La Ley de protección de datos personales protege un derecho fundamental de las personas buscando controlar y/o regular su información personal, garantizando la seguridad y el uso adecuado. Así, el 30 de noviembre del año 2024, se aprueba el su reglamento a través del Decreto Supremo N.° 016- 2024-JUS, cuya vigencia inicia el 30 de marzo del presente año 2025, resaltando las implicancias más importantes como la implementación de la portabilidad de datos y la creación de la figura de Oficial de Protección de Datos. Por lo tanto, el Poder Judicial ha realizado modificaciones trascendentales en el sistema de búsqueda de expedientes judiciales (CEJ) al requerir un mecanismo de autenticación y/o identificación que impida el acceso a información o datos personales por parte de personas no autorizadas; no obstante, es menester resaltar que las actuaciones judiciales son públicas, siempre que cumpla los requisitos legales y/o restricciones que la ley ampara.
Autor: Jhon Pari Maquera
El presente articulo jurídico está enfocado en analizar la repercusión en el sistema de búsqueda de expedientes judiciales, que se generó a raíz de la aprobación del nuevo Reglamento de la Ley 297333 – Ley de Protección de Datos Personales, la misma que ha sido publicado en el 2024; producto del cambio, se ha actualizado las medidas de seguridad, criterios de conservación y reglas sobre acceso a datos personales de titulares, repercutiendo en los cambios en el sistema de búsqueda de expedientes judiciales, también conocido como “CEJ – Consulta de Expedientes Judiciales”, generando algunas restricciones y medidas de seguridad adicionales con el fin de prevenir accesos no autorizados y proteger datos sensibles contenidos en los expedientes judiciales.
En cuanto el marco normativo de la Ley de Protección de Datos Personales – Ley 29733, tiene como objetivo proteger el derecho fundamental a la privacidad mediante el tratamiento adecuado de los datos personales que albergan las entidades públicas y privadas, estableciéndose principios rectores tales como legalidad, consentimiento, finalidad, proporcionalidad, seguridad, entre otros , cuyo tratamiento se realiza en estricto respeto a los derechos fundamentales.
Ahora, desde el 31 marzo del 2025 que entró en vigor el nuevo Reglamento de la Ley de Protección de Datos Personales, que fue aprobado mediante Decreto Supremo 016-2024-JUS, publicado el 30 de noviembre del 2024, se ha realizado ciertas implementaciones que refuerzan las medidas de seguridad, adoptando estándares internacionales como la ISO/IEC 27001 para el tratamiento seguro de datos, e introduciendo la obligatoriedad en la notificación a la Autoridad Nacional de Protección de Datos Personales, sobre las incidencias de seguridad. Además, de requerir a las entidades públicas y/o privadas de designar a un “Oficial de Datos Personales” especialmente cuando exista gran cantidad de datos o datos sensibles como tal.
Es así que, el Poder Judicial ha establecido nuevos lineamientos de búsqueda en el sistema de expedientes judiciales, exigiendo mecanismos de autenticación o identificación para prevenir accesos no autorizados a datos personales en la plataforma de Consulta de Expedientes Judiciales, es decir, ya no basta con el llenado del formulario básico para la búsqueda de un expediente judicial, ahora se restringe el acceso indiscriminado para proteger la privacidad de las partes procesales.
Inscríbete aquí Más información
Por lo cual, al reforzarse la protección de datos se establece limitaciones a la publicidad de los expedientes judiciales, pudiendo intensificarse los criterios para decidir qué parte de un expediente judicial son publicables y cuáles deben estar restringidos, por ejemplo, los datos sensibles de direcciones, identidad de menores, detalles íntimos, no podrán mostrarse públicamente o al menos mostrarse en anónimo.
Por otro lado, a consecuencia de la modificatoria, se ha generado una tensión entre el principio de publicidad judicial y el derecho a la privacidad; no obstante, al adoptarse un criterio proporcional, permite el escrutinio de la búsqueda de expedientes judiciales y, a la vez, protege los datos sensibles de la privacidad. Es decir, las partes procesales podrán efectivizar las búsquedas en el sistema de expedientes judiciales, llenando un campo obligatorio “apellido o razón social” más allá de contar con el número de expediente.
Asimismo, la modificación del Reglamento de la Ley de Protección de Datos Personales ha implementado nuevas infracciones (leves, graves y muy graves) por el incumplimiento de obligaciones, las que abordaremos a continuación :
1. “Infracciones Leves”, conforme se encuentra regulado en el artículo 132°, Capitulo V del Reglamento de la Ley de Protección de Datos Personales, en síntesis, lo que buscan es corregir desviaciones menores respecto del cumplimiento normativo, incentivando que las organizaciones adopten una cultura interna de respeto a los datos personales, es así que, la finalidad no es punitiva en sentido estricto, sino pedagógica y disuasiva, orientada a prevenir infracciones graves o muy graves derivadas de malas prácticas sistemáticas. Por lo cual, podríamos sintetizar la evaluación de riesgo sobre el titular en cuanto a una infracción leve, por ejemplo:
– Cuando no se revela datos sensibles.
