Embed Size (px)
Citation preview
05
150CA DEz 4045
4- O
Expediente N° 004-2015-PTT
N° 022-2015-JUSIDGPDP
Lima, 30 de julio de 2015
VISTO: El documento con registro N° 029846 de 18 de ma o de 2015, el cual contiene la reclamación formulada por contra el Banco Ripley Perú S.A.
CONSIDERANDO:
I. Antecedentes.
1.1 Con documento indicado en el visto, (en lo sucesivo la reclamante) solicitó tutela ante la Dirección General de Protección de Datos Personales (en lo sucesivo la DGPDP) y señaló que el Banco Ripley Perú S.A. (en lo sucesivo el reclamado) no atendió debidamente el derecho de cancelación de sus datos personales.
1.2 Con escrito recibido por el reclamado el 7 de abril de 2015, la reclamante solicitó lo siguiente:
"(...) Mediante la presente comunico la revocación de mi consentimiento para el tratamiento de mis datos personales con la finalidad de enviarme publicidad o noticias a través de llamadas telefónicas, SMS o correo electrónico. Debiéndose limitar solo a las comunicaciones referidas al estado de cuenta. Revoco mi consentimiento amparado en lo dispuesto por el numeral 7 del artículo 13 de la Ley de Protección de Datos Personales y el artículo 16 de su Reglamento (...)".
Página 1 de 8
1.3 Con Oficio N° 283-2015-JUS/DGPDP notificado el 12 de junio de 2015, y con Oficio N° 284-2015-JUS/DGPDP notificado el 15 de junio de 2015, la DGPDP puso en conocimiento de la reclamante y del reclamado lo siguiente:
"(...) - La revocación del consentimiento no supone el ejercicio del derecho de cancelación (ejercicio de los derechos ARCO), sino un procedimiento distinto, previsto por el artículo 16 del Reglamento de la LPDP que regula los alcances del consentimiento, a través del cual el titular de los datos personales puede negar o revocar el consentimiento otorgado.
- Corresponde al responsable del tratamiento: (i) adecuar los nuevos tratamientos a la revocatoria y los tratamientos que estuvieran en proceso de efectuarse, en el plazo que resulte de una actuación diligente, que no podrá ser mayor a cinco (5) días, y (ii) establecer mecanismos fácilmente accesibles e incondicionales, sencillos, rápidos y gratuitos para hacer efectiva la revocación; por lo que el responsable del tratamiento deberá acreditar ante el titular de los datos personales la confirmación del cese del tratamiento en los extremos en los cuales revocó el consentimiento, en cuyo caso deberá responder expresamente a la solicitud de revocación.
- Se infiere que la reclamante busca una respuesta sobre la atención a su revocación, que implica información sobre las medidas necesarias para el cese del tratamiento en los extremos en los cuales revocó su consentimiento, toda vez que no ha recibido respuesta a su solicitud de revocación; por lo que la DGPDP debe encausar la solicitud de la administrada al ejercicio del derecho de acceso. (...)".
En ese sentido, se notificó al reclamado para que, en vía de acceso, informe en el plazo de 15 (quince) días a la DGPDP la forma en que ha atendido la solicitud de revocación y ha procedido al cese del tratamiento de los datos personales de la reclamada para las finalidades que han quedado sin consentimiento.
II. Contestación de la reclamación.
oulroclat 2.1 Con documento de registro N° 038450 recibido el 26 de junio de 2015, dentro del plazo legal, el reclamado puso en conocimiento de la DGPDP lo siguiente:
"(...) Adjuntamos copia de la carta de respuesta al cliente, en donde se le indica que, de acuerdo con lo dispuesto por la Ley N° 29733, Ley de Protección de Datos Personales, los datos de su persona que dispone el Banco Ripley Perú S.A. no serán tratados para fines de publicidad y prospección comercial y análisis de perfiles.
También se indica que debido a que dicho cliente mantiene una relación contractual vigente con el Banco Ripley Perú S.A., no resulta procedente revocar todo tratamiento de los datos de su persona debido a que dichos datos son necesarios para el cumplimiento de la relación contractual de su producto tarjeta de crédito (...)".
El reclamado adjunta copia de la carta recibida por la reclamante el 25 de junio de 2015 que corresponde al expediente N° 00020/2015 y que puso en su conocimiento lo informado a la DGPDP en el párrafo precedente.
