NORMAS LEGALES ACTUALIZADAS - LEY DE PROTECCIÓN DE DATOS PERSONALES - Diario Oficial El ...
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
NORMAS
LEGALES
Editora Perú
ACTUALIZADAS
LEY DE PROTECCIÓN DE
DATOS PERSONALES
Ley Nº 29733
REGLAMENTO DE LA LEY Nº 29733,
LEY DE PROTECCIÓN DE
DATOS PERSONALES
Decreto Supremo Nº 003-2013-JUS2 NORMAS LEGALES actualizadas
3. Banco de datos personales de
LEY DE PROTECCIÓN DE administración pública. Banco de datos
DATOS PERSONALES personales cuya titularidad corresponde a una
entidad pública.
LEY Nº 29733 4. Datos personales. Toda información sobre
una persona natural que la identifica o la hace
identificable a través de medios que pueden ser
EL PRESIDENTE DE LA REPÚBLICA
razonablemente utilizados.
POR CUANTO: 5. Datos sensibles. Datos personales
constituidos por los datos biométricos que por sí
El Congreso de la República mismos pueden identificar al titular; datos referidos
ha dado la Ley siguiente: al origen racial y étnico; ingresos económicos;
opiniones o convicciones políticas, religiosas,
EL CONGRESO DE LA REPÚBLICA; filosóficas o morales; afiliación sindical; e información
relacionada a la salud o a la vida sexual.
Ha dado la Ley siguiente: 6. Días. Días hábiles.
7. Encargado de tratamiento de datos
personales. Toda persona natural, persona
LEY DE PROTECCIÓN DE jurídica de derecho privado o entidad pública que
DATOS PERSONALES sola o actuando conjuntamente con otra realiza el
tratamiento de los datos personales por encargo
Título Preliminar: Disposiciones generales. del titular del banco de datos personales en virtud
Título I: Principios rectores. de una relación jurídica que le vincula con el mismo
Título II: Tratamiento de datos personales. y delimita el ámbito de su actuación. Incluye a quien
Título III: Derechos del titular de datos realice el tratamiento sin la existencia de un banco
personales. de datos personales.
Título IV: Obligaciones del titular y del encargado 8. Encargo de tratamiento. Entrega por parte
del banco de datos personales.
del titular del banco de datos personales a un
Título V: Bancos de datos personales.
encargado de tratamiento de datos personales en
Título VI: Autoridad Nacional de Protección de
virtud de una relación jurídica que los vincula. Dicha
Datos Personales.
relación jurídica delimita el ámbito de actuación del
Título VII: Infracciones y sanciones
encargado de tratamiento de los datos personales.
administrativas.
9. Entidad pública. Entidad comprendida en el
Disposiciones complementarias finales artículo I del Título Preliminar de la Ley 27444, Ley
del Procedimiento Administrativo General, o la que
haga sus veces.
TÍTULO PRELIMINAR
10. Flujo transfronterizo de datos personales.
Transferencia internacional de datos personales a
DISPOSICIONES GENERALES
un destinatario situado en un país distinto al país
de origen de los datos personales, sin importar el
Artículo 1. Objeto de la Ley
soporte en que estos se encuentren, los medios
La presente Ley tiene el objeto de garantizar el
por los cuales se efectuó la transferencia ni el
derecho fundamental a la protección de los datos
personales, previsto en el artículo 2 numeral 6 de tratamiento que reciban.
la Constitución Política del Perú, a través de su 11. Fuentes accesibles para el público. Bancos
adecuado tratamiento, en un marco de respeto de de datos personales de administración pública o
los demás derechos fundamentales que en ella se privada, que pueden ser consultados por cualquier
reconocen. persona, previo abono de la contraprestación
correspondiente, de ser el caso. Las fuentes
“Artículo 2. Definiciones accesibles para el público son determinadas en el
Para todos los efectos de la presente Ley, se reglamento.
entiende por: 12. Nivel suficiente de protección para los
datos personales. Nivel de protección que abarca
1. Banco de datos personales. Conjunto por lo menos la consignación y el respeto de los
organizado de datos personales, automatizado principios rectores de esta Ley, así como medidas
o no, independientemente del soporte, sea este técnicas de seguridad y confidencialidad, apropiadas
físico, magnético, digital, óptico u otros que se según la categoría de datos de que se trate.
creen, cualquiera fuere la forma o modalidad de su 13. Persona jurídica de derecho privado.
creación, formación, almacenamiento, organización Para efectos de esta Ley, la persona jurídica no
y acceso. comprendida en los alcances del artículo I del Título
2. Banco de datos personales de Preliminar de la Ley 27444, Ley del Procedimiento
administración privada. Banco de datos personales Administrativo General.
cuya titularidad corresponde a una persona natural o 14. Procedimiento de anonimización.
a una persona jurídica de derecho privado, en cuanto Tratamiento de datos personales que impide la
el banco no se encuentre estrictamente vinculado al identificación o que no hace identificable al titular
ejercicio de potestades de derecho público. de estos. El procedimiento es irreversible.NORMAS LEGALES actualizadas 3
15. Procedimiento de disociación. Tratamiento recopilación de los datos personales por medios
de datos personales que impide la identificación fraudulentos, desleales o ilícitos.
o que no hace identificable al titular de estos. El
procedimiento es reversible. Artículo 5. Principio de consentimiento
16. Titular de datos personales. Persona Para el tratamiento de los datos personales
natural a quien corresponde los datos personales. debe mediar el consentimiento de su titular.
17. Titular del banco de datos personales.
Persona natural, persona jurídica de derecho Artículo 6. Principio de finalidad
privado o entidad pública que determina la Los datos personales deben ser recopilados
finalidad y contenido del banco de datos para una finalidad determinada, explícita y lícita.
personales, el tratamiento de estos y las medidas El tratamiento de los datos personales no debe
de seguridad. extenderse a otra finalidad que no haya sido la
18. Transferencia de datos personales. Toda establecida de manera inequívoca como tal al
transmisión, suministro o manifestación de datos momento de su recopilación, excluyendo los casos
personales, de carácter nacional o internacional, de actividades de valor histórico, estadístico o
a una persona jurídica de derecho privado, a una científico cuando se utilice un procedimiento de
entidad pública o a una persona natural distinta del disociación o anonimización.
titular de datos personales.
