Q 0 1CA DE, A 4- · que se sustenta en las Actas de Fiscalización N° 01-2016 de fecha 01 de marzo de 2016 ... registro de las evidencias producto de la interacción lógica de la

0_1CA DE, Q A

4-

Expediente N° 20-2017-JUS/DPDP-PS

Resolución N° 375-2017-JUS/DGPDP-DS

Lima, 31 de agosto de 2017

VISTO: E Informe N° 040-2016-JUS/DGPDP-DSC de fecha 28 de junio de 2016, que se sustenta en las Actas de Fiscalización N° 01-2016 de fecha 01 de marzo de 2016 y N° 02-2016 de fecha 08 de marzo de 2016 (Expediente de Fiscalización N° 007-2016-DSC), emitido por la Dirección de Supervisión y Control (en adelante, DSC) de la Dirección General de Protección de Datos Personales, el escrito de descargo presentado por CEOP PRIVATEACHER INTERNATIONAL, el 20 de octubre de 2016 (Registro N° 63017); y demás documentos y anexos que obran en el respectivo expediente administrativo, y;

CONSIDERANDO:

I. Antecedentes

1. Mediante la Orden de Visita de Fiscalización N° 009-2016-JUS/DGPDP-DSC de fecha 29 de febrero de 2016, la DSC dispuso la realización de una visita de fiscalización a CEOP PRIVATEACHER INTERNATIONAL con Registro Único de Contribuyente — RUC N° 20264234141, diligencia realizada en Avenida Arequipa N° 2655, distrito de San Isidro, provincia y departamento de Lima (folio 1).

,2. M. GONZALEZ L.

La indicada visita de fiscalización fue llevada a cabo por personal de la DSC el día 01 de marzo de 2016, constando los hechos verificados en el Acta de Fiscalización N° 01-2016, en el marco de la visita se programó una segunda visita de fiscalización para el día 08 de marzo de 2016 en el mismo domicilio, constando los hechos verificados en el Acta de Fiscalización N° 02-2016 (folios 11 a 15 y 30 a 34).

3. Con fecha 28 de junio de 2016, poniendo en conocimiento los resultados de la fiscalización realizada a CEOP PRIVATEACHER INTERNATIONAL, la DSC remitió a la Dirección de Sanciones el Informe N° 040-2016-JUS/DGPDP-DSC (folios 68 a 75), adjuntando, a su vez, las actas mencionadas en el considerando precedente y demás anexos y documentos que conforman el respectivo expediente administrativo.

Página 1 de 20

4. Mediante Resolución Directoral N° 228-2016-JUS/DGPDP-DS de fecha 29 de agosto de 2016, la Dirección de Sanciones resolvió iniciar procedimiento administrativo sancionador a CEOP PRIVATEACHER INTERNATIONAL, por la presunta comisión de las infracciones previstas en el literal a. del numeral 1 y en el literal a. del numeral 2 del artículo 38 de la Ley N° 29733, Ley de Protección de Datos Personales (en adelante, LPDP), consideradas como infracciones leve y grave respectivamente, ambas pasibles de ser sancionadas con multa (folios 79 a 84).

En el primer caso, se le atribuye a CEOP PRIVATEACHER INTERNATIONAL recopilar datos personales mediante las opciones "obtén más información" y "contáctanos" del sitio web www.privateacher.edu.pe y del formulario virtual de la plataforma "Privateacher Online English Course" http://ermlishonline.pe/inicio, sin recabar el necesario consentimiento de los titulares de los datos personales, tal como lo establece el artículo 13 de la LPDP; imputándosele la comisión de la infracción leve tipificada en el literal a. del numeral 1 del artículo 38 de la LPDP, esto es "Dar tratamiento a datos personales sin recabar el consentimiento de sus titulares, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley':

4.2 En el segundo caso, se le atribuye a CEOP PRIVATEACHER INTERNATIONAL no haber puesto en conocimiento de la Dirección General de Protección de Datos Personales la realización de flujo transfronterizo de los datos personales de los usuarios del sitio web www.privateacher.edu.pe y la plataforma "Privateacher Online English Course" http://enqlishonline.pe/inicio dado que los servidores que almacenan los datos se ubican, respectivamente, en Canadá y Estados Unidos de América, incumpliendo la obligación establecida en el segundo párrafo del artículo 26 del Reglamento de la LPDP, imputándosele la comisión de la infracción grave tipificada en el literal a. del numeral 2 del artículo 38 de la LPDP, esto es "Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento".

4.3 En el tercer caso, se le atribuye a CEOP PRIVATEACHER INTERNATIONAL respecto al banco de datos automatizado, no tener documentado sus procedimientos de gestión de accesos y gestión de privilegios, ni mantener registro de las evidencias producto de la interacción lógica de la base de datos y respecto al banco de datos personales no automatizado, almacenar los datos personales de sus estudiantes en ambientes sin llave u otro medio de seguridad;

Página 2 de 20

/5\..sCA DES A

<2 110.

000 1 01

incumpliendo lo establecido en los artículos 39 y 42 del Reglamento de la LPDP, lo que contraviene el principio de seguridad establecido en el artículo 9 de la LPDP1, imputándosele la comisión de la infracción grave tipificada en el literal a. del numeral 2 del artículo 38 de la LPDP, esto es "Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento".

5. La Resolución Directoral N° 228-2016-JUS/DGPDP-DS fue notificada a CEOP PRIVATEACHER INTERNATIONAL el 28 de septiembre de 2016 mediante Oficio N° 466-2016-JUS/DGPDP-DS (folio 85).

