RD 169-2022 PDF
RD 169-2022 PDF
RD 169-2022 PDF
,
PUBLICA
Expediente Nº
Lima, 15 de febrero de 2022
002-2021-JUS/DGTAIPD-PAS
VISTOS:
CONSIDERANDO:
l. Antecedentes
Página 1 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
• Detallar los datos personales solicitados al cliente para la entrega de los
productos, precisando si la fotografía del DNI del cliente y/o familiar es de
carácter obligatorio, y para qué finalidad la solicita.
• Indicar si encarga el tratamiento de los datos personales recopilados en la
entrega de productos a domicilio, precisando, de ser el caso, cuáles son las
empresas que les brindan dicho servicio y adjuntando los contratos respectivos.
• Adjuntar la respuesta brindada a la denunciante en virtud a la hoja de
reclamación Nº 02092000006 del 2 de setiembre de 2020.
4. Por medio del escrito ingresado con el Registro N° 61836 del 6 de noviembre de
2020, la administrada dio respuesta al Oficio N° 1056-2020-JUS/DGTAIPD-DFI,
informando lo siguiente:
5
Folios 15 al 46
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 2 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
coordinaciones telefónicas con los destinatarios (fecha, hora y quién recibirá el
producto).
• Una vez hecha la coordinación, dicho proveedor efectúa la entrega y solicita el
DNI del receptor para validar su identidad, para luego hacer firmar la guía de
remisión correspondiente, no siendo parte del procedimiento la toma de
imágenes del DNI.
• Tienen contrato con la encargada desde diciembre de 2017.
• Obligación de usar datos personales para los fines del contrato y siguiendo las
instrucciones impartidas por la administrada, a través de cualquier medio.
• Facultad de la administrada de realizar auditorías e inspecciones sobre el
tratamiento de datos personales objeto de encargo.
• Control del debido tratamiento de datos personales en la organización de la
encargada, restringiéndolo a los trabajadores para cuyas funciones sea
necesario.
6
Folios 48 al 52
7
Folios 53 al 56
8
Folios 66 al 71
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 3 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
10. Mediante el escrito ingresado con la Hoja de Trámite N° 43282-2021MSC del 10
de marzo de 20219, la administrada presentó sus descargos ante la imputación
efectuada.
14. Por medio del escrito ingresado con la Hoja de Trámite N° 89370-2021MSC del 5
de mayo de 202111, la administrada presentó sus descargos ante el mencionado
informe final de instrucción.
-
procedimiento de entrega, una vez conocida esta situación.
• Documentación sobre las medidas que se adoptaron respecto de los datos
personales del DNI del señor T , remitiendo evidencias de tales acciones
o eliminación de estos.
9
Folios 77 al 100
10
Folios 118 al 122
11
Folios 125 al 142
12
Folios 143 al 144
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 4 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
16. Mediante el escrito ingresado con Registro N° 304269 del 16 de noviembre de
202113, la administrada dio respuesta al mencionado requerimiento.
17. Asimismo, por medio del escrito ingresado con Registro N° 319423 del 26 de
noviembre de 202114, la administrada complementó la información remitida.
18. Por medio del Proveído N° 1 del 21 de enero de 202215, esta Dirección dispuso la
incorporación a este expediente, del Oficio N° 1056-2021-JUS/DGTAIPD-DFI y el
escrito de la administrada del 6 de noviembre de 2020, que corren en el expediente
de fiscalización N° 218-2020-DFI.
II. Competencia
22. En tal sentido, se atiende al hecho de que el literal f) del numeral 1 de dicho artículo
de la LPAG, establece como una causal eximente de la responsabilidad por
infracciones, la subsanación voluntaria del hecho imputado como infractor, si es
realizada de forma previa a la notificación de imputación de cargos16.
13
Folios 148 al 151
14
Folios 155 al 156
15
Folios 158 al 161
16
Artículo 257.- Eximentes y atenuantes de responsabilidad por infracciones
1.- Constituyen condiciones eximentes de la responsabilidad por infracciones las siguientes:
(…)
f) La subsanación voluntaria por parte del posible sancionado del acto u omisión imputado como constitutivo de infracción
administrativa, con anterioridad a la notificación de la imputación de cargos a que se refiere el inciso 3) del artículo 255.
