La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (DGTAIPD) del Ministerio de Justicia emitió la Opinión N.º 13-2025, en la que precisa los alcances legales sobre el tratamiento de datos personales por parte de empresas privadas, específicamente en contextos de verificación de información brindada por postulantes o trabajadores.
El objeto de la consulta fue, sobre si una empresa privada puede verificar la veracidad de los datos personales brindados por postulantes o trabajadores como parte de sus políticas internas de prevención del lavado de activos y financiamiento del terrorismo, sin necesidad de contar con su consentimiento.
¿Qué dice la ley?
La Ley 29733, Ley de Protección de Datos Personales, establece que toda recopilación y tratamiento de datos personales debe contar con el consentimiento del titular, salvo ciertas excepciones.
¿Cuándo sí se pueden verificar datos SIN consentimiento?
La DGTAIPD aclara que sí es posible contrastar la veracidad de datos personales usando fuentes accesibles al público, siempre que se cumplan los principios básicos del tratamiento de datos:
-
Legalidad: debe haber una norma o finalidad legítima.
-
Finalidad: el dato debe usarse solo para la razón por la cual fue recolectado (por ejemplo, una evaluación laboral).
-
Proporcionalidad: no se debe recolectar más información de la necesaria.
-
Seguridad: la empresa debe proteger los datos que consulta o almacena.
-
Transparencia: se debe informar al titular del tratamiento de datos personales, incluso si se usan fuentes públicas.
¿Qué fuentes públicas se pueden consultar?
Se permite la revisión de bases de datos y plataformas públicas como:
-
Reniec (registro de identidad)
-
Sunat (información tributaria)
-
OSCE o Contraloría (procesos administrativos)
-
Redes sociales (Facebook, LinkedIn, etc.)
-
Noticias en medios de comunicación
-
Listas internacionales (OFAC, INTERPOL)
Estas fuentes son de acceso libre y no requieren consentimiento si se usan con fines legítimos y proporcionales.
¿Cuándo no se puede hacer sin consentimiento?
No se puede verificar información confidencial sin autorización del titular. Esto incluye:
-
Antecedentes penales
-
Antecedentes policiales
-
Antecedentes judiciales
La DGTAIPD advierte que estos datos se consideran especialmente sensibles y su tratamiento sí exige autorización expresa del titular. Y solo pueden ser accedidos por las entidades públicas autorizadas o por terceros privados que cuenten con consentimiento válido.
Además, solicitar esta información sin base legal o sin consentimiento podría considerarse una infracción a la Ley de Protección de Datos Personales.
IV. CONCLUSIONES 1. Los datos contenidos en fuentes de acceso para el público deben utilizarse únicamente dentro del marco para el cual dicha fuente fue creada y coloca a disposición la información mencionada. En caso se requiera realizar tratamientos para finalidades distintas, deberá solicitarse el consentimiento del titular conforme a los artículos 5 y el 13.5 de la LPDP.
2. Los empleadores o potenciales empleadores pueden utilizar información obtenida de fuentes accesibles al público, como por ejemplo noticias publicadas en medios de comunicación o registros públicos, para validar la veracidad de la información declarada por los postulantes o trabajadores, sin necesidad de solicitar el consentimiento del titular del dato personal. No obstante, deberá respetar los demás principios y disposiciones de la LPDP.
3. Solo las autoridades públicas que se encuentran debidamente facultadas por ley son las únicas competentes para el tratamiento de datos personales relativos a la comisión de infracciones penales o administrativas, por lo que cualquier otra persona o entidad que pretenda acceder a los mismos se encuentra obligada a la obtención de consentimiento válido de sus titulares.
4. Por lo tanto, para acceder a información sobre antecedentes penales, policiales o judiciales, se debe solicitar la información directamente al titular del dato personal.
OPINIÓN CONSULTIVA N° 13-2025-DGTAIPD
ASUNTO: Consulta sobre tratamiento de datos personales para corroborar su veracidad REFERENCIA: Hoja de Trámite N°217028-2022MSC
FECHA: 11 de marzo de 2025
I. ANTECEDENTES
1. Mediante el documento de la referencia, se remitió a esta Dirección General la consulta respecto al tratamiento de datos personales de postulantes a una oferta laboral y trabajadores de una empresa, para efectos de corroborar su veracidad.
