Reglamento de la Ley de Proteccion de Datos Personales (Perú)

Re

Regl

glament

amento

o de

de la

la Ley

Ley Nº

Nº 297

29733,

33,

Ley de P

Ley de Prot

rotecció

ección de D

n de Datos Personales

atos Personales

(DECRETO SUPREMO Nº

(DECRETO SUPREMO Nº 003-2013

003-2013-JUS)

-JUS)

Índice

Índice

Tí

Títul

tul o

o I

I

Dispo

Disposic

sicion

iones

es generales.

generales.

Tí

Título

tulo II

II

Principio

Principio s

s rectores.

rectores.

Tí

Títul

tul o

o III

III

Tratamiento

Tratamiento de

de datos

datos person

personales.

ales.

Capítulo

Capítulo I I Consentimiento.Consentimiento. Capítulo

Capítulo II II Limitaciones Limitaciones al al consentimiento.consentimiento. Capítulo

Capítulo III III Transferencia Transferencia de de datos datos personales.personales. Capítulo

Capítulo IV IV Tratamientos Tratamientos especiales especiales de de datos datos personales.personales. Capítulo

Capítulo V V Medidas Medidas de de seguridad.seguridad.

Tí

Títul

tul o

o IV

IV

Derechos

Derechos

del

del

tit

titular

ular de

de

datos

datos person

personales.

ales.

Capítulo

Capítulo I I Disposiciones Disposiciones generales.generales. Capítulo

Capítulo II II Disposiciones Disposiciones especialesespeciales Capítulo

Capítulo III III Procedimiento Procedimiento de de tutela.tutela.

Tí

Títul

tul o

o V

V

Registr

Registr o

o Nacional

Nacional de Prot

de Protección

ección de

de Da

Datos

tos Pe

Perso

rsonales.

nales.

Capítulo

Capítulo I I Disposiciones Disposiciones generalesgenerales Capítulo

Capítulo II II Procedimiento Procedimiento de de inscripción.inscripción. Capítulo

Capítulo III III Procedimiento Procedimiento de de inscripción inscripción de de los los códigos códigos de de conducta.conducta.

Tí

Títul

tul o

o VI

VI

Infracc

Infraccion

iones

es y

y sanci

sanciones.

ones.

Capítulo

Capítulo I I Procedimiento Procedimiento fiscalizadorfiscalizador Capítulo

Capítulo II II Procedimiento Procedimiento sancionadorsancionador Capítulo

Capítulo III III Sanciones.Sanciones.

Disposici

Disposici ones

ones

Complementarias

Compleme

ntarias Fina

Finales

les y

y Tra

Transito

nsito rias

rias

TÍTULO I

TÍTULO I

Disposici

Disposici ones

ones gene

generale

raless

 Ar

 Artíc

tíc ul

ulo 1.- Ob

o 1.- Objet

jeto.

o.

El presente reglamento tiene por objeto desarrollar la Ley Nº 29733, Ley de Protección de El presente reglamento tiene por objeto desarrollar la Ley Nº 29733, Ley de Protección de Datos Personales, en adelante la Ley, a fin de garantizar el derecho fundamental a la Datos Personales, en adelante la Ley, a fin de garantizar el derecho fundamental a la protección de datos personales, regulando un adecuado tratamiento, tanto por las protección de datos personales, regulando un adecuado tratamiento, tanto por las entidades públicas, como por las instituciones pertenecientes al sector privado. Sus entidades públicas, como por las instituciones pertenecientes al sector privado. Sus disposiciones constituyen normas de orden público y de cumplimiento obligatorio.

 Ar

 Artíc

tíc ul

ulo 2.- Defi

o 2.- Defi ni

nici

cion

ones.

es.

Para los efectos de la aplicación del presente reglamento, sin perjuicio de las definiciones Para los efectos de la aplicación del presente reglamento, sin perjuicio de las definiciones contenidas en la Ley, complementariamente, se entiende

contenidas en la Ley, complementariamente, se entiende las siguientes definiciones:las siguientes definiciones: 1.

1.

Banco de datos personales no automatizado

Banco de datos personales no automatizado

: Conjunto de datos de personas: Conjunto de datos de personas naturales no computarizado y estructurado conforme a criterios específicos, que permita naturales no computarizado y estructurado conforme a criterios específicos, que permita acceder sin esfuerzos desproporcionados a los datos personales, ya sea aquel acceder sin esfuerzos desproporcionados a los datos personales, ya sea aquel centralizado, descentralizado o repartido de forma funcional o geográfica.

centralizado, descentralizado o repartido de forma funcional o geográfica. 2.

2.

Bloqueo

Bloqueo

: Es la medida por la que el encargado del banco de datos personales: Es la medida por la que el encargado del banco de datos personales impide el acceso de terceros a los datos y éstos no pueden ser objeto de tratamiento, impide el acceso de terceros a los datos y éstos no pueden ser objeto de tratamiento, durante el periodo en que se esté procesando alguna solicitud de actualización, inclusión, durante el periodo en que se esté procesando alguna solicitud de actualización, inclusión, rectificación o supresión, en concordancia con lo que dispone el tercer párrafo del artículo rectificación o supresión, en concordancia con lo que dispone el tercer párrafo del artículo 20 de la Ley.

20 de la Ley.

Se dispone también como paso previo a la cancelación por el tiempo necesario para Se dispone también como paso previo a la cancelación por el tiempo necesario para determinar posibles responsabilidades en relación a los tratamientos, durante el plazo de determinar posibles responsabilidades en relación a los tratamientos, durante el plazo de prescripción legal o previsto contractualmente.

prescripción legal o previsto contractualmente. 3.

3.

Cancelación

Cancelación

: Es la : Es la acción o medida acción o medida que en la Ley que en la Ley se describe se describe como supresión,como supresión, cuando

cuando se se refiere refiere a a datos datos personales, personales, que cque consiste onsiste en elimien eliminar o nar o suprimir suprimir los los datosdatos personales de un banco de datos.

personales de un banco de datos. 4.

4.

Datos personales

Datos personales

: Es aquella información numérica, alfabética, gráfica,: Es aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a las fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a las personas naturales que las identifica o las hace identificables a través de medios que personas naturales que las identifica o las hace identificables a través de medios que puedan ser razonablemente utilizados.

puedan ser razonablemente utilizados. 5.

5.

Datos

Datos personales relacionados con la salud

personales relacionados con la salud

: Es aquella información: Es aquella información concerniente a la salud pasada, presente o pronosticada, física o mental, de una persona, concerniente a la salud pasada, presente o pronosticada, física o mental, de una persona, incluyendo el grado de discapacidad y su información genética.

incluyendo el grado de discapacidad y su información genética. 6.

6.

Datos sensibles

Datos sensibles

: Es : Es aquella información aquella información relativa relativa a datos a datos personales referidos personales referidos aa las

las características características físicas, físicas, morales morales o o emocionales, emocionales, hechos hechos o o circunstancias circunstancias de de su su vidavida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la salud física o mental u otras análogas que afecten su intimidad. información relativa a la salud física o mental u otras análogas que afecten su intimidad. 7.

7.

Días

Días

: Días hábiles.: Días hábiles. 8.

8.

Dirección General de Protección de Datos Personales

Dirección General de Protección de Datos Personales

: Es el órgano encargado: Es el órgano encargado de ejercer la Autoridad Nacional de Protección de Datos Personales a que se refiere el de ejercer la Autoridad Nacional de Protección de Datos Personales a que se refiere el artículo 32 de la Ley, pudiendo usarse indistintamente cualquiera de dichas artículo 32 de la Ley, pudiendo usarse indistintamente cualquiera de dichas denominaciones.

denominaciones. 9.