17
Artículo 257.- Eximentes y atenuantes de responsabilidad por infracciones
(…)
2.- Constituyen condiciones atenuantes de la responsabilidad por infracciones las siguientes:
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 5 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
expreso de la infracción, conjuntamente con los factores establecidos en la norma
especial, el artículo 126 del Reglamento de la LPDP: El reconocimiento
espontáneo, acompañado de acciones para su enmienda y colaboración con las
acciones de la autoridad, factores que, de acuerdo con lo oportuno del
reconocimiento y la efectividad de la enmienda, pueden conllevar la reducción
motivada de la sanción hasta por debajo del rango previsto en la LPDP18.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 6 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
26. De los artículos transcritos, se desprende que la separación de las dos
autoridades, así como la previsión de ejercicio de actuaciones por parte de la
autoridad sancionadora o resolutora, situaciones que implican la autonomía de
criterio de cada una de ellas.
27. En tal sentido, la autoridad sancionadora o resolutora puede hacer suyos todos
los argumentos, conclusiones y recomendaciones expuestos por la autoridad
instructora, así como puede efectuar una distinta evaluación de los hechos
comprobados o inclusive, cuestionar estos hechos o evaluar situaciones que, si
bien fueron tomadas en cuenta al momento de efectuar la imputación, no se
evaluaron de la misma manera al finalizar la instrucción.
28. Por tal motivo, la resolución que emita una autoridad sancionadora o resolutora,
puede apartarse de las recomendaciones del informe final de instrucción o incluso
cuestionar los hechos expuestos y su valoración, haciendo una evaluación
diferente, teniendo en cuenta la su naturaleza no vinculante de dicho informe, sin
que ello conlleve una vulneración de la predictibilidad o de la expectativa legítima
del administrado, esta última que no encuentra asidero en la normativa referida al
procedimiento administrativo.
31. Esta Dirección no comparte tal criterio, teniendo en cuenta que la finalidad del
procedimiento administrativo sancionador no es satisfacer pretensión alguna de la
denunciante (a diferencia de lo que sucede en los procedimientos trilaterales, en
los que la persona acude ante la administración a fin de hacer valer sus intereses
individuales), sino la de sancionar el incumplimiento de una norma que regula
actividades o situaciones específicas, como la LPDP y su reglamento.
32. Siguiendo tal sentido, el artículo 255 de la LPAG, en su numeral 1, establece que
los procedimientos administrativos sancionadores se inician siempre de oficio, en
atención a una orden superior, petición motivada de otros órganos o entidades o
por denuncia, sin que ello implique que los peticionantes o denunciantes adopten
un rol de administrados en tales procedimientos, salvo que demuestren tener un
interés legítimo.
33. Por tal motivo, debe entenderse que los procedimientos sancionadores tienen dos
“partes”: La administrada, cuya conducta específica es objeto de examen a cargo
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 7 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
de la otra “parte”, la administración, la entidad competente de velar por el
cumplimiento de la normativa específica, siendo esta última titular de la potestad
sancionadora.
VI. Tercera cuestión previa: Acerca del interés que define la responsabilidad
sobre el tratamiento de datos personales objeto de encargo y la exigencia
de ejercer diligentemente el control sobre la encargada
35. Entre los partícipes en los procesos que involucran tratamiento de datos
personales, se encuentra no solo el titular del banco de datos personales y/o el
responsable de dicho tratamiento; se desarrollan actividades de tratamiento de
datos personales que son parte de dichos procesos, a través de otras empresas
o personas, o se emplean los datos personales que estas entidades ponen a su
disposición, circunstancias que constituyen el encargo de tratamiento.
“Artículo 2. Definiciones
Para todos los efectos de la presente Ley, se entiende por:
(…)
7. Encargado de tratamiento de datos personales. Toda persona natural,
persona jurídica de derecho privado o entidad pública que sola o actuando
conjuntamente con otra realiza el tratamiento de los datos personales por
encargo del titular del banco de datos personales en virtud de una relación
jurídica que le vincula con el mismo y delimita el ámbito de su actuación.
