Conclusiones: 1. Para la recopilación de datos a través de sistemas de videovigilancia debe de cumplirse con el deber de informar de forma previa sobre las características del tratamiento de datos, conforme lo señalado en el artículo 18 de la LPDP.
2. Dadas las particularidades del tratamiento de datos a través de sistemas de videovigilancia, conforme a la Directiva N° 01-2020-JUS/DGTAIPD para el “Tratamiento de Datos Personales mediante Sistemas de Videovigilancia”, se cumple con informar si se coloca un cartel informativo en los accesos a los espacios videovigilados, que a su vez indique dónde encontrar la información que no pudo colocarse en el cartel, siguiendo las especificaciones señaladas en la Directiva.
3. La videovigilancia con fines de control laboral debe realizarse solo cuando sea proporcional a la finalidad, así como también debe de ser informada al trabajador de forma previa.
4. En los casos de videovigilancia laboral, si el espacio no permite colocar el cartel, como por ejemplo lo sistemas de videovigilancia de actividades al aire libre a través de drones, podrá informarse a los trabajadores a través de otro medio.
5. En el caso de la videovigilancia al interior de vehículos corporativos que permiten transportar a personas, tales como trabajadores que no estén a cargo del vehículo o a personas externas al centro laboral, se debe colocar el cartel informativo al interior del mismo, teniendo en cuenta la dimensión del espacio, el cual debe indicar dónde encontrar el aviso o informativo adicional.
6. No cumplir con el deber de informar sobre el tratamiento de datos personales de forma previa a la recopilación se sanciona con una multa entre más de cinco unidades impositivas tributarias (UIT) hasta cincuenta unidades impositivas tributarias (UIT), al ser una infracción grave.
OPINIÓN CONSULTIVA N° 045-2021-JUS/DGTAIPD
ASUNTO: Cumplimiento del deber de informar sobre el tratamiento de datos a través de sistemas de videovigilancia con fines de control laboral
REFERENCIA: Hoja de Trámite Nro. 085675-2020MSC
FECHA: 11 de noviembre de 2021
I. ANTECEDENTES
1. Mediante el documento de la referencia se solicita a la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (DGTAIPD) precise el alcance de la Directiva Nro. 01-2020-JUS/DGTAIPD, referida al tratamiento de datos personales mediante sistemas de videovigilancia, en lo que respecta a las facultades de control del empleador sobre sus trabajadores utilizando esta herramienta cuando estos últimos prestan sus servicios en vehículos de titularidad corporativa, formulando las siguientes preguntas:
a. ¿En los casos de videovigilancia laboral en vehículos, cuyo espacio es reducido, se cumple con el deber de informar si únicamente se informa al trabajador a través de visos informativos, con lo cual no es necesario el uso del cartel informativo?
b. ¿Cuáles son las infracciones y sanciones que se imponen por el incumplimiento a las disposiciones de la Directiva sobre Videovigilancia?
II. MARCO NORMATIVO DE ACTUACIÓN
2. La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (en adelante, la DGTAIPD) es la encargada de ejercer la Autoridad Nacional de Transparencia y Acceso a la Información Pública (ANTAIP)[1] y la Autoridad
Nacional de Protección de Datos Personales (en adelante, la ANPD)[2].
3. Entre sus funciones se encuentra absolver las consultas que las entidades o las personas jurídicas o naturales le formulen respecto a la aplicación de las normas de transparencia y acceso a la información pública, así como de la normativa sobre protección de datos personales.
4. En esa medida, esta Dirección General emite la presente Opinión Consultiva en el ámbito de la interpretación en abstracto de las normas y no como mandato específico de conducta para un caso en concreto.
III. ANÁLISIS
A. Sobre el deber de informar respecto al tratamiento de datos personales
5. La Constitución Política del Perú establece en el artículo 2, numeral 6, que toda persona tiene derecho “a que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar”, es decir, toda persona tiene derecho a la autodeterminación informativa, y por lo tanto a la protección de sus datos personales.