19. Tratamiento de datos personales. Cualquier Artículo 7. Principio de proporcionalidad
operación o procedimiento técnico, automatizado Todo tratamiento de datos personales debe ser
o no, que permite la recopilación, registro, adecuado, relevante y no excesivo a la finalidad
organización, almacenamiento, conservación, para la que estos hubiesen sido recopilados.
elaboración, modificación, extracción, consulta,
utilización, bloqueo, supresión, comunicación por Artículo 8. Principio de calidad
transferencia o por difusión o cualquier otra forma Los datos personales que vayan a ser tratados
de procesamiento que facilite el acceso, correlación deben ser veraces, exactos y, en la medida de
o interconexión de los datos personales”. lo posible, actualizados, necesarios, pertinentes
(*) Artículo modificado por la Tercera Disposición y adecuados respecto de la finalidad para la que
Complementaria Modificatoria del Decreto Legislativo fueron recopilados. Deben conservarse de forma
N° 1353, publicado el 7 de enero de 2017. tal que se garantice su seguridad y solo por el
tiempo necesario para cumplir con la finalidad del
“Artículo 3. Ámbito de aplicación tratamiento.
La presente Ley es de aplicación a los datos
personales contenidos o destinados a ser Artículo 9. Principio de seguridad
contenidos en bancos de datos personales de El titular del banco de datos personales y
administración pública y de administración privada, el encargado de su tratamiento deben adoptar
cuyo tratamiento se realiza en el territorio nacional. las medidas técnicas, organizativas y legales
Son objeto de especial protección los datos necesarias para garantizar la seguridad de los
sensibles. datos personales. Las medidas de seguridad
Las disposiciones de esta Ley no son de deben ser apropiadas y acordes con el tratamiento
aplicación a los siguientes datos personales: que se vaya a efectuar y con la categoría de datos
personales de que se trate.
1. A los contenidos o destinados a ser
contenidos en bancos de datos personales creados Artículo 10. Principio de disposición de
por personas naturales para fines exclusivamente recurso
relacionados con su vida privada o familiar. Todo titular de datos personales debe contar
2. A los contenidos o destinados a ser contenidos con las vías administrativas o jurisdiccionales
en bancos de datos de administración pública, necesarias para reclamar y hacer valer sus
solo en tanto su tratamiento resulte necesario derechos, cuando estos sean vulnerados por el
para el estricto cumplimiento de las competencias tratamiento de sus datos personales.
asignadas por ley a las respectivas entidades
públicas, para la defensa nacional, seguridad Artículo 11. Principio de nivel de protección
pública, y para el desarrollo de actividades en adecuado
materia penal para la investigación y represión Para el flujo transfronterizo de datos personales,
del delito”. (*) Artículo modificado por la Tercera se debe garantizar un nivel suficiente de protección
Disposición Complementaria Modificatoria del para los datos personales que se vayan a tratar o,
Decreto Legislativo N° 1353, publicado el 7 de enero por lo menos, equiparable a lo previsto por esta Ley
de 2017. o por los estándares internacionales en la materia.
TÍTULO I “Artículo 12. Valor de los principios
La actuación de los titulares y encargados de
PRINCIPIOS RECTORES tratamiento de datos personales y, en general, de
todos los que intervengan con relación a datos
Artículo 4. Principio de legalidad personales, debe ajustarse a los principios rectores
El tratamiento de los datos personales se hace a que se refiere este Título. Esta relación de
conforme a lo establecido en la ley. Se prohíbe la principios rectores es enunciativa.4 NORMAS LEGALES actualizadas
Los principios rectores señalados sirven también administrativas solo puede ser efectuado por las
de criterio interpretativo para resolver las cuestiones entidades públicas competentes, salvo convenio
que puedan suscitarse en la aplicación de esta de encargo de gestión conforme a la Ley 27444,
Ley y de su reglamento, así como de parámetro Ley del Procedimiento Administrativo General, o la
para la elaboración de otras disposiciones y para que haga sus veces. Cuando se haya producido la
suplir vacíos en la legislación sobre la materia”. cancelación de los antecedentes penales, judiciales,
(*) Artículo modificado por la Tercera Disposición policiales y administrativos, estos datos no pueden
Complementaria Modificatoria del Decreto Legislativo ser suministrados salvo que sean requeridos por el
N° 1353, publicado el 7 de enero de 2017. Poder Judicial o el Ministerio Público, conforme a
ley.
TÍTULO II 13.9 La comercialización de datos personales
contenidos o destinados a ser contenidos en bancos
TRATAMIENTO DE DATOS PERSONALES de datos personales se sujeta a los principios
previstos en la presente Ley.
Artículo 13. Alcances sobre el tratamiento de
datos personales “Artículo 14. Limitaciones al consentimiento
para el tratamiento de datos personales
13.1 El tratamiento de datos personales debe No se requiere el consentimiento del titular
realizarse con pleno respeto de los derechos de datos personales, para los efectos de su
fundamentales de sus titulares y de los derechos tratamiento, en los siguientes casos:
que esta Ley les confiere. Igual regla rige para su
utilización por terceros. 1. Cuando los datos personales se recopilen
13.2 Las limitaciones al ejercicio del derecho o transfieran para el ejercicio de las funciones
fundamental a la protección de datos personales de las entidades públicas en el ámbito de sus
solo pueden ser establecidas por ley, respetando su competencias.
contenido esencial y estar justificadas en razón del 2. Cuando se trate de datos personales
respeto de otros derechos fundamentales o bienes contenidos o destinados a ser contenidos en
constitucionalmente protegidos. fuentes accesibles para el público.