9.

Emisor o exportador de datos personales

Emisor o exportador de datos personales

: Es el titular del banco de datos: Es el titular del banco de datos personales o aquél que resulte responsable del tratamiento situado en el Perú que realice, personales o aquél que resulte responsable del tratamiento situado en el Perú que realice, conforme a lo dispuesto en el presente reglamento, una transferencia de datos personales conforme a lo dispuesto en el presente reglamento, una transferencia de datos personales a otro país.

10.

10.

Encargado del tratamiento

Encargado del tratamiento

: : Es Es quien quien realiza realiza el el tratamiento tratamiento de de los los datosdatos personales,

personales, pudiendo pudiendo ser el ser el propio titular propio titular del banco del banco de datos de datos personales o personales o el encargadoel encargado del banco de datos personales u otra persona por encargo del titular del banco de datos del banco de datos personales u otra persona por encargo del titular del banco de datos personales en virtud de una relación jurídica que le vincula con el mismo y delimita el personales en virtud de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación. Incluye a quien realice el tratamiento de datos personales por ámbito de su actuación. Incluye a quien realice el tratamiento de datos personales por orden del responsable del tratamiento cuando este se

orden del responsable del tratamiento cuando este se realice sin la existencia de un bancorealice sin la existencia de un banco de datos personales.

de datos personales. 11.

11.

Re

Receptor o

ceptor o import

import ador de datos personales

ador de datos personales

: Es toda persona natural o jurídica: Es toda persona natural o jurídica de derecho privado, incluyendo las sucursales, filiales, vinculadas o similares; o entidades de derecho privado, incluyendo las sucursales, filiales, vinculadas o similares; o entidades públicas, que recibe los datos en

públicas, que recibe los datos en caso de transferencia internacional, ya sea como caso de transferencia internacional, ya sea como titular otitular o encargado del banco de datos personales, o como tercero.

encargado del banco de datos personales, o como tercero. 12.

12.

Rectificación

Rectificación

: Es aquella acción genérica destinada a afectar o modificar un: Es aquella acción genérica destinada a afectar o modificar un banco de

banco de datos personales datos personales ya sea ya sea para actualizarlo para actualizarlo incluir información incluir información en él en él oo específicamente rectificar su contenido con datos exactos.

específicamente rectificar su contenido con datos exactos. 13.

13.

Repertorio de jurisprudencia

Repertorio de jurisprudencia

: Es el banco de resoluciones judiciales o: Es el banco de resoluciones judiciales o administrativas que se organizan como fuente de consulta y destinadas al conocimiento administrativas que se organizan como fuente de consulta y destinadas al conocimiento público.

público. 14.

14.

Responsable del tratamiento

Responsable del tratamiento

: Es aquél que decide sobre el tratamiento de datos: Es aquél que decide sobre el tratamiento de datos personales, aun cuando no se encuentren en un banco de datos personales.

personales, aun cuando no se encuentren en un banco de datos personales. 15.

15.

Tercero

Tercero

: Es toda persona natural, persona jurídica de derecho privado o entidad: Es toda persona natural, persona jurídica de derecho privado o entidad pública, distinta del titular

pública, distinta del titular de datos personales, del de datos personales, del titular o encargado del banco titular o encargado del banco de datosde datos personales y del responsable del tratamiento, incluyendo a quienes tratan los datos bajo personales y del responsable del tratamiento, incluyendo a quienes tratan los datos bajo autoridad directa de aquellos.

autoridad directa de aquellos.

La referencia a “tercero” que hace el artículo 30 de la Ley constituye una excepción al La referencia a “tercero” que hace el artículo 30 de la Ley constituye una excepción al significado previsto en este numeral.

significado previsto en este numeral.

 Ar

 Artíc

tícul

ulo 3.- Ám

o 3.- Ámbi

bito

to de apl

de apl ic

icaci

ación

ón..

El presente reglamento es de aplicación al tratamiento de los datos personales contenidos El presente reglamento es de aplicación al tratamiento de los datos personales contenidos en un banco de datos personales o destinados a ser contenidos en bancos de datos en un banco de datos personales o destinados a ser contenidos en bancos de datos personales.

personales.

Conforme a lo dispuesto por el numer

Conforme a lo dispuesto por el numeral 6 del artículo 2 de la al 6 del artículo 2 de la Constitución Política del PerúConstitución Política del Perú y el artículo 3 de la Ley, el presente reglamento se aplicará a toda modalidad de y el artículo 3 de la Ley, el presente reglamento se aplicará a toda modalidad de tratamiento de datos personales, ya sea efectuado por personas naturales, entidades tratamiento de datos personales, ya sea efectuado por personas naturales, entidades públicas o instituciones del sector privado e independientemente del soporte en el que se públicas o instituciones del sector privado e independientemente del soporte en el que se encuentren.

encuentren. La

La existencia existencia de de normas normas o o regímenes regímenes particulares particulares o o especiales, especiales, aun aun cuando cuando incluyanincluyan regulaciones s

regulaciones sobre datoobre datos personales, s personales, no exno excluye cluye a la las entidades as entidades públicas públicas o inso institucionestituciones privadas a las que dichos regímenes se aplican del ámbito de aplicación de la Ley y del privadas a las que dichos regímenes se aplican del ámbito de aplicación de la Ley y del presente reglamento.

Lo dispuesto en el párrafo precedente no implica la derogatoria o inaplicación de las Lo dispuesto en el párrafo precedente no implica la derogatoria o inaplicación de las normas particulares, en tanto su aplicación no genere la afectación del derecho a la normas particulares, en tanto su aplicación no genere la afectación del derecho a la protección de datos personales.

protección de datos personales.

 Ar

 Artíc

tíc ul

ulo 4.- Exc

o 4.- Exc epc

epcio

iones al

nes al ámb

ámbitito d

o de apl

e aplic

icaci

ación

ón..

Las disposiciones de este reglamento no serán de aplicación a: Las disposiciones de este reglamento no serán de aplicación a: 1.

1. El El tratamiento tratamiento de de datos datos personales personales realizado realizado por por personas personas naturales naturales para para finesfines exclusivamente domésticos, personales o relacionados con su vida pr

exclusivamente domésticos, personales o relacionados con su vida pr ivada o familiar.ivada o familiar. 2.

2. Los Los contenidos contenidos o o destinados destinados a a ser ser contenidos contenidos en en bancos bancos de de datos datos personales personales de de lala administración pública, solo en tanto su tratamiento resulte necesario para el estricto administración pública, solo en tanto su tratamiento resulte necesario para el estricto cumplimiento de competencias asignadas por ley a las respectivas entidades públicas cumplimiento de competencias asignadas por ley a las respectivas entidades públicas siempre que tengan por objeto:

siempre que tengan por objeto: 2.1

2.1 La La defensa defensa nacional.nacional. 2.2

2.2 La La seguridad seguridad pública pública y,y, 2.3

2.3 El El desarrollo desarrollo de de actividades actividades en en materia materia penal penal para para la la investigación investigación y y represión represión deldel delito.

delito.

 Ar

 Artíc

tícul

ulo 5.- Ám

o 5.- Ámbi

bito

to de apl

de apl ic

icaci

ación

ón ter

ter ririto

toriri al.

al.

Las disposiciones de la Ley y del presente reglamento son de aplicación al tratamiento de Las disposiciones de la Ley y del presente reglamento son de aplicación al tratamiento de datos personales cuando:

datos personales cuando: 1.

