-2019-JUS/DGTAIPD-DFI.

II. Competencia

39. Mediante Decreto Supremo N° 013-2017-JUS del 21 de junio de 2017, se aprobó el

Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos
Humanos (en adelante, ROF del MINJUS), derogando el Decreto Supremo N° 011-
2012-JUS.

40, El artículo 70 del ROF del MINJUS crea la Dirección General de Transparencia,
Acceso a la Información Pública y Protección de Datos Personales como órgano de
línea encargado de ejercer la Autoridad Nacional de Protección de Datos Personales,
para el cumplimiento de sus funciones fiscalizadoras y sancionadoras en materia de
protección de datos personales.

Página 11 de 26
 Resolución Directoral N° 908-2019-JUS/DGTAIPD-DPDP
41. De conformidad con lo dispuesto en el artículo 74 del ROF del MINJUS, la DPDP es
la unidad orgánica competente para resolver en primera instancia, los procedimientos
administrativos sancionadores iniciados por la DFI.

42. En tal sentido, en ejercicio de sus facultades, corresponde a la DPDP determinar si

se ha cometido infracción a la LPDP y a su reglamento.

III. Normativa sancionadora aplicable

43. Mediante el Decreto Supremo N° 019-2017-JUS del 15 de septiembre de 2017,, se

aprobó el reglamentó del Decreto Legislativo N° 1353 que crea la AUtoridad NaOional
de Transparencia y Acceso a la Información Pública, fortalece el Régimen de
Protección de Datos Personales y la regulación de la gestión de intereses (en
adelante, Decreto Legislativo N° 1353).

44. La Tercera Disposición Complementaria Modificatoria del mencionado reglamento

incorpora el capítulo de infracciones al Título VI del RLPDP, agregando el artículo
132° que tipifica las infracciones.

5. Por su parte, la denuncia que dio inicio al presente procedimiento sancionador se

presentó estando vigente la redacción anterior del articulo 38° de la LPDP que
tipificaba primigeniamente las infracciones a la normativa legal de protección de
datos personales; siendo que con la nueva tipificación de infracciones incorporada al
Reglamento de la LPDP, el sistema jurídico permite la posibilidad de aplicar una
excepción en torno al principio de Irretroactividad" que se contempla en materia
penal y administrativo sancionador, conocido como la retroactividad benigna.

46. La retroactividad benigna se hace efectiva si luego de la comisión de un ilícito

administrativo, se produce una modificación normativa y dicha norma establece una
consecuencia más beneficiosa para el infractor, ya sea la eliminación del tipo infractor
o el establecimiento de una sanción menor, en comparación con la norma anterior
(vigente al momento que se cometió la infracción), por lo que debe aplicarse
retroactivamente la nueva norma.

47. Cabe señalar que la retroactividad benigna debe ser el resultado de una evaluación
integral por parte de la Administración y como tal debe verificarse los supuestos y
requisitos que la norma exija de manera que produzca consecuencias jurídicas
favorables para el administrado.

48. En este sentido, el artículo 2 del Decreto Legislativo N° 1272 modificó el principio de
Irretroactividad, manteniéndose tal redacción en el Texto Único Ordenado de la Ley
del Procedimiento Administrativo General, aprobado mediante Decreto Supremo N°
004-2019-JUS (en adelante, LPAG), en el cual se precisó los supuestos sobre los
cuales se podría aplicar la excepción, siendo los siguientes:

46Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto
Supremo N° 004-2019-JUS.
"Artículo 248.- Principios de la potestad sancionadora administrativa
La potestad sancionadora de todas las entidades está regida adicionalmente por los siguientes principios especiales:
(—)
5.- Irretroactividad.- Son aplicables las disposiciones sancionadoras vigentes en el momento de Incurrir el administrado
en la conducta a sancionar, salvo que las posteriores le sean más favorables.
Las disposiciones sancionadoras producen efecto retroactivo en cuanto favorecen al presunto Infractor o al infractor,
tanto en lo referido a la tipificación de la infracción como a la sanción y a sus plazos de prescripción, incluso respecto de
las sanciones en ejecución al entrar en vigor la nueva disposición."

Página 12 de 26
 Resolución Directoral N° 908-2019-JUS7DGTAIPD-DPDP
Tipificación de la infracción más favorable
Previsión de la Sanción más favorable, incluso de aquellas que se encuentran en
etapa de ejecución..
Plazos de prescripción más favorables..

Normas Regulación anterior Regulación actual

Sustantiva Artículo 19 de la LPDP Artíci.ilo 19 dé la . LPDP
Tipificadora Literal b. del numeral 1 del.Literal a) del numeral 2 del
artículo. 38 de la LPDP, esto.
artículo 132 del Reglamento de
es: "No atender, impedir u la LPDP, esto és: "No- atender,
impedir u obstaculizar el
obstaculizar el ejercicio de los
derechos del titular de datosejercicio de los derechas del
personales reconocidos en el titular de datos personales de
título III, cuando legalmenteacuerdo a lo establecido en el
proceda" Título III de la Ley N° 29733 y
su Reglamento"
Eventual Numeral 1 del artículo 39 de Numeral 2 del artículo 39 de la
sanción la. LPDP que establece la LPDP que establece la
infracción levé sancionada infracción grave sancionada
con 0,5 UIT hasta 5 UIT con más de 5 hasta. 50 UIT

49. En línea de lo expuesto, apreciándose que los supuestos de hecho (incumplimiento

de la obligación) en los cuales habría incurrido la administrada ha variado de
tipificación y de sanción (al momento en que se detecto la. infracCióri); en atenciórya
la excepción establecida en el principio de Irretroactividad que rige la potestad
sancionadora administrativa (retroactividad benigna), se-aplicará-la disposiCión legal
que resulte más favorable: a la administrada.