6. Con fecha 20 de octubre de 2016, CEOP PRIVATEACHER INTERNATIONAL presentó sus descargos ingresado mediante documento con Registro N° 63017 (folios 87 a 94), señalando lo siguiente:

(i) Respecto al consentimiento: — Al ser una institución educativa le sería aplicable lo que rige para la

administración pública, por lo que estaría dentro de la excepción para obtener el consentimiento señalada en el numeral 1 del artículo 14 de la LPDP que dispone que "No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos: 1. Cuando los datos personales se recopilen o transfieran para el ejercicio de las funciones de las entidades públicas en el ámbíto de sus competencias".

— No necesitarían recabar el consentimiento de los usuarios de los sitios web "obtén más información" y "contáctanos", por cuanto es la única manera de dar respuesta a las personas que manifiestan interés en los servicios educativos que brindan, lo cual puede derivar en un contrato de servicios educativos, encontrándose en el supuesto de la excepción para obtener el consentimiento señalada en el numeral 5 del artículo 14 de la LPDP que dispone que "No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos: (...)5. Cuando los datos personales sean necesarios para la ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se

1 Artículo 9. Principio de seguridad El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate.

Página 3 de 20

M. OW.ZALEZ L.

trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento".

(ii) Respecto al flujo transfronterizo de datos personales: — No habrían realizado flujo transfronterizo de datos personales, por cuanto los

datos son ingresados por el usuario de la misma manera en que éste realiza sus búsquedas en Internet, en tal sentido las personas que acceden a su web lo hacen de manera voluntaria e informada, en función al consentimiento dado previamente al momento en que decidió compartir su información en la gran plataforma de datos que es Internet.

— El único que transfiere datos es el titular del dato personal al llenar el formulario a través de su proveedor de Internet de manera que pueda ser recibida por la empresa.

— La ubicación de los servidores web en Estados Unidos y Canadá no determina que hayan realizado flujo transfronterizo de datos personales, toda vez que para ello se requiere una transferencia internacional que necesitaría primero recibir la información en su servidor local para luego transferirla fuera del país, siendo que no reciben los datos de los usuarios de los sitios web pues ellos acceden a los formularios a través de su proveedor de internet y los envían a otro proveedor, luego la institución educativa recibe la información en la dirección de correo incilesaprivateacher.edu.pe.

(iii) Respecto a medidas de seguridad: — En la visita de fiscalización los archivadores se encontraban dentro de un

ambiente que solo podía ser usado por profesores con cerradura, sin embargo esto último no se pudo probar por ausencia del responsable de las llaves.

— Los archivadores se encuentran en un área restringida fuera del alcance del público y cuentan con cerradura y llave, asimismo, han dispuesto que el personal encargado de las llaves esté permanentemente en su ubicación. Adjuntan fotografías para probar lo indicado. Si bien no existe un procedimiento documentado de gestión de accesos y privilegios, cuentan con un registro de interacción de usuarios, en la medida que se registra al usuario que ingresa y/o modifica alguna información.

— A fin de adecuarse a la normativa vigente, se está completando el registro de interacción de usuarios y diseñando sus procedimientos de disposición.

7. Con Resolución Directoral N° 007-2017-JUS/DGPDP-DS de fecha 05 de enero de 2017, notificada el 24 de febrero de 2017, la Dirección de Sanciones, en virtud

Página 4 de 20

000102 cpC A Dez

A

42-

~- Q

a lo establecido en el artículo 122 del Reglamento de la LPDP, cerró la etapa instructiva del procedimiento administrativo sancionador.

8. Con Memorando N° 05-2017-JUS/DGTAIPD de fecha 21 julio de 2017, la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales conforme a las funciones establecidas en el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos aprobado por Decreto Supremo N° 013-2017-JUS remite a la Dirección de Protección de Datos Personales los actuados para que resuelva en primera instancia el procedimiento administrativo sancionador iniciado.

9. En tal situación, el presente procedimiento quedó expedito para ser resuelto.

II. Competencia

La Directora de la Dirección de Protección de Datos Personales, es competente para resolver en primera instancia, los procedimientos administrativos sancionadores iniciados por la Dirección de Fiscalización e Instrucción, de conformidad con lo dispuesto en el artículo 74 del Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos aprobado por Decreto Supremo N° 013-2017-JUS.

-GOViiALEZ L

III. Análisis

11. En ejercicio de sus facultades y conforme a sus competencias, corresponde a la Dirección de Protección de Datos Personales de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales determinar si se han cometido infracciones a la LPDP y a su respectivo reglamento. En el presente caso, para emitir pronunciamiento se debe analizar:

11.1 Si CEOP PRIVATEACHER INTERNATIONAL cometió infracción a la LPDP y a su Reglamento, al haber realizado tratamiento de datos personales mediante su sitio web www.privateacher.edu.pe y la plataforma "Privateacher Online English Course" http://enqlishonline.pe/inicio sin solicitar el consentimiento de los usuarios de conformidad con lo establecido en el artículo 13 de la LPDP y el numeral 4 del artículo 12 del Reglamento de la LPDP; imputándosele la comisión de la infracción leve tipificada en el literal a. del numeral 1 del artículo 38 de la LPDP, esto es "Dar tratamiento a datos personales sin recabar el consentimiento

Página 5 de 20

de sus titulares, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley".