1. Sea Sea efectuado efectuado en en un un establecimiento establecimiento ubicado ubicado en en territorio territorio peruano peruano correspondientecorrespondiente al

al titular titular del del banco banco de de datos datos personales personales o o de de quien quien resulte resulte responsable responsable del tdel tratamiento.ratamiento. 2.

2. Sea Sea efectuado efectuado por por un un encargado encargado del del tratamiento, tratamiento, con con independencia independencia de de susu ubicación, a nombre de un titular de banco de datos personales establecido en territorio ubicación, a nombre de un titular de banco de datos personales establecido en territorio peruano o de quien sea el responsable del tratamiento.

peruano o de quien sea el responsable del tratamiento. 3.

3. El El titular titular del del banco banco de de datos datos personales personales o o quien quien resulte resulte responsable responsable del del tratamientotratamiento no esté establecido en territorio peruano, pero le resulte aplicable la legislación peruana, no esté establecido en territorio peruano, pero le resulte aplicable la legislación peruana, por disposición contractual o del derecho internacional; y

por disposición contractual o del derecho internacional; y 4.

4. El El titular titular del del banco banco de de datos datos personales personales o o quien quien resulte resulte responsable responsable no no estéesté establecido en territorio peruano, pero utilice medios situados en dicho territorio, salvo que establecido en territorio peruano, pero utilice medios situados en dicho territorio, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento. tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento. Para estos

Para estos efectos, el efectos, el responsable deberá proveer responsable deberá proveer los medios los medios que resulten que resulten necesariosnecesarios para el efecti

para el efectivo cumplimiento vo cumplimiento de las de las obligaciones que obligaciones que imponen la Leimponen la Ley y y y el presenteel presente reglamento y designará un representante o implementar los mecanismos suficientes para reglamento y designará un representante o implementar los mecanismos suficientes para estar en posibilidades de cumplir de manera efectiva, en territorio peruano, con las estar en posibilidades de cumplir de manera efectiva, en territorio peruano, con las obligaciones que impone la legislación peruana.

obligaciones que impone la legislación peruana.

Cuando el titular del banco de datos personales o quien resulte el responsable del Cuando el titular del banco de datos personales o quien resulte el responsable del tratamiento no se encuentre establecido en territorio peruano, pero el encargado del tratamiento no se encuentre establecido en territorio peruano, pero el encargado del tratamiento

tratamiento lo lo esté, esté, a a este este último último le le serán serán aplicables aplicables las las disposiciones disposiciones relativas relativas a a laslas medidas de seguridad contenidas en el presente reglamento.

medidas de seguridad contenidas en el presente reglamento.

En el caso de personas naturales, el establecimiento se entenderá como el local en donde En el caso de personas naturales, el establecimiento se entenderá como el local en donde

se encuentre el principal asiento de sus negocios, o el que utilicen para el desempeño de se encuentre el principal asiento de sus negocios, o el que utilicen para el desempeño de sus actividades o su domicilio.

sus actividades o su domicilio.

Tratándose de personas jurídicas, se entenderá como el establecimiento el local en el que Tratándose de personas jurídicas, se entenderá como el establecimiento el local en el que se

se encuentre encuentre la la administración principal del administración principal del negocio. Si negocio. Si se trata se trata de personasde personas  jurídicas

 jurídicas residentes residentes en en el el extranjero, extranjero, se se entenderá entenderá que que es es el el local local en en el el que que sese encuentre

encuentre la la administración administración principal principal del del negocio negocio en en territorio territorio peruano, peruano, o o en en su su defectodefecto el que designen, o cualquier instalación estable que permita el ejercicio efectivo o real de el que designen, o cualquier instalación estable que permita el ejercicio efectivo o real de una actividad.

una actividad.

Si no fuera posible establecer la dirección del domicilio o del establecimiento, se le Si no fuera posible establecer la dirección del domicilio o del establecimiento, se le considerará con domicilio desconocido en territorio peruano.

considerará con domicilio desconocido en territorio peruano.

TÍTULO II

TÍTULO II

Principios rectores

Principios rectores

 Ar

 Artíc

tíc ul

ulo 6.- Pr

o 6.- Prin

inci

cipi

pios

os rec

recto

tores

res..

El titular del banco de datos personales, o en su caso, quien resulte responsable del El titular del banco de datos personales, o en su caso, quien resulte responsable del tratamiento, debe cumplir con los principios rectores de la protección de datos personales, tratamiento, debe cumplir con los principios rectores de la protección de datos personales, de conformidad con lo establecido en la Ley, aplicando los criterios de desarrollo que se de conformidad con lo establecido en la Ley, aplicando los criterios de desarrollo que se establecen en el presente título del reglamento.

establecen en el presente título del reglamento.

 Ar

 Artíc

tíc ul

ulo 7.- Pr

o 7.- Prin

inci

cipi

pio d

o de co

e cons

nsent

entim

imien

iento

to..

En atención al principio de consentimiento, el tratamiento de los datos personales es lícito En atención al principio de consentimiento, el tratamiento de los datos personales es lícito cuando el titular del dato personal hubiere prestado su consentimiento libre, previo, cuando el titular del dato personal hubiere prestado su consentimiento libre, previo, expreso, informado e inequívoco. No se admiten fórmulas de consentimiento en las que expreso, informado e inequívoco. No se admiten fórmulas de consentimiento en las que éste

éste no no sea sea expresado expresado de de forma forma directa, directa, como como aquellas aquellas en en las las que que se se requiererequiere presumir,

presumir, o o asumir asumir la la existencia existencia de de una vuna voluntad que oluntad que no no ha ha sido sido expresa. expresa. Incluso Incluso elel consentimiento prestado con otras declaraciones, deberá ma

consentimiento prestado con otras declaraciones, deberá ma nifestarse en forma expresa ynifestarse en forma expresa y clara.

clara.

 Ar

 Artíc

tícul

ulo 8.- Pr

o 8.- Prin

inci

cipi

pio d

o de fi

e final

nalid

idad.

ad.

En

En atención atención al al principio de principio de finalidad finalidad se se considera que considera que una una finalidad está finalidad está determinadadeterminada cuando haya sido expresada con claridad, sin lugar a confusión y cuando de manera cuando haya sido expresada con claridad, sin lugar a confusión y cuando de manera objetiva se especifica el objeto que tendrá el tratamiento de los datos personales.

objetiva se especifica el objeto que tendrá el tratamiento de los datos personales.

Tratándose de banco de datos personales que contengan datos sensibles, su creación Tratándose de banco de datos personales que contengan datos sensibles, su creación solo puede justificarse si su finalidad además de ser legítima, es concreta y acorde con solo puede justificarse si su finalidad además de ser legítima, es concreta y acorde con laslas actividades o fines explícitos del titular del

actividades o fines explícitos del titular del banco de datos personales.banco de datos personales.

Los profesionales que realicen el tratamiento de algún dato personal, además de estar Los profesionales que realicen el tratamiento de algún dato personal, además de estar limitados por la finalidad de sus servicios, se encuentran obligados a guardar secreto limitados por la finalidad de sus servicios, se encuentran obligados a guardar secreto profesional.

profesional.

 Ar

 Artíc

tícul

ulo 9.- Pr

o 9.- Prin

inci

cipi

pio d

o de cal

e calid

idad.

ad.

En atención al principio de calidad, los datos contenidos en un

En atención al principio de calidad, los datos contenidos en un banco de datos personales,banco de datos personales, deben ajustarse con precisión a la realidad. Se presume que los datos directamente deben ajustarse con precisión a la realidad. Se presume que los datos directamente facilitados por el titular de

 Ar

 Artíc

tíc ul

ulo 10.- Pri

o 10.- Pri nc

ncip

ipio

io de s

de segu

eguriri dad.

dad.