50. Sobre la obligación de permitir al titular de los datos personales gel. acceso a sus datos,
se tiene lo siguiente:

51. Se desprende de lo anterior que el marco normativo actual (norma que entró en
vigencia el 16 de septiembre de 2017) no presenta ninguna situación favorable para
la administrada en comparación con el estado anterior, en la cual la infracción
analizada es tipificada como leve, a diferencia de lo establecido por la tipificación
vigente, que la recoge dentro de las infracciones graves.

Página 13 de 26
 Resolución Directoral N° 908-2019-JUS/DGTAIPD-DPDP
52. En tal sentido, no existen las condiciones para aplicar la retroactividad benigna en el
supuesto de hecho infractor, debiendo aplicarse las normas vigentes al mornentO de
detección de la infracción.

53. De otro lado, acerca de la responsabilidad de la administrada, se debe tener en

cuenta que el literal f del numeral 1 del articulo 257 de la LPAG47, establece como
una causal eximente de la responsabilidad por infracciones, la subsanadión
voluntaria del acto imputado como infractor, si es realizada de forma previa a la
notificación de imputación de cargos.

54. Asimismo, se debe atender a lo dispuesto en el artículo 126 del Reglamento dé la.
LPDP", que considera como atenuantes la colaboración con laá acciones de la
autoridad y el reconocimiento espontáneo de las infracciones conjuntamente con la
adopción de medidas de enmienda; dichas atenuantes, de acuerdo con la
oportunidad del reconocimiento y las fórmulas de enmienda puede permitir la
reducción motivada de la sanción por debajo del rango previsto en la LPDP.

55. Dicho artículo debe leerse conjuntamente con lo previsto en el numeral 2 del articulo
257 de la LPAG49, que establece como condición atenuante el reconocimiento de la
responsabilidad por parte del infractor de forma expresa y por escrito, debiendo
reducir la multa a imponérsele hasta no menos de la mitad del monto de su importe;
Y por otro lado, las que se contemplen como atenuantes en las normas especiales.

Primera cuestión previa: Acerca del período sobre el cual existe la obligación
de informar

56. Conviene revisar para estos efectos las normas laborales vigentes durante los
períodos sobre los cuales se solicitó información, que son el artículo 21 del Decreto
Supremo N° 001-98-TR, Normas Reglamentarias Relativas a la Obligación de los
Empleadores de Llevar Planillas de Pago, vigente hasta el 20 de diciembre de 2016,
y el numeral 4 del artículo 3 del Decreto Legislativo N° 1310, Decreto Legislativo que
Aprueba Medidas Adicionales de Simplificación Administrativa:

"Decreto Supremo N° 001-98-TR, Normas Reglamentarias Relativas a la

Obligación de los Empleadores de Llevar Planillas de Pago
(...)

47Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento. Administrativo General, aprobado por Decreto
Supremo N° 004-2019-JUS.
"Artículo 257.- Eximentes y atenuantes de responsabilidad por infracciones
1.- Constituyen condiciones eximentes de la responsabilidad por infracciones las siguientes:
(...)
g La subsanación voluntaria por parte del posible sancionado del acto u omisión imputado como constitutivo de infracción
administrativa, con anterioridad a la notificación de la imputación de cargos a que se refiere el inciso 3) del articulo 2É5."
48 Reglamento de la Ley de Protección de. Datos Personales, aprobado por Decreto Supremo N° 903-2013-JUS.
"Artículo 126.- Atenuantes.
La colaboración con las acciones de la autoridad y el reconocimiento espontáneo de alas infraccionee acompañado de
acciones de enmienda se considerarán atenuantes. Atendiendo a la oportunidad del reconocimiento y a las fórmulas de
enmienda, la atenuación permitirá incluso la reducción motivada de la sanción por debajo del rango previsto en la Ley
49 Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto
Supremo N° 004-2019-JUS,
"Artículo 257.- Eximentes y atenuantes de responsabilidad por infracciones
(••)
2.- Constituyen condiciones atenuantes de la responsabilidad por infracciones las siguientes:
a) Si iniciado un procedimiento administrativo sancionador el infractor reconoce su responsabilidad de forma expresa y
por escrito.
En los casos en que la sanción aplicable sea una multa esta se reduce hasta un monto no menor de la mitad de su
importe.
b) Otros que se establezcan por norma especial."

Página 14 de 26
 Resolución Directoral le 908-2019-JUS/DGTAIPD-DPDP
Artículo 21.- Los empleadores están obligados a conservar sus planillas., al
duplicado de las boletas y las. constancias 'correspondientes, hasta cinco años
después de efectuado el pago.

Luego de transcurrido el indicado plazo., la prueba de !Os, derechos que 'se.

pudieran derivar del contenido- de los citados. documentos). 'será de cargo dé:
quien alegue el derecho.."

