Por Andrea Pulgar, Experta Certificada en Protección de Datos (ECPD) y asociada del Estudio Grau Abogados.

Esta es una interrogante frecuente en la práctica profesional, pues aparentemente, de una lectura de la Ley N° 29733, Ley de Protección de Datos Personales (en adelante, la “Ley”), su Reglamento aprobado por Decreto Supremo N° 003-2013-JUS (en adelante, el “Reglamento”), y el “Formulario de Comunicación de Flujo Transfronterizo” vigente, daría la impresión que es necesario contar con el consentimiento del titular del dato personal para ello.

Para poder llegar a una conclusión razonable es importante previamente definir qué es el tratamiento de datos personales y qué obligaciones este impone.

El artículo 5 de la Ley dispone como principio que el tratamiento de datos personales requiere el consentimiento de su titular, siendo definido el tratamiento como “cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales”.

En consecuencia, cualquier operación que facilite a un tercero distinto al titular de datos personales el acceso a los mismos califica como tratamiento y, en principio, requiere su consentimiento. Ahora bien, ¿eso significa que cuando una empresa contrata a un proveedor la prestación de un servicio para cuya ejecución debe otorgarle acceso a los datos personales que tiene almacenados, necesita pedirle al titular del dato personal su consentimiento para realizar dicha contratación?

La respuesta razonable es que no debería ser así, pues evidentemente sería imposible obtener el consentimiento de todos los titulares de datos involucrados en una tercerización de servicios, lo cual se traduciría en que no sería posible la tercerización de actividades que involucren el acceso a datos personales.

En efecto, esto es así, y el sustento de esta afirmación lo encontramos en el artículo 36 del Reglamento, que dispone que:

“Para efectos de la Ley, la entrega de datos personales del titular del banco de datos personales al encargado[1] no constituye transferencia de datos personales.

(…)”

Sin embargo esto no deja desprotegido al titular de datos personales, pues se impone la obligación en el responsable del tratamiento (quien decide la subcontratación), de asegurarse que el prestador de servicios cumpla con la Ley de Protección de Datos Personales.

En consecuencia, la regla general es que el tratamiento de datos personales requiere el consentimiento de su titular; sin embargo, no se requiere el consentimiento para realizar una  tercerización de servicios (tema distinto es tener el consentimiento para realizar el tratamiento que se quiere tercerizar, de ser este el caso).

Sobre el consentimiento para la realización del Flujo Transfronterizo

Habiendo definido algunos conceptos generales que tienen impacto en el concepto de flujo transfronterizo, pasamos a definir qué es el flujo transfronterizo.

El artículo 2 inciso 8 lo define como “la transferencia internacional de datos personales del titular del banco de datos a un destinatario situado en un país distinto al país de origen de los datos personales, sin importar el soporte en que estos se encuentren, los medios por los cuales se efectuó la transferencia, ni el tratamiento que reciban.

Por otro lado, el punto VIII del “Formulario de Comunicación de Flujo Transfronterizo de Datos Personales”, señala lo siguiente:

“Señale si cuenta con el consentimiento de los titulares de datos personales para la realización del flujo transfronterizo.

Si la respuesta es positiva, detalle de qué forma ha obtenido el consentimiento de los titulares de los datos personales.

Si la respuesta es negativa, señale en qué supuesto del artículo 14 de la Ley Nº 29733, Ley de Protección de Datos Personales, se encuentra comprendido”.

A primera vista, del referido formulario, parecería que siempre que se realice un flujo transfronterizo será necesario recabar el consentimiento del titular del dato personal para realizarlo. Sin embargo, consideramos que ello no es así.

La respuesta a dicha interrogante la encontramos en los artículos 5 y 15 de la Ley, concordados con el artículo 36 del Reglamento.

En efecto, el artículo 15 que regula de manera específica el flujo transfronterizo dispone como regla general que este solo se puede realizar si el país destinatario mantiene niveles adecuados de protección conforme a dicha norma, o bien, cuando ello no se cumple, que el emisor del flujo transfronterizo de datos personales garantice que el tratamiento de los datos personales en el país destinatario se efectúe conforme a lo dispuesto por la presente Ley. El referido artículo regula también algunos supuestos de excepción a la regla general.

En consecuencia, de las normas citadas se desprende que para realizar el flujo transfronterizo de datos personales se debe cumplir con las reglas del artículo 15 de la Ley, y además, contar con el consentimiento del titular de datos personales para realizar fuera del país el tratamiento que se requiera, mas no para la acción específica de contratar un servicio que requiera otorgar acceso al proveedor ubicado en el extranjero a los datos personales originados en el Perú, ni tampoco para contratar dicho tratamiento a un proveedor que presta servicios en el extranjero.

Sin embargo, como hemos señalado, el Formulario de Comunicación de Flujo Transfronterizo genera confusión respecto a la necesidad de contar con el consentimiento del titular del dato personal para ello, por lo que consideramos que dicho formulario debe ser modificado.


[1] Artículo 2 inciso 10 del Reglamento: Encargado del tratamiento: Es quien realiza el tratamiento de los datos personales, pudiendo ser el propio titular del banco de datos personales o el encargado del banco de datos personales u otra persona por encargo del titular del banco de datos personales en virtud de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación. Incluye a quien realice el tratamiento de datos personales por orden del responsable del tratamiento cuando este se realice sin la existencia de un banco de datos personales.

No hay comentarios

Dejar respuesta