Incluye a quien realice el tratamiento sin la existencia de un banco de datos
personales.
8. Encargo de tratamiento. Entrega por parte del titular del banco de datos
personales a un encargado de tratamiento de datos personales en virtud de
una relación jurídica que los vincula. Dicha relación jurídica delimita el ámbito
de actuación del encargado de tratamiento de los datos personales.
(…)
17. Titular del banco de datos personales. Persona natural, persona
jurídica de derecho privado o entidad pública que determina la finalidad y
contenido del banco de datos personales, el tratamiento de estos y las
medidas de seguridad.”
Página 8 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
adecuado tratamiento, tanto por las entidades públicas, como por las
instituciones pertenecientes al sector privado. Sus disposiciones constituyen
normas de orden público y de cumplimiento obligatorio.
38. De las normas citadas, se desprende que existe una pluralidad de niveles de
participación en el tratamiento; teniendo como el concepto más amplio el del
responsable del tratamiento, definido llanamente como quien “decide sobre el
tratamiento de datos personales”, que a su vez comprende en sí, al concepto de
titular de los bancos de datos personales, que es una persona o entidad que
decide sobre las actividades de tratamiento y la estructura, finalidad y
preservación de la seguridad de los datos personales incorporados en un conjunto
estructurado.
39. En ambos casos, está presente el poder de decisión que tienen sobre los datos
personales, estructurados o no en un banco de datos personales, que se ejerce a
través de la elección de los datos personales que serán objeto de tratamiento (en
el caso de los bancos de datos personales, en su contenido y estructura), de las
actividades de tratamiento de datos personales a realizar, de quiénes intervienen
en tales actividades y, principalmente, de la finalidad a alcanzar, relacionada con
el interés del responsable que se busca atender con dicho tratamiento.
40. En tal sentido, debe entenderse que dicho interés se satisface a través de medios
(acciones, servicios, actividades de tratamiento, bienes empleados, entre otros),
provistos o desarrollados por otras empresas, cuya contratación le resulta más
provechosa que realizar la actividad encargada por su propia cuenta.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 9 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
41. Sobre la finalidad y el correcto empleo de estos medios contratados, a fin de que
sean compatibles con dicha finalidad, el responsable decide y ejerce el control
supremo, y a la vez que goza de los beneficios que surta la actividad que conlleva
el tratamiento de datos personales.
42. Al estar orientados hacia la satisfacción del responsable del tratamiento, tales
medios se emplean en favor de este y su interés, siendo estos cualesquiera con
los que desarrollen alguna actividad de tratamiento de datos personales, que
pueden ser proporcionados por el mismo responsable al encargado para realizar
la actividad del tratamiento, sin perjuicio de que este último realice otra actividad
de tratamiento, como por ejemplo la recopilación de datos personales para la
validación de identidad de los titulares.
43. Al atenderse en este proceso comercial el interés del responsable del tratamiento,
surge la obligación a cargo de este, de garantizar un lícito y adecuado tratamiento
de datos personales a lo largo de todo ese proceso, a fin de que la satisfacción de
tal interés mantenga compatibilidad con el ordenamiento jurídico y con los
derechos de las personas, los titulares de los datos personales.
• Llevar a cabo con diligencia, las acciones de control necesarias para que el
encargo se cumpla de acuerdo con lo pactado, en protección de sus intereses,
sin efectos ilícitos en la prestación.
• En lo relativo a evitar efectos ilícitos, la obligación de controlar y supervisar el
cumplimiento de disposiciones legales y reglamentarias y/o evitar que algún
daño ilícito se produzca como consecuencia de un desarrollo negligente de las
actividades que satisfacen su interés, por parte del encargado.