"Decteto Legislativo N' 1310, Decreto Legislativo que Aprueba. Medidas

Adicionales de Simplíficación AdministratiVa

"Artículo 3.- Simplificación para la emisión, remisión y conservación de

documentos en materia laboral.
En la emisión, remisión y conservación de. documentos en materia laboral, se
autoriza el uso de tecnologías de la digitalización, información y comunicación
para la sustitución de documentos fíSicos y firmas ológrafas, 'de acuerdo a las
siguientes' disposiciones:

3.4 Para todo efecto legal, los empleadores están obligados a conservar los
documentos y constancias de pago. de las obligaciones laborales económicas
solamente hasta cinco años después de efectuado el .pago,.

Las instancias administrativas, inspectivas, judiciales y arbitrales deben 'observar

esta disposición en sus actuaciones. Para el caso de la Oficina de Normalización
Previsional„ el empleador podrá destruir la información de planillas de pagos: de
periodos anteriores a julio de 1999 previa . digitalización. co.n, valor legal. ,o
entregarla físicamente a la mencionada entidad."

57. Dichas disposiciones establecen el período máximo de conservación de documentos

vinculados al pago de obligaciones laborales, desprendiéndose de ambas normas la
finalidad de dicha conservación: El sustento de la existencia de los derechos
laborales y de su cumplimiento.

58. Al respecto, es preciso señalar que dicha disposición no prohibe tener información
correspondiente a períodos anteriores, siempre que tales datos sirvan para sustentar
lo señalado en el anterior contiderando, por lo que debe entenderse que el
cumplimiento de las disposiciones laborales por parte de la administrada no

Página 16 de 26
 Resolución Directoral N° 908-2019-JUS/DGTAIPD-DPDP
constituyen limitaciones temporales de la información que deba almacenar, si su
capacidad le permite conservar data de antigüedad mayor a los cinco años,

59. En este caso, se ha comprobado durante las visitas de fiscalización efectuadas, que
la administrada posee información desde el año 2009 en adelante, la cual deberá ser
facilitada a los solicitantes, pues la normativa laboral no es óbice para tal tratamiento,
al haberse comprobado su capacidad para almacenar información de tal antigüedad.

V. Análisis de la cuestión en discusión

60. Para emitir pronunciamiento en el presente caso, se debe determinar:

60.1 Si la administrada ha impedido a los trabajadores afiliados al sindicato el

ejercicio de su derecho de acceso, al no alcanzarles la información que solicitaron,
consistente en los reportes comisionales de los períodos de julio a diciembre del
2009, de enero a diciembre de los años 2010 a 2016, y de enero a mayo de 2017,
incumpliendo con lo establecido en el artículo 19 de la LPDP, lo cual configuraría la
infracción leve prevista en el literal b. del numeral 1 del artículo 38 de la dicha ley, en
su redacción vigente antes del 16 de septiembre del 2017

60.2 En el supuesto de ser responsable, si debe aplicarse la exención de

responsabilidad por la subsanación de la infracción, prevista en el literal f) del numeral
1 del artículo 257 de la LPAG, o las atenuantes, de acuerdo con lo dispuesto en el
artículo 126 del Reglamento de la LPDP.

59,3 De ser el caso., la multa que correspondería imponer, tomando en consideración

los criterios de graduación contemplados en el numeral .3 del artículo 248 de la
LPAG".

Sobre el presunto impedimento del ejercicio del derecho de acceso

61. La LPDP contempla el derecho de acceso del titular de los datos personales en su
artículo 19, que se cita a continuación:

"Articulo 19. Derecho de acceso del titular de datos personales

El titular de datos personales tiene derecho a obtener la información que sobre sí
mismo sea objeto de tratamiento en bancos de datos de administración pública o
privada, la forma en que sus datos fueron recopilados, las razones que motivaron

50Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto
Supremo N° 004-2019-JUS.
"Artículo 248.- Principios,de la potestad sancionadora administrativa
La potestad sancionadora de todas las entidades está regida adicionalmente por los siguientes principios especiales:

3. Razonabilidad.- Las autoridades deben prever que la comisión de la conducta sancionable no resulte más ventajosa
para el infractor que cumplir las normas infringidas o asumir la sanción. Sin embargo, las sanciones a ser aplicadas deben
ser proporcionales al incumplimiento calificado como infracción, observando los siguientes criterios que se señalan a
efectos de su graduación:
a) El beneficio ilícito resultante por la comisión de la Infracción;
b) La probabilidad de detección de la infracción;
c) La gravedad del dallo al interés público y/o bien Jurídico protegido;
d) El perjuicio económico causado;
e) La reincidencia, por la comisión de la misma infracción dentro del plazo de un (1) afio desde que quedó firme la
resolución que sancionó la primera infracción.
f) Las circunstancias de la comisión de la infracción; y
g) La existencia o no de intencionalidad en la conducta del infractor."

Página 16 de 26
 ve,y3CA bEz.

Resolución Directoral N° 908-2019-JUS/DGTAIPD-DPDP

su recopilación y a solicitud de quién se realizó la recopilación, así como las
transferencias 'realizadas o que se prevén hacer de ellos.'

62. Dicha disposición establece que el titular puede obtener sus datos personales: que
sean objeto de tratamiento en un determinado banco de _datos; así información
concerniente a la modalidad de recopilación de sus datos personales.

63. El artículo reseñado se complementa con lo establecido en el artículo 61 del

Reglamento de la LPDP, en los siguientes términos:

"Artículo 61.- Derecho de acceso.