6. El Tribunal Constitucional, máximo intérprete de la Constitución Política del Perú, ha definido el derecho a la autodeterminación informativa en la STC 04739-2007-PHD/TC (fundamento 2-4) de la siguiente forma:“[e]l derecho a la autodeterminación informativa consiste en la serie de facultades que tiene toda persona para ejercer control sobre la información personal que le concierne, contenida en registros ya sean públicos, privados o informáticos, a fin de enfrentar las posibles extralimitaciones de los mismos. Se encuentra estrechamente ligado a un control sobre la información, como una autodeterminación de la vida íntima, de la esfera personal. Mediante la autodeterminación informativa se busca proteger a la persona en sí misma, no únicamente en los derechos que conciernen a su esfera personalísima, sino a la persona en la totalidad de ámbitos; por tanto, no puede identificarse con el derecho a la intimidad, personal o familiar, ya que mientras éste protege el derecho a la vida privada, el derecho a la autodeterminación informativa busca garantizar la facultad de todo individuo de poder preservarla ejerciendo un control en el registro, uso y revelación de los datos que le conciernen (…). En este orden de ideas, el derecho a la autodeterminación informativa protege al titular del mismo frente a posibles abusos o riesgos derivados de la utilización de los datos, brindando al titular afectado la posibilidad de lograr la exclusión de los datos que considera “sensibles” y que no deben ser objeto de difusión ni de registro; así como le otorga la facultad de poder oponerse a la transmisión y difusión de los mismos”.
7. En esa línea, no se puede ejercer un control efectivo de la información personal sin que se conozca cómo se van a utilizar los datos recopilados, qué tratamiento se les va a dar, con quiénes se va a compartir.
8. La Ley N° 29733, Ley de Protección de Datos Personales (LPDP), tiene como objeto, conforme el artículo 1 “garantizar el derecho fundamental a la protección de los datos personales, previsto en el artículo 2 numeral 6 de la Constitución Política del Perú, a través de su adecuado tratamiento, en un marco de respeto de los demás derechos fundamentales que en ella se reconocen.”
9. Para ello, entre otras disposiciones, señala en el Título III los derechos que tiene el titular del dato personal para poder ejercer control sobre su información personal:
• Derecho de información del titular de datos personales (artículo 18 de la LPDP).
• Derecho de acceso del titular de datos personales (artículo 19 de la LPDP).
• Derecho de actualización, inclusión, rectificación y supresión (artículo 20 de la LPDP).
• Derecho a impedir el suministro (artículo 21 de la LPDP).
• Derecho de oposición (artículo 22 de la LPDP).
• Derecho al tratamiento objetivo (artículo 22 de la LPDP).
10. Los citados derechos no se ejercen de la misma manera, puesto que mientras el derecho de acceso, actualización, inclusión, rectificación, supresión, impedimento de suministro y oposición requieren de una solicitud del titular del dato personal; el derecho de información y el derecho al tratamiento objetivo no requieren necesariamente de la solicitud del titular, sino que el solo hecho de no otorgarlos ya genera una vulneración al bien jurídico protegido.
11. El artículo 18 de la LPDP recoge el deber-derecho de informar de forma previa al titular del dato personal sobre el tratamiento que se realizará sobre sus datos personales:
“Artículo 18. Derecho de información del titular de datos personales. –
El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del o de los encargados del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello.
Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables.
(…)” (el subrayado es nuestro)
12. De la norma citada se desprende que los titulares de los datos personales tienen derecho a ser informados sobre el tratamiento que se realizará a su información personal, debiendo pormenorizarse sobre factores como la identidad y domicilio del titular del banco de datos, la finalidad de la recopilación, los datos personales de obligatoria entrega para efectuar el tratamiento, las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo, la transferencia y destinatarios de los datos personales, el banco de datos en donde se almacenarán los datos personales, el tiempo de conservación de los datos personales y el procedimiento para el ejercicio de los derechos señalados en el Título III de la LPDP.
13. El artículo 18 de la LPDP presenta una obligación que debe cumplir el titular del banco de datos personales[3] o responsable del tratamiento[4], tanto en aquellos casos que se encuentre obligado a solicitar el consentimiento del titular del dato personal, de acuerdo al artículo 5 de la LPDP, como en aquellos en los que no se requiere el consentimiento por existir otra circunstancia de legitimación que exceptúe de tal obligación, de acuerdo al artículo 14 de la LPDP.
14. Es preciso mencionar que el artículo 14 de la LPDP solo exonera al titular del banco de datos personales de la obligación de solicitar el consentimiento, por lo que debe de cumplir con las demás disposiciones, entre ellas, con el deber de informar.