46. Asimismo, al estar obligado a ejercer dicho control, el responsable debe ser capaz
de demostrar en cualquier momento que lo efectúa de manera efectiva, durante la
vigencia del contrato de encargo, durante el período en el que se ejecutan las
prestaciones respectivas, así como después de dicha vigencia y de haberse
completado la mencionada ejecución, cuando haya efectos remanentes del
tratamiento de datos personales objeto de encargo.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 10 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
47. Entonces, cuando en un encargo de tratamiento se configure la comisión de una
infracción y/o de cualquier hecho que implique un daño efectivo o potencial, debe
tomarse en cuenta respecto de la responsabilidad, lo siguiente:
48. Ahora bien, la capacidad de ejercicio del control por parte del responsable del
tratamiento de los datos personales, así como su demostración, no puede
evaluarse de la misma manera para todas las empresas ni para todos los rubros
o actividades del mercado; debiendo obedecerse a las particularidades que se
presentan en cada caso concreto.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 11 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
Sobre el presunto tratamiento de datos personales sin haber cumplido con los
principios de finalidad y proporcionalidad
53. La Constitución Política del Perú, establece en el artículo 2, numeral 6, que toda
persona tiene derecho “a que los servicios informáticos, computarizados o no,
públicos o privados, no suministren informaciones que afecten la intimidad
personal y familiar”, es decir toda persona tiene derecho a la autodeterminación
informativa y, por lo tanto, a la protección de sus datos personales.
Página 12 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
En este orden de ideas, el derecho a la autodeterminación informativa protege
al titular del mismo frente a posibles abusos o riesgos derivados de la
utilización de los datos, brindando al titular afectado la posibilidad de lograr la
exclusión de los datos que considera ‘sensibles’ y que no deben ser objeto de
difusión ni de registro; así como le otorga la facultad de poder oponerse a la
transmisión y difusión de los mismos”
57. Tales requisitos de licitud del tratamiento se traducen en los principios de Finalidad
y Proporcionalidad de los artículos 6 y 7 de la LPDP, transcritos a continuación:
59. En el presente caso, el objeto de la denuncia es la toma de la imagen del DNI del
padre de la denunciante, por parte del personal de la encargada, cuya labor de
entrega de un producto obsequiado por la administrada requería algún método de
validación de identidad del receptor.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 13 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
60. Siguiendo el procedimiento de entrega de productos explicado por la administrada
en sus escritos del 6 y 11 de noviembre de 2020, la encargada debía coordinar
con la denunciante la fecha y hora de entrega, así como confirmar quién lo
recibiría, para proceder con la entrega, en la que no se contempla la toma de
imágenes de DNI de las personas receptoras, como menciona la administrada.
61. No obstante, se obtuvo la imagen del DNI del señor T , padre de la denunciante,
captando con ello todos los datos personales impresos en este, lo cual obedecería
a la finalidad de validar su identidad como receptor del producto; sin embargo, para
tal fin, a entender de la DFI, se habrían recopilado más datos personales de los
necesarios (imagen del señor , número de DNI, código único de identificación,
estado civil, sexo, fecha de nacimiento, número de ubigeo, fecha de inscripción,
fecha de emisión, fecha de caducidad y firma), según se consigna en el Informe de
Fiscalización N° 021-2021-JUS/DGTAIPD-DFI-EHCC y la Resolución Directoral N°
027-2021-JUS/DGTAIPD-DFI; significando la recopilación de estos datos
personales adicionales a los necesarios para identificar al señor , un hecho
contrario a la LPDP y su reglamento.
62. En sus descargos del 10 de marzo de 2021, la administrada sostiene que señalar
que en el DNI existen datos que no son necesarios para la recepción del producto
y que ello propiciaría el uso indebido de los mismos, atenta contra el principio de
presunción de licitud del numeral 9 del artículo 248 de la LPAG.
64. Por lo tanto, la ilicitud de este caso, se configura con la sola recopilación de datos
personales no necesarios para la finalidad de entrega del producto y validación de
la identidad de su receptor, sin perjuicio de que más adelante, se empleen tales
datos personales para otros fines.
