0CA

.T izerj:cv",cri
Ex ediente N°
Expediente Nº
052-2015-PS
052-2015-PS

Nº 049-2017-JUS/DGPDP
N° 049-2017-JUS/DGPDP

Lima, 29
Lima, 29 de
de mayo
mayo de
de 2017.
2017.

VISTO: El
VISTO: El documento
documentoconcon registro
registroNº
N° 022372
022372dede 12
12 de
de abril
abril de 2017, el
de 2017, el cual
cual
contiene el
contiene recurso de
el recurso de apelación
apelación presentado
presentado porpor BBVA
BBVA Banco
Banco Continental
Continental contra
contra la
la
Resolución Directoral
Resolución Directoral N°
Nº 024-2017-JUS/DGPDP-DS
024-2017-JUS/DGPDP-DS de de 02
02 de
de febrero
febrero de 2017.
de 2017.

CONSIDERANDO:
CONSIDERANDO:

1.l. Antecedentes.
Antecedentes.

1.1 Con
1.1 Con Orden
Orden de de Visita
Visita N°
Nº 026-2014-JUS/DGPDP-DSC
026-2014-JUS/DGPDP-DSC de de 30
30 de setiembre de
de setiembre de 2014,
2014, la
la
Dirección de
Dirección Supervisión yy Control
de Supervisión Control (en lo sucesivo
(en lo sucesivo la
la DSC)
DSC) dispuso
dispuso lala realización
realización de
de
respectivas visitas
respectivas visitas de fiscalización aa BBVA
de fiscalización BBVA Banco
Banco Continental
Continental (en
(en lolo sucesivo
sucesivo lala
recurrente), yy por
recurrente), por ello
ello se
se expidieron
expidieron las
las Actas
Actas de
de Fiscalización
Fiscalización N° 01, 02,
N° 01, 03 yy 04-2014;
02, 03 04-2014;
08, 09,
08, 10, 11
09, 10, 15-2015 de
11 yy 15-2015 de llos
os días
días 03
03 yy 06
06 de
de octubre
octubre de
de 2014,
2014, 04, 06 y
04, 06 18 de
y 18 de marzo
marzo de
de
2015 respectivamente.
2015 respectivamente.

1.2 Con
1.2 Con Informe
Informe N°
Nº 060-2015-JUS/DGPDP-DSC
060-2015-JUS/DGPDP-DSC de de 15
15 de
de abril
abril de
de 2015, la DSC
2015, la DSC comunicó
comunicó
a la
a la Dirección
Dirección de
de Sanciones
Sanciones (en
(en lo lo sucesivo
sucesivo la
la DS)
DS) con carácter preliminar
con carácter preliminar las
las
circunstancias que
circunstancias justificaron lala instauración
que justificaron instauración del procedimiento sancionador
del procedimiento sancionador aa la la
recurrente, aa saber:
recurrente, saber:

•• Realiza tratamiento
Realiza tratamiento de datos personales
de datos obteniendo el
personales obteniendo consentimiento de
el consentimiento de forma
forma
contraria aa las
contraria las disposiciones
disposiciones de de lala LPDP
LPDP yy susu Reglamento,
Reglamento, aa través
través de
de las
las
cláusulas generales
cláusulas del contrato
generales del contrato de
de tarjeta de crédito.
tarjeta de crédito.

•• No ha
No ha comunicado
comunicado la
la totalidad
totalidad de
de los
los flujos transfronterizos de
flujos transfronterizos de datos
datos personales
personales
que realiza.
que realiza.

1.3 La
1.3 La DS
DS llevó
llevó a cabo el
a cabo el procedimiento
procedimiento correspondiente
correspondiente yy resolvió,
resolvió, mediante Resolución
mediante Resolución
Directora! N°
Directoral N° 024-2017-JUS/DGPDP-DS
024-2017-JUS/DGPDP-DSdede0202de defebrero
febrerodede 2017
2017 (en lo sucesivo
(en lo sucesivo la
la
resolución impugnada)
resolución notificada el
impugnada) notificada el 24 de marzo
24 de marzo de
de 2017
2017 con
con Oficio N° 066-2017-
Oficio N° 066-2017-
JUS/DGPDP-DS, sancionar
JUS/DGPDP-DS, sancionar aa la
la recurrente
recurrente con:
con:

•• de multa
Imposición de
Imposición multa de
de dos
dos (2) unidades impositivas
(2) unidades tributarias, por
impositivas tributarias, por dar
dar tratamiento
tratamiento
a datos
a datos personales sin recabar
personales sin recabar el
el consentimiento
consentimiento de
de sus
sus titulares,
titulares, configurándose
configurándose

Página 11 de
Página de 88
 la infracción
la infracción leve
leve prevista
prevista en
en el literal a.
el literal numeral 11 del
a. numeral del artículo
artículo 38
38 de la Ley
de la Ley de
de
Personales.
Protección de Datos Personales.

1.4 Con
1.4 Con documento
documento indicado
indicado en el visto,
en el visto, la
la recurrente
recurrente interpuso recurso de
interpuso recurso de apelación
apelación
contra la
contra la resolución
resolución impugnada,
impugnada, con con llos
os fundamentos
fundamentos que que sese detallan
detallan en
en el ítem 3.1
el ítem 3.1 del
del
análisis de
análisis de la
la presente resolución.
presente resolución.

