Conclusiones: 1. La información académica, que incluye las notas obtenidas por un estudiante dentro de un programa formación, son datos personales y se encuentran dentro del ámbito de aplicación de la LPDP y su reglamento.
2. Para la entrega de datos de estudiantes mayores de edad de un centro de enseñanza superior a terceras personas, incluyendo padres de familia, se debe de obtener previamente el consentimiento de titulares de los datos personales.
3. En el caso de titulares de datos menores de 18 años, los titulares de la patria potestad o tutores pueden solicitar la entrega de información en representación del titular del dato personal.
OPINIÓN CONSULTIVA N° 039-2021-JUS/DGTAIPD
Asunto: Consulta sobre la naturaleza de las notas como dato personal y las condiciones de su entrega
Referencia: Hoja de trámite N° 177874-2021
Fecha: 16 de septiembre de 2021
I. ANTECEDENTES
1. Mediante Formulario de absolución de consulta remitido a través del documento de la referencia, la Universidad Andina del Cusco ha consultado a la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (DGTAIPD) lo siguiente:
1. ¿Se debe proceder a entregar la constancia de notas al padre o madre de familia de un estudiante mayor de edad?
2. Si la Universidad recibe la misma solicitud, pero presentada por tercero con poder de representación por parte del padre o madre de familia de un estudiante mayor de edad, ¿Se debe proceder a entregar dicha constancia a este tercero?
3. ¿Entregar datos personales (historial de cursos y notas) de un estudiante mayor de edad a su padre o su madre de familia, que hace un requerimiento formal a la Universidad, entidad privada, vulnera datos personales?
4. Si la respuesta es afirmativa a la pregunta 3, ¿Se corrige dicha situación solicitando el consentimiento previo y escrito del estudiante para realizar la entrega?
5. ¿El hecho de que el padre o madre de familia del estudiante mayor de edad sea el contratante o quien paga las obligaciones para la prestación del servicio de enseñanza a la Universidad obliga a la Universidad, entidad privada, a entregarle los datos personales (historial de cursos y notas) solicitados?
II. MARCO NORMATIVO DE ACTUACIÓN
2. La DGTAIPD es la encargada de ejercer la Autoridad Nacional de Transparencia y Acceso a la Información Pública (ANTAIP)[1] y la Autoridad Nacional de Protección de Datos Personales (ANPD)[2].
3. Entre sus funciones se encuentra absolver las consultas que las entidades o las personas jurídicas o naturales le formulen respecto a la aplicación de normas de transparencia y acceso a la información pública, así como de la normativa sobre protección de datos personales.
4. En esa medida, esta Dirección General emite la presente Opinión Consultiva en el ámbito de la interpretación en abstracto de las normas y no como mandato específico de conducta para un caso en concreto.
III. ANÁLISIS
A. Sobre la naturaleza de la información académica (historial de cursos y constancia de notas) como dato personal y su tratamiento
5. La Ley N° 29733, Ley de Protección de Datos Personales (en adelante la LPDP), tiene como objeto garantizar el derecho fundamental a la protección de los datos personales, previsto en el inciso 6 del artículo 2 de la Constitución Política del Perú[3],
a través de su adecuado tratamiento, en un marco de respeto de los demás derechos fundamentales que en ella se reconocen.
6. En relación a la definición de datos personales, la LPDP, artículo 2, numeral 4, establece que son datos personales “toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados.”
7. Por su parte, el Reglamento de la LPDP, aprobado a través del Decreto Supremo N° 003-2013-JUS, artículo 2, numeral 4, desarrolla la definición de datos personales, señalando que es “aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a las personas naturales que las identifica o las hace identificables a través de medios que puedan ser razonablemente utilizados.”
8. En cuanto al tema materia de consulta, es preciso señalar que los centros de enseñanza superior ofrecen diversos programas de formación, los cuales se encuentran organizados mediante planes de estudios, los cuales se conforman por una serie de cursos y prevén diversos instrumentos de evaluación.
9. Cuando una persona decide optar por uno de los servicios ofrecidos, es decir, uno de los programas de formación, entonces será un estudiante del centro de enseñanza y cursará una serie de asignaturas debidamente organizadas, aplicándosele en su situación particular, un instrumento de medición o evaluación, el cual determinará si aprobó o no aprobó las mismas.
10. Ahora bien, las calificaciones obtenidas por el estudiante dentro del programa de formación, contienen diversa información sobre el mismo, denotando, por ejemplo, facilidad para las materias relacionadas razonamiento matemático o verbal, aptitud para la metodología de la investigación o si pertenece o no al tercio superior del alumnado. Siendo el centro de estudios quien realiza el tratamiento de estos datos personales.
