73
La protección de los datos personales en el sistema de reporte de créditos peruano
Revista
YACHAQ
•
N
.º
10
La protección de los datos personales
en el sistema de reporte de créditos peruano
Personal Data Protection in the
Peruvian Credit Reporting System
Raúl Vásquez Rodríguez
[
*
]
RESUMEN: este trabajo analiza la interacción entre el tratamiento de información crediti-
cia de las personas naturales a cargo de las centrales de riesgo, debido a su importancia
para los agentes de mercado, y el derecho fundamental a la protección de los datos
personales, profundizando en el trasfondo constitucional de los derechos involucrados,
en las interpretaciones del Tribunal Constitucional y en la compatibilidad de objetivos
respecto de la privacidad y la confidencialidad que existe entre la Ley N.° 27489, Ley que
regula las Centrales Privadas de Información de Riesgos y de Protección al Titular de la
Información y la Ley N.° 29733, Ley de Protección de Datos Personales y su reglamento;
interacción analizada por la Autoridad Nacional de Protección de Datos Personales en
sus resoluciones directorales.
ABSTRACT: this work researchs the interaction between the personal credit data process
-
ing of natural people in charge of the Credit Risks Agencies, because of its relevance for
stakeholders and the fundamental right for the personal data protection, deepening in the
constitutional background of the involved rights, in the Constitutional Court statements and
the compatibility whith the privacy and confidentiality targets that exists between the Law N.°
27489, which regulates the Credit Risk Information Private Center and the Data Holder Protec
-
tion Act, and the Law N.° 29733, law for the Personal Data Protection and its rulement; which is
analyzed by Personal Data Protection Agency in its directoral judgments.
PALABRAS CLAVE: protección de datos, datos crediticios, centrales de riesgo.
KEYWORDS: data protection, credit data, credit risk agencies.
Centro de Investigación de los Estudiantes de Derecho (CIED)
Universidad Nacional de San Antonio Abad del Cusco
N.° 10 - 2019
[pp. 73-94]
[
*
]
Abogado y Magíster en Derecho de la Propiedad Intelectual y de la Competencia por la Pontificia Univer-
sidad Católica del Perú, con especialización en Derecho Administrativo por la Universidad de Salamanca.
Miembro del Colegio de Abogados de Lima.
Revista de Derecho YACHAQ
ISSN: 1817-597x (impresa) / ISSN: 2707-1197 (en linea)
Fecha de recepción: 12/08/19
Fecha de aceptación: 14/09/19
Contacto: ravasquez78@yahoo.com
74
Raúl Vásquez Rodríguez
Revista
YACHAQ
•
N
.º
10
I. MARCO INTRODUCTORIO
Entre los bienes más valiosos del mercado
está la información de quienes intervienen en él,
más aún en operaciones crediticias, en las que es
inherente el riesgo de no devolución del dinero in-
vertido, el llamado «riesgo crediticio» de la Ley N.°
26702, Ley General del Sistema Financiero y del
Sistema de Seguros y Orgánica de la Superinten-
dencia de Banca y Seguros (Ley N.° 26702)
[1]
, ya
sea un préstamo u otra forma contractual lícita (Vi-
lela, 2015, p. 28).
Dicha incertidumbre dificulta al agente decidir
sobre el otorgamiento de créditos y sobre las condi-
ciones a imponer para compensar tal riesgo (Figue-
roa, 2010, p. 11). Para superar tal vicisitud, se necesita
información sobre la capacidad de endeudamiento y
pago del potencial cliente y con ello, determinar su
riesgo crediticio, lo cual le permitirá elegir cómo con-
tratar o no hacerlo, basándose en datos objetivos del
desenvolvimiento en el mercado del sujeto.
[1]
Congreso de la República, 6 de diciembre de 1996. Glosario. Ley N.° 27489, Ley General del Sistema
Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros. Diario
Oficial El Peruano.
«ANEXO-GLOSARIO
[…]
Riesgo crediticio: el riesgo de que el deudor o la contraparte de un contrato financiero no cumpla con
las condiciones del contrato.»
[2]
Congreso de la República, 6 de diciembre de 1996. Glosario. Ley N.° 27489, Ley General del Sistema
Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros. Diario Oficial
El Peruano.
Artículo 158. ORGANIZACIÓN DE LA CENTRAL DE RIESGOS E INFORMACIÓN QUE CONTENDRÁ.
La Superintendencia tendrá a su cargo un sistema integrado de registro de riesgos financieros,
crediticios, comerciales y de seguros denominado «Central de Riesgos», el mismo que contará con
información consolidada y clasificada sobre los deudores de las empresas.
[…]
Se registrará en la Central de Riesgos los riesgos por endeudamientos financieros y crediticios en el
país y en el exterior, los riesgos comerciales en el país, los riesgos vinculados con el seguro de crédito
y otros riesgos de seguro, dentro de los límites que determine la Superintendencia.
[…]
Artículo 159. OBLIGACIÓN DE SUMINISTRAR LA INFORMACIÓN RELEVANTE
Las empresas de los sistemas financiero y de seguros deben suministrar periódica y oportunamente la
información que se requiere para mantener actualizado el registro de que trata el artículo anterior. De
contar con sistemas computarizados proporcionarán dicha información diariamente.
Toda empresa del sistema financiero antes de otorgar un crédito deberá requerir a la persona natural o
jurídica que lo solicite, la información que con carácter general establezca la Superintendencia. En caso
de incumplimiento, no podrá otorgarse el crédito.
Reconociendo ello, el Tribunal Constitucional
señaló que con la circulación de tal información,
exacta y actual, crece la confianza en el sistema cre-
diticio y se facilita el acceso a él de nuevos partícipes
aptos para mercado, favoreciendo a los otorgantes
de capital, a sus clientes, así como a la seguridad
jurídica en el tráfico económico.
La Ley N.° 26702 establece en su artículo
158 el registro llamado «Central de Riesgos» de la
Superintendencia de Banca, Seguros y AFP, en el
que la información financiera, crediticia, comercial
y de seguros sobre los intervinientes en el mer-
cado se consolida, siendo obligatoria su consulta
previa al otorgamiento de un crédito y la remisión
de dicha información por parte de las empresas
del sistema financiero, según el artículo 159 de di-
cha ley; pudiendo desarrollarse tal sistematización
y entrega de información por medio de entidades
privadas, las Centrales Privadas de Información de
Riesgos (CEPIR)
[2]
.
75
La protección de los datos personales en el sistema de reporte de créditos peruano
Revista
YACHAQ
•
N
.º
10
Con tal permisión para el manejo de infor-
mación crediticia, surge el riesgo de recopilación
indiscriminada de información personal, capaz de
conducir a la saturación del sistema con informa-
ción irrelevante para el mercado y a la ejecución
de acciones invasivas para las personas natura-
les. A fin de prevenir dichos perjuicios y delimitar
la función de las CEPIR, se promulga la Ley N.°
27489, Ley que regula las Centrales Privadas de
Información de Riesgos y de Protección al Titular
de la Información (Ley CEPIR).
Por su parte, la Ley N.° 29733, Ley de Protec-
ción de Datos Personales (LPDP) prioriza el derecho
fundamental de las personas a la protección de sus
datos personales y otros involucrados (intimidad, ho-
nor y reputación, principalmente), procurando por el
debido manejo, por parte de terceros como las CE-
PIR, de datos que hacen identificable a la persona.
Este artículo analiza las normas constituciona
les referidas a la protección de datos personales y
a la libertad de contratación, previo al repaso de las
mencionadas leyes, para analizar lo resuelto en el
Expediente N.° 087-2018-JUS/DPDP-PS por la Di-
rección de Protección de Datos Personales (DPDP)
y su superior jerárquico, la Dirección General de
Transparencia, Acceso a la Información Pública y
Protección de Datos Personales (DGTAIPD), que
ejercen la Autoridad Nacional de Protección de Da-
tos Personales (APDP); procedimiento llevado con
Sentinel Perú S.A. (Sentinel), una de las CEPIR más
grandes del mercado peruano
[3]
.
Artículo 160. CENTRALES DE RIESGOS PRIVADAS
Es libre la constitución de personas jurídicas que tengan por objeto proporcionar al público información
sobre los antecedentes crediticios de los deudores de las empresas de los sistemas financiero y de
seguros y sobre el uso indebido del cheque.
[…]».
[3]
Las resoluciones de primera y segunda instancia se encuentran disponibles en https://www.minjus.gob.
pe/procedimientos-administrativos-sancionadores/
[4]
Congreso Constituyente Democrático, 29 de diciembre de 1993, Constitución Política del Perú.
Artículo 2. Toda persona tiene derecho:
[…]
6. A que los servicios informáticos, com pu tarizados o no, públicos o privados, no suministren informa-
ciones que afecten la intimidad personal y familiar.
7. Al honor y a la buena reputación, a la intimidad personal y familiar, así como a la voz y a la imagen
propias.
II. DERECHOS CONSTITUCIONALES INVOLU-
CRADOS
Es necesario partir de los derechos funda-
mentales de las personas, así como de los de-
rechos involucrados con la economía social de
mercado, contenidos en la Constitución Política
del Perú. Obedeciendo a la sistemática de nuestra
carta magna, conviene iniciar los derechos funda-
mentales a la intimidad personal y familiar, de los
numerales 6 y 7 de su artículo 2
[4]
.
El numeral 7 ofrece para la intimidad perso-
nal y familiar la garantía de prohibir el escudriña-
miento y/o divulgación no deseada de los actos de
las personas, contribuyendo a su inviolabilidad,
así como al equilibrio necesario para su desarrollo
individual y en sociedad (Fernández, 2004, p. 59);
vale decir, establece una prohibición general, un
impedimento para acciones de terceros respecto
de la información del sujeto.
Por su parte, en el texto del numeral 6 de dicho
artículo constitucional se aprecia la protección de
la intimidad contra el suministro de información que
pueda afectarla su intimidad, vale decir, acciones
con la información del individuo en dominio de ter-
ceros, lo que hace que la integridad de su derecho
dependa del comportamiento de aquellos.
Entonces, el derecho del numeral 6 marca una
diferencia conceptual importante respecto del dere-
cho del numeral 7, pues no consiste solo en la pa-
sividad de la prohibición, sino que al consistir en el
76
Raúl Vásquez Rodríguez
Revista
YACHAQ
•
N
.º
10
control de comportamientos ajenos, premune a la
persona de la facultad de ejercer señorío sobre su
información y de determinar qué se hace con ella
(Lete del Río, 1996, pp. 176-177) a fin de no solo
protegerse, sino de obligar a prevenir y revertir los
efectos de actividades de terceros que, sin que lo
haya consentido, expongan su intimidad.