11. Competencia.
II. Competencía.

2.1 La
2.1 La competencia para resolver el
para resolver el recurso
recurso de
de apelación
apelación corresponde
corresponde al
al Director
Director General
General
de Protección
de Protección de
de Datos
Datos Personales,
Personales,conforme
conformecon lo establecido
con lo establecido por
por el
el artículo
artículo 1231 del
1231 del
Reglamento de
Reglamento de la
la Ley Nº 29733,
Ley N° 29733, Ley de Protección de Datos Personales (en lo sucesivo la
aprobado por
LPDP), aprobado
LPDP), Decreto Supremo
por Decreto Supremo N°Nº 003-2013-JUS.
003-2013-JUS.

111. Análisis.
III. Análisis.

3.1 El
3.1 El recurso
recurso de
de apelación se sustenta
apelación se sustenta en
en las
las siguientes
siguientes afirmaciones:
afirmaciones:

En primer lugar,
En lugar, lala recurrente
recurrente señala
señala que, la DS no tomó en consideración
que, la consideración que la
que la
DSC realizó
DSC realizó la
la fiscalización
fiscalización dentro
dentro deldel plazo
plazo dede adecuación
adecuación a a la
la LPDP
LPDP dispuesto
dispuesto
en su
en su Reglamento,
Reglamento, ya que la Primera
que la Primera Disposición Complementaria Transitoria
Disposición Complementaria Transitoria del
del
Reglamento de
Reglamento LPDP establecía
de la LPDP establecía que que las
las empresas
empresas estaban
estaban sujetas
sujetas aa un
un plazo
plazo
de adecuación
de adecuación de de 2 años desde
2 años desde la la entrada
entrada en en vigencia del Reglamento
vigencia del Reglamento de la
de la
LPDP, lo
LPDP, lo que
que quiere decir que
quiere decir que dicho
dicho periodo
periodo dede adecuación
adecuación vencía
vencía el 08 de
el 08 de mayo
mayo
de 2015.
de 2015. PorPor lolo que, las observaciones
que, las observaciones yy hechos hechos que
que presuntamente
presuntamente se se hayan
hayan
calificado como
calificado como contrarios
contrarios aa la la LPDP
LPDP aún aún eran
eran pasibles
pasibles dedesubsanación,
subsanación,
adecuación e
regularización, adecuación
regularización, e implementación.
implementación.

Asimismo, señalan
Asimismo, señalan que los informes
que los informes de de fiscalización
fiscalización tienen
tienen sustento
sustento en la
en la
pi normativa referida
normativa referida al consentimiento para
al consentimiento para el tratamiento de
el tratamiento datos personales
de datos personales que
que
:riO de Justicia
se encontraba
se encontraba en en periodo de adecuación,
periodo de adecuación, lo lo que
que genera ausencia de
genera ausencia legalidad por
de legalidad por
TORA GENERAL DE razón de
razón de temporalidad,
temporalidad, por lo que
por lo que resulta
resulta aplicable
aplicable los
los principios de legalidad
principios de legalidad ee
EGGION DE DATOS
PERSONALES irretroactividad estipulados
irretroactividad por lo
estipulados por s numerales
los numerales 11 yy 55 del
del artículo
artículo 230
230 de la Ley
de la Ley N°
Nº
M.A.G.L. 27444, Ley
27444, Ley del
del Procedimiento
Procedimiento Administrativo
Administrativo General
General (en
(en lo
lo sucesivo LPAG).
sucesivo LPAG).

Por otro
Por otro lado,
lado, manifiestan
manifiestan que antes de
que antes de que
que sese inicie
inicie el
el procedimiento sancionador
procedimiento sancionador
ya habían modificado
ya habían modificado su su cláusula
cláusula de de consentimiento
consentimiento (Anexo(Anexo NºN° 5), razón por
5), razón por lala
cual el
cual el procedimiento deviene en
procedimiento deviene en improcedente
improcedente por por sustracción
sustracción de de lla
a materia
materia y y
falta de interés
falta de interés para
para obrar
obrar conforme
conforme se se aplicó
aplicó sobre
sobre lala segunda imputación de
segunda imputación de flujo
flujo
transfronterizo. Señalan
transfronterizo. Señalanque que sese aprecia
aprecia llaa posibilidad
posibilidad de negativa de
de negativa de forma
forma
desde la
amigable desde
amigable la solicitud
solicitud yy que incluso puede
que incluso puede negarse
negarse vía vía web, lo que
por lo
web, por que nono se
se
condiciona la
condiciona la contratación
contratación de de la
la tarjeta al otorgamiento
tarjeta al otorgamiento de de autorización
autorización para tratar
para tratar
datos personales. Por
datos personales. tanto, habían
Por tanto, habían mejorado
mejorado sussus cláusulas
cláusulas antes
antes de iniciado el
de iniciado el
procedimiento sancionador
procedimiento sancionador yy corresponde
corresponde sustracción
sustracción dede lala materia.
materia.

Además, señalan
Además, señalan queque lala DS
DS sese equivocó
equivocó enen su
su análisis
análisis jurídico al concluir
jurídico al concluir queque su
su
solicitud de
solicitud afiliación no
de afiliación respeta el
no respeta principio de
el principio de ser libre conforme
ser libre conforme lo ordena el
lo ordena el
numeral 1
numeral 1 del
del artículo
artículo 12
12 de
de la
la LPDP,
LPDP, yaya que conforme su
que conforme su cláusula
cláusula de
de autorización
autorización
para el
para el tratamiento
tratamiento de de datos
datos personales
personales sese otorga
otorga primero
primero en la solicitud
en la solicitud y y luego
luego aa
través de
través de lala cláusula
cláusula general
general de de contratación,
contratación, lo
lo cual no ha
cual no ha sido
sido analizada
analizada por por la
la
DS, reuniéndose
DS, reuniéndose en en ellas
ellas las
las características
características del
del consentimiento:
consentimiento: libre,libre, previo,
previo,
informado yy expreso,
informado expreso, yaya que
que existe
existe una
una declaración
declaración que refiere el
que refiere derecho de
el derecho no
de no

