CONCLUSIONES. 1. La LPDP establece como principio rector del derecho a la protección de datos personales al principio del consentimiento, el mismo que puede ser otorgado de forma verbal o escrita.
2. La regla general para todo tratamiento de datos es contar con el consentimiento de manera informada, expresa e inequívoca; y tratándose de datos sensibles, de forma escrita. No obstante, existen supuestos de excepción que permiten usar y transferir los mismos como el recogido en el numeral 1 del artículo 14 de la LPDP que indica de forma expresa que no se requerirá del consentimiento del titular de datos personales cuando sus datos se recopilen o transfieran para el ejercicio de las funciones de las entidades públicas en el ámbito de sus competencias. Estas excepciones no exoneran al titular del banco de datos personales o al encargado/responsable de su tratamiento de la observancia de las demás obligaciones impuestas por la LPDP y su reglamento.
3. Esta Dirección General considera que las empresas de telecomunicaciones no necesitan el consentimiento del titular del dato para remitir cierto tipo de información solicitada a SUNAT, conforme lo señalado en el artículo 14 (numerales 1 y 13) y la Novena Disposición Complementaria Final, siempre que el requerimiento formulado por dicha autoridad administrativa (i) sea de carácter específico, respecto a algún contribuyente en particular o deudor tributario que esté siendo objeto de una investigación y/o fiscalización en materia fiscal y (ii) motive adecuadamente el requerimiento, incluyendo, además de las normas y/o mandato legal expreso que avale su requerimiento, el objeto y fines del mismo.
4. Los datos personales de los abonados y/o usuarios de la Operadora deben ser tratados como información confidencial, siendo que no podrán realizar un tratamiento de los mismos personales para finalidades distintas a las autorizadas por su titular, salvo orden judicial o mandato legal expreso. En el presente caso materia de consulta, se aprecia que la SUNAT estaría únicamente facultada para requerir los datos personales (solamente aquellos que resulte razonable recabar para la identificación del deudor tributario) respecto a deudores tributarios en el marco de un procedimiento de investigación y/o fiscalización.
OPINIÓN CONSULTIVA N° 37 -2020-JUS/DGTAIPD
ASUNTO: Requerimiento de información de SUNAT a empresas de telecomunicaciones para el ejercicio de sus facultades de fiscalización y control de cumplimiento de obligaciones tributarias.
REFERENCIA: a) Hoja de Trámite N° 39524-2019
b) Hoja de Trámite Nº 42611-2019
FECHA: 14 de agosto de 2020
I. ANTECEDENTES
1. A través del documento Hoja de Trámite N° 39524-2019, Entel Perú S.A. remitió a la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (en adelante, la “DGTAIPD”) la siguiente consulta:
• “El requerimiento de información realizado por la SUNAT referido a que se le remita la relación de líneas móviles activas y sus respectivos titulares, actualizada al ejercicio 2018, ¿se ajusta a las disposiciones de la Constitución Política del Estado y de la Ley?”
2. Mediante el documento 42611-2019MSC, América Móvil S.A.C. remitió a la DGTAIPD la siguiente consulta:
• Conforme a lo establecido por la Ley N° 29733 – Ley de Protección de Datos Personales y su Reglamento, aprobado por Decreto Supremo N° 003-2013-JUS, solicitamos nos precise la posición de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, respecto a si es factible atender lo solicitado por la SUNAT, consistente en la relación de líneas móviles activas, y sus respectivos titulares, actualizadas, ello con la finalidad de aplicar correctamente la normativa de la materia.
3. El requerimiento de información efectuado por la Superintendencia Nacional de Administración Aduanera y Tributaria (en adelante, la “SUNAT”) se evidencia mediante copias de las cartas N° 697-2019/SUNAT/7D0300 y Nº 699-2019/SUNAT/7D0300 dirigidas a América Movil S.A.C. y a Entel Perú S.A., mediante las cuales la Administración Tributaria les solicita la siguiente información, respecto a la relación de líneas móviles activas y sus respectivos titulares:
• Nombres y apellidos.