Sin perjuicio de lo señalado en el artículo 19 de la Ley, el titular de los datos
personales tiene derecho a obtener del titular del banco de datos personales o
responsable del tratamiento la información relativa a sus datos personales, así
como a todas las condiciones y generalidades del tratamiento de los mismos."

En consecuencia, el derecho de acceso se puede ejercer también respecto de las

acciones efectuadas con los datos personales, entre las cuales están la obtención de
información personal como resultado de la correlación de los datos preexiStentes,
como pueden ser los datos: laborales de desempeño, productividad, a fin de extráel-
e! monto de la comisión correspondiente al trabajador.

65. A su vez, el Reglamento de la LPDP establece. Sobre le - amplitud de la información:

"Artículo 63,- Contenido de la información.

La información que con ocasión del ejercicio del derecho de acceso se ponga a
disposición dei titular de los datos personales, debe ser amplia y comprender la
totalidad del registro correspondiente al titular de datos personales, aun cuando el
requerimiento sólo comprenda un aspecto de dichos datos. El informe no podrá
revelar datos pertenecientes a terceros, aun cuando se vinculen con el
interesado."

66. Con dicha disposición se sustenta la amplitud que puede tener la solicitud de acceso,
aun cuando solo se haya pedido información sobre un aspecto específico, el acceso
deberá ampliarse a todo-aquello con lo Cual se Obtenga la informáCión:SOliCitadal una
situación similar sucede en el presente caso, donde los trabajadores del sindicato

Página 17 de 26
 Resolución Directoral N° 908-2019-JUSIDGTA1PD-DPDP
solicitan su reporte comisional, el cual incluye las variables necesarias para su
cálculo.

67. La denuncia se centra en la omisión de entrega a determinados afiliados al sindicato

de copias de sus reportes comisionales de determinados períodos, cuya
configuración para el año 2017 se aprecia en la documentación que se facilitó al
señor Gonza.

68. Respecto de dichos documentos, es necesario precisar que contienen datos

personales referidos al desempeño laboral de sus titulares, pudiendo apreciar en los
mismos las siguientes variables extraídas durante el mes de evaluación: a) número
de operaciones que realizó el trabajador; b) el número de clientes que captó; y, c) los
saldos con los que trabaja; obteniendo de ello el porcentaje de variación entre las
cifras alcanzadas en el mes evaluado y en el mes anterior.

69. Es pertinente tomar en cuenta también que cuando se solicita los reportes
comisionales, se está solicitando no solamente el resultado del cálculo, que sería la
comisión a pagar, sino que busca conocer los factores con los cuales se efectúa tal
operación, que se encuentran vinculados a datos como el número de operaciones
realizadas en cada mes y los importes de cada operación, que figuran 'en el reporte
comisional.

70. Por eso, la documentación que remitió la administrada a sus trabajadores el 8 de

agosto de 2018 no corresponde a lo solicitado según los términos de la denuncia,
puesto que consiste en la planilla entera, que incluye la comisión como uno de los
conceptos remunerativos, sin detallar los factores que determinan su monto
específico, no pudiendo considerarse tal remisión como un cumplimiento de la
exigencia del artículo 19 de la. LPDP.

Lo mismo puede señalarse respecto de la remisión de reportes comisionales sobre

la cual se informó el 20 de septiembre de 2018, puesto que tales reportes,
corresponden a julio de 2017.

72. Posteriormente, la administrada señaló que el reporte comisional se envía

periódicamente a cada uno vía emall, luego de generarse mediante un proceso
automático cada mes.

73. Asimismo, señaló en su comunicación del 20 de septiembre de 2018, que no

almacenan dichos reportes en ningún soporte, por generarse en un proceso
automático. En el escrito del 18 de octubre de 2018, se ahondó en dicho argumento
mencionando además que de acuerdo con la normativa laboral aplicable (artículos
reseñados en el considerando 56 de esta resolución directoral) están obligados a
conservar las boletas de pago y no el reporte comisiona!, cuyo reporte se genera en
un fichero temporal que puede ser visualizado por cada trabajador.

74. Según se aprecia en el cuadro N° 1 del escrito del 18 de octubre de 201851, se realiza
el cálculo de dichas comisiones por medio de un proceso donde intervienen hasta
tres áreas de la administrada (Gestión de Información, Control de Gastos e Inversión
Corporativa y Analista de Comisiones Externas) durante 20 días de cada mes, lo cual
demuestra que existe un almacenamiento de la información con la que se extrae el
reporte comisional.

51 Folio 1527

Página 18 de 26
 SOCA bez
k5i

Resolución Directoral. N° 908-2019-JUS/DGTAIPD-DPDP

75. Con la finalidad de aclarar tal situación, esta dirección solicitó a la DFI efectuar las
visitas de fiscalización mencionadas a la administrada, a fin de que se detecte los
sistemas con los cuales se efectúa el tratamiento de los datos personales relativos al
desempeño de los Asesores y Funcionarios de Negocio para "Microempresa", con
los así corno las actividades de tratamiento efectuadas por cada unidad involucrada
en la extracción de las comisiones de dichos trabajadores de: la entidad.

76. En virtud de ello, durante las visitas de fiscalización se verificó que las bases de' datos
"Access" y "SQL 2008R2" almacenan los pormenores de cada operación efectuada
para su comercialización (según se aprecia en los considerandos 34, 36 y $7 de esta
resolución directoral), que se extraen para efectuar el cálculo del reporte comisional
de cada mes.

