La Autoridad Nacional de Protección de Datos Personales, impuso una sanción de 3 UIT (Unidad Impositiva Tributaria), equivalente a 13 800 soles a la empresa de taxi Beat Perú S.A. por haber infringido la Ley de Protección de Datos Personales (LPDP) y su reglamento al hacer un mal uso de los datos personales de conductores y pasajeros para realizar ofertas de publicidad.
Autoridad Nacional de Protección de Datos Personales
Resolución Directoral N.º 17-2022-JUS/DGTAIPD
Lima, 23 de marzo de 2022
EXPEDIENTE N.°: 105-2019-JUS/DGTAIPD-PAS.
ADMINISTRADA: BEAT PERÚ S.A. (antes Taxibeat S.A.)
MATERIAS: Caducidad, consentimiento, cálculo de la multa
VISTOS: El documento de 11 de febrero de 2021, el cual contiene el recurso de apelación contra la Resolución Directoral N.º 85-2021-JUS/DGTAIPD-DPDP de 25 de enero de 2021; y, los demás actuados en el Expediente N.º 105-2019-JUS/DGTAIPD-PAS.
CONSIDERANDO:
I. ANTECEDENTES
1. Mediante Orden de Visita de Fiscalización N.° 011-2017-JUS/DGTAIPD-DFI de 14 de agosto de 2017, la Dirección de Fiscalización e Instrucción (en adelante, DFI) dispuso la realización de una visita de fiscalización a Taxibeat Perú S.A. (en adelante, la administrada) con la finalidad de supervisar si realizaba tratamiento de datos personales de acuerdo con las disposiciones de la Ley de Protección de Datos Personales (en adelante, LPDP) y su Reglamento, aprobado por Decreto Supremo N.° 003-2013-JUS (en adelante, el Reglamento de la LPDP). Dicha visita de fiscalización se realizó el 14 de agosto de 2017, registrando sus hallazgos en las Actas de Fiscalización N.° 01 y 02-2017-DFI.
2. Mediante Oficio N.° 316-2017-JUS/DGTAIPD–DFI de 29 de diciembre de 2017, la DFI remite a BEAT el Proveído N.° 1 de 22 de diciembre de 2017 en el que se resuelve ampliar el plazo de la fiscalización por veinticinco días hábiles contados desde el 26 de diciembre de 2017.
3. El 1 de febrero de 2018 se puso en conocimiento de la directora de la DFI el resultado de la fiscalización realizada a dicha entidad por medio del Informe de Fiscalización N.° 38-2018-JUS/DGTAIPD-DFI-KAT, adjuntando las actas de fiscalización, así como los demás anexos y documentos que conforman el respectivo expediente administrativo.
4. Mediante la Resolución Directoral N.° 94-2018-JUS/DGTAIPD-DFI de 21 de junio de 2018, la DFI resolvió iniciar procedimiento administrativo sancionador a la administrada, por la presunta comisión de las siguientes infracciones:
(i) Realizar tratamiento de los datos personales de los usuarios de la aplicación móvil “Beat” (conductores y pasajeros) para finalidades distintas a la ejecución contractual, sin recabar válidamente el consentimiento, utilizando una fórmula inválida para ello en el “Contrato de Usuario-Conductor para la aplicación Beat” y las “Condiciones Generales para el Uso de la Aplicación ‘Beat’ por Usuarios Pasajeros”, que carecen del requisito de ser libre; con lo cual se configuraría la infracción leve prevista en el literal a) del numeral 1 del artículo 38 de la Ley N.° 29733, en su redacción anterior al 16 de septiembre de 2017, esto es, “dar tratamiento a datos personales sin recabar el consentimiento de sus titulares, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley”.
(ii) No haber comunicado al Registro Nacional de Protección de Datos Personales la realización de flujo transfronterizo de los datos personales recopilados a través de los formularios Get in Touch y “Centro de Ayuda” de la página web http://taxibeat.com.pe, teniendo su servidor de datos en los Estados Unidos de América, incumpliendo lo dispuesto en los artículos 26 y 77 del Reglamento de la LPDP; con lo cual se configuraría la infracción leve tipificada en el literal e) del numeral 1 del artículo 132 de dicho reglamento, esto es, “no inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley”.
5. Dicha Resolución Directoral fue notificada a la administrada el 26 de junio de 2018, a través del Oficio N.° 418-2017-JUS/DGTAIPD-DFI, quien mediante Hoja de Trámite N.° 45171-2018 de 8 de julio de 2018 presenta sus descargos.
6. Por medio de la Resolución Directoral N.º 150-2018-JUS/DGTAIPD-DFI y el Informe N.º 082-2018-JUS/DGTAIPD-DFI, notificados el 1 de octubre de 2018 a la administrada, la DFI cierra la etapa instructiva del presente procedimiento administrativo sancionador, recomendando lo siguiente:
(i) Imponer una multa ascendente a 3.5 UIT a la administrada por la infracción leve tipificada en el literal a. del numeral 1 del artículo 38 de la LPDP, en su redacción anterior al 16 de septiembre de 2017, esto es, “dar tratamiento a datos personales sin recabar el consentimiento de sus titulares, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley”.
(ii) Imponer una multa ascendente a 2,5 UIT a la administrada por la infracción leve esto es, “no inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley”.
7. Con Hoja de Trámite N.° 63569-2018 de 6 de noviembre de 2018, la administrada presenta descargos y, entre otros argumentos, impugnó la Resolución Directoral N.° 150-2018-JUS/DGTAIPD-DFI alegando la nulidad de las actuaciones de fiscalización.