2. La consulta remitida fue la siguiente:
Como parte de una Política de Prevención de Lavado de Activos, una empresa que no está calificada como sujeto obligado según las normas de la SBS, decide implementar un Proceso de Debida Diligencia para corroborar la veracidad de los datos brindados por los postulantes a una oferta laboral y trabajadores de la empresa. Entonces, como parte de la debida diligencia, la empresa evalúa realizar las siguientes búsquedas de información y datos sobre los postulantes y trabajadores:
1. Búsqueda de denuncias públicas de carácter periodístico o en redes sociales, es decir, aquellas almacenadas en internet y/o plataformas digitales.
2. Búsqueda en registros de listas de sanciones internacionales la Oficina de Control de Bienes Extranjeros (OFAC), la Organización Internacional de la Policía Criminal (INTERPOL), en listas de control como las de la Organización de las Naciones Unidas (ONU), Iistas de terroristas de la Unión Europea, listas de países y Territorios No cooperantes.
3. Solicitar sin autorización del titular de los datos personales, su ficha RENIEC (por ejemplo, certificado de inscripción C4).
4. Solicitar sin autorización del titular de los datos personales, sus antecedentes penales, policiales y/o judiciales.
En base a lo anterior, agradeceré me confirmen sobre cada uno de los puntos anteriores, si la implementación de estas políticas se encuentra conforme con la Ley de Protección de Datos Personales.
Inscríbete aquí Más información
II. MARCO NORMATIVO DE ACTUACIÓN
3. El artículo 32 de la Ley N° 29733, Ley de Protección de Datos Personales (en adelante, la “LPDP”), crea la Autoridad Nacional de Protección de Datos Personales (en adelante, “ANPD”), que se rige por dicha ley, su reglamento y las normas pertinentes del Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, aprobado mediante Decreto Supremo N° 013-2017-JUS (en adelante, ROF del Minjus).
4. Entre las funciones de la ANPD, previstas en el artículo 33 de la LPDP, se encuentra la de absolver consultas sobre protección de datos personales y emitir opinión técnica respecto de los proyectos de normas que se refieran total o parcialmente a los datos personales, la cual es vinculante.
5. Por su parte, el ROF del Minjus, establece en su artículo 70 que la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (en adelante, la “DGTAIPD”) es el órgano de línea encargado de ejercer la ANPD, por lo que tiene entre sus funciones absolver consultas sobre protección de datos personales y emitir opinión técnica respecto de proyectos normativos que se refieran a los ámbitos de su competencia.
6. Por ende, esta Dirección General, en su calidad de órgano de línea del Ministerio de Justicia y Derechos Humanos sobre el que recae la ANPD, emite la presente Opinión Consultiva en el ámbito de la interpretación abstracta de las normas y no como mandato específico de conducta para un caso en concreto.
III. ANÁLISIS
A. Sobre el tratamiento de datos personales
7. De acuerdo con el artículo 1 de la LPDP, esta Ley tiene como objeto garantizar el derecho fundamental a la protección de los datos personales, previsto en el inciso 6 del artículo 2 de la Constitución Política del Perú3 , a través de su adecuado tratamiento, en un marco de respeto de los demás derechos fundamentales que en ella se reconocen.
8. El numeral 4 del artículo 2 de la LPDP define a los datos personales como “toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados.”
9. Asimismo, el Reglamento de la Ley de Protección de Datos Personales, aprobado a través del Decreto Supremo N° 003-2013-JUS (en adelante, el “Reglamento de la LPDP”), desarrolla – en su artículo 2, numeral 4 – la definición de datos personales, señalando que es “aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a las personas naturales que las identifica o las hace identificables a través de medios que puedan ser razonablemente utilizados.”
10. En cuanto al tratamiento de datos, este se encuentra definido en el numeral 19 del artículo 2 de la LPDP como “cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales”.
11. La LPDP establece los principios y disposiciones para el tratamiento de datos personales, aquellos que son de observancia obligatoria para todo titular de banco de datos personales4 y/o responsable de su tratamiento5 .
12. Entre los principios rectores para el tratamiento de datos personales, se encuentra el principio de consentimiento que, de acuerdo al artículo 5 de la LPDP, consiste en que “para el tratamiento de los datos personales debe mediar el consentimiento de su titular”. Asimismo, el numeral 5 del artículo 13 de la LPDP, señala que “los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto.”
13. Para que el consentimiento sea válido, este debe ser previo, libre, informado, expreso e inequívoco, conforme se encuentra definido en el artículo 12 del Reglamento de la LPDP.
[Continúa…]
Descargue el documento aquí
Inscríbete aquí Más información