Por ello, el derecho fundamental a la protec-
ción de datos personales (denominado también
«autodeterminación informativa») se yergue au-
tónomo, permitiendo controlar cualquier acto de
tratamiento de su información personal mediante
las facultades que le otorga (Castro, 2008, pp. 261-
262) o los procedimiento puestos a su disposición
por los poderes públicos, lo que satisface la nece-
sidad de equilibrio a favor del individuo en el ac-
tual contexto de circulación de información (Pérez
Luño, 1996, pp. 23-24).
Habiendo sido reconocida en el derecho es-
pañol con la Sentencia N.° 292/2000, como «[…]
poder de disposición y de control sobre los datos
personales que faculta a la persona para decidir
cuáles de esos datos proporcionar a un terce-
ro, […] y que también permite al individuo saber
[5]
Sentencia 292/2000, de 30 de noviembre de 2000.
[6]
Sentencia del Tribunal Constitucional en el Expediente N.° 1797-2002/HD, del 29 de enero de 2003:
3. […] el derecho a la autodeterminación informativa no puede identificarse con el derecho a la intimi-
dad, personal o familiar, reconocido, a su vez, por el inciso 7) del mismo artículo 2 de la Constitución.
Ello se debe a que mientras que este protege el derecho a la vida privada, esto es, el poder jurídico
de rechazar intromisiones ilegítimas en la vida íntima o familiar de las personas, aquel garantiza la
facultad de todo individuo de poder preservarla controlando el registro, uso y revelación de los datos
que les conciernen.
[7]
Sentencia del Tribunal Constitucional en el Expediente N.° 4739-2002/HD, del 15 de octubre de 2007:
2. […] el derecho a la autodeterminación informativa consiste en la serie de facultades que tiene toda
persona para ejercer control sobre la información personal que le concierne, contenida en registros ya
sean públicos, privados o informáticos, a fin de enfrentar las posibles extralimitaciones de los mismos.
Se encuentra estrechamente ligado a un control sobre la información, como una autodeterminación de
la vida íntima, de la esfera personal.
3. […] se busca proteger a la persona en sí misma, no únicamente en los derechos que conciernen a
su esfera personalísima, sino a la persona en la totalidad de ámbitos […].
[8]
Congreso Constituyente Democrático, 29 de diciembre de 1993, Constitución Política del Perú.
«Artículo 2. Toda persona tiene derecho:
[…]
14. A contratar con fines lícitos, siempre que no se contravengan leyes de orden público.»
quién posee esos datos personales y para qué,
pudiendo oponerse a esa posesión o uso»
[5]
, la
protección de los datos personales es reconocida
y conceptualizada en el Perú a través de senten-
cias del Tribunal Constitucional como la recaída
en el Expediente N.° 1797-2002-HD
[6]
, que reco-
noce su autonomía respecto del derecho a la inti-
midad contemplado en el numeral 7, gracias a los
poderes que otorga sobre terceros.
Posteriormente, el supremo intérprete consti-
tucional peruano reforzó el concepto de tal derecho
fundamental, incidiendo en la facultad de oponer-
lo ante personas naturales o jurídicas, públicas o
privadas, así como en la protección integral de las
personas a través de su facultad de imperar sobre
su información personal y las acciones de terceros
sobre ella, como se aprecia en la sentencia del Ex-
pediente N.° 4739-2007-PHD/TC
[7]
.
De otro lado, el numeral 14 del artículo 2
[8]
de la Constitución da a las personas la libertad de
contratar, conjugando voluntades en relaciones
jurídicas patrimoniales (Chanamé, 2008, p. 60), te-
niendo como límite la licitud y el orden público. Este
derecho se desarrolla en la Economía Social de Mer-
77
La protección de los datos personales en el sistema de reporte de créditos peruano
Revista
YACHAQ
•
N
.º
10
cado, como se ve en el artículo 59
[9]
, protegiendo
la libertad de empresa, comercio e industria, sin
perjudicar la salud, la seguridad pública y la mo-
ral, vale decir, los valores más importantes para el
bienestar de la persona.
Por su parte, según el artículo 62 de la Cons-
titución
[10]
, se permite el libre pacto respetando
la normativa vigente, que incluye los derechos
fundamentales de las personas y los límites que
estos imponen. Dicho precepto constitucional se
manifiesta en el derecho a elegir si contratar o no,
con quién hacerlo, y la determinación autónoma
de los términos contractuales (Kresalja y Ochoa,
2012, pp. 72-73), ejerciéndose así otros derechos
como la libertad de comercio.
Para ejercer tal libertad en el ámbito de merca-
dos importantes como el financiero, es importante
del flujo de información crediticia, siguiendo lo ex-
plicado en la sentencia del Tribunal Constitucional
[9]
Congreso Constituyente Democrático, 29 de diciembre de 1993, Constitución Política del Perú.
«Artículo 59. El Estado estimula la creación de riqueza y garantiza la libertad de trabajo y la libertad de
empresa, comercio e industria. El ejercicio de estas libertades no debe ser lesivo a la moral, ni a la sa-
lud, ni a la seguridad públicas. El Estado brinda oportunidades de superación a los sectores que sufren
cualquier desigualdad; en tal sentido, promueve las pequeñas empresas en todas sus modalidades.
[10]
Congreso Constituyente Democrático, 29 de diciembre de 1993, Constitución Política del Perú.
«Artículo 62. La libertad de contratar garantiza que las partes pueden pactar válidamente según las
normas vigentes al tiempo del contrato. Los términos contractuales no pueden ser modificados por le-
yes u otras disposiciones de cualquier clase. Los conflictos derivados de la relación contractual solo se
solucionan en la vía arbitral o en la judicial, según los mecanismos de protección previstos en el contrato
o contemplados en la ley.
[…]».
[11]
Sentencia del Tribunal Constitucional recaída en el Exp. N.° 03700-2010-PHD/TC, del 7 de agosto de 2014:
6. […] resulta legítimo y acorde con el derecho a la libertad de contratación, que exista un flujo continuo
de información de riegos crediticios en el mercado, pues solo así se puede generar confianza en el
sistema financiero para el otorgamiento de créditos y su consiguiente recuperación, en la medida de
que el tratamiento de este tipo de datos permite, tanto a personas jurídicas como a personas natura-
les, conocer el comportamiento en el tiempo de los sujetos de crédito en general (historial crediticio:
endeudamiento, capacidad de pago, voluntad de pago), para así tomar decisiones adecuadas en torno
al ofrecimiento de créditos, lo cual repercute directamente en la economía nacional (requisitos para el
acceso al crédito, tasas de interés, por ejemplo).
[12]
Congreso Constituyente Democrático, 29 de diciembre de 1993, Constitución Política del Perú.
«Artículo 65. El Estado defiende el interés de los consumidores y usuarios. Para tal efecto, garantiza el
derecho a la información sobre los bienes y servicios que se encuentran a su disposición en el mercado.
Asimismo, vela, en particular, por la salud y la seguridad de la población.»
en el Expediente N.° 3700-2010-PHD/TC
[11]
, que im-
plica el comportamiento actual e histórico de los
sujetos de crédito, lo cual permite la adopción de
decisiones adecuadas respecto del otorgamien-
to de créditos y genera más confianza entre los
agentes del mercado, posibilitando el ejercicio
de tal libertad entre los «buenos deudores» (Más,
2017, pp. 211-212), al poder acceder a créditos
para efectuar actividades económicas.
Asimismo, el artículo 65 de la Constitución
[12]
establece que el estado defenderá el interés de los
consumidores y usuarios de cualquier sector del
mercado (Quispe, 2007, p. 109), lo que significa
una dimensión mayor a la relación de consumo,
abarcando el respeto de su personalidad y de sus
derechos, a través de la provisión de medios y ga-
rantías para ello.
De lo anterior, se desprende que la protección
de datos personales, como derecho fundamental,
78
Raúl Vásquez Rodríguez
Revista
YACHAQ
•
N
.º
10
también actúa en el ámbito del tratamiento de la in-
formación crediticia por medio de las disposiciones
de la Ley CEPIR, y de forma general en el ámbito de
actividades crediticias y/o comerciales, por medio
de la norma que la desarrolla transversalmente, que
es la LPDP, siendo las dos normas que buscan equi-
librar el poder de quien maneja la información, en
beneficio de los derechos de sus titulares.
III. ANTECEDENTES Y CONTENIDO DE LA LEY
CEPIR
Siendo el artículo 160 de la Ley 27602 que po-
sibilita el establecimiento de las CEPIR y en virtud
de la circulación de información personal inherente
a sus funciones, la Ley CEPIR contiene las precisio-
nes de los objetos de la actividad (el tipo específico
de información personal y el producto de su proce-
samiento sistemático), las operaciones que la com-
ponen y sobretodo, los derechos de las personas
sobre información crediticia de la cual son titulares.
En tal sentido, es pertinente comenzar el aná-
lisis explicando la doble dimensión del objeto de
dicha ley, según su artículo 1: La veracidad y el uso
apropiado de la información de riesgo en el mer-
cado, junto al respeto a la confidencialidad y a los
derechos fundamentales de las personas. Se evi-
dencia la necesidad de equilibrio de los intereses
en juego en torno a la información crediticia, entre
la injerencia justificada en la información de la per-
sona y la protección de sus datos (Más, op. cit.,
p. 198), y también de la limitación de funciones, a
través de las cosas y acciones a ejercer.
Para tal delimitación, se recurre a las definicio-
nes del artículo 2 de la Ley CEPIR, en cuyo literal b) la
información concerniente a la solvencia de las perso-
nas se conceptualiza como «información de riesgos»,
como los datos referidos a obligaciones financieras,
[13]
Congreso de la República, 11 de junio de 2001. Artículo 2. Ley N.° 27489, Ley que regula las centrales
privadas de información de riesgos y de protección al titular de la información. Diario Oficial El Peruano.
«Artículo 2. Definiciones
Para los efectos de esta Ley, se entiende por:
[…]
b) Información de riesgos. Información relacionada a obligaciones o antecedentes financieros, comercia-
les, tributarios, laborales, de seguros de una persona natural o jurídica que permita evaluar su solvencia
económica vinculada, principalmente, a su capacidad y trayectoria de endeudamiento y pago.»
comerciales, tributarias, laborales y de seguros, vin-
culada a su capacidad y trayectoria de pago de una
persona
[13]
. Con ello, resulta clara la circunscripción
de los datos con los cuales las CEPIR pueden rea-
lizar operaciones de tratamiento: datos de índole fi-
nanciera sobre el comportamiento del sujeto en el
mercado, relacionados con la ejecución de sus obli-
gaciones dinerarias (Remolina, 2013, p. 167).
