FACULTAD DE DERECHO

CURSO DE INFORMÁTICA JURÍDICA

IV UNIDAD DIDÁCTICA

TEMA: LA PROTECCION DE DATOS PERSONALES

Dr. ALDAZABAL PEREZ JOSÉ AMILCAR

¿POR QUÉ UN DERECHO DE
PROTECCIÓN DE DATOS
PERSONALES?
El derecho a la intimidad

INTIMIDAD DINÁMICA

INTIMIDAD ESTÁTICA
 El derecho a la intimidad

Derecho a la Derecho a la Derecho a la

libertad autodeterminació protección de
informática n informatica datos personales

Toda persona tiene el derecho a controlar la

circulación de informaciones referidas a ella
El derecho a la protección de datos
personales
“El peligro para la privacidad del
individuo no radica en que se
acumule información sobre él,
sino, más bien, en que pierda la
capacidad de disposición sobre
ella y respecto a quien, y con
qué objeto se transmite”.

Ernesto BENDA
“Dignidad Humana y Derechos de la Personalidad”
Dato personal

• Cualquier información
referida a una persona
física.
• Que lo identifique o lo haga
identificable
 Dato personal
La información concerniente a una
persona física, identificada o identificable,
entre otra, la relativa a su origen étnico o
racial, o que esté referida a las
características físicas, morales o
emocionales, a su vida afectiva y familiar,
domicilio, número telefónico, patrimonio,
ideología, y opiniones políticas, creencias
o convicciones religiosas o filosóficas, los
estados de salud físicos o mentales, las
preferencias sexuales u otras análogas
que afecten su intimidad.
(Ley Federal de Transparencia y Acceso a la Información
Pública de México. Artículo 3º)
El derecho a la protección de datos
personales
• Derecho a ser informado sobre el
motivo de la recolección de datos y
uso de los mismos.
• Derecho a conocer qué datos
relativos al individuo existen en
cada base de datos.
• Derecho de modificación,
rectificación o cancelación de datos.
• Derecho de autorización para
intercambiar los datos.
 En el Perú
• La Constitución Política del Perú
regula el derecho a solicitar
información a las entidades
públicas.
• Garantiza el no suministro de
información, computarizada o no,
que afecte la intimidad personal y
familiar.
• La acción de Hábeas Data
aparece como mecanismo de
defensa ante la vulneración de
estos derechos.
El número IP
como dato
personal

El correo
electrónico
como dato
personal
El correo electrónico laboral y la
protección de la privacidad
• Fin preventivo
• Fin de organización
• Fin de fiscalización
• Uso de los programas
Boots
Constitución Política del Perú
Artículo 2º, inciso 5º
"A solicitar sin expresión de causa la
información que requiera y a recibirla de
cualquier entidad pública, en el plazo legal,
con el costo que suponga el pedido. Se
exceptúan las informaciones que afectan la
intimidad personal y las que expresamente se
excluyan por ley o por razones de seguridad
nacional.
El secreto bancario y la reserva tributaria
pueden levantarse a pedido del juez, del Fiscal
de la Nación, o de una comisión investigadora
del Congreso con arreglo a ley y siempre que
se refieran al caso investigado"
Constitución Política del Perú

Artículo 2º, inciso 6º

"A que los servicios
informáticos, computarizados
o no, públicos o privados, no
suministren informaciones
que afecten la intimidad
personal y familiar".
Hábeas Data
• Procede contra el hecho u
omisión por parte de un
funcionario o autoridad que
vulnera los derechos del
artículo 2º, incisos 5º y 6º.
• La demanda se presenta ante
el juez civil, implicando al
afectado el pago de abogado y
la espera de una resolución
judicial de admisión.
• A pesar de ser una acción de
garantía es necesario la espera
de un plazo para la resolución
final.
Tratamiento de la información personal en
la legislación peruana
• Código Penal Peruano.
• Ley Orgánica del Registro Nacional
de Identificación y Estado Civil
(RENIEC) - Ley Nº 26497.
• Ley General de la Persona con
Discapacidad - Ley Nº 27050.
• Código de Ejecución Penal (Decreto
Supremo 023-2001-JUS)
• Ley que regula las centrales
privadas de información de riesgo y
de información al titular de la
información - Ley Nº 27849
Código Penal Peruano
Artículo 157º
"El que, indebidamente, organiza,
proporciona o emplea cualquier archivo
que tenga datos referentes a las
convicciones políticas o religiosas y otros
aspectos de la vida íntima de una o más
personas, será reprimido con pena
privativa de libertad no menor de uno ni
mayor de cuatro años.
Si el agente es funcionario o servidor
público y comete el delito en ejercicio del
cargo, la pena será no menor de tres ni
mayor de seis años e inhabilitación (...)"
Código Penal Peruano
Artículo 207-Aº
”El que utiliza o ingresa indebidamente a
una base de datos, sistema o red de
computadoras o cualquier parte de la
misma, para diseñar, ejecutar o alterar
un esquema u otro similar, o para
interferir, interceder, acceder, o copiar
información en tránsito o contenida en
una base de datos, será reprimido con
pena privativa de libertad no mayor de
tres años o con prestación de servicios
comunitarios no menor de ciento cuatro
jornadas”
Código Penal Peruano