65. De otro lado, en ese escrito se señaló que, en el contexto de emergencia y riesgo
sanitario, los trabajadores de la encargada optaron por tomar una fotografía del
mencionado DNI, con el fin de evitar contactos más cercanos y posibles contagios
de la Covid-19.
66. Al respecto, debe mencionarse que como responsable del reparto de productos,
actividad que se realiza en atención a una promoción que la administrada ofrece
a sus clientes, la administrada estaba en la obligación de cerciorarse de que la
encargada establezca algún procedimiento para tal entrega, en el cual se asegure
el distanciamiento social, así como el tratamiento de los datos personales
estrictamente necesarios para validar la identidad de quien recibe el producto,
debiendo encontrar un procedimiento en el que ambos bienes jurídicos (salud y
protección de datos personales) encuentren equilibrio.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 14 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
67. Esta Dirección considera que en efecto, existe la necesidad de validar la identidad
de los receptores de los productos, evitando mayores contagios de la Covid-19 así
como actos delictivos en los que los clientes sean víctimas; para lo cual resulta
idóneo acceder a ciertos datos personales. No obstante, la toma de fotografías de
los DNI de los receptores resulta un procedimiento invasivo y que extrae más
datos personales de los necesarios.
73. Respecto del primer punto del considerando anterior, debe señalarse que de
acuerdo con lo informado por la administrada, tal deficiencia se pudo suplir con la
adopción de un protocolo de entrega de productos en el que se establece
expresamente que “No se debe solicitar copia del DNI, ni tomar foto de este”.
19
Folio 41
20
Folios 148 a 149
21
Folios 150 al 151
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 15 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
Dicha enmienda tuvo efecto desde el 7 de noviembre de 2021 cuando dicho
protocolo fue remitido al personal de la encargada vía correo electrónico.
74. Debe señalarse que dicha conducta no implica una subsanación de la conducta
infractora, puesto que tuvo consumación instantánea, en el acto mismo de toma
de la imagen del DNI, extendiendo efectos ilícitos a través de la conservación de
tales datos personales y de la continuidad de operaciones sin un protocolo,
período que habría concluido con la comunicación del protocolo instaurado,
representando esto una acción de enmienda.
-
75. En lo concerniente al segundo punto, se aprecia que la denunciante presentó una
reclamación el 2 de septiembre de 202022, la cual solo tuvo respuesta mediante el
correo electrónico del 11 de noviembre de 2020, a través de la cual no se informó
acerca de las acciones efectuadas sobre los datos personales del señor
76. Debe señalarse que en el expediente, el único documento que ofrece alguna
certeza sobre la eliminación de la imagen del DNI del señor (captado por
el personal de la encargada) es el correo electrónico del 16 de noviembre de 2021,
el mismo que solo confirma tal eliminación, sin brindar pormenores acerca de la
fecha de la misma.
22
Folio 6
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 16 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
encargada haya desarrollado respecto del tratamiento de los datos personales del
señor , a fin de determinar si su participación implica algún grado de
responsabilidad.
86. Con el objeto de establecer las pautas y criterios para realizar el cálculo del monto
de las multas aplicables por infracciones a la normativa de protección de datos
personales en el ejercicio de la potestad sancionadora de la Autoridad Nacional
de Protección de Datos Personales, mediante Resolución Ministerial N° 0326-
23
Ley N° 29733, Ley de Protección de Datos Personales
Artículo 39. Sanciones administrativas
En caso de violación de las normas de esta Ley o de su reglamento, la Autoridad Nacional de Protección de Datos
Personales puede aplicar las siguientes multas:
1. Las infracciones leves son sancionadas con una multa mínima desde cero coma cinco de una unidad impositiva
tributaria (UIT) hasta cinco unidades impositivas tributarias (UIT).
2. Las infracciones graves son sancionadas con multa desde más de cinco unidades impositivas tributarias (UIT) hasta
cincuenta unidades impositivas tributarias (UIT).
3. Las infracciones muy graves son sancionadas con multa desde más de cincuenta unidades impositivas tributarias
(UIT) hasta cien unidades impositivas tr butarias (UIT).
(…)
24
Artículo 118.- Medidas cautelares y correctivas.