Al respecto, conviene remarcar que esta infor-
mación no solo es constituida por datos del estado
actual, sino también por lo referido a pagos opor-
tunos y deudas vencidas cuyo plazo no exceda los
dos años de extintas o cinco desde su vencimiento,
pues refleja la trayectoria o «vida crediticia» de una
persona, usando los términos de Vilela (2015, p. 28).
Entonces, queda claro también que la esencia
de la «información de riesgos» es su utilidad para
evaluar el nivel de riesgo crediticio con información
del devenir de cada persona, determinante no solo
para el otorgamiento adecuado de créditos, sino
también por poder o no limitar actividades económi-
cas de las personas naturales.
Ante la diversidad de las fuentes de datos que
constituyen «información de riesgos» se requiere su
debido tratamiento, actualización y sistematización,
la cual es desarrollada por las (CEPIR) con la finali-
dad de elaborar, como producto de dicha operación
de tratamiento, el denominado «reporte de crédito».
El desarrollo de dicha operación, al implicar
el tratamiento de información personal de otros ti-
pos, requiere límites con los que se garanticen los
derechos fundamentales de las personas, en toda
la operación llevada a cabo por la CEPIR, como es
la recopilación de información y su posterior en-
trega. Un primer límite se dio con la definición de
«información de riesgos», que demarca el ámbito
objetivo del tratamiento, señalando sobre qué ele-
79
La protección de los datos personales en el sistema de reporte de créditos peruano
Revista
YACHAQ
•
N
.º
10
mentos pueden actuar, excluyendo a los que no
sirven a su concepto.
Ahora, es cierto que dicho concepto abarca
diversas categorías, pero no todos los datos de una
determinada categoría son parte de tal concepto
ni deben ser objeto de tratamiento por parte de las
CEPIR, como sucede en los records de asistencia
de una persona en un determinado empleo o los
pormenores de una transacción comercial aislada,
al no ofrecer información conducente para el riesgo
crediticio de una persona, no deben conformar la
masa informativa, resultando su tratamiento, inclu-
so, contrario a la LPDP, como podremos estudiar.
Asimismo, es preciso señalar que dicha ope-
ración de tratamiento no significa de ningún modo
que la CEPIR esté autorizada a obtener nuevos
datos mediante la organización y el perfilamiento,
como un perfil crediticio o alguna evaluación de pro-
babilidades; ejercicios que por la ley que regula su
actividad no se le permiten, puesto que significa un
tratamiento ulterior a la recopilación y sistematiza-
ción, acciones que componen su función.
[14]
Congreso de la República, 11 de junio de 2001. Artículo 2. Ley N.° 27489, Ley que regula las centrales
privadas de información de riesgos y de protección al titular de la información. Diario Oficial El Peruano.
«Artículo 2. Definiciones
Para los efectos de esta Ley, se entiende por:
[…]
e) Reporte de crédito. Toda comunicación escrita o contenida en algún medio proporcionada por una
CEPIR con información de riesgos referida a una persona natural o jurídica, identificada.»
[15]
Diccionario de la Lengua Española, Real Academia Española:
«Difundir: […] 3. Propagar o divulgar conocimientos, noticias, actitudes, costumbres, modas, etc.».
Recuperado de: www.rae.es
(Consulta: 3 de mayo de 2019).
[16]
Congreso Constituyente Democrático, 29 de diciembre de 1993, Constitución Política del Perú.
«Artículo 2. Toda persona tiene derecho:
[…]
8. A la libertad de creación intelectual, artística, técnica y científica, así como a la propiedad sobre dichas
creaciones y a su producto. El Estado propicia el acceso a la cultura y fomenta su desarrollo y difusión.
Artículo 21. Los yacimientos y restos arqueológicos, construcciones, monumentos, lugares, documentos
bibliográficos y de archivo, objetos artísticos y testimonios de valor histórico, expresamente declarados
bienes culturales, y provisionalmente los que se presumen como tales, son patrimonio cultural de la Na-
ción, independientemente de su condición de propiedad privada o pública. Están protegidos por el Estado.
La ley garantiza la propiedad de dicho patrimonio. Fomenta conforme a ley, la participación privada en
la conservación, restauración, exhibición y difusión del mismo, así como su restitución al país cuando
hubiere sido ilegalmente trasladado fuera del territorio nacional.»
El verdadero producto de la operación de las
CEPIR, y objeto contractual de esta con sus clien-
tes, es el «reporte de crédito»
[14]
, documento que
contiene la información de riesgos de una persona,
el cual se entrega a la empresa que evalúa otorgarle
un crédito. Dicho reporte tiene un contenido variable
según el momento en el que se entregue la informa-
ción, pues refleja con el comportamiento crediticio
del sujeto, hasta el momento de su consolidación.
Corresponde explicar por qué consideramos
incorrecto el uso del término «difusión» en el presen-
te artículo, aun siendo incluido en las definiciones
de la Ley CEPIR. Consideramos que es un defecto
importante de la misma, puesto que el significado
del verbo «difundir» presente en el Diccionario de la
Lengua Española a cargo de la Real Academia Es-
pañola implica la divulgación extendida de hechos o
información
[15]
, generalmente dirigida a un colectivo
o pluralidad, mas no centralizada ni con destinatario
específico, significado adoptado en otras normas e,
incluso, la Constitución Política del Perú, respecto
de valores o derechos de colectividad
[16]
. La ge-
80
Raúl Vásquez Rodríguez
Revista
YACHAQ
•
N
.º
10
neralidad del destinatario de la información atenta
contra el objetivo vinculado con la protección de la
confidencialidad, la cual impide una circulación in-
discriminada de información de los titulares.
Lo expuesto encuentra respaldo en el artículo
11 de dicha ley, que si bien establece la permisión
de «difundir» la información de riesgos utilizando
procedimientos automatizados, utiliza en otra parte
del texto términos conceptualmente más apropia-
dos para describir las transmisiones de información
en los que se tiene individualizado al destinatario o
accedente, como la transmisión, comunicación o
acceso a los datos por parte de los terceros.
Luego de la delimitación de la información a
tratar, se aprecia en la definición del literal a) de su
artículo 2 la demarcación de acciones de tratamien-
to de información a cargo de las CEPIR. En tal sen-
tido, se distingue dos momentos de tratamiento:
— La recolección y conservación de información
de riesgos de personas naturales o jurídicas,
que implica su registro y sistematización en
reportes de crédito.
— La entrega, por cualquier medio, de tales re-
portes, que es el propósito de la recolección y
tratamiento.
Respecto de la recolección y tratamiento de la
información de riesgos, las siguientes interrogantes
surgen naturalmente: ¿de dónde extrae la informa-
ción de riesgo una CEPIR?, ¿bajo qué supuestos se
le permite tal extracción?
La Ley CEPIR establece inicialmente un am-
plio acervo de fuentes y cierto grado de libertad de
[17]
Congreso de la República, 11 de junio de 2001. Artículo 2. Ley N.° 27489, Ley que regula las centrales
privadas de información de riesgos y de protección al titular de la información. Diario Oficial El Peruano.
Artículo 9. Lineamientos generales de recolección y tratamiento de información
[…]
c) La información que deberá constar en los reportes informativos será lícita, exacta y veraz, de forma tal
que responda a la situación real del titular de la información en determinado momento. Si la información
resulta ser ilícita, inexacta o errónea, en todo o en parte, deberán adoptarse las medidas correctivas,
según sea el caso, por parte de las CEPIRS, sin perjuicio de los derechos que corresponden a los
titulares de dicha información.
[…]
d) La información será conservada durante el plazo legal establecido en la presente Ley o en su defec-
to, hasta que se produzca su cancelación conforme a lo prescrito en el inciso b) del artículo 13 de la
presente Ley.
acción y de adquisición de fuentes, como se apre-
cia en su artículo 7, que permite la recolección de
información de riesgos de fuentes públicas o pri-
vadas, mediando una relación contractual en este
último caso, y sin la obligación de obtener el con-
sentimiento del titular, siendo esto amparado por la
LPDP como se verá en el subtítulo siguiente.
El límite principal a la recolección se encuentra
en el literal a) del artículo 9 de la Ley CEPIR, pues
recurrir medios fraudulentos o ilícitos, como la comi-
sión de delitos o infracciones, o la toma de la infor-
mación del mismo titular, mediando elementos que
enajenen su voluntad; mientras que en el literal b)
de dicho artículo, se restringe la finalidad del trata-
miento a la establecida en la misma ley, la elabora-
ción y entrega del reporte de crédito.
Por su parte, el literal c) de dicho artículo es-
tablece una obligación de la CEPIR concerniente
al contenido de la información, que consiste en
preservar la licitud, así como para la actualización,
veracidad y exactitud de la información del estado
de cada deudor, por medio del establecimiento de
medidas correctivas sobre dicha información de for-
ma autónoma, perentorio y de oficio (Casas, 2015,
p. 24), más allá del ejercicio de los derechos del ti-
tular. Finalmente, el literal d) establece como límite
temporal del tratamiento la fecha de la cancelación
solicitada de la información, debido a que la ley no
estableció expresamente un plazo máximo de su
conservación, sino que la condiciona a la voluntad
del titular, texto que en cierta forma no compatibiliza
con la exigencia de proactividad en la actualización
de los datos que se prevé en el literal anterior
[17]
.
81
La protección de los datos personales en el sistema de reporte de créditos peruano
Revista
YACHAQ
•
N
.º
10
La segunda etapa de las operaciones de la
CEPIR implica la entrega de información de ries-
gos de las personas a las empresas solicitantes
(mal llamada «difusión» como ya explicamos),
permitida en el artículo 11 de la Ley CEPIR
[18]
con
una obligación esencial que confirma la ratio legis
involucrada con la protección de la confidenciali-
dad: Identificar y registrar a quienes se haya remi-
tido dicha información.
¿Contribuye el registro de los destinatarios
de la información de riesgos? Sí, puesto que el
alcance de tal detalle implica facilitar al titular de
los datos su derecho de acceso a los factores que
componen la operación de tratamiento de sus da-
tos, como la indicación de las identidades de quie-
nes obtuvieron reportes de crédito concernientes
a su persona, como se tiene previsto en el artículo
14 de la Ley CEPIR
[19]
, el cual delinea la forma de
ejercer tal derecho.
