Fundamento destacado: 27. Estando con lo señalado, la DPDP al momento de verificar el consentimiento válido, debe analizar que el documento con el cual la administrada busca acreditar dicho consentimiento, cumpla con las características de ser libre, previo, expreso e inequívoco e informado.
28. Por ello, correspondía que la DPDP (tal como efectuó) evalúe si el documento «Autorización de uso de imagen y voz» cumplía con el carácter de informado en los extremos advertidos por la DFI (banco de datos en el que se almacenarán los datos personales y sobre posibilidad de ejercer los derechos que la LPDP les concede y los medios previstos para ello), pues el requisito de validez de obtención del consentimiento en lo concerniente a la “información” que proporcionan los documentos (de acuerdo al inciso 13.5 y artículo 18 de la LPDP y el artículo 12 del Reglamento de la LPDP), constituye obligación del responsable del tratamiento de datos respecto a dar cumplimiento a estas características (informado).
29. En esta línea de ideas, la DPDP no podría concluir que la administrada cuenta con un consentimiento válido si no evalúa el cumplimiento de cada una de sus características, es decir, si el consentimiento es “informado” (caso en concreto) y si, en consecuencia, dicho consentimiento informado cumple con cada uno de los supuestos del artículo 188 de la LPDP referido al deber de informar; situación que el documento «Autorización de uso de imagen y voz» no cumplió a cabalidad.
33. Por tanto, como bien refiere la DPDP en el fundamento referido, los titulares de los datos personales no pueden conocer en qué bancos de datos serán almacenadas las fotografías y/o imágenes vinculadas a los mismos, destinadas a ser difundidas con fines promocionales en el sitio web www.unife.edu.pe, al no estar identificada dicha información en el documento «Autorización de uso de imagen y voz»; circunstancia que amerita que la administrada indique y especifique el banco de datos en los que se almacenarán los datos personales.
Resolución Directoral N.° 13-2022-JUS/DGTAIPD
Lima, 18 de marzo de 2022
EXPEDIENTE N.°: 030-2019-JUS/DGTAIPD-PAS
ADMINISTRADO: UNIVERSIDAD FEMENINA DEL SAGRADO CORAZÓN
MATERIAS: Consentimiento válido, incumplimiento del derecho-deber de informar, medidas de seguridad.
VISTOS: El recurso de apelación presentado por Universidad Femenina del Sagrado Corazón (Registro N.° 1554) contra la Resolución Directoral N.° 2080-2020-JUS/DGTAIPDDPDP de 7 de diciembre de 2020; y, los demás actuados en el Expediente N.° 030- 2019-JUS/DGTAIPD-PAS.
CONSIDERANDO:
I. ANTECEDENTES
1. Mediante Orden de Visita de Fiscalización N.° 111-2018-JUS/DGTAIPD-DFI de 11 de octubre de 2018, la Dirección de Fiscalización e Instrucción (en adelante, la DFI) dispuso la realización de una visita de fiscalización a Universidad Femenina del Sagrado Corazón (en adelante, la administrada) con la finalidad de supervisar si realizaba tratamiento de datos personales de acuerdo con las disposiciones de la Ley de Protección de Datos Personales (en adelante, LPDP) y su Reglamento, aprobado por Decreto Supremo N.° 003-2013-JUS (en adelante, el Reglamento de la LPDP).
2. Dicha visita fue realizada el 11 de octubre de 2018 y dio lugar a la expedición del Acta de Fiscalización N.° 01-2018. Luego, el 16 de octubre de 2018 se realizó una segunda visita generando el Acta de Fiscalización N.° 02-2018. Finalmente, el 19 de octubre de 2018 se efectuó la tercera visita de fiscalización dando lugar al Acta de Fiscalización N.º 03-2018. 3. Por Resolución Directoral N.° 240-2019-JUS/DGTAIPD-DFI de 29 de noviembre de 2019, la DFI dispuso iniciar procedimiento sancionador contra la administrada por:
– Recopilar datos personales sensibles, mediante los formularios «Control de examen médico» y «Examen médico de ingreso», datos personales que no serían necesarios para cumplir con la finalidad del tratamiento (Proceso de admisión de la postulante y gestión académica). Obligación establecida en los artículos 8 y 28 (inciso 3) de la LPDP.