13.3 Mediante reglamento se dictan medidas 3. Cuando se trate de datos personales relativos
especiales para el tratamiento de los datos a la solvencia patrimonial y de crédito, conforme a
personales de los niños y de los adolescentes, ley.
así como para la protección y garantía de sus 4. Cuando medie norma para la promoción
derechos. Para el ejercicio de los derechos que de la competencia en los mercados regulados
esta Ley reconoce, los niños y los adolescentes emitida en ejercicio de la función normativa por
actúan a través de sus representantes legales, los organismos reguladores a que se refiere la Ley
pudiendo el reglamento determinar las 27332, Ley Marco de los Organismos Reguladores
excepciones aplicables, de ser el caso, teniendo de la Inversión Privada en los Servicios Públicos, o
en cuenta para ello el interés superior del niño y la que haga sus veces, siempre que la información
del adolescente. brindada no sea utilizada en perjuicio de la
13.4 Las comunicaciones, telecomunicaciones, privacidad del usuario.
sistemas informáticos o sus instrumentos, cuando 5. Cuando los datos personales sean necesarios
sean de carácter privado o uso privado, solo para la preparación, celebración y ejecución de una
pueden ser abiertos, incautados, interceptados o relación contractual en la que el titular de datos
intervenidos por mandamiento motivado del juez personales sea parte, o cuando se trate de datos
o con autorización de su titular, con las garantías personales que deriven de una relación científica
previstas en la ley. Se guarda secreto de los o profesional del titular y sean necesarios para su
asuntos ajenos al hecho que motiva su examen. desarrollo o cumplimiento.
Los datos personales obtenidos con violación de 6. Cuando se trate de datos personales relativos
este precepto carecen de efecto legal. a la salud y sea necesario, en circunstancia
13.5 Los datos personales solo pueden ser objeto de riesgo, para la prevención, diagnóstico y
de tratamiento con consentimiento de su titular, tratamiento médico o quirúrgico del titular,
salvo ley autoritativa al respecto. El consentimiento siempre que dicho tratamiento sea realizado en
debe ser previo, informado, expreso e inequívoco. establecimientos de salud o por profesionales
13.6 En el caso de datos sensibles, el en ciencias de la salud, observando el secreto
consentimiento para efectos de su tratamiento, profesional; o cuando medien razones de interés
además, debe efectuarse por escrito. Aun cuando público previstas por ley o cuando deban tratarse
no mediara el consentimiento del titular, el por razones de salud pública, ambas razones
tratamiento de datos sensibles puede efectuarse deben ser calificadas como tales por el Ministerio
cuando la ley lo autorice, siempre que ello atienda de Salud; o para la realización de estudios
a motivos importantes de interés público. epidemiológicos o análogos, en tanto se apliquen
13.7 El titular de datos personales puede procedimientos de disociación adecuados.
revocar su consentimiento en cualquier momento, 7. Cuando el tratamiento sea efectuado por
observando al efecto los mismos requisitos que con organismos sin fines de lucro cuya finalidad
ocasión de su otorgamiento. sea política, religiosa o sindical y se refiera a los
13.8 El tratamiento de datos personales datos personales recopilados de sus respectivos
relativos a la comisión de infracciones penales o miembros, los que deben guardar relación con elNORMAS LEGALES actualizadas 5
propósito a que se circunscriben sus actividades, cuenta y aquellas actividades que el manejo de la
no pudiendo ser transferidos sin consentimiento de relación contractual requiera.
aquellos. 5. Cuando se trate de transferencias bancarias
8. Cuando se hubiera aplicado un procedimiento o bursátiles, en lo relativo a las transacciones
de anonimización o disociación. respectivas y conforme a la ley aplicable.
9. Cuando el tratamiento de los datos personales 6. Cuando el flujo transfronterizo de datos
sea necesario para salvaguardar intereses personales se realice para la protección,
legítimos del titular de datos personales por parte prevención, diagnóstico o tratamiento médico o
del titular de datos personales o por el encargado quirúrgico de su titular; o cuando sea necesario
de tratamiento de datos personales. para la realización de estudios epidemiológicos o
10. Cuando el tratamiento sea para fines análogos, en tanto se apliquen procedimientos de
vinculados al sistema de prevención de lavado de disociación adecuados.
activos y financiamiento del terrorismo u otros que 7. Cuando el titular de los datos personales haya
respondan a un mandato legal. dado su consentimiento previo, informado, expreso
11. En el caso de grupos económicos e inequívoco.
conformados por empresas que son consideradas 8. Otros que establezca el reglamento de la
sujetos obligados a informar, conforme a las normas presente Ley, con sujeción a lo dispuesto en el
que regulan a la Unidad de Inteligencia Financiera, artículo 12”. (*) Artículo modificado por la Tercera
que éstas puedan compartir información entre sí de Disposición Complementaria Modificatoria del
sus respectivos clientes para fines de prevención de Decreto Legislativo N° 1353, publicado el 7 de
lavado de activos y financiamiento del terrorismo, enero de 2017.
así como otros de cumplimiento regulatorio,
estableciendo las salvaguardas adecuadas Artículo 16. Seguridad del tratamiento de
sobre la confidencialidad y uso de la información datos personales
intercambiada. Para fines del tratamiento de datos personales,
12. Cuando el tratamiento se realiza en ejercicio el titular del banco de datos personales debe
constitucionalmente válido del derecho fundamental adoptar medidas técnicas, organizativas y legales
a la libertad de información. que garanticen su seguridad y eviten su alteración,
13. Otros que deriven del ejercicio de pérdida, tratamiento o acceso no autorizado.
competencias expresamente establecidas por Ley”. Los requisitos y condiciones que deben reunir
(*) Artículo modificado por la Tercera Disposición los bancos de datos personales en materia de
Complementaria Modificatoria del Decreto Legislativo seguridad son establecidos por la Autoridad
N° 1353, publicado el 7 de enero de 2017. Nacional de Protección de Datos Personales,
salvo la existencia de disposiciones especiales
“Artículo 15. Flujo transfronterizo de datos contenidas en otras leyes.
personales Queda prohibido el tratamiento de datos
El titular y el encargado de tratamiento de datos personales en bancos de datos que no reúnan los
personales deben realizar el flujo transfronterizo requisitos y las condiciones de seguridad a que se
de datos personales solo si el país destinatario refiere este artículo.
mantiene niveles de protección adecuados
conforme a la presente Ley. Artículo 17. Confidencialidad de datos
En caso de que el país destinatario no cuente personales
con un nivel de protección adecuado, el emisor El titular del banco de datos personales, el
del flujo transfronterizo de datos personales encargado y quienes intervengan en cualquier
debe garantizar que el tratamiento de los datos parte de su tratamiento están obligados a guardar
personales se efectúe conforme a lo dispuesto por confidencialidad respecto de los mismos y de
la presente Ley. sus antecedentes. Esta obligación subsiste aun
No se aplica lo dispuesto en el segundo párrafo después de finalizadas las relaciones con el titular
en los siguientes casos: del banco de datos personales.