En atención al principio de seguridad, en el tratamiento de los datos personales deben En atención al principio de seguridad, en el tratamiento de los datos personales deben adoptarse las medidas de seguridad que resulten necesarias a fin de evitar cualquier adoptarse las medidas de seguridad que resulten necesarias a fin de evitar cualquier tratamiento contrario a la Ley o al presente reglamento, incluyéndose en ellos a la tratamiento contrario a la Ley o al presente reglamento, incluyéndose en ellos a la adulteración, la pérdida, las desviaciones de información, intencionales o no, ya sea que adulteración, la pérdida, las desviaciones de información, intencionales o no, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

los riesgos provengan de la acción humana o del medio técnico utilizado.

TÍTULO III

TÍTULO III

Tratamiento de datos personales

Tratamiento de datos personales

Capí

Capítul

tul o I

o I

Consentimiento

Consentimiento

 Ar

 Artíc

tíc ul

ulo

o 11.-

11.- Dis

Dispo

posi

sici

cion

ones

es

gen

general

erales

es

so

sobr

bre

e

el

el co

cons

nsent

entim

imien

iento

to par

para

a el

el

tratamiento de datos personales.

tratamiento de datos personales.

El titular del banco de datos personales o quien resulte como responsable del tratamiento, El titular del banco de datos personales o quien resulte como responsable del tratamiento, deberá obtener el consentimiento para el tratamiento de los datos personales, de deberá obtener el consentimiento para el tratamiento de los datos personales, de conformidad con lo establecido en la Ley y en el presente reglamento, salvo los supuestos conformidad con lo establecido en la Ley y en el presente reglamento, salvo los supuestos establecidos en

establecidos en el artículo el artículo 14 de la 14 de la Ley, en cuyo Ley, en cuyo numeral 1) queda comprendido numeral 1) queda comprendido elel tratamiento

tratamiento de de datos datos personales personales que que resulte resulte imprescindible imprescindible para para ejecutar ejecutar lala interoperabilidad entre las entidades públicas.

interoperabilidad entre las entidades públicas.

La solicitud del consentimiento deberá estar referida a un tratamiento o serie de La solicitud del consentimiento deberá estar referida a un tratamiento o serie de tratamientos determinados, con expresa identificación de la finalidad o finalidades para las tratamientos determinados, con expresa identificación de la finalidad o finalidades para las que se recaban los datos; así como las demás condiciones que concurran en el que se recaban los datos; así como las demás condiciones que concurran en el tratamiento o tratamientos, sin perjuicio de lo dispuesto en el artículo siguiente sobre las tratamiento o tratamientos, sin perjuicio de lo dispuesto en el artículo siguiente sobre las características del consentimiento.

características del consentimiento.

Cuando se solicite el consentimiento para una forma de tratamiento que incluya o pueda Cuando se solicite el consentimiento para una forma de tratamiento que incluya o pueda incluir la transferencia nacional o internacional de los datos, el titular de los mismos incluir la transferencia nacional o internacional de los datos, el titular de los mismos deberá ser informado de forma que conozca inequívocamente tal circunstancia, además deberá ser informado de forma que conozca inequívocamente tal circunstancia, además de la finalidad a la que se destinarán sus datos y el tipo de actividad desarrollada por de la finalidad a la que se destinarán sus datos y el tipo de actividad desarrollada por quien recibirá los mismos.

quien recibirá los mismos.

 Ar

 Artíc

tíc ul

ulo 12.- Carac

o 12.- Carac ter

teríst

ístic

icas d

as del c

el con

onsen

sentitimi

mient

ento.

o.

 Además de lo dispuesto en el artí

 Además de lo dispuesto en el artículo 18 de la Ley y en el artículo precedente del presenteculo 18 de la Ley y en el artículo precedente del presente reglamento, la obtención del

reglamento, la obtención del consentimiento debe ser:consentimiento debe ser:

1.

Libre:

1.

Libre:

  Sin que medie error, mala fe, violencia o dolo que puedan afectar la  Sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de voluntad del titular de los datos personales.

manifestación de voluntad del titular de los datos personales.

La entrega de obsequios o el otorgamiento de beneficios al titular de los datos personales La entrega de obsequios o el otorgamiento de beneficios al titular de los datos personales con ocasión de su consentimiento no afectan la condición de libertad que tiene para con ocasión de su consentimiento no afectan la condición de libertad que tiene para otorgarlo, salvo en el caso de menores de edad, en los supuestos en que se admite su otorgarlo, salvo en el caso de menores de edad, en los supuestos en que se admite su consentimiento, en que no se considerará libre el consentimiento otorgado mediando consentimiento, en que no se considerará libre el consentimiento otorgado mediando obsequios o beneficios.

El condicionamiento de la prestación de un servicio, o la advertencia o amenaza de El condicionamiento de la prestación de un servicio, o la advertencia o amenaza de denegar el acceso a beneficios o servicios que nor

denegar el acceso a beneficios o servicios que nor malmente son de acceso no restringido,malmente son de acceso no restringido, sí afecta la libertad de quien otorga consentimiento para el tratamiento de sus datos sí afecta la libertad de quien otorga consentimiento para el tratamiento de sus datos personales, si los datos solicitados no son indispensables para la prestación de los personales, si los datos solicitados no son indispensables para la prestación de los beneficios o servicios.

beneficios o servicios.

2.

Previo:

2.

Previo:

  Con anterioridad a la recopilación de los datos o en su caso, anterior al  Con anterioridad a la recopilación de los datos o en su caso, anterior al tratamiento distinto a aquel por el cual ya se recopilaron.

tratamiento distinto a aquel por el cual ya se recopilaron.

3.

3.

Expreso

Expreso e

e Inequívoco:

Inequívoco:

  Cuando el consentimiento haya sido manifestado en  Cuando el consentimiento haya sido manifestado en condiciones que no admitan dudas de su otorgamiento.

condiciones que no admitan dudas de su otorgamiento. Se considera

Se considera que el consentimiento que el consentimiento expreso se expreso se otorgó verbalmente cuando otorgó verbalmente cuando el titular el titular lolo exterioriza

exterioriza oralmente de manera presencial oralmente de manera presencial o mediante el uso de o mediante el uso de cualquier tecnología quecualquier tecnología que permita la interlocución oral.

permita la interlocución oral.

Se considera consentimiento escrito a aquél que otorga el titular mediante un documento Se considera consentimiento escrito a aquél que otorga el titular mediante un documento con su firma autógrafa, huella dactilar o cualquier otro mecanismo autorizado por el con su firma autógrafa, huella dactilar o cualquier otro mecanismo autorizado por el ordenamiento jurídico que queda o pueda ser impreso en una superficie de papel o ordenamiento jurídico que queda o pueda ser impreso en una superficie de papel o similar.

similar.

La condición de expreso no se limita a la manifestación verbal o escrita. La condición de expreso no se limita a la manifestación verbal o escrita.