El mencionado derecho de acceso es uno
de los cuales está dotado el titular de informa-
ción, según el texto del artículo 13 de la mencio-
nada ley, conjuntamente con los de modificación
y cancelación de su información, así como de la
rectificación y de actualización de la misma; cir-
[18]
Congreso de la República, 11 de junio de 2001. Artículo 2. Ley N.° 27489, Ley que regula las centrales
privadas de información de riesgos y de protección al titular de la información. Diario Oficial El Peruano.
Artículo 11. Difusión de información de riesgos
Las CEPIRS podrán difundir a terceras personas, de manera onerosa o a título gratuito, la información
de riesgos que contengan en sus bancos de datos. Para tales efectos, las CEPIRS podrán implementar
en la forma que estimen convenientes procedimientos automatizados para la transmisión, comunicación
o acceso de datos a terceros, así como el registro obligatorio de estos bajo responsabilidad, debiendo
cautelar los derechos de los titulares de la información.
Las CEPIRS difunden la información de riesgo, luego de identificar con medios apropiados al solicitante
de la información.
[19]
Congreso de la República, 11 de junio de 2001. Artículo 2. Ley N.° 27489, Ley que regula las centrales
privadas de información de riesgos y de protección al titular de la información. Diario Oficial El Peruano.
Artículo 14. Derecho de acceso
Los titulares podrán acceder […] a la información crediticia que les concierne que estuviese registrada
en los bancos de datos administrados por las CEPIRS. […]
La información a que se refiere este artículo incluirá, a solicitud del titular, la identidad de las fuentes de
información registrada en los bancos de datos, con excepción de las fuentes de acceso público y la
identidad de todas las personas que obtuvieron un reporte de crédito sobre el titular en los últimos doce
meses, así como la fecha en que se emitieron tales reportes.
cunscribiéndose la aplicación de cada uno a los
siguientes supuestos:
— Modificación y cancelación: aplicable solo
para la información que figure en el banco
de datos de la CEPIR, cuando sea inexacta,
ilegal, errónea o caduca, teniendo dicha em-
presa la obligación de tener implementados
los medios y canales para atender las solici-
tudes, en el plazo común de siete días hábi-
les, prorrogables hasta por cinco días más,
de acuerdo con el artículo 15 de la Ley.
— Rectificación: aplicable a la información en-
tregada por medio de un reporte de crédito
a un tercero, cuando sea inexacta, ilegal,
errónea o caduca. Si bien opera cuando la
información fue transmitida, el artículo 16
de la Ley CEPIR establece la obligación de
adoptar medidas correctivas como las comu-
nicaciones rectificatorias.
— Actualización: referida a pagos parciales de
las deudas, cuando haya vencido el plazo de
vencimiento para que las fuentes otorguen la
información a la CEPIR (dos días hábiles), o
de los reportes de crédito, una vez recibidos
por las entidades crediticias, según se con-
82
Raúl Vásquez Rodríguez
Revista
YACHAQ
•
N
.º
10
templa en los numerales 15.6, 15.7 y 15.8 del
artículo 15 de la Ley CEPIR.
Tales derechos demuestran la puesta en prác-
tica de la autodeterminación informativa en el ámbi-
to del tratamiento de información crediticia, en las
diversas etapas del mismo y permitiendo oponerla
no solo ante el mero almacenamiento de informa-
ción por parte de la CEPIR, sino cuando la informa-
ción ya fue remitida, sin que esto le reste a ella res-
ponsabilidad sobre la exactitud y veracidad de los
productos que entrega, al ser la obligada principal
a enmendar y frente a su cliente, en mérito de su
relación contractual.
Ahora bien, el título quinto de la Ley CEPIR,
referida a la defensa del consumidor, establece que
ante la comisión de las infracciones establecidas
en el artículo 20 de dicha ley, consistentes en no
permitir el ejercicio de los derechos del titular de la
información, la entidad competente para llevar el
procedimiento sancionador sería la Comisión de
Protección al Consumidor del Instituto Nacional de
Defensa de la Competencia y de la Propiedad Inte-
lectual (Indecopi), pues dicho titular es considerado
en la ley como un consumidor.
Sobre ello, no puede ocultarse que, en efecto,
el titular de la información constituye un cliente de
las entidades crediticias o de las que efectúen ope-
raciones comerciales a crédito, no siendo tan claro
respecto de las CEPIR. En tal circunstancia, debe-
ría entenderse que la CEPIR indirectamente provee
un bien necesario para que el individuo establezca
una relación contractual, el cual es la entrega de
información que impulse su acceso a un crédito,
proceso en el cual también se debe velar por sus
derechos fundamentales.
Entonces, la protección que la Ley CEPIR brin-
da al titular de la información se fundamenta en el
resguardo de la confidencialidad de su información,
como en sus derechos como consumidor. Sin em-
bargo, la aplicación de las disposiciones que lo fa-
vorecen dan prevalencia al tráfico de la información
de riesgos en beneficio del mercado, por lo que la
protección de la LPDP y su reglamento tiene un es-
pectro más amplio, al ser una norma transversal,
aplicable a la generalidad de actividades, con res-
tricciones que se estudiarán a continuación.
IV. CONTENIDO DE LA NORMATIVA DE PRO-
TECCIÓN DE DATOS PERSONALES
El numeral 6 del artículo 2 de la Constitución
requería una ley que lo desarrolle, estableciendo
como objeto de protección a la información que
identifica o hace identificable a las personas natu-
rales, así como los factores de su adecuado tra-
tamiento por parte de terceros, aparte de estable-
cer procedimientos administrativos alternativos al
Habeas Data, rol cumplido por la LPDP desde su
publicación en julio de 2011 y gradual vigencia, cul-
minando con la aprobación de su reglamento por
medio del Decreto Supremo N.° 003-2013-JUS, vi-
gente desde mayo de 2013, que complementa las
disposiciones de dicha ley.
En las definiciones de su artículo 2 de la LPDP,
conceptualiza a los «datos personales» como toda
información que identifica directamente a las per-
sonas naturales, por medio de elementos como su
nombre o DNI; o que habilita la identificación de ta-
les personas a través de factores como conductas y
hábitos de consumo, ingresos y otros bienes, des-
empeño laboral, estado de salud y entre otros.
En el mismo artículo, se define también al
«tratamiento de datos personales» con una lista de
actividades o procedimientos de manipulación de
datos personales, tales como el mero almacena-
miento, la organización, el bloqueo, la supresión,
así como diversas modalidades de traslado de do-
minio, como puede ser la transferencia por comuni-
cación, a destinatarios reconocibles, o por difusión.
Dicha lista es enunciativa, permitiendo entender
como tratamiento de datos personales a cualquier
operación que implique manipulación de datos per-
sonales, como la indexación, la evaluación o el per-
filamiento, incluyendo dentro de tan amplio espec-
tro, se incorporan a las operaciones de tratamiento
efectuadas por las CEPIR.
En dicha normativa, las definiciones estable-
cen los distintos roles que puede tener una entidad
que efectúa el tratamiento de datos personales,
según su poder de decisión. En el artículo 2 del
reglamento de la LPDP, el concepto de «responsa-
ble de tratamiento» señala con carácter genérico a
toda persona que tenga poder de decisión sobre el
tratamiento, estableciendo sus medios, finalidad,
estructura, contenido y uso (Dávara Fernández de
83
La protección de los datos personales en el sistema de reporte de créditos peruano
Revista
YACHAQ
•
N
.º
10
Marcos, 2011, p. 151), sin necesidad de un banco
de datos personales
[20]
. Como subordinado del res-
ponsable está el encargado del tratamiento, descri-
to en los numerales 7 y 8
[21]
, cuya actividad se limita
a las instrucciones del responsable del tratamiento
(Lorenzo, 2016, p. 132-133) y a la finalidad que este
establezca, de acuerdo con el vínculo contractual
que mantengan, figura muy presente en la realidad,
al existir la tercerización de operación con entida-
des más especializadas y con mayores garantías
para el tratamiento de datos.
Luego de desarrollados los conceptos de la
LPDP, conviene preguntarse si por tener una ley
especial, la Ley CEPIR, el tratamiento por parte de
los agentes de su sector de mercado se encuentra
excluido del ámbito de aplicación de la LPDP. El ar-
tículo 3 de dicha ley establece cuatro supuestos de
tratamiento de datos personales no cubiertos por
sus disposiciones:
— Tratamiento efectuado por personas naturales
exclusivo para vida privada y familiar.
— Tratamiento efectuado por una entidad pública,
en cumplimiento de sus competencias asigna-
das por ley relativas a defensa nacional, como
[20]
Presidencia de la República, 21 de marzo de 2013. Artículo 2. Reglamento de la Ley N.° 29733, Ley de
Protección de Datos Personales, aprobado por Decreto Supremo N.° 003-2013-JUS.
Artículo 2. Definiciones
Para los efectos de la aplicación del presente reglamento, sin perjuicio de las definiciones contenidas
en la Ley, complementariamente, se entiende las siguientes definiciones:
[…]
14. Responsable del tratamiento: es aquel que decide sobre el tratamiento de datos personales, aun
cuando no se encuentren en un banco de datos personales.
[21]
Congreso de la República, 3 de julio de 2011. Artículo 2. Ley N.° 29733, Ley de Protección de Datos Perso-
nales. Diario Oficial El Peruano.
Artículo 2. Definiciones
Para todos los efectos de la presente Ley, se entiende por:
[…]
7. Encargado de tratamiento de datos personales. Toda persona natural, persona jurídica de derecho
privado o entidad pública que sola o actuando conjuntamente con otra realiza el tratamiento de los datos
personales por encargo del titular del banco de datos personales en virtud de una relación jurídica que
le vincula con el mismo y delimita el ámbito de su actuación. Incluye a quien realice el tratamiento sin la
existencia de un banco de datos personales.
8. Encargo de tratamiento. Entrega por parte del titular del banco de datos personales a un encargado de
tratamiento de datos personales en virtud de una relación jurídica que los vincula. Dicha relación jurídica
delimita el ámbito de actuación del encargado de tratamiento de los datos personales.
los datos personales a cargo del Ministerio de
Defensa (Eguiguren, 2015, pp. 134-135).
— Tratamiento efectuado por una entidad pública,
en cumplimiento de sus competencias asigna-
das por ley relativas a seguridad pública.
— Tratamiento efectuado por una entidad públi-
ca desempeñando sus competencias legales,
para la investigación y represión del delito,
como el Ministerio Público, el Poder Judicial y
la Unidad de Inteligencia Financiera (Loc. cit.).