Artículo 207-Bº
"El que utiliza, ingresa o interfiere
indebidamente una base de datos,
sistema, red o programa de
computadoras o cualquier parte de
la misma con el fin de alterarlos,
dañarlos o destruirlos, será
reprimido con pena privativa de
libertad no menor de tres ni mayor
de cinco años y con setenta a
noventa días multa.
Código Penal Peruano
Artículo 207-Cº
"En los casos de los artículos 207º-A y
207º-B, la pena será privativa de
libertad no menor de cinco ni mayor de
siete años, cuando:
1. El agente accede a una base de
datos, sistema o red de computadora,
haciendo uso de información
privilegiada, obtenida en función a su
cargo.
2. El agente pone en peligro la
seguridad nacional.
 Casos
• Venta de Bases de Datos Personales por Internet
(denuncia Diario El Comercio, abril 2000).
• Venta de bases de datos vía correo electrónico.
• Acceso informal a la base de datos del RENIEC.
• Marketing electrónico.
Ley Orgánica del Registro Nacional de
Identificación y Estado Civil - RENIEC
Artículo 2º
"El Registro Nacional de
Identificación y Estado Civil es
la entidad encargada de
organizar y mantener el registro
único de identificación de las
personas naturales e inscribir
los hechos y actos relativos a su
capacidad y estado civil. Con tal
fin desarrollará técnicas y
procedimientos automatizados
que permitan un manejo
integrado y eficaz de la
información"
Ley Orgánica del Registro Nacional de
Identificación y Estado Civil - RENIEC
Artículo 5º
"La inscripción en el Registro se
efectuará bajo criterios
simplificados, mediante el empleo
de formularios y de un sistema
automático y computarizado de
procedimiento de datos, que
permita la confección de un registro
único de identificación de todas las
personas naturales, así como la
asignación de un código único de
identificación"
Ley Orgánica del Registro Nacional de
Identificación y Estado Civil - RENIEC
Artículo 7º (...)
“j) Velar por el irrestricto respeto del
derecho a la intimidad e identidad de la
persona y los demás derechos
inherentes a ella derivados de su
inscripción en el registro.
k) Garantizar la privacidad de los datos
relativos a las personas que son
materia de inscripción.
l) Implementar, organizar, mantener y
supervisar el funcionamiento de los
registros dactiloscópico y
pelmatoscópico de las personas”.
Ley General de la Persona con
Discapacidad
• Dispone la Creación de un Registro
Nacional de la Persona con
Discapacidad.
• Dispone la protección de datos al
establecer que la información será
confidencial y utilizada sólo para
fines estadísticos, científicos y
técnicos.
• Dispone la constante actualización
del registro con apoyo de la
RENIEC y el Instituto nacional de
Estadística e Informática.
Ley General de la Persona con
Discapacidad

• El registro podrá desarrollarse

utilizando técnicas y
procedimientos automatizados
que permitan el manejo íntegro y
eficaz de la información.
• El reglamento establece el deber
del ciudadano o ciudadana de
actualizar sus datos.
• La mal utilización del registro
puede llevar a actos
discriminatorios, sobre todo en el
campo laboral.
 Código de Ejecución Penal

Artículo 9º.- La información o datos personales contenidos

en los archivos y ficheros penitenciarios gozarán de la
garantía de la confidencialidad, salvo orden judicial.

Las autoridades penitenciarias que hubieran accedido

estarán obligadas a guardar secreto profesional sobre los
mismos, incluso después de que haya finalizado su relación
con la administración penitenciaria.

La administración penitenciaria adoptará las medidas

necesarias para evitar su alteración, pérdida, tratamiento o
acceso no autorizado. Esta limitación no alcanza al
tratamiento de datos con fines estadísticos o estudios
criminológicos, sin utilizar información que permita la
identificación del interno o interna”.
 Código de Ejecución Penal

Artículo 10º.- Los datos de carácter personal de los

internos o internas que hayan sido recabados para
determinar su tratamiento penitenciario, sólo podrán ser
cedidos o difundidos a otras personas con el
consentimiento expreso y por escrito del interno o interna.