7. Asimismo, se hallé que el área de Gestión-de la Información es la que airnacena los

mencionados datos permanentemente, para facilitarlos al. área de 'Control de Gastos
e Inversión Corporativa a través del servidor a fin de que esta -extraiga los reportes
comisionales.

78. Como también se consignó en el Informe Técnico N° 60-2019-DFI-ORQR, el área de

Gestión de la Información cuenta con registros: de los Asesores y de Negocios de
"Microempresas" desde el año 2009, realizando sirriultáneaMente su
almacenamiento de la sigqiente manérá:

• Soporte de la información de enero de 2009 a febrero de 2014: liase de datos

"Access".
• Soporte de la información de enero de 2013 a julio de, 2017: Base de datos "SQL
Server 2008R2".

79. Entonces, más allá de que los reportes comiSio.nales sean extraídos del área de
Control de Gastos. .e Inversión Corporativa, de. l'a .administrad.a.: y obren .en su poder
durante un tiempo limitado (tres meses posteriores a la remisión de cada reporte
comisiona!), la información que sirve de insumo para dicho calculo, asi como el
sistema utiliZado para ello (la base de datOS. "Access").; están a disposición -del área
de Gestión de la. InformaCión..

Página 19 de 26
 Resolución Directoral N° 908-2019-JUS/DGTAIPD-DPDP
80. En resumen, el área de Gestión de la Información de la administrada almacena la
información necesaria para extraer los reportes comisionales de cada Asesor o
Funcionario: Registros de cada operación y datos de estos trabajadores. Dicha
información es facilitada al área de Control de Gastos e Inversión Corporativa, que
realiza otra actividad de tratamiento sobre los datos personales de los trabajadores,
la extracción de dichos reportes, para almacenarlos por breve lapso.

81. En mérito de tal, esta dirección, siguiendo los artículos de la LPDP y su, reglamento
reseñados en los considerandos 61 al 66 de esta resolución directoral, considera que
la administrada pudo entregar la información solicitada por los trabajadores afiliados
del sindicato, estando en la capacidad de procesarla en la base dé datos "AcCess"
para luego entregarla.

82. Lo anterior se debe a que la administrada posee la herramienta para su cálculo (las
bases de datos) y los insumos (la información de cada operación, que es relativa al
desempeño laboral de tales trabajadores), y siendo estos últimos factores
constantes, el cálculo de un mes determinado (por ejemplo, abril de 2013 o
noviembre de 2015) arrojará siempre el mismo resultado, sin importar cuándo se
haga la consulta.

83. Lo alegado por la administrada obvia estos factores, describiendo únicamente

tratamiento de los datos de los trabajadores que efectúa el área de Control de Gastos
e Inversión Corporativa, por lo que no tiene asidero, siendo injustificada su no
atención a la solicitud de los trabajadores afiliados al sindicato.

84. Por otro lado, respecto al uso de la "Guía Operativa" repartida por la entidad a sus
trabajadores, es preciso señalar que tal documento brinda orientación a los
trabajadores estableciendo el modo'de calcular la comisión que corresponde a cada
uno, con la finalidad de que ellos mismos puedan efectuarlo y comprobar la
corrección del cálculo.

5. Al respecto, se debe señalar que tal guía sirve a una función similar a la de las bases
EZ L. de datos, presentándoles la operación con la cual pueden obtener el monto de sus
comisiones mensuales, haciendo el cálculo ellos mismos.

86. No obstante, reiterando lo especificado en el considerando 69 de esta resolución

directoral, para efectuar el mencionado cálculo mensual se requieren los factores a
utilizar en la operación, como el número de operaciones, el importe de las mismas,
el número de clientes, entre otros, los mismos que se encuentran en los reportes
comisionales solicitados.

87. En tal sentido, la restricción del acceso a la información solicitada implica quitar
funcionalidad al uso de la "Guía Operativa", pues no se tendrá el insumo para realizar
el cálculo instruido a través de la misma respecto de meses anteriores a los tres
meses previos, como por ejemplo, de enero de 2015; con lo que subsiste la no
atención del derecho de acceso de la LPDP por parte de la administrada, derecho a
ejercer por los trabajadores afiliados al sindicato.

88. En consecuencia, la administrada ha incumplido con lo dispuesto en el artículo 19 de

la LPDP, al no atender la solicitud de acceso formulada por los trabajadores del
sindicato respecto de sus reportes comisionales del período de junio de 2012 a mayo
de 2017, con lo que se configura la infracción tipificada en el literal b. del numeral 1
del artículo 38 de dicha ley, en su redacción anterior al 16 de septiembre de 2017,

Página 20 de 26
 Resolución Directoral N° 908-2019-JUSYDGTAIPD-DPDP
esto es, "no atender, impedir u obstaculizar el ejercicio de los derechos del titular de
datos personales reconocidos en el título 111, cuando legalmente proceda".

Sobre las sanciones a aplicar a los hechos analizados

89. La Tercera Disposición Complementaria Modificatoria del Reglamento del Decreto

Legislativo N° 1353, aprobado mediante Decreto Supremo N' 019-2017-JUS52, del
15,de septiembre de 2017, modificó el artículo 38 de la LPDP que tipificaba las
infracciones a la LPDP y su reglamento, incorporando el artículo 132 a su Título VI,
que en adelante tipifica las infracciones.

