PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ FACULTAD DE DERECHO Informe Jurídico sobre Resolución Directoral N.º 009-2023- JUS/DGTAIPD Trabajo de Suficiencia Profesional para optar el Título de Abogada que presenta: Jemery Jazmin Ramos Flores ASESOR: Jorge Armando Díaz Montalvo Lima, 2024 Informe de Similitud Yo, JORGE ARMANDO DIAZ MONTALVO, docente de la Facultad de Derecho de la Pontificia Universidad Católica del Perú, asesor(a) del Trabajo de Suficiencia Profesional titulado “Informe Jurídico sobre Resolución Directoral N.º 009-2023- JUS/DGTAIPD”, del autor(a) JEMERY JAZMIN RAMOS FLORES, dejo constancia de lo siguiente: - El mencionado documento tiene un índice de puntuación de similitud de 32%. Así lo consigna el reporte de similitud emitido por el software Turnitin el 08/07/2024. - He revisado con detalle dicho reporte y el Trabajo de Suficiencia Profesional, y no se advierten indicios de plagio. - Las citas a otros autores y sus respectivas referencias cumplen con las pautas académicas. Lima, 11 de julio del 2024 JORGE ARMANDO DIAZ MONTALVO DNI: 43198239 Firma: ORCID: https://orcid.org/0000-0002-6659-787X Dedicatoria A mi abuela, Rosa, en cada momento difícil me encomendé contigo para que todo salga bien A mis padres, Aldo y Nelly, por ser mi inspiración y ser mi apoyo incondicional en cada reto, caída y logro que supuso la vida universitaria. Su amor y cariño siempre lo llevaré en mi mente y mi corazón A mis hermanos, Sebastián y Shandy, por su paciencia y por las sonrisas que me sacaron en este proceso de la vida universitaria y la titulación A mis amigos y amigas, por ser fuente de buenos ánimos durante las etapas difíciles A Andrés, por tu amor, tu comprensión. Has sido la mejor compañía que hubiera podido desear ¡Les agradezco a cado uno de ustedes profundamente! 1 RESUMEN En el presente Informe Jurídico se procederá a realizar un análisis crítico de la Resolución Directoral N.º 009-2023-JUS/DGTAIPD y su Expediente, cuya importancia radica en las circunstancias fácticas concurrentes: el telemarketing telefónico o las llamadas publicitarias de productos y servicios. En ese sentido, se procederá a analizar dos grandes aspectos. Primero, brindaremos un marco teórico- normativo sobre los principales sujetos envueltos en una relación de encargo comercial, pero con especial incidencia en la determinación del responsable de tratamiento y las responsabilidades que asume en cuanto a la obtención y denegatoria del consentimiento. Segundo, se procederá a analizar la graduación de la sanción y las medidas correctivas establecidas por la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, con el fin de revisar lo referente a lo establecido sobre la configuración de una eximente de responsabilidad, la aplicación de la intencionalidad como factor agravante en el caso concurrente y, finalmente, una crítica a las medidas correctivas impuestas. Palabras clave Responsable de tratamiento- consentimiento- tratamiento de datos personales- sanción-medidas correctivas ABSTRACT In this Legal Report, a critical analysis will be made of Directorial Resolution No. 009-2023-JUS/DGTAIPD and its file, whose importance lies in the factual circumstances involved: telemarketing or advertising calls for products and services. In this regard, we will proceed to analyze two main aspects. First, we will provide a theoretical-regulatory framework on the main subjects involved in the main subjects involved in a commercial commissioning relationship, but with special emphasis on the determination of the data controller and the responsibilities he/she assumes with regard to obtaining and withholding consent. Second, we 2 will proceed to analyze the graduation of the sanction and the corrective measures established by the first and second instance resolution authorities, in order to review what is established regarding the configuration of an exonerating factor of liability, the application of intentionality as an aggravating factor in the concurrent case and, finally, a critique of the corrective measures imposed. Keywords Data controller - Consent- processing of personal data– penalty- corrective measures 3 ÍNDICE PRINCIPALES DATOS DEL CASO ............................................................................. 5 I. INTRODUCCIÓN ................................................................................................ 6 1.1 Justificación de la elección de la resolución .................................................... 6 1.2 Presentación del caso ....................................................................................... 7 II. IDENTIFICACIÓN DE LOS HECHOS RELEVANTES ...................................... 9 2.1 Antecedentes .................................................................................................... 9 2.2 Hechos relevantes del caso ............................................................................ 16 III. IDENTIFICACIÓN DE LOS PRINCIPALES PROBLEMAS JURÍDICOS ....... 20 3.1 Problema principal ........................................................................................ 20 1. ¿Es correcto lo decidido por la Autoridad en la Resolución Directoral respecto a la calificación de ONCOSALUD como responsable de tratamiento de datos y la sanción y medidas correctivas impuestas? ............................................................. 20 3.2 Problemas secundarios ................................................................................ 20 1. ¿Es correcto el criterio efectuado en la Resolución Directoral que considera que ONCOSALUD es Responsable de Tratamiento en su condición de agente económico que ha subcontratado el servicio de telemarketing telefónico con calls centers que trabajan con sus propias bases de datos? ........................................... 20 IV. POSICIÓN DEL CANDIDATO/A ..................................................................... 21 4.1 Respuestas preliminares a los problemas principal y secundarios .................... 21 4.2 Posición individual sobre el fallo de la resolución .............................................. 22 V. ANÁLISIS DE LOS PROBLEMAS JURÍDICOS ............................................. 23 1. ¿Es correcto lo decidido por la Autoridad en la Resolución Directoral respecto a la calificación de ONCOSALUD como responsable de tratamiento de datos y la sanción y medidas correctivas impuestas? ............................................................. 23 1.1. ¿Es correcto el criterio efectuado en la Resolución Directoral que considera que ONCOSALUD es Responsable de Tratamiento en su condición de agente económico que ha subcontratado el servicio de telemarketing telefónico con calls centers que trabajan con sus propias bases de datos? ........................................... 23 1.1.1. ¿Cómo se obtienen y se tratan los datos personales para el desarrollo de actividades de telemarketing telefónico? ................................................................. 24 1.1.2. ¿ONCOSALUD debió asegurar la obtención del consentimiento para el tratamiento de datos personales del Denunciante para el desarrollo de actividades de telemarketing telefónico? .................................................................................... 31 1.1.3. ¿ONCOSALUD debió asumir responsabilidades no establecidas en el contrato de locación de servicios que suscribió con GSP con relación a la obtención de la autorización de uso de los datos personales del Denunciante? ...................... 43 4 1.1.4. ¿La existencia de un procedimiento administrativo previo cuyo desarrollo se ha basado en hechos similares puede determinar qué responsabilidades debe asumir ONCOSALUD en el presente caso? ............................................................ 48 1.2. ¿Se ha configurado una correcta valoración de los factores de graduación de la sanción impuesta ONCOSALUD así como de la imposición de las medidas correctivas? ............................................................................................................. 57 VI. CONCLUSIONES Y/O RECOMENDACIONES............................................... 70 BIBLIOGRAFÍA .......................................................................................................... 72 5 PRINCIPALES DATOS DEL CASO N° EXPEDIENTE 158-2020-JUS/DGTAIPD-PAS ÁREA(S) DEL DERECHO SOBRE LAS CUALES VERSA EL CONTENIDO DEL PRESENTE CASO Datos Personales/Derecho Administrativo IDENTIFICACIÓN DE LAS RESOLUCIONES Y SENTENCIAS MÁS IMPORTANTES Opinión Consultiva N° 12-2019- JUS/DGTAIPD Opinión Consultiva N° 05-2019- JUS/DGTAIPD Resolución Directoral N° 378-2017- JUS/DGTAIPD-DPDP DEMANDANTE/DENUNCIANTE Señor A.A.R.R./ Iniciado de oficio por parte de la Autoridad Nacional de Protección de Datos Personales DEMANDADO/DENUNCIADO ONCOSALUD S.A.C. INSTANCIA ADMINISTRATIVA O JURISDICCIONAL Segunda Instancia TERCEROS No aplica OTROS No aplica 6 I. INTRODUCCIÓN 1.1 Justificación de la elección de la resolución La elección de la presente Resolución y su Expediente se debe a la relevancia que está tomando el tratamiento de los Datos Personales en nuestra actualidad. De hecho, la Autoridad Nacional de Protección de Datos Personales (en adelante, la Autoridad) tiene hoy un rol activo en la materia, por lo que emite directivas, opiniones consultivas y ejerce su rol instructivo y resolutor, mediante sus respectivos órganos internos, en controversias de la materia que son analizados mediante diversos procedimientos administrativos sancionadores y trilaterales. Es necesario mencionar que la evolución de la normativa peruana respecto a la materia de los Datos Personales ha establecido una serie de reglas que afecta tanto a sujetos privados como públicos, puesto que, son sujetos potenciales de fiscalización y sanción, lo cual se evidenciará tras la correcta finalización del devenir de procedimientos administrativos. De la misma manera, estos sujetos están cubiertos por derechos y garantías que les permitirá obtener una decisión coherente con el cumplimiento del marco que provee la normativa y los principios generales del Derecho Administrativo, de manera independiente a las circunstancias en que se haya generado algún problema jurídico. Actualmente, han surgido diversos fenómenos crecientes tanto a nivel nacional como internacional que han implicado la adaptación de la Administración Pública, con el fin de regular, fiscalizar y sancionar las potenciales afectaciones que pueden generarse en detrimento de las personas que se ven afectadas por las mismas. En el presente caso, se hace referencia al fenómeno del telemarketing es una estrategia de venta que ha sido altamente utilizadas para 7 ofrecer la venta de diversos productos y/o servicios. Así, las circunstancias específicas de la Resolución y expediente a analizar están orientadas a tácticas de venta realizadas a través de llamadas telefónicas constantemente efectuadas por call centers, los cuales son solicitados por agentes económicos que pretenden obtener nuevos clientes a través de sus afiliaciones a sus productos y servicios ofrecidos al mercado. Así, se debe precisar que la decisión optada por la ANPD a través de su pronunciamiento ha generado una afectación a la esfera de actuación de las personas jurídicas que usan el telemarketing como forma de captación de nuevos clientes para los productos y/o servicios que ofrecen al mercado, dado que , la ANPD ha suscitado la adopción de condiciones adicionales que no fueron contempladas en sus pronunciamientos anteriores, en específico, se ha optado por imponer nuevos deberes a los agentes económicos que no brindan acceso a sus propias bases de datos para obtener nuevos clientes, sino que tercerizan el servicio e incluso solicitan que los call centers realicen sus servicios en base a la obtención de nuevos prospectos de clientes. Por todo lo expuesto, es evidente que existe una gran relevancia en la presente Resolución y Expediente a analizar, dada la necesidad de regular nuevos fenómenos que surgen y afectan tanto a estos mismos como a las personas en su esfera personal íntima. 1.2 Presentación del caso El presente caso se genera a raíz de una denuncia presentada ante la Autoridad por el Denunciante (en adelante, el Denunciante), quien indicó que recibía constantes llamadas telefónicas de parte de ONCOSALUD, con el fin de afiliarlo a programas y/o servicios oncológicos de dicha empresa. 8 El Denunciante anexó como pruebas dos (02) grabaciones de las llamadas telefónicas que tuvo con operadores telefónicos en que se evidencia que él indica que no ha brindado su consentimiento, así como requiere que borren sus datos personales de sus bases de datos. En respuesta a tal denuncia, ONCOSALUD ha señalado que él no ostenta la titularidad del banco de datos que contenía los datos personales del Denunciante. De hecho, menciona que dichos datos personales están contenidos en un banco de datos de titularidad de un call center subcontratado llamado BIZNES. En esa línea, ha incluido una serie de medios probatorios tales como los contratos entre él y GSP, así como el contrato entre GSP y BIZNES. Consecuentemente, ONCOSALUD indica y subraya que mediante estos contratos GSP fue quien contrató a BIZNES, el último tenía conocimiento de las actividades que desarrollaría y cómo debía realizarla. Específicamente, ONCOSALUD señala que en el contrato celebrado entre BIZNES y GSP se estableció que este debía conseguir afiliaciones a los productos y/o servicios de ONCOSALUD con sus propias bases de datos, por lo que, este debe ser calificado como responsable de tratamiento y no ONCOSALUD. El caso fue analizado tanto en primera como en segunda instancia por la Autoridad. En la última instancia, se determinó que ONCOSALUD sí calificaba como responsable de tratamiento; mientras que, BIZNES calificaba como un encargado de tratamiento, dado que ONCOSALUD era quien determinaba los fines y medios para tratar los datos personales del Titular de Datos. Consecuentemente, se le impuso a ONCOSALUD una multa ascendente a 28.13 Unidades Impositivas Tributarias (en adelante, UIT). Siendo esto así, el problema principal cuestionado aquí es si la Autoridad ha calificado de manera correcta a ONCOSALUD al 9 designarlo como responsable de tratamiento y si las responsabilidades que dicha condición implican son suficientes para que este administrado sea pasible de la multa que le fue impuesta (28,13 U.I.T.) por la falta de obtención del consentimiento del Titular de Banco de Datos, así como omiso a la eliminación de los datos personales que tenían de esta persona (nombre, número telefónico, entre otros). Con el fin de analizar el problema principal descrito, se hará uso de los instrumentos normativos relacionados a la materia de protección de datos personales a nivel nacional, así como se buscará apoyo en la doctrina y jurisprudencia a nivel comparado dado que la materia de protección de datos personales es relativamente nueva en nuestro ordenamiento jurídico. Asimismo, es importante mencionar que se hará especial precisión en los pronunciamientos previos relacionados a la materia y a las circunstancias en que se generó la infracción respectiva a la materia. Así, se analizarán las opiniones consultivas y Resoluciones previamente emitidas por la Autoridad, con el fin de verificar que no se vulnera ningún principio del Derecho Administrativo y el presente procedimiento administrativo sancionador ha permitido garantizar los derechos y garantías de ONCOSALUD como administrada. II. IDENTIFICACIÓN DE LOS HECHOS RELEVANTES 2.1 Antecedentes 1. El 02 de enero de 2013, ONCOSALUD S.A.C. (en adelante, ONCOSALUD) y GSP SERVICIOS GENERALES S.A.C. (en adelante, GSP) firmaron un contrato de locación de servicios, con el fin que GSP preste servicios de asesoría, promoción y venta de los programas y productos que ONCOSALUD ofrece al mercado. Siendo esto así, también se indica que GSP puede ofrecerlo por medios propios u otra forma indirecta. 10 2. En base al contrato mencionado, se planteó la suscripción de varias adendas: a) Respecto a la Adenda 1, se modificó el monto anual de la retribución respectiva, suscrito por las partes el día 28 de diciembre de 2015. b) Respecto a la Adenda 2, se modificó el monto anual de la retribución respectiva, suscrito por las partes el día 28 de diciembre de 2016. c) Respecto a la Adenda 3, se adicionó que los servicios objeto del Contrato también se brindarán en Cusco, suscrito por las partes el día 02 de enero de 2017. 3. El 01 de noviembre de 2018, GSP y BIZNES firmaron un contrato, con el fin de subcontratar el servicio de telemarketing de paquetes comerciales oncológicos de ONCOSALUD. Así, BIZNES estaba obligado a trabajar en base a sus propias bases de datos personales. 4. El 14 de diciembre de 2017, ONCOSALUD y GSP firmaron un nuevo contrato de locación de servicios, mediante el cual se establecieron detallaron y señalaron condiciones en el apartado de protección de datos personales, en cuanto a la información brindada (base de datos y datos personales) por ONCOSALUD. 5. El día 02 de enero de 2020, GSP remite el discurso de venta a BIZNES, con la finalidad de que sus operadores telefónicos sigan dicho discurso para ofrecer los paquetes comerciales respectivos. 6. El día 03 de marzo de 2020, el señor A.A.R.R. presentó una denuncia vía correo electrónico a la Autoridad Nacional de Protección de Datos Personales. En la denuncia, el mencionado señor indica que ONCOSALUD se contactó en reiteradas 11 ocasiones con él, con el fin de ofrecer planes comerciales oncológicos. El Señor A.A.R.R. indica que no brindó su consentimiento para que se realice tal tratamiento de sus datos personales, por lo que, solicitó reiteradas veces que se elimine sus datos personales de la base de datos respectiva, pero no se tuvo respuesta alguna. 7. El Señor A.A.R.R. adjuntó dos audios de las llamadas recibidas. A continuación, se observa la interpretación brindada por la Dirección de Fiscalización e Instrucción (en adelante, la DFI): a) Sobre la grabación 1: se escucha al operador indicar que llama por encargo de ONCOSALUD; mientras que, el señor A.A.R.R. indica que en reiteradas ocasiones ha solicitado la eliminación de sus datos personales. b) Sobre la grabación 2: se escucha al operador indicar que llama por encargo de ONCOSALUD, a su vez, el señor A.A.R.R. indica que en un corto periodo de tiempo ya había sido previamente contactado e insistió en su requerimiento de eliminación de sus datos personales, motivo por el cual solicitó que se lo derive con el supervisor del operador. Finalmente, dado que no pudo ser atendido por la persona indicada, el operario indica que en caso desee no ser contactado, tendría que comunicarse directamente con ONCOSALUD y brindó los datos de contacto respectivo. 8. El 09 de julio de 2020, la DFI amplió el plazo de fiscalización de ONCOSALUD por cuarenta y cinco (45) días hábiles adicionales, cuyo plazo inició el 13 de julio de 2020. 9. El 24 de agosto de 2020, mediante Oficio N° 739-2020- JUS/DGTAIPD-DFI de fecha de 19 de agosto de 2020, se le 12 notificó la Denuncia y se le requirió la siguiente información a ONCOSALUD: a) Señale la Empresa encargada de realizar la gestión de televenta de sus programas oncológicos, específicamente la que se encargó de contactar al Señor A.A.R.R. (fecha de contacto) b) Proporcione el Discurso de venta entregado a la empresa encargada de contactar a Señor A.A.R.R. c) Proporcione el Contrato suscrito con la empresa que contactó al Señor A.A.R.R. 10. EL 25 de agosto de 2020, ONCOSALUD ingresó la solicitud de bloqueo del Señor A.A.R.R. en la Lista No Contactar. 11. El 04 de septiembre de 2020, ONCOSALUD ingresó un escrito, con el fin de brindar respuestas a los requerimientos de información y brindar un descargo resumido sobre la condición de los datos personales del Señor A.A.R.R. (los datos personales pertenecen al banco de datos personales de BIZNES S.A.C. (en adelante, BIZNES). 12. El 24 de setiembre de 2020, ONCOSALUD fue notificado con el informe de fiscalización N° 181-2020-JUS/DGTAIPD-DFI-AARM, mediante el cual se establecieron las circunstancias de la supuesta infracción de la normativa de protección de datos personales por parte de ONCOSALUD. 13. El 23 de octubre de 2020, ONCOSALUD presentó sus descargos con relación al Informe de Fiscalización notificado y presentó la documentación adicional requerida: a) ONCOSALUD indicó y presentó como descargo y prueba que había realizado el requerimiento de bloqueo de los datos 13 personales del señor A.A.R.R. a través de la solicitud ingresado en la Lista no Contactar respectivo. Adicional a ello, presentó como medios probatorios diversos correos a distintos call centers subcontratados en que se les solicita verificar si los datos personales en cuestión se encuentran disponibles o no. 14. El 12 de enero de 2021, a través del Oficio N° 03-2021- JUS/DGTAIPD-DFI se le notificó a ONCOSALUD la Resolución Directoral N.º 204-2020-JUS/DGTAIPD-DFI, mediante el cual se decidió iniciar un procedimiento administrativo sancionador contra el administrado. 15. El 02 de febrero de 2021, se ingresó un escrito de parte de ONCOSALUD, con el fin de presentar sus descargos y los medios probatorios correspondientes. 16. El 16 y 23 de marzo de 2021, se le solicitó nuevamente información adicional a ONCOSALUD: a) Proporcione los correos electrónicos enviados por ONCOSALUD y GSP a los centros de contacto de los call centers para solicitar la eliminación de los datos personales del Señor A.A.R.R. en las bases de datos. b) Proporcione los correos electrónicos enviados por los call centers en respuesta a las solicitudes de ONCOSALUD y GSP sobre el requerimiento de borrado de información del Señor A.A.R.R. c) Indique cantidad de productos y programas vendidos a través de los call centers desde el 2017 a la fecha. 14 17. El 26 y 30 de marzo de 2021, ONCOSALUD respondió a las solicitudes realizadas por la DFI. 18. El 08 de junio de 2021, ONCOSALUD fue notificada con los siguientes documentos: a) Informe Final de Instrucción N.° 069-2021-JUS/DGTAIPD- DFI, mediante la cual la DFI recomendó a la Dirección de Protección de Datos Personales (en adelante, la DPDP) imponer una sanción administrativa ascendente a 31 ,50 UIT a ONCOSALUD. Así como, se recomendó iniciar acciones de fiscalización a los correos electrónicos enviados al personal de ONCOSALUD b) Resolución Directoral N.º 100-2021-JUS/DGTAIPD-DFI, documento mediante el cual la DFI indicó la conclusión de las actuaciones administrativas correspondientes al procedimiento administrativo sancionador en cuestión 19. El 15 de junio de 2021, ONCOSALUD ingresó un escrito en contra del Informe Final de Instrucción generado por la DFI y solicitó el uso de la palabra en un informe oral. Respecto a la última solicitud, la fecha de uso de la palabra fue posteriormente programada en pro de brindar las garantías respectivas a ONCOSALUD. 20. El 22 de setiembre de 2021, la DPDP solicitó a ONCOSALUD remitir los archivos de las grabaciones de las llamadas respectivas, la especificación de la fecha de realización de cada una de las llamadas realizadas y, finalmente, la especificación de la fecha en que se ordenó a BIZNES el bloqueo de los datos personales del señor A.A.R.R. 15 21. El 06 de octubre de 2021, ONCOSALUD ingresó a la Mesa de Partes de la DPDP toda la información solicitada orientadas al bloqueo de tales datos personales. 22. Adicional a lo anterior, desde el 11 de octubre de 2021, la DPDP dispuso la ampliación del plazo de caducidad del presente procedimiento administrativo sancionador por un plazo de dos (02) meses. 23. Así, el día 07 de diciembre de 2021, la DPDP emitió la Resolución Directoral Nro. 3439-2021-JUS/DGTAIPD-DPDP. A través de la cual se resolvió lo siguiente: a) Se sancione a ONCOSALUD con una multa ascendente a 28.13 UIT por infringir el literal b) del numeral 2 del artículo 132 del Reglamento de la Ley de Protección de Datos Personales b) Se impone a ONCOSALUD el reforzamiento de medidas de control de las actividades que componen los encargos y/o subcontrataciones de tratamiento de datos personales y la comunicación con los encargados y terceros subcontratados. El incumplimiento de lo solicitado fue determinado como pasible de inicio de un nuevo Procedimiento Administrativo Sancionador. c) Remitir la Resolución Directoral a la DFI, con el que esta evalúe realizar acciones de fiscalización referido a los siguientes puntos: 1) respecto a la presentación de presunta información falsa por parte de ONCOSALUD en relación a la transferencia de datos personales a terceros subcontratados, y, 2) respecto a la configuración de un supuesto incumplimiento de las disposiciones relativas a la obtención válida del consentimiento en la actuación de la empresa que efectuó las llamadas de televentas al señor A.A.R.R. 16 24. El 04 de enero de 2022, ONCOSALUD ingresó el recurso de apelación dirigido a la DPDP, con el fin que este pueda ser elevado a la Dirección General de Transparencia y Acceso a la Información Pública y Protección de Datos Personales (en adelante, DGTAIPD) y se pronuncie en su condición de órgano de segunda instancia. 