1
Artículo 123
Artículo 123 del
del Reglamento
Reglamento de de la
la LPDP.-
LPDP.- Las
Las Instancias:
instancias:
"( ... ) Contra
"(...) Contra la
la resolución
resolución que
que resuelve
resuelve elelprocedimiento sancionador proceden
procedimiento sancionador recursos de
proceden los recursos de reconsideración
reconsideración o
apelación denlro
apelación dentro dede los quince (15)
los quince (15) dias de notificada
días de notificada la
la resolución
resolución al administrado ((...)
al administrado ... ) El
El recurso
recurso de
de apelación será
apelación será
resuelto por
resuelto el Director
por el Director General
General dede Protección
Protección dede Datos
Datos Personales
Personales debiendo
debiendo dirigirse
dirigirse aa lala misma
misma autoridad
autoridad que
que
expidió el
expidió el acto que se
acto que se impugna, para que
impugna, para que eleve
eleve lo
lo actuado( ... )".
actuado (...)".

Página 22 de
Página de 88
 aceptación lo
aceptación lo que no impide
que no impide su uso necesario
su uso necesario para
para lla
a ejecución cumplimiento del
ejecución yy cumplimiento del
contrato yy también
contrato también elel derecho de revocar
derecho de revocar el
el consentimiento inicialmente aceptado.
consentimiento inicialmente aceptado.

Por último,
Por último, señalan
señalan que
que el contrato que
el contrato contiene la
que contiene la cláusula
cláusula revisada
revisada por la DSC
por la DSC
fue debidamente
fue debidamente aprobado
aprobado por
por lala Superintendencia
Superintendencia de Banca, Seguros
de Banca, Seguros y y AFP (en
AFP (en
lo sucesivo
lo sucesivo SBS) conforme lo
SBS) conforme lo dispone
dispone la
la normativa
normativa que
que regula el sector
regula el sector financiero,
financiero,
teniendo en
teniendo en cuenta la LPDP
que la
cuenta que LPDP yy susu Reglamento
Reglamento sese encontraban
encontraban enen periodo de
periodo de
adecuación.
adecuación.

3.2 En
3.2 En ese
ese sentido, la DGPDP
sentido, la DGPDP considera que debe
considera que pronunciarse sobre
debe pronunciarse sobre tres aspectos:
tres aspectos:

•• Sobre la
Sobre la aplicación de la
aplicación de la primera
primera yy segunda
segunda disposición
disposición complementaria transitoria
complementaria transitoria
del Reglamento de
del Reglamento de la
la LPDP.
LPDP.

•• Sobre si
Sobre si se
se realiza
realiza el
el tratamiento
tratamiento de
de los
los datos
datos personales
personales conforme
conforme el
el principio
principio de
de
consentimiento.
consentimiento.

•• Sobre la
Sobre la aprobación de las
aprobación de las cláusulas
cláusulas generales de contratación
generales de contratación por la
por la
de Banca,
Superintendencia de
Superintendencia Banca, Seguros
Seguros yy AFP.
AFP.

3.2.1 En
3.2.1 En cuanto
cuanto al
al primer la DGPDP
aspecto, la
primer aspecto, DGPDP considera
considera precisar
precisar lo
lo siguiente:
siguiente:

Respecto aa la
Respecto vigencia de
la vigencia la LPDP,
de la LPDP, que
que fue publicada en
fue publicada en el
el diario oficial El
diario oficial El Peruano
Peruano el 03
el 03
de julio
de de 2011,
julio de 2011, la
la duodécima
duodécima disposición complementaria final
disposición complementaria final de
de lla
a LPDP
LPDP señala
señala lo
lo
siguiente:
siguiente:

"Duodécima.- Vigencia
"Duodécima.- Vigencia dede la
la ley
ley
La presente
La entra en
Ley entra
presente Ley en vigencia conforme a
vigencia conforme a lo
lo siguiente:
siguiente:
1. Las
1. Las disposiciones previstas en
disposiciones previstas en el Título 11,
el Título II, en el primer
en el párrafo del
primer párrafo del artículo
artículo 32
32 yy en
en
las primera,
las primera, segunda, tercera, cuarta,
segunda, tercera, cuarta, novena
novena yydécima décimadisposiciones
disposiciones
finales rigen
complementarias finales
complementarias rigen a a partir del día
partir del día siguiente
siguiente dede la
la publicación de esta
publicación de esta Ley.
Ley.
Las demás
2. Las
2. demás disposiciones
disposiciones rigen en el
rigen en el plazo
plazo de de treinta
treinta días
días hábiles,
hábiles, contado
contado aa partir
partir
de la
de la publicación del reglamento
publicación del reglamento de de la
la presente
presente Ley."
Ley."

Esto quiere
Esto quiere decir, que aa partir
decir, que del 04
partir del 04 de
de julio de 2011
julio de 2011 las
las disposiciones
disposiciones que
que entraron
entraron en
en
vigencia fueron
vigencia las siguientes:
fueron las siguientes:

•• El título
El título II,
11, referido
referido al
al tratamiento
tratamiento dede datos
datos personales.
personales.
•• El primer
El del artículo
párrafo del
primer párrafo artículo 32,
32, referido
referido a a la
la Autoridad
Autoridad Nacional
Nacional dede Protección
Protección de
de
Datos Personales.
Datos Personales.
•• La primera
La complementaria final,
disposición complementaria
primera disposición referida al
final, referida Reglamento de
al Reglamento de la
la Ley.
Ley.
•• La segunda disposición
La complementaria final,
disposición complementaria referida aa la
final, referida la directiva
directiva de
de seguridad.
seguridad.