Página 2 de 8
III. Competencia.
3.1 La competencia para resolver el procedimiento trilateral de tutela corresponde al Director General de la DGPDP, conforme con lo establecido por el artículo 24 de la Ley N° 29733, Ley de Protección de Datos Personales (en lo sucesivo la LPDP) y artículo 74 del Reglamento de la LPDP, aprobado por Decreto Supremo N° 003-2013- JUS.
IV. Análisis.
4.1 De la revisión del expediente administrativo se evidencian dos aspectos:
Primer aspecto:
• El 26 de junio de 2015 el reclamado ha acreditado ante la DGPDP la comunicación que responde a la solicitud de revocación e informa del cese del tratamiento en los extremos en los cuales la reclamante revocó el consentimiento
En el presente caso, la carta de 25 de junio de 2015 del reclamado dirigida a la reclamante ha contestado la solicitud de revocación.
De ahí que el reclamado ha cumplido con lo ordenado por la DGPDP, con relación a la tutela del derecho de acceso de la reclamante.
Como resultado de estas consideraciones, se concluye que en cuanto a la tutela del derecho de la reclamante:
El reclamado ha cumplido con informar en vía de acceso lo ordenado por la DGPDP.
Tal conducta se dio como resultado de una "orden" dada por la DGPDP y no por el cumplimiento oportuno de la Ley por parte del reclamado. Es decir, se ha cumplido con atender la solicitud de tutela en el marco o como consecuencia del procedimiento trilateral de tutela y no antes.
Página 3 de 8
L A. Quiroga L
Segundo aspecto:
• El 7 de abril de 2015 la reclamante presentó la solicitud de revocación ante el reclamado.
■ El 18 de mayo de 2015 la reclamante presentó la solicitud de tutela ante la DGPDP.
• El 15 de junio de 2015 la DGPDP ordenó al reclamado que atienda en vía de acceso la solicitud de revocación de la reclamante.
De ello, se advierten los siguientes hechos:
■ Para iniciar el procedimiento trilateral de tutela, el titular de datos personales debe presentar con la solicitud de tutela: (i) el cargo de la solicitud que previamente envió al responsable del tratamiento para obtener de él la tutela de su derecho, o, (ii) el documento que contenga la respuesta denegatoria o insatisfactoria del responsable del tratamiento, de haberla recibido'.
La reclamante ha presentado el cargo de la solicitud de tutela, entendiéndose que a la fecha que ha sido interpuesta la reclamación, el reclamado no le había dado respuesta y que por tal motivo dio inicio al procedimiento administrativo.
■ El responsable del tratamiento ha demostrado que ha atendido la solicitud de revocación; sin embargo, no ha acreditado una actuación diligente para contestar tal solicitud, entendiéndose que ha sido a partir de una "orden" de la DGPDP que ha respondido al titular de datos personales en la forma y en los plazos previstos por el artículo 16 del Reglamento de la LPDP.
De ahí que, el reclamado, al momento de recibir la solicitud de revocación, no había implementado los mecanismos para atender y hacer efectiva la revocación, toda vez que fue necesario solicitar tutela ante la DGPDP cuando no obtuvo respuesta.
Si el reclamado hubiese tenido implementado los mecanismos (a la fecha de presentación de la solicitud de revocación) éste hubiese informado a la DGPDP que ya había atendido a la reclamada en su oportunidad, argumento que no ha empleado en ningún caso.
Como resultado de estas consideraciones, se concluye que en cuanto a los mecanismos para atender y hacer efectiva la revocación del consentimiento de los titulares de datos personales:
El reclamado no ha cumplido con implementar en los plazos correspondientes lo dispuesto por el artículo 16 del Reglamento de la LPDP que dispone:
' Artículo 74 del Reglamento de la LPDP.- Procedimiento trilateral de tutela. Página 4 de 8
"Artículo 16 del Reglamento de la LPDP.- Negación, revocación y alcances del consentimiento: (...) En caso de revocatoria, es obligación de quien efectúa el tratamiento de los datos personales adecuar los nuevos tratamientos a la revocatoria y los tratamientos que estuvieran en proceso de efectuarse en el plazo que resulte de una actuación diligente, que no podrá ser mayor a cinco (5) días. Si la revocatoria afecta la totalidad del tratamiento de datos personales que se venía haciendo, el titular o encargado del banco de datos personales, o en su caso el responsable del tratamiento, aplicará las reglas de cancelación o supresión de datos personales. El titular del banco de datos personales o quien resulte responsable del tratamiento debe establecer mecanismos fácilmente accesibles e incondicionales, sencillos, rápidos y gratuitos para hacer efectiva la revocación "2.