90. Por su parte, el artículo 39 de la LPDP establece: las sanciones administrativas

calificándolas como leves, .graves o muy ,graves y su imposición Va desde uña multa
de 0,5 de una unidad impositiva tribUteria hasta Une multe de 100 unidades:
impositivas tributarias53, sin perjuicio 'de las: medidas correctivas que puedan
determinarse de acuerdo con lo 'establecido en .el 'artículo 118 del Reglamento de la
LPDP54.

52 Reglamento del Decreto Legislativo N° 1153, aprobado por Decreto Supremo N° 019-2017-JUS
"Tercera.- Incorporación del Capituló IV de Infracciones al Título VI de infracciones yrSanciones al Reglamento
de la Ley N° 29733, Ley de Protección de Datos Personales
Incorpórese el Capitulo IV de Infracciones al Titulo VI al Reglamento de la de la Ley N° 29733, Ley de Protección
Datos Personales, aprobado por el Decreto Supremo N° 003-2013-JUS, en los siguientes términos:
TÍTULO VI INFRACCIONES Y SANCIONES
CAPÍTULO IV
INFRACCIONES
Artículo 132.- Infracciones
Las infracciones a la Ley N° 29733, Ley de. Protección de Datos Personales, o su Reglamento se califican, como leves,
graves y muy graves y se sancionan con multa de acuerdo al artículo 39 de la citada Ley,"
" Ley N° 29733, Ley de Protección dé Datos Personales
"Artículo 39. Sanciones administrativas,
En caso de violación de las normas de esta Ley o de su reglamento, la Autoridad Nacional de Protección de Datos
Personales puede aplicar las siguientes multas:
1. Las infracciones leves son sancionadas con una multa mínima desde cero coma cinco de una unidad impositiva
tributaria (UIT) hasta cinco unidades impositivas tributarias (UIT).
2. Las infracciones graves son sancionadas con multa desde mas de cinco unidades impositivas tributarias (UIT) hasta
cincuenta unidades impositivas tributarias (UIT).
3. Las Infracciones muy graves son sancionadas con multa desde más de cincuenta unidades impositivas tributarias
(UIT) hasta cien unidades impositivas tributarias (UIT),"
54 Reglamento de la Ley de Protección de Datos Personales, aprobado por D.ecreto Supremo N° 003-2013-JUS
"Artículo 11‘8.- Medidas cautelares y correctivas,
Una vez iniciado el procedimiento sancionador, la Dirección de Sanciones podrá disponer, mediante acto Motivado, la
adopción de medidas, de carácter provisional que aseguren la eficacia de la resolución final que pudiera recaer en el

Página 21 de 26
 Resolución Directoral N' 908-2019-JUS/DGTAIPD-DPDP
91. En el presente caso, en aplicación del principio de Irretroactividad y la excepción
establecida en el mismo (retroactividad benigna) se ha determinado el
incumplimiento por parte de la administrada del artículo 19 de la LPDP, referida al
derecho de acceso de los trabajadores del sindieato a la información de sus reportes
comisionales correspondientes al periodo de junio de 2012 a mayo de 2017 que no
se concedió, lo cual configura la infracción leve prevista en el literal b. del numeral 1
del artículo 38 de la LPDP, en su redacción anterior al 16 de septiembre de 2017.

92. De acuerdo con ello y con lo dispuesto en el artículo 39 de la LPDP, la multa a

imponer a la administrada estará en el rango de entre cero coma cinco y cinco
unidades impositivas tributarias (entre 0,5 y 5 UIT).

93. Esta dirección determina el monto de las multas a ser impuestas tomando en cuenta
para su graduación los criterios establecidos en el numeral 3 del artículo 248 de la
LPAG. En tal sentido, debe prever que la comisión de la conducta sancionable no
resulten más ventajosa para el infractor que cumplir las normas infringidas o asumir
la sanción administrativa, por lo que la sanción deberá ser proporcional al
incumplimiento calificado como infracción, observando para ello los criterios que
dicha disposición señala para su graduación.

94. En el presente caso, se considera como criterios relevantes para graduar la sanción
por la infracción evidenciada, de acuerdo al principio de razonabiliclad, los siguientes:

a) El beneficio ilícito resultante por la comisión de la infracción:

No se ha evidenciado un beneficio ilícito resultante de la Comisión de la infracción.

b) La probabilidad de detección de la infracción:

La investigación en torno a esta infracción se centró en los requerimientos de

información a la administrada, teniendo esta dirección en un momento dado, que
solicitar la realización de visitas de fiscalización, en las que se esclareció la
inexistencia de un elemento que habría excusado de antijuridicidad a la
administrada, como es el no almacenamiento de la información solicitada. En tal
sentido, esta infracción resultó ser de una probabilidad de detección baja.

c) La gravedad del daño al interés público vio bien jurídico protegido:

Las infracciones detectadas afectan el derecho fundamental a la protección de

datos personales, el cual se encuentra reconocido en el numeral 6 del artículo 2
de la Constitución Política del Perú, siendo desarrollado por la LPDP y su
reglamento.