Una vez iniciado el procedimiento sancionador, la Dirección de Sanciones podrá disponer, mediante acto motivado, la
adopción de medidas de carácter provisional que aseguren la eficacia de la resolución final que pudiera recaer en el
referido procedimiento, con observancia de las normas aplicables de la Ley Nº 27444, Ley del Procedimiento
Administrativo General.
Asimismo, sin perjuicio de la sanción administrativa que corresponda por una infracción a las disposiciones contenidas
en la Ley y el presente reglamento, se podrán dictar, cuando sea pos ble, medidas correctivas destinadas a eliminar,
evitar o detener los efectos de las infracciones.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 17 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
2020-JUS, se aprobó la Metodología para el Cálculo de Multas en materia de
Protección de Datos Personales25.
25
Documento disponible en: https://bnl.minjus.gob.pe/bnl/
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 18 de 22
Resolución Directora/ Nº 169-2022-JUSIDGTAIPD-DPDP
Cuadro 2
Montos base de multas preestablecidas (Mb),
según variable absoluta y relativa de la infracción
Variable relativa y
Gravedad de Multa UIT
monto base {Mb)
la infracción
M1n Max 1 2 3 4 5
Leve 0.5 5 1.08 2.17 3.25
Grave 5 50 7.50 15.00 22.50 30.00 37.50
Muv orave 50 100 55.00 73.33 91.67
r�I����
Nº Infracciones graves
1.b Recopilar datos personales que no sean necesarios, pertinentes ni 3
adecuados con relación a las finalidades determinadas, explícitas y
lícitas oara las aue reauieren ser obtenidos
,'",..
p■rso,,■!I O 0"4'0 de porsot,M •
. Cuando la ccnductll W-.. nava alflcltcio el �- r,Oellco. º-"
- - -- -
,,.,..
• Cl.lando la Wr-.,;w)n "" de �� iMlardnm y� ... do 0.15
.
alocllloónde,,_,,. __
. Cuer-.lo la lllraclOn dll la Wrwoc.0n n ""'J"ll' 1124 --
,..,_,le º·o""..,
..
. E, ...µ-...in .. IIO _, lo ""-igoción y/o el pcc:ecii, .. ,r.i,.
• ,_
. Rec:o,oc•,MulO do ,u¡,onub,ldad 11J.p,MO 1 por ...rtn de las
�
,.. "'
. ,,
• Collbo<aclól'I con la w� y acción do� ,-ali.�
,,. dot nolllc:ado .. W,;jg dotl �'10 �.
• Colli,�
wun,■ ,,d.,
COtl.
•ulOflcad, rec:onoci-niwll "panU,-y ICdOrl de
,.
dlllOlm do cooOOeado el o-=iodill pn)Q<timif.nlD� .
(O) lnte�lon.111.d
,,.
'"
. Se -.rvierte _,,,...ntc, y vokfflad de' conelllf la oxw:IUCIII lnlr'KIOnl
Esta es una copia auténbca 1mpom1ble de un documento electrómco archivado por el M1rnsteno de Jusbaa y Derechos
Humanos, aphcando lo d1SpOOSto por el Art 25 de D S 070-2013--PCM y la Tercera DISp()SIClÓn Complementana F.,al
del D S 026-2016-PCM Su au(enticldad e mtegndad pueden ser contrastadas a lravés de la S1QU1ente direcaón web
https 115º(1 rr.nJus gob pe/gesdoc_web/logm JSP e ingresando el T rpo de Documento, Número y Rango de Fechas de ser
el caso o httpsJ/sgd mmjus gob pe/gesdoc_weblverifica JSP e ingresando Tipo de Documento, Número, Rermtente y Afio,
según corresponda
Págma 19 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
26
MORÓN URBINA, Juan Carlos: “Comentarios a la Ley del Procedimiento Administrativo General”. Décimo quinta
edición. Lima, Gaceta Jurídica, 2020, tomo II, p. 457.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 20 de 22
Resolución Directora/ Nº 169-2022-JUSIDGTAIPD-DPDP
En total, los factores de graduación suman un total de 10%, como se muestra en
el siguiente cuadro:
SE RESUELVE:
Artículo 1.- Sancionar a Banco BBVA Perú con la multa ascendente a cuatro
coma cero seis Unidades Impositivas Tributarias (4,06 U.I.T.) por haberse realizado la
toma fotográfica del DNI del señor y de los datos que este contiene, que no eran
necesarios ni pertinentes para la finalidad vinculada a la entrega del producto a la
denunciante, incumpliendo la obligación del numeral 3 del artículo 28 de la LPDP, con
lo que se configuraría la infracción leve tipificada en el literal b) del numeral 1 del artículo
132 del Reglamento de la LPDP.