En consecuencia, se ha incurrido en infracción sancionable conforme con las disposiciones contenidas en la LPDP y su Reglamento en relación con la atención de los derechos del titular de datos personales.
4.2 La DGPDP en el marco de su función sancionadora se encuentra facultada para la imposición de las sanciones administrativas previstas por el artículo 39 de la LPDP, en el caso de que el responsable del tratamiento no otorgue al titular de datos personales total o parcialmente los medios para el ejercicio de los derechos establecidos en la LPDP y su Reglamento. El último párrafo del artículo 24 de la LPDP que regula el derecho a la tutela establece que:
"(...) La resolución de la Autoridad Nacional de Protección de Datos Personales agota la vía administrativa y habilita la imposición de las sanciones administrativas previstas en el artículo 39. El reglamento determina las instancias correspondientes".
2 El subrayado ha sido incorporado por la DGPDP para una mayor precisión.
Página 5 de 8
La DGPDP determina la infracción cometida y el monto de la multa imponible, tomando en cuenta para la graduación del monto los criterios establecidos por el artículo 230, numeral 3 de la LPAG3.
De manera que, la DGPDP debe prever que la comisión de la conducta sancionable no resulte más ventajosa para el infractor que cumplir las normas infringidas o asumir la sanción administrativa, por lo que ésta penalidad debe ser proporcional al incumplimiento calificado como infracción, observando los criterios que la LPAG señala para efectos de su graduación'.
La DGPDP considera como hechos relevantes para determinar la gravedad de la infracción:
• La gravedad del daño al interés público vio bien jurídico protegido.- La conducta infractora del reclamado afecta el derecho fundamental a la protección de los datos personales de la reclamante amparado por el numeral 6 del artículo 2 de la Constitución Política del Perú.
• El perjuicio económico causado.- No se advierte.
• La repetición vio continuidad en la comisión de la infracción.- No se advierte.
■ Las circunstancias de la comisión de la infracción.- El Reglamento de la LPDP ha entrado en vigencia el 8 de mayo de 2013; por lo que el reclamado ha debido implementar a partir de tal fecha los mecanismos para atender y hacer efectiva la revocación del consentimiento de los titulares de datos personales.
■ El beneficio ilegalmente obtenido: No se advierte.
• La existencia o no de intencionalidad en la conducta del infractor: La conducta infractora del reclamado ha demostrado intención de eludir la responsabilidad; toda vez que no ha respondido a la solicitud de revocación al momento de su presentación y sí ha respondido a la solicitud de tutela por orden de la DGPDP.
La DGPDP dentro de sus competencias conoce, instruye y resuelve las reclamaciones formuladas por los titulares de datos personales por la vulneración de los derechos que les conciernen y dicta las medidas correctivas que correspondan5.
Artículo 39 de la LPDP.- Sanciones administrativas: "(...) La Autoridad Nacional de Protección de Datos Personales determina la infracción cometida y el monto de la multa imponible mediante resolución debidamente motivada. Para la graduación del monto de las multas, se toman en cuenta los criterios establecidos en el artículo 230, numeral 3), de la Ley 27444, Ley del Procedimiento Administrativo General, o la que haga sus veces. La imposición de la multa se efectúa sin perjuicio de las sanciones disciplinarias sobre el personal de las entidades públicas en los casos de bancos de datos personales de administración pública, asi como de la indemnización por daños y perjuicios y de las sanciones penales a que hubiera lugar',
4 Artículo 230 numeral 3 de la LPAG.- Principios de la potestad sancionadora administrativa: "(...) Razonabllidad.- Las autoridades deben prever que la comisión de la conducta sancionable no resulte más ventajosa para el infractor que cumplir las normas infringidas o asumir la sanción. Sin embargo, las sanciones a ser aplicadas deberán ser proporcionales al incumplimiento calificado como infracción, debiendo observar los siguientes criterios que en orden de prelación se señalan a efectos de su graduación: a) La gravedad del daño al interés público y/o bien jurídico protegido; b) El perjuicio económico causado; c) La repetición y/o continuidad en la comisión de la infracción; d) Las circunstancias de la comisión de la infracción; e) El beneficio ilegalmente obtenido; y f) La existencia o no de intencionalidad en la conducta del infractor (...)".