En este caso, se aprecia la no atención de uno de los derechos que la normativa

de protección de datos personales otorga a los titulares de tales datos, que es el
de acceso a ellos, así como a aquellos que se obtienen con su procesamiento y
que le conciernan. Al respecto, debemos señalar que el ejercicio de este derecho
es otra manifestación del derecho a la autodeterminación informativa, pues implica
una forma de control de la persona sobre sus datos de forma posterior a SLI

referido procedimiento, con observancia de las normas aplicables de la Ley N° 27444, Ley del Procedimiento
Administrativo General.
Asimismo, sin perjuicio de la sanción administrativa que corresponda por una infracción a las disposiciones contenidas
en la Ley y el presente reglamento, se podrán dictar, cuando sea posible, medidas correctivas destinadas a eliminar,
evitar o detener los efectos de, las infracciones."

Página 22 de 26
 Resolución Directoral N 908-2019-JUS/DGTAIPD-DPDP
recopilación, teniendo como objetivo saber qué datos se tienen y el producto de
su procesamiento.

d) El perjuicio económico causado:

No se ha evidenciado un perjuicio económico causado resultante dela comisión

de las infracciones imputadas.

e) La reincidencia en la comisión de la infracción:

La administrada no es reincidenteda que no ha sido sancionada en alguna otra

ocasión por la infracción del presente procedimiento -.sancionador.

f) Las circunstancias de la comisión de la infracción:

La administrada sustentó su negativa en la eliminación. de los reportes

comisionales solicitados, sin mencionar que la información que sustenta tales
reportes permanece en sus, beses de datos, lo. cual denota una 'Conducta contraria
el principio de la Buena Fe Pro:cedimental que .será analizada con mayor
profundidad en el acápite siguiente.

g) La existencia o no de intencionalidad en la conducta del infractor:

En el presente caso, se ha evidenciado la tendencia de la administrada a evitar la

entrega de la información solicitada, ya sea facilitando una información que no
corresponde a la solicitud o las constantes excusas que sustentaron la no
atención, lo cual delata la intención de la administrada por no cumplir permitir.el
ejercicio de sus trabajadores a su derecho de acceso a sus datos personales.

95. Es pertinente indiCar que para imponer la sanción se tendrá en .cuenta lá suma de.
todos los criterios que permiten graduar la sanción de Conformidad con los
argumentos desarrollados en el considerando. 921de la presente resolución directóral.

Página 23 de 26
 Resolución Directoral N° 908-2019-JUS/DGTÁIPD-DPDP
VI. Sobre la presunta entrega de información falsa a la autoridad

96. Durante el procedimiento sancionador, la administrada sostuvo repetidamente las

siguientes alegaciones:

• Al elaborarse el reporte comisiona' de forma automática, se remite vía correo

electrónico mensualmente a cada trabajador, para lo cual se genera un fichero
temporal que es eliminado luego de tres meses de haberse enviado los reportes.
• En tal sentido, no guardan copias de los citados reportes ni en soporte físico, ni
en soporte electrónico.

97. Dichas alegaciones fueron presentadas de forma escrita, en las comunicaciones del
9 de agosto, 20 de septiembre, 18 de octubre y 29 de noviembre de 2018, documento
en el que se adjuntó la "Guía Operativa".

98. No obstante, de acuerdo con lo señalado en el Informe N° 60-201-DFI-ORQR, así

como en las actas de fiscalización que se le adjuntan, la administrada sí está en la
capacidad de obtener los reportes cornisionales, al tener la información de las
operaciones hechas por sus Asesores y Funcionarios de "Microempresa" desde el
año 2009, así como las bases de datos para su procesamiento ("Access" y "SQL
Server 2008R2"), en su área de Gestión de la Información.

99. En tal sentido, la información suministrada por la administrada a través de los escritos
presentados, al hacer referencia a la imposibilidad de obtener la información
solicitada por los trabajadores afiliados al sindicato, resultaría ser falsa, lo cual implica
un atentado contra el principio de Buena Fe Procedirnenta155 del artículo IV del título
preliminar de la LPAG y lo contemplado en el artículo 67 de dicha ley".

M. Go Entonces, existirían indicios de la comisión de la infracción muy grave tipificada en el

literal c) del numeral 3 del articulo 132 del Reglamento de la LPDP: "Suministrar
documentos o información falsa a la autoridad".

101. Por consiguiente, corresponde disponer la remisión del presente expediente a la DR

para que efectúe las diligencias de fiscalización y, de ser el caso, inicie el
procedimiento administrativo sancionador por la presunta comisión de la infracción
antes señalada.

Por las consideraciones expuestas y de conformidad con lo dispuesto por la LPDP y su

reglamento, la LPAG, y el Reglamento del Decreto Legislativo N° 1353 que crea la
Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el

SS Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto
Supremo N° 004-2019-JUS
"Articulo IV.- Principios del Procedimiento Administrativo
(-..)
1.8 Principio de buena fe procedimental.- La autoridad administrativa, los administrados, sus representantes o abogados
y, en general, todos los participes del procedimiento, realizan sus respectivos actos procedimentales guiados por el
respeto mutuo, la colaboración y la buena fe. La autoridad administrativa no puede actuar contra sus propios actos, salvo
los supuestos de revisión de oficio contemplados en la presente Ley."
"" Texto Único Ordenado de la Ley N°27444,, Ley del Procedimiento Administrativo General, aprobado porDecreto
Supremo N° 004-2019-JUS
"Articulo 67.- Deberes generales de los administrados en el procedimiento
Los administrados respecto del procedimiento administrativo, así como quienes participen en él, tienen los siguientes
deberes generales:
1. Abstenerse de formular pretensiones o articulaciones ilegales, de declarar hechos contrarios a la verdad o no
confirmados como si fueran fehacientes, de solicitar actuaciones meramente dilatorias, o de cualquier otro modo afectar
el principio de conducta procedimental."