8. Por ello, mediante el Oficio N.° 2302-2018-JUS/DGTAIPD-DPDP, se remitió el expediente a la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (en adelante, la DGTAIPD).
9. Por medio de la Resolución Directoral N.° 90-2018-JUS/DGTAIPD de 11 de diciembre de 2018, la DGTAIPD declaró improcedente la nulidad formulada por la administrada.
10. Con Resolución Directoral N.° 539-2019-JUS/DGTAIPD-DPDP de 12 de marzo de 2019, la DPDP resuelve sancionar a BEAT PERU S.A. -antes TAXIBEAT PERU S.A.- por las infracciones imputadas imponiendo una sanción de 3 UITs por la imputación N.° 1 y de 0.5 UITs por la imputación N.° 2, la misma que fue notificada el 12 de abril de 2019 mediante Oficio N.° 703-2019-JUS/DGTAIPD-DPDP.
11. El 23 de abril de 2019, por escrito ingresado con Hoja de Trámite N.° 28040-2019MSC, la administrada presentó recurso de apelación contra la Resolución Directoral N.° 539- 2019-JUS/DGTAIPD-DPDP de 12 de marzo de 2019. 12. Mediante Resolución Directoral N.° 37-2019-JUS/DGTAIPD de 27 de mayo de 2019, la DGTAIPD resuelve declarar la caducidad del procedimiento sancionador iniciado contra BEAT PERU S.A. -antes TAXIBEAT PERU S.A.-, y recomienda a la DFI que, en el caso que la infracción no haya prescrito, evaluar el inicio de un nuevo procedimiento administrativo sancionador. Dicha resolución le fue notificada a la administrada el 12 de junio de 2019, por Oficio N.° 528-2019-JUS/DGTAIPD.
13. Mediante Proveído de 23 de enero de 2020, la DFI solicitó al Analista de Fiscalización en Seguridad de la Información verificar si las APP móviles “BEAT CONDUCTOR” y “BEAT – PASAJERO” de la empresa BEAT PERU S.A. -antes TAXIBEAT PERÚ S.A.- se encuentran activos, de ser así constatar la existencia de los documentos “Política de Privacidad y condiciones del servicio”, “Términos de uso y privacidad”, respectivamente, publicados en los referidos aplicativos y comprobar si realiza flujo transfronterizo, a fin de determinar el cumplimiento de la LPDP y su reglamento.
14. Con Informe Técnico N.° 26-2020-DFI-VARS, se dejó constancia de los hallazgos encontrados el 27 de enero de 2020 en las APP móvil “BEAT – CONDUCTOR” y “BEAT – PASAJERO” y la verificación de la existencia de los documentos “políticas de privacidad y condiciones de servicios” y “términos de uso de privacidad”, respectivamente, publicados en los referidos aplicativos.
15. Por medio de la Resolución Directoral N.° 26-2020-JUS/DGTAIPD-DFI de 25 de febrero de 2020, la DFI resolvió iniciar procedimiento sancionador a la administrada, por la presunta comisión de:
(i) Realizar tratamiento de los datos personales de los usuarios de la aplicación móvil “Beat” (conductor y pasajero) para finalidades no vinculadas a la ejecución de la relación contractual, sin recabar válidamente el consentimiento por utilizar una fórmula de consentimiento inválida, dado que carece de los requisitos de ser libre e informado, conforme a lo establecido en el artículo 12 del reglamento de la LPDP; tipificada como infracción leve conforme a lo establecido en el literal a, numeral 1, del artículo 38 del reglamento de la LPDP: “Dar tratamiento de datos personales sin el consentimiento de sus titulares, cuando el mismo sea necesario conforme a lo dispuesto en esta ley”.
(ii) No haber cumplido con comunicar la realización de flujo transfronterizo de los datos personales recopilados en el sitio web https://thebeat.co/pe/?intl=1, debido que el servidor físico que aloja la información se ubica en Estados Unidos de América. Obligación establecida en el artículo 26 del reglamento de la LPDP; tipificada en el literal e), numeral 1, del artículo 132 del reglamento de la LPDP: “No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley”.
16. El 10 de marzo de 2020, con el Oficio N.° 274-2020-JUS/DGTAIPD-DFI, se notificó la RD de Inicio a la administrada y mediante escrito ingresado con Hoja de Trámite N.° 17042-2020MSC de 13 de abril de 2020, la administrada presenta sus descargos. 17. Con Resolución Directoral N.° 93-2020-JUS/DGTAIPD-DFI de 18 de agosto de 2020, la DFI dio por concluidas las actuaciones instructivas correspondientes al procedimiento sancionador. Mediante Informe Final de Instrucción N.° 80-2020- JUS/DGTAIPD-DFI de 18 de agosto de 2020 (en adelante, el IFI), la DFI remitió a la Dirección de Protección de Datos Personales (en adelante, la DPDP) los actuados para que resuelva en primera instancia el procedimiento administrativo sancionador iniciado, recomendando lo siguiente:
(i) Imponer sanción administrativa de multa ascendente cuatro coma cinco Unidades Impositivas Tributarias (4,5) U.I.T. por el cargo acotado en el Hecho Imputado N.° 1, por infracción leve tipificada en el literal a, numeral 1, del artículo 38 del reglamento de la LPDP: “Dar tratamiento a los datos personales sin el consentimiento de sus titulares, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley”.
(ii) Archivar el cargo acotado en el Hecho Imputado N.° 2, por infracción leve tipificada en el literal e, numeral 1, del artículo 132 del reglamento de la LPDP: “No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley”.
[Continúa]