25. Al respecto, el día 08 de marzo de 2023, la DGTAIPD emitió la Resolución Directoral N.° 009-2023-JUS/DGTAIPD, mediante la cual declaró fundado en parte lo solicitado por ONCOSALUD: a) Revocar el monto impuesto por la DPDP, puesto que el monto que corresponde por su infracción corresponde a 24,75 UIT y no a 28.13 IUT. b) Confirmar la Resolución Directoral N.° 3439-2021- JUS/DGTAIPD-DPDP de 7 de diciembre de 2021 en todos sus demás extremos. 2.2 Hechos relevantes del caso 1. En el año 2013, ONCOSALUD y GSP suscribieron un contrato de locación de servicios con el fin de que GSP pueda brindar servicio de asesoría y venta de productos y/o servicios oncológicos. Así, GSP estaba facultada a subcontratar a terceros con el fin que pueda servir al cumplimiento del objeto del presente contrato. 2. Así, con el fin de cumplir con el objeto del contrato mencionado, GSP y BIZNES firmaron un contrato, con el fin de subcontratar el servicio de telemarketing de paquetes comerciales oncológicos, el cual sería realizado por BIZNES con sus propias bases de datos personales. 3. El 14 de diciembre de 2017, ONCOSALUD y GSP firmaron un nuevo contrato de locación de servicios, mediante el cual se establecieron detallaron y establecieron condiciones en el apartado de protección de datos personales, en cuanto a la información brindada (base de datos y datos personales) por ONCOSALUD. 17 4. El día 03 de marzo de 2020, el Denunciante presentó una denuncia. Así establece que ONCOSALUD, se contactó en reiteradas ocasiones con él, con el fin de ofrecer planes comerciales oncológicos. El Denunciante indicó que no brindó su consentimiento para que se realice tal tratamiento de sus datos personales, por lo que, solicitó reiteradas veces que se elimine sus datos personales de la base de datos respectiva, pero no se tuvo respuesta alguna. Finalmente, el Denunciante adjunto dos grabaciones de audios de las respectivas llamadas telefónicas. 5. El 09 de julio de 2020, la DFI amplió el plazo de fiscalización de ONCOSALUD por cuarenta y cinco (45) días hábiles adicionales, cuyo plazo inició el 13 de julio de 2020. 6. Siendo esto así, el 24 de agosto de 2020, mediante Oficio N° 739-2020-JUS/DGTAIPD-DFI se le notificó la Denuncia y se le requirió información a ONCOSALUD. 7. El 25 de agosto de 2020, ONCOSALUD ingresó la solicitud de bloqueo del Denunciante en la Lista No Contactar. 8. El 24 de setiembre de 2020, ONCOSALUD fue notificado con el Informe de Fiscalización N° 181-2020-JUS/DGTAIPD-DFI- AARM, mediante el cual se establecieron circunstancias de la supuesta infracción de la normativa de protección de datos personales por parte de ONCOSALUD. 9. El 23 de octubre de 2020, ONCOSALUD presentó sus descargos con relación al Informe de Fiscalización notificado y presentó documentación adicional que se detalla a continuación: a) ONCOSALUD indicó y presentó como descargo y prueba que había realizado el requerimiento de bloqueo de los datos personales del Denunciante a través de la solicitud ingresado en la Lista no Contactar respectivo. Adicional a ello, presentó como medios probatorios diversos correos a distintos call centers subcontratados en que se les solicita verificar si los datos personales en cuestión se encuentran disponibles o no. 10. El 08 de junio de 2021, ONCOSALUD fue notificada con los siguientes documentos: 18 a) Informe Final de Instrucción N° 069-2021-JUS/DGTAIPD-DFI, mediante la cual la DFI recomendó a la Dirección de Protección de Datos Personales (en adelante, la DPDP) imponer una sanción administrativa ascendente a 31 ,50 UIT a ONCOSALUD. Así como, se recomendó iniciar acciones de fiscalización a los correos electrónicos enviados al personal de ONCOSALUD. b) Resolución Directoral N° 100-2021-JUS/DGTAIPD-DFI, documento mediante el cual la DFI indicó la conclusión de las actuaciones administrativas correspondientes al procedimiento administrativo sancionador en cuestión. 11. El 15 de junio de 2021, ONCOSALUD ingresó un escrito en contra del Informe Final de Instrucción generado por la DFI y solicitó el uso de la palabra en un informe oral a la DPDP. Respecto a la última solicitud, la fecha de uso de la palabra fue posteriormente programada en pro de brindar las garantías respectivas a ONCOSALUD. 12. Adicional a lo anterior, desde el 11 de octubre de 2021, la DPDP dispuso la ampliación del plazo de caducidad del presente procedimiento administrativo sancionador por un plazo de dos (02) meses. 13. Así, el día 07 de diciembre de 2021, la DPDP emitió la Resolución Directoral Nro. 3439-2021-JUS/DGTAIPD-DPDP. A través de la cual se resolvió lo siguiente: a) Se sancione a ONCOSALUD con una multa ascendente a 28.13 UIT por infringir el literal b) del numeral 2 del artículo 132 del Reglamento de la Ley de Protección de Datos Personales 19 b) Se impone a ONCOSALUD el reforzamiento de medidas de control de las actividades que componen los encargos y/o subcontrataciones de tratamiento de datos personales y la comunicación con los encargados y terceros subcontratados. El incumplimiento de lo solicitado fue determinado como pasible de inicio de un nuevo Procedimiento Administrativo Sancionador c) Remitir la Resolución Directoral a la DFI, con el que esta evalúe realizar acciones de fiscalización referido a los siguientes puntos: 1) respecto a la presentación de presunta información falsa por parte de ONCOSALUD en relación a la transferencia de datos personales a terceros subcontratados, y, 2) respecto a la configuración de un supuesto incumplimiento de las disposiciones relativas a la obtención válida del consentimiento en la actuación de la empresa que efectuó las llamadas de televentas al Denunciante. 14. El 04 de enero de 2022, ONCOSALUD ingresó el recurso de apelación dirigido a la DPDP, con el fin que este pueda ser elevado a la Dirección General de Transparencia y Acceso a la Información Pública y Protección de Datos Personales (en adelante, DGTAIPD) y se pronuncie en su condición de órgano de segunda instancia. 15. Finalmente, el día 08 de marzo de 2023, la DGTAIPD emitió la Resolución Directoral N.º 009-2023-JUS/DGTAIPD, mediante la cual declaró fundado en parte lo solicitado por ONCOSALUD: a) Se revoca el monto impuesto por la DPDP, puesto que el monto que corresponde por su infracción corresponde a 24,75 UIT y no a 28.13 IUT 20 b) Se confirma la Resolución Directoral N.º 3439-2021- JUS/DGTAIPD-DPDP de 7 de diciembre de 2021 en todos sus demás extremos III. IDENTIFICACIÓN DE LOS PRINCIPALES PROBLEMAS JURÍDICOS 3.1 Problema principal 1. ¿Es correcto lo decidido por la Autoridad en la Resolución Directoral respecto a la calificación de ONCOSALUD como responsable de tratamiento de datos y la sanción y medidas correctivas impuestas? 3.2 Problemas secundarios 1. ¿Es correcto el criterio efectuado en la Resolución Directoral que considera que ONCOSALUD es Responsable de Tratamiento en su condición de agente económico que ha subcontratado el servicio de telemarketing telefónico con calls centers que trabajan con sus propias bases de datos? i. ¿Cómo se obtienen y se tratan los datos personales para el desarrollo de actividades de telemarketing telefónico? ii. ¿ONCOSALUD debió asegurar la obtención del consentimiento para el tratamiento de datos personales del Denunciante para el desarrollo de actividades de telemarketing telefónico? iii. ¿ONCOSALUD debió asumir responsabilidades no establecidas en el contrato de locación de servicios que suscribió con GSP con relación a la obtención de la autorización de uso de los datos personales del Denunciante? 21 iv. ¿La existencia de un procedimiento administrativo previo cuyo desarrollo se ha basado en hechos similares puede determinar qué responsabilidades debe asumir ONCOSALUD en el presente caso? 2. ¿Se ha configurado una correcta valoración de los factores de graduación de la sanción impuesta ONCOSALUD así como de la imposición de las medidas correctivas? i. ¿La solicitud de bloqueo de los datos personales en la Lista No Contactar por parte de ONCOSALUD se considera una condición atenuante o eximente de responsabilidad? ii. ¿La aplicación del criterio denominado intencionalidad fue debidamente imputado a ONCOSALUD en el presente caso? iii. ¿Es viable el cumplimiento de las medidas correctivas impuestas por la Autoridad a ONCOSALUD? IV. POSICIÓN DEL CANDIDATO/A 4.1 Respuestas preliminares a los problemas principal y secundarios Si bien consideramos que la Autoridad ha podido determinar de manera correcta la calificación de ONCOSALUD como un responsable de tratamiento en relación al encargo comercial que estableció con GSP y BIZNES, la Autoridad, en el presente caso, ha establecido responsabilidades no solo sobre la obtención del consentimiento, sino también sobre la denegatoria del mismo. No obstante, las medidas que ha exigido cumplir a la administrada si bien no pueden ser consideradas excesivas, no habían sido 22 previamente contempladas en su normativa, jurisprudencia o directrices emitidas en función de sus competencias. Dando como resultado, un cuestionamiento a cómo se le imputó la comisión de la infracción respecto al tratamiento de datos personales. Dicho lo anterior, es viable establecer un cuestionamiento a la graduación de la sanción establecida en la segunda instancia, dado que no se ha evaluado de manera correcta la ocurrencia de la configuración de un eximente de responsabilidad, así como tampoco se ha meditado mucho respecto a la imposición del recargo de la sanción a través del factor agravante de intencionalidad. Ahora, también es posible establecer crítica sobre las medidas correctivas por cumplir, dado el amplio marco de actuación que no ha cubierto la Autoridad con la emisión de directrices precisas para cumplir de forma fehaciente para evitar el daño al derecho constitucional de autodeterminación informativa de los titulares de datos personales. 4.2 Posición individual sobre el fallo de la resolución Si bien estamos de acuerdo en la calificación de ONCOSALUD como Responsable de Tratamiento, no consideramos que en el presente caso su rol específico implique adoptar medidas de supervisión sobre las actividades realizadas por BIZNES; es decir, que ONCOSALUD sea un supervisor latente de las condiciones iniciales básicas al momento de contactar un “prospecto” o potencial cliente, dado que estos son mapeados netamente por el call center que brinda servicios de telemarketing. En efecto, el Denunciante solicitó ejercer su derecho de cancelación en las dos llamadas, dado que reiteraba su no consentimiento en los momentos de contacto a través de llamadas telefónicas que se establecieron entre este y los asesores telefónicos. 23 Adicional a ello, cabe mencionar que, en la última llamada realizada, se le comentó cuál era la forma en que debía solicitar la cancelación de sus datos; no obstante, se observa que esta no fue la forma en que procedió el Denunciante, puesto que este indico que esta cancelación de sus datos personales de sus bases de datos podía ser realizada directamente por el titular del banco de datos en cuestión: el call center que tenía en sus manos los datos personales del Denunciante. En ese sentido, el pronunciamiento de la Autoridad no tuvo en consideración la forma de recopilación de este tipo de datos; es decir, aquella recopilación de datos realizada en el contexto del telemarketing telefónico. Finalmente, no consideramos que la multa impuesta por la sanción determinada sea la correcta, dado que ONCOSALUD realizó las acciones correspondientes para no continuar con la afectación de la autodeterminación informativa del Denunciante; puesto que. ONCOSALUD realizó el bloqueo respectivo de los datos personales apenas se le notificó de la denuncia ocurrida. Por todo lo expuesto, no estamos de acuerdo con lo determinado por la Autoridad en la Resolución N° 009-2023-JUS/DGTAIPD. V. ANÁLISIS DE LOS PROBLEMAS JURÍDICOS 1. ¿Es correcto lo decidido por la Autoridad en la Resolución Directoral respecto a la calificación de ONCOSALUD como responsable de tratamiento de datos y la sanción y medidas correctivas impuestas? 1.1. ¿Es correcto el criterio efectuado en la Resolución Directoral que considera que ONCOSALUD es Responsable de Tratamiento en su condición de agente económico que ha subcontratado el servicio de telemarketing telefónico con calls centers que trabajan con sus propias bases de datos? 24 1.1.1. ¿Cómo se obtienen y se tratan los datos personales para el desarrollo de actividades de telemarketing telefónico? La sociedad de la información es un término usado para describir a la sociedad contemporánea, dado que precisa el evidente desarrollo de las tecnologías de la información en confluencia con los distintos aspectos de la vida cotidiana de la sociedad, la cual está saturada por el incremento de la información, generando así un nuevo paradigma sobre la base del uso y empleo de las tecnologías de la información incluso en el ámbito empresarial. En concordancia con la afirmación anterior, Campuzano Tomé (2000) menciona que la sociedad de la información se genera a raíz del desarrollo y universalización de las nuevas tecnologías de la información y las comunicaciones, lo cual ha propiciado que la información sea considerada como el nuevo bien con valor económico, concretizando su incidencia en diversos sectores económicos (pp. 19-20 y p.29). En efecto, con la evolución y concretización de la sociedad de la información, han surgidas nuevas formas de realizar el comercio. Específicamente en el presente caso, nos encontramos ante el telemarketing telefónico, la cual se define como una estrategia de venta usada por diversos agentes económicos y se basa en establecer contacto con potenciales usuarios o compradores de sus servicios y productos a través de llamadas telefónicas. Conviene señalar que dicho servicio suele ser tercerizado por los agentes económicos hacia empresas cuya principal actividad económica consiste en brindar el servicio de telemarketing. Este tipo de empresas suelen ser denominadas “call centers”. En pocas palabras, la herramienta de trabajo vital para los call 25 centers son los datos personales de los potenciales clientes que comprarán los servicios y productos de los agentes económicos que los contratan. Precisamente, si bien los datos personales parecen de fácil acceso y recopilación, dado que se pueden encontrar dispersos en medios digitales, esto no significa que terceros ajenos puedan utilizarlos sin limitación alguna. De hecho, Murillo de la Cueva (1999) menciona que “(…) sin que nos percatemos de ello, bien los poderes públicos, bien los sujetos privados, tienen —o pueden tener sin excesivo esfuerzo— conocimiento de amplias parcelas de nuestras vidas y utilizan esa información que de nosotros disponen en su beneficio, pero también de una manera que puede causarnos notorios daños” (p. 37). A propósito de tal aseveración es necesario precisar que, actualmente, las administraciones públicas han procurado brindar lineamientos en relación con el tratamiento de la información personal de distintos sujetos de derecho, con el fin de establecer la protección necesaria para que las relaciones jurídicas formadas y tengan incidencia en esta materia no afecten los derechos de los titulares de los datos personales. En efecto, el ordenamiento jurídico peruano no ha sido ajeno a las necesidades que han surgido a raíz del problema mencionado. Por lo que, teniendo en consideración la posible configuración de potenciales daños en las esferas personalísimas de las personas, la normativa constitucional peruana ha planteado brindar protección a través del derecho “[a] que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.” (artículo 2, numeral 6 de la Constitución Política del Perú) o también denominado derecho a la autodeterminación informativa. 26 Así, el derecho a la autodeterminación informativa se define como aquel que faculta a las personas a tener “control sobre la información personal que le concierne, contenida en registros ya sean públicos, privados o informáticos, a fin de enfrentar las posibles extralimitaciones de estos. Se encuentra estrechamente ligado a un control sobre la información, como una autodeterminación de la vida íntima, de la esfera personal” (Tribunal Constitucional, EXP. N.º 00300-2010-PHD/TC, f. 5). Asimismo, el Tribunal Constitucional ha determinado en el Expediente N.º 02839-2021-PHD/TC que el derecho de la autodeterminación informativa busca garantizar a la protección de los datos personales de la persona frente a la posibilidad de configuración de excesos en cuanto al uso, manipulación y difusión de esta información (f. 6). Dados los alcances anteriores, a nivel de la administración pública peruana se ha procurado establecer los marcos normativos que pueden cumplir con el fin de protección establecido a nivel constitucional. Así, entre los años 2011 y 2013, se aprobaron la Ley de Protección de Datos Personales, Ley N.º 27933 (en adelante, la Ley) y el Decreto Supremo N.º 003-2013-JUS, Reglamento de la Ley de Protección de datos Personales (en adelante, el Reglamento), mediante las cuales se legisló y reglamentó todo lo referido a materia de datos personales. Al respecto, ambos cuerpos normativos brindan definiciones concretas sobre lo que debe entenderse por datos personales. En ese sentido, el artículo 2 numeral 4 de la Ley ha establecido que es aquella información que identifica o hace identificable a toda persona natural; mientras que, el artículo 2 numeral 4 del Reglamento complementa instaurando que los datos personales 27 pueden tener naturaleza numérica, alfabética, gráfica, fotográfica, acústica, entre otras afines. Dado lo anterior, es posible establecer que los datos personales consisten en aquella información perteneciente a una persona natural, la cual permite identificarla con la información que tiene una naturaleza básica hasta la más compleja que puede expedir esta persona. Por lo que, se puede plantear como ejemplo preciso a los números telefónicos, los cuales permiten identificar a titulares de datos específicos, así como proporcionan una vía de contactabilidad por parte de terceros a través de sendas llamadas telefónicas. En efecto, la Autoridad, a través de su Opinión Consultiva N.º 26-2019-JUS/DGTAIPD, estableció que los números telefónicos calificaban como datos personales, independientemente de si se encontraban junto a otros datos personales o no. Dicho de otra manera, los números telefónicos hacen posible la identificación de personas naturales y, consecuentemente, estos reciben la calificación de titulares de datos personales, de conformidad con el artículo 2 numeral 16 de la Ley. Tal como se mencionó líneas arriba, la herramienta básica de trabajo de los calls centers son los datos personales, los cuales si bien se encuentran a rápida disposición gracias en distintos medios digitales esto no significa que su utilización se lleve a cabo sin restricción alguna. En efecto, la recopilación, registro, almacenamiento, la utilización, entre otros procedimientos a llevar a cabo son definidos por la legislación normativa, específicamente en artículo 2 numeral 17 de la Ley, dando como resultado la definición del tratamiento de datos personales. Ahora bien, sin lugar a duda, cualquier tratamiento que se pretenda dar a datos personales deben realizarse de 28 conformidad con el marco de principios que ofrece la legislación y la reglamentación en cuestión, tales como el principio de legalidad, principio de consentimiento, principio de finalidad, principio de proporcionalidad, principio de seguridad y principio de disposición de recurso. No obstante, Campuzano Tomé postula de manera precisa que el principio de consentimiento debe ser considerado de vital cumplimiento ante la realización de algún tratamiento de datos personales, con el fin de evitar intrusiones invisibles de parte de la tecnología en la esfera privada de un titular de datos personales (p. 139). De igual manera, Palacios González (2012) reitera la importancia del consentimiento, señalando que “[c]omo no puede ser de otra manera dada la íntima relación existente entre los datos personales, el derecho fundamental a la intimidad y, más ampliamente, la dignidad personal, la regla general para poder proceder al tratamiento de los datos de una persona es haber obtenido su consentimiento” (p. 64). Por ello, el consentimiento es un requisito mínimo e indispensable que debe ser cumplido por los agentes económicos que pretendan recopilar, utilizar, almacenar, conservar entre otras acciones a tomar respecto a los datos personales de un titular de datos personales; de tal manera que, no se generen injerencias no deseadas en las esferas personalísimas de los titulares de datos personales. Cabe precisar que el consentimiento no solo ha sido contemplado como un principio rector en materia de Datos Personales, sino que incluso ha sido desarrollado en cuanto a los caracteres que la alimentan. En efecto, el artículo 12, específicamente en sus numerales 1, 2, 3 y 4 del Reglamento establece que el consentimiento debe ser otorgado por el titular de datos personales de manera tal que este haya sido brindado de forma libre, previa, expresa e inequívoca, e informada. 29 Efectivamente, Castro Cruzatt (2008) postula que “[c]on esta exigencia se pretende que los titulares [de datos] de la información personal puedan conocer y merituar los beneficios y eventuales desventajas que podría conllevar el tratamiento de sus datos” (p. 260). Dicho de otra manera, la razón de ser de las características del consentimiento se debe a que sin este no podría garantizarse la protección integral a los titulares de datos personales en todo lo que respecta al alcance de su derecho constitucional. Con todo ello, ¿qué es lo que sucede cuando un titular de datos personales brinda su consentimiento, cumpliendo con todas las características mencionadas? El siguiente paso coherente es que la persona natural o persona jurídica que obtenga el consentimiento respectivo para la recopilación de los datos personales ajenos a ellos inicie con el almacenamiento y resguardo de dicha información personal. Así, la Ley define a los bancos de datos personales a través del artículo 2 numeral 1, indicando así que es un conjunto organizado de una cantidad no determinada de datos personales, el cual se puede generar mediante formatos físicos o computarizados; mientras que, el numeral 2 del mismo artículo brinda mayor precisión respecto a los bancos de administración privada, concordando en los aspectos anteriores, pero agregando que la titularidad corresponde a un sujeto de derecho privado. En resumen, los bancos de datos personales en el ámbito privado constan en el registro organizado de información personal obtenida de titulares de datos personales que brindaron su autorización respecto al uso de su información personal. Ahora bien, ¿qué sucede cuando la información personal de un titular de datos se almacena, conserva en un banco de datos 30 personales? ¿El titular de datos pierde control y disposición sobre sus datos personales? No, hay que tener en cuenta que lo ya mencionado respecto al derecho constitucional de autodeterminación informativa, el cual faculta a los titulares de datos personales a controlar su información personal en todo momento. Así, la normativa referida a materia de datos establece los derechos que garantizan la protección constitucional de ellos: derecho de acceso, derecho de rectificación, derecho de cancelación y el derecho de oposición. En el presente caso, nos permitiremos ahondar respecto al Derecho de Cancelación. Este se define como aquella facultad con la que cuentan los titulares de los datos personales, quienes podrán solicitar la supresión o cancelación de sus datos personales de un banco de datos personales, cuando éstos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recopilados; hubiere vencido el plazo establecido para su tratamiento; se ha revocado su consentimiento para el tratamiento y en los demás casos en los que no están siendo tratados conforme a la Ley y su Reglamento. Teniendo en cuenta el marco teórico normativo brindado, procederemos a analizar el caso brindado. Así, se observa que el ingreso de una denuncia de parte del Denunciante, quien indica que ha recibido constantes llamadas de parte de ONCOSALUD, con el fin de ofrecerle sus servicios y productos. Siendo esto así, en la denuncia se establece que se generaron dos llamadas consecutivas de parte de ONCOSALUD, mediante las que le ofrecieron sus servicios y productos. En ambas llamadas telefónicas, el Denunciante indicó que él no habría brindado su consentimiento para que lo contactarán y le ofrezcan dichos servicios y productos, por lo que, consecuentemente, el 31 Denunciante solicitó que eliminen sus datos personales de las bases de datos que contienen su información personal. Realizando el análisis respectivo, el Denunciante alega que sus datos personales no fueron obtenidos de conformidad con la Ley ni el Reglamento; puesto que, aduce que no le solicitaron su consentimiento para que puedan utilizar dichos datos, con el fin realizar actividades comerciales. Por lo que, se evidencia que el tratamiento de sus datos personales se llevaron a cabo de manera tal que se generó un detrimento de su derecho constitucional de autodeterminación informativa. También, se observa que el Denunciante ejerció su Derecho de Cancelación, esto con el fin que sus datos personales sean suprimidos del banco de datos personales en que los mismos hayan sido recopilados para evitar ser contactado en adelante. Por todo ello, la denuncia fue declarada procedente por parte de la Autoridad, la cual es la autoridad competente para vigilar y ordenar el cumplimiento de la normativa en materia de protección de datos personales a través de la DGTAIPD, de conformidad a lo señalado en el artículo 71 del Decreto Supremo N.