Página 33 de
Página de 88
 •• La tercera
La tercera disposición complementaria final,
disposición complementaria final,referida
referidaaa la la adecuación
adecuación dede
documentos
documentos de del Texto
gestión y del
de gestión Texto único
único dede Procedimientos
Procedimientos Administrativos
Administrativos del
del
Ministerio de
Ministerio de Justicia.
Justicia.
•• complementaria final,
disposición complementaria
La cuarta disposición referida aa la
final, referida la inafectación de facultades
de la administración tributaria.
tributaria.
•• La décima
La décima disposición complementaria final,
disposición complementaria referida al
final, referida al financiamiento.
financiamiento.

El Reglamento
El Reglamento de la LPDP
de la LPDP fue
fue publicado
publicado el
el 22
22 de marzo de
de marzo 2013, yy entro
de 2013, entro en
en vigencia
vigencia 30
30
dias después,
días por ello,
después, por ello, en
en virtud
virtud de lo establecido
de lo establecido por
por lla
a propia
propia LPDP,
LPDP, llas
as disposiciones
disposiciones
aún no
que aún no estaban
estaban vigentes
vigentes dede la
la LPDP,
LPDP, entraron
entraron en
en vigencia
vigencia el
el 08 de mayo
08 de mayo dede 2013.
2013.

En la
En la línea
línea de
delo loexpuesto,
expuesto,la la primera
primera disposicióncomplementaria
disposición transitoria del
complementaria transitoria del
Reglamento de
Reglamento de la LPDP estableció
la LPDP estableció un plazo de
un plazo de adecuación
adecuación de los bancos
de los bancos dede datos
datos
personales, en
personales, en este sentido:

"Primera.-Adecuación
"Primera.- Adecuación de de bancos
bancos de de datos
datos personales.
personales.
En el
En el plazo
plazo dede dos
dos (2) años de
(2) años de lala entrada
entrada en
en vigencia
vigencia del
delpresente
presente reglamento,
reglamento, los
bancos de
bancos de datos
datos personales deben adecuarse
existentes, deben
personales existentes, adecuarse a lo establecido
a lo establecido por
por la
la
Ley el presente
Ley yy el presente reglamento,
reglamento, sinsin perjuicio
periuicio de inscripción aa que
de la inscripción que se refiere
refiere la
Quinta Disposición
Quinta Complementaria Final
Disposición Complementaria de la
Final de la Ley
Ley N°
Nº 29733, Ley de
29733, Ley de Protección
Protección
de Datos
de Datos Personales."
Personales." (El formato en
(El formato en negrita
negrita y subrayado es
y subrayado es nuestro
nuestro para
para una
una mejor
mejor
precisión del texto).
precisión del texto).

Y, la
Y, la Segunda
Segunda Disposición Complementaria Transitoria
Disposición Complementaria Transitoriadel
del Reglamento
Reglamento de la LPDP,
de la LPDP,
lo siguiente:
establece lo

"Segunda. - Facultad
"Segunda.- Facultad Sancionadora.
Sancionadora.
La facultad
La facultad sancionadora
sancionadora de de la
la Dirección
Dirección General
General de
de Protección
Protección de de Datos
Datos Personales,
Personales,
en relación
en relación aa los
los bancos
bancos de
de datos
datos personales existentes aa la
personales existentes la fecha
fecha de
de la
la entrada
entrada en
en
del presente
vigencia del
vigencia presente reglamento,
reglamento, queda suspendida hasta
queda suspendida el vencimiento
hasta el vencimiento del
del plazo
plazo
de adecuación
de adecuación establecido
establecido en
en la
la Primera
Primera Disposición
Disposición Complementaria Transitoria."
Complementaria Transitoria."

Las disposiciones
Las señaladas anteriormente,
disposiciones señaladas anteriormente, claramente
claramentese se refieren
refieren aa una
una obligación
obligación
relacionada con
relacionada con los bancos de
los bancos datos preexistentes
de datos preexistentes al al 88 de mayo de
de mayo de 2013 no a
2013 yy no a todas
todas las
las
obligaciones yy menos
obligaciones menos aún aún aa lala vigencia
vigencia de de toda
toda la
la Ley,
Ley, pero
pero lo
lo importante para este
importante para este caso
caso
es que
es que las
las obligaciones referidas al
obligaciones referidas al tratamiento
tratamiento de de datos
datos personales
personales no no sese encuentra
encuentra
dentro del
dentro del periodo
periodo dede adecuación
adecuación ya ya que así se
que así se dispone expresamente, en
dispone expresamente, las dos
en las dos normas
normas
que regulan el
que regulan el mencionado
mencionado plazo plazo de adecuación, que,
de adecuación, que, por
por lolo demás,
demás, la la facultad
facultad
sancionadora se
sancionadora se refiere
refieresólo
sólo aa las
las medidas
medidas de de seguridad
seguridad de los bancos
de los bancos de de datos
datos
personales existentes
personales existentes al al 88 de
de mayo
mayo de de 2013.
2013. Tal
Tal como
como lo lo ha
ha sustentado
sustentado yy desarrollado
desarrollado
esta Autoridad
esta Autoridad en en numerosos
numerosos consultas
consultas yy pronunciamientos
pronunciamientos previos.
previos.