– Difundir imágenes de personas en su sitio web www.unife.edu.pe, sin obtener válidamente el consentimiento. Obligación establecida en el artículo 13, inciso 13.5 de la LPDP y el artículo 12 del Reglamento de la LPDP.
– Realizar tratamiento de datos personales mediante:
(i) El sistema cliente/servidor denominado «Sistema de admisión»;
(ii) Los formularios físicos: «Fichas de datos-EPI», «Registro preinscripción UNIFE», «Examen médico de ingreso», «Ficha socio económica de la estudiante»,
(iii) El sistema de videovigilancia; y
(iv) Los formularios contenidos en el sitio web www.unife.edu.pe; sin informar a los titulares de los datos lo requerido por el artículo 18 del LPDP.
– No cumplir con implementar las medidas de seguridad para el tratamiento de datos personales, que incluyen datos sensibles, al:
A. No documentar los procedimientos para la verificación periódica de privilegios asignados. Obligación establecida en el inciso 1 del artículo 39 del Reglamento de la LPDP.
B. No generar ni mantener registros de interacción lógica respecto del banco de datos personales en soporte automatizado de postulantes y estudiantes de pregrado. Obligación establecida en el inciso 2 del artículo 39 del Reglamento de la LPDP.
C. No evidenciar la implementación de medidas de seguridad del banco de datos de postulantes y alumnas respecto al almacenamiento de las copias de respaldo de la información en la nube. Obligación establecida en el primer párrafo del artículo 40 del Reglamento de la LPDP.
D. Permitir generar copias o reproducción de documentos sin un adecuado control del personal autorizado. Obligación establecida en el artículo 43 del Reglamento de la LPDP.
4. El 9 de enero de 2020 (Registro N.° 1611-2019) la administrada presentó sus descargos.
5. Por Resolución Directoral N.° 008-2020-JUS/DGTAIPD-DFI de 23 de enero de 2020, la DFI resolvió dar por concluidas las actuaciones instructivas del procedimiento sancionador iniciado mediante la Resolución Directoral N.° 240- 2019-JUS/DGTAIPD-DFI de 29 de noviembre de 2019, disponiéndose el cierre de la etapa instructiva.
6. Mediante Informe N.° 004-2020-JUS/DGTAIPD-DFI de 23 de enero de 2020, la DFI puso en conocimiento a la Dirección de Protección de Datos Personales (en adelante, la DPDP), lo concluido en la instrucción del procedimiento sancionador.
7. Por Resolución Directoral N.° 2080-2020-JUS/DGTAIPD-DPDP de 7 de diciembre de 2020, la DPDP dispuso lo siguiente:
(i) Declarar infundada la imputación a UNIVERSIDAD FEMENINA DEL SAGRADO CORAZÓN respecto de la responsabilidad administrativa por la presunta comisión de la infracción grave tipificada literal d), inciso 2, del artículo 132 del Reglamento de la LPDP: «Recopilar datos personales sensibles que no sean necesarios, pertinentes ni adecuados con relación a las finalidades determinadas, explícitas y lícitas para las que requieren ser obtenidos».
(ii) Sancionar a UNIVERSIDAD FEMENINA DEL SAGRADO CORAZÓN con la multa ascendente a 5.5 UIT por difundir imágenes de sus alumnos en el sitio web www.unife.edu.pe, sin obtener válidamente el consentimiento de sus titulares, específicamente por carecer de la característica de ser informado, a través del documento «Autorización de uso de imagen y voz»; infracción grave tipificada en el literal b) del inciso 2 del artículo 132 del Reglamento de la LPDP: «Dar tratamiento a los datos personales sin el consentimiento libre, expreso, inequívoco, previo e informado del titular, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley N.º 29733 y su Reglamento».
(iii) Declarar infundado el extremo de la imputación por infracción grave tipificada en el literal b) del inciso 2 del artículo 132 del Reglamento de la LPDP «Dar tratamiento a los datos personales sin el consentimiento libre, expreso, inequívoco, previo e informado del titular, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley N.º 29733 y su Reglamento» referido al tratamiento de datos de los trabajadores.
[Continúa…]