º 013-2017-JUS. 1.1.2. ¿ONCOSALUD debió asegurar la obtención del consentimiento para el tratamiento de datos personales del Denunciante para el desarrollo de actividades de telemarketing telefónico? Una vez ingresada la denuncia, la DFI procedió a analizar los medios probatorios ingresados por el Denunciante: dos (02) grabaciones de llamadas telefónicas, así como solicitó información a ONCOSALUD, con el fin de obtener sus descargos respecto a la denuncia realizada. 32 Por su parte, el Denunciante afirmó que no se le habría solicitado su consentimiento para realizar las llamadas respectivas de parte de ONCOSALUD, sustentando su afirmación a través de las grabaciones adjuntas a su denuncia en que se observa que en la primera llamada indica que ya habría rechazado el ofrecimiento comercial de los productos/servicios de ONCOSALUD, así como indicó el borrado de su información personal de la base de datos del operador telefónico. Posteriormente, ocurrió la segunda llamada telefónica en que se reiteró lo mencionado, así como se solicitó al supervisor a cargo. Si bien no hubo respuesta por parte del supervisor, el operador telefónico indicó al Denunciante que para proceder con el borrado de su información personal, debía contactar a ONCOSALUD a través los canales A o B. Por parte de ONCOSALUD, la DFI le requirió información con el objetivo de esclarecer lo sucedido. Siendo esto así, la administrada indicó que celebró un contrato de locación de servicios con GSP, cuyo objeto fue externalizar las actividades de asesoría, promoción y venta de los productos y servicios de la administrada; por ello, facultó a GSP para que pueda subcontratar a terceros (call centers) que apoyen en dichas actividades, siempre y cuando supervise y ejecute por cuenta propia tales contrataciones adicionales. Con la habilitación dada, GSP contrató los servicios de venta a través de llamadas telefónicas de aproximadamente catorce (14) call centers. La administrada resalta que los contratos celebrados entre GSP y los call centers dejan constancia expresa que los servicios de venta telefónica se realizan con las bases de datos personales de cada uno de los call centers. Asimismo, en dicho contrato se ha establecido que los call centers se obligan a usar bases de datos debidamente autorizadas y estas actividades, en general, se manejarán 33 acorde a la normativa de datos existente en el presente ordenamiento jurídico. Tras la realización de las indagaciones internas, ONCOSALUD pudo determinar que el call center que incurrió en realizar las llamadas telefónicas presentadas por el Denunciante fue BIZNES. Por ello, ONCOSALUD determina que ella no se configura como responsable del tratamiento de la información personal de Denunciante, dado que ella no maneja dicha información en sus propias bases de datos, así como no ha establecido una relación contractual con este call center específico. Con el análisis de la denuncia, los descargos de ONCOSALUD y los medios probatorios ingresados, la DFI emitió el Informe de Fiscalización N.º 181-2020-JUS/DGTAIPD-DFI-AARM1. En dicho documento, la DFI establece que el tratamiento de los datos personales del Denunciante y la forma en cómo se realiza es responsabilidad de la administrada, dado que BIZNES está sujeto a sus instrucciones (brindadas a través de GSP), dado que ONCOSALUD obtiene beneficios del tratamiento de los datos personales de los bancos de datos de los call centers. En resumen, para la DFI, ONCOSALUD debe ser calificado como Responsable de Tratamiento y, consecuentemente, debió asumir una obligación de actuar con diligencia respecto al tratamiento de los datos personales de los banco de datos de los call centers, así como debió garantizar que el tratamiento de los datos del Denunciante sea conforme a lo propuesto por la normativa de protección de datos. Por ende, la DFI concluyó preliminarmente que se habría configurado una infracción grave tipificada en el artículo 132, numeral 2 literal b) del Reglamento: 1 Extraído de folio 133 al 137 de Expediente N.º 158-2020-PAS 34 “Artículo 132.- Infracciones Las infracciones a la Ley Nº 29733, Ley de Protección de Datos Personales, o su Reglamento se califican como leves, graves y muy graves y se sancionan con multa de acuerdo con el artículo 39 de la citada Ley. (…) 1. Infracciones graves: (…) b) Dar tratamiento a los datos personales sin el consentimiento libre, expreso, inequívoco, previo e informado del titular, cuando el mismo sea necesario conforme a lo dispuesto en la Ley N.º 29733 y su Reglamento.”(subrayado nuestro) Entendemos la razón de ser sancionar la infracción mencionada. En efecto, la obtención del consentimiento de parte del titular de datos previo al tratamiento de su información personal es medular; es decir, es deber del titular del banco de datos personales o en su defecto del responsable de tratamiento, cumplir con tal requisito previo al tratamiento de alguna información personal. La idea anterior es respaldada por Basterra, quien postula que “[e]n materia de protección de datos, se convierte en un elemento esencial el consentimiento del afectado por el tratamiento. Todo Banco o Registro, público o privado, que desee tratar datos de personas físicas o jurídicas, como regla general deberá requerirles previamente su consentimiento para el tratamiento” (2004). Dicho de otro modo, el no obtener la autorización del titular de datos significaría restringir libre disposición que tiene este para decidir respecto a su información personal y; por ende, una vulneración de su derecho constitucional a la autodeterminación informativa. Ahora bien, en el contexto brindado, la Ley y su Reglamento han establecido en su contenido a lo sumo tres (03) sujetos implicados en una situación de tratamiento de los datos personales de un titular de datos. 35 Como práctica común se observa que el titular de banco de datos personales es equiparable al responsable de tratamiento, tal como se observa en los artículos 9, 15, 28 de la Ley. Por un lado, el titular de datos personales, definido por la Ley en el artículo 2 numeral 17, es aquella persona natural o jurídica que determina la finalidad y el contenido de un banco de datos específico, el tratamiento que se le brinda y las medidas de seguridad requeridas para proteger la información personal a tratar; en tanto que, el responsable de tratamiento es definido por el artículo 2 numeral 14 del Reglamento, estableciéndose así que este sujeto es quien tiene poder de decisión respecto al tratamiento de los datos personales contenidos o no en un banco de datos. De hecho, hay doctrina que avala la unión de ambas categorías en una sola. Así, Fernández de Marcos ha hecho una extendida comparación la normativa de España y en general, Europa, por lo que indica que un responsable o controlador del fichero “[e]s quien dice lo que se tiene que hacer con el fichero del que es responsable (…) tiene la obligación de cumplir con la normativa en protección de datos, respetando todos los principios, facilitando el ejercicio de los derechos por el titular de los datos y, en su caso, sometiéndose al posible procedimiento, del tipo que sea, como consecuencia de sus actuaciones.” (2011, p. 152). No obstante, aquello no significa que dicha categorías sean inseparables. Nuestro normativa referente a protección de datos personales ha planteado otros artículos que sí parecen aceptar que los titulares de los bancos de datos personales no sean específicamente quienes se configuren como los responsables de determinar los fines y usos que se le da al contenido de la información personal ajena. Por lo que, es viable concluir que si 36 bien el banco de datos usado es de propiedad del call center BIZNES, dándole la denominación de titular de banco de datos personales, sí es posible que ONCOSALUD pueda asumir el rol de responsable de tratamiento, tal como se observa en los artículos 5, 11, 15 del Reglamento. Correspondientemente, es necesario mencionar que el tratamiento de un banco de datos personales puede ser delegado a otra persona, ya sea natural o jurídica, siempre y cuando sea conforme a las finalidades y los medios previstos por el titular de banco de datos personales o el responsable de tratamiento (en los casos que correspondan). De este modo, el tercer sujeto involucrado en el tratamiento de datos sería el encargado de tratamiento, definido a través del artículo 2 numeral 7 de la Ley, quien es todo sujeto, ya sea persona natural o jurídica que realiza el tratamiento de datos personales tras haber sido encargado por un titular de banco de datos, con quien previamente ha establecido alguna relación jurídica mediante la cual el titular del banco ha determinado cuál será el marco de actuación del encargado. Al tiempo que, el artículo 2 numeral 10 del Reglamento establece que el encargado de tratamiento puede ser un titular de banco de datos o cualquier sujeto designado por mandato del responsable de tratamiento, en base a una relación jurídica establecida. Aunado a esto, Fernández de Marcos (2011) postula que el encargado de tratamiento “(…) implica no tener capacidad de decisión sobre el tratamiento. Es decir, el encargado trata los datos siguiendo el mandato dado por el responsable, que es quien decide sobre la finalidad, contenido y uso del tratamiento.” (p. 157). En otras palabras, el encargado de tratamiento es un sujeto que, en principio, se limita a obedecer las instrucciones 37 dadas por el responsable del tratamiento del conjunto de datos personales organizado existente. Es evidente que la contemplación de la relación entre un responsable de tratamiento y un encargado del tratamiento se deben a las necesidades emergentes en la sociedad de la información en que convivimos hoy en día, pero tema aparte son las responsabilidades y funciones que cumple cada uno una vez establecida la relación jurídica mencionada. Así, la DGTAIPD realiza un análisis de la relación establecida para realizar el tratamiento de los datos personales del Denunciante. Al respecto, la autoridad de segunda instancia menciona que la remisión de un speech de venta de parte de ONCOSALUD hacia GSP y posteriormente a BIZNES y el hecho de que la administrada haya podido establecer rápidamente las acciones pertinentes para que los datos personales del Denunciante sean inscritos en una lista de bloqueo evidenciaban la posición de control que tenía ONCOSALUD sobre los otros dos sujetos. Por consiguiente, concordamos con la DFI y la DGTAIPD respecto a la definición de ONCOSALUD como un responsable de tratamiento; mientras que, GSP y BIZNES se configurarían como encargados de tratamiento, dado que estos se encontraban subordinados de forma directa o indirecta a las instrucciones que brindó ONCOSALUD respecto al ofrecimiento de sus productos y servicios. Ahora bien, consideramos que no basta determinar que ONCOSALUD ha asumido la calificación de responsable de tratamiento para que adjudicarse la responsabilidad por la configuración de una supuesta conducta infractora. Dicho esto, 38 ¿se ha comprobado de manera fehaciente que el consentimiento no ha sido obtenido? En la etapa instructora, la DFI, a través del Informe Final de Instrucción N.º 069-2021-JUS/DGTAIPD-DFI2, adicionó mayor argumentación referente a su recomendación de sancionar a ONCOSALUD, en base a los escritos adicionales presentados por la administrada. En atención a ello, ONCOSALUD estableció que se encontraban ante una situación en que el Denunciante fue contactado en base a los lineamientos establecidos por la Autoridad mediante la Opinión Consultiva N.º 05-2019-JUS/DGTAIPD, la cual instaura que es posible contactar a un titular de datos personales, sin que haya mediado la obtención del consentimiento de forma previa, siendo que este primer contacto- independientemente del medio de contacto- se dará con el fin de obtener el consentimiento con todos los caracteres que la envuelven. Con todo eso, estos datos recopilados y usados para contactar a los titulares de datos personales debieron haberse obtenido de fuentes lícitas y/o de fuentes de acceso público. Al respecto, la DFI disiente de los argumentado por la administrada. En ese orden, la autoridad instructora menciona que la recopilación del consentimiento del Denunciante a través de la teoría del “primer contacto” no es aplicable en el presente caso objeto de análisis, dado que no se ha evidenciado que los datos hayan sido extraídos de una fuente de acceso público o se hayan recabado de conformidad a la normativa de la materia de protección de datos personales. Así, concluyó que ONCOSALUD no recabó la información personal del Denunciante con su consentimiento informado, libre, expreso y previo. 2 Extraído desde folio 506 hasta el folio 534 del Expediente 158-2020-PAS 39 Teniendo en consideración lo esgrimido por la administrada y la autoridad instructora, surge la siguiente interrogante ¿Esto significa que los datos personales que se encuentran dispuestos en fuentes de acceso público pueden ser solicitados y posteriormente recopilados sin limitación alguna? En principio, el artículo 14 numeral 2 de la Ley establece que no se requiere obtener el consentimiento del titular de los datos personales que se encuentren en contenidos en fuentes (bases de datos) accesibles a todos (para el público). En ese sentido, esa información personal de distintos titulares de datos puede ser solicitada por terceros ajenos. No obstante, es necesario mencionar que el tratamiento de datos personales no solo debe cumplir con el principio de consentimiento, sino que hay otros principios reguladores que envuelven al marco normativo de protección de datos, tales como el principio información, finalidad, proporcionalidad, seguridad, entre otros afines que deben ser cumplidos por parte de un responsable de tratamiento y sus encargados de tratamiento respectivos. Dicho esto, es necesario ahondar sobre lo referente al principio de finalidad en la Ley: “Artículo 6. Principio de finalidad Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación (…)” (subrayado nuestro). De la anterior cita, se colige que los datos personales que fueron recopilados para un fin específico deben ser usados en el contexto determinado de forma expresa, dado que exceder dichos límites implicaría una vulneración a la disposición de control que parte del titular de datos personales. 40 A modo de establecer una guía clara en favor de los administrados, la Autoridad ha puesto especial precisión en el principio de finalidad a través de la Opinión Consultiva N.º 038- 2018-JUS/DGTAIPD mediante la cual relata la importancia de esta, teniendo en consideración la definición establecida en el artículo 6 de la Ley, indicando que la información personal contenida en alguna fuente de acceso público sea usada para fines publicitarios, debería obtenerse la autorización respectiva del titular de datos correspondiente, indicando así que es posible que este pueda ser contactado para obtener su consentimiento para las finalidades adicionales que se soliciten (2018, p. 4). En efecto, esta directriz fue consolidada a través de la Opinión Consultiva N.º 005-2019-JUS/DGTAIPD, la cual fue traída a colación por parte de la administrada. Teniendo en cuenta los elementos previamente discernidos, consideramos que la autoridad instructora no ha establecido la motivación suficiente para llegar a la conclusión de que ONCOSALUD no ha garantizado la obtención del consentimiento. Es necesario precisar que en un procedimiento administrativo sancionador, la autoridad encargada debe promover la obtención de la verdad material, específicamente contemplado en el artículo 1 numeral 11 del artículo IV del Texto Único Ordenado de la Ley de Procedimiento Administrativo General, TUO de la Ley N.º 27444, el cual instaura como deber por cumplir de parte de la autoridad administrativa que esta pueda verificar plenamente los hechos que sirven de motivación a las decisiones que emitan, siendo esto así, la autoridad administrativa en cuestión debe procurar tomar todas las medidas probatorias necesarias y legales, aún cuando no hayan sido propuestas por los administrados encausados en el procedimiento administrativo específico. 41 Al respecto, Guzmán Napurí (2016) postula que “la Administración no debe contentarse con lo aportado por el administrado, sino que debe actuar, aun de oficio para obtener otras pruebas y para averiguar los hechos que hagan a la búsqueda de la verdad material (…).” (p. 85). En ese sentido, observamos que la DFI no solo no requirió la información pertinente para comprobar lo afirmado por la administrada. Aunado a ello, a sabiendas de que la línea de argumentación de la administrada era que no tenía una relación establecida con los call centers, pudo emitir sendas cartas con el fin de consultar si estas recabaron los datos personales del Denunciante, de conformidad a lo establecido en las Opiniones Consultivas citadas líneas arriba. No obstante, la línea argumentativa de la autoridad instructora dista de presentar una correcta sustentación de la estableció que dado que no hubo medios probatorios que comprueben lo contrario, automáticamente esta consideró que aquello fue suficiente para indicar que las llamadas telefónicas no calificaban como primer contacto. Siendo esto así, la DFI desatendió su deber de determinar lo que ocurrió en el caso específico, dado que no hubo una verificación plena de lo afirmado por la administrada. Al respecto, el Ministerio de Justicia, a través de su Guía práctica sobre la actividad probatoria en los procedimientos administrativos (2016) indica que “[s]in la determinación cierta de los hechos en un caso, la autoridad no puede reconocer u otorgar un derecho; imponer una sanción o la medida correctiva pertinente.” (p. 20). Como resultado de ello, las conclusiones de la DFI en la fase instructora fue que con eso se validaba que no hubo una obtención válida del consentimiento, dado que la información no provenía de fuentes lícitas de recopilación. 42 Dicho de otra manera, al no buscar establecer un sustento específico a la verdad formal planteada por la administrada, la DFI prefirió limitarse a negar la afirmación sin una confirmación material de los mismos, dado que bajo este raciocinio, si es que los datos personales del Denunciante no fueron recopilados de fuentes de acceso público o fuentes lícitas, la recopilación de esta información se dio de forma contraria a lo planteado por la Ley, el Reglamento y las Opiniones Consultivas previamente citadas. Es necesario precisar que la afirmación sin sustento real emitida por la DFI en la fase de instrucción incurriría incluso en la vulneración de la presunción de veracidad, la cual consta como garantía de todo administrado incurso en un procedimiento administrativo sancionador. En atención a ello, Baca Merino (2020) menciona que precisamente la etapa instructora de un procedimiento administrativo sancionador posee su utilidad porque este principio de presunción de veracidad puede verse o no relativizado, dando como resultado una correcta imputación de cargos de infracción. (p. 269). Dicho de otra manera, si la autoridad instructora no puede determinar de manera la imputación de cargos pone en riesgo las decisiones que pueda optar por apoyar o desarrollar las instancias resolutoras del procedimiento administrativo sancionador. Por todo lo expuesto, es necesario concluir que si bien es cierto que ONCOSALUD sí se configura como responsable de tratamiento, lo cual la hace responsable de brindar los lineamientos para el tratamiento (recopilación, uso, conservación, entre otros) de los datos personales que serán usados para la obtención de clientes de parte de los call centers. No obstante, al momento de establecer el análisis respectivo de si se obtuvo o no el consentimiento válido, la autoridad 43 instructora falló en determinar en justificar debidamente la no obtención del consentimiento válido, puesto que incurrió en la vulneración del principio de verdad material y el de principio de presunción de veracidad. 1.1.3. ¿ONCOSALUD debió asumir responsabilidades no establecidas en el contrato de locación de servicios que suscribió con GSP con relación a la obtención de la autorización de uso de los datos personales del Denunciante? El artículo 28 de la Ley establece las obligaciones que los responsables de tratamiento y los encargados de tratamiento deben cumplir con las siguientes obligaciones cuando van a realizar el tratamiento de los datos personales: “Artículo 28. Obligaciones El titular y el encargado de tratamiento de datos personales, según sea el caso, tienen las siguientes obligaciones: 1. Efectuar el tratamiento de datos personales, solo previo consentimiento informado, expreso e inequívoco del titular de los datos personales, salvo Ley autoritativa, con excepción de los supuestos consignados en el artículo 14 de la presente Ley. (…).” Al respecto, de la lectura del artículo se extrae que en una relación jurídica establecida entre un responsable de tratamiento y un encargado de tratamiento, ambos tienen la obligación de cumplir con las medidas necesarias para cumplir con los requerimientos establecidos con relación al consentimiento del titular de datos personales. En ese sentido, es viable entender que en el marco de su actuación, el responsable de tratamiento debe establecer las instrucciones específicas que debe seguir el encargado del tratamiento para realizar la recopilación, uso, almacenamiento, 44 conservación de los datos personales que sean recabados por este. Tal como se destacó en el apartado anterior, ONCOSALUD hizo referencia a la aplicación de la teoría del primer contacto, la cual no fue debidamente desestimada o contradicha por parte de la autoridad instructora, siendo que no solicitó ni obtuvo prueba contundente que compruebe la procedencia ilícita de la información personal recabada en el banco de datos personales de titularidad de BIZNES. Sin perjuicio de ello, notamos que la DPDP sí realizó un análisis un poco más exhaustivo respecto a la configuración o no de la infracción del tratamiento de datos personales sin el debido consentimiento del titular de datos. Al respecto, indicó que dado que ONCOSALUD se configuró como responsable del tratamiento este debió tomar las medidas pertinentes para garantizar la obtención efectiva del consentimiento de parte del Denunciante de forma previa al tratamiento de sus datos personales, tal como se observa en su fundamento 94: De la cita anterior, se extrae que la DPDP postula que en base a las grabaciones de las llamadas telefónicas habría quedado en constancia que el Denunciante ya habría denegado su consentimiento, así como la reiteración de su solicitud de eliminación de sus datos en las bases en cuestión. Por ello, la DPDP establece que ONCOSALUD no adoptó las medidas pertinentes para obtener el consentimiento y el posterior tratamiento de datos del Denunciante. 45 Dada la argumentación de la autoridad resolutora de primera instancia, surgen las siguientes cuestiones: la autoridad resolutora de primera instancia es consciente de que materialmente ONCOSALUD estuvo imposibilitada de realizar de forma directa el tratamiento de los datos personales del Denunciante, pero independientemente de ello, en su calidad de responsable de tratamiento sí pudo determinar las medidas pertinentes (instrucciones a seguir para el tratamiento de los datos personales) para garantizar la obtención del consentimiento del Denunciante y dar un tratamiento correcto a sus datos personales. Dicho esto, surgen las interrogantes de ¿en qué consisten las medidas pertinentes indicadas por la DPDP? ¿si ONCOSALUD comprueba que cumplió dichas medidas daría como resultado omitirse su responsabilidad respecto a la situación de vulneración generada en detrimento del Denunciante? Es necesario precisar, que la normativa de datos (Ley y Reglamento) no plantea de manera específica en qué consisten dichas medidas en cuanto al tratamiento de los datos personales que específicamente deban cumplir los responsables de tratamiento y encargados de tratamiento. Los más cercano y referido a medidas a tomar por parte del responsable del tratamiento son las medidas técnicas y organizativas estas se refieren al respeto del principio de seguridad y confidencialidad que se debe mantener sobre los datos personales recopilados y efectivamente almacenados en bancos de datos personales y, en adición a ello, la Autoridad ha publicado el documento denominado “Directiva de Seguridad”, el cual establece las condiciones mínimas de protección que debe cumplir un banco de datos con ciertas características objetivas al momento de ser creado y en base a las características del conjunto de la información a recopilar. 