Es así
Es así que, cuando el
que, cuando el recurrente
recurrente señala
señala que la DSC
que la DSC realizó
realizó lala fiscalización
fiscalización en periodo de
en periodo de
adecuación yy que
adecuación aún no
que aún no se
se podía
podía aplicar sanciones porque
aplicar sanciones porque la la LPDP
LPDP no no se
se encontraba
encontraba
vigente, no
vigente, sólo realiza
no sólo realiza una
una interpretación incorrecta del
interpretación incorrecta del sentido general del
sentido general de
plazo de
del plazo
adecuación, sino
adecuación, sino una interpretación contraria
una interpretación contrariaalal texto expreso de
texto expreso las normas,
de las normas, que con
que con
claridad excluyen
claridad del plazo
excluyen del plazo a a las
las obligaciones referidas al
obligaciones referidas al tratamiento
tratamiento de de datos
datos personales.
personales.

Por tanto,
Por tanto, no
no existe
existe una
una vulneración
vulneración aa los
los principios de legalidad
principios de ni de
legalidad ni de irretroactividad
irretroactividad
establecidos enenelel articulo
establecidos artículo230
230dedelala LPAG,
LPAG,ya ya que
que lala DS ha llevado
DS ha llevado aa cabocabo elel
procedimiento conforme
procedimiento conforme a a sus
sus atribuciones
atribuciones establecidas
establecidas por
por Ley.
Ley.

3.2.2 En
3.2.2 En cuanto
cuanto al
al segundo aspecto,lalarecurrente
segundo aspecto, recurrente manifiesta
manifiesta en
en su
su recurso,
recurso, que antes del
que antes del
inicio del
inicio del procedimiento
procedimiento sancionador
sancionadorsisi cumplieron
cumplieron concon modificar
modificar la cláusula de
la cláusula de
consentimiento para
consentimiento para elel tratamiento
tratamiento de los datos
de los datos personales
personales en los "Contrato
en los "Contrato dede tarjeta de
tarjeta de
crédito" que
crédito" que resulta
resulta ser más amigable
ser más amigable yy de
de esta
esta forma
forma cumple con todas
cumple con todas las
las características
características
del consentimiento
del consentimiento que
que establece
establece la
la LPDP.
LPDP.

Página 44 de
Página de 8
 goGA
is
Ci

La DGPDP
La DGPDP advierte
advierte que,
que, si bien la
si bien la recurrente
recurrente señala
señala que
que han cumplido con con adecuar
adecuar las
las
cláusulas sobre
cláusulas sobre el consentimiento para
el consentimiento para elel tratamiento
tratamiento de los datos
de los datos personales, tal
personales, tal
afirmación no
afirmación no es suficiente por
es suficiente por sí mismo, sino
sí mismo, sino en
en tanto
tanto acredite
acredite la
la existencia
existencia del
del
consentimiento, otorgado
consentimiento, otorgadoen en las
las condiciones
condicionesyy con las características
con las características que
que exigen las
exigen las
normas legales.
normas legales.

Lo que
Lo que sí
sí es
es cierto,
cierto, yy debe
debe quedar
quedar claro,
claro, es
es que en el
que en el marco
marco del
del presente
presente procedimiento
procedimiento
sancionador, lala DGPDP
sancionador, DGPDP ha ha evaluado
evaluado elel "Contrato
"Contrato de tarjeta de
de tarjeta de crédito" que obra
crédito" que obra en el
en el
expediente administrativo N°
expediente 052-2015-JUS/DGPDP-PS.
N° 052-2015-JUS/DGPDP-PS.

En cuanto
En cuanto al
al principio
principio de
de consentimiento,
consentimiento, elel Reglamento
Reglamento de de la LPDP señala
la LPDP señala que el
que el
tratamiento de
tratamiento de los datos personales
los datos personales será
será llícito
ícito cuando
cuando el titular del
el titular del dato
dato personal
personal haya
haya
dado su
dado su consentimiento
consentimiento de
de forma libre, previa,
forma libre, expresa, iinformada
previa, expresa, nformada ee inequívoca2• 2.

En el
En el caso
caso concreto, se advierte
concreto, se advierte del recurso presentado
del recurso presentado que la cláusula
que la el tratamiento
cláusula para el tratamiento
de datos
de datos personales, señala lo
personales, señala lo siguiente:

ate GENERAL DE
CION DE DATOS
ERSONALES
"Autorización para
"Autorización
La información
La
nacionalidad,
para Recopilación
información que
nacionalidad, estado
correo electrónico,
correo
que Usted
estado civil,
Usted nos
civil, documento
electrónico, teléfono,
Tratamiento de
Recopilación yy Tratamiento
nos proporciona
documento de
teléfono, estado
estado de
de Datos:

de identidad,
Datos:
proporciona sobresobre su
identidad, ocupación,
de salud,
salud, actividades
su nombre,

actividades que
nombre, apellido,
apellido,
estudios, domicilio,
ocupación, estudios, domicilio,
realiza, ingresos
que realiza, ingresos
económicos, patrimonio,
económicos, patrimonio,gastos,
gastos,entre
entreotros,
otros,así
así como
como la referida a
la referida los rasgos
a los rasgos
físicos y/o
físicos y/o de
de conducta
conducta queque lolo identifican
identifican o
o lolo hacen
hacen identificable
identificable como
como eses su
su huella
huella
dactilar, su
dactilar, voz, etc.
su voz, etc. (datos
(datos biométricos), conforme a
biométricos), conforme a Ley
Ley eses considerada
considerada como
como
Datos Personales.
Datos Personales. Recuerde
Recuerde que que es
es posible que esta
posible que esta información
información también
también pueda
pueda
ser obtenida
ser obtenida a través de
a través de otras
otras personas,
personas, sociedades
sociedades y/oy/o instituciones
instituciones (públicas
(públicas oo
privadas, nacionales
privadas, nacionales o o extranjeras).
extranjeras).

