Conclusiones: 1. Los datos personales de trabajadores que realizan actividades de atención al cliente o a los consumidores, ya sea que se trate de trabajadores directamente contratados por la empresa que brinda el bien o servicio o a través de personal tercerizado, deben ser considerados como datos de contacto de la persona jurídica, encontrándose fuera del ámbito de aplicación de la LPDP.
2. Atendiendo al principio de proporcionalidad, cualquier información sobre estos trabajadores que no se refiera a los datos necesarios para el contacto con la persona jurídica se encuentran dentro del ámbito de aplicación de la LPDP. Por ello, sólo los datos de dichos trabajadores que se enmarcan en la relación previa de consumo pueden ser proporcionados a aquellos consumidores o clientes que tengan legítimo interés en obtener los mismos, en virtud de dicha relación.
Opinión Consultiva N° 046-2022-JUS/DGTAIPD
ASUNTO: Opinión sobre la obtención de datos de trabajadores de una persona jurídica que brinda bienes o servicios.
REFERENCIA: Hoja de Trámite N° 0246397-2021MSC
FECHA: 22 de diciembre de 2022
I. ANTECEDENTES
1. Mediante el documento de la referencia la Comisión de Protección al Consumidor N° 2 de INDECOPI solicita a la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (DGTAIPD) que absuelva las siguientes consultas referidas al derecho de los consumidores a solicitar los datos personales del personal que labora en establecimientos comerciales, siendo estas las siguientes:
a. ¿Asistiría un derecho al consumidor, entendido como aquel que establece una relación de consumo o se encuentra expuesta a ella, para solicitar a su proveedor que brinde datos personales del personal que labora en sus establecimientos, ya sea que fueran contratados directamente por el proveedor o mediante una tercerización?
b. De ser afirmativa la respuesta, ¿cuáles serían las limitaciones del consumidor para acceder a los datos personales?
c. En el caso concreto, ¿podría un consumidor solicitar a su proveedor que se le brinden datos personales (nombre y documentos de identificación) del personal que labora en su establecimiento, en atención a que desea imponer una denuncia policial o penal?
II. MARCO NORMATIVO DE ACTUACIÓN
2. El artículo 32 de la Ley N° 29733, Ley de Protección de Datos Personales (en adelante, la “LPDP”), crea la Autoridad Nacional de Protección de Datos Personales (en adelante, “ANPD”), que se rige por dicha ley, su reglamento y las normas pertinentes del Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, aprobado mediante Decreto Supremo N° 013-2017-JUS (en adelante, ROF del Minjus).
3. Entre las funciones de la ANPD, previstas en el artículo 33 de la LPDP, se encuentra la de absolver consultas sobre protección de datos personales y emitir opinión técnica respecto de los proyectos de normas que se refieran total o parcialmente a los datos personales, la cual es vinculante[1].
4. Por su parte, el ROF del Minjus, establece en su artículo 70 que la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (en adelante, la “DGTAIPD”) es el órgano de línea encargado de ejercer la ANPD, por lo que tiene entre sus funciones absolver consultas sobre protección de datos personales y emitir opinión técnica respecto de proyectos normativos que se refieran a los ámbitos de su competencia.[2]
5. Por ende, esta Dirección General, en su calidad de órgano de línea del Ministerio de Justicia y Derechos Humanos sobre el que recae la ANPD, emite la presente Opinión Consultiva en el ámbito de la interpretación abstracta de las normas y no como mandato específico de conducta para un caso en concreto.
III. ANÁLISIS
A) Sobre los datos personales del personal que presta servicios de atención al cliente como datos de contacto de las personas jurídicas
6. En el artículo 2, numeral 6 de la Constitución Política del Perú, se encuentra reconocido que toda persona tiene derecho “a que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar”.
7. En ese contexto, la Ley N° 29733, Ley de Protección de Datos Personales (en adelante la LPDP) y su reglamento, aprobado mediante Decreto Supremo N° 003-2013-JUS, desarrollan el derecho a la protección de los datos personales.
8. En virtud del artículo 2, numeral 4, de la Ley de Protección de Datos Personales (en adelante LPDP) se considera dato personal toda información sobre una persona natural que la identifica o la hace identificable, a través de medios que pueden razonablemente ser utilizados.
9. Por su parte, el numeral 19 del citado artículo define al tratamiento de datos personales como “cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales”.