46 En ese sentido, a nivel normativo, se le da un amplio marco de actuación a los administrados que se encuentran en ámbito de aplicación de la Autoridad para dar cumplimiento al resto de obligaciones a las que se sujeta en relación con la Ley y su Reglamento. En esa línea, Corral y otros autores (2019) indican que para la correcta protección de los datos personales de las personas no solo depende de los responsables y encargados de tratamientos de estos, sino que ello también implica que las autoridades competentes promuevan el cumplimiento de esta normativa con la adopción de medidas adecuadas a través del desarrollo de herramientas, guías, directivas y orientaciones precisas para dicho objetivo. (p. 152). Dicho esto, al inicio del presente caso, en marzo de 2020, la Autoridad solo había emitido una Opinión Consultiva N.º 05- 2019-JUS/DGTAIPD referida al primer contacto en situaciones en que se establezca un contacto telefónico con los prospectos de clientes a quienes ofrecer bienes/servicios. Asimismo, en el año 2017, se emitió la jurisprudencia administrativa por parte de la DPDP, la Resolución N.º 378- 2017-JUS/DPDP, en que se establecieron hechos fácticos similares, cuyo análisis de parte de autoridad de primera instancia determino que el ejercicio de los derechos de acceso y cancelación se debían de realizar de conformidad a los plazos y procedimientos establecidos en la normativa existente. En ese sentido, de la lectura conjunta de ambos documentos en referencia a los hechos similares planteados y la forma excepcional en que se permite contactar a un titular de datos sin su previo consentimiento, notamos un gran grado de permisibilidad sobre el actuar de los agentes económicos inmersos en este tipo de actividades económicas. Dada la 47 situación, Vasquez Ramos (2021) postula que este “primer contacto se convirtió en la excusa perfecta para llamar a diestra y siniestra, tiñéndose de claros elementos que podrían calificar dicha conducta como un “acoso blando” o un uso indebido de los datos personales de los consumidores” (p. 22). Por ello, es posible inferir que las medidas que se naturalizaron por jurisprudencia previa de órganos parte de la Autoridad y la Opinión Consultiva mencionado son las referentes a cómo debe actuar un agente económico en cuanto a la denegatoria del consentimiento en el contexto de situaciones de ofrecimiento de productos y servicios por medios telefónicos. Sin perjuicio de ello, consideramos que la Autoridad debió ejecutar en mayor medida su función orientativa para establecer parámetros claros y mínimos exigibles para estos actores económicos que ejecutan estas actividades económicas, tal como sí lo han realizado otras agencias de protección de datos en distintos ordenamientos jurídicos, tales como la Agencia Española de Protección de Datos, quien ante lo apremiante del problema existente emitió una circular en que establece requisitos exigibles para los sujetos que realizan el telemarketing telefónico3. Ahora bien, ¿qué sucede con las medidas pertinentes por las que debe optar ONCOSALUD en cuanto a la obtención del consentimiento? Con relación a ello, se ha evidenciado que ONCOSALUD ha brindado un speech a GSP y; por consiguiente, a los call centers, quienes al momento de contactar a los prospectos de clientes para el ofrecimiento de sus productos y 3 Para mayor abundamiento sobre las prácticas de la autoridad administrativa encargada de proteger los datos personales de los sujetos de derecho, puede revisar el siguiente hipervínculo: https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-la-circular-sobre-el- derecho-de-los-usuarios https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-la-circular-sobre-el-derecho-de-los-usuarios https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-la-circular-sobre-el-derecho-de-los-usuarios 48 servicios, solicitan de forma expresa el consentimiento de estos titulares de datos: “SPEECH-VENTA REGULAR 1. SALUDO (…) RPTA: Si el cliente NO ACEPTA: Desearía que lo contactemos en otro momento? SÍ/NO Si el cliente NO ACEPTA: Continuar con la autorización de la grabación” (subrayado nuestro). Por todo lo expuesto, ONCOSALUD sí habría establecido las cláusulas pertinentes a través de GSP para que BIZNES obtener precisamente el consentimiento para el tratamiento de los datos personales de los titulares de datos contactados; no obstante, no se ha establecido una medida específica para procesar la denegatoria del consentimiento en los términos que plantea la DPDP en el desarrollo de su argumentación, dado que no se habría establecido dicha forma de actuación de la normativa, jurisprudencia ni documentos orientativos emitidos por la Autoridad o sus órganos. 1.1.4. ¿La existencia de un procedimiento administrativo previo cuyo desarrollo se ha basado en hechos similares puede determinar qué responsabilidades debe asumir ONCOSALUD en el presente caso? A través de sus diversos escritos, ONCOSALUD trajo a colación la existencia de un pronunciamiento previo de parte de la Autoridad en la Resolución Directoral N.º 378-2017-JUS/DPDP (en adelante, la Resolución del 2017) en que se plantea una forma de proceder distinta a lo que se ha desarrollado en el presente procedimiento administrativo, a pesar de que las circunstancias configuradas son similares a las ocurridas en el presente caso. 49 Por un lado, en la denuncia analizado en la Resolución del 2017, el reclamante indicó que habría recibido una serie de llamadas telefónicas de prospección comercial en que se le ofrecieron productos y/o servicios de ONCOSALUD. Así, en dichas llamadas telefónicas, manifestó indicar que no se encontraba interesado en recibir tales ofrecimientos comerciales. Siendo esto así, el reclamante solicitó acceder de la información relacionada al tratamiento de sus datos personales, con el fin de saber sobre la información personal que almacenan de él, la forma en que se recopiló la misma, quien solicitó dicho tratamiento, la motivación del tratamiento, entre otros. Por otro lado, en la denuncia establecida en el presente caso, el Denunciante indicó que en cada llamada que recibía indicaba que no se encontraba interesado en continuar con la llamadas, así como solicitó expresamente la eliminación de sus datos personales de las bases de datos que las contenían. Con el fin de reflejar lo mencionado, el Denunciante incluyó dos (02) grabaciones de llamadas telefónicas distintas en que se indica lo mencionado. De hecho, en la segunda llamada telefónica adjunta, se puede escuchar que la operadora telefónica le comunica al Denunciante que para que su solicitud de borrado de datos personales debe comunicarse directamente con un número telefónico o correo electrónico de ONCOSALUD. De lo mencionado, concordamos con que los hechos fácticos que dieron inicio al devenir del procedimiento administrativo trilateral de la Resolución del 2017 son similares a los hechos ocurridos en el presente caso en cuestión. Ciertamente, en ambos casos, los titulares de datos afectados comentan las mismas circunstancias en que se generaron las afectaciones a su derecho de autodeterminación informativa, por lo que, solicitaron que no se les ofrezca más publicidades comerciales 50 de ONCOSALUD y; por ende, la eliminación de sus datos personales para evitar nuevamente un contacto posterior. Dicho de otra manera, ambos titulares de datos solicitaron el ejercicio de su derecho de cancelación de datos personales, el cual consiste en “aquella facultad que tiene el titular de los datos de carácter personal para solicitar la eliminación de su información de los archivos privados en los casos que para tal efecto le permita la Ley” (Frutos, 2013, p. 15). Por ello, notamos que ambos titulares de datos pretendían solicitar el borrado de su información personal a aquellos sujetos que tenían su información personal contenida en sus respectivas bases de datos, independientemente, del ejercicio de otros derechos tales como el de acceso de parte del titular de datos afectado en la Resolución del 2017. En ese sentido, es evidente que el presente caso ha tenido un devenir distinto al previsto a lo planteado en el año 2017, lo cual se observa desde el planteamiento de un procedimiento administrativo distinto al usado en aquel entonces. Siendo esto así, surge la siguiente interrogante ¿se ha vulnerado el principio de predictibilidad o confianza legítima, contemplada en el TUO de la LPAG? La importancia del principio administrativo mencionado proviene desde bases constitucionales. En efecto, de conformidad al artículo 2 numeral 2 de la Constitución4 se reconoce el derecho a la igualdad ante la Ley, cuyos alcances y contenido esencial ha sido ampliamente descrito por jurisprudencia y doctrina. 4 Constitución Política del Perú de 1993 Artículo 2.- Toda persona tiene derecho: (…) 2. A la igualdad ante la Ley. Nadie debe ser discriminado por motivo de origen, raza, sexo, idioma, religión, opinión, condición económica o de cualquiera otra índole. 51 Al respecto, el Tribunal Constitucional ha indicado que este derecho a la igualdad está compuesto por dos facetas específicas y que dan sentido a la esencia de este. En efecto, en el Tribunal ha expresado en la sentencia recaída en el Expediente 00009-2007-PI/TC: 20. “(…) Constitucionalmente, el derecho a la igualdad tiene dos facetas: igualdad ante la Ley e igualdad en la Ley. La primera de ellas quiere decir que la norma debe ser aplicable por igual a todos los que se encuentren en la situación descrita en el supuesto de la norma; mientras que la segunda implica que un mismo órgano no puede modificar arbitrariamente el sentido de sus decisiones en casos sustancialmente iguales, y que cuando el órgano en cuestión considere que debe apartarse de sus precedentes, tiene que ofrecer para ello una fundamentación suficiente y razonable. (…)” (f. 20) (subrayado nuestro). De la anterior cita se colige que este derecho no solo implica que el ordenamiento jurídico sea aplicado de igual forma a quienes se encuentran en el mismo supuesto fáctico, sino que en caso el órgano encargado de aplicar el derecho se responsabilice en cuanto decida cambiar el sentido de sus pronunciamientos previos, siendo que debe sustentar tal cambio de manera suficiente y razonable. De igual manera y con el fin de reforzar lo desarrollado jurisprudencialmente, Landa Arroyo (2017) postula que “el mandato de igualdad en la aplicación de la Ley está dirigido a la administración a los jueces, quienes ante casos con circunstancias de hechos relevantes similares o identificas, deben aplicar la misma norma o aplicar el mismo sentido interpretativo otorgado a la norma relevante para resolver la petición administrativa o el caso judicial.” (p. 38). Siendo esto así, la Autoridad y sus órganos deben aplicar la misma norma y 52 sentido interpretativo a los hechos similares en que se hayan pronunciado previamente. En razón de ello, es razonable pensar que el caso resuelto a través de la Resolución del 2017 debió tener un devenir administrativo similar al del presente caso. Siendo que, incluso pudo habérsele solicitado al Denunciante que ingrese la solicitud de tutela que recomendó la operadora telefónica en la segunda llamada telefónica grabada. La importancia de cumplir con los alcances establecidos radica la certeza y defensa contra la arbitrariedad que se le dota a todos los sujetos a nuestro ordenamiento jurídico, ya sea a nivel judicial o administrativo. En efecto, tales caracteres componen el principio de seguridad jurídica. A nivel doctrinario, la seguridad jurídica ha sido definida Rodríguez Arana (2007) como aquel “[p]rincipio esencial en el Estado de Derecho en la medida que la sumisión a unas reglas de juego jurídico conocidas de antemano por todos facilita la buena fe en el tráfico jurídico y dota a las relaciones jurídicas de la fortaleza necesaria para la armonía social” (p.251). Dicho esto, la seguridad jurídica es un principio que informa a todo el ordenamiento jurídico, siendo que provee a todas las relaciones jurídicas establecidas de una estabilidad en cuanto al desenvolvimiento de estas, generando así confianza entre los sujetos involucrados. Mientras que, a nivel jurisprudencial, el Tribunal Constitucional se ha pronunciado respecto a la importancia de este principio jurídico a través de la sentencia recaída en el Expediente N.º 01601-2012-PA/TC: 53 “25. En ese sentido, queda claro para este Tribunal que el principio de seguridad jurídica se ve afectado allí donde, en un mismo ordenamiento jurídico, subsisten de dos o más interpretaciones dispares en torno a la constitucionalidad de una misma norma, situación ésta en la cual la predictibilidad y la certeza de los pronunciamientos jurisdiccionales se verían seriamente trastocadas, siendo no menos evidente la afectación del derecho a la igualdad en la aplicación de la Ley.” (subrayado nuestro) La interpretación jurisprudencial nos brinda una perspectiva más acotada de lo que se debe entender por este principio. Así, el Tribunal menciona que la existencia de más de una interpretación de una normativa en específico puede generar una afectación a la seguridad jurídica dado que esto implicaría la existencia de incertidumbre en la forma en que las autoridades administrativas y judiciales aplican la Ley. Ahora bien, teniendo en cuenta la importancia que se le otorga a nivel constitucional el tener certeza sobre la actuación de los poderes públicos, brindado así garantía a los sujetos a las mismos; es menester indicar que existe la representación expresa de dicha protección constitucional a nivel de la Administración Pública. Ciertamente, el artículo IV numeral 1.15 del TUO de la LPAG5 establece el principio de predictibilidad y confianza legítima, la cual se define como aquel principio que promueve que las autoridades administrativas brinden a sus administrados 5 Texto Único Ordenado de la Ley General de Procedimiento Administrativo General, TUO de la Ley N.º 27444 Artículo IV.- Principios del Derecho Administrativo (…) 1.15. Principio de predictibilidad o de confianza legítima. - La autoridad administrativa brinda a los administrados o sus representantes información veraz, completa y confiable sobre cada procedimiento a su cargo, de modo tal que, en todo momento, el administrado pueda tener una comprensión cierta sobre los requisitos, trámites, duración estimada y resultados posibles que se podrían obtener. Las actuaciones de la autoridad administrativa son congruentes con las expectativas legítimas de los administrados razonablemente generadas por la práctica y los antecedentes administrativos, salvo que por las razones que se expliciten, por escrito, decida apartarse de ellos. La autoridad administrativa se somete al ordenamiento jurídico vigente y no puede actuar arbitrariamente. En tal sentido, la autoridad administrativa no puede variar irrazonable e inmotivadamente la interpretación de las normas aplicables. 54 información que sea veraz, completa y confiable sobre los procedimientos a cargo de una autoridad en específico. Asimismo, las actuaciones de las autoridades administrativas proveen expectativas legítimas a los administrados a través de sus prácticas o por antecedentes administrativos, salvo que estas autoridades dejen en constancia de forma explícita su apartamiento de estos formas previas de actuación. Al respecto, es necesario analizar lo dispuesto por la DGTAIPD en la resolución objeto del presente análisis. Así, en su fundamento 93 indica lo siguiente: “93. Si bien ambos procedimientos podrían partir de situaciones de hecho similares, lo cierto es que el ámbito objetivo de análisis de las materias que se discuten es distinto, así como los efectos de la decisión de la autoridad.” (subrayado nuestro) De este modo, la DGTAIPD reconoce que si bien los hechos son coincidentes, eso no significa que el objeto de análisis sea necesariamente sea el mismo. No obstante, es evidente de que no hay una motivación expresa de por qué ahora la autoridad resolutora ha decidido optar por el cambio del objeto de análisis. Siendo que el fundamento previo al citado se dedica a narrar los hechos ocurridos en el presente caso, por lo que surge la interrogante ¿la autoridad resolutora en segunda instancia ha cumplido con brindar una correcta motivación fundada y razonable respecto al apartamiento del criterio establecido en la Resolución del 2017? Cairampoma (2014) postula que la garantía que se le brinda a los administrados sujetos a diversas entidades de la Administración radica en que esta última les pueda brindar resultados certeros en un caso igual, siempre y cuando no se aparte de dicho criterio previo con una debida motivación. En ese 55 sentido, a través del fundamento 92, la DGTAIPD establece lo siguiente: “92. Ahora bien, en el presente caso, la materia de discusión no se circunscribe a una reclamación iniciada por un ciudadano en ejercicio de sus derechos ARCO, sino a un procedimiento administrativo sancionador por presuntos incumplimientos de la normativa de protección de datos, cuya consecuencia puede culminar con la imposición de una sanción de ser hallado responsable, así como la imposición de medidas correctivas que buscan restablecer los efectos jurídicos de la conducta y evitar que esta se siga produciendo.” (subrayado nuestro). De forma concreta, la DGTAIPD se limita a mencionar a que no se puede aplicar el criterio establecido en el año 2017, siendo que las naturalezas de ambos procedimientos administrativos son distintos y, por ello, su devenir también lo es. En efecto, nos percatamos de la existencia de una forma de proceder distinta de parte de la Autoridad, siendo que ante hechos similares, en que se solicitó el ejercicio de derechos ARCO (derecho de Acceso y derecho de Cancelación) de parte del reclamante de la Resolución del 2017 se procedió a analizar el problema jurídico a través de un procedimiento trilateral de tutela; mientras que, en el presente caso, a pesar de que el Denunciante indicó en su Denuncia que habría solicitado el ejercicio de su derecho de Cancelación por llamada telefónica, no cumplió con ingresar previamente su solicitud de tutela de derechos previamente ante ONCOSALUD, por lo que, incluso con la falta de dicho documento, la Autoridad, de forma consecuente con su forma previa de analizar y proceder con la aplicación de la Ley y su Reglamento, debió declarar improcedente la Denuncia interpuesta ante su mesa de partes. Es necesario precisar que si bien no existen diferencias fácticas en los hechos ocurridos en ambos casos, en el desarrollo del presente procedimiento administrativo, notamos que el Denunciante adjuntó como medios probatorios dos (02) 56 grabaciones de llamadas telefónicas que abren la posibilidad de analizar una arista adicional a lo ocurrido en el hecho anterior, eso no implica que lo determinado en la Resolución del 2017 debiera dejar de aplicarse. De hecho, la doctrina ha indicado que es erróneo pensar que la jurisprudencia administrativa no cuenta con alguna especie de vinculación para la actuación de la Administración Pública, dado que ello podría generar una vulneración al principio de predictibilidad (Tirado Barreda, 2010, en Cairampoma Arroyo, 2014, p. 488). En pocas palabras, lo determinado en la Resolución del 2017 debería seguirse aplicando en el desarrollo del presente caso. Siendo esto así, se debe tener en cuenta que las conclusiones obtenidas de la Resolución de 2017 debería tener aplicación en el presente caso, independientemente de si nos encontramos o no ante procedimientos administrativos de naturaleza distinta. Dicho esto, siendo que la única motivación de parte de la DGTAIPD para apartarse de esta decisión fue establecer la diferencia de las naturalezas de los procedimientos administrativos comparados, pareciera no existir motivación suficiente y/o razonable para realizarse un apartamiento del criterio previamente usado por uno de los órganos que componen a la Autoridad (la DPDP). 57 1.2. ¿Se ha configurado una correcta valoración de los factores de graduación de la sanción impuesta ONCOSALUD así como de la imposición de las medidas correctivas? 1.2.1. ¿La solicitud de bloqueo de los datos personales en la Lista No Contactar por parte de ONCOSALUD se considera una condición atenuante o eximente de responsabilidad? Respecto a esta acción, ONCOSALUD advirtió en la etapa de fiscalización e instrucción que el 25 de agosto emitió un correo electrónico que fue dirigido a GSP y reenviado a los calls center en atención al caso ocurrido, de forma voluntaria. Así, desde dicha fecha solicitó la eliminación de los datos personales del Denunciante en las bases de datos de todos los calls centers subcontratados, con el fin de no establecer contacto nuevamente con el Denunciante y no disponer de sus datos de manera contraria a lo solicitado por este mediante las telefónicas. Cabe resaltar que esta subsanación fue planteada y comentada por la administrada previo a la emisión del Informe de Fiscalización emitida por la DFI (notificada en enero de 2021). Evidencia de ello es que la fecha en que se emitió la decisión de enmienda (agosto de 2020) y la comprobación de esta (octubre de 2020), tal como se observa en una de las comunicaciones de parte de uno de los call centers: “Estimado (a) LUIS MIGUEL Buenas tardes, por medio del presente confirmamos el bloqueo realizado al número en consulta el día 25 de agosto en base a lo solicitado en el 58 correo con asunto: RV: URGENTE ATENCION: Denuncia MINJUS”6. (subrayado nuestro). La autoridad instructora indicó que el hecho materia de denuncia es insubsanable, dado que es una infracción instantánea, puesto que la lesión al bien jurídico protegido se produce en un solo acto y no se produce una situación antijurídica duradera. Adicional a ello, la DGTAIPD concuerda con lo desarrollado por la autoridad instructora, indicando que se habría configurado una infracción instantánea que podría terminar configurándose como una serie de infracciones continuadas por supuestas afirmaciones del Denunciante, quien señalo que los encargados de ONCOSALUD le llamaron constantemente. Siendo esto así, la DGTAIPD indicó en su fundamento 103: “En efecto, se aprecia el carácter irreversible del efecto del uso no consentido de los datos personales del denunciante, el contacto telefónico no deseado, así como otro factor muy importante: la persistencia del riesgo de que dicha acción se repita, en tanto la administrada no disponga el bloqueo y cese de tratamiento de dichos datos, lo cual sucedió después del 24 de agosto de 2020” (subrayado nuestro). Asimismo, la DGTAIPD indicó que para establecer la correcta configuración de un eximente y/o un atenuante, la administrado debería reconocer su conducta infractora. Al respecto, es necesario precisar que no concordamos con la DGTAIPD, quien indica que de manera indistinta se debe cumplir con un reconocimiento expreso de la comisión de una infracción. Al contrario, tal obligación tan solo se observa en el 6 Extraído de folio 296 del Expediente Nº 158-2020-PAS 59 caso de la aplicación de un atenuante de la responsabilidad, mas no en el caso de la aplicación de un eximente7. Ciertamente, diferimos de la calificación otorgada por la DFI y la DGTAIPD al tipo de infracción cometida. Es necesario tener en cuenta que estando ante un supuesto de contactabilidad con fines comerciales y/o publicitarios bajo la teoría del primer contacto, tan solo basta que este potencial cliente rechace la continuación de la llamada expresando su desacuerdo con la misma y/o indicando que requiere que sus datos personales sean borrados para que se proceda a eliminar aquellos datos obtenidos por medios legítimos previos. La infracción se genera cuando se vuelve a establecer contacto con el mismo titular de datos personales vuelve a ser contactado, con el fin de ofrecer los servicios y/o productos del responsable de tratamiento. Dicho en otras palabras, la siguiente llamada a la denegación del consentimiento de contactabilidad para fines comerciales y/o publicitarios de un agente económico especifico genera la infracción tipificada: Dar tratamiento a los datos personales sin el consentimiento libre, expreso, inequívoco, previo e informado del titular, cuando el mismo sea necesario conforme a lo dispuesto en la Ley y su Reglamento. En ese sentido, es lógico mencionar que una vez que se denegó el consentimiento para mantener los datos personales 7 Texto Único Ordenado de la Ley General de Procedimiento Administrativo General, TUO de Ley 27444 Artículo 257.- Eximentes y atenuantes de responsabilidad por infracciones 1.- Constituyen condiciones eximentes de la responsabilidad por infracciones las siguientes: (…) f) La subsanación voluntaria por parte del posible sancionado del acto u omisión imputado como constitutivo de infracción administrativa, con anterioridad a la notificación de la imputación de cargos a que se refiere el inciso 3) del artículo 255. 