11.2 Si CEOP PRIVATEACHER INTERNATIONAL no puso en conocimiento de la Dirección General de Protección de Datos Personales la realización de flujo transfronterizo de los datos personales recopilados mediante su sitio web www.privateacher.edu.pe y la plataforma "Privateacher Online English Course" http://enolishonline.pe/inicio, en virtud de que el sitio web y la plataforma se encuentran ubicados, respectivamente, en Canadá y Estados Unidos de América, incumpliendo lo dispuesto en el artículo 26 del Reglamento de la LPDP, lo que configuraría la infracción grave tipificada en el literal a. del numeral 2 del artículo 38° de la LPDP, vale decir, "Dar tratamiento a datos personales

ALEZ L. contraviniendo los principios establecidos en la presente Ley o incumplimiento sus demás disposiciones o las de su Reglamento".

11.3 Si CEOP PRIVATEACHER INTERNATIONAL cometió infracción a la LPDP y a su Reglamento, al no haber implementado las medidas de seguridad necesarias para el resguardo _de los datos personales, respecto al banco de datos automatizado al no contar con procedimientos documentados de gestión de accesos y gestión de privilegios y al no generar ni mantener registros de evidencias producto de la interacción lógica de la base de datos; y respecto al banco de datos no automatizado al almacenar las copias de los contratos que contienen datos personales en el Área de Caja en un archivador sin cerradura; por lo que estaría incumpliendo lo señalado en el artículo 39 y 42 de la LPDP, así como el principio de seguridad recogido en el artículo 9 de la LPDP; lo que configuraría la infracción grave tipificada en el literal a. del numeral 2 del artículo 38 de la LPDP, esto es "Dar tratamiento a datos personales contraviniendo los principios establecidos en la presente Ley o incumplimiento sus demás disposiciones o las de su Reglamento".

12. Con relación al aspecto referido en el considerando 11.1, señalamos lo siguiente:

12.1 Mediante Informe N° 040-2016-JUS/DGPDP-DSC, la DSC concluyó lo siguiente:

"(.•.) 3. El CEOP PRIVATEACHER INTERNATIONAL no solicita el consentimiento para el tratamiento de los datos personales recopilados mediante el sitio web www.privateacheredume y la plataforma "Privateacher Online English Course" (http://enalisoonline.pe/inicio). Dicha conducta constituiría infracción conforme el literal a) del numeral 1 del artículo 38° de la LPDP.

Página 6 de 20

O0}10 53‘,..1CA DEy 4. A

4k.

12.2 Las actuaciones de fiscalización constataron que CEOP PRIVATEACHER INTERNATIONAL recopila los siguientes datos personales: nombre completo, dirección, distrito, teléfono, e-mail, mensaje mediante la opción "contáctanos" y "obtén más información; de su sitio web www.privateacher.edu.pe, con la finalidad de que los usuarios obtengan un examen de clasificación gratis y hacerles llegar información sobre los programas de enseñanza que ofrece (folios 60 y 61).

12.3 En el caso que nos ocupa, se ha podido constatar que no figura alguna clausula mediante la cual se le solicite al usuario el consentimiento para el tratamiento de sus datos personales y, por otro lado, se comprueba que la política de privacidad no incluye toda la información que el numeral 4 del artículo 12 de la LPDP2 establece que debe presentarse al titular de los datos de manera previa a la recopilación de los datos personales (folio 72).

4 El principio de consentimiento consagrado en el artículo 5 de la LPDP, dispone que "Para el tratamiento de los datos personales debe mediar el consentimiento de su titular". En ese sentido, el numeral 13 del artículo 13.5 señala que "Los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco".

'Artículo 12.- Características del consentimiento. Además de lo dispuesto en el artículo 18 de la Ley y en el artículo precedente del presente reglamento, la obtención del consentimiento debe ser:

(-..) 4. Informado: Cuando al titular de los datos personales se le comunique clara, expresa e indubitablemente, con lenguaje sencillo, cuando menos de lo siguiente: a. La identidad y domicilio o dirección del titular del banco de datos personales o del responsable del tratamiento al que puede dirigirse para revocar el consentimiento o ejercer sus derechos. b. La finalidad o finalidades del tratamiento a las que sus datos serán sometidos. c. La identidad de los que son o pueden ser sus destinatarios, de ser el caso. d. La existencia del banco de datos personales en que se almacenarán, cuando corresponda. e. El carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, cuando sea el caso. f. Las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo. g. En su caso, la transferencia nacional e internacional de datos que se efectúen.

(---)

Página 7 de 20

12.5 Respecto a lo alegado por CEOP PRIVATEACHER INTERNATIONAL en relación a que no necesita en el consentimiento para el tratamiento de los datos personales, por ser necesarios para la ejecución de la relación contractual, es de precisar que se ha comprobado que los datos se solicitaban para ofrecerles a los usuarios los servicios de enseñanza, por tanto no eran alumnos de la institución educativa, en tal sentido no existía una relación contractual; por tanto, CEOP PRIVATEACHER INTERNATIONAL como titular del banco de datos personales necesitaba contar con el consentimiento previo e informado de los usuarios de su sitio web.

En este orden de ideas, el artículo 15 del Reglamento de la LPDP3 dispone que corresponde siempre al titular del banco de datos personales comprobar que tiene el consentimiento del titular cuando realiza algún tratamiento con los datos personales de éste. En el supuesto examinado, según ha quedado probado, la empresa no ha acreditado disponer de ese consentimiento. Por tanto, se

ALEZ L concluye que la actuación de CEOP PRIVATEACHER INTERNATIONAL constituye una vulneración al artículo 13.5 de la LPDP.