10. En ese sentido, se puede apreciar que tanto la LPDP como su reglamento, cuando desarrollan la protección de los datos personales, se refieren a las personas naturales, no incluyéndose a las personas jurídicas; postura que ha sido desarrollada por la ANPD en opiniones consultivas anteriores.
11. Al respecto, a través de la Opinión Consultiva N° 35-2020-JUS/DGTAIPD[3], la ANPD reafirma el criterio desarrollado en la opinión consultiva emitida en el Oficio N.° 873- 2013-JUS/DGPDP de fecha 18 de noviembre de 2013, la misma que fue citada en el Oficio N.° 137-2015-JUS/DGPDP de fecha 04 de marzo de 2015, esto es, que:
“(…) la LPDP como su reglamento se refieren a la protección de datos personales de las personas naturales. Los datos de la persona natural que representa a una persona jurídica son, desde esa perspectiva, datos de la persona jurídica. Por lo tanto, los datos de contacto de una persona natural que actúa en representación de una persona jurídica no se encuentran dentro del ámbito de aplicación de la LPDP, siempre que se usen en el marco de la actividad de la persona jurídica y como parte de los datos de esta última”.
12. Señalado esto, es claro que los datos personales de los trabajadores que realizan actividades de atención al público o de atención al cliente dentro de una persona jurídica constituyen datos –a los efectos de la LPDP– de la persona jurídica y, por ende, se encuentran fuera del ámbito de aplicación de esta; siempre –claro está–que ellos sean los necesarios para ejercer las funciones propias de la prestación del servicio.
13. Es preciso señalar que, en razón del principio de proporcionalidad, regulado en el artículo 7 de la LPDP que establece que “todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados”, la información que puede brindar la empresa empleadora sobre su personal a los clientes deberá ser la mínima imprescindible para facilitar el contacto entre la empresa empleadora y dichos clientes, de tal forma que el tratamiento únicamente se refiera a los datos necesarios para su localización profesional y que la finalidad de este tratamiento únicamente sea el de mantener relaciones con la persona jurídica en la que el trabajador presta sus servicios.
14. Así, los datos deben ser los específicamente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios. Por ello, el tratamiento debe limitarse a los datos de nombre y apellidos, funciones o puestos desempeñados, dirección electrónica corporativa o teléfono profesional.
15. Cualquier tratamiento que contenga datos adicionales a los citados, es de prever que se encontrará bajo el ámbito de la LPDP, por exceder la finalidad meramente identificatoria, que es la que se estima sostiene el interés por la persona de contacto de la persona jurídica.
16. Además, dicho tratamiento debe centrarse exclusivamente en el entorno profesional del sujeto y en la actividad que desempeña en el marco de la prestación que brinda la persona jurídica. Por ello, la finalidad del tratamiento de los datos de, por ejemplo, el personal de atención al cliente, debe centrarse en el interés legítimo de quien pretende sostener una relación cliente o consumidor[4] con la empresa empleadora. Por ello, la solicitud realizada por un cliente sobre la información del personal designado para su atención debe tener su origen en la previa existencia de una relación de consumo[5] que justifique la solicitud de dicha información para efectos de continuar esta relación o interponer una queja, reclamo o cualquier otra acción derivada de esta, con lo cual, el cliente, sólo encuentra amparo en su solicitud si es que ella se circunscribe a la persona con la cual se contactó para efectos de que la empresa le brinde un bien o servicio en calidad de proveedor[6].
B) Sobre la existencia de personal tercerizado que presta servicios de atención al cliente en una persona jurídica y sus datos de contacto como datos de la persona jurídica
17. La LPDP y su reglamento establecen obligaciones para quienes realizan tratamiento de datos[7] que puede ser un titular del banco de datos, un encargado de tratamiento o un responsable de tratamiento:
• Titular del banco de datos: Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad (artículo 2, numeral 17, de la LPDP).
• Encargado de tratamiento de datos personales: Toda persona natural, persona jurídica de derecho privado o entidad pública que sola o actuando conjuntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales en virtud de una relación jurídica que lo vincula con el mismo y delimita el ámbito de su actuación. Incluye a quien realice el tratamiento sin la existencia de un banco de datos personales (artículo 2, numeral 7, de la LPDP).
• Responsable de tratamiento: Es aquél que decide sobre el tratamiento de datos personales, aun cuando no se encuentren en un banco de datos personales (artículo 2, numeral 14, del Reglamento de la LPDP).