Usted nos
Usted nos da
da su
su consentimiento
consentimiento libre,
libre, previo,
previo, expreso
expreso e e informado
informado para que sus
para que sus
Datos Personales
Datos Personales seansean tratados
tratadosporpor el Banco, es
el Banco, es decir,
decir, que
que puedan
puedan seraser:
recopilados, registrados,
recopilados, organizados, almacenados,
registrados, organizados, almacenados, conservados,
conservados, elaborados,
elaborados,
modificados, bloqueados,
modificados, bloqueados, suprimidos, extraídos, consultados,
suprimidos, extraídos, consultados, utilizados,
utilizados,
transferidos oo procesados
transferidos procesados de cualquier otra
de cualquier forma prevista
otra forma prevista por Ley. Esta
por Ley. Esta
autorización es
autorización es indefinida
indefinida y se mantendrá
y se mantendrá inclusive
inclusive después
después de de terminada(s)
terminada(s) la(s)
la(s)
operación(es) y/o el(los) Contrato(s)
y/o el(los) que Usted
Contrato(s) que Usted tenga
tenga oo pueda
pueda tener
tener con
con el
el Banco.
Banco.

Sus Datos
Sus Datos Personales
Personales serán
serán almacenados
almacenados (guardados)
(guardados) enen el Banco de
el Banco de Datos
Datos de
de
Clientes del
Clientes del cual
cual el
el Banco
Banco es
es titular
titular o
o en
en cualquier
cualquier otro
otro que
que en
en el
el futuro
futuro podamos
podamos

2 Articulo 7 del Reglamento de

Artículo la LPDP.-
de la LPDP.- Principio
Principio de
de consentimiento
consentimiento

Página 55 de 8
Página
 establecer. El
establecer. El Banco
Banco ha
ha adoptado las medidas
adoptado las medidas necesarias
necesarias para
para mantener
mantener segura
segura la
la
información.
información.

Al dar esta
Al dar esta autorización
autorización Usted
Usted permite
permite queque (i) evaluemos su
(ij evaluemos su comportamiento
comportamiento en en el
el
sistema bancarios
sistema bancarios yy su su capacidad
capacidad de de pago,
pago, afi podamos decidir
(ii) podamos decidir si
si se
se otorga
otorga elel (los)
(los)
producto(s) y/o
producto(s) servicio(s) que
y/o servicio(s) solicite, (iifi
que solicite, (iii) lele ofrezcamos
ofrezcamos otros
otros productos
productos y/o y/o
servicios del
servicios del Banco
Banco y/o de terceros
y/o de terceros vinculados
vinculados o o no
no (por ejemplo, en
(por ejemplo, en asociaciones
asociaciones
o alianzas
o alianzas comerciales);
comerciales); (iv) le enviemos
(iv) le enviemos ofertasofertas comerciales,
comerciales, publicidad
publicidad e e
información en
información general de
en general de los
los productos
productos y/oy/o servicios
servicios del
del Banco
Banco y/o y/o de
de terceros
terceros
vinculados o
vinculados no, (y)
o no, gestionemos el
(v) gestionemos el cobro
cobro de
de deudas,
deudas, dede ser
ser el
el caso, (vi) usemos
caso, (vi) usemos
transfiramos esta
y/o transfiramos
y/o esta información
información (dentro
(dentro oo fuera
fuera deldel país),
país), aa terceros
terceros vinculados
vinculados o o
no al
no al Banco, nacionales oo extranjeros,
Banco, nacionales públicos oo privados
extranjeros, públicos (por ejemplo:
privados (por ejemplo: otros
otros
bancos, imprentas,
bancos, imprentas, empresas
empresas de de mensajería,
mensajería, auditoría,
auditoría, entre
entre otros).
otros).

IMPORTANTE: Usted
IMPORTANTE: Usted declara que se
declara que se le ha informado
le ha informado que
que tiene
tiene derecho
derecho a no
sus Datos
proporcionar sus Datos Personales
Personales yy que
que si
si no
no los
los proporciona
proporciona no no podremos
podremos tratar
tratar
sus Datos
sus Datos Personales
Personales en la forma
en la forma explicada
explicada en la presente
en la cláusula, lo
presente cláusula, que no
lo que no
su uso
impide su
impide uso para la ejecución
para la (desarrollo) yy cumplimiento
ejecución (desarrollo) (ej: pago)
cumplimiento (ej: pago) del
del Contrato.
Contrato.

Asimismo,
Asimismo, Usted
Usted puede revocar el
puede revocar el consentimiento
consentimiento para tratar sus
para tratar sus Datos
Datos
Personales en
Personales en cualquier momento. Para
cualquier momento. Para ejercer este derecho
ejercer este o cualquier
derecho o otro que
cualquier otro que
la Ley
la Ley establece
establece concon relación
relación aa sus
susDatos
DatosPersonales
Personales deberá
deberá presentar
presentar una
una
solicitud escrita
solicitud escrita en
en nuestras
nuestras oficinas.
oficinas. Se
Se podrán
podrán establecer
establecer otros
otros canales
canales para
para
tramitar estas
tramitar estas solicitudes,
solicitudes, lo que será
lo que será informado
informado oportunamente
oportunamente por el Banco
por el Banco a
de Justicia
Humanos través de
través de su
su Página
Página Web.
Web.
RA GENERAL DE
DE DATOS
PERSONALES
De la
De la evaluación
evaluación dede lala cláusula
cláusula señalada
señalada por por la
la recurrente,
recurrente, se advierte que
se advierte que eses la
la misma
misma
que ha
que ha sido
sido analizada
analizada por por la
la DS
OS en en el
el punto
punto 11
11 de
de lala resolución
resolución impugnada,
impugnada, por por lolo que
que la la
DGPDP determina
DGPDP determina que existen tratamientos
que existen tratamientos adicionales
adicionales que que no
no son del servicio
propios del
son propios servicio
bancario, ya
bancario, que corresponden
ya que corresponden al envío por
al envío por cualquier
cualquier medio
medio dede publicidad comercial de
publicidad comercial de
productos y
productos y servicios incluyendo la
servicios incluyendo la transferencia
transferencia de de datos
datos personales
personales a a terceros para tal
terceros para tal fin
fin
dentro yy fuera
dentro fuera del
del país,
país, queque constituyen tratamientos adicionales
constituyen tratamientos adicionales que
que no son propios
no son propios deldel
servicio bancario,
servicio bancario, yy dichosdichos tratamientos
tratamientos no cumplen con
no cumplen con la la característica
característica del del
consentimiento de
consentimiento de ser
ser "libre",
"libre", ya
ya que
que nono se
se da
da lala opción
opción aa los
los clientes
clientes dede negarse
negarse aa loslos
tratamientos distintos
tratamientos distintosde de lo s necesarios,
los necesarios, sino que al
sino que aceptar el
al aceptar el contrato
contrato dede servicio
servicio
bancario aceptan
bancario aceptan dede forma automática los
forma automática los otros
otros tratamientos.
tratamientos.