En sentido restrictivo y siempre de acuerdo con lo dispuesto por el artículo 7 del presente En sentido restrictivo y siempre de acuerdo con lo dispuesto por el artículo 7 del presente reglamento, se considerará consentimiento expreso a aquel que se manifieste mediante la reglamento, se considerará consentimiento expreso a aquel que se manifieste mediante la conducta del titular que evidencie que ha consentido inequívocamente, dado que de lo conducta del titular que evidencie que ha consentido inequívocamente, dado que de lo contrario su conducta, necesariamente, hubiera sido otra. Tratándose del entorno digital, contrario su conducta, necesariamente, hubiera sido otra. Tratándose del entorno digital, también se considera expresa la

también se considera expresa la manifestación consistente en “hacer clic”, “cliquear”manifestación consistente en “hacer clic”, “cliquear” o “pinchar”, “dar un toque”, “touch” o “pad” u otros similares.

o “pinchar”, “dar un toque”, “touch” o “pad” u otros similares.

En este contexto el consentimiento escrito podrá otorgarse mediante firma electrónica, En este contexto el consentimiento escrito podrá otorgarse mediante firma electrónica, mediante escritura que quede grabada, de forma tal que pueda ser leída e impresa, o que mediante escritura que quede grabada, de forma tal que pueda ser leída e impresa, o que por cualquier otro mecanismo o procedimiento establecido permita identificar al titular y por cualquier otro mecanismo o procedimiento establecido permita identificar al titular y recabar su consentimiento, a través de texto escrito. También podrá otorgarse mediante recabar su consentimiento, a través de texto escrito. También podrá otorgarse mediante texto preestablecido, fácilmente visible, legible y en lenguaje sencillo, que el titular pueda texto preestablecido, fácilmente visible, legible y en lenguaje sencillo, que el titular pueda hacer suyo, o no, mediante u

hacer suyo, o no, mediante una respuesta escrita, gráfica o mediante clic o na respuesta escrita, gráfica o mediante clic o pinchado.pinchado. La sola conducta de expresar voluntad en cualquiera de las formas reguladas en el La sola conducta de expresar voluntad en cualquiera de las formas reguladas en el presente numeral no elimina, ni da por cumplidos, los otros requisitos del consentimiento presente numeral no elimina, ni da por cumplidos, los otros requisitos del consentimiento referidos a la libertad, oportunidad e información.

referidos a la libertad, oportunidad e información.

4.

Informado:

4.

Informado:

  Cuando al titular de los datos personales se le comunique clara,  Cuando al titular de los datos personales se le comunique clara, expresa e indubitablemente, con lenguaje sencillo, cuando menos de lo siguiente:

expresa e indubitablemente, con lenguaje sencillo, cuando menos de lo siguiente: a.

a. La La identidad identidad y y domicilio domicilio o dirección del o dirección del titular del banco titular del banco de datos personalesde datos personales o

o del del responsable responsable del tdel tratamiento al ratamiento al que puede que puede dirigirse para dirigirse para revocar el revocar el consentimiento consentimiento oo ejercer sus derechos.

ejercer sus derechos. b.

b. La La finalidad finalidad o o finalidades finalidades del del tratamiento tratamiento a a las las que que sus sus datos datos serán serán sometidos.sometidos. c.

d.

d. La La existencia existencia del del banco banco de de datos datos personales personales en en que que se se almacenarán, almacenarán, cuandocuando corresponda.

corresponda. e.

e. El El carácter carácter obligatorio obligatorio o o facultativo facultativo de de sus sus respuestas respuestas al al cuestionario cuestionario que que se se lele proponga, cuando sea el caso.

proponga, cuando sea el caso. f.

f. Las Las consecuencias consecuencias de de proporcionar proporcionar sus sus datos datos personales personales y y de de su su negativa negativa aa hacerlo.

hacerlo. g.

g. En En su su caso, caso, la la transferencia transferencia nacional nacional e e internacional internacional de de datos datos que que se se efectúen.efectúen.

 Ar

 Artíc

tíc ul

ulo 13.- Pol

o 13.- Pol íti

íticas

cas de pr

de pr iv

ivaci

acidad.

dad.

La publicación de políticas de privacidad, de acuerdo a lo previsto en el segundo párrafo La publicación de políticas de privacidad, de acuerdo a lo previsto en el segundo párrafo del artículo 18 de la Ley, debe entenderse como una forma de cumplimiento del deber de del artículo 18 de la Ley, debe entenderse como una forma de cumplimiento del deber de información que

información que no exonera no exonera del requisito del requisito de obtener de obtener el consentimiel consentimiento del ento del titular de titular de loslos datos personales.

datos personales.

 Ar

 Artíc

tíc ul

ulo 14.- Con

o 14.- Con sen

sentitimi

mi ent

ento y

o y dat

datos

os sen

sensi

sibl

bles.

es.

Tratándose de datos sensibles, el consentimiento debe ser otorgado por escrito, a través Tratándose de datos sensibles, el consentimiento debe ser otorgado por escrito, a través de su firma manuscrita, firma digital o cualquier otro mecanismo de autenticación que de su firma manuscrita, firma digital o cualquier otro mecanismo de autenticación que garantice la voluntad inequívoca del titular.

garantice la voluntad inequívoca del titular.

 Ar

 Artíc

tíc ul

ulo 15.- Con

o 15.- Con sen

sentitimi

mi ent

ento y

o y car

carga d

ga de la p

e la pru

rueba.

eba.

Para efectos de demostrar la obtención del consentimiento en los términos establecidos Para efectos de demostrar la obtención del consentimiento en los términos establecidos en la Ley y en el presente reglamento, la carga de la prueba recaerá en todos los casos en la Ley y en el presente reglamento, la carga de la prueba recaerá en todos los casos en el titular del banco de datos personales o quien resulte el responsable del tratamiento. en el titular del banco de datos personales o quien resulte el responsable del tratamiento.

 Ar

 Artíc

tíc ul

ulo 16.- Negac

o 16.- Negació

ión, r

n, revoc

evoc aci

ación

ón y al

y alcan

cances

ces del

del co

cons

nsent

entim

imien

iento

to..

El titular de los datos personales podrá revocar su consentimiento para el tratamiento de El titular de los datos personales podrá revocar su consentimiento para el tratamiento de sus datos personales en cualquier momento, s

sus datos personales en cualquier momento, sin justificación previa y in justificación previa y sin que sin que le atribuyanle atribuyan efectos

efectos retroactivos. retroactivos. Para Para la la revocación revocación del del consentimiento consentimiento se se cumplirán cumplirán los los mismosmismos requisitos observados con ocasión de su otorgamiento, pudiendo ser estos más simples, requisitos observados con ocasión de su otorgamiento, pudiendo ser estos más simples, si así se hubiera señalado en tal oportunidad.

si así se hubiera señalado en tal oportunidad.

El titular de los datos personales podrá negar o revocar su consentimiento al tratamiento El titular de los datos personales podrá negar o revocar su consentimiento al tratamiento de sus datos

de sus datos personales para personales para finalidades adicionales a finalidades adicionales a aquellas que dan aquellas que dan lugar a lugar a susu tratamiento autorizado, sin que ello afecte la relación que da lugar al consentimiento que tratamiento autorizado, sin que ello afecte la relación que da lugar al consentimiento que sí ha otorgado o no ha revocado. En caso de revocatoria, es obligación de quien efectúa sí ha otorgado o no ha revocado. En caso de revocatoria, es obligación de quien efectúa el tratamiento de los datos personales adecuar los nuevos tratamientos a la revocatoria y el tratamiento de los datos personales adecuar los nuevos tratamientos a la revocatoria y los tratamientos que e

los tratamientos que estuvieran en proceso stuvieran en proceso de efectuarse, en el de efectuarse, en el plazo plazo que resulte de unaque resulte de una actuación diligente, que no podrá ser mayor a cinco (5) días.

actuación diligente, que no podrá ser mayor a cinco (5) días. Si

Si la la revocatoria revocatoria afecta afecta la la totalidad totalidad del del tratamiento tratamiento de de datos datos personales personales que sque se e veníavenía haciendo, el titular o encargado del banco de datos personales, o en su caso el haciendo, el titular o encargado del banco de datos personales, o en su caso el responsable del tratamiento, aplicará las reglas de cancelación o supresión de datos responsable del tratamiento, aplicará las reglas de cancelación o supresión de datos personales.

personales.