5 Artículo 33 numeral 16 de la LPDP.- Funciones de la APDP: "(...) 16. Conocer, instruir y resolver las reclamaciones formuladas por los titulares de datos personales por la vulneración de los derechos que les conciernen y dictar las medidas cautelares o correctivas que establezca el reglamento (...)".
Página 6 de 8
.TieeotcYieczi
En ese sentido, se advierte que el reclamado ha incurrido en infracción administrativa tipificada en el numeral 1) literal b) del artículo 38 de la LPDP que dispone:
"Artículo 38.- Infracciones: "Constituye infracción sancionable toda acción u omisión que contravenga o incumpla alguna de las disposiciones contenidas en esta Ley o en su Reglamento. Las infracciones se califican como leves, graves y muy graves. 1. Son infracciones leves: (...) b. No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales reconocidos en el título III, cuando legalmente proceda (...)".
En la línea de lo explicado, los derechos ARCO6 permiten al ciudadano defender su privacidad controlando por sí mismo el uso que se hace de sus datos personales, y en particular, el derecho a que éstos se supriman cuando resulten irrelevantes, desactualizados, innecesarios o excesivos. De ahí que, lo que realmente persigue la reclamante es que cese el tratamiento de sus datos personales para las finalidades que han quedado sin consentimiento; y en este contexto el mandato de la DGPDP debe incluir la orden de mantener el "cese" solicitado.
Por las consideraciones expuestas y de conformidad con lo dispuesto por la Ley N° 29733, Ley de Protección de Datos Personales y su Reglamento, aprobado por Decreto Supremo N° 003-2013-JUS.
SE RESUELVE:
Artículo 1.- Declarar FUNDADA la reclamación formulada por contra el Banco Ripley Perú S.A.; por cuanto no se ha acreditado
una actuación diligente dentro de los plazos y la forma prevista por Ley para atender el ejercicio de los derechos del titular de datos personales; sin perjuicio de advertir que a la fecha de resolver este extremo ya ha sido atendido.
6 Derechos de Acceso, Rectificación, Cancelación y Oposición.
Página 7 de 8
Artículo 2.- ORDENAR al Banco Ripley Perú S.A. como medidas correctivas:
(i) Mantener el cese de los tratamientos de los datos personales de en cuanto a publicidad, prospección comercial y análisis de
perfiles.
(ii) Adoptar las medidas necesarias, informando a la Dirección General de Protección de Datos Personales en el plazo de diez (10) días, para que en lo sucesivo ofrezca mecanismos que permitan atender y hacer efectiva la revocación del consentimiento y las solicitudes de derechos ARCO en los plazos y en las formas previstas por Ley; bajo apercibimiento de iniciar de oficio el procedimiento de fiscalización correspondiente, ante la detección de su incumplimiento.
Artículo 3.- SANCIONAR al Banco Ripley Perú S.A, por haber incurrido en infracción leve tipificada por el artículo 38, numeral 1), literal b) de la Ley N° 29733, Ley de Protección de Datos Personales, por "no atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales reconocidos en el titulo III, cuando legalmente proceda"; e imponerle la sanción de multa correspondiente a cuatro (4) Unidades Impositivas Tributarias, conforme con lo establecido por el artículo 39 numeral 1 de la referida Ley.
Artículo 4.- NOTIFICAR al Banco Ripley Perú S.A.; que la presente resolución puede ser impugnada dentro de los quince (15) días hábiles siguientes de su notificación mediante recurso de reconsideración, el que una vez resuelto agota la vía administrativa7.
Artículo 5.- NOTIFICAR a los interesados la presente resolución.
Regístrese y comuníquese.
............................................. JOSÉ ALVARO QUIRO e Director General de Protección de Datos personales
+1;-ic,torin de Justicia y Derechos Humanos
7 El término para la interposición del recurso de reconsideración es de quince (15) días perentorios, y deberá resolverse en el plazo de treinta (30) días, según lo dispuesto por el numeral 207.2 del artículo 207 de la Ley N° 27444, Ley de Procedimiento Administrativo General.
Artículo 212 de la LPAG.- Acto firme: "Una vez vencidos los plazos para interponer los recursos administrativos se perderá el derecho a articularlos quedando firme el acto".
Página 8 de 8
