Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Manual de Protección de Datos Personales
Manual de Protección de Datos Personales
1
Manual de protección de datos personales
2
Defensoría del Pueblo
3
Manual de protección de datos personales
Este manual ha sido elaborado por la Adjuntía en Asuntos Constitucionales. La investigación y redacción
estuvo a cargo de Karina Díaz Farroñay y Silvana Escudero Casanova, bajo la dirección de Abraham García
Chávarri, Adjunto (e) en Asuntos Constitucionales.
La elaboración del presente manual contó con el apoyo de Rosa Ataurima Castillo y Rina Palacios Esterripa.
4
Defensoría del Pueblo
5
Manual de protección de datos personales
PRESENTACIÓN 9
6
Defensoría del Pueblo
ENCUESTA 32
REFERENCIAS 33
7
Manual de protección de datos personales
8
Defensoría del Pueblo
Los datos personales son toda aquella información que permite identificarnos o nos hace
identificables, como el nombre, el domicilio, la imagen u otros, por lo que tienen una directa
e íntima relación con las distintas actividades que desarrollamos en nuestra vida diaria. Su
protección deviene, por ello, en indispensable.
De allí y ante la preocupación que existe sobre el tratamiento de nuestra información per-
sonal, la Adjuntía en Asuntos Constitucionales de la Defensoría del Pueblo ha desarrollado
este “Manual de protección de datos personales” con el objetivo de que la ciudadanía pueda
conocer en forma clara, sencilla y didáctica qué son estos datos, cuál es el tratamiento que se
les puede dar, cuáles son sus derechos frente a los bancos de datos, qué instrumentos tiene
para defenderlos, así como la entidad encargada de protegerlos.
9
Manual de protección de datos personales
LOS DATOS PERSONALES
¡Información
¿Sabías que...? importante!
El número de teléfono celular constituye un • La imagen y la voz de una perso-
dato personal aun cuando no esté vincula- na constituyen datos personales.
do al nombre de una determinada persona, Por ello, la difusión de información
pues si bien no la identifica sí la hace iden- captada por una cámara de video
tificable. vigilancia pública o privada está
sujeta a los límites impuestos por
la Ley de Acceso a la Información
Pública, la Ley de Protección de
Datos Personales y el Decreto Le-
LOS DATOS PERSONALES
gislativo N° 1128.
10
Defensoría del Pueblo
Dato útil
La Red Iberoamericana de Protección de
Datos es un foro integrador de diversos
actores públicos y privados, que promue-
ve una regulación avanzada del derecho
a la protección de datos personales.
11
Manual de protección de datos personales
JUDICIALMENTE
ADMINISTRATIVAMENTE
12
Defensoría del Pueblo
Legalidad:
Consentimiento:
Finalidad:
Los datos personales deben ser recopilados y tratados solo para una finalidad
determinada y lícita.
Proporcionalidad:
Calidad:
Los datos personales que vayan a ser tratados deben ser veraces, exactos
y actualizados.
Disposición de recurso:
Seguridad:
13
Manual de protección de datos personales
TRATAMIENTO DE DATOS PERSONALES
INFORMADO
INEQUÍVOCO
14
Defensoría del Pueblo
1 2 3
Los datos personales Los datos personales Se hace tratamiento
son recopilados por en- se encuentran conteni- de datos personales rela-
tidades públicas para dos en fuentes accesi- tivos a la solvencia patri-
el cumplimiento de sus bles al público. monial o de crédito.
funciones. Ejemplo: El portal de
Ejemplo: Las entidades
transparencia estándar
Ejemplo: La ONP reco- financieras tienen acce-
de una entidad pública
pila datos de sus apor- so a datos personales
contiene datos (nombre
tantes para cumplir con relativos a la solvencia
y DNI) de las personas
el pago de una pensión patrimonial o de crédi-
que mantienen reunio-
de jubilación, conforme to de sus clientes, para
nes de trabajo con diver-
a ley. analizar la prestación de
sos funcionarios.
sus servicios.
4 5 6
Los datos personales son Se hace tratamiento de Se hace tratamiento de
necesarios para la prepara- datos personales de salud, datos de los miembros de
ción, celebración y ejecu- en circunstancias de emer- entidades sin fines de lu-
ción de un contrato en el gencia, para prevenir, diag- cro, cuya finalidad sea po-
que el titular de los datos nosticar y tratar al titular, lítica, religiosa o sindical,
es parte. en centros de salud y por siempre que se circunscri-
TRATAMIENTO DE DATOS PERSONALES
15
Manual de protección de datos personales
7 8 9
Se hubiera aplicado un Los datos personales
El tratamiento de da- son tratados para prevenir
procedimiento de anoni-
tos personales resulta el lavado de activos, finan-
mización o disociación.
necesario para salva- ciamiento del terrorismo u
guardar intereses propios otros delitos, por mandato
Ejemplo: La Autoridad
del titular. legal.