60 del Denunciante en las bases de datos de los calls centers automáticamente se generó una situación permanente de infracción, toda vez que se configure una llamada telefónica Denunciante se evidenciará la permanencia de la comisión de la infracción, puesto que la primera negativa del consentimiento basta para saber que cualquier tratamiento adicional de los datos personales de este sujeto es contrario a lo postulado en la Ley y su Reglamento. Dicho de otra manera, la configuración de esta infracción evidenciaría la persistencia de la conducta infractora, no los efectos de esta, puesto que los calls centers, por una inactividad de ONCOSALUD en cuanto a la cancelación de los datos personales del Denunciante, realizan sus actividades de contactabilidad a diestra y siniestra, incluso sin contar con el consentimiento de parte del Denunciante. Siendo esto así, el hecho generador del ilícito solo dejaría de configurarse cuando el autor de esta ya no persista con la misma. Sobre el particular, se ha postulado por la doctrina que las infracciones permanentes “[…] se caracterizan porque determinan la creación de una situación antijurídica que se prolonga durante un tiempo por voluntad de su autor. Así, a lo largo de aquel tiempo el ilícito se sigue consumando, la infracción se continúa cometiendo, se prolonga hasta que se abandona la situación antijurídica” (Palma del Teso, 2001, p. 557, como se citó en Ayvar y Waldo, 2019) Siendo esto así, consideramos que se ha configurado una infracción permanente, puesto que solo tras el procesamiento del bloqueo y/o eliminación de los datos personales del Denunciante, no podría verse nuevamente afectado en cuanto al control de su información personal. 61 Ahora bien, en referencia al supuesto carácter irreversible del efecto mencionado por la DGTAIPD, debemos precisar que ante un supuesto de subsanación voluntaria “(…) se deberá revertir los efectos dañinos producto de la comisión de la infracción, acción que dependerá de los alcances, efectos y daños producidos al bien jurídico protegido por la administración” (Morón, 2020, como se citó en Zumaeta Arévalo, 2021). Teniendo en consideración que la normativa en materia de datos ha sido establecida con el fin del materializar la protección del derecho de autodeterminación informativa de parte de los titulares de datos personales, una vez que la administrada realizó las acciones pertinentes para bloquear y/o borrar los datos personales del Denunciante, este último recuperó el control de su información personal. Por todo lo expuesto, consideramos que las acciones establecidas por ONCOSALUD deben ser consideradas como una subsanación voluntaria, la cual está dispuesta en el TUO LPAG, el cual califica a esta como un eximente de la responsabilidad de la infracción cometida. Por lo que, no debió generarse la continuidad del procedimiento administrativo sancionador iniciado. 1.2.2. ¿La aplicación del criterio denominado intencionalidad fue debidamente imputado a ONCOSALUD en el presente caso? El TUO de la LPAG determinó en su artículo 248 numeral 10 todo lo referente al principio de culpabilidad, mediante el cual establece que la regla general referente a la responsabilidad de los administrados es que esta sea analizada de forma subjetiva, dando como excepción que en normativas especiales, la 62 responsabilidad se establezca de forma objetiva. Morón Urbina (2017) indica que el principio de culpabilidad en su sentido subjetivo procura brindar garantía a los administrados para que la comisión de infracciones no sean imputadas si es que no es posible la acreditación de dolo en la realización de la conducta o en el efecto dañoso que se haya producido. En pro de complementar el principio de culpabilidad, se ha establecido a nivel del TUO de la LPAG la aplicación del principio de razonabilidad como un principio uniformizador en todo procedimiento administrativo sancionador. El principio de razonabilidad, contemplado en el artículo 248 numeral 3 inciso g) del TUO de la LPAG, se define como aquel cuyo fin consta en evitar que la comisión de infracciones sean más ventajosas que cumplir con la normativa jurídica específica. Por consiguiente, se contempla una serie de factores a considerar para reducir o aumentar la sanción a un administrado específico, entre ellos se encuentra la existencia o no de intencionalidad en cuanto a la conducta del infractor. Teniendo en cuenta lo mencionado anteriormente, es necesario mencionar que la normativa de protección de datos personales apuesta por un sistema de responsabilidad objetiva, lo cual se observa en el artículo 38 de la Ley. En esa línea, Tirado Barrera (2019) define a la responsabilidad objetiva como “(…) la inexigibilidad de dolo o culpa en una conducta para considerarla infracción, sin afectar la necesaria concurrencia de otros elementos ni impedir la presencia de causas eximentes de responsabilidad.” (s/p). En otras palabras, la comisión de alguna infracción se configurará tan solo con la inobservancia o actuación contraria a lo estipulado en la normativa de protección de datos. 63 Debemos mencionar que al momento de establecer la graduación de la sanción de parte de la DGTAIPD, se contempló como un factor agravante la supuesta configuración de intencionalidad de parte de ONCOSALUD, lo cual resulta en una incoherencia dado el tipo de responsabilidad que tiene contemplada la Ley en cuanto a la comisión de infracciones. No obstante, la Metodología para el Cálculo de las Multas en materia de Protección de Datos Personales sí considera como factor agravante la existencia de intencionalidad de la siguiente manera: Extraído del Cuadro 3 de la Resolución Ministerial N.º 0326-2020-JUS A raíz de la imagen citada, se evidencia que a pesar de que el sistema de responsabilidad en materia de datos es objetiva, el cálculo de las multas aplicables a los administrados infractores hace uso de conceptos que pertenecen al sistema de responsabilidad subjetiva, específicamente hablando de la intencionalidad como factor agravante, lo cual se traduce como la formación de una motivación incoherente a la hora de graduar la sanción correspondiente. Aun cuando la DGTAIPD no se pronunció específicamente respecto al criterio de la intencionalidad, sí concordó con lo que la DPDP haya impuesto tal criterio para sobrecargar la sanción impuesta a ONCOSALUD. Siendo ello así, la DPDP estableció en su motivación lo siguiente: 64 Extraído del folio 33 de la Resolución N.º 3439-2021-JUS/DGTAIPD-DPDP Respecto a la cita anterior, primero, observamos que la DPDP establece que ONCOSALUD debió tener en cuenta si actuó con diligencia o no respecto a la configuración de la infracción imputada. Asimismo, indicó que dada la cantidad de las ventas realizadas por la administrada, debido tener mayor nivel de diligencia aún. Debemos mencionar que el concepto de debida diligencia se define como aquel que permite determinar las acciones tomadas por parte del sujeto evaluado en cuanto a sus acciones para incurrir o no en una conducta contraria a la solicitada. Así, Baca Oneto (2019) postula que “existirá culpa o negligencia cuando se produzca el resultado no querido por la norma o se realice la conducta generadora del riesgo, pese a que el sujeto pudo y debió evitarlo, observando y cumpliendo una norma que imponía un deber de cuidado.” (p. 326). Dicho esto, la doctrina relaciona el concepto de debida diligencia con la configuración de la responsabilidad subjetiva del administrado ante algún supuesto de infracción. 65 Independientemente de ello, cuando la DPDP habla de la existencia de conocimiento previo de parte de la administrada sobre la normativa de protección de datos personales, dado que esta ha estado involucrada en distintos procedimientos desde el año 2016, notamos que si bien concuerdo con la corta descripción brindada en el extracto del Cuadro 3, debemos tener en cuenta que eso no es suficiente para indicar que se configurado tal agravante. De hecho, si bien hay posición doctrinaria que indica que las entidades reguladoras que cuentan con sistemas de responsabilidad excepcionales (imputación de infracción en base a responsabilidad objetiva), no deben eliminar los factores atenuantes o agravantes de sus metodologías de calculo de multa, sino que estos deben propiciar dar una graduación a la sanción, considerando si las circunstancias concretas develan dolo o culpa. Tal posición es defendida por Morón Urbina (2023) quien postula que la intencionalidad en un procedimiento específico es evidente cuando de “[l]a conclusión de intencionalidad del infractor puede evidenciarse razonablemente de elementos objetivos como, por ejemplo, si el infractor desatendió recomendaciones anteriores, las instrucciones dadas, si antes realizó correctamente la acción que ahora ha incumplido (…)” (pp. 166-168). Realizando un análisis de los supuestos propuestos por el académico, podemos afirmar severamente que dado que no nos encontramos ante un procedimiento sancionador que haya tenido como objeto la misma infracción, puesto que se ha descartado la reincidencia en la misma infracción por parte de la DGTAIPD. Asimismo, ONCOSALUD no ha actuado de forma contraria a alguna instrucción dada por parte de las autoridades implicadas en el presente procedimiento administrativo 66 sancionador, siendo que no se le impuso medidas correctivas en la etapa de fiscalización que quedaran pendientes por cumplir. Por todo lo expuesto, ha quedado evidenciado que la DPDP y, consecuentemente, la DGTAPID no han podido establecer de forma fehaciente la configuración del factor agravante de intencionalidad en el presente caso, dando como resultado, incluso, la contradicción entre la aplicación de dicho criterio de ámbito subjetivo en un sistema de responsabilidad objetiva, por lo que se ha recaído en una deficiente motivación de la aplicación de dicho recargo a la sanción impuesto a ONCOSALUD. 1.2.3. ¿Es viable el cumplimiento de las medidas correctivas impuestas por la Autoridad a ONCOSALUD? Ahora bien, independientemente de lo determinado por parte nuestra en el apartado anterior, es menester mencionar que la DPDP, en la Resolución Directoral N.º 3439-2021- JUS/DGTAIPD-DPDP, consideró que era necesario solicitar la implementación de medidas correctivas a ONCOSALUD, las cuales consisten en lo siguiente: “Artículo 2.- Imponer a ONCOSALUD S.A.C. como medida correctiva la inclusión de medidas en las que se refuerce el control (…), así las encaminadas a reforzar, en dicho marco, la comunicación con los encargados y terceros subcontratados (…), a fin de que pueda estar siempre en posición de demostrar que cumple con solicitar adecuadamente el consentimiento de los receptores de las llamadas de televentas y con cesar en el tratamiento de los datos personales que no son consentidos.” (p. 34) (Subrayado nuestro). Tras la emisión del pronunciamiento de la DGTAIPD, las medidas correctivas impuestas no han sido modificadas en ningún sentido, por lo que estas persisten como obligación adicional a la multa administrativa impuesta a ONCOSALUD. 67 Es menester mencionar que las medidas correctivas son aquellas que pretenden brindar una situación de reparo o reversión de las conductas infractoras cometidas por los administrados. De hecho, Lazo Mac Dowall (2020) postula que “la finalidad de las medidas correctivas es reparar la situación alterada y devolverla a su estado anterior, al momento previo a la comisión de la infracción” (p. 6). Siguiendo la línea doctrinaria, a nivel normativo, se ha previsto regulaciones referidas a las medidas correctivas, tanto a nivel general como sectorial en la materia que nos incumbe en el presente caso. Por un lado, a nivel del TUO de la LPAG, los artículos 246 y 251 establecen lo siguiente: “Artículo 246.- Medidas cautelares y correctivas Las entidades solo podrán dictar medidas cautelares y correctivas siempre que estén habilitadas por Ley o Decreto Legislativo y mediante decisión debidamente motivada y observando el Principio de Proporcionalidad.” (subrayado nuestro). “Artículo 251. -Determinación de la responsabilidad 251.1 Las sanciones administrativas que se impongan al administrado son compatibles con el dictado de medidas correctivas conducentes a ordenar la reposición o la reparación de la situación alterada por la infracción a su estado anterior, incluyendo la de los bienes afectados, así como con la indemnización por los daños y perjuicios ocasionados, las que son determinadas en el proceso judicial correspondiente. Las medidas correctivas deben estar previamente tipificadas, ser razonables y ajustarse a la intensidad, proporcionalidad y necesidades de los bienes jurídicos tutelados que se pretenden garantizar en cada supuesto concreto.” (subrayado nuestro) Al respecto, se establece de manera expresa que las medidas correctivas deben cumplir con ciertos parámetros mínimos que responden a principios integradores del derecho administrativo, por lo que, mediante la normativa se ha procurado establecer un marco limitado de acción, en respeto de ciertos principios que recubren la materia administrativa, así como adicionalmente, otorga un obstáculo más referida a la habilitación legal de parte de las autoridades administrativas para que puedan emitir dichas medidas, procurando no influenciar en la esfera jurídica de los administrados afectados por la imposición de estas. 68 Por otro lado, la Ley8 y su Reglamento9 habilitan a los órganos respectivos de la Autoridad a imponer medidas correctivas a los administrados sujetos a sus competencias. Siendo esto así, notamos que la Ley y su Reglamento tienen similitud en lo regulado en referencia a las medidas correctivas. Efectivamente, si bien en ambas normativas, notamos la habilitación expresa para que la Autoridad, es la Ley la única que debía cumplir tal requisito de habilitación respectiva. Para el caso específico del cumplimiento del principio de legalidad, Morón Urbina ha sido más preciso y certero en determinar que la validez de una medida correctiva implica que el principio de legalidad sea cumplido no solo a nivel formal, sino que también de forma sustantiva, siendo que sobre este punto lo que el autor espera es que exista una individualización del contenido esperado de tales medidas, ya sea a través de normas reglamentarias o directrices provistas por las autoridad administrativas en cuestión (2010, p. 149). Dicho de otra manera, las medidas correctivas están limitadas al cumplimiento del principio de legalidad en dos niveles, siendo que la configuración de ambos es de suma relevancia con el fin de restringir la discrecionalidad de las autoridades administrativas facultadas para ello. Si bien la normativa reglamentaria no ofrece mayor profundización sobre los actos administrativos que puede 8 “Ley N.º 29733, Ley de Protección de Datos Personales Artículo 36.- Tipificación de infracciones (…) Sin perjuicio de las sanciones que en el marco de su competencia impongan las autoridades competentes, pueden ordenar la implementación de una o más medidas correctivas, con el objetivo de corregir o revertir los efectos que la conducta infractora hubiere ocasionado o evitar que ésta se produzca nuevamente.” 9 Decreto Supremo N.º 003-2013-JUS, Reglamento de la Ley de Protección de Datos Personales Artículo 118.- Medidas cautelares y correctivas. (…) Asimismo, sin perjuicio de la sanción administrativa que corresponda por una infracción a las disposiciones contenidas en la Ley y el presente reglamento, se podrán dictar, cuando sea posible, medidas correctivas destinadas a eliminar, evitar o detener los efectos de las infracciones. 69 imponer esta sobre sus administrados, sí es posible remitirnos a otros documentos emitidos en base a sus competencias. En efecto, el artículo 71 del Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos establece que la Autoridad se le ha atribuido como funciones emitir directrices (directivas y lineamientos) para el debido cumplimiento de la normativa de la materia tal como emitir pronunciamiento sobre procedimientos administrativos de su competencia, por lo que consecuentemente, genera un registro público de tales pronunciamientos. Respecto a la primera medida correctiva impuesta, relacionada a la solicitud de evidenciar que se solicita el consentimiento de manera adecuada, se debe tener en cuenta que el Registro de Sanciones Impuestas por la APDP10 contiene los datos esenciales relacionados a las sanciones administrativas y multas correctivas impuestas a diversos administrados sujetos a las competencias de la Autoridad. En efecto, con relación a la infracción tipificada en el artículo 132 numeral 2 literal b) se ha establecido una serie de medidas correctivas altamente similares, por no decir equivalentes en cada caso evaluado por los órganos resolutores correspondientes: “Acreditar que realiza el tratamiento de datos personales a través de (…) (obtener el consentimiento válido)”. Por lo que, la Autoridad ha establecido cierta predictibilidad sobre la solicitud de la implementación de tal medida correctiva en distintas ocasiones, así como también se sabe de antemano qué información acreditaría que se ha obtenido el contenido de forma válida, tal como se observa en la normativa sectorial, así como en diversas Opiniones Consultivas emitidas por esta autoridad. 10 Para mayor información: https://cdn.www.gob.pe/uploads/document/file/6120558/1255336-sanciones- anpd%282%29.pdf?v=1715268480 https://cdn.www.gob.pe/uploads/document/file/6120558/1255336-sanciones-anpd%282%29.pdf?v=1715268480 https://cdn.www.gob.pe/uploads/document/file/6120558/1255336-sanciones-anpd%282%29.pdf?v=1715268480 70 No obstante, respecto a la segunda medida correctiva impuesta relacionada a la implementación de un mecanismo efectivo que procese la denegatoria de consentimiento de un titular de datos tras el contacto de este para brindarle publicidad sobre ciertos productos y/o servicios, debemos manifestar que si bien pareciera responder a nuevamente la comisión del hecho infractor, respondiendo así a uno de los objetivos de previstos por el ordenamiento, es menester mencionar que la Autoridad no tiene lineamientos especificados para esta medida impuesto no solo a nivel de la Ley y su Reglamento, sino que tampoco hay una emisión que directrices o parámetros a seguir para el cumplimiento de tal medida. Reiteramos que a la fecha de la comisión de la infracción, lo único expresado por la Autoridad a través de sus Opiniones Consultivas en referencia al primer contacto y cómo debía ser tratado el tema de la denegatoria de consentimiento en el caso específico no tuvo la profundidad necesaria para brindar un marco de actuación limitado y concreto que deba cumplir el administrado que incurra en las actividades de prospección comercial o de publicidad de sus productos y/o servicios o incluso la tercerización de aquellos. Por todo ello, la Autoridad ha caído en la falencia de no proveer a sus administrados y en específico a ONCOSALUD de los medios necesarios para implementar la medida correctiva indicada, siendo que esto significaría la vulneración del principio de legalidad. VI. CONCLUSIONES Y/O RECOMENDACIONES 1. ONCOSALUD debe asumir obligaciones en su calidad de responsable de tratamiento en cuanto a la obtención del consentimiento y el 71 procesamiento de la denegatoria del consentimiento. Independientemente de ello, los órganos que componen la Autoridad, específicamente, la autoridad instructora, están obligadas a cumplir con su deber de obtener la verdad material de los hechos ocurridos, con el fin de no vulnerar el principio de presunción de veracidad al momento de establecer la imputación de las infracciones cometidas. 2. ONCOSALUD sí habría establecido las cláusulas pertinentes a través de GSP para que BIZNES obtenga el consentimiento de los titulares de datos contactados por primera vez. No obstante, en cuanto a la denegatoria del consentimiento no existe un mecanismo detallado en los medios probatorios presentados por ONCOSALUD, aunque es viable que esta administrada entienda que la forma correcta de procesar la denegatoria de consentimiento se establezca, de conformidad a lo delimitado en la Resolución del 2017. 3. A la fecha en que se generó la Denuncia correspondiente, solo existía una directriz que trataba el supuesto de la obtención del consentimiento a través del primer contacto, cuyo contenido es tan impreciso que ONCOSALUD tuvo un amplio marco de acción para procesar la denegatoria del consentimiento de los titulares de datos contactados por llamadas telefónicas. 4. La infracción cometida por ONCOSALUD debe ser considerada una infracción permanente, por lo que, al ser subsanable, la acción de establecer en una lista de no contacto al Denunciante debe ser calificada como un eximente de responsabilidad. 5. Los órganos resolutores de primera y segunda instancia no han establecido de forma fehaciente la configuración del factor agravante de intencionalidad en el presente caso, dando incluso una deficiente motivación de la aplicación de dicho recargo a la sanción impuesto a ONCOSALUD. 72 6. Los órganos resolutores de primera y segunda instancia no han provisto a sus administrados y, en específico, a ONCOSALUD de los medios necesarios para implementar la medida correctiva indicada, siendo que esto significaría la vulneración del principio de legalidad. BIBLIOGRAFÍA 1. Autoridad Nacional de Protección de Datos Personales. (2018). Opinión Consultiva N.º 38-2018-JUS/DGTAIPD, Sobre el tratamiento de datos personales contenidos en fuentes accesibles al público. Extraído de:https://cdn.www.gob.pe/uploads/document/file/1473968/Sobre%20el %20tratamiento%20de%20datos%20personales%20contenidos%20en %20fuentes%20accesibles%20al%20p%C3%BAblico..pdf?v=16261905 04 2. Autoridad Nacional de Protección de Datos Personales (2019). Opinión Consultiva N.º 05-2019-JUS/DGTAIPD, Sobre obtención del consentimiento en el primer contacto. Extraído de: https://www.gob.pe/institucion/anpd/informes-publicaciones/1373266- oc-n-05-2019-jus-dgtaipd-sobre-obtencion-del-consentimiento-en-el- primer-contacto 3. Autoridad Nacional de Protección de Datos Personales. (2019). Opinión Consultiva N.º 26-2019-JUS/DGTAIPD. Extraído de: https://www.gob.pe/institucion/anpd/informes-publicaciones/1374077- oc-n-26-2019-jus-dgtaipd-sobre-el-numero-de-telefono-celular-como- dato-personal-y-consentimiento-para-el-tratamiento-de-datos- personales-sensibles-via-telefonica 4. Ayvar A., R. y Waldo B., G. (2019). La prescripción de las infracciones en el derecho administrativo sancionador peruano. THEMIS- Revista de Derecho, N.º 75, 2019, pp. 269-291. https://cdn.www.gob.pe/uploads/document/file/1473968/Sobre%20el%20tratamiento%20de%20datos%20personales%20contenidos%20en%20fuentes%20accesibles%20al%20p%C3%BAblico..pdf?v=1626190504 https://cdn.www.gob.pe/uploads/document/file/1473968/Sobre%20el%20tratamiento%20de%20datos%20personales%20contenidos%20en%20fuentes%20accesibles%20al%20p%C3%BAblico..pdf?v=1626190504 https://cdn.www.gob.pe/uploads/document/file/1473968/Sobre%20el%20tratamiento%20de%20datos%20personales%20contenidos%20en%20fuentes%20accesibles%20al%20p%C3%BAblico..pdf?v=1626190504 https://cdn.www.gob.pe/uploads/document/file/1473968/Sobre%20el%20tratamiento%20de%20datos%20personales%20contenidos%20en%20fuentes%20accesibles%20al%20p%C3%BAblico..pdf?v=1626190504 https://www.gob.pe/institucion/anpd/informes-publicaciones/1373266-oc-n-05-2019-jus-dgtaipd-sobre-obtencion-del-consentimiento-en-el-primer-contacto https://www.gob.pe/institucion/anpd/informes-publicaciones/1373266-oc-n-05-2019-jus-dgtaipd-sobre-obtencion-del-consentimiento-en-el-primer-contacto https://www.gob.pe/institucion/anpd/informes-publicaciones/1373266-oc-n-05-2019-jus-dgtaipd-sobre-obtencion-del-consentimiento-en-el-primer-contacto https://www.gob.pe/institucion/anpd/informes-publicaciones/1374077-oc-n-26-2019-jus-dgtaipd-sobre-el-numero-de-telefono-celular-como-dato-personal-y-consentimiento-para-el-tratamiento-de-datos-personales-sensibles-via-telefonica https://www.gob.pe/institucion/anpd/informes-publicaciones/1374077-oc-n-26-2019-jus-dgtaipd-sobre-el-numero-de-telefono-celular-como-dato-personal-y-consentimiento-para-el-tratamiento-de-datos-personales-sensibles-via-telefonica https://www.gob.pe/institucion/anpd/informes-publicaciones/1374077-oc-n-26-2019-jus-dgtaipd-sobre-el-numero-de-telefono-celular-como-dato-personal-y-consentimiento-para-el-tratamiento-de-datos-personales-sensibles-via-telefonica https://www.gob.pe/institucion/anpd/informes-publicaciones/1374077-oc-n-26-2019-jus-dgtaipd-sobre-el-numero-de-telefono-celular-como-dato-personal-y-consentimiento-para-el-tratamiento-de-datos-personales-sensibles-via-telefonica 73 5. Baca M., R. (2020). Alcances de la presunción de licitud en el procedimiento administrativo sancionador. Revista Derecho & Sociedad, N.º 54 (I), pp. 267-276 6. Baca O., V. S. (2019). El principio de culpabilidad en el derecho administrativo sancionador, con especial mirada al caso peruano. Revista Digital de Derecho Administrativo, Nº 21, Primer Semestre/2019, pp. 314-344. 