– No expone información de menores de edad
– No compromete la integridad, seguridad o reputación del titular.
– No genera daños económicos o discriminación.
Es decir, se evalúa la probabilidad y el impacto del daño a ocasionar, no obstante, no deben verse como simples faltas menores, sino como indicadores tempranos de la madurez del cumplimiento normativo en las organizaciones, dicho en otras palabras, su interpretación requiere equilibrio, sancionar conductas que revelan desorden administrativo, pero sin equipararlas a riesgos reales para la intimidad o seguridad de los titulares.
2. Ahora, respecto a las “Infracciones Graves”, debemos tener en cuenta que ocurren cuando se incumple un principio esencial del tratamiento, es decir, el principio de finalidad, proporcionalidad, consentimiento, seguridad y/o entre otro, de manera que compromete derechos del titular o genere un riesgo significativo. Por ejemplo, el hecho de usar datos para fines no previstos y/o exigir datos excesivos para un trámite, nos encontraríamos ante infracciones de este tipo.
Asimismo, podríamos utilizar ciertos criterios que ayudarán a identificar cuándo es que nos encontraríamos en una infracción grave:
– Cuando exista un riesgo real o potencial para los titulares.
– Volumen de datos afectados.
– Naturaleza de los datos que sean sensibles y/o de mayor gravedad.
– Intencionalidad o negligencia
Es decir, no requieren necesariamente la consumación del daño; basta la creación de un riesgo sustancial para la privacidad. En consecuencia, la interpretación de la norma debe ser funcional y orientada a la protección efectiva del titular, entendiendo lo grave como la afectación estructural del control que la persona tiene sobre sus datos, así como la vulneración de obligaciones esenciales del régimen de protección.
3. Finalmente, las Infracciones Muy Graves en la Ley de Protección de Datos Personales representan un nivel mas alto de reprocho en el sistema sancionador de la propia ley; se configuran cuando la conducta del responsable del tratamiento, compromete de manera intensa, estructural o irreparable del derecho fundamental a la autodeterminación informativa; o cuando se vulneran obligaciones nucleares destinadas a garantizar la seguridad jurídica, la transparencia y la confianza en el tratamiento de datos.
A diferencia de las infracciones graves, las muy graves afectan no solo la esfera del titular, sino también la integridad del sistema de protección en su conjunto; por lo cual, ante un hipotético escenario de incumplimiento se configuraría en lo siguiente:
– Compromete datos especialmente sensibles.
– Afectación a un número significativo de titulares.
– Genera consecuencias jurídicas o económicas graves.
– Evidencia a un patrón de incumplimiento institucional.
Es decir, la gravedad como tal, radica en la dimensión de la afectación y no se trataría de un error aislado, sino de una quiebra del diseño organizacional o de una conducta dolosa y/o temerariamente negligente.
Ahora, respecto los criterios de graduación sobre las sanciones que establece el Reglamento de la Ley de Protección de Datos Personales , permiten individualizar la sanción en función del caso concreto y garantiza el equilibrio entre la sanción y afectación, por lo tanto, entre los principales destacan la intencionalidad o negligencia del infractor, el numero de titulares afectados, la sensibilidad de los datos sometidos a tratamiento, la magnitud del perjuicio generado, conducta obstructiva durante el procedimiento administrativo, beneficio ilícito obtenido por el tratamiento irregular, la reincidencia , capacidad económica del infractor, entre otros. En tal sentido, la aplicación de las sanciones se torna en base a estos criterios que convierte al régimen sancionador en un sistema flexible y adaptado a la realidad, evitando sanciones automáticas que podrías resultar desproporcionadas.
Finalmente, podemos concluir que, conforme a la modificación del Reglamento de la Ley N° 29733, se ha marcado un punto de inflexión en la gestión de datos personales en el ámbito público peruano, particularmente en el Poder Judicial.
Y esto, a razón de los recientes cambios del sistema de búsquedas de expedientes judiciales – CEJ que muestran que, sin lineamientos claros, la balanza puede inclinarse hacia restricciones excesivas que comprometan la transparencia judicial, dicho de otro modo, la elección no radica entre la privacidad o publicidad, sino en establecer mecanismos que permitan una publicidad razonable y protección efectiva de las personas.
* Autor: Jhon Pari Maquera
[1] Ley 29733 – Ley de Protección de Datos Personales
[2] Decreto Supremo 016-2024-JUS
[3] Capitulo IV del Reglamento de la Ley de Proteccion de Datos Personales