12.7 En consecuencia, CEOP PRIVATEACHER INTERNATIONAL mediante la opción "contáctanos" y "obtén más información" recopila datos personales de los usuarios de su sitio web www.privateacher.edu. pe sin solicitar el consentimiento requerido conforme a ley; por lo que ha incurrido en la infracción prevista en el literal a. del numeral 1 del artículo 38 de la LPDP, esto es "Dar tratamiento a datos personales sin recabar el consentimiento de sus titulares, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley".

12.8 Respecto a la plataforma "Privateacher Online English Course" http://ermlisgonline.pe/inicio se verificó que es usada por los alumnos (folio 69), por tanto, no necesitaban el consentimiento de éstos para el tratamiento de sus datos personales por ser necesarios para que CEOP PRIVATEACHER INTERNATIONAL pueda brindarles el servicio educativo, supuesto de exención del consentimiento, señalado en el numeral 5 del artículo 14 de la LPDP4, no

3 Artículo 15.- Consentimiento y carga de la prueba. Para efectos de demostrar la obtención del consentimiento en los términos establecidos en la Ley y en el presente reglamento, la carga de la prueba recaerá en todos los casos en el titular del banco de datos personales o quien resulte el responsable del tratamiento.

4 Artículo 14. Limitaciones al consentimiento para el tratamiento de datos personales. No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos:

Página 8 de 20

J,i0CA DE 000104

obstante ello, es necesario que en todos los casos se informe al titular del dato personal lo requerido por el artículo 18 de la LPDP en concordancia con el numeral 4 del artículo 12 del Reglamento de la LPDP.



"I- 2. El CEOP PRIVATEACHER INTERNATIONAL no ha comunicado la realización de flujo transfronterizo de los datos personales que recopila a través del sitio web www.privateacher.edu.pe y la plataforma "Privateacher Online English Course" (http://enolisqonline.pefinicio). Dicha conducta constituiría infracción conforme el literal a) del numeral 2 del artículo 38° de la LPDP.

De la verificación realizada en la fiscalización se constató que la información del sitio web www.privateacher.edu.pe y la plataforma "Privateacher Online English Course"http://enolisoonline.pe/inicio se encuentra alojada, respectivamente, en Canadá y en los Estados Unidos de América (folios 59). Asimismo, de las actuaciones realizadas se confirma que CEOP PRIVATEACHER INTERNATIONAL contrató a la empresa LFC Hosting para que le preste el servicio de hosting que es el servicio que provee a los usuarios un sistema para almacenar información.

M. GONZÁLEZ L

13.3 Por tanto, como consecuencia del encargo de tratamiento se ha originado una transferencia internacional de datos personales de conformidad con el numeral 8 del artículo 2 de la LPDP que define al flujo transfronterizo de datos personales como la "Transferencia internacional de datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, sin importar el soporte en que estos se encuentren, los medios por los cuales se efectuó la transferencia ni el tratamiento que reciban". Por consiguiente, este tratamiento debe respetar el régimen establecido en los artículos 26 y 77 del Reglamento de la LPDP para el flujo transfronterizo de datos personales.

(--) 5. Cuando los datos personales sean necesarios para la ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento. (.--)

Página 9 de 20

13.4 El artículo 26 del Reglamento de la LPDP establece que "(...) el flujo transfronterizo de datos personales se pondrá en conocimiento de la Dirección General de Protección de Datos Personales, incluyendo la información que se requiere para la transferencia de datos personales y el registro de banco de datos".

13.5 Por otro lado, el artículo 77 del Reglamento de la LPDP establece que serán objeto de inscripción en el Registro Nacional de Protección de Datos Personales "(...). 5. Las comunicaciones referidas al flujo transfronterizo de datos personales".

No obstante, la obligación establecida en el artículo 26, se constata que en el Registro Nacional de Protección de Datos Personales no figura inscrita comunicación de realización de flujo transfronterizo de datos personales a nombre de CEOP PRIVATEACHER INTERNATIONAL.

13.7 Respecto a lo alegado por el administrado en su descargo referido a que no existiría un flujo transfronterizo de datos personales, afirmando que los datos son ingresados por el usuario de la misma forma en la que éste realiza sus búsquedas en Internet, sosteniendo que quien accede a su web lo hace de forma voluntaria e informada, en función al consentimiento previo ya dado en el momento en que decidió compartir su información en la gran plataforma de intercambio de datos que es Internet, cabe indicar que de la definición de flujo transfronterizo señalada en la LPDP, se debe entender como transferencia internacional de datos personales aquella que se da cuando existe un envío de datos entre sistemas informáticos por cualquier medio de transmisión, siempre que el país de origen y el de destino sean distintos.

13.8 En el presente caso, el usuario de la página web y de la plataforma de CEOP PRIVATEACHER INTERNATIONAL ingresa sus datos personales, los mismos que son alojados en un servidor que se ubica, como ya se ha señalado, fuera del Perú en atención al servicio de hosting contratado por la empresa. En consecuencia, lo afirmado por el administrado carece de sustento.

13.9 A mayor abundamiento, cabe indicar que el caso típico de transferencia internacional de datos personales es aquel consistente en contratar a un prestador de servicios de hosting o alojamiento de datos, cuyo servidor se encuentre ubicado fuera del Perú.