El obligado puede ser relevado de la obligación
1. Acuerdos en el marco de tratados de confidencialidad cuando medie consentimiento
internacionales sobre la materia en los cuales la previo, informado, expreso e inequívoco del
República del Perú sea parte. titular de los datos personales, resolución judicial
2. Cooperación judicial internacional. consentida o ejecutoriada, o cuando medien
3. Cooperación internacional entre organismos razones fundadas relativas a la defensa nacional,
de inteligencia para la lucha contra el terrorismo, seguridad pública o la sanidad pública, sin perjuicio
tráfico ilícito de drogas, lavado de activos, del derecho a guardar el secreto profesional.
corrupción, trata de personas y otras formas de
criminalidad organizada. TÍTULO III
4. Cuando los datos personales sean necesarios
para la ejecución de una relación contractual en DERECHOS DEL TITULAR DE
la que el titular de datos personales sea parte, DATOS PERSONALES
incluyendo lo necesario para actividades como
la autentificación de usuario, mejora y soporte “Artículo 18. Derecho de información del titular
del servicio, monitoreo de la calidad del servicio, de datos personales El titular de datos personales
soporte para el mantenimiento y facturación de la tiene derecho a ser informado en forma detallada,6 NORMAS LEGALES actualizadas
sencilla, expresa, inequívoca y de manera previa tratamiento de datos personales debe comunicar
a su recopilación, sobre la finalidad para la que la actualización, inclusión, rectificación o supresión
sus datos personales serán tratados; quiénes a quienes se hayan transferido, en el caso que
son o pueden ser sus destinatarios, la existencia se mantenga el tratamiento por este último, quien
del banco de datos en que se almacenarán, así debe también proceder a la actualización, inclusión,
como la identidad y domicilio de su titular y, de ser rectificación o supresión, según corresponda.
el caso, del o de los encargados del tratamiento Durante el proceso de actualización, inclusión,
de sus datos personales; el carácter obligatorio rectificación o supresión de datos personales, el
o facultativo de sus respuestas al cuestionario encargado de tratamiento de datos personales
que se le proponga, en especial en cuanto a los dispone su bloqueo, quedando impedido de permitir
datos sensibles; la transferencia de los datos que terceros accedan a ellos. Dicho bloqueo no es
personales; las consecuencias de proporcionar aplicable a las entidades públicas que requieren de
sus datos personales y de su negativa a hacerlo; tal información para el adecuado ejercicio de sus
el tiempo durante el cual se conserven sus datos competencias, según ley, las que deben informar
personales; y la posibilidad de ejercer los derechos que se encuentra en trámite cualquiera de los
que la ley le concede y los medios previstos para mencionados procesos.
ello. La supresión de datos personales contenidos
Si los datos personales son recogidos en línea en bancos de datos personales de administración
a través de redes de comunicaciones electrónicas, pública se sujeta a lo dispuesto en el artículo 21
las obligaciones del presente artículo pueden del Texto Único Ordenado de la Ley 27806, Ley de
satisfacerse mediante la publicación de políticas de Transparencia y Acceso a la Información Pública, o
privacidad, las que deben ser fácilmente accesibles la que haga sus veces”. (*) Artículo modificado por
e identificables. la Tercera Disposición Complementaria Modificatoria
En el caso que el titular del banco de datos del Decreto Legislativo N° 1353, publicado el 7 de
establezca vinculación con un encargado de enero de 2017.
tratamiento de manera posterior al consentimiento, el
accionar del encargado queda bajo responsabilidad “Artículo 21. Derecho a impedir el suministro
del Titular del Banco de Datos, debiendo establecer El titular de datos personales tiene derecho
un mecanismo de información personalizado para a impedir que estos sean suministrados,
el titular de los datos personales sobre dicho nuevo especialmente cuando ello afecte sus derechos
encargado de tratamiento. fundamentales. El derecho a impedir el suministro
Si con posterioridad al consentimiento se produce no aplica para la relación entre el titular del
la transferencia de datos personales por fusión, banco de datos personales y el encargado de
adquisición de cartera, o supuestos similares, el tratamiento de datos personales para los efectos
nuevo titular del banco de datos debe establecer un del tratamiento de estos”. (*) Artículo modificado por
mecanismo de información eficaz para el titular de la Tercera Disposición Complementaria Modificatoria
los datos personales sobre dicho nuevo encargado del Decreto Legislativo N° 1353, publicado el 7 de
de tratamiento”. (*) Artículo modificado por la Tercera enero de 2017.
Disposición Complementaria Modificatoria del
Decreto Legislativo N° 1353, publicado el 7 de enero “Artículo 22. Derecho de oposición
de 2017. Siempre que, por ley, no se disponga lo contrario
y cuando no hubiera prestado consentimiento,
Artículo 19. Derecho de acceso del titular de el titular de datos personales puede oponerse a
datos personales su tratamiento cuando existan motivos fundados
El titular de datos personales tiene derecho y legítimos relativos a una concreta situación
a obtener la información que sobre sí mismo sea personal. En caso de oposición justificada, el titular
objeto de tratamiento en bancos de datos de o el encargado de tratamiento de datos personales,
administración pública o privada, la forma en que según corresponda, debe proceder a su supresión,
sus datos fueron recopilados, las razones que conforme a ley”. (*) Artículo modificado por la Tercera
motivaron su recopilación y a solicitud de quién se Disposición Complementaria Modificatoria del Decreto
realizó la recopilación, así como las transferencias Legislativo N° 1353, publicado el 7 de enero de 2017.
realizadas o que se prevén hacer de ellos.