Para el debido tratamiento, la LPDP establece
principios rectores, los cuales demarcan el camino
de corrección de tal tratamiento, cumpliendo una
función informadora e integradora para la norma-
tiva (Palma, 2018, p. 40), instituyendo los objetivos
de la misma, a cumplirse por medio de las disposi-
ciones específicas de dicha ley y en su reglamento;
así también, parte de la doctrina los entiende como
unos mínimos que deben garantizarse en el trata-
miento (Remolina, 2013, pp. 63-64). En tal sentido,
el artículo 12 de la LPDP señala que tales princi-
pios sirven de criterio interpretativo de sus disposi-
ciones, para suplir una carencia normativa o como
parámetro para el desarrollo de sus disposiciones
84
Raúl Vásquez Rodríguez
Revista
YACHAQ
•
N
.º
10
y las del reglamento; entre ellos, están los de Le-
galidad, Consentimiento, Finalidad, Proporcio-
nalidad y Calidad
[22]
.
El principio de Legalidad dispone que el tra-
tamiento debe realizarse según lo que la LPDP u
otras normas autoricen, o según sea necesario en
una relación jurídica lícita (Puyol, 2016, p. 141), vale
decir, con respaldo del ordenamiento jurídico. Por
consiguiente, prohíbe particularmente la recopila-
ción mediando la comisión de hechos ilícitos (pe-
nales o administrativos), así como aquel en el cual
se enajena la voluntad del titular de los datos perso-
nales contrariando la buena fe, induciendo a error o
engaño, lo cual constituye el tratamiento desleal y
fraudulento, de acuerdo con Castro (p. 269).
[22]
Congreso de la República, 3 de julio de 2011. Artículos 4 al 8. Ley N.° 29733, Ley de Protección de Datos
Personales. Diario Oficial El Peruano.
Artículo 4. Principio de legalidad
El tratamiento de los datos personales se hace conforme a lo establecido en la ley. Se prohíbe la reco-
pilación de los datos personales por medios fraudulentos, desleales o ilícitos.
Artículo 5. Principio de consentimiento
Para el tratamiento de los datos personales debe mediar el consentimiento de su titular.
Artículo 6. Principio de finalidad
Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El trata-
miento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de
manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de
valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización.
Artículo 7. Principio de proporcionalidad
Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la
que estos hubiesen sido recopilados.
Artículo 8. Principio de calidad
Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible,
actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopila-
dos. Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para
cumplir con la finalidad del tratamiento.
[23]
Presidencia de la República, 21 de marzo de 2013. Artículo 2. Reglamento de la Ley N.° 29733, Ley de
Protección de Datos Personales, aprobado por Decreto Supremo N.° 003-2013-JUS.
Artículo 12. Características del consentimiento
Además de lo dispuesto en el artículo 18 de la Ley y en el artículo precedente del presente reglamento,
la obtención del consentimiento debe ser:
1. Libre: sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de voluntad
del titular de los datos personales.
La entrega de obsequios o el otorgamiento de beneficios al titular de los datos personales con ocasión
de su consentimiento no afectan la condición de libertad que tiene para otorgarlo, salvo en el caso de
menores de edad, en los supuestos en que se admite su consentimiento, en que no se considerará libre
el consentimiento otorgado mediando obsequios o beneficios.
El principio de Consentimiento establece la
principal circunstancia que en la LPDP legitima el
tratamiento de datos personales por parte de un
tercero, que es la obtención del consentimiento de
su titular, vale decir, la manifestación de la volun-
tad favorable del titular. Por supuesto, al entender
dicha manifestación equiparable al acto jurídico
contemplado en el Código Civil, que crea una situa-
ción jurídica entre el titular y el responsable del tra-
tamiento, debe cumplir ciertos requisitos como el
de ser libre, no debiendo existir impedimento para
manifestar razonadamente el consentimiento, evi-
tando el error, dolo o coacción de cualquier índole
(Trujillo, 2018, p. 55), como se aprecia en el artículo
12 del reglamento de la LPDP
[23]
.
85
La protección de los datos personales en el sistema de reporte de créditos peruano
Revista
YACHAQ
•
N
.º
10
Dicho artículo reglamentario desarrolla el
contenido del numeral 13.5 del artículo 13 de la
LPDP
[24]
, referido a los otros requisitos de validez
del otorgamiento del consentimiento:
— Expreso e inequívoco: para otorgar el con-
sentimiento es necesaria su manifestación
por medio de cualquier conducta afirmativa
que lo refleje indubitablemente a través de
las manifestaciones clásicas, como la verbal
o escrita (en medios digitales o impresos), y
que tampoco deje dudas sobre el tratamien-
to objeto de consentimiento.
El condicionamiento de la prestación de un servicio, o la advertencia o amenaza de denegar el acceso
a beneficios o servicios que normalmente son de acceso no restringido, sí afecta la libertad de quien
otorga consentimiento para el tratamiento de sus datos personales, si los datos solicitados no son
indispensables para la prestación de los beneficios o servicios.
[24]
Congreso de la República, 3 de julio de 2011. Artículo 18. Ley N.° 29733, Ley de Protección de Datos Per-
sonales. Diario Oficial El Peruano.
«Artículo 13. Alcances sobre el tratamiento de datos personales
[…]
13.5 Los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular, salvo
ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco.»
[25]
Congreso de la República, 3 de julio de 2011. Artículo 18. Ley N.° 29733, Ley de Protección de Datos Per-
sonales. Diario Oficial El Peruano.
Artículo 18. Derecho de información del titular de datos personales. El titular de datos personales
tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa
a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o
pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la
identidad y domicilio de su titular y, de ser el caso, del o de los encargados del tratamiento de sus
datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le
proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las
consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el
cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede
y los medios previstos para ello.
[…].
[26]
Presidencia de la República, 21 de marzo de 2013. Artículo 2. Reglamento de la Ley N.° 29733, Ley de
Protección de Datos Personales, aprobado por Decreto Supremo N.° 003-2013-JUS.
Artículo 12. Características del consentimiento
Además de lo dispuesto en el artículo 18 de la Ley y en el artículo precedente del presente reglamento,
la obtención del consentimiento debe ser:
[…]
4. Informado: Cuando al titular de los datos personales se le comunique clara, expresa e indubitable-
mente, con lenguaje sencillo, cuando menos de lo siguiente:
a. La identidad y domicilio o dirección del titular del banco de datos personales o del responsable del
tratamiento al que puede dirigirse para revocar el consentimiento o ejercer sus derechos.
— Previo: el consentimiento debe otorgarse
antes de iniciar la actividad de tratamiento,
pues de ser posterior, se tratará de la con-
validación de lo ya realizado.
— Informado: requisito de vital importancia, al
ofrecer el recurso básico al titular de los da-
tos para formar adecuadamente su voluntad,
información del tratamiento que se efectuará,
detallando factores especificados en el artí-
culo 18 de la LPDP
[25]
y en el numeral 4 del
artículo 12 de su reglamento
[26]
.
86
Raúl Vásquez Rodríguez
Revista
YACHAQ
•
N
.º
10
Ahora bien, es necesario entender que en la
LPDP el consentimiento se establece como regla
legitimadora principal, mientras otras modalida-
des son excepciones a la obligación de obtenerlo,
previstas en su artículo 14, siendo trascendentes
las siguientes
[27]
:
— Sobre datos personales contenidos o que
puedan figurar en bases de datos de acce-
so público, definidas en el artículo 17 del re-
glamento de la LPDP, respetando estos los
principios contenidos en la LPDP y dicho re-
b. La finalidad o finalidades del tratamiento a las que sus datos serán sometidos.
c. La identidad de los que son o pueden ser sus destinatarios, de ser el caso.
d. La existencia del banco de datos personales en que se almacenarán, cuando corresponda.
e. El carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, cuando
sea el caso.
f. Las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo.
g. En su caso, la transferencia nacional e internacional de datos que se efectúen.
[27]
Congreso de la República, 3 de julio de 2011. Artículo 14. Ley N.° 29733, Ley de Protección de Datos Per-
sonales. Diario Oficial El Peruano.
Artículo 14. Limitaciones al consentimiento para el tratamiento de datos personales
No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en
los siguientes casos:
[…]
2. Cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles
al público.
3. Cuando se trate de datos personales relativos a la solvencia patrimonial y de crédito, conforme a ley.
[…]
5. Cuando los datos personales sean necesarios para la preparación, celebración y ejecución de una
relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos perso-
nales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo
o cumplimiento.
[…]
9. Cuando el tratamiento de los datos personales sea necesario para salvaguardar intereses legítimos del
titular de datos personales por parte del titular de datos personales o por el encargado de tratamiento
de datos personales. (sic)
[28]
Mediante la Opinión Consultiva del Oficio N.° 749-2018-JUS/DGTAIPD, la Dirección General de Transparencia,
Acceso a la Información Pública y Protección de Datos Personales señaló lo siguiente:
[…] los datos contenidos en las fuentes de acceso al público deben de utilizarse únicamente dentro del
marco para el cual dicha fuente ha sido creada y pone a disposición la información mencionada. […]
En caso se requiera realizar tratamientos para finalidades distintas a aquellas para las cuales los da-
tos personales fueron puestos a disposición en las fuentes accesibles al público, como por ejemplo
remitir publicidad, deberá solicitarse el consentimiento conforme al artículo 5 y el artículo 13, inciso
13.5, de la LPDP.
Recuperado de: https://www.minjus.gob.pe/wp-content/uploads/2018/10/O-C-38_OCTUBRE.pdf
(Consultado el 16 de mayo de 2019).
glamento y, de acuerdo con el criterio de la
APDP, utilizándolos para la finalidad de crea-
ción de la fuente
[28]
.
— Sobre datos personales necesarios para esta-
blecer y ejecutar una relación contractual.
— Sobre datos personales que sean necesarios
para salvaguardar intereses legítimos del titu-
lar, efectuado por el responsable o por el en-
cargado de su tratamiento, como el caso de
solicitud de un préstamo, la entidad financiera
podrá tratar sin consentimiento del cliente to-
87
La protección de los datos personales en el sistema de reporte de créditos peruano
Revista
YACHAQ
•
N
.º
10
dos sus datos necesarios para evaluar y ges-
tionar la entrega del crédito.
— Sobre datos personales referidos a la solven-
cia patrimonial y de crédito, en mérito de la ley
aplicable, al sector o giro, como la Ley CEPIR.