Página 10 de 20

150C A De, 4■2 dl; <1-

00(0105

13.10 Por lo expuesto, la Dirección de Protección de Datos Personales considera que ha quedado evidenciado que CEOP PRIVATEACHER INTERNATIONAL realiza flujo transfronterizo de datos personales, sin haber cumplido la obligación dispuesta por el artículo 26 el Reglamento de la LPDP; en consecuencia, ha incurrido en la infracción prevista en el literal a. del numeral 2 del artículo 38 de la LPDP, esto es "Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento".



4. El CEOP PRIVATEACHER INTERNATIONAL no cuenta con las medidas de seguridad necesarias para la protección de los datos personales. De acuerdo con las exigencias de la LPDP y su Reglamento. Dicha omisión constituiría infracción conforme el literal a) del numeral 2 del artículo 38° de la LPDP

En la visita de fiscalización que consta en el Acta de Fiscalización N° 01-2016 se verificó que CEOP PRIVATEACHER INTERNATIONAL almacena la documentación no automatizada con datos personales de sus alumnos (contratos) en el Área de Caja en un archivador sin llave. Al respecto, el Informe N° 040-2016-JUS/DGPDP-DSC señala lo siguiente:

"37. En la cuarta conclusión del referido Informe N° 028-2016-DSC-VARS se advierte que PRIVATEACHER almacena su documentación no automatizada (Copias de Contratos) en el Área de Caja en un archivador sin cerradura, por lo que no estaría cumpliendo con lo establecido en el artículo 42 del Reglamento de la LPDP (...).

14.3 El artículo 42 del Reglamento de la LPDP establece "Los armarios, archivadores u otros elementos en los que se almacenen documentos no automatizados con datos personales deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el banco de datos. (...)".

Página 11 de 20

14.4 Sobre este punto, CEOP PRIVATEACHER INTERNATIONAL en su descargo, presentado después del inicio del presente procedimiento sancionador, señala que los archivadores en los que se guardan los contratos de los alumnos se encuentran en el Área de Caja, zona restringida fuera del alcance del público y cuentan con cerradura y llave, habiendo dispuesto que el personal a cargo de las llaves este permanentemente en su ubicación, lo que no ocurrió al momento de la visita de fiscalización. Para probar lo señalado adjunta dos fotografías en la que se verifica lo indicado; por tanto, se tomará en cuenta las acciones de enmienda para atenuar la sanción.

simismo, del Informe N° 040-2016-JUS/DGPDP-DSC consta que durante la sita de fiscalización se verificó lo siguiente:

"35. Al respecto, en la primera conclusión del Informe N° 028-2016-DSC-VARS, se advierte que si bien PRIVATEACHER realiza una verificación periódica de sus privilegios no tendría documentado sus procedimientos de gestión de accesos y gestión de privilegios, por lo que estaría incumpliendo lo dispuesto por el numeral 1 del artículo 39° de la LPDP

36. Por otro lado, en la segunda conclusión del informe N° 028-2016- DSC-VARS, se advierte que PRIVATEACHER no genera ni mantiene registros de evidencias producto de la interacción lógica de la base de datos, por lo que estaría incumpliendo con el numeral 2 del artículo 39 del Reglamento de la LPDP (...)"

14.6 Con esta verificación la DSC evidenció que el administrado, respecto al banco de datos automatizado de sus clientes, no cuenta con la documentación de sus procedimientos de gestión de accesos y gestión de privilegios y no genera ni mantiene registros de evidencias producto de la interacción lógica de la base de datos.

14.7 Sobre el particular, el artículo 39 del Reglamento de la LPDP señala que: "Los sistemas informáticos que manejen bancos de datos personales deberán incluir en su funcionamiento: 1. El control de acceso a la información de datos personales incluyendo la gestión de accesos desde el registro de un usuario, la gestión de los privilegios de dicho usuario, la identificación del usuario ante el sistema, entre los que se encuentran usuario-contraseña, uso de certificados digitales, tokens, entre otros, y realizar una verificación periódica de los privilegios asignados, los cuales deben estar definidos mediante un

Página 12 de 20

Vi U 1 O ,a0C A D z.

42-

procedimiento documentado a fin de garantizar su idoneidad. 2. Generar mantener registros que provean evidencia sobre las interacciones con los datos lógicos, incluyendo para los fines de la trazabilidad, la información de cuentas de usuario con acceso al sistema, horas de inicio y cierre de sesión y acciones relevantes. Estos registros deben ser legibles, oportunos y tener un procedimiento de disposición, entre los que se encuentran el destino de los registros, una vez que éstos ya no sean útiles, su destrucción, transferencia, almacenamiento, entre otros". (El subrayado es nuestro).

14.8 Respecto a los hechos comprobados, cabe señalar que de acuerdo a lo establecido en el artículo 101 del Reglamento de la LPDP5, el personal de la DSC está dotado de fe pública para constatar la veracidad de los hechos en relación con los trámites a su cargo.

El administrado en su argumento de descargo sostiene que en la fiscalización manifestaron que verifican de manera periódica los privilegios de acceso al sistema, y si bien no existe un procedimiento documentado, contarían con un registro de interacción de usuarios en la medida que se registra al usuario que ingresa y/o modifica alguna información, de esta forma es posible identificar el día, la hora y el usuario que interactúo con los datos. Asimismo, señala que a fin de adecuar sus procedimientos a la normatividad vigente estarían completando el registro de interacción de los usuarios, así como diseñando los procedimientos de disposición.