Artículo 23. Derecho al tratamiento objetivo
“Artículo 20. Derecho de actualización, El titular de datos personales tiene derecho
inclusión, rectificación y supresión a no verse sometido a una decisión con efectos
El titular de datos personales tiene derecho a jurídicos sobre él o que le afecte de manera
la actualización, inclusión, rectificación y supresión significativa, sustentada únicamente en un
de sus datos personales materia de tratamiento, tratamiento de datos personales destinado
cuando estos sean parcial o totalmente inexactos, a evaluar determinados aspectos de su
incompletos, cuando se hubiere advertido omisión, personalidad o conducta, salvo que ello ocurra
error o falsedad, cuando hayan dejado de ser en el marco de la negociación, celebración o
necesarios o pertinentes a la finalidad para la cual ejecución de un contrato o en los casos de
hayan sido recopilados o cuando hubiera vencido el evaluación con fines de incorporación a una
plazo establecido para su tratamiento. entidad pública, de acuerdo a ley, sin perjuicio de
Si sus datos personales hubieran sido la posibilidad de defender su punto de vista, para
transferidos previamente, el encargado de salvaguardar su legítimo interés.NORMAS LEGALES actualizadas 7
Artículo 24. Derecho a la tutela TÍTULO IV
En caso de que el titular o el encargado del banco
de datos personales deniegue al titular de datos “OBLIGACIONES DEL TITULAR Y DEL
personales, total o parcialmente, el ejercicio de ENCARGADO DE TRATAMIENTO DE
los derechos establecidos en esta Ley, este puede DATOS PERSONALES”
recurrir ante la Autoridad Nacional de Protección de (*) Denominación modificada por la Cuarta
Datos Personales en vía de reclamación o al Poder Disposición Complementaria Modificatoria del
Judicial para los efectos de la correspondiente Decreto Legislativo N° 1353, publicado
acción de hábeas data. el 7 de enero de 2017.
El procedimiento a seguir ante la Autoridad
Nacional de Protección de Datos Personales “Artículo 28. Obligaciones
se sujeta a lo dispuesto en los artículos 219 y El titular y el encargado de tratamiento de datos
siguientes de la Ley 27444, Ley del Procedimiento personales, según sea el caso, tienen las siguientes
Administrativo General, o la que haga sus veces. obligaciones:
La resolución de la Autoridad Nacional de
Protección de Datos Personales agota la vía 1. Efectuar el tratamiento de datos personales,
administrativa y habilita la imposición de las solo previo consentimiento informado, expreso e
sanciones administrativas previstas en el artículo inequívoco del titular de los datos personales, salvo
39. El reglamento determina las instancias ley autoritativa, con excepción de los supuestos
correspondientes. consignados en el artículo 14 de la presente Ley.
Contra las resoluciones de la Autoridad Nacional 2. No recopilar datos personales por medios
de Protección de Datos Personales procede la fraudulentos, desleales o ilícitos.
acción contencioso-administrativa. 3. Recopilar datos personales que sean
actualizados, necesarios, pertinentes y adecuados,
“Artículo 25. Derecho a ser indemnizado con relación a finalidades determinadas, explícitas
El titular de datos personales que sea afectado y lícitas para las que se hayan obtenido.
a consecuencia del incumplimiento de la presente 4. No utilizar los datos personales objeto de
Ley por el titular o por el encargado de tratamiento tratamiento para finalidades distintas de aquellas
de datos personales o por terceros, tiene derecho que motivaron su recopilación, salvo que medie
a obtener la indemnización correspondiente, procedimiento de anonimización o disociación.
conforme a ley”. (*) Artículo modificado por la 5. Almacenar los datos personales de manera
Tercera Disposición Complementaria Modificatoria que se posibilite el ejercicio de los derechos de su
del Decreto Legislativo N° 1353, publicado el 7 de titular.
enero de 2017. 6. Suprimir y sustituir o, en su caso, completar
los datos personales objeto de tratamiento cuando
Artículo 26. Contraprestación tenga conocimiento de su carácter inexacto o
La contraprestación que debe abonar el incompleto, sin perjuicio de los derechos del titular
titular de datos personales por el ejercicio de los al respecto.
derechos contemplados en los artículos 19, 20, 21, 7. Suprimir los datos personales objeto de
22 y 23 ante los bancos de datos personales de tratamiento cuando hayan dejado de ser necesarios
administración pública se sujeta a las disposiciones o pertinentes a la finalidad para la cual hubiesen
previstas en la Ley 27444, Ley del Procedimiento sido recopilados o hubiese vencido el plazo para
Administrativo General. su tratamiento, salvo que medie procedimiento de
Ante los bancos de datos personales de anonimización o disociación.
administración privada, el ejercicio de los derechos 8. Proporcionar a la Autoridad Nacional de
mencionados se sujeta a lo dispuesto por las Protección de Datos Personales la información
normas especiales sobre la materia. relativa al tratamiento de datos personales que esta
le requiera y permitirle el acceso a los bancos de
“Artículo 27. Limitaciones datos personales que administra, para el ejercicio
Los titulares y los encargados de tratamiento de sus funciones, en el marco de un procedimiento
de datos personales de administración pública administrativo en curso solicitado por la parte
pueden denegar el ejercicio de los derechos afectada.
de acceso, supresión y oposición por razones 9. Otras establecidas en esta Ley y en su
fundadas en la protección de derechos e intereses reglamento”. (*) Artículo modificado por la Cuarta
de terceros o cuando ello pueda obstaculizar Disposición Complementaria Modificatoria del
actuaciones judiciales o administrativas en curso Decreto Legislativo N° 1353, publicado el 7 de enero
vinculadas a la investigación sobre el cumplimiento de 2017.
de obligaciones tributarias o previsionales, a las
investigaciones penales sobre la comisión de faltas TÍTULO V
o delitos, al desarrollo de funciones de control de
la salud y del medio ambiente, a la verificación BANCOS DE DATOS PERSONALES
de infracciones administrativas, o cuando así
lo disponga la ley”. (*) Artículo modificado por la Artículo 29. Creación, modificación o
Tercera Disposición Complementaria Modificatoria cancelación de bancos de datos personales
del Decreto Legislativo N° 1353, publicado el 7 de La creación, modificación o cancelación de
enero de 2017. bancos de datos personales de administración8 NORMAS LEGALES actualizadas
pública y de administración privada se sujetan a lo las acciones necesarias para el cumplimiento del
que establezca el reglamento, salvo la existencia de objeto y demás disposiciones de la presente Ley y
disposiciones especiales contenidas en otras leyes. de su reglamento. Para tal efecto, goza de potestad
En todo caso, se garantiza la publicidad sobre su sancionadora, de conformidad con la Ley 27444,
existencia, finalidad, identidad y el domicilio de su Ley del Procedimiento Administrativo General,
titular y, de ser el caso, de su encargado. o la que haga sus veces, así como de potestad
coactiva, de conformidad con la Ley 26979, Ley
Artículo 30. Prestación de servicios de de Procedimiento de Ejecución Coactiva, o la que
tratamiento de datos personales haga sus veces.