11. En este orden de ideas, este Despacho considera que la información académica, entendida como las notas obtenidas por un estudiante dentro de un programa de formación, son datos personales y se encuentran dentro del ámbito de aplicación de la LPDP y su reglamento.
B. Sobre el tratamiento de datos personales referidos a información académica
12. La LPDP y su reglamento, aprobado mediante Decreto Supremo N° 003-2013-JUS, establecen las disposiciones para un adecuado tratamiento de datos personales. Al respecto, el artículo 2, numeral 19, de la LPDP define tratamiento de datos personales como “cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales”.
13. En ese marco, la LPDP establece principios rectores para el tratamiento de datos personales, entre ellos se encuentra el principio de consentimiento[4], el cual establece que solo se puede realizar tratamiento de datos personales con el consentimiento del titular del dato personal[5]. El consentimiento, de acuerdo a la LPDP, artículo 13, inciso 13.5, debe ser previo, informado, expreso e inequívoco.
14. Para el caso de tratamiento de datos personales de menores de edad, se debe precisar que la regla general es que se requerirá el consentimiento de los titulares de la patria potestad o tutores. Puede hacerse tratamiento de los datos personales de mayores de catorce y menores de dieciocho años, con su consentimiento, siempre que la información proporcionada haya sido expresada en un lenguaje comprensible por ellos, esto conforme a los artículos 27 y 28 del Reglamento de la LPDP:
“Artículo 27.- Tratamiento de los datos personales de menores.
Para el tratamiento de los datos personales de un menor de edad, se requerirá el consentimiento de los titulares de la patria potestad o tutores, según corresponda.
Artículo 28.- Consentimiento excepcional.
Podrá hacerse tratamiento de los datos personales de mayores de catorce y menores de dieciocho años con su consentimiento, siempre que la información proporcionada haya sido expresada en un lenguaje comprensible por ellos, salvo en los casos que la ley exija para su otorgamiento la asistencia de los titulares de la patria potestad o tutela.
En ningún caso el consentimiento para el tratamiento de datos personales de menores de edad podrá otorgarse.”
15. El principio del consentimiento permite que los titulares de los datos ejerzan control sobre su información personal, ya que les permite decidir qué datos comparten, con quiénes y para qué.
16. En ese marco, los centros de enseñanza superior tienen la exigencia de requerir el consentimiento de los titulares de los datos para la entrega de sus datos personales, entre ellas las notas, a terceras personas.
17. En caso se trate de menores de edad, los titulares de la patria potestad o tutores pueden acceder a la información del titular del dato sobre quien ejercen la representación.
18. En ese sentido, si un centro superior considera oportuno brindar información sobre las notas de sus estudiantes mayores de edad a los padres o a quienes se responsabilicen del pago del servicio, lo que corresponde es solicitar previamente el consentimiento a los titulares de los datos personales, con la finalidad de garantizar el derecho fundamental a la protección de los datos personales de sus estudiantes.
IV. CONCLUSIONES
1. La información académica, que incluye las notas obtenidas por un estudiante dentro de un programa formación, son datos personales y se encuentran dentro del ámbito de aplicación de la LPDP y su reglamento.
2. Para la entrega de datos de estudiantes mayores de edad de un centro de enseñanza superior a terceras personas, incluyendo padres de familia, se debe de obtener previamente el consentimiento de titulares de los datos personales.
3. En el caso de titulares de datos menores de 18 años, los titulares de la patria potestad o tutores pueden solicitar la entrega de información en representación del titular del dato personal.
Descargue el opinión consultiva aquí
[1] Decreto Legislativo N° 1353, que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el régimen de protección de datos personales y la regulación de gestión de intereses (publicado el 07 de enero de 2017); Decreto Supremo N° 013-2017-JUS, que aprueba el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos (publicado el 22 de junio de 2017); y Decreto Supremo N° 019-2017-JUS, que aprueba el Reglamento del Decreto Legislativo N° 1353 (publicado el 15 de setiembre de 2017)
[2] Ley N° 29733, Ley de Protección de Datos Personales, artículo 32.
[3] Constitución Política del Perú
Artículo 2
Toda persona tiene derecho:
(…)
6. A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar
(…).
[4] LPDP, artículo 5.
[5] LPDP, artículo 2, numeral 16, define al titular de los datos personales como “Persona natural a quien corresponde los datos personales”