7. Basterra I., M. (2004). El consentimiento del afectado en el proceso de tratamiento de datos personales. JA -Lexis Nexis, Número Especial, pp. 6-27. 8. Cairampoma Arroyo, A. (2014). La regulación de los precedentes administrativos en el ordenamiento jurídico peruano. Derecho PUCP, (73), 483-504. https://doi.org/10.18800/derechopucp.201402.014 9. Castro Cruzatt, K. (2008). El derecho fundamental a la protección de datos personales: aportes para su desarrollo en el Perú. IUS la revista. Nº 37. 260 – 276. 10. Constitución Política de Perú [Const.] 29 de diciembre de 1993 (Perú). 11. Corral S.,A.; Díaz-Romeral, A.; Mercader U., J. R.; Piñar R., J. L.; Piñar R., A.; Recio G., M.; Rodríguez M., G.; Torregrosa V., J. (2019). Memento Práctico Protección de Datos (1º Edición). Francis Lefebvre. 12. Decreto Supremo N.º 003-2013-JUS de 2013. Aprueban Reglamento de la Ley Nº 29733, Ley de Protección de Datos Personales. 21 de marzo 2013. 13. Fernández de Marcos D., I. (2011). Hacia la estandarización de la protección de datos personales: propuesta sobre una "tercera vía o tertium genus" internacional. Las Rozas : La Ley, 2011. https://doi.org/10.18800/derechopucp.201402.014 74 14. Frutos M., O. (2013). El derecho de cancelación de datos personales en archivos privados en México y España. Derecom, N.º 13, 2. 15. Guzmán N., C. (2016). Los Procedimientos Administrativos Sancionadores : En Las Entidades De La Administración Pública. En Gaceta Jurídica, Lima, 1ª. Ed. 16. Ministerio de Justicia (2016). Guía práctica sobre la actividad probatoria en los procedimientos administrativos. 17. Landa A., C. (2017). Los Derechos Fundamentales. Fondo Editorial Pontificia Universidad Católica del Perú, Colección “Lo Esencial del Derecho” Nº 2. 18. Ley N.º 29733 de 2011. Ley de protección de datos personales. 02 de julio de 2011. 19. Murillo de la Cueva, P. L. (1999). La construcción del derecho a la autodeterminación informativa. Revista de Estudios Políticos (Nueva Época), Núm. 104. Abril-Junio 1999. 35-60. 20. Morón Urbina, J. C. (2010). Los actos-medidas (medidas correctivas, provisionales y de seguridad) y la potestad sancionadora de la Administración. Revista De Derecho Administrativo, (9), 135-157. Recuperado a partir de https://revistas.pucp.edu.pe/index.php/derechoadministrativo/article/vie w/13710 21. Morón U., J. C. (2017). Comentarios a la Ley del Procedimiento Administrativo General, Texto Único Ordenado de la Ley N.° 27444. 12.ª edición. Lima: Gaceta Jurídica, 2017, p. 447. 22. Morón U., J. C. (2023). Las multas administrativas: estudio integral para la construcción de una dogmática. PRAXIS, 1ª. Ed. https://revistas.pucp.edu.pe/index.php/derechoadministrativo/article/view/13710 https://revistas.pucp.edu.pe/index.php/derechoadministrativo/article/view/13710 75 23. Palacios González, M. D. (2012). El poder de autodeterminación de los datos personales en Internet. Revista de Internet, Derecho y Política. Número 14 (Mayo 2012). 61 – 74. 24. Rodriguez-Arana, J. (2007). Principio de seguridad jurídica y técnica normativa. Revista De Derecho Administrativo, (3), 251-268. Recuperado a partir de https://revistas.pucp.edu.pe/index.php/derechoadministrativo/article/vie w/16325 25. Sentencia del Tribunal Constitucional recaída en Exp. N.° 00300- 2010-PHD/TC. https://tc.gob.pe/jurisprudencia/2010/00300-2010- HD.html 26. Sentencia del Tribunal Constitucional recaída en Exp. N.º 02839- 2021-PHD/TC. https://tc.gob.pe/jurisprudencia/2022/02839-2021- HD.pdf 27. Sentencia del Tribunal Constitucional recaída en Exp. 00009-2007- PI/TC. 28. Sentencia del Tribunal Constitucional recaída en Exp. N.º 01601- 2012-PA/T 29. Vasquez R., D. F. (2021). Regulación del “acoso” comercial en el Perú: en búsqueda de tentativas de solución. [Trabajo académico para optar el título de Segunda Especialidad en Derecho de Protección al Consumidor]. Pontificia Universidad Católica del Perú. 30. Tirado B., J. A. (2019). Curso de Procedimiento Administrativo Sancionador. Principio de culpabilidad y la discusión en torno a la responsabilidad objetiva y la responsabilidad subjetiva en el Derecho Administrativo Sancionador. [Diapositivas de PowerPoint]. https://revistas.pucp.edu.pe/index.php/derechoadministrativo/article/view/16325 https://revistas.pucp.edu.pe/index.php/derechoadministrativo/article/view/16325 https://tc.gob.pe/jurisprudencia/2010/00300-2010-HD.html https://tc.gob.pe/jurisprudencia/2010/00300-2010-HD.html https://tc.gob.pe/jurisprudencia/2022/02839-2021-HD.pdf https://tc.gob.pe/jurisprudencia/2022/02839-2021-HD.pdf 76 https://www.minjus.gob.pe/wp-content/uploads/2019/06/31-05-19- Procedimiento-Administrativo-Sancionador-Dr.-Tirado-parte- 2.pptx#:~:text=La%20%E2%80%9Cresponsabilidad%20objetiva%E2% 80%9D%20es%20la,de%20causas%20eximentes%20de%20responsa bilidad. 31. Torres, L. R. C. (2001). Hábeas data: La Protección Jurídica de Los Datos Personales. 32. Tomé, H. C. (2000). Vida privada y datos personales: su protección jurídica frente a la sociedad de la información. Tecnos Editorial S A. 33. Zumaeta A., I. (2021). La subsanación voluntaria como eximente de responsabilidad bajo el amparo de la Ley Del Procedimiento Administrativo General: primacía de la Ley. [Trabajo académico para optar el título de Segunda Especialidad en Derecho Administrativo]. Pontificia Universidad Católica del Perú. https://www.minjus.gob.pe/wp-content/uploads/2019/06/31-05-19-Procedimiento-Administrativo-Sancionador-Dr.-Tirado-parte-2.pptx#:~:text=La%20%E2%80%9Cresponsabilidad%20objetiva%E2%80%9D%20es%20la,de%20causas%20eximentes%20de%20responsabilidad https://www.minjus.gob.pe/wp-content/uploads/2019/06/31-05-19-Procedimiento-Administrativo-Sancionador-Dr.-Tirado-parte-2.pptx#:~:text=La%20%E2%80%9Cresponsabilidad%20objetiva%E2%80%9D%20es%20la,de%20causas%20eximentes%20de%20responsabilidad https://www.minjus.gob.pe/wp-content/uploads/2019/06/31-05-19-Procedimiento-Administrativo-Sancionador-Dr.-Tirado-parte-2.pptx#:~:text=La%20%E2%80%9Cresponsabilidad%20objetiva%E2%80%9D%20es%20la,de%20causas%20eximentes%20de%20responsabilidad https://www.minjus.gob.pe/wp-content/uploads/2019/06/31-05-19-Procedimiento-Administrativo-Sancionador-Dr.-Tirado-parte-2.pptx#:~:text=La%20%E2%80%9Cresponsabilidad%20objetiva%E2%80%9D%20es%20la,de%20causas%20eximentes%20de%20responsabilidad https://www.minjus.gob.pe/wp-content/uploads/2019/06/31-05-19-Procedimiento-Administrativo-Sancionador-Dr.-Tirado-parte-2.pptx#:~:text=La%20%E2%80%9Cresponsabilidad%20objetiva%E2%80%9D%20es%20la,de%20causas%20eximentes%20de%20responsabilidad “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 1 de 40 Resolución Directoral Nro. 009-2023-JUS/DGTAIPD Lima, 8 de marzo de 2023 EXPEDIENTE Nro. : 158-2020-JUS/DGTAIPD-PAS ADMINISTRADO : ONCOSALUD S.A.C. MATERIAS : Responsable de tratamiento de datos personales. VISTOS: El recurso de apelación presentado por Oncosalud S.A.C. (Código de Registro Nro. 1575) contra la Resolución Directoral Nro. 3439-2021-JUS/DGTAIPD-DPDP de 7 de diciembre de 2021; los escritos de 15 de febrero de 2021 (Registro Nro. 284808) y 31 de marzo de 2022 (Registro Nro. 112232); y, los demás actuados en el Expediente Nro. 158-2020-JUS/DGTAIPD-PAS. CONSIDERANDO: I. ANTECEDENTES 1. El 3 de marzo de 2020, mediante un correo electrónico, el R j ( , e) reportó haber recibido llamadas por parte de la empresa Oncosalud S.A.C. (en adelante Oncosalud o la administrada), sin haber brindado sus datos personales para que le efectuaran tales comunicaciones, por lo cual solicitó que se elimine su número telefónico de la base de datos de dicha empresa. 2. Mediante el Informe de Fiscalización Nro. 181-2020-JUS/DGTAIPD-DFI-AARM1 de 14 de septiembre de 2020, se remitió a la Directora de la DFI el resultado de la fiscalización a la administrada, concluyendo que se determinaron preliminarmente 1 Obrante en los folios 133 a 137 del expediente. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 2 de 40 las circunstancias que justificarían el inicio de un procedimiento administrativo sancionador contra Oncosalud por un presunto incumplimiento de las disposiciones contenidas en la Ley Nro. 29733, Ley de Protección de Datos Personales (en adelante la LPDP) y su Reglamento, aprobado por Decreto Supremo Nro. 003-2013-JUS (en adelante el Reglamento de la LPDP). Dicho informe fue notificado a la administrada el 24 de septiembre de 20202 a través del Oficio Nro. 875-2020-JUS/DGTAIPD-DFI. 3. Mediante el escrito del 20 de octubre de 2020 (Código de Registro Nro. 480129), Oncosalud formuló sus observaciones al informe de fiscalización. 4. A través de la Resolución Directoral Nro. 204-2020-JUS/DGTAIPD-DFI3 del 30 de diciembre de 2020, la DFI inició un procedimiento administrativo sancionador contra Oncosalud por el presunto tratamiento de los datos personales del denunciante, para fines publicitarios y comerciales, sin haber obtenido su consentimiento, incumpliendo lo dispuesto en el artículo 13.5 de la LPDP y el artículo 12 de su Reglamento. Esta conducta configuraría la infracción grave tipificada en el literal b) del numeral 2 del artículo 132 de dicho Reglamento. 5. Por escrito del 2 de febrero de 2021 (Código de Registro Nro. 118150), Oncosalud presentó sus descargos frente a los hechos imputados. 6. Mediante la Carta Nro. 104-2021-JUS/DGTAIPD-DFI del 23 de marzo de 20214, se solicitó a Oncosalud que indique la cantidad de productos y programas que vendieron a través de los call centers desde el 2017. Dicho pedido fue absuelto mediante escrito del 30 de marzo de 2021 (Código de Registro Nro. 59470). 7. Mediante Informe Nro. 069-2021-JUS/DGTAIPD-DFI del 31 de mayo de 2021, la DFI el Informe Final de Instrucción, remitiendo a la Dirección de Protección de Datos Personales (en adelante la DPDP) los actuados en el expediente a fin de que resuelva en primera instancia el procedimiento administrativo sancionador. 8. Por Resolución Directoral Nro. 100-2021-JUS/DGTAIPD-DFI del 31 de mayo de 2021, la DFI dio por concluidas las actuaciones instructivas correspondientes al procedimiento sancionador seguido contra Oncosalud. 9. Por escrito del 15 de junio de 2021 (Código de Registro Nro. 126958), Oncosalud formuló sus observaciones al informe final de instrucción reiterando los argumentos esgrimidos a lo largo del procedimiento. 2 Obrante en los folios 138 a 140 del expediente. 3 Obrante en los folios 269 a 276 del expediente. 4 Obrante en el folio 454 del expediente. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 3 de 40 10. Por Resolución Directoral Nro. 2846-2021-JUS/DGTAIPD-DPDP del 6 de octubre de 2021, la DPDP amplió el plazo de caducidad para resolver el procedimiento por 2 meses adicionales. 11. Por Resolución Directoral Nro. 3439-2021-JUS/DGTAIPD-DPDP del 7 de diciembre de 2021, notificada a Oncosalud en la misma fecha mediante Carta Nro. 2700-2021-JUS/DGTAIPD-DPDP, la DPDP resolvió lo siguiente: (i) Sancionar a Oncosalud con una multa de 28.13 Unidades Impositivas Tributarias (en adelante UIT) por la comisión de la infracción imputada. (ii) Imponer a Oncosalud como medida correctiva la inclusión de medidas en las que se refuerce el control sobre las actividades que componen los encargos y/o subcontrataciones de tratamiento de datos personales, específicamente sobre actividades de prospección comercial a través de llamadas de televentas; así las encaminadas a reforzar, en dicho marco, la comunicación con los encargados y terceros subcontratados respecto de denegatorias de consentimientos de tratamiento de datos personales y ejercicios de derechos de sus titulares, a fin de que pueda estar siempre en posición de demostrar que cumple con solicitar adecuadamente el consentimiento de los receptores de las llamadas de televentas y con cesar en el tratamiento de los datos personales que no consentidos. 12. El 4 de enero de 2022 (Código de Registro Nro. 1575), Oncosalud apeló la Resolución Directoral Nro. 3439-2021-JUS/DGTAIPD-DPDP del 7 de diciembre de 2021 con base en los siguientes argumentos: Sobre la tercerización del servicio de venta de sus programas oncológicos (i) Su empresa terceriza el servicio de venta de sus programas oncológicos con diversas empresas, las cuales, para la contactabilidad, utilizan su propia base de datos y no alguna entregada por Oncosalud. (ii) La tercerización de dicho servicio la realiza a través de la empresa GSP Servicios Comerciales S.A.C. (en adelante GSP), con la que mantiene un contrato vigente a fin de que se encargue de la prestación de servicios de asesoría, promoción y venta de programas y productos que Oncosalud ofrece en el mercado. Eventualmente GSP puede utilizar su propio personal o subcontratar a otras empresas para la ejecución de la prestación acordada con Oncosalud. Por tanto, es GSP quien ejecuta la venta de los programas y productos de Oncosalud y se materializa mediante las afiliaciones de usuarios. (iii) Debido a ello, su empresa tiene conocimiento de que GSP ha subcontratado con distintas empresas de call center para que realicen la gestión comercial Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 4 de 40 de las ventas. Entre ellas, la empresa Biznes, que cuenta con una base de datos propia para realizar servicios de prospección comercial, la cual es empleada para ofertar los servicios de Oncosalud. En tal sentido, es Biznes la empresa que ostenta el control sobre el tratamiento de la información de los clientes que maneja en su propia base de datos y que la usa para los fines que estime convenientes. (iv) En el caso particular del denunciante, las llamadas objeto de cuestionamiento en su denuncia provinieron de la base de datos de Biznes. Por tanto, es dicha empresa la que eventualmente podría resultar responsable por cualquier incumplimiento normativo que pueda surgir. Ello se encuentra acorde con lo resuelto por la propia DPDP en un caso anterior mediante la Resolución Directoral Nro. 378-2017-JUS/DGTAIPD-DPDP, donde se indicó que las empresas de call center son los titulares de la base de datos personales y no Oncosalud. (v) Incluso, a partir de lo resuelto en dicha Resolución Directoral Nro. 378-2017- JUS/DGTAIPD-DPDP es posible concluir que la DPDP validó el esquema de negocio en el que se terceriza el servicio de contactabilidad, estableciendo responsabilidades distintas para cada uno de los intervinientes, así como se exoneró a Oncosalud de la responsabilidad que se le asigna al titular o responsable del tratamiento. Por tanto, la autoridad debió resolver acorde con el principio de predictibilidad o confianza legítima, pues se ha generado la expectativa razonable de que no podría ser responsable por el tratamiento efectuado por las empresas tercerizadas de call center. (vi) Sin embargo, en la resolución impugnada la DPDP decidió apartarse del criterio de la Resolución Directoral Nro. 378-2017-JUS/DGTAIPD-DPDP, al señalar que para atribuir responsabilidad por el tratamiento ilícito de datos lo importante será fijarse en el beneficio que se obtiene con dicho tratamiento. Sobre el responsable del tratamiento (vii) El Reglamento de la LPDP prevé que el responsable de tratamiento será aquél que decida sobre el tratamiento de los datos personales, aun cuando estos no se encuentren en un banco de datos personales. Así, dicha responsabilidad recae en: (a) las personas que realizan tratamiento de datos personales que no pertenecen a un banco de datos; (b) encargados que asumen la obligación de determinar la forma de tratamiento de los datos que les han sido encargados; y, (c) titulares del banco de datos personales. (viii) Oncosalud no se encuentra en ninguno de esos supuestos, puesto que, tal como se ha mencionado previamente, los call centers realizan las llamadas Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 5 de 40 a clientes que se encuentran en su propia base de datos y no en una que haya sido proporcionada por Oncosalud. Por tanto, resulta incorrecto lo señalado en la resolución impugnada referente a que no es necesaria la entrega de información por parte del titular o responsable, pues se desconoce el ámbito de lo dispuesto en la propia norma legal. (ix) Cabe precisar que los discursos o speeches que Oncosalud proporciona a los call centers se da como medida de prevención ante la eventual responsabilidad de Oncosalud como proveedor del servicio cuando un cliente decide contratar algún programa y no como medida de control del tratamiento de datos personales. (x) El posible beneficio comercial e interés en el tratamiento de datos personales no se encuentra configurado como un criterio legal para determinar el rol de responsable. Por tanto, no es posible imputar que Oncosalud el tratamiento de datos personales para fines publicitarios y comerciales infringiendo lo relativo al consentimiento. Es más, Oncosalud únicamente se ve beneficiada (y satisface sus intereses) cuando, a partir de la llamada que realiza el call center, el usuario, acepta afiliarse al programa oncológico ofrecido y es recién a partir de este momento en el que los datos del usuario pasan a formar parte de la base de datos de clientes de Oncosalud, no antes. Sobre el ejercicio del derecho de cancelación por parte del denunciante (xi) La DPDP señala que la negativa del titular del dato no se puede tratar como el ejercicio de su derecho de cancelación y, por ende, establece como criterio que la eliminación de la información de la base de datos se realice de manera inmediata. Sin embargo, el Reglamento de la LPDP establece que, si el titular de datos personales decide negar de manera total la posibilidad de tratamiento de sus datos, esta manifestación de voluntad se tratará bajo las reglas de cancelación. Por tanto, el plazo para la atención de dicho ejercicio es de diez (10) días hábiles y no de manera inmediata como lo señala la DPDP. Sobre los presuntos vicios de nulidad de la resolución materia de apelación (xii) La DPDP ha vulnerado los principios de legalidad y tipicidad que regula el procedimiento administrativo sancionador, emitiendo un pronunciamiento que contraviene el ordenamiento jurídico al realizar una interpretación de la definición de titular o responsable que sobrepasa la definición que la norma precisa (xiii) Asimismo, la resolución no se encuentra debidamente motivada, pues la DPDP en su fundamentación sostiene premisas que carecen de sustento Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 6 de 40 jurídico y que no corresponden a los alegatos realizados por Oncosalud en el procedimiento. Así, la DPDP realiza una interpretación sobre la definición de titular o responsable del tratamiento de datos que excede lo dispuesto normativamente e incluye los conceptos de beneficio comercial e interés como elementos dirimentes para identificar a dichos sujetos (titular y responsables del tratamiento), pese a que ello no está contemplado ni en la Ley ni en el Reglamento. Sobre la subsanación o enmienda de la infracción (xiv) La DPDP no ha considerado la posibilidad de eximir la responsabilidad de Oncosalud debido a que el denunciante manifestó que habrían existido otras llamadas recurrentes, pese a su negativa y su pedido expreso de supresión de su información. (xv) Sin embargo, las acciones desplegadas para que los datos del denunciante sean eliminados de su base de datos no las realizó como titular o responsable del tratamiento, sino como una acción diligente al tomar conocimiento del malestar del denunciante. Por tanto, buscó que el call center, es decir, Biznes, sea quien pueda tomar las acciones necesarias para brindarle una atención óptima. Antes del inicio del presente procedimiento, coordinó con GSP a fin de que este último adopte las medidas necesarias para que los call centers (entre ellos, Biznes) no se vuelvan a contactar con el denunciante. (xvi) Luego de tomar conocimiento de la denuncia, incluyó al denunciante en una lista de personas que no desean ser contactadas: “Lista Robinson”, lo cual generó que los call centers no vuelvan a contactar al denunciante con la finalidad de solicitar un consentimiento para fines publicitarios. Esto ocurrió varios meses antes de la notificación con la imputación de cargos que da inicio al presente procedimiento administrativo sancionador. (xvii) Contrariamente a lo señalado por la DPDP, se trata de una presunta infracción instantánea con efectos permanentes, pasible de ser corregida con la eliminación de la información del señor Ramírez de la base de datos de Biznes, toda vez que con ello se dejarían de efectuar las llamadas orientadas a obtener su consentimiento para el tratamiento de sus datos. Sobre la graduación de la sanción (xviii) Oncosalud no obtiene beneficio alguno por las llamadas de prospección comercial que realizan los call center, mucho menos en el presente caso donde ni siquiera se llegó a brindar la información comercial de los productos de Oncosalud, ante la negativa del denunciante. Respecto a la probabilidad de detección: el contacto a un potencial cliente sin haber obtenido su Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 7 de 40 consentimiento es una conducta que podría ser fácilmente identificada por la DPDP y se podría programar una visita de fiscalización y fácilmente acceder a información para comprobar si esta conducta infractora se concreta. Por lo tanto, la probabilidad de detección de la conducta infractora imputada es alta. (xix) En cuanto a la gravedad del daño al bien jurídico protegido, la primera instancia reconoce que no ha existido un perjuicio más allá de la identificación concreta del denunciante, Por tanto, no se ha generado un daño grave, así como no se trata de un procedimiento administrativo sancionador que se encuentre tutelando intereses difusos o colectivos, sino, los de un solo administrado. Este hecho no ha sido valorado por la autoridad a fin de graduar debidamente la multa impuesta. (xx) Sobre los factores atenuantes, desplegó las medidas necesarias para atender la insatisfacción del denunciante (pese a no ser el obligado legalmente para ello). Esta conducta debería ser calificada como un eximente de responsabilidad. Además, en todo momento Oncosalud ha tenido una actitud colaborativa y ha atendido los requerimientos de la autoridad. (xxi) La sanción es desproporcionada y no se encuentra en línea con lo resuelto en otros procedimientos por la realización de una conducta similar seguidos contra otras empresas. La cuantía de la multa impuesta vulnera el principio de predictibilidad o de confianza legítima. En cuanto a la presunta entrega de información falsa (xxii) Sobre el correo electrónico emitido por Biznes en el que se menciona la frase: “no hemos marcado esos números”, y que ninguno se refiere al número del denunciante, cabe indicar que el número de teléfono fue proporcionado por el propio denunciante por medio del correo de denuncia que este envía a la autoridad. Adicionalmente, es el mismo número telefónico al que Biznes hace mención en el correo adjunto como medio de prueba a la presente apelación. (xxiii) El correo por sí solo no es prueba de que Oncosalud haya brindado información falsa al procedimiento. Es más, el correo electrónico del 25 de agosto de 2020 (adjunto como anexo 8-B) emitido por la misma representante de Biznes, advierte que el call center reconoce la realización de la segunda llamada objeto de controversia, la describe y menciona que no volvió a marcarse el número que recibió dicha llamada (de titularidad del denunciante), con lo que se diluye el argumento expuesto por la primera instancia sobre que Biznes no habría tenido participación en la llamada materia de cuestionamiento. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 8 de 40 (xxiv) El segundo correo electrónico es el emitido por la empresa Antel (adjunto como anexo 8-C), por el que refiere que las acciones de la empresa Antel no guardan ningún tipo de relación con los hechos del presente procedimiento. Por tanto, no es posible que el fundamento para sancionar a Oncosalud provenga de conclusiones a las cuales la DPDP ha arribado equiparando hechos sin relación al caso concreto. (xxv) La lista a la que está haciendo referencia el correo indicado en el párrafo anterior se refiere a la Lista Robinson, la cual no contiene información de contactos para prospección, sino que se trata de una base con la identificación de las personas a quienes no deben contactar los call centers que realizan la prospección. (xxvi) Si Oncosalud recibe alguna solicitud, reclamo o pedido de no contacto, de manera proactiva y como una buena práctica comercial, agrupa estas solicitudes y las comparte con los call centers con los que trabaja para que eliminen a estas personas de sus bases de datos. 13. Por escrito presentado el 17 de febrero de 2022 (Registro Nro. 284808), la administrada presentó documentos adicionales para ser valorados en el recurso de apelación. 14. Mediante Carta Nro. 14-2022-JUS/DGTAIPD del 24 de febrero de 2022 se comunicó la realización del informe oral de acuerdo con lo solicitado por la administrada para el lunes 14 de marzo de 2022 a las 10:30 horas. El informe oral fue llevado en la hora y fecha indicada. 