La no exigibilidad del consentimiento no ex-
cusa al responsable de acatar los otros principios
rectores. Al beneficiarse con excepciones como
las expuestas previamente, el responsable del tra-
tamiento debe alinear su conducta tanto a las dis-
posiciones de la LPDP como a las de dicha norma
sectorial, a fin de equilibrar su situación respecto a
la del titular de los datos, persistiendo otros debe-
res, como el de informar al titular sobre su inclusión
en la base de datos (Quiepo de Llano, 2010, pp.
66-67) y el de atención de sus derechos.
Justamente, entre aquellos principios recto-
res se encuentran los de Finalidad y Proporcio-
nalidad, los cuales mencionamos conjuntamente
debido a su complementariedad, pues la exigibi-
lidad del segundo depende del contenido del pri-
mero, pues este determina los límites que debe
preservarse por medio del tratamiento proporcio-
nal de datos personales.
El artículo 6 de la LPDP establece como prin-
cipio que el tratamiento de los datos personales,
tanto en su etapa de recopilación como en los si-
guientes tratamientos, debe realizarse siguiendo
únicamente las finalidades lícitas, que hayan sido
determinadas explícitamente al momento de su
recopilación: deben ser acordes con el ordena-
miento jurídico general y haber sido conocidas
por los titulares de los datos personales con la
mayor especificidad posible, la suficiente para
evitar ambigüedades o disensos.
Acerca de ello, debemos anotar que aun
siendo obligatorio informar adecuadamente sobre
las finalidades del tratamiento, según el artículo
18 de la LPDP, en algunos casos subyacen de la
propia actividad del responsable del tratamiento,
siendo plenamente inteligibles para el titular de los
datos personales, con lo cual, a nuestro entender,
se cumple con el requisito de determinación indu-
bitable de aquella finalidad.
Siguiendo la lectura de dicho artículo, se apre-
cia la prohibición de extender el tratamiento a otras
finalidades que no sean aquellas que no hayan es-
tado establecidas inequívocamente al momento de
su recopilación (Coz, 2015, p. 34). Esta disposición
puede entenderse como restrictiva del tratamiento
de datos personales en todos los casos, puesto
que se basa no solo en la no obtención del con-
sentimiento para una finalidad determinada, sino
que se extiende incluso a aquellos que no requie-
ren tal consentimiento, pero se efectúan sin brindar
la información sobre las finalidades al titular de los
datos; así también, se puede extender tal interpre-
tación hasta puntos rígidos en los que no se permi-
ta el tratamiento ni para finalidades indirectamente
vinculadas, subordinadas a la principal o afines.
En este punto, corresponde traer a colación
la finalidad del tratamiento de datos personales
realizado por una CEPIR, cabiendo preguntarse
si resulta indubitable para el titular de los datos.
En respuesta, se debe señalar que la Ley CEPIR
determina una finalidad general y una específica:
La finalidad general consiste en el tratamiento es-
trictamente de información de riesgos veraz y ac-
tual, a fin de contribuir con el mercado crediticio y
preservando la confidencialidad de las personas,
mientras que la específica consiste en la entrega
de reportes de crédito a quien se lo solicite, en el
marco de una relación jurídica, la misma que se
cumple gracias al desarrollo de la primera.
Siendo lícitas tales finalidades y certeramente
determinadas desde el momento de la recopilación
de los datos personales, se puede examinar el prin-
cipio de Proporcionalidad del artículo 7 de la LPDP,
que restringe el tratamiento a lo necesario para
alcanzar dichas finalidades. La restricción reduce
el tratamiento a los datos personales relevantes y
adecuados, a los que sean útiles y conducentes
a tal finalidad, contribuyendo con la eficiencia y el
equilibrio en el tratamiento; al satisfacer tales requi-
sitos, y en caso de la finalidad se alcance con unas
determinadas clases y cantidad de datos persona-
les, corresponde evitar actividades de tratamiento
u obtención de datos adicionales, inhibiéndose los
ejercicios invasivos adicionales para satisfacer una
finalidad ya alcanzada.
Consideramos que tales limitaciones son de
índole cualitativa, pues no obedecen a una canti-
dad preestablecida de datos o de clases de datos,
88
Raúl Vásquez Rodríguez
Revista
YACHAQ
•
N
.º
10
sino que son determinadas por las necesidades y
la naturaleza de cada actividad en la que el trata-
miento se desarrolla, lo cual es una cuestión a exa-
minar caso por caso, puesto que los datos que son
necesarios para una finalidad, no siempre lo son
para otra (Palma, p. 46), aun siendo afín o conexa.
Por dicha razón, ni la LPDP ni su reglamento
se refieren a un lapso para el tratamiento más allá
del necesario para el cumplimiento de su finalidad
o hasta el momento en el que el titular solicite su
cancelación, aun cuando pueden tener límites es-
tablecidos en ciertas normas especiales, como los
datos de salud en historias clínicas o las plasmadas
en boletas de pago en ámbito laboral.
Para el desarrollo de tales principios, se tiene
la obligación establecida en el numeral 3 del artí-
culo 28 de la LPDP
[29]
, que condensa en un solo
texto las características de la finalidad que determi-
na el tratamiento y así como las cualidades de con-
ducencia y no exceso que hacen proporcional al
mismo tratamiento, tomando en cuenta la finalidad
de estos preceptos, que es frenar el conocimiento
excesivo de una determinada persona.
En consonancia con tales principios, se en-
cuentra el de Calidad, contemplado en el artículo
8 de la LPDP. Ya determinados los datos que se-
rán tratados para cumplir con una finalidad deter-
minada, dicho principio busca que la información
corresponda a la verdad actual de su titular, que
conserve su aptitud identificativa y con ello, su cua-
lidad de «dato personal» y llamando a la eficiencia
en el tratamiento de datos personales.
Este principio ya no responde solo a pregun-
tas como «¿Para qué?» o «¿Hasta dónde?», sino a
una como «¿Esto aún sirve?», afirmándose en su
artículo la necesidad de que se traten datos ade-
cuados, necesarios y pertinentes para la finalidad,
[29]
Congreso de la República, 3 de julio de 2011. Artículo 14. Ley N.° 29733, Ley de Protección de Datos Per-
sonales. Diario Oficial El Peruano.
«Artículo 28. Obligaciones
El titular y el encargado de tratamiento de datos personales, según sea el caso, tienen las siguientes
obligaciones:
[…]
3. Recopilar datos personales que sean actualizados, necesarios, pertinentes y adecuados, con relación
a finalidades determinadas, explícitas y lícitas para las que se hayan obtenido.»
añadiendo la exigencia de que estos sean actuali-
zados mientras sea posible para el responsable, a
fin de que con su tratamiento mantenga pertinencia
respecto a la actividad determinada como su fina-
lidad, debiendo conservarse mientras guarde utili-
dad para alcanzar su finalidad.
Dicha situación implica que para suplir la de-
ficiencia informativa, el responsable debe facilitar
medios para el ejercicio simple de los derechos de
acceso, rectificación, cancelación y oposición al
tratamiento, a ser atendidos en los plazos señala-
dos en el artículo 65 del Reglamento de la LPDP.
Así también, debe desplegar medidas particulares
dispuestas de oficio (Dávara, 2015, p. 86) para que
sus registros de datos personales mantengan co-
rrespondencia con la realidad actual de cada per-
sona, debiendo verificar la continuidad de su perti-
nencia, para cesar su conservación cuando no sea
necesario el tratamiento.
Es interesante apreciar que la LPDP, como
norma transversal, otorga a los titulares de datos
personales los medios para el ejercicio de sus dere-
chos ante todo tratamiento por parte del tercero, de
lo cual surgen obligaciones específicas a cargo del
responsable del tratamiento, que es la CEPIR. Para
el caso de la información de riesgos, la Ley CEPIR
tiene previstos derechos que son ejercidos ante In-
decopi, siendo competencia de la APDP evaluar el
debido tratamiento de otros datos personales, como
en el caso de Sentinel, estudiado a continuación.
V. PRONUNCIAMIENTOS DE LA APDP EN EL
CASO SENTINEL (EXPEDIENTE N.° 087-
2018-JUS/DPDP-PS)
En atención a una denuncia presentada el 1
de marzo de 2018, mediante la Resolución Directo-
ral N.º 131-2018-JUS/DGTAIPD-DFI, la Dirección de
89
La protección de los datos personales en el sistema de reporte de créditos peruano
Revista
YACHAQ
•
N
.º
10
Fiscalización e Instrucción de la Dirección General
de Transparencia, Acceso a la Información Pública
y Protección de Datos Personales (autoridad fisca-
lizadora e instructora de este caso), inició el pro-
cedimiento sancionador, imputando las siguientes
presuntas infracciones:
— Recopilar en su banco de datos personales
y difundir en el reporte de crédito, la imagen
y fecha de nacimiento, lo cual sería despro-
porcionado para cumplir con la finalidad de
identificar a los titulares de la información y
evaluar su solvencia, incumpliendo con los
artículos 7, 6 y 28 (numeral 3) de la LPDP; lo
que configuraría la infracción leve tipificada en
el literal b) del numeral 1 del artículo 132 del
Reglamento de la LPDP.
— Recopilar en su banco de datos personales y
difundir en el reporte de crédito, la imagen y fe-
cha de nacimiento sin recabar el consentimien-
to de sus titulares, según lo establecido en los
artículos 5 y 13 (numeral 13.5) de la LPDP y en
el artículo 12 del reglamento de dicha ley; lo
cual configuraría la infracción grave tipificada
en el literal b) del numeral 2 del artículo 132 de
dicho reglamento.
En su descargo, Sentinel alegó en los siguien-
tes sentidos:
— La Superintendencia de Banca y Seguros de-
termina la capacidad de pago de cada deudor,
siendo uno de los criterios utilizados para ello
la edad, por lo que su recopilación no vulnera
el principio de Proporcionalidad.
— La Ley N.° 26702 y la Ley del Registro de Deu-
dores Alimentarios autoriza el uso de medios
razonables para la identificación de usuarios,
como sus imágenes; motivo por el cual incluyen
ese dato personal en sus reportes de crédito.
— La fecha de nacimiento constituye información
de riesgo por ser un factor importante para de-
terminar el riesgo crediticio. Para sostener las
imputaciones al respecto, la autoridad debe
demostrar que es un dato irrelevante.
— No se ha demostrado la no idoneidad del uso
de la imagen para la identificación de la per-
sona, ni se ha establecido qué medio sí sería
adecuado.
— La imagen es un dato identificativo imprescin-
dible, al figurar en el DNI de las personas.