• Tipo y número de documento de identidad.
• Modalidad de la línea (prepago/postpago).
• Número de la línea móvil.
• Fecha de activación de la línea.
• Correo electrónico.
4. En sus cartas, la SUNAT ampara su requerimiento de información en los artículos 62 (numeral 3)[1] y 87 (numeral 6)[2] del T.U.O del Código Tributario, aprobado por Decreto Supremo N° 133-2013-EF. Asimismo, respecto a la Ley 29733, Ley de Protección de Protección de Datos Personales (en adelante, la “LPDP”) SUNAT precisó que (i) la Administración Tributaria no requiere el consentimiento del titular de datos personales según el artículo 14 de la LPDP; y que, (ii) la Novena Disposición Complementaria establece que lo dispuesto en la LPDP no debe interpretarse en detrimento de las facultades de la Administración Tributaria respecto a la información que obre y requiera para sus registros, o para el cumplimiento de sus funciones.
5. Mediante Oficio N° 1587-2019-JUS/DGTAIPD-DPDP, reiterado mediante Oficio N° 1933- 2019-JUS/DGTAIPD-DPDP de fecha 26 de julio de 2019, la Dirección de Protección de Datos Personales (en adelante, la “DPDP”) solicitó la siguiente información a la SUNAT:
5.1. ¿Cuál es el objeto de solicitar información de los titulares de las líneas móviles que comercializan?
5.2. ¿Qué tipo de información relacionada con la determinación de tributación, se extrae de elementos como el documento de identidad, nombres y apellidos, números de línea, modalidad de línea y correo electrónico de los titulares de las líneas móviles?
5.3. ¿Cuál es la finalidad de solicitar la mencionada información de los titulares de las líneas móviles?
5.4. ¿Qué usos le dan o proyectan dar a dicha información?
6. Mediante Oficio N° 61-2019-SUNAT/7A0000, notificado el 23 de diciembre de 2019, la SUNAT absolvió las consultas realizadas por la DPDP, señalando, principalmente, lo siguiente:
6.1. El objeto de solicitar información de los titulares de las líneas móviles es contar con la identificación de los individuos respecto de los cuales se han detectado operaciones que generan obligaciones tributarias y que no se encuentran registrados en el padrón de contribuyentes (RUC) o estándolo incumplen con las referidas obligaciones. Asimismo, adoptar acciones de contacto con los contribuyentes para el cumplimiento de sus obligaciones y ejercicio de sus derechos.
6.2. SUNAT mencionó que ha detectado transacciones comerciales realizadas a través de portales de comercio electrónico, las mismas que originan obligaciones tributarias para quienes las realizan. Para efectos de recaudación de tributos relacionados a dichas operaciones, es indispensable tener certeza sobre la identificación de tales sujetos y deudores tributarios, ya que en dichos portales sólo se les identifica por medio de números de líneas telefónicas y/o correo electrónico.
6.3. SUNAT señaló que corresponde devolver impuestos pagados en exceso o de manera indebida, siendo que habiendo devoluciones autorizadas no se ha podido entregar las mismas al contribuyente, al no contar con información suficiente para contactarlo.
6.4. Se ha detectado contribuyentes que no han comunicado el cambio de su domicilio fiscal, limitando con ello las actuaciones de la SUNAT.
6.5. Respecto a la segunda consulta de la DPDP, la SUNAT señaló que en virtud del artículo 59 del TUO del Código Tributario ésta debe identificar al deudor tributario. Asimismo, la SUNAT analiza a los contribuyentes en riesgo de incumplimiento, siendo necesario contar con:
• Documento de Identidad, así como nombres y apellidos que permitan identificar al sujeto que realiza transacciones electrónicas, siendo que la SUNAT cuenta sólo con el número de celular y las operadoras disponen de datos de identificación de los titulares de las líneas móviles.