Los internos o internas podrán solicitar al Poder Judicial

o a la administración penitenciaria, según sea el caso, la
rectificación o aclaración de sus datos de carácter
personal contenidos en los archivos y ficheros
penitenciarios que resulten inexactos o incompletos. Se
informará de la decisión al interesado en un plazo de
veinte días de presentada la solicitud.
Casos de protección de datos en la
Defensoría del Pueblo
• Solicitud de intervención ante la RENIEC por negarse a
rectificar datos, a pesar de la existencia de una
resolución judicial.
• Utilización de datos personales e imagen en el sitio
web de la Policía Nacional del Perú.
• Actualización de datos en el registro civil de la
Municipalidad de San Juan del Lurigancho.
• Rectificación de datos en hospital público: cambio de
término “incapacidad” por “discapacidad” .
• Informe sobre Acceso a la información Pública
El protector de datos personales
y las agencias de protección de
datos
Intentos de regulación de protección de
datos personales

•Presentación del Proyecto de Ley sobre privacidad de

los datos informáticos y la creación del comisionado
para la protección de la privacidad (05/10/1999).

•Presentación del Proyecto de Ley sobre protección de

datos personales. MINJUS. (2004)
 LEY QUE REGULA LAS CENTRALES
PRIVADAS DE INFORMACIÓN DE RIESGOS

- Centrales privadas de información de riesgos (CEPIRS).- Las

empresas que en locales abiertos al público y en forma habitual
recolecten y traten información de riesgos relacionada con
personas naturales o jurídicas, con el propósito de difundir por
cualquier medio mecánico o electrónico, de manera gratuita u
onerosa, reportes de crédito acerca de éstas. No se consideran
CEPIRS, para efectos de la presente Ley, a las entidades de la
administración pública que tengan a su cargo registros o bancos
de datos que almacenen información con el propósito de darle
publicidad con carácter general, sin importar la forma como se
haga pública dicha información.
 LEY QUE REGULA LAS CENTRALES
PRIVADAS DE INFORMACIÓN DE RIESGOS

- Información de riesgos.- Información relacionada a

obligaciones o antecedentes financieros, comerciales,
tributarios, laborales, de seguros de una persona
natural o jurídica que permita evaluar su solvencia
económica vinculada principalmente a su capacidad y
trayectoria de endeudamiento y pago.
 LEY QUE REGULA LAS CENTRALES
PRIVADAS DE INFORMACIÓN DE RIESGOS

- Información sensible.- Información referida a las

características físicas, morales o emocionales de
una persona natural, o a hechos o circunstancias de
su vida afectiva o familiar, tales como los hábitos
personales, las ideologías y opiniones políticas, las
creencias o convicciones religiosas, los estados de
salud físicos o psíquicos y la vida sexual u otras
análogas que afecten su intimidad y todo lo referido
en la Constitución Política del Perú en su Artículo 2º
inciso 6).
 LEY QUE REGULA LAS CENTRALES
PRIVADAS DE INFORMACIÓN DE RIESGOS

- Titular de la información.- La persona natural o jurídica a la que se

refiere la información de riesgos.

- Reporte de crédito.- Toda comunicación escrita o contenida en

algún medio proporcionada por una CEPIR con información de
riesgos referida a una persona natural o jurídica, identificada.

- Banco de datos.- Conjunto de información de riesgos

administrado por las CEPIRS, cualquiera sea la forma o modalidad
de su creación, organización, almacenamiento, sistematización y
acceso, que permita relacionar la información entre sí, así como
procesarla con el propósito de transmitirla a terceros.
 LEY QUE REGULA LAS CENTRALES
PRIVADAS DE INFORMACIÓN DE RIESGOS

- Recolección de información.- Toda operación o conjunto de

operaciones o procedimiento técnico que permitan a las CEPIRS
obtener información.

-- Fuentes de acceso público.- Información que se encuentra a

disposición del público en general o de acceso no restringido, no
impedida por cualquier norma limitativa, que está recogida en
medios tales como censos, anuarios, bases de datos o registros
públicos, repertorios de jurisprudencia, archivos de prensa, guías
telefónicas u otros medios análogos; así como las listas de
personas pertenecientes a grupos profesionales que contengan
únicamente los nombres, títulos, profesión, actividad, grados
académicos, dirección e indicación de su pertenencia al grupo.
 LEY QUE REGULA LAS CENTRALES
PRIVADAS DE INFORMACIÓN DE RIESGOS