El titular del banco de datos personales o quien resulte responsable del tratamiento debe El titular del banco de datos personales o quien resulte responsable del tratamiento debe establecer mecanismos fácilmente accesibles e incondicionales, sencillos, rápidos y establecer mecanismos fácilmente accesibles e incondicionales, sencillos, rápidos y gratuitos para hacer efectiva la revocación.

Ca

Capítul

pítul o II

o II

Limit

Limit aciones a

aciones al consentimi

l consentimi ento

ento

 Ar

 Artíc

tíc ul

ulo 17.- Fuen

o 17.- Fuentes

tes acc

accesi

esibl

bles al p

es al p úb

úblilico

co..

Para los efectos del artículo 2, inciso 9) de la Ley, se considerarán fuentes accesibles al Para los efectos del artículo 2, inciso 9) de la Ley, se considerarán fuentes accesibles al público, con independencia de que el acceso requiera contraprestación, las siguientes: público, con independencia de que el acceso requiera contraprestación, las siguientes: 1.

1. Los Los medios medios de de comunicación comunicación electrónica, electrónica, óptica óptica y y de de otra otra tecnología, tecnología, siempresiempre que el lugar en el que se encuentren los datos personales esté concebido para facilitar que el lugar en el que se encuentren los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general.

información al público y esté abierto a la consulta general. 2.

2. Las Las guías guías telefónicas, telefónicas, independientemente independientemente del del soporte soporte en en el el que que estén estén aa disposición y en los términos de

disposición y en los términos de su regulación específica.su regulación específica. 3.

3. Los Los diarios diarios y y revistas revistas independientemente independientemente del del soporte soporte en en el el que que estén estén aa disposición y en los términos de

disposición y en los términos de su regulación específica.su regulación específica. 4.

4. Los Los medios medios de de comunicación comunicación social.social. 5.

5. Las Las listas listas de de personas personas pertenecientes pertenecientes a a grupos grupos profesionales profesionales que que contengancontengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección postal, número telefónico, número de fax, dirección de correo electrónico y aquellos que postal, número telefónico, número de fax, dirección de correo electrónico y aquellos que establezcan su pertenencia al grupo.

establezcan su pertenencia al grupo.

En el caso de colegios profesionales, podrán indicarse además los siguientes datos de En el caso de colegios profesionales, podrán indicarse además los siguientes datos de sus miembros: número de colegiatura, fecha de incorporación y situación gremial en sus miembros: número de colegiatura, fecha de incorporación y situación gremial en relación al ejercicio profesional.

relación al ejercicio profesional. 6.

6. Los Los repertorios repertorios de de jurisprudencia, jurisprudencia, debidamente debidamente anonimizados.anonimizados. 7.

7. Los Los Registros Registros Públicos Públicos administrados administrados por por la la Superintendencia Superintendencia Nacional Nacional dede Registros Públicos - SUNARP, así como todo otro registro o banco de datos calificado Registros Públicos - SUNARP, así como todo otro registro o banco de datos calificado como público conforme a ley.

como público conforme a ley. 8.

8. Las Las entidades entidades de de la la Administración Administración Pública, Pública, en en relación relación a a la la información información que que debadeba ser entregada en aplicación de la Ley Nº 27806, Ley de Transparencia y Acceso a la ser entregada en aplicación de la Ley Nº 27806, Ley de Transparencia y Acceso a la Información Pública.

Información Pública.

Lo dispuesto en el numeral precedente no quiere decir que todo dato personal contenido Lo dispuesto en el numeral precedente no quiere decir que todo dato personal contenido en información administrada por las entidades sujetas a la Ley de Transparencia y Acceso en información administrada por las entidades sujetas a la Ley de Transparencia y Acceso a la Información Pública sea considerado información pública accesible. La evaluación del a la Información Pública sea considerado información pública accesible. La evaluación del acceso a datos personales en posesión de entidades de administración pública se hará acceso a datos personales en posesión de entidades de administración pública se hará atendiendo a las circunstancias de

atendiendo a las circunstancias de cada caso concreto.cada caso concreto. El tratamiento de los

El tratamiento de los datos personales obtenidos a datos personales obtenidos a través de fuentes de través de fuentes de acceso acceso públicopúblico deberá

deberá respetar los principios respetar los principios establecidos en la establecidos en la Ley y en el Ley y en el presente reglamento.presente reglamento.

Capítulo III

Capítulo III

Transferencia de datos personales

Transferencia de datos personales

 Ar

 Artíc

tíc ul

ulo 18.- Di

o 18.- Disp

spos

osic

icio

iones

nes gen

general

erales.

es.

La transferencia de datos personales implica la comunicación de datos personales dentro La transferencia de datos personales implica la comunicación de datos personales dentro o fuera del territorio nacional realizada a persona distinta al titular de los datos personales, o fuera del territorio nacional realizada a persona distinta al titular de los datos personales, al encargado del banco de datos personales o al encargado del tratamiento de datos al encargado del banco de datos personales o al encargado del tratamiento de datos personales.

personales.

Se denomina flujo transfronterizo de datos personales a la transferencia de datos Se denomina flujo transfronterizo de datos personales a la transferencia de datos personales fuera del territorio nacional.

 Aquél

 Aquél a a quien quien se se transfieran transfieran los los datos datos personales personales se se obliga, obliga, por por el el solo solo hecho hecho de de lala transferencia, a la observancia de las disposiciones de la Ley y del presente reglamento. transferencia, a la observancia de las disposiciones de la Ley y del presente reglamento.

 Ar

 Artíc

tíc ul

ulo 19.- Con

o 19.- Con di

dici

cion

ones p

es para l

ara la tr

a trans

ansfer

ferenc

encia.

ia.

Toda

Toda transferencia transferencia de de datos datos personales personales requiere requiere el el consentimiento consentimiento de de su su titular, titular, salvosalvo las excepciones previstas en el artículo 14 de la Ley y debe limitarse a la finalidad que la las excepciones previstas en el artículo 14 de la Ley y debe limitarse a la finalidad que la  justifique.

 justifique.

 Ar

 Artíc

tíc ul

ulo

o 20.-

20.- Pru

Prueba

eba del

del cu

cump

mplilimi

mi ent

ento

o de

de las

las ob

oblili gac

gacio

iones

nes en

en mat

materi

eri a

a de

de

transferencias.

transferencias.

Para efectos de demostrar que la transferencia se realizó conforme a lo que establece la Para efectos de demostrar que la transferencia se realizó conforme a lo que establece la Ley y el presente reglamento, la carga de la prueba recaerá, en todos los casos, en el Ley y el presente reglamento, la carga de la prueba recaerá, en todos los casos, en el emisor de datos.

emisor de datos.

 Ar

 Artíc

tíc ul

ulo

o 21.-

21.- Tran

Transf

sferen

erenci

cia

a den

dentr

tro

o de

de un

un sec

secto

tor

r o

o gr

grup

upo

o emp

empres

resari

arial

al y

y có

códi

digo

go de

de

conducta.

conducta.