• La modalidad de la línea (prepago o postpago) que permitirá elaborar un perfil de riesgo del sujeto que realiza transacciones en un portal de comercio electrónico. Este perfilamiento del deudor tributario permite a la SUNAT dirigir más eficientemente sus acciones para mejorar la recaudación según el riesgo de incumplimiento que presente cada contribuyente.
6.6. Respecto a la tercera consulta de la DPDP, la finalidad de solicitar la información es identificar plenamente a los deudores tributarios sujetos a fiscalización que deben cumplir con sus obligaciones tributarias. Así también, salvaguardar los derechos del contribuyente que permita comunicarle la existencia de crédito a favor, así como alertar la condición de domicilio fiscal.
6.7. Respecto a la cuarta consulta de la DPDP, la información será utilizada en acciones de control y fiscalización, en base a los artículos 62 y 87 del TUO del Código Tributario, para lo cual la Administración Tributaria puede emitir discrecionalmente mensajes, cartas induciendo a la regularización voluntaria del contribuyente, así como órdenes de fiscalización para determinación de deuda tributaria, conforme al Decreto Supremo 085-2007-EF que aprueba el Reglamento de Fiscalización de la SUNAT. También se realizarán acciones de comunicación a los contribuyentes mediante mensajes y/o alertas para la atención de obligaciones y derechos de los administrados.
7. Al verificarse que dichas solicitudes de información implican la transferencia de datos personales de usuarios y abonados, corresponde analizar la implicancia de la LPDP y su reglamento, aprobado por Decreto Supremo N° 003-2013-JUS (en adelante, el “RLPDP”).
II. MARCO NORMATIVO DE ACTUACIÓN
8. La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (en adelante, la “DGTAIPD”) es la encargada de ejercer la Autoridad Nacional de Transparencia y Acceso a la Información Pública (ANTAIP)[3] y la Autoridad Nacional de Protección de Datos Personales (en adelante, la “ANPD”)[4].
9. Entre sus funciones se encuentra absolver las consultas que las entidades o las personas jurídicas o naturales le formulen respecto a la aplicación de las normas de transparencia y acceso a la información pública, así como de la normativa sobre protección de datos personales.
10. En esa medida, esta Dirección General emite la presente Opinión Consultiva en el ámbito de la interpretación en abstracto de las normas y no como mandato específico de conducta para un caso en concreto.
III. ANÁLISIS
Respecto a la transferencia de datos personales a terceros
11. La LPDP tiene como objeto garantizar el derecho fundamental a la protección de datos personales, previsto en el artículo 2°, numeral 6, de la Constitución Política del Perú[5].
12. La LPDP define en el artículo 2, numeral 4, a los datos personales como “toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados”. En esa línea, el numeral 4 del artículo 2 del RLPDP define a los datos personales como: “Aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a las personas naturales que las identifica o hace identificables a través de medios que pueden ser razonablemente utilizados.”
13. Asimismo, la LPDP define como tratamiento de los datos personales, en el artículo 2, numeral 19, a “cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales”.
14. A su vez, el numeral 18 del artículo 2 de la LPDP conceptualiza la transferencia de datos a “toda transmisión, suministro o manifestación de datos personales, de carácter nacional o internacional, a una persona jurídica de derecho privado, a una entidad pública o a una persona natural distinta del titular de datos personales.”
15. Por lo tanto, la transferencia de datos personales a terceros constituye un tratamiento de datos personales, que debe realizarse de acuerdo a las disposiciones de la LPDP y su reglamento.
16. En ese sentido, en el marco de la consulta realizada, debemos enfatizar en el cumplimiento de los principios de consentimiento, proporcionalidad y finalidad.
17. Al respecto, de acuerdo con el principio de consentimiento establecido en el artículo 5 de la LPDP “para el tratamiento de los datos personales debe mediar el consentimiento de su titular”; por ello, en el artículo 13, numeral 13.5, se prevé que los datos personales sólo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto, siendo requisito que dicho consentimiento se otorgue de forma previa, informada, expresa e inequívoca. En el caso del tratamiento de datos sensibles, el artículo 13, numeral 6, de la LPDP, establece que dicho consentimiento, además, debe efectuarse por escrito.