- Tratamiento de información.- Toda operación o

conjunto de operaciones o procedimiento
técnico, de carácter automatizado o no, que
permitan a las CEPIRS acopiar, almacenar,
actualizar, grabar, organizar, sistematizar,
elaborar, seleccionar, confrontar, interconectar,
disociar, cancelar y, en general, utilizar
información de riesgos para ser difundida en un
reporte de crédito.
 LEY QUE REGULA LAS CENTRALES
PRIVADAS DE INFORMACIÓN DE RIESGOS

- Difusión de información.- Toda operación o conjunto de

operaciones o procedimientos técnicos, de carácter
automatizado o no, que permitan a las CEPIRS comunicar,
ceder, transmitir, dar acceso o poner en conocimiento de
terceros la información de riesgos contenida en sus bancos
de datos. La información de fuente Registros Públicos deberá
indicar obligatoriamente la fecha y hora de la obtención de la
información y si ésta es sólo informativa.
 LEY QUE REGULA LAS CENTRALES
PRIVADAS DE INFORMACIÓN DE RIESGOS

- Las CEPIRS podrán recolectar información de riesgos para sus

bancos de datos tanto de fuentes públicas como de fuentes
privadas, sin necesidad de contar con la autorización del titular de la
información, entendiéndose que la base de datos se conformará
con toda la información de riesgo.
- Las CEPIRS podrán adquirir información de las fuentes
mencionadas en el párrafo precedente mediante la celebración de
contratos privados directamente con la persona natural o jurídica
que tenga o haya tenido relaciones civiles, comerciales,
administrativas, bancarias, laborales o de índole análoga con el
titular de la información, siempre y cuando ésta se refiera a los
actos, situaciones, hechos, derechos y obligaciones materia de
tales relaciones o derivadas de éstas y que no constituyan violación
del secreto profesional.
 LEY QUE REGULA LAS CENTRALES
PRIVADAS DE INFORMACIÓN DE RIESGOS

Artículo 8º.- Información suministrada por los titulares

Las CEPIRS podrán recolectar información de riesgos directamente
de los titulares, debiendo previamente informarles a éstos de modo
expreso, preciso e inequívoco lo siguiente:
a)La existencia del banco de datos, la finalidad de la recolección de
la información y los potenciales destinatarios de ésta;
b)La identidad y dirección de la CEPIR que recolecta la información;
c c)El carácter facultativo de sus respuestas a las preguntas
que le sean planteadas;
d)Las posibles consecuencias de la obtención de la información; y,
e) El alcance de los derechos desarrollados en el Título Cuarto de la
presente Ley, así como de los procedimientos para hacerlos valer.
 LEY QUE REGULA LAS CENTRALES
PRIVADAS DE INFORMACIÓN DE RIESGOS

Cuando en la recolección de información se utilicen

cuestionarios o cualquier otro medio impreso, se deberá
entregar al titular de la información una copia de éstos en la
que deberá figurar en forma claramente legible las
indicaciones señaladas en los incisos precedentes. La carga
probatoria de haber brindado la información antes detallada
corresponde a las CEPIRS.
 LEY QUE REGULA LAS CENTRALES
PRIVADAS DE INFORMACIÓN DE RIESGOS

Artículo 10º.- Información excluida

Las CEPIRS no podrán contener en sus bancos de datos ni difundir en sus
reportes de crédito la siguiente información:
a) Información sensible;
b) Información que viole el secreto bancario o la reserva tributaria;
c) Información ilegal, inexacta o errónea;
d) Información referida al incumplimiento de obligaciones de
naturaleza civil, comercial o tributaria, cuando (i) la obligación se haya
extinguido y hayan transcurrido 2 (dos) años desde su extinción; o (ii) 5
(cinco) años desde el vencimiento de la obligación . Estos plazos no rigen
si el titular ejerce el derecho de cancelación de acuerdo a lo establecido en
el inciso b) del artículo 13º de la presente Ley.
 LEY QUE REGULA LAS CENTRALES
PRIVADAS DE INFORMACIÓN DE RIESGOS

Derechos de los titulares de la información (art. 13):

a) El derecho de acceso a la información referida a uno mismo registrada
en tales bancos
b) El derecho de modificación y el derecho de cancelación de la
información referida a uno mismo registrada en tales bancos y que fuese
ilegal, inexacta, errónea o caduca
c) El derecho de rectificación de la información referida a uno mismo que
haya sido difundida por las CEPIRS y que resulte ser ilegal, inexacta,
errónea o caduca
d) El derecho de actualización de la información referida a uno mismo,
registrada en los bancos de datos , que no haya incluido pagos parciales o
totales, siempre que hubiesen vencido los plazos establecidos en los
incisos 15.7 y 15.8 del artículo 15º de la presente Ley.