Cuando, por cuenta de terceros, se presten La Autoridad Nacional de Protección de Datos
servicios de tratamiento de datos personales, estos Personales debe presentar periódicamente un
no pueden aplicarse o utilizarse con un fin distinto informe sobre sus actividades al Ministro de Justicia.
al que figura en el contrato o convenio celebrado Para el cumplimiento de sus funciones, la
ni ser transferidos a otras personas, ni aun para su Autoridad Nacional de Protección de Datos
conservación. Personales cuenta con el apoyo y asesoramiento
Una vez ejecutada la prestación materia del técnico de la Oficina Nacional de Gobierno
contrato o del convenio, según el caso, los datos Electrónico e Informática (ONGEI) de la Presidencia
personales tratados deben ser suprimidos, salvo del Consejo de Ministros, o la que haga sus veces.
que medie autorización expresa de aquel por
cuenta de quien se prestan tales servicios cuando Artículo 33. Funciones de la Autoridad
razonablemente se presuma la posibilidad de Nacional de Protección de Datos Personales
ulteriores encargos, en cuyo caso se pueden La Autoridad Nacional de Protección de Datos
conservar con las debidas condiciones de Personales ejerce las funciones administrativas,
seguridad, hasta por el plazo que determine el orientadoras, normativas, resolutivas, fiscalizadoras
reglamento de esta Ley. (*) Artículo modificado por la y sancionadoras siguientes:
Cuarta Disposición Complementaria Modificatoria del
Decreto Legislativo N° 1353, publicado el 7 de enero de 1. Representar al país ante las instancias
2017, la misma que entró en vigencia al día siguiente internacionales en materia de protección de datos
de la publicación del Decreto Supremo que aprueba personales.
su Reglamento y la modificación del Reglamento de 2. Cooperar con las autoridades extranjeras de
Organización y Funciones del Ministerio de Justicia y protección de datos personales para el cumplimiento
Derechos Humanos, cuyo texto es el siguiente: de sus competencias y generar mecanismos de
cooperación bilateral y multilateral para asistirse
“Artículo 31. Códigos de conducta entre sí y prestarse debido auxilio mutuo cuando
se requiera.
31.1 Las entidades representativas de los 3. Administrar y mantener actualizado el Registro
titulares o encargados de tratamiento de datos Nacional de Protección de Datos Personales.
personales administración privada pueden elaborar 4. Publicitar, a través del portal institucional, la
códigos de conducta que establezcan normas para relación actualizada de bancos de datos personales
el tratamiento de datos personales que tiendan a de administración pública y privada.
asegurar y mejorar las condiciones de operación 5. Promover campañas de difusión y promoción
de los sistemas de información en función de los sobre la protección de datos personales.
principios rectores establecidos en esta Ley.” 6. Promover y fortalecer una cultura de
(*) Artículo modificado por la Cuarta Disposición protección de los datos personales de los niños y
Complementaria Modificatoria del Decreto Legislativo de los adolescentes.
N° 1353, publicado el 7 de enero de 2017. 7. Coordinar la inclusión de información sobre
la importancia de la vida privada y de la protección
TÍTULO VI de datos personales en los planes de estudios
de todos los niveles educativos y fomentar,
AUTORIDAD NACIONAL DE PROTECCIÓN asimismo, la capacitación de los docentes en
DE DATOS PERSONALES estos temas.
8. Supervisar el cumplimiento de las exigencias
Artículo 32. Órgano competente y régimen previstas en esta Ley, para el flujo transfronterizo
jurídico de datos personales.
El Ministerio de Justicia, a través de la Dirección 9. Emitir autorizaciones, cuando corresponda,
Nacional de Justicia, es la Autoridad Nacional de conforme al reglamento de esta Ley.
Protección de Datos Personales. Para el adecuado 10. Absolver consultas sobre protección de
desempeño de sus funciones, puede crear oficinas datos personales y el sentido de las normas
en todo el país. vigentes en la materia, particularmente sobre las
La Autoridad Nacional de Protección de Datos que ella hubiera emitido.
Personales se rige por lo dispuesto en esta Ley, 11. Emitir opinión técnica respecto de los
en su reglamento y en los artículos pertinentes proyectos de normas que se refieran total o
del Reglamento de Organización y Funciones del parcialmente a los datos personales, la que es
Ministerio de Justicia. vinculante.
Corresponde a la Autoridad Nacional de 12. Emitir las directivas que correspondan para
Protección de Datos Personales realizar todas la mejor aplicación de lo previsto en esta Ley yNORMAS LEGALES actualizadas 9
en su reglamento, especialmente en materia de 2. Las comunicaciones de flujo transfronterizo
seguridad de los bancos de datos personales, así de datos personales.
como supervisar su cumplimiento, en coordinación 3. Las sanciones, medidas cautelares o
con los sectores involucrados. correctivas impuestas por la Autoridad Nacional de
13. Promover el uso de mecanismos de Protección de Datos Personales conforme a esta
autorregulación como instrumento complementario Ley y a su reglamento.
de protección de datos personales.
14. Celebrar convenios de cooperación Cualquier persona puede consultar en el Registro
interinstitucional o internacional con la finalidad de Nacional de Protección de Datos Personales la
velar por los derechos de las personas en materia existencia de bancos de datos personales, sus
de protección de datos personales que son tratados finalidades, así como la identidad y domicilio de
dentro y fuera del territorio nacional. sus titulares y, de ser el caso, de sus encargados”.
15. Atender solicitudes de interés particular del (*) Artículo modificado por la Cuarta Disposición
administrado o general de la colectividad, así como Complementaria Modificatoria del Decreto Legislativo
solicitudes de información. N° 1353, publicado el 7 de enero de 2017.
