TEXTO PAGINA: 33
El Peruano Jueves 30 de octubre de 2014 536283 En consecuencia, el reclamado no ha previsto: (i) la aplicación del procedimiento de anonimización en la resolución publicada, (ii) la actualización necesaria y pertinente de la información tratada, y (iii) la adecuación relevante y no excesiva del tratamiento de datos personales para la fi nalidad para la que estos fueron recopilados en su sitio web “http://www.datosperu.org/”; por lo que la APDP considera además, que se ha transgredido el principio de calidad y el principio de proporcionalidad. 13. Análisis del quinto aspecto, la LPDP dispone que el titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre11: - La fi nalidad para la que sus datos personales serán tratados. - Quiénes son o pueden ser sus destinatarios. - La existencia del banco de datos en que se almacenarán. - La identidad y domicilio del responsable del tratamiento. - El carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles. - La transferencia de los datos personales. - Las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo. - El tiempo durante el cual se conserven sus datos personales. - La posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello. Los datos personales recogidos en línea a través de redes de comunicaciones electrónicas, requieren de la publicación de políticas de privacidad y confi dencialidad de la información o las condiciones del servicio en los sitios web visitados y deben ser fácilmente accesibles e identifi cables para conocimiento de los usuarios de internet; sin embargo, en el presente caso, se advierte que en el enlace “http://www.datosperu.org/aviso-legal. php” se consigna: Primero: información inexacta, toda vez que se señala que “la Secretaría de Telecomunicaciones y la Organización de Estudios Superiores en Ciencias Sociales son las responsables del banco de datos personales del sitio web “http://www.datosperu.org/”; no encontrando la APDP información de las referidas entidades mediante consultas efectuadas al Registro Único de Contribuyentes (RUC) de la Superintendencia Nacional de Aduanas y de Administración Tributaria (SUNAT) y en el listado de entidades públicas del portal web del Estado Peruano. Segundo: información incierta, puesto que se señala que “el usuario podrá ejercer en cualquier momento los derechos de acceso, rectifi cación, cancelación u oposición con respecto a los datos por él suministrados, a través del correo electrónico habilitado en la página web opendata(- arroba-)datosperu.org”; verifi cando la DSC que la referida dirección de correo electrónico es inválida. En consecuencia, el reclamado ha incumplido con las políticas de privacidad y confi dencialidad de la información publicada en el enlace “http://www.datosperu. org/aviso-legal.php” que consigna información inexacta e incierta; por lo que la APDP considera además, que se ha transgredido el derecho de información del titular de datos personales. 14. Como resultado de estas consideraciones, la APDP concluye que el reclamado no ha justifi cado el tratamiento de datos personales del reclamante mediante la publicación en su sitio web “http://www.datosperu.org/”, por lo que ha incurrido en infracción sancionable conforme a las disposiciones contenidas en la LPDP y su Reglamento: (i) transgrediendo los principios de consentimiento, calidad y proporcionalidad, y (ii) obstaculizando el ejercicio de los derechos del titular de los datos personales. En ese sentido, la APDP en el marco de su función sancionadora, se encuentra facultada para la imposición de las sanciones administrativas previstas en el artículo 39 de la LPDP en el caso de que el responsable del tratamiento deniegue al titular de los datos personales total o parcialmente, el ejercicio de los derechos establecidos en la LPDP y su Reglamento. “Artículo 24 de la LPDP. Derecho a la tutela: La resolución de la Autoridad Nacional de Protección de Datos Personales agota la vía administrativa y habilita la imposición de las sanciones administrativas previstas en el artículo 39. El reglamento determina las instancias correspondientes”. La APDP determina la infracción cometida y el monto de la multa imponible, tomando en cuenta para la graduación del monto de las multas los criterios establecidos en el artículo 230, numeral 3 de la LPAG12 . De manera que, la APDP debe prever que la comisión de la conducta sancionable no resulte más ventajosa para el infractor que cumplir las normas infringidas o asumir la sanción administrativa, por lo que ésta penalidad deberá ser proporcional al incumplimiento califi cado como infracción, observando los criterios que la LPAG señala para efectos de su graduación13. La APDP considera como hechos relevantes para determinar la gravedad de la infracción: - La gravedad del daño al interés público y/o bien jurídico protegido: la conducta infractora del reclamado afecta el “derecho fundamental a la protección de los datos personales” del reclamante amparado por el numeral 6 del artículo 2 de la Constitución Política del Perú. - Las circunstancias de la comisión de la infracción: el reclamado impide a los afectados la posibilidad de ejercer los derechos que la LPDP y su Reglamento les concede al colocar una inválida dirección de correo electrónico “opendata(-arroba-)datosperu.org” y una falsa o desactualizada dirección domiciliaria “Jirón Quilca N° 236. Lima 01”, e incumplir con las políticas de privacidad y confi dencialidad de la información publicada en el enlace “http://www.datosperu.org/aviso-legal.php”. - EI benefi cio ilegalmente obtenido: el reclamado tiene incluido en su sitio web “http://www.datosperu.org/” el servicio “Google AdSense” que es uno de los productos de la red de publicidad en línea de Google y por el cual recibe una contraprestación económica, conforme con lo informado por la DSC14 que se basa en la afectación del derecho de terceros. - La existencia o no de intencionalidad en la conducta del infractor: la conducta evasiva del reclamado demuestra su intencionalidad de eludir cualquier responsabilidad por la comisión de infracciones a la LPDP y su Reglamento. Tal situación se evidencia con la imposibilidad de la APDP de lograr su ubicación física agotando las modalidades de notifi cación previstas por la LPAG. 15 La APDP dentro de sus competencias conoce, instruye y resuelve las reclamaciones formuladas por los titulares de datos personales por la vulneración de 11 Artículo 18 de la LPDP. Derecho de información del titular de datos personales. 12 Artículo 39 de la LPDP. Sanciones administrativas: “(…) La Autoridad Nacional de Protección de Datos Personales determina la infracción cometida y el monto de la multa imponible mediante resolu- ción debidamente motivada. Para la graduación del monto de las multas, se toman en cuenta los criterios establecidos en el artículo 230, numeral 3), de la Ley 27444, Ley del Procedimiento Administrativo General, o la que haga sus veces. La imposición de la multa se efectúa sin perjuicio de las sanciones disciplinarias sobre el personal de las entidades públicas en los casos de bancos de datos personales de administración pública, así como de la indemnización por daños y perjuicios y de las sanciones penales a que hubiera lugar”. 13 Artículo 230 numeral 3 de la LPAG. Principios de la potestad sanciona- dora administrativa: “(…) Razonabilidad.- Las autoridades deben prever que la comisión de la conducta sancionable no resulte más ventajosa para el infractor que cumplir las normas infringidas o asumir la sanción. Sin embargo, las sanciones a ser aplicadas deberán ser proporcionales al incumplimiento califi cado como infracción, debiendo observar los siguientes criterios que en orden de prelación se señalan a efectos de su graduación: a) La gravedad del daño al interés público y/o bien jurídico protegido; b) EI perjuicio económico causado; c) La repetición y/o continuidad en la comisión de la infracción; d) Las circunstancias de la comisión de la infracción; e) EI benefi cio ilegal- mente obtenido; y f) La existencia o no de intencionalidad en la conducta del infractor (…)”. 14 El Ofi cio N° 033-2014-JUS/DGPDP/DSC de 1 de octubre de 2014 de la Dirección de Supervisión y Control de la Dirección General de Protección de Datos Personales.