Nacional de Protección
de Datos Personales pu-
Ejemplo: Ante la desa- Ejemplo: Investigaciones
blica los informes y con-
parición de una persona, iniciadas por el Ministerio
sultas que emite en el
las autoridades policiales Público por la presunta co-
ejercicio de sus funcio-
tratan y publican sus da- misión del delito de lava-
nes, para lo cual tacha
tos personales para faci- do de activos, sin requerir
los nombres y domicilios
litar su ubicación. consentimiento del investi-
de las personas que in-
tervinieron en el procedi- gado/a.
miento.
10 11
Las empresas obligadas a El tratamiento de da-
informar a la Unidad de Inte- tos se realiza en virtud
ligencia Financiera deben brin- del derecho fundamental
dar información de sus clientes de libertad de informa-
para prevenir el lavado de acti- ción.
vos y financiamiento del terro-
rismo. Ejemplo: Medios de co-
municación publican
Ejemplo: Las empresas del sis- noticias de interés, rela-
tema financiero y sistema de cionadas a la coyuntura
seguros, la bolsa de valores, política o social brindan-
las cooperativas de ahorro y do datos personales de
crédito y otros sujetos obliga- personas involucradas
dos comparten información de en hechos noticiosos.
sus clientes, con fines preven-
tivos, según la Ley 27693.
TRATAMIENTO DE DATOS PERSONALES
16
Defensoría del Pueblo
El flujo transfronterizo consiste en la transferen- cuados de protección, el emisor del flujo transfronterizo
cia de datos personales hacia un destinatario que deberá garantizar que el tratamiento de los datos per-
se encuentra en un país distinto del país de envío, sonales se efectuará con respeto de los derechos de
cualquiera sea el soporte en que se encuentren, sus titulares.
los medios utilizados para su transferencia o el tra-
tamiento que reciban.
TÉCNICAS:
Medidas tecnológicas aplicadas a la información o al
dato personal.
ORGANIZATIVAS:
Políticas dispuestas para la protección y correcto tratamiento
por el personal responsable y/o encargado de los bancos de
datos.
17
Manual de protección de datos personales
LEGALES:
¿Sabías que...?
18
Defensoría del Pueblo
DERECHOS DEL TITULAR DE DATOS
PERSONALES
• Acceso:
Toda persona tiene derecho a conocer qué información sobre
sí misma ha sido almacenada en un banco de datos público
o privado; cómo y por qué fue recopilada; así como las trans-
ferencias realizadas o las que se prevén realizar.
• Rectificación:
Toda persona tiene derecho a solicitar la modificación
de los datos que fueron recopilados errónea, incom-
pleta, inexacta, desactualizada o falsamente, en banco
DERECHOS de datos público o privado. A su vez, permite la actua-
DEL lización e inclusión de nuevos datos personales.
TITULAR DERECHOS DEL TITU LAR DE DATOS PERSONALES
DE DATOS
PERSONALES
• Cancelación:
Toda persona puede requerir la cancelación o supre-
sión de sus datos, cuando ya no cumplan una finali-
dad, cuando se haya revocado el consentimiento o haya
transcurrido el plazo para su tratamiento.
• Oposición:
Toda persona puede oponerse al tratamiento de sus da-
tos personales almacenados en banco público o privado.
19
Manual de protección de datos personales
Derecho a la tutela
Si los derechos del titular de datos personales
son negados total o parcialmente, el afectado
podrá acudir a la Autoridad Nacional de Pro-
tección de Datos Personales o al Poder Judi-
cial, a fin de ejercer la defensa de tales
DERECHOS DEL TITU LAR DE DATOS PERSONALES
Derecho a indemnización
En caso el titular de datos personales sea
afectado como consecuencia del incumpli-
miento de la Ley de Protección de Datos Per-
sonales, tiene derecho a obtener la indemni-
zación correspondiente.
20
Defensoría del Pueblo
OBLIGACIONES DEL TITULAR Y ENCARGADO
DEL TRATAMIENTO DE DATOS PERSONALES
El banco de datos personales es el conjunto entre otros. Los bancos de datos pueden tener
organizado de datos de carácter personal, que titularidad pública o privada, y pueden estar or-
se pueden encontrar en distintos soportes ta- ganizados de forma automática o manual.
les como físicos, magnéticos, digitales, ópticos,
Se aplican las
normas relativas
a la protección de
datos personales.
Banco de datos de administración privada:
¡Información
importante!
Los procedimientos de anonimización
y disociación de datos personales im
piden la identificación de su titular.
Mientras que la anonimización es un
procedimiento irreversible, la disocia-
ción sí puede revertirse. (Ley de Protec-
ción de Datos Personales, artículos 2.14
y 2.15).
21
Manual de protección de datos personales
El titular del banco de datos personales es Por su parte, el encargado del tratamiento de datos
aquella persona natural, persona jurídica pri- personales es aquella persona natural o jurídica,
vada o entidad pública que establece la finali- pública o privada, que realiza el tratamiento de los
dad para la recopilación y almacenamiento de datos en nombre y por cuenta del titular del banco
los datos personales, así como el tratamiento y de datos. En caso realice un tratamiento ajena a la fi-
las medidas de seguridad que le serán aplicables. nalidad del encargo, podrá asumir responsabilidades.
de datos personales.