18. No obstante, conforme al artículo 13, numeral 2, de la LPDP, “existen limitaciones al ejercicio del derecho fundamental a la protección de datos personales, las cuales solo pueden ser establecidas por ley, respetando su contenido esencial y estar justificadas en razón del respeto de otros derechos fundamentales o bienes constitucionalmente protegidos.”
19. De ese modo, el artículo 14 de la LPDP establece las circunstancias que constituyen excepciones a la obligación de solicitar el consentimiento al titular del dato personal. Sin embargo, dichas excepciones, no exoneran al titular del banco de datos personales o responsable del tratamiento del cumplimiento de los demás principios y obligaciones establecidas en la LPDP y su reglamento.
20. Por lo tanto, siempre se debe tener presente el principio de proporcionalidad, recogido en la LPDP, artículo 7, el cual señala que “todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.”
21. Por lo tanto, para realizar transferencia de datos personales, en primer lugar, se debe verificar si dicho tratamiento se encuentra dentro de las excepciones a la obligación de solicitar el consentimiento del titular de datos personales[6], de lo contrario, corresponde solicitar dicho consentimiento, de forma previa, expresa, informada y libre. De encontrarse dentro de dichas excepciones, la transferencia de datos personales deberá cumplir con los demás principios establecidos en la LPDP y su reglamento, tales como el principio de proporcionalidad.
[Continúa…]
Descargue la opinión aquí
[1] Numeral 3 del artículo 62 del TUO del Código Tributario:
“Artículo 62.- FACULTAD DE FISCALIZACIÓN
La facultad de fiscalización de la Administración Tributaria se ejerce en forma discrecional, de acuerdo a lo establecido en el último párrafo de la Norma IV del Título Preliminar.
El ejercicio de la función fiscalizadora incluye la inspección, investigación y el control del cumplimiento de obligaciones tributarias, incluso de aquellos sujetos que gocen de inafectación, exoneración o beneficios tributarios. Para tal efecto, dispone de las siguientes facultades discrecionales:
(…)
3. Requerir a terceros informaciones y exhibición y/o presentación de sus libros, registros, documentos, emisión y uso de tarjetas de crédito o afines y correspondencia comercial relacionada con hechos que determinen tributación, en la forma y condiciones solicitadas, para lo cual la Administración Tributaria deberá otorgar un plazo que no podrá ser menor de tres (3) días hábiles.
Esta facultad incluye la de requerir la información destinada a identificar a los clientes o consumidores del tercero.
(…)”
[2] Numeral 6 del artículo 87 del TUO del Código Tributario:
“Artículo 87.- OBLIGACIONES DE LOS ADMINISTRADOS
Los administrados están obligados a facilitar las labores de fiscalización y determinación que realice la Administración Tributaria, incluidas aquellas labores que la SUNAT realice para prestar y solicitar asistencia administrativa mutua en materia tributaria, y en especial deben:
(…)
6. Proporcionar a la Administración Tributaria la información que ésta requiera, o la que ordenen las normas tributarias, sobre las actividades del deudor tributario o de terceros con los que guarden relación, de acuerdo a la forma, plazos y condiciones establecidas.
(…)”
[3] Decreto Legislativo N° 1353, que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el régimen de protección de datos personales y la regulación de gestión de intereses (publicado el 07 de enero de 2017; Decreto Supremo N° 013-2017-JUS, que aprueba el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos (publicado el 22 de junio de 2017); y Decreto Supremo N° 019-2017-JUS, que aprueba el Reglamento del Decreto Legislativo N° 1353 (publicado el 15 de setiembre de 2017).
[4] Ley N° 29733, Ley de Protección de Datos Personales, artículo 32.
[5] Artículo 2. de la Constitución Política del Perú- Derechos fundamentales de la persona
“Toda persona tiene derecho:
(…)
6. A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar
(…)”
[6] La LPDP, artículo 2, numeral 16, define al Titular de datos personales como la “Persona natural a quien corresponde los datos personales.”