Mediante la Resolución Directoral N.° 259-
2019-JUS/DGTAIPD-DPDP, la DPDP sancionó a
Sentinel con la multa de 3 UIT por la inobservancia
de los principios de Finalidad y Proporcionalidad,
en incumplimiento de los artículos 6 y 7 y del nu-
meral 3 del artículo 28 de la LPDP; y con la mul-
ta de 15 UIT por la inobservancia del principio de
Consentimiento, en incumplimiento del artículo 5 y
del numeral 13.5 del artículo 13 de la LPDP. Dicha
resolución directoral fue confirmada por la DGTAI-
PD, por medio de su Resolución Directoral N.° 26-
2019-JUS/DGTAIPD.
Resolución de la DPDP
La DPDP, en su Resolución Directoral N.° 259-
2019-JUS/DGTAIPD-DPDP, dilucidó una cuestión
previa sobre la naturaleza del servicio que brinda la
CEPIR (considerandos 33 al 38), sin negar su impor-
tancia para la confianza en el mercado al suministrar
información pertinente, al demarcar que, de acuer-
do con la Ley CEPIR, su labor debe ser la recolec-
ción y tratamiento de información de riesgos, lo cual
sirve como insumo para elaborar el reporte de crédi-
to, una de las herramientas informativas de las que
se sirven las entidades crediticias para determinar
si otorgan crédito o no a una persona, no siendo la
CEPIR la entidad que realiza la evaluación crediticia,
sino la entidad usuaria del reporte de crédito.
En atención a los principios de Finalidad y Pro-
porcionalidad, y a la obligación del numeral 3 del ar-
tículo 28 de la LPDP, se establece en el considerando
45 de dicha resolución directoral que la finalidad del
tratamiento de datos personales realizado por las CE-
PIR está prevista en su ley, y es únicamente la relacio-
nada a la entrega de reportes de crédito, que requiere
de la correcta identificación de la persona. Por ello,
en virtud también del principio de Calidad de la LPDP,
se permite el tratamiento de datos ajenos a la infor-
mación de riesgos para identificar a las personas, evi-
tando recabar datos de personas ajenas, en beneficio
del correcto servicio de la CEPIR y consiguientemen-
te, de la circulación de información adecuada.
90
Raúl Vásquez Rodríguez
Revista
YACHAQ
•
N
.º
10
Conociendo que el reporte de crédito obteni-
do y entregado por Sentinel contiene tanto el nú-
mero del DNI (señalado en la resolución directoral
como «Código Único de Identificación») y la imagen
de cada persona, la DPDP efectúa un examen de
la proporcionalidad del tratamiento de tal imagen
para identificar a las personas, lo cual es identifica-
do por la DPDP como una finalidad específica invo-
lucrada al tratamiento de información crediticia. Al
respecto, Sentinel sostuvo que era imprescindible
efectuar el tratamiento sobre la imagen aun cuando
tuviese el número de DNI de la persona, al ser un
dato identificativo fehaciente, por lo cual muchos
otros registros de deudores lo contienen.
No obstante a tal argumentación, la DPDP
adoptó los criterios de la suficiencia y mayor pre-
ponderancia para la identificación que tiene el nú-
mero de DNI, señalando en sus considerandos 50
y 51 que el artículo 31 de la Ley N.° 26497, Ley Or-
gánica del Registro Nacional de Identidad y Esta-
do Civil, establece que el número del DNI (o «Có-
digo Único de Identificación»)
[30]
es un elemento
que una vez asignado a una persona constituye
su único referente identificativo invariable hasta su
fallecimiento, siendo irrepetible y permanente, por
lo que sin importar lo que suceda con otros datos,
este es el único que siempre será vinculado a una
sola persona, siendo suficiente para la identifica-
ción certera de ella.
No sucede lo mismo en el caso de la ima-
gen, pues a criterio de la DPDP (desarrollado en
los considerandos 52 y 53 de su resolución) care-
ce de invariabilidad, pudiendo llegar a mutar tanto
en ciertos casos que ya no serviría para identificar
certeramente a una persona determinada, por lo
que tampoco es funcional para la finalidad seña-
lada en este caso, resultando su tratamiento no
proporcional y contrario a la LPDP y su tratamien-
to. En tal sentido, se declaró no proporcional el
[30]
Congreso de la República, 28 de junio de 29915. Artículo 31. Ley N.° 27489, Ley Orgánica del Registro
Nacional de Identificación y Estado Civil. Diario Oficial El Peruano.
Artículo 31. El Documento Nacional de Identidad (DNI) es otorgado a todos los peruanos nacidos dentro
o fuera del territorio de la República desde la fecha de su nacimiento y a los que se nacionalicen, desde
que se aprueba el trámite de nacionalización. El documento emitido deberá asignar un Código Único
de Identificación el mismo que se mantendrá invariablemente hasta el fallecimiento de la persona, como
único referente identificatorio de la misma.
tratamiento de la imagen por parte de Sentinel, lo
que implica la comisión de la infracción imputada.
Este criterio de la DPDP permitiría a las CE-
PIR efectuar el tratamiento de un dato personal
siempre que sea totalmente conducente, funcio-
nal y necesario para la identificación de la persona
sujeta a evaluación, pese a exceder el concepto
de «información de riesgos», como es el número
de DNI. Aun cuando parece obvia la necesidad de
identificación en los reportes de crédito es nece-
sario remarcarla a fin de dar flexibilidad a la pro-
hibición de tratamiento de datos personales «para
finalidades que no hayan sido claramente estable-
cidas», solo hasta el punto de lo esencial de dicha
«subfinalidad», en la medida que constituya un
prerrequisito para el cumplimiento de la finalidad
principal de este tratamiento de datos personales.
De otro lado, se declaró la atipicidad respecto
de la difusión de datos personales, toda vez que la
DPDP, según señala en el considerando 61 de su re-
solución, considera a la difusión una acción diferen-
te a la entrega del reporte de crédito a una entidad
determinada, pues como se estableció anteriormen-
te, la difusión implica una entrega de información a
una colectividad de destinatarios no identificados.
Ahora bien, respecto a la segunda infracción
imputada, referida al tratamiento de datos perso-
nales (imagen y fecha de nacimiento) sin obtener
de sus titulares el consentimiento de forma válida,
la DPDP toma en cuenta que en virtud del cumpli-
miento de las labores encomendadas por la Ley
CEPIR, está legitimada a efectuar el tratamiento de
datos personales necesarios para la correcta emi-
sión de reportes de crédito, por medio de la identi-
ficación de las personas, siendo esta una finalidad
lícita que se seguía por medio del tratamiento de
imágenes (más allá de su carácter desproporcio-
nado), por lo que no requiere del consentimiento,
91
La protección de los datos personales en el sistema de reporte de créditos peruano
Revista
YACHAQ
•
N
.º
10
como se especifica en el considerando 68 de su
resolución directoral.
En sentido contrario, la fecha de nacimiento,
al revelar la edad, dejaba conocer un dato perso-
nal que Sentinel considera necesario por tratarse
de un factor de riesgo necesario para efectuar la
evaluación crediticia de los clientes, por lo cual es
recopilado en sus bases de datos y transmitido en
los reportes de crédito. Sobre tal dato personal,
la DPDP descartó su cualidad identificativa, así
como también el que se trate de una información
de riesgos que deba ser tratada por una CEPIR sin
consentimiento de su titular, puesto que tampoco
se encuadra en el supuesto del numeral 3 del artí-
culo 14 de la LPDP, señalando también que la re-
copilación de factores de riesgo no es avalada por
la Ley CEPIR
[31]
, no estando autorizadas para tal
tratamiento, como se indica en los considerandos
73 y 74 de su resolución directoral.
Por su parte, al haber argumentado Sentinel
que no requiere consentimiento para tratar la fe-
cha de nacimiento por tomarla de fuentes de ac-
ceso público, la DPDP analiza las finalidades de
las bases de datos de las que extrae tal dato, es-
clareciendo que la finalidad del banco de datos de
Essalud es acreditar la pertenencia de sus asegu-
rados a ciertos gremios laborales, mientras que el
de Susalud se centra en la recepción de denuncias
por servicios de salud, a fin de evidenciar que el
tratamiento de los datos personales efectuado por
Sentinel, al no vincularse con estas finalidades, sí
requería el consentimiento de los titulares de los
datos personales, como desarrolla en los conside-
randos 82 al 84 de su resolución directoral.
Resolución de la DGTAIPD
Ante lo resuelto por la DPDP, Sentinel presentó
un recurso de apelación, basado en los siguientes
argumentos:
[31]
Congreso de la República, 11 de junio de 2001. Artículo 2. Ley N.° 27489, Ley que regula las centrales
privadas de información de riesgos y de protección al titular de la información. Diario Oficial El Peruano.
Artículo 7. Fuentes de información
7.1 Las CEPIRS podrán recolectar información de riesgos para sus bancos de datos tanto de fuentes
públicas como de fuentes privadas, sin necesidad de contar con la autorización del titular de la informa-
ción, entendiéndose que la base de datos se conformará con toda la información de riesgo.
— La imagen es un dato identificativo, por lo que
es necesario y proporcional su tratamiento
para las finalidades legítimas.
— El tratamiento de la fecha de nacimiento obe-
dece la finalidad de identificar a los titulares de
la información, constituyendo información de
riesgo sujeta a evaluación crediticia.
— No se ha sustentado que la edad no sea re-
levante para operaciones crediticias, siendo
algo que incluso se ha incluido en la resolu-
ción impugnada.
— Al realizarse el tratamiento de dichos datos
en la etapa precontractual, no requiere el
consentimiento, de acuerdo con el numeral
5 del artículo 14 de la LPDP.
En su Resolución Directoral N.° 26-2019-JUS/
DGTAIPD, la DGTAIPD evalúa la finalidad consigna-
da en el banco de datos personales de Información
de Riesgos de Sentinel y, como se lee en sus con-
siderandos 24 al 28, señalado que la misma debe
circunscribirse a los establecido en la Ley CEPIR,
la cual proscribe el tratamiento de datos persona-
les que «no sean idóneos para brindar información
que permita la evaluación de solvencia económica
vinculada, principalmente, a su capacidad y trayec-
toria de endeudamiento y pago», no pudiendo ser
establecida dicha finalidad por el «sentido común»
(considerandos 30 y 31).
En lo concerniente a la finalidad de verificar la
identidad de las personas, señalada por la DPDP
en la resolución directoral recurrida, la DGTAIPD
acepta que constituye un paso necesario para el
cumplimiento de la única finalidad auténtica, sin
que no una finalidad en sí misma independiente,
debiendo realizarla para prestar un servicio idóneo.