Conforme aa lo
Conforme lo evaluado,
evaluado, dado
dado el
el contenido
contenido yy el
el diseño contractual de
diseño contractual la pretendida
de la pretendida fórmula
fórmula
de consentimiento
de consentimiento del del "Contrato
"Contrato dede tarjeta
tarjeta de
de crédito",
crédito", sese hace
hace evidente
evidente queque se limita la
se limita la
libertad de
libertad de decisión
decisión o o manifestación
manifestación de de voluntad
voluntad del clientes, al
del clientes, anexar, sin
al anexar, sin alternativa,
alternativa, al al
contrato de
contrato de servicio
servicio bancario,
bancario, tratamientos
tratamientos adicionales
adicionales que no corresponden
que no corresponden al al servicio
servicio
propio de
propio de la
la cuenta
cuenta dede ahorro
ahorro (como
(como envío
envío dede estados
estados dede cuenta,
cuenta, reportes, entre otros),
reportes, entre otros), es
es
decir, que
decir, los clientes
que los clientes al
al momento
momento de de firmar
firmar aceptan todos los
aceptan todos los tratamientos
tratamientos que forman
que forman
parte de
parte de dicha
dicha cláusula, lo que
cláusula, lo que es
es contrario
contrario aa lo
lo establecido
establecido por la LPDP
por la LPDP yy su reglamento.
su reglamento.

Finalmente, respecto
Finalmente, respecto a a lo
lo señalado
señalado por por la
la recurrente
recurrente sobre
sobre elel punto
punto de
de cláusula
cláusula que resulta
que resulta
ser más
ser más "amigable"
"amigable" ya que señala:
ya que "IMPORTANTE: Usted
señala: "IMPORTANTE: Usted declara
declara que se le
que se le ha
ha informado
informado
que tiene
que tiene derecho
derecho a no no proporcionar
proporcionar sus sus Datos
Datos Personales
Personales yy queque si no los
si no los proporciona
proporciona no no
podremos tratar
podremos tratar sus
sus Datos
Datos Personales",
Personales", se se advierte
advierte que sólo se
que sólo se cumple
cumple concon "informar"
"informar" a a
los clientes,
los clientes, pero
pero no
no se
se otorga
otorga lala libertad
libertad de de rechazar
rechazar enen ese
ese momento
momento los los tratamientos
tratamientos
que no resultan
que no resultan ser
ser necesarios
necesarios para cumplir con
para cumplir la finalidad
con la finalidad del
del tratamiento
tratamiento de los datos
de los dalos
para el
para el objeto del contrato
objeto del contrato dede tarjeta
tarjeta de de crédito.
crédito.

3.2.3 En
3.2.3 En cuanto
cuanto alal tercer
tercer aspecto, sobre lala aprobación
aspecto, sobre aprobación de
de las
las cláusulas
cláusulas generales
generales de de
contratación por
contratación la SBS,
por la SBS, lala Resolución
Resolución SBS
SBS N° 8181-2012, Reglamento
N° 8181-2012, Reglamento de de Transparencia
Transparencia
de Información
de Información yy Contratación
Contratación con Usuarios del
con Usuarios Sistema Financiero,
del Sistema Financiero, enen su Capítulo 11II del
su Capítulo del
Título 111 dispone
Título III dispone la la facultad
facultad que
que tiene
tiene la
la SBS
SBS de de aprobar
aprobar administrativamente
administrativamente de de forma
forma
previa las
previa las cláusulas
cláusulas generales
generales de contratación de
de contratación de las
las operaciones servicios de
operaciones yy servicios de laslas

Página 66 de
Página de 88
empresas que
empresas que se encuentren comprendidas
se encuentren bajo el
comprendidas bajo el alcance
alcance de
de la norma, así
la norma, así como
como para la
para la
determinación de
determinación de cláusulas abusivas.
cláusulas abusivas.

En este
En este sentido,
sentido, al
al encontrarse
encontrarse lla
a recurrente
recurrente en en el ámbito de
el ámbito de aplicación de la
aplicación de la norma
norma
mencionada anteriormente,
mencionada anteriormente,lala SBS aprueba las
SBS aprueba las cláusulas
cláusulas generales
generales de de contratación
contratación
referente aa las
referente las operaciones
operaciones financieras
financieras que brindan las
que brindan las entidades,
entidades, entendiéndose
entendiéndose que no
que no
se pronuncia
se pronuncia respecto
respecto aa las
las cláusulas
cláusulas relacionadas
relacionadas aa normas
normas que
que se encuentren bajo
se encuentren el
bajo el
ámbito de
ámbito competencia de
de competencia otros organismos,
de otros organismos, tales como la
tales como la Autoridad
Autoridad Nacional
Nacional de
de
Protección de
Protección Datos Personales.
de Datos Personales.