Esta es una copia auténbca rmpom1ble de un documento electrómco archivado por el M1rnsteno de Jusbaa y Derechos
Humanos, aphcando lo d1SpOOSto por el Art 25 de D S 070-2013-PCM y la Tercera DISp()SIClÓn Complementana F.,al
del D S 026-2016-PCM Su aulenticldad e mtegndad pueden ser contrastadas a lravés de la SIQUlenle direcaón web
https 115º(1 rr.nJus gob pe/gesdoc_web/logm JSP e ingresando el T rpo de Documento, Número y Rango de Fechas de ser
el caso o httpsJ/sgd mmjus gob pe/gesdoc_weblverifica JSP e ingresando Tipo de Documento, Número, Rermtente y Afio,
según corresponda
Página 21 de 22
Resolución Directoral N° 169-2022-JUS/DGTAIPD-DPDP
Banco BBVA Perú, en atención a lo desarrollado entre los considerandos 47, 80, 81 y
82 de esta resolución directoral.
Artículo 3.- Informar a Banco BBVA Perú que, contra la presente resolución, de
acuerdo con lo indicado en el artículo 218 de la LPAG, proceden los recursos de
reconsideración o apelación dentro de los quince (15) días hábiles posteriores a su
notificación27.
Artículo 3.- Informar a Banco BBVA Perú que deberá realizar el pago de la multa
en el plazo de veinticinco (25) días útiles desde el día siguiente de notificada la presente
resolución28.
Artículo 5.- Se entenderá que cumplió con pagar la multa impuesta, si antes de
que venzan los plazos mencionados, cancela el sesenta por ciento (60%) de la multa
impuesta conforme a lo dispuesto en el artículo 128 del Reglamento de la LPDP29. Para
el pago de la multa, se deberá tener en cuenta el valor de la U.I.T. del año 2021.
Regístrese y comuníquese.
27
Artículo 218. Recursos administrativos
218.1 Los recursos administrativos son:
a) Recurso de reconsideración
b) Recurso de apelación
Solo en caso que por ley o decreto legislativo se establezca expresamente, cabe la interposición del recurso
administrativo de revisión.
218.2 El término para la interposición de los recursos es de quince (15) días perentorios, y deberán resolverse en el plazo
de treinta (30) días.
28
El pago de la multa puede ser realizado en el Banco de la Nación con el código 04759 o a la cuenta del Banco de la
Nación: CTA.CTE R.D.R. N° 0000-281778 o CCI N° 01800000000028177801.
29
Artículo 128.- Incentivos para el pago de la sanción de multa.
Se considerará que el sancionado ha cumplido con pagar la sanción de multa si, antes de vencer el plazo otorgado para
pagar la multa, deposita en la cuenta bancaria determinada por la Dirección General de Protección de Datos Personales
el sesenta por ciento (60%) de su monto. Para que surta efecto dicho beneficio deberá comunicar tal hecho a la Dirección
General de Protección de Datos Personales, adjuntando el comprobante del depósito bancario correspondiente. Luego
de dicho plazo, el pago sólo será admitido por el íntegro de la multa impuesta.
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos
Humanos, aplicando lo dispuesto por el Art. 25 de D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final
del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web:
https://sgd.minjus.gob.pe/gesdoc_web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser
el caso o https://sgd.minjus.gob.pe/gesdoc_web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año,
según corresponda.
Página 22 de 22