TRATAMIENTO DE DATOS PERSONALES
l
Encargado de Sustituir o complementar los datos personales
tratamiento
cuando estos sean inexactos o incompletos.
22
AUTORIDAD NACIONAL DE PROTECCIÓN
Defensoría del Pueblo
DE DATOS PERSONALES
Dirección de Transparencia
Dirección de Protección Dirección de Fiscalización
y Acceso a la Información
de Datos Personales e Instrucción
Pública
23
Manual de protección de datos personales
24
Defensoría del Pueblo
Para ejercer los derechos ARCO, el titular Personales. Tras solicitar los descargos del reclama-
del dato personal debe presentar una solicitud do, la Dirección de Protección de Datos Personales
ante el titular del banco de datos o el encar- resuelve en primera instancia los procedimientos
gado del tratamiento, en la que requiere el ac- trilaterales de tutela, puede imponer sanciones ad-
ceso, la rectificación o la cancelación de sus ministrativas (multas).
datos, o indique la oposición a su tratamiento. Finalmente, la decisión puede ser recurrida en ape-
Si el titular o el encargado emiten una res- lación ante la Dirección General de Transparencia,
puesta insatisfactoria, deniegan la solicitud o Acceso a la Información Pública y Protección de
no la responden en los plazos establecidos, se Datos Personales. Esta resolución agota la vía ad-
debe presentar una solicitud de tutela de de- ministrativa.
rechos, ante la Autoridad Nacional de Datos
Solicitud de
Ante la Dirección de Protección
tutela de de Datos Personales.
derechos
AUTORIDAD DE PROTECCIÓN DE DATOS PERSONALES
25
Manual de protección de datos personales
26
Defensoría del Pueblo
Resolución
Dirección de Protección de
en Datos Personales
primera
Plazo: 20 días hábiles
instancia
l
Autoridad Naciona
s
de Datos Personale
Resolución
Dirección General de Trans-
en parencia, Acceso a la Infor-
segunda mación Pública y Protec-
instancia ción de Datos Personales
27
Manual de protección de datos personales
LEVES
GRAVES
TIPOS
No atender las solicitudes del titular de datos personales.
DE No solicitar consentimiento para el tratamiento de datos.
INFRACCIONES No cumplir con las medidas de seguridad para tratar datos
sensibles.
MUY GRAVES
El monto de las multas dependerá de la gravedad de la infracción cometida, será determinada por unidades
impositivas tributarias y para su aplicación se tomará en cuenta la subsanación realizada dentro del procedi-
miento sancionador.
AUTORIDAD DE PROTECCIÓN DE DATOS PERSONALES
28
Defensoría del Pueblo
En el 2016, La Dirección de Sanciones impuso una multa de 2.5 UIT a un centro edu-
cativo por haber efectuado el tratamiento de imágenes de sus alumnos en su página web,
sin el consentimiento de los padres de familia o tutores. Además, impuso la multa de 8
UIT por no haber inscrito el banco de datos de sus alumnos en el Registro Nacional de
Protección de Datos Personales.
En el 2016, la Dirección de Sanciones impuso una multa de 8 UIT a una clínica privada
por haber realizado un tratamiento desproporcionado de los datos personales referidos a
la religión de los postulantes a un puesto de trabajo. La sanción fue confirmada por la
Dirección General de Protección de Datos Personales, mediante la Resolución Directoral N°
065-2016-JUS/DGPDP, del 19 de agosto de 2016.
29
Manual de protección de datos personales
30
Defensoría del Pueblo
0.8 %
Sí
No
35.5 %
No opina
63.7 %
Finalmente, solo 123 (19,7%) personas encues- datos personales. De dicho porcentaje, solo 31
tadas conocían de la existencia de alguna institu- personas reconocieron al Ministerio de Justicia y
ción pública que se encargue de la protección de Derechos Humanos como tal institución.
0.6 %
25.2 %
19.7 %
74.8 %
63.7 %
SOBRE ESTA EDICIÓN
31
Manual de protección de datos personales
Finalidad: recoger información respecto del conocimiento que tiene la población sobre la protección
que deben recibir sus datos personales. Dicha información será consolidada e incluida en el “Manual sobre
protección y debido tratamiento de datos personales” que desarrollará la Defensoría del Pueblo.
1. Edad: ______
Sí ( ) No ( )
Sí ( ) No ( )
5. Conoce en qué consisten los derechos “ARCO” (Acceso, rectificación, cancelación y oposición) apli-
cable a sus datos personales?
Sí ( ) No ( )
6. ¿Ha ejercido algún derecho “ARCO” frente a una entidad pública o empresa privada?
Sí ( ) No ( )
7. ¿Alguna empresa le ha pedido consentimiento para el uso de sus datos personales? (ejemplo: ban-
cos, empresas de telefonía, seguros)
Sí ( ) No ( )
8. ¿Sabe cuál es la institución pública que fiscaliza el cumplimiento de las normas en protección de
ENCU ESTA
datos personales?
Sí ( ) No ( ) ¿Cuál?
32
Defensoría del Pueblo
REFERENCIAS
33
Manual de protección de datos personales
34