16. Conocer, instruir y resolver las reclamaciones
formuladas por los titulares de datos personales por Artículo 35. Confidencialidad
la vulneración de los derechos que les conciernen El personal de la Autoridad Nacional de
y dictar las medidas cautelares o correctivas que Protección de Datos Personales está sujeto a la
establezca el reglamento. obligación de guardar confidencialidad sobre los
17. Velar por el cumplimiento de la legislación datos personales que conozca con motivo de sus
vinculada con la protección de datos personales y funciones. Esta obligación subsiste aun después
por el respeto de sus principios rectores. de finalizada toda relación con dicha autoridad
18. En el marco de un procedimiento nacional, bajo responsabilidad.
administrativo en curso, solicitado por la parte
afectada, obtener de los titulares de los bancos Artículo 36. Recursos de la Autoridad
de datos personales la información que estime Nacional de Protección de Datos Personales
necesaria para el cumplimiento de las normas sobre
Son recursos de la Autoridad Nacional de
protección de datos personales y el desempeño de
Protección de Datos Personales los siguientes:
sus funciones.
19. Supervisar la sujeción del tratamiento de
1. Las tasas por concepto de derecho de trámite
los datos personales que efectúen el titular y el
de los procedimientos administrativos y servicios de
encargado del banco de datos personales a las
su competencia.
disposiciones técnicas que ella emita y, en caso
2. Los montos que recaude por concepto de
de contravención, disponer las acciones que
multas.
correspondan conforme a ley.
20. Iniciar fiscalizaciones de oficio o por 3. Los recursos provenientes de la cooperación
denuncia de parte por presuntos actos contrarios técnica internacional no reembolsable.
a lo establecido en la presente Ley y en su 4. Los legados y donaciones que reciba.
reglamento y aplicar las sanciones administrativas 5. Los recursos que se le transfieran conforme
correspondientes, sin perjuicio de las medidas a ley.
cautelares o correctivas que establezca el
reglamento. Los recursos de la Autoridad Nacional de
21. Las demás funciones que le asignen esta Protección de Datos Personales son destinados a
Ley y su reglamento. financiar los gastos necesarios para el desarrollo
de sus operaciones y para su funcionamiento.
“Artículo 34. Registro Nacional de Protección
de Datos Personales TÍTULO VII
Créase el Registro Nacional de Protección
de Datos Personales como registro de carácter INFRACCIONES Y SANCIONES
administrativo a cargo de la Autoridad Nacional de ADMINISTRATIVAS
Protección de Datos Personales, con la finalidad de
inscribir en forma diferenciada, a nivel nacional, lo Artículo 37. Procedimiento sancionador
siguiente: El procedimiento sancionador se inicia de
oficio, por la Autoridad Nacional de Protección
1. Los bancos de datos personales de de Datos Personales o por denuncia de parte,
administración pública o privada, así como los ante la presunta comisión de actos contrarios a lo
datos relativos a estos que sean necesarios para dispuesto en la presente Ley o en su reglamento,
el ejercicio de los derechos que corresponden a sin perjuicio del procedimiento seguido en el marco
los titulares de datos personales, conforme a lo de lo dispuesto en el artículo 24.
dispuesto en esta Ley y en su reglamento. Las resoluciones de la Autoridad Nacional de
El ejercicio de esta función no posibilita el Protección de Datos Personales agotan la vía
conocimiento del contenido de los bancos de administrativa.
datos personales por parte de la Autoridad Contra las resoluciones de la Autoridad Nacional
Nacional de Protección de Datos Personales, salvo de Protección de Datos Personales procede la
procedimiento administrativo en curso. acción contencioso-administrativa.10 NORMAS LEGALES actualizadas
“Artículo 38.- Tipificación de infracciones Administrativo General, o la que haga sus veces,
Las infracciones se clasifican en leves, graves la Autoridad Nacional de Protección de Datos
y muy graves, las cuales son tipificadas vía Personales puede imponer multas coercitivas por un
reglamentaria, de acuerdo a lo establecido en el monto que no supere las diez unidades impositivas
numeral 4) del artículo 230 de la Ley Nº 27444, tributarias (UIT), frente al incumplimiento de las
Ley del Procedimiento Administrativo General, obligaciones accesorias a la sanción, impuestas
mediante Decreto Supremo con el voto aprobatorio en el procedimiento sancionador. Las multas
del Consejo de Ministros. coercitivas se imponen una vez vencido el plazo de
Sin perjuicio de las sanciones que en el cumplimiento.
marco de su competencia imponga la autoridad La imposición de las multas coercitivas no impide
competente, esta puede ordenar la implementación el ejercicio de otro medio de ejecución forzosa,
de una o más medidas correctivas, con el objetivo conforme a lo dispuesto en el artículo 196 de la
de corregir o revertir los efectos que la conducta Ley 27444, Ley del Procedimiento Administrativo
infractora hubiere ocasionado o evitar que ésta se General.
produzca nuevamente. El reglamento de la presente Ley regula
Los administrados son responsables lo concerniente a la aplicación de las multas
objetivamente por el incumplimiento de obligaciones coercitivas.
derivadas de las normas sobre protección de datos
personales”. (*) Artículo modificado por la Cuarta DISPOSICIONES COMPLEMENTARIAS
Disposición Complementaria Modificatoria del FINALES
Decreto Legislativo N° 1353, publicado el 7 de enero
de 2017. Primera. Reglamento de la Ley
Para la elaboración del proyecto de reglamento,
Artículo 39. Sanciones administrativas se constituye una comisión multisectorial, la que es
En caso de violación de las normas de esta presidida por la Autoridad Nacional de Protección
Ley o de su reglamento, la Autoridad Nacional de de Datos Personales.
Protección de Datos Personales puede aplicar las El proyecto de reglamento es elaborado en un
siguientes multas: plazo máximo de ciento veinte días hábiles, a partir
de la instalación de la comisión multisectorial, lo
1. Las infracciones leves son sancionadas que debe ocurrir en un plazo no mayor de quince
con una multa mínima desde cero coma cinco de días hábiles, contado a partir del día siguiente de la
una unidad impositiva tributaria (UIT) hasta cinco publicación de la presente Ley.
unidades impositivas tributarias (UIT).
2. Las infracciones graves son sancionadas con Segunda. Directiva de seguridad
multa desde más de cinco unidades impositivas La Autoridad Nacional de Protección de Datos
tributarias (UIT) hasta cincuenta unidades Personales elabora la directiva de seguridad
impositivas tributarias (UIT). de la información administrada por los bancos
3. Las infracciones muy graves son sancionadas de datos personales en un plazo no mayor de
con multa desde más de cincuenta unidades ciento veinte días hábiles, contado a partir del
impositivas tributarias (UIT) hasta cien unidades día siguiente de la publicación de la presente
impositivas tributarias (UIT). Ley.