En el caso de transferencias de datos personales dentro de grupos empresariales, En el caso de transferencias de datos personales dentro de grupos empresariales, sociedades subsidiarias afiliadas o vinculadas bajo el control común del mismo grupo del sociedades subsidiarias afiliadas o vinculadas bajo el control común del mismo grupo del titular del banco de datos personales o responsable del tratamiento, o a aquellas afiliadas titular del banco de datos personales o responsable del tratamiento, o a aquellas afiliadas o

o vinculadas vinculadas a una socia una sociedad matriz edad matriz o a co a cualquier sociedad del ualquier sociedad del mismo grupo mismo grupo del titular deldel titular del banco de datos o responsable del tratamiento, se cumple con garantizar el tratamiento de banco de datos o responsable del tratamiento, se cumple con garantizar el tratamiento de datos

datos personales, personales, si si se se cuenta cuenta con con un un código dcódigo de e conducta conducta que que establezca establezca las las normasnormas internas

internas de de protección de protección de datos personales datos personales con el con el contenido previsto contenido previsto por el artípor el artículo 31 culo 31 dede la Ley, e inscrito según lo previsto por los artículos 89 a 97 del presente reglamento.

la Ley, e inscrito según lo previsto por los artículos 89 a 97 del presente reglamento.

 Ar

 Artíc

tíc ul

ulo 22.- Recep

o 22.- Recepto

tor d

r de lo

e los d

s dato

atos p

s pers

erson

onales

ales..

El receptor de los datos personales asume la condición de titular del banco de datos El receptor de los datos personales asume la condición de titular del banco de datos personales o responsable del tratamiento en lo que se refiere la Ley y el presente personales o responsable del tratamiento en lo que se refiere la Ley y el presente reglamento, y deberá realizar el tratamiento de los datos personales cumpliendo lo reglamento, y deberá realizar el tratamiento de los datos personales cumpliendo lo establecido en la información que el emisor dio de manera previa al consentimiento establecido en la información que el emisor dio de manera previa al consentimiento recabado del titular de los datos personales.

recabado del titular de los datos personales.

 Ar

 Artíc

tíc ul

ulo 23.- For

o 23.- For mal

malizac

izació

ión d

n de las t

e las t ran

ransf

sferen

erenci

cias n

as naci

acion

onales

ales..

La transferencia deberá formalizarse mediante mecanismos que permitan demostrar que La transferencia deberá formalizarse mediante mecanismos que permitan demostrar que el titular del banco de datos personales o el responsable del tratamiento comunicó al el titular del banco de datos personales o el responsable del tratamiento comunicó al responsable

responsable receptor receptor las las condiciones condiciones en en las las que que el el titular titular de de los los datos datos personalespersonales consintió el tratamiento de los mismos.

consintió el tratamiento de los mismos.

 Ar

 Artíc

tíc ul

ulo 24.- Fl

o 24.- Fluj

ujo t

o tran

ransf

sfro

ront

nteri

erizo d

zo de dato

e dato s p

s pers

erson

onales

ales..

Los

Los flujos flujos transfronterizos transfronterizos de de datos datos personales personales serán serán posibles posibles cuando cuando el el receptor receptor oo importador de los datos personales asuma las mismas obligaciones que corresponden al importador de los datos personales asuma las mismas obligaciones que corresponden al titular del banco de datos personales o responsable del tratamiento que como emisor o titular del banco de datos personales o responsable del tratamiento que como emisor o exportador transfirió los datos personales.

exportador transfirió los datos personales.

De conformidad con el artículo 15 de la Ley, además de los supuestos previstos en el De conformidad con el artículo 15 de la Ley, además de los supuestos previstos en el primer y tercer párrafo de dicho artículo, lo dispuesto en el segundo párrafo del mismo primer y tercer párrafo de dicho artículo, lo dispuesto en el segundo párrafo del mismo tampoco aplica cuando se traten de datos personales que deriven de una relación tampoco aplica cuando se traten de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento. científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento.

 Ar

 Artíc

tíc ul

ulo 25.- For

o 25.- For mal

malizac

izació

ión d

n del f

el flu

lujo

jo tr

trans

ansfr

fron

onter

terizo

izo de dat

de dat os

os per

perso

sonal

nales.

es.

Para los efectos del artículo precedente, el emisor o exportador podrá valerse de Para los efectos del artículo precedente, el emisor o exportador podrá valerse de cláusulas contractuales u otros instrumentos jurídicos en los que se establezcan cuando cláusulas contractuales u otros instrumentos jurídicos en los que se establezcan cuando menos las mismas obligaciones a las que se encuentra sujeto, así como las condiciones menos las mismas obligaciones a las que se encuentra sujeto, así como las condiciones en las que el titular consintió el tratamiento de sus datos personales.

en las que el titular consintió el tratamiento de sus datos personales.

 Ar

 Artíc

tíc ul

ulo

o 26.-

26.- Part

Partic

icip

ipaci

ación

ón de

de la

la Dir

Direcc

ecció

ión

n Gener

General

al de

de Pro

Protec

tecci

ción

ón de

de Datos

Datos

Pe

Personales respecto del f

rsonales respecto del f lujo

lujo transfront

transfront erizo de datos personales.

erizo de datos personales.

Los titulares del banco de datos personales o responsables del tratamiento, podrán Los titulares del banco de datos personales o responsables del tratamiento, podrán solicitar la opinión de la Dirección General de Protección de Datos Personales respecto a solicitar la opinión de la Dirección General de Protección de Datos Personales respecto a si el flujo transfronterizo de datos personales que realiza o realizará cumple con lo si el flujo transfronterizo de datos personales que realiza o realizará cumple con lo dispuesto por la Ley y el presente reglamento.

dispuesto por la Ley y el presente reglamento.

En cualquier caso, el flujo transfronterizo de datos personales se pondrá en conocimiento En cualquier caso, el flujo transfronterizo de datos personales se pondrá en conocimiento de la Dirección General de Protección de Datos Personales, incluyendo la información q de la Dirección General de Protección de Datos Personales, incluyendo la información q ueue se requiere para la transferencia de datos personales y el registro de banco de datos. se requiere para la transferencia de datos personales y el registro de banco de datos.

Ca

Capítul

pítul o IV

o IV

Tratamientos especiales de datos personales

Tratamientos especiales de datos personales

 Ar

 Artíc

tíc ul

ulo 27.- Trat

o 27.- Trat ami

amient

ento d

o de lo

e los d

s dato

atos p

s pers

erson

onales

ales de m

de meno

enores

res..

Para el tratamiento de los datos personales de un menor de edad, se requerirá el Para el tratamiento de los datos personales de un menor de edad, se requerirá el consentimiento de los titulares de la

consentimiento de los titulares de la patria potestad o tutores, según corresponda.patria potestad o tutores, según corresponda.

 Ar

 Artíc

tíc ul

ulo 28.- Con

o 28.- Con sen

sentitimi

mi ent

ento ex

o excep

cepci

cion

onal.

al.

Podrá hacerse tratamiento de los datos personales de mayores de catorce y menores de Podrá hacerse tratamiento de los datos personales de mayores de catorce y menores de dieciocho años con su consentimiento, siempre que la información proporcionada haya dieciocho años con su consentimiento, siempre que la información proporcionada haya sido expresada en un lenguaje comprensible por ellos, salvo en los casos que la ley exija sido expresada en un lenguaje comprensible por ellos, salvo en los casos que la ley exija para su otorgamiento la asistencia de los titulares de la patria potestad o tutela.

para su otorgamiento la asistencia de los titulares de la patria potestad o tutela.