15. Asimismo, es necesario enfatizar en que para considerarse que se ha protegido el derecho de información, lo detallado en el artículo 18 de la LPDP debe informarse de modo previo al tratamiento de datos, es decir, no se necesita observar una solicitud del titular del dato personal; lo contrario, significaría la configuración de un impedimento para el ejercicio efectivo del derecho.
16. Sin embargo, lo dicho no implica que el titular del dato personal no pueda solicitar información de forma posterior a la recopilación de sus datos personales respecto a la información señalada en el artículo 18. En ese sentido, el artículo 60 del Reglamento de la LPDP establece los mecanismos para que el titular del dato puede requerir dicha información en cualquier momento:
“Artículo 60.- Derecho a la información.
El titular de datos personales tiene derecho, en vía de acceso, a que se le brinde toda la información señalada en el artículo 18 de la Ley y el numeral 4 del artículo 12 del presente reglamento.
La respuesta contendrá los extremos previstos en los artículos citados en el párrafo anterior, salvo que el titular haya solicitado la información referida sólo a alguno de ellos.
Será de aplicación para la respuesta al ejercicio del derecho a la información, en lo que fuere pertinente, lo establecido en los artículos 62 y 63 del presente reglamento.”
17. La sola recopilación de datos sin el cumplimiento de informar lo señalado en el artículo 18 de la LPDP vulnera el bien jurídico protegido, puesto que no permite al titular del dato conocer cómo van a utilizar su información, y por lo tanto impiden el control sobre sus datos personales.
18. Dicho incumplimiento es considerado una infracción grave, en los términos del artículo 132, numeral 2, literal a), del Reglamento de la LPDP; a saber: “a) No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales de acuerdo a lo establecido en el Título III de la Ley Nº 29733 y su Reglamento”, que, de acuerdo al artículo 39 de la LPDP, se sanciona con una multa entre más de cinco a cincuenta unidades impositivas tributarias.
B. Cumplimiento del deber de informar respecto al tratamiento de datos a través de sistemas de videovigilancia
19. El deber de informar debe cumplirse de forma previa al tratamiento de datos. Al respecto, la LPDP, artículo 2, numeral 19, define tratamiento de datos personales como
“Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales”.
20. La videovigilancia es un tratamiento de datos, puesto que consiste en el monitoreo y captación de imágenes, videos o audios, que pueden ser almacenados a través de su grabación. Por lo tanto, de presentarse, debe ser informada a los titulares de datos.
21. Sin embargo, dadas las particularidades del tratamiento de datos realizado a través de sistemas de videovigilancia, la ANPD aprobó la Directiva N° 01-2020-JUS/DGTAIPD para el “Tratamiento de Datos Personales Mediante Sistemas de Videovigilancia, a través de
la Resolución Directoral Nro. 02-2020-JUS/DGTAIPD.
22. Atendiendo a lo establecido en el numeral 19 del artículo 2 de la LPDP, la Directiva Nro. 01-2020-JUS/DGTAIP define el tratamiento de datos personales a través de sistemas de videovigilancia, como “cualquier operación o procedimiento técnico automatizado o no, que permita la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de la imagen o voz captados por medio de un sistema de cámaras fijas o móviles ya sea en tiempo real o en visualización de grabaciones de imágenes, vídeos o audios”.
[Continúa…]
Descargue la opinión aquí
[1] Decreto Legislativo Nro. 1353, que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el régimen de protección de datos personales y la regulación de gestión de intereses (publicado el 07 de enero de 2017; Decreto Supremo Nro. 013-2017-JUS, que aprueba el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos (publicado el 22 de junio de 2017); y Decreto Supremo Nro. 019-2017-JUS, que aprueba el Reglamento del Decreto Legislativo Nro. 1353
(publicado el 15 de setiembre de 2017).
[2] Ley Nro. 29733, Ley de Protección de Datos Personales, artículo 32.
[3] La LPDP, artículo 2, numeral 17 define al Titular del banco de datos personales como “Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad.”
[4] El Reglamento de la LPDP, artículo 2, numeral 14 define al Responsable del tratamiento como “Es aquél que decide sobre el tratamiento de datos personales, aun cuando no se encuentren en un banco de datos personales.”