14.10 Respecto al banco de datos personales automatizado, se advierte que CEOP PRIVATEACHER INTERNATIONAL, hace un reconocimiento expreso de la infracción cometida, señalando además que ha realizado acciones de enmienda alineándose a las disposiciones de la LPDP y su reglamento. Sin embargo, no presenta medio de prueba que acredite dicha afirmación, por lo que en el presente caso, resultan inaplicables los atenuantes señalados en el artículo 126 del Reglamento de la LPDP6, mediante el cual se establece como requisitos para

5 Artículo 101.- Fe pública En el ejercicio de las funciones de fiscalización, el personal de la Dirección de Supervisión y Control estará dotado de fe pública para constatar la veracidad de los hechos en relación con los trámites a su cargo.

6 Artículo 126.- Atenuantes. La colaboración con las acciones de la autoridad y el reconocimiento espontáneo de las infracciones acompañado de acciones de enmienda se considerarán atenuantes. Atendiendo a la oportunidad del reconocimiento y a las fórmulas de enmienda, la atenuación permitirá incluso la reducción motivada de la sanción por debajo del rango previsto en la Ley.

Página 13 de 20

acceder a este beneficio, el reconocimiento espontaneo de la infracción, acompañado de la acción de enmienda correspondiente.

14.11 CEOP PRIVATEACHER INTERNATIONAL al no haber implementado las medidas de seguridad necesarias para el resguardo de los datos personales de sus clientes contenidos en el banco de datos automatizado, incumple también con el principio de seguridad recogido en el artículo 9 de la LPDP, que dispone que "El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate."

Por los argumentos expuestos, se colige que en el presente caso se ha configurado la infracción tipificada en el literal a. del numeral 2 del artículo 38 de la LPDP, esto es "Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento", toda vez que CEOP PRIVATEACHER INTERNATIONAL no ha acreditado el cumplimiento de las medidas de seguridad establecidas para el resguardo y protección de los datos personales contenidos en el banco de datos automatizado que administra, conforme a lo dispuesto en el artículo 39 del Reglamento de la LPDP.

15. Los artículos 38 y 39 de la LPDP7 establecen las sanciones por infracciones a la referida norma, calificándolas como leves, graves o muy graves y su imposición va desde una multa de 0,5 de una unidad impositiva tributaria hasta una multa de 100 unidades impositivas tributarias, sin perjuicio de las medidas

Artículo 38. Infracciones: Constituye infracción sancionable toda acción u omisión que contravenga o incumpla alguna de las disposiciones contenidas en esta Ley o en su reglamento. Las infracciones se califican como leves, graves y muy graves.

Artículo 39. Sanciones administrativas. En caso de violación de las normas de esta Ley o de su reglamento, la Autoridad Nacional de Protección de Datos Personales puede aplicar las siguientes multas: 1. Las infracciones leves son sancionadas con una multa mínima desde cero coma cinco de una unidad impositiva tributaria (UIT) hasta cinco unidades impositivas tributarias (UIT). 2. Las infracciones graves son sancionadas con multa desde más de cinco unidades impositivas tributarias (UIT) hasta cincuenta unidades impositivas tributarias (UIT). 3. Las infracciones muy graves son sancionadas con multa desde más de cincuenta unidades impositivas tributarias (UIT) hasta cien unidades impositivas tributarias (UIT).

Página 14 de 20

oCA

correctivas que puedan determinarse de acuerdo a lo establecido en el artículo 118 del Reglamento de la LPDP8.

16. La Dirección de Protección de Datos Personales determina el monto de las multas a ser impuestas tomando en cuenta para su graduación los criterios establecidos en el numeral 3 del artículo 246 del Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 006-2017-JUS. En ese sentido, debe prever que la comisión de las conductas sancionables no resulten más ventajosas para el infractor que cumplir las normas infringidas o asumir la sanción administrativa,. por lo que la sanción deberá ser proporcional al incumplimiento calificado como infracción, observando para ello los criterios que el numeral 3 del citado artículo 246 señala para su graduación.

En el presente caso, la Dirección de Sanciones considera como criterios elevantes para graduar la infracción evidenciada a los siguientes:

a) El beneficio ilícito resultante por la comisión de la infracción:

M. GQÑZ54LEZL.No se ha evidenciado un beneficio ilícito resultante de la comisión de las infracciones.

b) La probabilidad de detección de la infrácción:

Respecto a la comisión de las infracciones imputadas se tiene que la probabilidad de detección de dichas conductas referidas a realizar tratamiento de datos personales sin consentimiento, sin contar con las medidas necesarias para garantizar la seguridad de los datos personales, así como no comunicar el flujo transfronterizo de datos personales es baja, debido a que ha sido necesario realizar dos visitas de fiscalización, así como la revisión de diversos documentos, para su detección.

8 Artículo 118.- Medidas cautelares y correctivas Una vez iniciado el procedimiento sancionador, la Dirección de Sanciones podrá disponer, mediante acto motivado, la adopción de medidas de carácter provisional que aseguren la eficacia de la resolución final que pudiera recaer en el referido procedimiento, con observancia de las normas aplicables de la Ley N° 27444, Ley del Procedimiento Administrativo General. Asimismo, sin perjuicio de la sanción administrativa que corresponda por una infracción a las disposiciones contenidas en la Ley y el presente reglamento, se podrán dictar, cuando sea posible, medidas correctivas destinadas a eliminar, evitar o detener los efectos de las infracciones.