Por lo
Por lo que
que esta
esta autoridad advierte que,
autoridad advierte que, si
si bien
bien como
como señala la recurrente
señala la recurrente sus
sus contratos
contratos han
han
sido previamente
sido previamente aprobados
aprobadosporpor la SBS, dicha
la SBS, dicha aprobación
aprobación nono incluye las cláusulas
incluye las cláusulas
referidas al
referidas al tratamiento de datos
tratamiento de personales que
datos personales que es
es competencia
competencia de esta autoridad,
de esta autoridad, motivo
motivo
por el
por el cual
cual fue
fue indispensable
indispensable pronunciarse sobre las
pronunciarse sobre las disposiciones contractuales que
disposiciones contractuales se
que se
refieren aa dichos
refieren dichos tratamientos.
tratamientos.

En consecuencia,
En consecuencia, enen elel marco
marco del
del procedimiento
procedimiento administrativo
administrativo sancionador
sancionador no no sese ha
ha
evaluado: La utilización
a) La
evaluado: a) utilización dede cláusulas
cláusulas generales de contratación
generales de contratación comocomo fórmulas
fórmulas de de
consentimiento. b) La
consentimiento. La situación
situación de
de vulnerabilidad
vulnerabilidad de los clientes
de los clientes frente
frente aa determinadas
determinadas
cláusulas generales
cláusulas generales dede contratación,
contratación, sino
sino el cumplimiento, oo no,
el cumplimiento, no, por de la
parte de
por parte la recurrente
recurrente
de las normas
de las normas sobre protección de
sobre protección de datos
datos personales, porque aa ello
personales, porgue ello se refiere la
se refiere la atribución
atribución
legal que
legal esta autoridad
que esta autoridad tiene
tiene para
para determinar
determinar posibles ncumplimientos aa lla
posibles iincumplimientos a LPDP
LPDP yy susu
Reglamento.
Reglamento.

Por las
Por las consideraciones expuestas yy de
consideraciones expuestas de conformidad
conformidad con lo dispuesto
con lo dispuesto por la Ley
por la Nº 29733,
Ley N° 29733,
Ley de
Ley Protección de
de Protección Datos Personales
de Datos Personales yy su Reglamento, aprobado
su Reglamento, aprobado por
por Decreto
Decreto Supremo
Supremo
Nº 003-2013-JUS.
N° 003-2013-JUS.

SE RESUELVE:
SE RESUELVE:

Artículo 1.-
Artículo Declarar INFUNDADO
1.- Declarar INFUNDADO el el recurso
recurso de
de apelación
apelación interpuesto
interpuesto por BBVA
por BBVA
Banco Continental
Banco Continental contra la Resolución
contra la Resolución Directoral Nº 024-2017-JUS/DGPDP-DS
Directora! N° 024-2017-JUS/DGPDP-DS de 02 de
de 02 de
febrero de
febrero 2017de la
de 2017de la Dirección
Dirección dede Sanciones,
Sanciones, en en consecuencia,
consecuencia, CONFIRMAR
CONFIRMAR la la
resolución iimpugnada
resolución mpugnada que resolvió:
que resolvió:

•• Sancionar
Sancionar aaBBVABBVABancoBanco Continental
Continental con
con una
una multa
multa ascendente
ascendente aa dosdos (2)
(2)
unidades impositivas
unidades tributarias, por
impositivas tributarias, por dar
dar tratamiento a datos
tratamiento a datos personales
personales sin
sin recabar
recabar
el consentimiento
el consentimiento dede sus
sus titulares,
titulares, configurándose
configurándose llaa infracción leve prevista
infracción leve prevista en
en el
el
literal a.
literal numeral 11 del
a. numeral del artículo
artículo 38
38 de la Ley
de la Ley de Protección de
de Protección Datos Personales.
de Datos Personales.

Página 7 de 8
 • Instar a BBVA Banco Continental, a que, adecúe las fórmulas de consentimiento
Instar a BBVA Banco Continental, a que, adecúe las fórmulas de consentimiento
■ que utiliza en los contratos que firma con sus clientes a efectos de cumplir con los
que utiliza en los contratos que firma con sus clientes a efectos de cumplir con los
requisitos exigidos por la Ley de Protección de Datos Personales y su Reglamento.
requisitos exigidos por la Ley de Protección de Datos Personales y su Reglamento.
En consecuencia, concluido el procedimiento sancionador; con lo cual se agota la vía
En consecuencia, concluido el procedimiento sancionador; con lo cual se agota la vía
administrativa en el presente caso.
administrativa en el presente caso.
Artículo 2.- Disponer la devolución del expediente administrativo a la Dirección de
Artículo Disponer la devolución del expediente administrativo a la Dirección de
2.-los
Sanciones para fines pertinentes.
Sanciones para los fines pertinentes.
Artículo 3.- Notificar a la interesada la presente resolución.
Artículo 3.- Notificar a la interesada la presente resolución.
Regístrese y comuníquese.
Regístrese y comuníquese.

María A/ej��d��-G���ái�i·L��-�
D1'.ectoraAlejandra
María González
General /e) de Protección de DatosLuna
Personales
Min1sleno
Directora General de
(e) Juslicia Y Derechos
de Protección H umanos:
de Datos Personales
Ministerio de Justicia y Derechos Humanos:

Página 8 de 8
Página 8 de 8