18. Para tener clara la diferencia entre el responsable o titular del banco de datos personales y el encargado del tratamiento debemos tener en cuenta que corresponde al titular del banco de datos o responsable del tratamiento decidir sobre la finalidad y los usos de la información, mientras que el encargado del tratamiento debe cumplir con las instrucciones de quien le encomienda un determinado servicio, respecto al correcto tratamiento de los datos personales a los que pueda tener acceso como consecuencia de la prestación de este servicio[8].
19. El artículo 1 del Decreto Supremo N° 006-2008-TR que aprueba el reglamento de la Ley N° 29245 y del Decreto Legislativo 1038, define la tercerización como una forma de organización empresarial a través de la cual una empresa principal encarga o delega el desarrollo de una o más partes de su actividad principal a una o más empresas tercerizadoras que le proveen de obras o servicios vinculados a la misma.
20. Cabe precisar que, se entiende por actividad principal aquella que es consustancial al giro del negocio. De modo específico se refiere a las diferentes etapas del proceso productivo de bienes y de prestación de servicios, es decir, toda actividad sin cuya ejecución se afectaría o interrumpiría el funcionamiento y desarrollo de la empresa[9]. En las empresas que se dedican a la venta de productos o a la prestación de servicios, el personal de atención al cliente resulta indispensable para efectos de asegurar su funcionamiento y desarrollo de sus actividades.
21. Así, en los supuestos donde exista una empresa subcontratada que ejecute las prestaciones que inicialmente debieron ser desarrolladas por el proveedor originario, la sola tercerización no lo exonera de la responsabilidad por las infracciones que pudiera cometer la empresa sobre la cual se valió para brindar sus servicios[10].
22. Al atenderse en este proceso comercial el interés del responsable del tratamiento, surge la obligación a cargo de este de garantizar un lícito y adecuado tratamiento de datos personales a lo largo de todo ese proceso, a fin de que la satisfacción de tal interés mantenga compatibilidad con el ordenamiento jurídico y con los derechos de las personas, los titulares de los datos personales.
23. Si la actividad principal de la empresa que brinda el bien o servicio que se terceriza incluye tratamientos de datos personales de clientes o consumidores, como la recopilación de su información personal, la empresa tercerizadora opera como encargada del tratamiento de datos personales; siendo la empresa principal la cara visible ante los clientes o consumidores.
24. Asimismo, ante los consumidores, los trabajadores tercerizados que realizan actividades de atención al cliente o consumidores o que han sido delegados para tales fines actúan como personal de contacto de la empresa principal y, por tanto, estos clientes o consumidores podrán solicitar la misma información sobre ellos que, en virtud de una relación de consumo, se encuentran facultados a requerir sobre los trabajadores que directamente contrate la empresa principal que realizan o realizarían las mismas actividades, atendiendo a lo señalado en el apartado anterior.
IV. CONCLUSIONES
1. Los datos personales de trabajadores que realizan actividades de atención al cliente o a los consumidores, ya sea que se trate de trabajadores directamente contratados por la empresa que brinda el bien o servicio o a través de personal tercerizado, deben ser considerados como datos de contacto de la persona jurídica, encontrándose fuera del ámbito de aplicación de la LPDP.
2. Atendiendo al principio de proporcionalidad, cualquier información sobre estos trabajadores que no se refiera a los datos necesarios para el contacto con la persona jurídica se encuentran dentro del ámbito de aplicación de la LPDP. Por ello, sólo los datos de dichos trabajadores que se enmarcan en la relación previa de consumo pueden ser proporcionados a aquellos consumidores o clientes que tengan legítimo interés en obtener los mismos, en virtud de dicha relación.
Descargue el documento completo aquí
[1] Ley N° 29733, Ley de Protección de Datos Personales
“Artículo 33. Funciones de la Autoridad Nacional de Protección de Datos Personales
La Autoridad Nacional de Protección de Datos Personales ejerce las funciones administrativas, orientadoras, normativas, resolutivas, fiscalizadoras y sancionadoras siguientes:
(…)
10. Absolver consultas sobre protección de datos personales y el sentido de las normas vigentes en la materia, particularmente sobre las que ella hubiera emitido.
11. Emitir opinión técnica respecto de los proyectos de normas que se refieran total o parcialmente a los datos personales, la que es vinculante.