Página 24 de 26
 ,,ex.1CA ID

Resolución Directoral N° 908-2019-JUS/DGTAIPD-DPDP

Régimen de Protección de. Datos Personales y la regulación de la gestión de intereses,.
aprobado por Decreto SUpremo N ° 019-2017,JUS;

SE RESUELVE;

-
Artículo 1. Sancionar a Crediscotia Financiera S.A. con la multa ascendente a
cinco unidades iMpositivas tributarias (5 UIT) por la comisión de la infracción leve
tipificada en el literal b: del numeral 1 del artículo 38 de la LPDP, en su redacCión anterior
al 16 de septiembre de 2017: "No atender, impedir u obstaculizar el ejercicio de los
derechos del titular de datos personales reconocidos en el título 111, cuando legalmente
procedan; al no atender la solicitud de derecho de acceso de los trabajadores afiliados
al sindicato, respecto de sus reportes comisionales correspondientes a los períodos de
'ulio a diciembre de 2009, de enero a diciembre de los años 2010 a 2016, y de enero a
ayo de 2017.

M. GONZ
-
Artículo 2. Imponer como medida correctiva a Crediscotia Financiera S.A.
consistente en hacer entrega de los reportes comisionales correspondientes a kis
períodos de julio a diciembre de 2009, de enero a diciembre de los años 2010 a 2016, y
de enero a mayo de 2017, a los trabajadores que los haya solicitado, Identificados en
los folios 38 y 39 de este expediente.

Esta medida, encaminada a mitigar los efectos e impedir la continuidad de la

restricción de acceso a los mismos, deberá cumplirse en un plazo de 20 días hábiles
contados a partir de la notificación:ue declare consentida o firme la presente resolución
directoral; debiendo informar que su incumplimiento acarrear responsabilidades, de
acuerdo con lo dispuesto en el literal d) del numeral 3 del artículo 132 del Reglamento
de la LPDP57.

57Reglamento de la Ley de Protección de Datos Personales, aprobado pot Decreto Supremo N° 003-2013-JUS
"Artículo 132.- Infracciones
Las infracciones a la Ley N° 29733, Ley de Protección de Datos Personales, o su Reglamento se califican como leves,
graves y muy graves.y se sancionan con multa daacuerdo al articiilo 39 de le citada Ley,
(...)
3.Son infracciones muy graves:
d) No cesar en el Indebido tratamiento de datos personales cuando existiese un previo requerimiento de la Autoridad
como resultado de un procedimiento sancionador .o de un procedimiento trilateral de tutela."

Página 25 de 26
 Resolución Directoral N° 908-2019-JUS/DGTAIPD-DPDP
Artículo 3.- Remitir el presente expediente sancionador a la DFI, a fin de que
efectúe las acciones de fiscalización pertinentes, respecto de la presunta comisión por
parte de Crediscotia Financiera S.A. de la infracción muy grave tipificada en el literal c)
del numeral 3 del articulo 132 del Reglamento de la LPDP, esto es, «suministrar
documentos o información falsa a la autoridad", según lo detallado en el acápite VI de
la presente resolución directoral.

Artículo 4.- Notificar a. Crediscotia Financiera :S:A: que contra la presente

resolución, de acuerdo con lo indicado en el articulo 218 de la LPAG, proceden los
recursos de reconsideración o apelación dentro de los quince (15) días hábiles
posteriores a su notificación".

Artículo 5.- Informar a Crediscotia Financiera S.A. que el pago de la multa será
requerido una vez que la resolución que impone la sanción qüede firme. En el
requerimiento de pago se le otorgará diez (10) días hábiles para realizarlo y se entiende
que cumplió con pagar la multa impuesta, si antes de que venza el plazo establecido en
el requerimiento de pago, cancela el 60% de la multa impuesta conforme a lo dispuesto
en el artículo 128- del reglamento de la LPDP59.

Artículo 6- Notificar a Crediscotia Financiera. S.A. la presente resolución

directoral.

Regístrese y comuníquese.

MARÍA ALEJ GONZÁLEZ LUNA

Directora (e) d la Dirección de Protección de
Datos Personales
MInisterio de Justicia y Derechos Humanos

Sa Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto
Supremo N° 004-2019-JUS
"Artículo 218. Recursos administrativos
218.1 Los recursos administrativos son:
a) Recurso de reconsideración
b) Recurso de apelación
Solo en caso que por ley o decreto legislativo se establezca expresamente, cabe la interposición del recurso
administrativo de revisión.
218.2 El término para la Interposición de los recursos es de quince (15) días perentorios, y deberán resolverse en el plazo
de treinta (30) días,"
59 Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo N° 003-2013-JUS
"Artículo 128.- Incentivos para el pago de la sancic5n de mult a.
Se considerará que el sancionado ha cumplido con pagar la sanción de multa si; antes de vencer Pi plazo otorgado para
pagar la multa, deposita en la cuenta bancaria determinada por la Dirección General de Protección de Datos Personales
el sesenta por ciento (60%) de su monto. Para que surta efecto dicho beneficio deberá comunicar te( hecho a la Dirección
General de.Protección de Datos Personales, adjuntando el comprobante del depósito bancario correspondiente. Luego
de dicho plazo, el pago sólo será admitido por el íntegro de la multa impuesta."

Página 26 de 26