Entonces, aun siendo un medio para alcanzar la
finalidad, no se permite una recopilación invasiva
y desproporcional para tal finalidad, llegando en
92
Raúl Vásquez Rodríguez
Revista
YACHAQ
•
N
.º
10
caso contrario, al absurdo de permitir el acceso a
cualquier dato que sea útil para la verificación de
identidad (considerando 43).
Respecto del sujeto que debe asumir dicha
carga, la DGTAIPD señala adecuadamente que la
misma corresponde en realidad al usuario o clien-
te de la CEPIR, la empresa crediticia que, al ser el
responsable y principal interesado en realizar las
evaluaciones crediticias, es quien debe conjurar el
riesgo con sus propios medios. Así, la DGTAIPD se-
ñala que si bien la fecha de nacimiento entraría en
la evaluación crediticia, no compone el concepto de
«información de riesgos», sino que se analiza luego
de la intervención de la CEPIR.
Finalmente, la DGTAIPD hace una salvedad
necesaria: No existe un vínculo contractual entre la
persona y la CEPIR que lo exima de la obligación
de obtener el consentimiento. El vínculo a establecer
con el sujeto a evaluación es de la empresa cliente
de la CEPIR, que necesita del reporte de crédito para
completar la evaluación de su potencial contraparte.
Sobre la base de dichos argumentos, se decla-
ró infundada la apelación, confirmando las sancio-
nes impuestas por el tratamiento no proporcionado
de la imagen de las personas y por el tratamiento
de la fecha de nacimiento sin haber obtenido el con-
sentimiento de sus titulares.
VI. A MODO DE CONCLUSIONES
A lo largo del presente artículo, se apreciaron
claramente los intereses constitucionales que in-
teractúan en el ámbito del tratamiento de informa-
ción de riesgos crediticios, como son el bienestar
del individuo, garantizado a través de la protección
de sus datos personales y derechos fundamentales
conexos, y el correcto tratamiento de dicha infor-
mación, como coadyuvante para el crecimiento del
mercado a través del acceso adecuado al crédito.
La Ley CEPIR surge de la existencia del ries-
go de un tratamiento excesivo de información,
rebasando lo crediticio, cuyo objetivo radica en
restringir el tratamiento a información veraz y
exacta, evitando las conductas invasivas y perju-
diciales para las personas titulares de información
crediticia. Dicha ley, al definir los objetos a mane-
jar (información de riesgos y reportes de crédito)
sobre los cuales se desarrolla las actividades de
las CEPIR, establece sus límites de acción, cir-
cunscribiéndolos a información sobre la solvencia
patrimonial para con las obligaciones dinerarias;
en mérito de ello, impone deberes a las CEPIR,
respecto de la exactitud y actualidad de dicha in-
formación, así como a la atención de los derechos
de los titulares de información de riesgos.
Por su parte, ante la necesidad de controlar
el tránsito de datos de carácter personal y el ries-
go que ello implica para la intimidad e inviolabilidad
de la persona, la LPDP establece un conjunto de
principios cuya finalidad es la realización del debido
tratamiento de los datos personales, respaldando
el derecho fundamental contenido en el numeral 6
del artículo de la Constitución. Tales principios son
desarrollados a través de las restantes disposicio-
nes de dicho texto legal, así como en su reglamen-
to, estableciendo obligaciones para el responsable
del tratamiento de datos personales y de cualquier
otro que intervenga sin importar su título, así como
los derechos que asisten al titular respecto del trata-
miento de sus datos personales, de forma similar a
los derechos que premune la Ley CEPIR a los titula-
res de la información.
Es notable cómo la transversalidad de la LPDP
alcanza a las CEPIR, sin que la derogue o se yux-
taponga a su ley, por su orientación a la protección
del derecho fundamental en la casi totalidad de ám-
bitos de la actividad pública o privada, complemen-
tándola o más bien reforzándola en su objetivo de
restringir el tratamiento excesivo de datos persona-
les, al ir más allá de lo que concierne a la informa-
ción de riesgos, pues la LPDP tiene como finalidad
resguardar la integridad de la persona a través de la
protección de sus datos.
Dicha situación explica la competencia de la
ADPD en un caso de tratamiento por parte de una
CEPIR, para examinar el cumplimiento de la Ley CE-
PIR por parte de estas, en su conceptualización de
la información de riesgos, y de los principios de la
LPDP aplicables al caso, como se demuestra en sus
pronunciamientos, con los cuales se busca prote-
ger a la persona y a sus derechos fundamentales, y
contribuir a la fluidez de información crediticia rele-
vante. La APDP no ve un conflicto normativo en el
caso de Sentinel, sino que es consciente de la ge-
93
La protección de los datos personales en el sistema de reporte de créditos peruano
Revista
YACHAQ
•
N
.º
10
neralidad de la LPDP, así como de la aplicación de
la Ley CEPIR en lo que concierne a la calificación
de datos como información de riesgos.
Por tales motivos, el caso Sentinel es ilustrati-
vo respecto de la comunidad de las finalidades de
la Ley CEPIR y la LPDP, en lo que concierne a la
protección de los datos personales de los potencia-
les clientes crediticios, garantizando sus derechos
en el contexto de la sociedad de la información y la
economía de mercado.
VII. REFERENCIAS BIBLIOGRÁFICAS
Blossiers Mazzini, J. J. (2013). Manual de Derecho
Bancario. 2.
a
edición. Lima: Editorial y Distri-
buidora Ediciones Legales E.I.R.L.
Casas Chardón, J. (2015). CEPIR: En Torno a la Pro-
cedibilidad de una Solicitud de Revisión de
Datos Personales para Efectos de su Tutela
Efectiva. En Diálogo con la Jurisprudencia, N.°
201, pp. 21-25.
Castro Cruzatt, K. (2008). El Derecho Fundamental
a la Protección de Datos Personales: Aportes
para su Desarrollo en el Perú. Ius et Veritas.
Vol. 18, N.° 37. Lima, pp. 260-277.
Chanamé Orbe, R. (2013). Constitución Económica.
Derecho & Sociedad, N.° 40. Lima, pp. 43-63.
Coz Barón, D. (2015). El Principio de Finalidad en la
Recopilación y Tratamiento de Datos Persona-
les. En Diálogo con la Jurisprudencia, N.° 201,
pp. 33-36.
Dávara Fernández de Marcos, I. (2011). Hacia la Es-
tandarización de la Protección de Datos Perso-
nales. Madrid: Editorial La Ley.
Dávara Rodríguez, M. A. (2015). Manual de Derecho
Informático. Undécima edición. Navarra: Edito-
rial Aranzadi S.A.
Fernández Sessarego, C. (2004). Derecho de las
Personas. Exposición de Motivos y Comenta-
rios al Libro Primero del Código Civil Perua-
no. 9.
a
ed. Lima: Editorial y Librería Jurídica
Grijley E.I.R.L.
Figueroa Bustamente, H. (2010). Derecho del Mer-
cado Financiero. Lima: Editorial y Librería Jurí-
dica Grijley E.I.R.L.
Kresalja Roselló, B. y Ochoa Cardich, C. (2012).
El Régimen Económico de la Constitución de
1993. Lima: Fondo Editorial de la Pontificia
Universidad Católica del Perú.
Lete del Río, J. M. (1996). Derecho de la Persona.
Madrid: Editorial Tecnos, S.A.
Lorenzo Cabrera, S. (2018). Posición Jurídica de
los Intervinientes en el Tratamiento de Datos
Personales. En MURGA FERNÁNDEZ, Juan
Pablo, FERNÁNDEZ SCAGLIUSI, María de los
Ángeles y ESPEJO LERDO DE TEJADA, Ma-
nuel (directores). Protección de Datos, Res-
ponsabilidad Activa y Técnicas de Garantía.
Madrid: Editorial Reus, S.A.
más badía, M. D. (2017). Los Ficheros de Solven-
cia Patrimonial y Crédito en España: Algunas
Cuestiones Pendientes. En PLAZA PENDÉS,
Javier y MARTÍNEZ VELENCOSO, Luz (direc-
tores). Nuevos Retos Jurídicos de la Sociedad
Digital. Navarra: Editorial Aranzadi, S.A.
Palma Ortigosa, A. (2018). Principios Relativos al
Tratamiento de Datos Personales. En MURGA
FERNÁNDEZ, Juan Pablo, FERNÁNDEZ SCA-
GLIUSI, María de los Ángeles y ESPEJO LERDO
DE TEJADA, Manuel (Directores). Protección de
Datos, Responsabilidad Activa y Técnicas de
Garantía. Madrid: Editorial Reus, S.A.
Pérez Luño, A. E. (1996). Manual de Informática y
Derecho. Barcelona, Editorial Ariel.
Puyol Montero, J. (2016). Los Principios del Dere-
cho a la Protección de Datos. En PIÑAR MA-
ÑAS, José Luis (director). Reglamento General
de Protección de Datos. Hacia un Nuevo Mo-
delo Europeo de Privacidad. Madrid: Editorial
Reus, S.A.
Quiepo De Llano Giménez, G. (2000). Excepciones
al Consentimiento en Ficheros de Titularidad
Privada. Especial Referencia al Tratamiento
de la Información sobre Solvencia Patrimo-
nial y Crédito. En DÁVARA RODRÍGUEZ, Mi-
guel Ángel (coordinador). XIII Encuentros so-
bre Informática y Derecho. Navarra: Editorial
Aranzadi, S.A.
Quispe Correa, A. (2007). La Constitución Económi-
ca. 2.
a
ed. Lima: Alfredo Quispe Correa.
94
Raúl Vásquez Rodríguez
Revista
YACHAQ
•
N
.º
10
Remolina Angarita, N. (2013). Tratamiento de Datos
Personales: Una Aproximación Internacional y
Comentarios a la Ley 1581 de 2012. Bogotá:
Editorial Legis S.A.
Trujillo Cabrera, C. (2018). Las Bases de Legitima-
ción del Tratamiento de Datos Personales. En
Especial, el Consentimiento. En MURGA FER-
NÁNDEZ, Juan Pablo, FERNÁNDEZ SCAGLIU-
SI, María de los Ángeles y ESPEJO LERDO DE
TEJADA, Manuel (directores). Protección de
Datos, Responsabilidad Activa y Técnicas de
Garantía. Madrid: Editorial Reus, S.A.
Vilela Carbajal, J. E. (2015). A Propósito de la In-
formación que Debe Contener el Reporte de
las Centrales de Riesgos. En Diálogo con la
Jurisprudencia, N.° 201, pp. 27-32.