(…)”
[2] Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos
“Artículo 71.- Funciones de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales
Son funciones de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales las siguientes:
(…)
d) Emitir opinión técnica respecto de los proyectos de normas que se refieran total o parcialmente a los ámbitos de su competencia. En materia de protección de datos personales la opinión técnica es vinculante.
e) Absolver las consultas que las entidades o las personas jurídicas o naturales le formulen respecto de la aplicación de normas de transparencia y acceso a información pública; así como sobre protección de datos personales.
(…)”
[3] Ver: Opinión Consultiva Nro. 35-2020-JUS/DGTAIPD de 22 de julio de 2020, disponible en: https://www.gob.pe/institucion/anpd/informes-publicaciones/1367579-oc-n-35-2020-jus-dgtaipd-sobre-eltratamiento-de-datos-personales-de-una-persona-natural-que-actua-en-representacion-de-una-personajuridica
[4] Artículo IV del Código de Protección al Consumidor. – Definiciones
Para los efectos del presente Código, se entiende por:
1. Consumidores o usuarios
1.1 Las personas naturales o jurídicas que adquieren, utilizan o disfrutan como destinatarios finales productos o servicios materiales e inmateriales, en beneficio propio o de su grupo familiar o social, actuando así en un ámbito ajeno a una actividad empresarial o profesional. No se considera consumidor para efectos de este Código a quien adquiere, utiliza o disfruta de un producto o servicio normalmente destinado para los fines de su actividad como proveedor.
1.2 Los microempresarios que evidencien una situación de asimetría informativa con el proveedor respecto de aquellos productos o servicios que no formen parte del giro propio del negocio.
1.3 En caso de duda sobre el destino final de determinado producto o servicio, se califica como consumidor a quien lo adquiere, usa o disfruta.
[5] Artículo III del Código de Protección al Consumidor. – Ámbito de aplicación
1. El presente Código protege al consumidor, se encuentre directa o indirectamente expuesto o comprendido por una relación de consumo o en una etapa preliminar a ésta.
2. Las disposiciones del presente Código se aplican a las relaciones de consumo que se celebran en el territorio nacional o cuando sus efectos se producen en éste.
3. Están también comprendidas en el presente Código las operaciones a título gratuito cuando tengan un propósito comercial dirigido a motivar o fomentar el consumo.
Artículo IV del Código de Protección al Consumidor. – Definiciones
Para los efectos del presente Código, se entiende por:
(…)
5. Relación de consumo. – Es la relación por la cual un consumidor adquiere un producto o contrata un servicio con un proveedor a cambio de una contraprestación económica. Esto sin perjuicio de los supuestos contemplados en el artículo III.
[6] Artículo IV del Código de Protección al Consumidor. – Definiciones
Para los efectos del presente Código, se entiende por:
(…)
2. Proveedores. – Las personas naturales o jurídicas, de derecho público o privado, que de manera habitual fabrican, elaboran, manipulan, acondicionan, mezclan, envasan, almacenan, preparan, expenden, suministran productos o prestan servicios de cualquier naturaleza a los consumidores. En forma enunciativa y no limitativa se considera proveedores a:
1. Distribuidores o comerciantes. – Las personas naturales o jurídicas que venden o proveen de otra forma al por mayor, al por menor, productos o servicios destinados finalmente a los consumidores, aun cuando ello no se desarrolle en establecimientos abiertos al público.
2. Productores o fabricantes. – Las personas naturales o jurídicas que producen, extraen, industrializan o transforman bienes intermedios o finales para su provisión a los consumidores.
3. Importadores. – Las personas naturales o jurídicas que importan productos para su venta o provisión en otra forma en el territorio nacional.
4. Prestadores. – Las personas naturales o jurídicas que prestan servicios a los consumidores.
[7] Vid. Opinión Consultiva Nro. 034-2021-JUS/DGTAIPD, sobre las obligaciones del encargado y el responsable del tratamiento de datos personales.
[8] AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, Guías y Directrices para la elaboración de contratos entre el responsable y el encargado del tratamiento, AEPD, Madrid, 2019, p. 2.
[9] Luis VALDERRAMA VALDERRAMA y Otros, Régimen laboral explicado 2017, Gaceta Jurídica, Lima, 2016, p. 131
[10] INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL, Lineamientos de protección al consumidor, INDECOPI, Lima, 2019, p. 32.