Página 15 de 20

Ü 010 7

c) La gravedad del daño al interés público y/o bien iurídico protegido:

Las infracciones detectadas afectan el derecho fundamental a la protección de datos personales, el cual se encuentra reconocido en el artículo 2, numeral 6 de la Constitución Política del Perú, siendo desarrollado por la LPDP y su respectivo reglamento.

En el caso específico de la conducta relacionada con realizar tratamiento de datos a través del sitio web www.privateacher.edu.pe, sin solicitar el consentimiento de los usuarios, cabe indicar que el principio del consentimiento se configura como principio básico en materia de protección de datos, cuya garantía consiste en que el titular del dato preste su consentimiento inequívoco e informado para que la recopilación de los datos sea lícita, es una garantía fundamental legitimadora de la normativa sobre protección de datos personales que le permite a la persona ejercer el control sobre la información personal que le concierne.

En el caso específico de la conducta relacionada con no haber puesto en conocimiento de la Dirección General de Protección de Datos Personales que realiza flujo transfronterizo de los datos personales de los usuarios del sitio web www.privateacher.edu.pe y de la plataforma 'Privateacher Online English Course" http://englisgonline.pe/inicío se tiene que dicha conducta afecta el derecho de los ciudadanos a tomar conocimiento de quién posee sus datos personales y para qué, así como conocer su uso por parte de un tercero que le permita el poder oponerse a ese tratamiento. Este poder de disposición y control constituyen parte del derecho fundamental a la protección de datos personales.

En el caso específico de la conducta referida a dar tratamiento a los datos personales de sus alumnos contraviniendo el principio de seguridad recogido en el artículo 9 de la LPDP, así como incumpliendo lo dispuesto en el artículo 39 del Reglamento de la LPDP, se tiene que dicha conducta afecta el derecho de los ciudadanos a que se dé un tratamiento adecuado de sus datos personales, los mismos que deben ser tratados adoptándose medidas técnicas, organizativas y legales necesarias para garantizar su seguridad, lo que en el presente caso no ocurre.

Página 16 de 20

DE-L.

4- ;.?

o

+il.no de Pn n de

Daro érsonaies

GONZALEZ L.

utiun r, n 1uo

d) El perjuicio económico causado:

No se ha evidenciado un perjuicio económico causado resultante de la comisión de las infracciones.

e) La reincidencia en la comisión de la infracción:

Del mismo modo, se tiene en cuenta que CEOP PRIVATEACHER INTERNATIONAL no es reincidente, ya que no ha sido sancionado.

f) Las circunstancias de la comisión de la infracción:

CEOP PRIVATEACHER INTERNATIONAL recopila datos personales de los usuarios del sitio web www.privateacher.edu.pe, sin haber solicitado su consentimiento conforme a lo establecido en el numeral 13.5 del artículo 13 de la LPDP.

CEOP PRIVATEACHER INTERNATIONAL no ha comunicado que realiza flujo transfronterizo de datos personales, a pesar de haber sido notificado de los resultados de la fiscalización y del inicio del presente procedimiento sancionador.

CEOP PRIVATEACHER INTERNATIONAL no ha implementado las medidas de seguridad necesarias para el resguardo de los datos personales, no demostrando aún que haya subsanado el incumplimiento de lo requerido por el artículo 39 del Reglamento de la LPDP.

g) La existencia o no de intencionalidad en la conducta del infractor:

En el presente caso, ha quedado probada la responsabilidad de CEOP PRIVATEACHER INTERNATIONAL en la comisión de las tres (03) infracciones, debiendo tenerse en cuenta para la aplicación de la multa que no ha demostrado que haya implementado clausulas para obtener el consentimiento previo e informado en su sitio web, asimismo, no ha cumplido con inscribir la comunicación de flujo transfronterizo de datos personales detectada en la fiscalización, como tampoco ha implementado las medidas necesarias para garantizar la seguridad de los datos personales contenidos en el banco de datos automatizado que administra, lo que demuestra su falta de diligencia a pesar de tener conocimiento de la normativa sobre protección de datos personales.

Página 17 de 20

18. Adicionalmente, se valora positivamente la conducta procedimental del administrado en el presente procedimiento administrativo sancionador, pues durante su desarrollo no se han dado conductas que hayan dificultado el accionar de la Dirección de Sanciones.

19. Respecto a la infracción configurada por dar tratamiento a los datos personales sin solicitar el consentimiento; se advierte que la infracción cometida por CEOP PRIVATEACHER INTERNATIONAL está tipificada como leve, y conforme con lo establecido por el numeral 1 del artículo 39 de la LPDP que regula las sanciones administrativas aplicables, las infracciones calificadas de leves son sancionadas on multa que va desde cero coma cinco (0,5) hasta cinco (5) unidades

M. GdNZALEZ impositivas tributarias (UIT); por esta razón, y dentro de este rango, se tiene en

L. cuenta la suma de todos los criterios desarrollados en el considerando 17 de la presente resolución directoral, a efectos de determinar la sanción de multa a imponerse.

20. Respecto a la infracción configurada por no haber puesto en conocimiento de la Dirección General de Protección de Datos Personales la realización de flujo transfronterizo de los datos personales; se advierte que la infracción cometida por CEOP PRIVATEACHER INTERNATIONAL está tipificada como grave, y conforme con lo establecido por el numeral 1 del artículo 39 de la LPDP que regula las sanciones administrativas aplicables, las infracciones calificadas de graves son sancionadas con multa que va desde más de cinco (5) hasta cincuenta (50) unidades impositivas tributarias (UIT); por esta razón, y dentro de este rango, se tiene en cuenta la suma de todos los criterios desarrollados en el considerando 17 de la presente resolución directoral, a efectos de determinar la sanción de multa a imponerse.