En tanto se apruebe y rija la referida directiva,
En ningún caso, la multa impuesta puede se mantienen vigentes las disposiciones sectoriales
exceder del diez por ciento de los ingresos brutos sobre la materia.
anuales que hubiera percibido el presunto infractor
durante el ejercicio anterior. Tercera. Adecuación de documentos de
La Autoridad Nacional de Protección de Datos gestión y del Texto Único de Procedimientos
Personales determina la infracción cometida y el Administrativos del Ministerio de Justicia
monto de la multa imponible mediante resolución Estando a la creación de la Autoridad Nacional
debidamente motivada. Para la graduación del de Protección de Datos Personales, en un plazo
monto de las multas, se toman en cuenta los criterios máximo de ciento veinte días hábiles, contado
establecidos en el artículo 230, numeral 3), de la a partir del día siguiente de la publicación de la
Ley 27444, Ley del Procedimiento Administrativo presente Ley, el Ministerio de Justicia elabora las
General, o la que haga sus veces. modificaciones pertinentes en sus documentos de
La imposición de la multa se efectúa sin gestión y en su Texto Único de Procedimientos
perjuicio de las sanciones disciplinarias sobre el Administrativos.
personal de las entidades públicas en los casos
de bancos de datos personales de administración Cuarta. Adecuación normativa
pública, así como de la indemnización por daños Dentro del plazo de sesenta días hábiles, el
y perjuicios y de las sanciones penales a que Poder Ejecutivo remite al Congreso de la República
hubiera lugar. un proyecto de ley que contenga las modificaciones
necesarias a las leyes existentes a efectos de su
Artículo 40. Multas coercitivas adecuación a la presente Ley.
En aplicación de lo dispuesto en el artículo Para las normas de rango inferior, las entidades
199 de la Ley 27444, Ley del Procedimiento públicas competentes revisan la normativaNORMAS LEGALES actualizadas 11
correspondiente y elaboran las propuestas artículo 17 del Texto Único Ordenado de la Ley
necesarias para su adecuación a lo dispuesto en 28706 , Ley de Transparencia y Acceso a la
esta Ley. Información Pública, constituye dato sensible
En ambos casos se requiere la opinión técnica conforme a los alcances de esta Ley.(*)
favorable previa de la Autoridad Nacional de
Protección de Datos Personales, de conformidad Novena. Inafectación de facultades de la
con el artículo 33 numeral 11. administración tributaria
Lo dispuesto en la presente Ley no se debe
Quinta. Bancos de datos personales interpretar en detrimento de las facultades de la
preexistentes administración tributaria respecto de la información
Los bancos de datos personales creados con que obre y requiera para sus registros, o para el
anterioridad a la presente Ley y sus respectivos cumplimiento de sus funciones.
reglamentos deben adecuarse a esta norma
dentro del plazo que establezca el reglamento. Sin Décima. Financiamiento
perjuicio de ello, sus titulares deben declararlos La realización de las acciones necesarias para la
ante la Autoridad Nacional de Protección de Datos aplicación de la presente Ley se ejecuta con cargo
Personales, con sujeción a lo dispuesto en el al presupuesto institucional del pliego Ministerio de
artículo 29. Justicia y de los recursos a los que hace referencia
el artículo 36, sin demandar recursos adicionales al
Sexta. Hábeas data Tesoro Público.
Las normas establecidas en el Código Procesal
Constitucional sobre el proceso de hábeas Duodécima. Vigencia de la Ley
data se aplican en el ámbito constitucional, La presente Ley entra en vigencia conforme a
independientemente del ámbito administrativo lo siguiente:
materia de la presente Ley. El procedimiento
administrativo establecido en la presente Ley no 1. Las disposiciones previstas en el Título II, en
constituye vía previa para el ejercicio del derecho el primer párrafo del artículo 32 y en las primera,
vía proceso constitucional. segunda, tercera, cuarta, novena y décima
disposiciones complementarias finales rigen a
Sétima. Competencias del Instituto Nacional partir del día siguiente de la publicación de esta
de Defensa de la Competencia y de la Protección Ley.
de la Propiedad Intelectual (Indecopi) 2. Las demás disposiciones rigen en el plazo
La Autoridad Nacional de Protección de Datos de treinta días hábiles, contado a partir de la
Personales es competente para salvaguardar publicación del reglamento de la presente Ley.
los derechos de los titulares de la información
administrada por las Centrales Privadas de Comuníquese al señor Presidente de la
Información de Riesgos (Cepirs) o similares República para su promulgación.
conforme a los términos establecidos en la presente
Ley. En Lima, a los veintiún días del mes de junio de
Sin perjuicio de ello, en materia de infracción dos mil once.
a los derechos de los consumidores en general
mediante la prestación de los servicios e CÉSAR ZUMAETA FLORES
información brindados por las Cepirs o similares, Presidente del Congreso de la República
en el marco de las relaciones de consumo,
son aplicables las normas sobre protección ALDA LAZO RÍOS DE HORNUNG
al consumidor, siendo el ente competente Segunda Vicepresidenta del Congreso
de manera exclusiva y excluyente para la de la República
supervisión de su cumplimiento la Comisión de
Protección al Consumidor del Instituto Nacional AL SEÑOR PRESIDENTE CONSTITUCIONAL
de Defensa de la Competencia y de la Protección DE LA REPÚBLICA
de la Propiedad Intelectual (Indecopi), la que
debe velar por la idoneidad de los bienes y POR TANTO:
servicios en función de la información brindada
a los consumidores. Mando se publique y cumpla.
Octava. Información sensible Dado en la Casa de Gobierno, en Lima, a los
Para los efectos de lo dispuesto en la Ley dos días del mes de julio del año dos mil once.
27489, Ley que Regula las Centrales Privadas de
Información de Riesgos y de Protección al Titular ALAN GARCÍA PÉREZ
de la Información, se entiende por información Presidente Constitucional de la República
sensible la definida como dato sensible por la
presente Ley. ROSARIO DEL PILAR FERNÁNDEZ FIGUEROA
Igualmente, precísase que la información Presidenta del Consejo de Ministros y
confidencial a que se refiere el numeral 5) del Ministra de JusticiaTambién puede leer