En ningún caso el consentimiento para el tratamiento de datos personales de menores de En ningún caso el consentimiento para el tratamiento de datos personales de menores de edad podrá otorgarse para que accedan a actividades, vinculadas con bienes o servicios edad podrá otorgarse para que accedan a actividades, vinculadas con bienes o servicios que están restringidos para mayores de edad.

que están restringidos para mayores de edad.

 Ar

 Artíc

tíc ul

ulo 29.- Pro

o 29.- Pro hi

hibi

bici

ción

ón de r

de reco

ecopi

pilac

lació

ión.

n.

En ningún caso se podrá recabar de un menor de edad datos que permitan obtener En ningún caso se podrá recabar de un menor de edad datos que permitan obtener información sobre

información sobre los demás los demás miembros de miembros de su grupo su grupo familiar, como familiar, como son son los datoslos datos relativos

relativos a a la la actividad actividad profesional profesional de de sus sus progenitores, progenitores, información información económica, económica, datosdatos sociológicos o cualquier otro, sin

sociológicos o cualquier otro, sin el consentimiento de los titulares de el consentimiento de los titulares de tales datos.tales datos.

Sólo podrá recabarse los datos de identidad y dirección de los padres o de los tutores con Sólo podrá recabarse los datos de identidad y dirección de los padres o de los tutores con la finalidad de obtener el consentimiento a que se refiere el artículo 27 del presente la finalidad de obtener el consentimiento a que se refiere el artículo 27 del presente reglamento.

reglamento.

 Ar

 Artíc

tíc ul

ulo 30.- Fom

o 30.- Fom ent

ento d

o de la p

e la pro

rotec

tecci

ción

ón..

Es obligación de todos los titulares de bancos de datos personales y especialmente de las Es obligación de todos los titulares de bancos de datos personales y especialmente de las entidades públicas colaborar con el fomento del conocimiento del derecho a la protección entidades públicas colaborar con el fomento del conocimiento del derecho a la protección de datos personales de los niños, niñas y adolescentes, así como de la necesidad de que de datos personales de los niños, niñas y adolescentes, así como de la necesidad de que su tratamiento se realice con especial responsabilidad y seguridad.

 Ar

 Artíc

tíc ul

ulo

o 31.-

31.- Trat

Tratami

amient

ento

o de

de dat

datos

os per

perso

sonal

nales

es en

en el

el sec

secto

tor

r co

comu

muni

nicac

cacio

iones

nes yy

telecomunicaciones.

telecomunicaciones.

Los operadores de los servicios de comunicaciones o telecomunicaciones tienen la Los operadores de los servicios de comunicaciones o telecomunicaciones tienen la responsabilidad de velar por la confidencialidad, seguridad, uso adecuado e integridad de responsabilidad de velar por la confidencialidad, seguridad, uso adecuado e integridad de los datos personales que obtengan de sus abonados y usuarios, en el curso de sus los datos personales que obtengan de sus abonados y usuarios, en el curso de sus operaciones comerciales. En tal sentido, no podrán realizar un tratamiento de los citados operaciones comerciales. En tal sentido, no podrán realizar un tratamiento de los citados datos personales para finalidades distintas a las autorizadas por su titular, salvo orden datos personales para finalidades distintas a las autorizadas por su titular, salvo orden  judicial o mandato legal expreso.

 judicial o mandato legal expreso.

 Ar

 Artíc

tíc ul

ulo 32.- Con

o 32.- Con fifiden

denci

ciali

alidad

dad y s

y segu

eguriridad

dad..

Los operadores de comunicaciones o telecomunicaciones deberán velar por la Los operadores de comunicaciones o telecomunicaciones deberán velar por la confidencialidad, seguridad y uso adecuado de cualquier dato personal obtenido como confidencialidad, seguridad y uso adecuado de cualquier dato personal obtenido como consecuencia de su actividad y adoptarán las medidas técnicas, legales y organizativas, consecuencia de su actividad y adoptarán las medidas técnicas, legales y organizativas, conforme

conforme a lo establecido en la a lo establecido en la Ley y el presente reglamento, sin Ley y el presente reglamento, sin perjuicio de las medidasperjuicio de las medidas establecidas

establecidas en en las las normas normas del del sector sector de de comunicaciones comunicaciones y y telecomunicaciones telecomunicaciones que que nono se opongan a lo establecido en la Ley y el presente reglamento.

se opongan a lo establecido en la Ley y el presente reglamento.

 Ar

 Artíc

tíc ul

ulo

o 33.-

33.- Trat

Tratami

amient

ento

o de

de lo

los

s dat

datos

os per

perso

sonal

nales

es po

por

r med

medio

ios

s tec

tecno

noló

lógi

gico

coss

tercerizados.

tercerizados.

El tratamiento de datos personales por medios tecnológicos tercerizados, entre los que se El tratamiento de datos personales por medios tecnológicos tercerizados, entre los que se encuentran servicios, aplicaciones, infraestructura, entre otros, está referido a

encuentran servicios, aplicaciones, infraestructura, entre otros, está referido a aquellos, enaquellos, en los que el procesamiento es

los que el procesamiento es automático, sin intervención humana.automático, sin intervención humana.

Para los casos en los que en el tratamiento exista intervención humana se aplican los Para los casos en los que en el tratamiento exista intervención humana se aplican los artículos 37 y 38.

artículos 37 y 38.

El tratamiento de datos personales por medios tecnológicos tercerizados, sea completo o El tratamiento de datos personales por medios tecnológicos tercerizados, sea completo o parcial, podrá ser contratado por el responsable del tratamiento de datos personales parcial, podrá ser contratado por el responsable del tratamiento de datos personales siempre y cuando para la ejecución de aquel se garantice el cumplimiento de lo siempre y cuando para la ejecución de aquel se garantice el cumplimiento de lo establecido en la Ley y el presente reglamento.

establecido en la Ley y el presente reglamento.

 Ar

 Artíc

tíc ul

ulo

o 34.-

34.- Cri

Criter

terio

ios

s a

a co

cons

nsid

iderar

erar par

para

a el

el tr

tratam

atamien

iento

to de

de dat

datos

os per

perso

sonal

nales

es po

porr

medios tecnológi

medios tecnológi cos t

cos t erce

ercerizados.

rizados.

 Al realizar el

 Al realizar el tratamiento de tratamiento de los datos personales los datos personales por medios por medios tecnológicos tercerizados setecnológicos tercerizados se deberá considerar como prestaciones mínimas las siguientes:

deberá considerar como prestaciones mínimas las siguientes: 1.

1. Informar Informar con con transparencia transparencia las las subcontrataciones subcontrataciones que que involucren involucren la la informacióninformación sobre la que presta el servicio.

sobre la que presta el servicio. 2.

2. No No incluir incluir condiciones condiciones que que autoricen autoricen o o permitan permitan al al prestador prestador asumir asumir la la titularidadtitularidad sobre los bancos de

sobre los bancos de datos personales tratados en la tercerización.datos personales tratados en la tercerización. 3.

3. Garantizar Garantizar la la confidencialidad confidencialidad respecto respecto de de los los datos datos personales personales sobre sobre los los queque preste el servicio.

preste el servicio. 4.

4. Mantener Mantener el el control, control, las las decisiones decisiones y y la la responsabilidad responsabilidad sobre sobre el el proceso proceso mediantemediante el cual se realiza el tratamiento de los datos personales.

el cual se realiza el tratamiento de los datos personales. 5.

5. Garantizar Garantizar la la destrucción destrucción o o la la imposibilidad imposibilidad de de acceder acceder a a los los datos datos personalespersonales después de concluida la prestación.

después de concluida la prestación.

 Ar