21. Respecto a la infracción configurada por contravenir lo dispuesto en el artículo 39 del Reglamento de la LPDP y el principio de seguridad recogido en el artículo 9 de la LPDP, al no adoptar las medidas establecidas para garantizar la seguridad de los datos personales del banco de datos personales automatizado que administra; se advierte que la infracción cometida por CEOP PRIVATEACHER INTERNATIONAL está tipificada como grave, y conforme con lo establecido por el numeral 2 del artículo 39 de la LPDP que regula las sanciones administrativas aplicables, las infracciones calificadas de graves son sancionadas con multa desde más de cinco (05) hasta cincuenta (50) unidades impositivas tributarias (UIT); por esta razón, y dentro de este rango, se tiene en cuenta la suma de todos los criterios desarrollados en el considerando 17 de la

Página 18 de 20

¡PERÚ Onleno O. Justa Owella Ñu*,

000109 50..,›ICA DEL po

42 "PQ

presente resolución directoral, a efectos de determinar la sanción de multa a imponerse.

Por las consideraciones expuestas y de conformidad con lo dispuesto por la Ley N° 29733, LPDP y su reglamento.

SE RESUELVE:

Artículo 1.- Sancionar a CEOP PRIVATEACHER INTERNATIONAL con RUC Dirección de N' 20264234141 con la multa ascendente a cuatro unidades impositivas tributarias (4

Protección de Datospe„onaley I T) por "Dar tratamiento a datos personales sin recabar el consentimiento de sus

titulares, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley.", toda m. GONZALEzviez que se ha comprobado que CEOP PRIVATEACHER INTERNATIONAL mediante la

opción "contáctanos" y "obtén más información" recopila datos personales de los usuarios de su sitio web www.privateacher.edu. pe sin solicitar el consentimiento requerido conforme a ley, configurándose la infracción leve prevista en el literal a. del numeral 1 del artículo 38 de la Ley de Protección de Datos Personales'.

Artículo 2.- Sancionar a CEOP PRIVATEACHER INTERNATIONAL con RUC N° 20264234141, con la multa ascendente a cinco punto un unidades impositivas tributarias (5.1 UIT) por "Dar tratamiento a los datos personales contraviniendo los principios establecidos en la Ley o incumpliendo sus demás disposiciones o las de su Reglamento", toda vez que CEOP PRIVATEACHER INTERNATIONAL no ha puesto en conocimiento de la Dirección General de Protección de Datos Personales que realiza flujo transfronterizo de los datos personales de los usuarios del sitio web www.privateacher.edu.pe y de la plataforma "Privateacher Online English Course" http://enqlisqonline.pe/inicio, configurándose la infracción grave prevista en el literal a. del numeral 2 del artículo 38 de la Ley de Protección de Datos Personales10.

9 Artículo 38. Infracciones (.«.) 1. Son infracciones leves: a. Dar tratamiento a datos personales sin recabar el consentimiento de sus titulares, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley. (..-) 10 Artículo 38.- Infracciones

2. Son infracciones graves: a. Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento. (.•-).

Página 19 de 20

Artículo 3.- Sancionar a CEOP PRIVATEACHER INTERNATIONAL con RUC N° 20264234141, con la multa ascendente a cinco punto cinco unidades impositivas tributarias (5.5 UIT) por "Dar tratamiento a los datos personales contraviniendo los principios establecidos en la Ley o incumpliendo sus demás disposiciones o las de su Reglamento", toda vez que CEOP PRIVATEACHER INTERNATIONAL no ha implementado las medidas de seguridad adecuadas para el resguardo de los datos personales de sus alumnos, contraviniendo lo establecido en el artículo 39 del Reglamento de la LPDP, así como también el principio de seguridad recogido en el artículo 9 de la LPDP, configurándose la infracción grave prevista en el literal a. del numeral 2 del artículo 38 de la Ley de Protección de Datos Personales.

Artículo 4.- Notificar a CEOP PRIVATEACHER INTERNATIONAL que contra la presente resolución, de acuerdo a lo indicado en el artículo 123 del Reglamento de la Ley de Protección de Datos Personales'', proceden los recursos de reconsideración o apelación dentro de los quince (15) días de notificada la presente.

Artículo 5.- Notificar a CEOP PRIVATEACHER INTERNATIONAL la presente resolución.

Regístrese y comuníquese.

MARIA AL RA GONZÁLEZ LUNA Dir e) d

ee la Dirección de Protección de

aos PeNónales Ministerio de Juaticia y DereCnos Humanos MAGL/oev

"Artículo 123.- Impugnación Contra la resolución que resuelve el procedimiento sancionador proceden los recursos de reconsideración o apelación dentro de los quince (15) días de notificada la resolución al administrado. El recurso de reconsideración se sustentará en nueva prueba y será resuelto por la Dirección de Sanciones en un plazo que no excederá de los treinta (30) días. El recurso de apelación será resuelto por el Director General de Protección de Datos Personales, debiendo dirigirse a la misma autoridad que expidió el acto que se impugna, para que eleve lo actuado. El recurso de apelación deberá ser resuelto en un plazo no mayor de treinta (30) días.

Página 20 de 20

Documents

Q 0 1CA DE, A 4- · que se sustenta en las Actas de Fiscalización N° 01-2016 de fecha 01 de marzo de 2016 ... registro de las evidencias producto de la interacción lógica de la