15. El 31 de marzo de 2022, la administrada presentó escrito de alegatos (Registro Nro. 112232) donde reiteró los argumentos de su apelación vinculados al criterio de la Resolución Directoral Nro. 378-2018-JUS/DGTAIPD-DPDP, así como la presunta subsanación voluntaria de su conducta. Asimismo, añadió lo siguiente: Respecto a la supuesta vulneración de los principios de legalidad y tipicidad (i) Con relación al tratamiento por “encargo”, este se refiere a la entrega por parte del titular del banco de datos personales a un encargado de tratamiento de datos personales en virtud de una relación jurídica que los vincula; y que dicha relación jurídica delimita el ámbito de actuación del encargado de tratamiento de los datos personales. (ii) Por tanto, indica que para que se configure un “encargo de tratamiento”, deben confluir los siguientes elementos: 1. Una persona natural o jurídica que sea titular de un banco de datos personales (titular o responsable) 2. Una persona natural o jurídica que realiza el tratamiento de datos personales Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 9 de 40 por encargo de un titular del banco o responsable de datos personales (encargado). 3. Una entrega de datos personales del titular del banco o responsable de los datos hacia el encargado. 4. Una relación jurídica que vincule al titular del banco y al encargado del tratamiento. (iii) La LPDP requiere que exista una “entrega” desde el titular del banco de datos o responsable hacia quien fungirá de su encargado, de lo cual se deriva que deben existir datos personales preexistentes en poder del titular o responsable, dándose un acto de “puesta a disposición” a favor del encargado. Ni la LPDP ni su Reglamento han reconocido que pueda existir un “encargado” que prescinda del acto de “entrega”. (iv) Tampoco es una condición suficiente para que se materialice un encargo, el que exista una relación de interés comercial derivada de la prestación de un servicio entre la empresa de outsourcing y la empresa beneficiaria en el que existan datos personales de por medio. (v) Precisa que el European Data Protection Board en las Directrices 07/2020 sobre los conceptos de “responsable del tratamiento” y “encargado del tratamiento”, bajo el Reglamento General de Protección de Datos Personales (Reglamento 2016/679), implica que el titular o responsable pueda definir los “fines” y “medios” que se seguirán en el tratamiento de los datos: “35. La determinación de los fines y los medios equivale a decidir, respectivamente, el porqué y el cómo del tratamiento: en una operación de tratamiento concreta, el responsable del tratamiento es la parte que determina por qué tiene lugar el tratamiento (esto es, «con qué fin» o «para qué») y cómo se alcanzará este objetivo (es decir, qué medios se emplearán para lograrlo). 36. El responsable del tratamiento debe decidir tanto sobre el fin como sobre los medios del tratamiento, tal como se describe más adelante.” (vi) El European Data Protection Board establece que casos como el de tratamiento que realiza un prestador de servicios legales (que accede a datos personales proporcionados por su cliente para impulsar un litigio) o un contador (que accede a datos personales en el contexto de una auditoría) no los convierten en encargados, dado que el prestador establece los datos que recogerá, qué medios técnicos usará para almacenar y tratar esos datos, y cómo los empleará a los fines de los servicios que presta, con un grado notable de independencia. (vii) La Autoridad Nacional de Protección de Datos Personales no puede desconocer el principio de “entrega” establecido por el legislador ni tampoco extender la tipificación para capturar como “encargo” bajo la LPDP un encargo de tipo civil o comercial (locación de servicios). Ello, bajo riesgo de Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 10 de 40 contravenir los principios de legalidad, tipicidad y predictibilidad, así como la jerarquía del sistema de fuentes del procedimiento administrativo. Sobre la presunta vulneración al principio de causalidad (viii) Ha suscrito un contrato comercial con la empresa GSP en virtud de la experiencia de esta en tres (3) rubros: (a) la asesoría en ventas y promoción de productos; (b) la venta de productos; y, (c) el mantenimiento de cartera y renovaciones. Esta relación comercial no señala en sus cláusulas la existencia de un banco de datos personales, ni una declaración, por parte de Oncosalud, de la existencia de un banco de datos personales de las que GSP pueda valerse para cumplir con las obligaciones pactadas. GSP subcontrata con otras empresas de call center, entre ellas Biznes, la prestación de servicios de telemarketing. (ix) Estas empresas ejecutan sus obligaciones con autonomía, entre estas, con sus propias bases de datos. Por tanto, ejercen el poder de decisión sobre los datos personales que han recopilado y son libres de conservar dichos datos si lo desean para futuros usos con los que atienden a otros clientes. (x) La primera instancia se ha limitado a tomar como prueba su propia interpretación sobre la existencia de un interés comercial y la provisión de un speech tergiversando lo que es un mero interés en alinear ciertas prácticas de los proveedores que contrata GSP para establecer una relación de responsabilidad. (xi) Quien debe ser responsable es la persona que comete la conducta activa u omisiva y, como tal, encuentra un vínculo de causalidad, en este caso, la empresa Biznes. Respecto a la omisión de la aplicación de la figura de la caducidad (xii) El presente procedimiento administrativo sancionador habría caducado por haberse superado los 70 días hábiles para resolver, según lo establecido en el artículo 122 del Reglamento de la LPDP, esto es, de cincuenta (50) días para emitir un pronunciamiento que ponga fin a la fase instructiva del procedimiento administrativo sancionador, y veinte (20) días hábiles adicionales desde emitida esta decisión de cierre para emitir la resolución final. (xiii) El 12 de enero de 2021 se le notificó electrónicamente con la Resolución Directoral Nro. 204-2020-JUS/DGTAIPD-DFI de inicio del procedimiento administrativo sancionador en primera instancia y mediante la Resolución Directoral Nro. 100-2021-JUS/DGTAIPD-DFI del 31 de mayo de 2021 la DFI emite la decisión de cierre de etapa instructiva. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 11 de 40 (xiv) Inclusive, a pesar de que el 28 de junio de 2021 se cumplieron los veinte (20) días adicionales para resolver, el 6 de octubre de 2021 la primera instancia decidió “ampliar” el plazo de caducidad y recién resolver el 7 de diciembre de 2021, pese a que a dicha fecha ya había operado la caducidad. II. COMPETENCIA 16. Según lo establecido en el inciso 20 artículo 33 de la LPDP, la Autoridad Nacional de Protección de Datos Personales es la encargada de iniciar fiscalizaciones de oficio o por denuncia por presuntos actos contrarios a lo establecido en la Ley y en su reglamento, y de aplicar las sanciones administrativas correspondientes, sin perjuicio de las medidas cautelares o correctivas que establezca el reglamento. 17. Conforme lo dispuesto en el artículo 70 del Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, aprobado por Decreto Supremo Nro. 013-2017-JUS (en adelante ROF del Minjusdh), la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales ejerce la Autoridad Nacional de Protección de Datos Personales. 18. Asimismo, la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales es el órgano encargado de resolver en segunda y última instancia administrativa los procedimientos iniciados por la Dirección de Protección de Datos Personales, conforme con lo establecido por el literal l) del artículo 71 del ROF del Minjusdh. III. ADMISIBILIDAD 19. El recurso de apelación ha sido interpuesto dentro de los quince (15) días hábiles de notificada la Resolución Directoral Nro. 3439-2021-JUS/DGTAIPD-DPDP de 7 de diciembre de 2021 y cumple con los requisitos previstos en los artículos 2185 y 2206 del Texto Único Ordenado de la Ley Nro. 27444, Ley del Procedimiento 5 DECRETO SUPREMO Nro. 004-2019-JUS. TEXTO ÚNICO ORDENADO DE LA LEY Nro. 27444 - LEY DEL PROCEDIMIENTO ADMINISTRATIVO GENERAL Artículo 218. Recursos administrativos 218.1 Los recursos administrativos son: a) Recurso de reconsideración b) Recurso de apelación Solo en caso que por ley o decreto legislativo se establezca expresamente, cabe la interposición del recurso administrativo de revisión. 218.2 El término para la interposición de los recursos es de quince (15) días perentorios, y deberán resolverse en el plazo de treinta (30) días. 6 DECRETO SUPREMO Nro. 004-2019-JUS. TEXTO ÚNICO ORDENADO DE LA LEY Nro. 27444 - LEY DEL PROCEDIMIENTO ADMINISTRATIVO GENERAL Artículo 220.- Recurso de apelación El recurso de apelación se interpondrá cuando la impugnación se sustente en diferente interpretación de las pruebas producidas o cuando se trate de cuestiones de puro derecho, debiendo dirigirse a la misma autoridad que expidió el acto que se impugna para que eleve lo actuado al superior jerárquico. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 12 de 40 Administrativo General (en adelante TUO de la Ley Nro. 27444), por lo que es admitido a trámite. IV. CUESTIÓN PREVIA IV.1. Sobre la caducidad del procedimiento administrativo sancionador 20. En su recurso de apelación, la administrada alega que el presente procedimiento administrativo sancionador habría caducado por haberse superado los 70 días hábiles que establece el artículo 122 del Reglamento de la LPDP para resolver. 21. La caducidad administrativa es una figura jurídica a través de la cual se busca castigar la inactividad y/o paralización de la Administración durante la tramitación de un procedimiento administrativo dando lugar al archivo del expediente7. El motivo que originó la incorporación normativa de esta figura y su aplicación a los procedimientos administrativos sancionadores fue otorgar una salida jurídica a la falta de pronunciamiento de la autoridad por el transcurso del tiempo, ello en aras de preservar las condiciones básicas de seguridad jurídica y, de este modo, evitar que un procedimiento se prolongue indefinidamente sin una solución definitiva8. 22. Es así como el TUO de la Ley Nro. 27444, en efecto, contempla esta figura en su artículo 259, el cual señala lo siguiente: “Artículo 259.- Caducidad administrativa del procedimiento sancionador 1. El plazo para resolver los procedimientos sancionadores iniciados de oficio es de nueve (9) meses contado desde la fecha de notificación de la imputación de cargos. Este plazo puede ser ampliado de manera excepcional, como máximo por tres (3) meses, debiendo el órgano competente emitir una resolución debidamente sustentada, justificando la ampliación del plazo, previo a su vencimiento. La caducidad administrativa no aplica al procedimiento recursivo. 7 “La caducidad de la instancia es una técnica introducida en el Derecho procesal español a finales del siglo XIX al objeto de superar el viejo criterio de que la acción ejercitada en juicio no prescribe nunca, lo que permitía mantener paralizados procesos por plazos superiores a los previstos para la prescripción de las correspondientes acciones, generándose así «pleitos más que centenarios, que los herederos del demandado se veían obligados a continuar» (V. SILVA MELERO, 1951: 507)”. LÓPEZ RAMÓN, Fernando. En: Revista de Administración Pública ISSN: 0034-7639, núm. 194, Madrid, mayo-agosto (2014), págs. 11-47. 8 En la Exposición de Motivos del Decreto Legislativo 1272 que modificó la Ley 27444 – Ley del Procedimiento Administrativo General se señala lo siguiente: “I.11.3.5 Nuevas pautas sobre la caducidad del procedimiento administrativo sancionador (Artículo 237-A) La necesidad de darle una salida distinta al mero transcurso del tiempo ante la falta de pronunciamiento ante un procedimiento sancionador en trámite llevó al establecimiento de la caducidad frente a estos casos. (…) Así, en aras de preservar condiciones básicas de seguridad jurídica, se establecen ciertas pautas a seguir que buscan cerrar una situación para que esta no quede indefinidamente sin una solución definitiva.” Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 13 de 40 Cuando conforme a ley las entidades cuenten con un plazo mayor para resolver la caducidad operará al vencimiento de este. 2. Transcurrido el plazo máximo para resolver, sin que se notifique la resolución respectiva, se entiende automáticamente caducado administrativamente el procedimiento y se procederá a su archivo. (…)” (Subrayado añadido) 23. Como se puede observar del texto del artículo citado, el plazo para resolver los procedimientos administrativos sancionadores es de nueve (9) meses, susceptible de ser ampliado por tres (3) meses más, desde la fecha de notificación de la imputación de cargos. De lo contrario, operará la caducidad administrativa y se procederá a su archivo. Adicionalmente, la norma también establece que aquellas entidades que cuenten con una ley especial cuyo plazo sea mayor, la caducidad operará al vencimiento de este. 24. En consecuencia, en aquellos procedimientos administrativos sancionadores que no sean resueltos dentro del plazo determinado por ley, operará la caducidad administrativa y se procederá con el archivo del expediente9. 25. En concordancia con ello, sobre la caducidad, Juan Carlos Morón Urbina10 señala que: “la caducidad puede ser definida como aquella figura que origina la anormal y anticipada terminación de un pronunciamiento, debido a la inactividad de la autoridad competente, prolongada en su trámite, la cual ocasiona que el plazo establecido para su culminación se venza, adelantando el término del procedimiento por mandato de ley”. 26. De acuerdo con la cita reproducida en el numeral anterior, la DPDP solo podía haber determinado la existencia de una infracción antes del vencimiento del plazo de caducidad. 27. De este modo, el objeto de la caducidad no es el derecho material a perseguir el hecho constitutivo de la infracción, sino la forma de ejercitar el ius puniendi, es decir, el procedimiento del que se sirve la Administración11. En tal sentido, la caducidad provoca la perención del procedimiento y sus actuaciones, pero no 9 El plazo general establecido por la norma es de nueve meses (extensible por tres meses adicionales) contados desde el inicio del procedimiento, con excepción de aquellos procedimientos cuya norma legal especial prescr ba un plazo mayor para resolver, donde la caducidad operará con base a este último plazo. 10 MORÓN URBINA, Juan Carlos. Comentarios a la Ley del Procedimiento Administrativo General. 12a Edición. Lima: Gaceta Jurídica, 2017. 11 ZEGARRA, D. 2010. La figura de la prescripción en el ámbito administrativo sancionador y su regulación en la Ley No. 27444 – Ley del Procedimiento Administrativo General. Revista de Derecho Administrativo, p. 211. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 14 de 40 extingue la acción, es decir, siempre que la infracción no haya prescrito, la Administración podrá incoar un nuevo procedimiento con el mismo objeto y con la finalidad de ejercitar debidamente dicho poder punitivo. 28. En tal sentido, para que opere la caducidad del procedimiento sancionador, resulta suficiente la superación del plazo establecido en la norma para concluir aquel. Asimismo, al consistir la caducidad en el transcurso inevitable de un período de tiempo, esta no se suspende ni interrumpe. Por tanto, como señala el artículo 259 del TUO de la Ley Nro. 27444, una vez transcurridos los nueve (9) meses desde el inicio del procedimiento sancionador –o doce (12), en caso se hubiere justificado su ampliación debidamente– el procedimiento caducará indefectiblemente, procediéndose a su archivo. 29. En el presente caso, se tiene que: (i) Mediante Resolución Directoral Nro. 204-2020-JUS/DGTAIPD-DFI12 del 30 de diciembre de 2020, la DFI emitió resolución de inicio de procedimiento administrativo sancionador. Esta resolución fue notificada a la administrada el 12 de enero de 202113 mediante Oficio Nro. 03-2021-JUS/DGTAIPD-DFI del 5 de enero de 2021. (ii) Mediante proveído de 23 de marzo de 202114 la DFI dispuso ampliar el plazo de la etapa de instrucción del procedimiento seguido a Oncosalud por (50) días hábiles adicionales. Es decir, la DFI amplió por una vez y hasta por un período igual el plazo de cincuenta (50) días de la etapa instructiva. (iii) De conformidad con lo dispuesto en el artículo 239 del TUO de la Ley Nro. 27444, el 6 de octubre de 2021 la DPDP emitió Resolución Directoral Nro. 2846-2021-JUS/DGTAIPD-DPDP15 ampliando el plazo de caducidad para resolver el presente procedimiento administrativo sancionador por dos (2) meses adicionales, plazo que empezaba a computarse a partir del 11 de octubre de 2021. Es decir, el plazo para resolver vencía el 11 de diciembre de 2021. (iv) Por Resolución Nro. 3439-2021-JUS/DGTAIPD-DPDP del 7 de diciembre de 2021, la DPDP resolvió, entre otros, sancionar a Oncosalud con una multa de veintiocho punto trece (28.13) UIT por la infracción imputada en su contra. 12 Obrante en los folios 269 a 276 (reverso). 13 Obrante en los folios 279 a 280. 14 Obrante en los folios 459 y 460. 15 Obrante en los folios 620 y 621. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 16 de 40 V. CUESTIONES CONTROVERTIDAS 33. De acuerdo con los antecedentes expuestos, en el presente procedimiento recursivo corresponde determinar lo siguiente: (i) Si Oncosalud resulta responsable o no del tratamiento de datos personales realizado por Biznes en mérito del contrato suscrito con GSP. (ii) Si la DPDP en la resolución de sanción vulneró el principio de predictibilidad o confianza legítima al haber resuelto contrariamente a la Resolución Nro. 378-2017-JUS/DGTAIPD-DPDP. (iii) Si correspondía que la DPDP considere como condición eximente de responsabilidad la incorporación del número de celular del denunciante en una base (lista) para no volverlo a contactar. (iv) Si la DPDP, al momento de determinar el monto de la sanción, valoró de manera correcta los factores de graduación de la sanción. VI. ANÁLISIS DE LAS CUESTIONES CONTROVERTIDAS V.1. Si Oncosalud resulta responsable o no del tratamiento de datos personales realizado por Biznes como consecuencia del contrato suscrito con GSP 34. En su recurso de apelación, Oncosalud ha señalado que terceriza los servicios de ventas de sus programas oncológicos con otras empresas y que estas utilizan su propia base de datos y no una entregada por Oncosalud. En la mayoría de casos, Oncosalud contrata con terceras empresas a través de la empresa GSP. 35. Oncosalud añadió que GSP subcontrató con la empresa Biznes, que es un call center que cuenta con una base de datos propia a fin de que esta empresa ejecutara parte de la prestación de servicios: contactabilidad a prospectos de clientes. Es decir, dicha empresa contacta a potenciales clientes de su propia base de datos y a la que Oncosalud no tiene acceso ni proporciona. Por tanto, no se le puede atribuir responsabilidad por no obtener el consentimiento válido para el tratamiento de datos personales y/o de las llamadas efectuadas al denunciante. 36. Con relación a la figura del encargo, Oncosalud señaló que la LPDP requiere que exista una “entrega” desde el titular del banco de datos o responsable hacia quien fungirá de su encargado, de lo cual se deriva que deben existir datos personales preexistentes en poder del titular o responsable, dándose un acto de “puesta a disposición” a favor del encargado. Ni la LPDP ni su Reglamento han reconocido que pueda existir un “encargado” que prescinda del acto de “entrega”. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 17 de 40 37. Desde el punto de vista de Oncosalud, no es una condición suficiente para que se materialice un encargo, el que exista una relación de interés comercial derivada de la prestación de un servicio entre la empresa de outsourcing y la empresa beneficiaria en el que existan datos personales de por medio. A) Respecto a la figura del encargado del tratamiento de datos personales 38. El artículo 2.7 de la LPDP18 prevé la figura del encargado del tratamiento de datos personales, estableciendo que se configura en toda persona natural, persona jurídica de derecho privado o entidad pública que realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales en virtud de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación, y que incluye también a quien realice el tratamiento sin la existencia de un banco de datos personales. 39. Así, el artículo 2.8 de la LPDP19 prevé la figura del encargo de tratamiento, estableciendo que se constituye en la entrega por parte del titular del banco de datos personales a un encargado de tratamiento de datos personales en virtud de una relación jurídica que los vincula, y que dicha relación jurídica delimita el ámbito de actuación del encargado de tratamiento de los datos personales. 40. La Agencia Española de Protección de Datos, en el procedimiento recaído en el Expediente Nro. PS/00267/202020, estableció también los parámetros del encargado del tratamiento de los datos personales, indicando: “La esencia de la función del encargado del tratamiento es que los datos personales sean tratados en nombre y por cuenta del responsable del tratamiento. En la práctica, es el responsable el que determina la finalidad y los medios, al menos los esenciales, mientras que el encargado del tratamiento tiene 18 LEY Nro. 29733. LEY DE PROTECCION DE DATOS PERSONALES Artículo 2. Definiciones Para todos los efectos de la presente Ley, se entiende por: (…) 7. Encargado de tratamiento de datos personales. Toda persona natural, persona jurídica de derecho privado o entidad pública que sola o actuando conjuntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales en virtud de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación. Incluye a quien realice el tratamiento sin la existencia de un banco de datos personales. 19 LEY Nro. 29733. LEY DE PROTECCION DE DATOS PERSONALES Artículo 2. Definiciones Para todos los efectos de la presente Ley, se entiende por: (…) 8. Encargo de tratamiento. Entrega por parte del titular del banco de datos personales a un encargado de tratamiento de datos personales en virtud de una relación jurídica que los vincula. Dicha relación jurídica delimita el ámbito de actuación del encargado de tratamiento de los datos personales. (…) 20 Ibidem. Pag. 46 de la resolución. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 18 de 40 la función de prestar servicios a los responsables del tratamiento. En otras palabras, “actuando en nombre y por cuenta del responsable del tratamiento” significa que el encargado del tratamiento está al servicio del interés del responsable del tratamiento en llevar a cabo una tarea específica y que, por tanto, sigue las instrucciones establecidas por éste, al menos en lo que se refiere a la finalidad y a los medios esenciales del tratamiento encomendado.” (énfasis y subrayado agregado) 41. En este sentido, el tratamiento ejecutado materialmente por un encargado de tratamiento por cuenta del responsable de dicho tratamiento pertenece a las decisiones y control de este último, de igual forma que si lo realizara directamente él mismo. 42. De los argumentos esgrimidos en apelación por Oncosalud se advierte que al alegar que no existiría una relación de encargo con GSP y/o Biznes, la administrada pretende alegar que no tendría responsabilidad alguna por la forma como se realiza el tratamiento de datos personales de los clientes que se contactan, por lo que no existiría una relación de causalidad entre la conducta que se le ha imputado en el presente caso y las acciones ejecutadas por Biznes. 43. Al respecto, tal como se ha hecho referencia en los párrafos previos, la figura del encargo de tratamiento de datos personales no se circunscribe netamente a la entrega de un banco de información de titularidad del responsable al encargado, sino que también puede materializarse en la ejecución de una actividad de tratamiento sobre información o datos personales recopilados por el encargado o tercero subcontratado por cuenta propia, siempre que exista la potencialidad de que estos serán incorporados en el banco de datos de quien encarga la actividad que involucra el tratamiento. B. En cuanto a Oncosalud como responsable del tratamiento de los datos personales 44. Al respecto, la DPDP en el fundamento 7921 de la resolución impugnada, determinó que el responsable del tratamiento es Oncosalud, y que más allá de que el tratamiento se realice con datos personales que no están incorporados aún en bancos de datos de su titularidad, se obliga a ejercer el control sobre dicho tratamiento de datos personales, a fin de que este se efectúe en cumplimiento de las disposiciones de la LPDP y su reglamento. 45. En este sentido, teniendo en consideración que en el presente procedimiento administrativo se ha determinado que Oncosalud mantiene un Contrato de locación de servicios de asesoría y venta de programas y productos específicos22 21 Obrante en el folio 633 (reverso). 22 Obrante en los folios 21 al 27 y 98 al 107. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 19 de 40 con GSP, y que en virtud del punto 5.2 de la cláusula quinta de dicho contrato23, GSP subcontrató a Biznes24, quien se obliga a brindar los servicios de gestión comercial para la venta de planes oncológicos prepagados de Oncosalud, corresponde determinar si la administrada en calidad de responsable del tratamiento de los datos personales debió tomar las medidas correspondientes para el cumplimiento de la LPDP y su Reglamento, a pesar de la subcontratación con terceras empresas. 46. Al respecto, el artículo 2.14 del Reglamento de la LPDP25 señala que el responsable del tratamiento de datos personales es aquel que decide sobre dicho tratamiento. Asimismo, sobre el responsable del tratamiento de datos personales, en la Opinión Consultiva Nro. 034-2021-JUS/DGTAIPD26 del 7 de septiembre de 2021, la Autoridad Nacional de Protección de Datos Personales (en adelante la ANPD) estableció que un ejemplo de responsable de tratamiento de un dato que no se encuentre en un banco de datos personales, es una persona natural que decide la difusión o publicación de una imagen que identifica a una persona. 47. A mayor abundamiento, la Agencia Española de Protección de Datos, en el procedimiento recaído en el Expediente Nro. PS/00267/202027, estableció lo concerniente al responsable del tratamiento de los datos personales, señalando lo siguiente: 23 “QUINTA: CARACTERES Y FORMAS DE PRESTAR LOS SERVICIOS (…) 5.2 Venta de Productos: EL LOCADOR se compromete a brindar a EL COMITENTE el servicio de venta de sus productos, lo cual se manifiesta a través de AFILIACIONES a sus Programas o Productos, en especial los Oncológicos. El LOCADOR podrá utilizar su propio personal o subcontratar empresas colectivas o individuales, canales de venta o cualquier otro medio que considere pertinente, ofreciendo comisiones o cualquier medio de pago que no involucre pago o desembolso alguno de EL COMITENTE. Asimismo, EL LOCADOR es responsable de instruir y capacitar debidamente a la fuerza de ventas, propia o tercerizada, en relación a la naturaleza de los productos, restricciones y exclusiones, idoneidad de los programas según rango etáreo o estado de salud y, en general, de brindar al público la información idónea respecto a los programas y productos de EL COMITENTE. EL LOCADOR no efectuará cobro alguno por las AFILIACIONES de manera directa, debiendo derivar el pago a cualquiera de los medios de pago que le indique EL COMITENTE, quien será el único responsable de emitir el respectivo comprobante de pago al afiliado.” 24 Obrante en los folios 32 al 97. 25 DECRETO SUPREMO Nro. 003-2013-JUS. REGLAMENTO DE LA LEY Nro. 29733 - LEY DE PROTECCION DE DATOS PERSONALES Artículo 2.- Definiciones Para los efectos de la aplicación del presente reglamento, sin perjuicio de las definiciones contenidas en la Ley, complementariamente, se entiende las siguientes definiciones: (… 14.Responsable del tratamiento: Es aquél que decide sobre el tratamiento de datos personales, aun cuando no se encuentren en un banco de datos personales. (…) 26 https://www.gob.pe/institucion/anpd/informes-publicaciones/2164485-oc-n-034-2021-jus-dgtaipd-sobre-las- obligaciones-del-encargado-y-el-responsable-del-tratamiento-de-datos-personales 27 Véase: https://www.aepd.es/es/documento/ps-00267-2020.pdf Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 20 de 40 “El responsable del tratamiento es quien tiene la obligación de garantizar la aplicación de la normativa de protección de datos y la protección de los derechos de los interesados, así como ser capaz de demostrarlo (artículos 5.2, 24, 28 y 32 del RGPD). El control del cumplimiento de la legalidad se extiende durante todo el tratamiento, desde el principio hasta el final. El responsable del tratamiento debe actuar, en cualquier caso, de forma diligente, consciente, comprometida y activa. (…) A la luz del principio de responsabilidad proactiva (art 5.2 RGPD), el responsable del tratamiento debe poder demostrar que ha tomado en cuenta todos los elementos previstos en el RGPD. Antes de externalizar un tratamiento y a fin de evitar posibles vulneraciones de derechos y libertades de los afectados, el responsable del tratamiento debe celebrar un contrato, otro acto jurídico o un acuerdo vinculante con la otra entidad que establezca obligaciones claras y precisas en materia de protección de datos. (…) Por tanto, el responsable del tratamiento debe establecer modalidades claras para dicha asistencia y dar instrucciones precisas al encargado del tratamiento sobre cómo cumplirlas de forma adecuada y documentarlo previamente a través de un contrato o bien en otro acuerdo (vinculante) y comprobar en todo momento del desarrollo del contrato su cumplimiento en la forma establecida en el mismo.” (Subrayado y énfasis agregado) 48. Teniendo ello en cuenta, el responsable del tratamiento de datos personales debe garantizar el cumplimiento de la normativa de protección de datos, estableciendo para ello las medidas técnicas y organizativas que sean necesarias, en función del tratamiento de datos personales que realiza, así como demostrar dicho cumplimiento. 49. Asimismo, el responsable del tratamiento es quien debe asegurarse de que se cumple con los requisitos que exige la LPDP y su Reglamento en todo el ciclo del tratamiento, es decir, la debida diligencia del cumplimiento de la normativa de protección de datos se mantiene en la cadena de contratación del tratamiento de datos personales. 50. Por tanto, de lo antes descrito se desprende que parte de las obligaciones de un responsable de tratamiento de datos personales comprende lo siguiente: (i) El responsable del tratamiento debe considerar los riesgos que pueden derivarse del tratamiento de datos personales y adoptar las medidas necesarias que garanticen su seguridad. (ii) El responsable debe asegurarse de que, si existe un encargo28 de datos personales, el encargado aplique todas aquellas medidas técnicas y 28 Ley N.° 29733, Ley de Protección de Datos Personales Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 21 de 40 organizativas necesarias para cumplir con la normativa en protección de datos personales que puedan tener incidencia en la situación jurídica del responsable. (iii) Decidir sobre la forma en que se ejecutará el tratamiento de los datos personales de los titulares sobre los cuales ostenta interés. 51. En el presente caso, resulta evidente que Oncosalud al ser el titular de los servicios ofrecidos por Biznes ostentaba interés en el tratamiento de los datos personales de los potenciales clientes a los cuales se realiza la contactabilidad. Por tanto, de acuerdo con el artículo 2.14 del Reglamento de la LPDP es pasible de resultar responsable de verificarse un tratamiento indebido de dichos datos personales. 52. Adicionalmente, debe tenerse en cuenta que la decisión o determinación en cuanto al tratamiento de datos personales por parte del responsable se encuentra establecida en el artículo 37 del Reglamento de la LPDP29, en cuanto establece que el tratamiento que haga el subcontratista se realizará en nombre y por cuenta del responsable del tratamiento. 53. Así también, de conformidad con lo indicado en el fundamento 46 de la resolución impugnada, cuando en un contrato de encargo de tratamiento o en la subcontratación derivada de este se configure la comisión de una infracción y/o de cualquier hecho que implique un daño efectivo o potencial, debe tomarse en cuenta respecto de la responsabilidad, lo siguiente: (i) El principal obligado para preservar la licitud del tratamiento de los datos personales es el responsable de este, por lo que debe ejercer diligentemente el control de aquel y ser capaz de demostrar dicho control de ser el caso. (…) “Artículo 2. Definiciones Para todos los efectos de la presente Ley, se entiende por: (…) 8. Encargo de tratamiento. Entrega por parte del titular del banco de datos personales a un encargado de tratamiento de datos personales en virtud de una relación jurídica que los vincula. Dicha relación jurídica delimita el ámbito de actuación del encargado de tratamiento de los datos personales.” 29 Reglamento de la Ley N.° 29733, Ley de Protección de Datos Personales, aprobado por Decreto Supremo N.° 003-2013-JUS (…) “Artículo 37.- Tratamiento a través de subcontratación. El tratamiento de datos personales puede realizarse por un tercero diferente al encargado del tratamiento, a través de un convenio o contrato entre estos dos. Para este supuesto se requerirá de manera previa una autorización por parte del titular del banco de datos personales o responsable del tratamiento. Dicha autorización se entenderá también concedida si estaba prevista en el instrumento jurídico mediante el cual se formalizó la relación entre el responsable del tratamiento y el encargado del mismo. El tratamiento que haga el subcontratista se realizará en nombre y por cuenta del responsable del tratamiento, pero la carga de probar la autorización le corresponde al encargado del tratamiento.” Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 22 de 40 (ii) En caso de que el responsable no haya ejercido diligentemente su rol de control sobre el encargo de dicho tratamiento y sobre el objeto de la subcontratación en tal encargo y/o no demuestre tal actuación, deberá responder por la infracción. (iii) Sin perjuicio de lo anterior, la responsabilidad del encargado por el incumplimiento o el tratamiento ilícito subsistirá respecto de aquellas acciones que implican una conducta distinta a la que se estipuló para el encargo y a las instruidas por el responsable durante la prestación del servicio. (iv) Igualmente, la responsabilidad del tercero subcontratado existe, en tanto haya efectuado acciones distintas a lo estipulado en el contrato suscrito con el encargado o a lo que este le haya instruido. (v) En caso de que el responsable haya ejercido de forma diligente el control de las acciones de tratamiento de datos personales objeto de encargo y de sucesiva subcontratación, y sustente adecuadamente el haber ejercitado dicho control, no le serán imputables los hechos ilícitos o dañosos. 54. Siendo así, si bien la determinación de la responsabilidad se atribuirá de acuerdo a las particularidades de cada caso concreto y de las funciones que involucran la prestación del servicio contratado, lo cierto es que en el presente caso no resulta posible deslindar la responsabilidad de Oncosalud por el tratamiento indebido que Biznes realizó sobre los datos personales de los potenciales clientes, habiéndose verificado tal hecho por lo menos en el caso del denunciante. C. Análisis del responsable y encargado del tratamiento de datos personales en el caso en concreto 55. En efecto, de acuerdo con lo analizado por la DPDP en los fundamentos 62 y 63 de la resolución impugnada, en el Anexo 2-B30 del contrato de servicios suscrito entre GPS y Biznes se visualiza el discurso de venta o speech que los trabajadores del tercero subcontratado deben utilizar para vender los productos o servicios materia del contrato. En dicho discurso se facilita a esta empresa la información que se debe brindar a los clientes para ofertar los servicios de Oncosalud. 56. En este sentido, las actividades de GSP y de los terceros subcontratados están dirigidas a concretar la afiliación de clientes derivada del ofrecimiento de los productos oncológicos de la administrada, para lo cual deben cumplir con las instrucciones sobre las llamadas de televentas. 30 Obrante en los folios 78 al 87 del expediente. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 23 de 40 57. Siendo así, queda acreditado que la administrada proporcionaba a los terceros subcontratados, a través de GSP, el discurso de venta o speech a utilizar por dichos subcontratados31, en el cual sus textos32 señalan la comunicación por encargo de Oncosalud, es decir, la comercialización en la que se efectúa el tratamiento de datos personales se hace a su nombre. 58. Por tanto, esta elaboración y entrega del discurso de venta o speech refuerza el hecho de que Oncosalud ejerce una posición de control sobre la actividad que realizan las empresas subcontratadas para la contactabilidad a potenciales clientes, lo cual permite atribuirle la capacidad de decidir sobre el tratamiento de datos personales de los potenciales clientes y, por ende, ser pasible de ser declarada responsable de dicha actividad. 59. A mayor abundamiento, con la finalidad de acreditar la responsabilidad de la administrada en el tratamiento de los datos personales, este Despacho advierte que en relación con las llamadas de televentas que el denunciante recibió el 3 de marzo del 2020 (materia de denuncia), Oncosalud informó que a partir de la notificación de la denuncia GSP había procedido a inscribir los datos del denunciante en la lista Robinson33 o también denominada lista de personas a no contactar. 31 Obrante en los folios 78 al 82. 32 “1. SALUDO SEGMENTO 1 (LIMA MODERNA) Buenos días / tardes / noches (…) nos estamos comunicando por encargo de Oncosalud, ¿NOS PERMITE CONTINUAR CON LA LLAMADA Y OFRECERLE LOS BENEFICIOS QUE TENEMOS PARA USTED Y PARTICIPAR DEL SORTEO DE UN PAQUETE DOBLE AL CARIBE? (…) SEGMENTO 2 (LIMA NO MODERNA) Buenos días / tardes / noches (…) nos estamos comunicando por encargo de Oncosalud, ¿NOS PERMITE CONTINUAR CON LA LLAMADA Y OFRECERLE LOS BENEFICIOS QUE TENEMOS PARA USTED Y PARTICIPAR DEL SORTEO DE UN PAQUETE DOBLE AL CARIBE? (…) SEGMENTO 3 (PROVINCIA CON PRESENCIA) Buenos días / tardes / noches (…) nos estamos comunicando por encargo de Oncosalud, ¿NOS PERMITE CONTINUAR CON LA LLAMADA Y OFRECERLE LOS BENEFICIOS QUE TENEMOS PARA USTED Y PARTICIPAR DEL SORTEO DE UN PAQUETE DOBLE AL CARIBE? (…) 2. OBJETIVO DE LA LLAMADA El motivo de nuestra llamada es para informarle que a partir de ahora con las tarjetas Visa o Mastercard usted podrá pertenecer a un programa de beneficios y contará con asistencia médica a domicilio a S/ 35, servicio brindado por nuestro aliado estratégico; además contara con orientación médica telefónica por teléfono las 24 horas del día sin costo alguno brindado también por nuestro aliado estratégico. Para ello, usted únicamente deberá contratar la cobertura contra el cáncer con Oncosalud. (…) Recuerde que deberá estar al día en sus pagos para acceder a los beneficios del programa. 1. Una. vez realizado el primer pago, usted podrá acceder a nuestros beneficios transversales a través del siguiente link: afiliado.oncosalud.pe/beneficios 2. Para activar el Programa de Beneficios, deberá llamar a nuestra central 513 7900 y dentro de las 48 horas podrá utilizar el servicio de teleasistencias. Para solicitar el servicio deberá contactarse al 01-700-6693.Aplica sólo para Lima y Arequipa.” 33 Con la inclusión del número del denunciante en la Lista Robinson, la administrada indicó que luego de ello, dispuso que todos los terceros subcontratados para efectuar llamadas de televentas (entre ellos Biznes, quienes habrían realizado las llamadas objeto de denuncia, según la administrada) bloqueen los datos personales del denunciante, a fin de que no se le vuelva a llamar, al día siguiente de habérsele trasladado la denuncia (25 de agosto de 2020) (folio 587) instrucción remitida por personal del grupo Auna a cada empresa subcontratada; rec biendo las confirmaciones de tales bloqueos, vía correo electrónico, desde el 15 de octubre de 2020, de acuerdo con la información adjunta a la comunicación del 26 de marzo de 2021 (folios 293 al 299 y 472 al 495). Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 24 de 40 60. En efecto, con esta acción se evidencia que tanto GSP como Oncosalud ejercían una posición de control sobre el tratamiento de datos personales del banco de datos de titularidad de Biznes, toda vez que luego de que el denunciante formulara su denuncia por tales hechos, dichas empresas incorporaron el número telefónico de denunciante en su base de datos de personas no contactables (lista Robinson). Es decir, el denunciante tuvo que ejecutar una acción de presión (mediante la interposición de una denuncia) a efectos de que Oncosalud decidiera adoptar una medida disuasiva o de control para evitar que se continúe con el tratamiento de datos personales del denunciante de manera indebida. 61. En consecuencia, esta Dirección General estima que Oncosalud es responsable del tratamiento de los datos personales de clientes o potenciales clientes a quienes directa o indirectamente (a través de terceros o empresas subcontratadas para el ofrecimiento de sus servicios) realice o ejerza algún tipo de contactabilidad a través de cualquier medio (escrito, verbal, entre otros). Por tanto, se encuentra obligada a adoptar las medidas técnicas y organizativas respectivas que conlleven al cabal cumplimiento de la LPDP y su Reglamento. 62. Por tales fundamentos, no corresponde amparar los argumentos de la administrada, en cuanto a este extremo de la apelación. D. Respecto a la base de datos de titularidad de Biznes 63. En cuanto al argumento de la administrada referido a que la base de datos de prospectos de clientes es de titularidad de Biznes y que en virtud de ello no podría existir una relación de encargo entre Oncosalud y Biznes y/o entre GSP y Biznes, corresponde reiterar que la figura del encargo de tratamiento de datos personales no implica necesariamente la entrega de dichos datos desde un banco de datos personales de titularidad del responsable, sino que el encargo puede tener como objeto una actividad de tratamiento de datos recopilados o incorporados en un banco de datos personales de titularidad del encargado o tercero subcontratado, que tengan como finalidad ser incorporados en el banco de datos del titular que encarga el tratamiento. 64. Por tanto, el hecho que la empresa Biznes cuente con su propio banco de datos personales no exime a Oncosalud de la calidad de responsable del tratamiento de datos personales, por lo que debe adoptar todas las medidas necesarias para que la actividad subcontratada se ejerza cumpliendo las disposiciones en materia de protección de datos personales, incluso si aquella no fue quien proporcionó o facilitó el banco de datos personales. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 25 de 40 65. Asimismo, alegar que existiría una presunta afectación del principio de causalidad debido a que Oncosalud no es titular del banco de datos personales no resulta amparable, puesto que una vez que la tercera empresa subcontratada concreta la incorporación de nuevos afiliados, su información pasa de inmediato a formar parte del banco de datos de Oncosalud. Por tanto, no es posible deslindar a Oncosalud de las obligaciones que ostenta como responsable de los datos personales de los afiliados. 66. En consecuencia, corresponde desestimar lo señalado por la administrada en el recurso de apelación respecto a este extremo. E. Respecto a la Opinión Consultiva Nro. 034-2021-JUS/DGTAIPD del 7 de setiembre de 2021 67. Mediante la Opinión Consultiva Nro. 034-2021-JUS/DGTAIPD34 del 7 de setiembre de 2021, la ANPD estableció parámetros sobre las obligaciones del encargado y el responsable del tratamiento de datos personales. 68. Cabe resaltar que en esta opinión se han establecido las obligaciones del encargado y responsable desde el punto de vista del titular del banco de datos personales35, es decir, cuando es el propio titular de banco de datos personales quien realiza el encargo del tratamiento a un tercero. Sin embargo, en dicha opinión no se aprecia pronunciamiento en el caso que el responsable el tratamiento de los datos personales no se constituya en el titular del banco de datos personales. 69. Tal como se ha indicado previamente, el artículo 2.14 del Reglamento de la LPDP contempla que el responsable del tratamiento es aquél que decide sobre el tratamiento de datos personales, aun cuando no se encuentren en un banco de datos personales. Por tanto, el responsable del tratamiento no necesariamente tiene que ser el titular del banco de datos, sino es quien ejerce el control y define la forma del tratamiento de los datos personales. 70. En tan sentido, no resulta correcto lo señalado por la apelante en el sentido de que la ANPD ya habría emitido un criterio sobre este aspecto, pues la Opinión 34 https://www.gob.pe/institucion/anpd/informes-publicaciones/2164485-oc-n-034-2021-jus-dgtaipd-sobre-las- obligaciones-del-encargado-y-el-responsable-del-tratamiento-de-datos-personales 35 Ley N.° 29733, Ley de Protección de Datos Personales (…) “Artículo 2. Definiciones Para todos los efectos de la presente Ley, se entiende por: 17. Titular del banco de datos personales. Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad.” Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 26 de 40 Consultiva en cuestión no ha contemplado el supuesto del responsable del tratamiento de los datos personales cuando no es titular del banco de datos. 71. Por tales motivos, no corresponde amparar este extremo de los argumentos del recurso de apelación de la administrada. F. Sobre los conceptos de interés y beneficio señalados por la DPDP en la resolución de sanción, en relación con el responsable del tratamiento 72. En apelación Oncosalud, también ha señalado que la DPDP determinaría que cuando la actividad encargada se dirija a satisfacer el interés de una determinada empresa, sería esta la responsable del tratamiento que se realice, debiendo ejercer el control sobre el desarrollo de dicha actividad asignada a la encargada y al tercero subcontratado; sin embargo, este elemento de satisfacción de interés no se encontraría previsto en el concepto de responsable de tratamiento. Asimismo, precisa que Oncosalud no recibiría ganancias con el simple contacto, a diferencia de los call centers que sí obtendrían comisiones por llamadas concretadas en venta. 73. Al respecto, en los fundamentos 71 y 7236 de la resolución impugnada, la DPDP señaló que el objetivo de la realización de las llamadas de televentas es justamente concretar una venta de los servicios o productos ofrecidos, objetivo comercial sobre el que Oncosalud tiene interés. Por tanto, una vez que se concreta tal venta se puede encontrar 2 ámbitos de resultados: (i) Beneficio económico, en los casos donde se consiguió comprometer al receptor de la llamada a adquirir el producto, implicando un ingreso para la administrada. (ii) Carencia de beneficio económico, en los casos en que la actividad de prospección (llamada de televenta) no se completó. 74. Por tanto, la DPDP consideró que el beneficio económico es una de las dos consecuencias posibles de las actividades de prospección, con las que se satisfizo el interés comercial de la administrada, siendo esto último lo que determina su responsabilidad sobre el tratamiento de los datos en las llamadas de televentas. 75. En efecto, este Despacho advierte que uno de los argumentos de la DPDP para determinar a Oncosalud como responsable del tratamiento de los datos personales es el interés comercial y el beneficio económico que la administrada percibiría como consecuencia de la actividad ejecutada por GSP y/o las terceras empresas subcontratadas. 36 Obrante en el folio 633. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 27 de 40 76. Cabe indicar que las autoridades de la administración pública deben regir sus actuaciones en el marco del principio de legalidad, es decir, con respeto a la Constitución, la ley y al derecho, dentro de las facultades que le hayan sido conferidas37, de tal forma que las decisiones que adopte se encuentren bajo parámetros de objetividad evitando cualquier tipo de arbitrariedad que vulnere el derecho de los administrados. Sin embargo, ello debe encontrarse en armonía con el ejercicio de las funciones propias de la potestad sancionadora y de su inevitable contenido y naturaleza discrecional, de acuerdo con una adecuada valoración de los elementos existentes en el expediente y el criterio del juzgador en cada caso en concreto, lo cual no necesariamente implicará que la adopción de un criterio sea indebido o incorrecto. 77. Por tanto, si bien el interés y beneficio no se encuentran previstos taxativamente en la normativa de protección de datos personales como elementos que determinan la configuración de la responsabilidad de un administrado, ello no conlleva a determinar que el criterio de la DPDP sea incorrecto o que haya realizado una interpretación contraria a ley, sino que forma parte de la valoración propia que como autoridad sancionadora ejerce de acuerdo con los elementos a su alcance a fin de adoptar una decisión respecto de la controversia. 78. Así, en adición a otros elementos valorados por la DPDP para analizar la configuración de la conducta38, dicho órgano consideró que el beneficio que podría percibir con la afiliación de clientes a través de las llamadas de televenta efectuadas por empresas de call center era un elemento de valoración adicional para establecer la posición de control que Oncosalud ejercería sobre el tratamiento de los datos personales. 79. Asimismo, es preciso diferenciar que el beneficio económico (derivado del interés comercial) al que se refiere la DPDP se constituye en el beneficio que puede percibir Oncosalud una vez que la empresa call center afilia a un nuevo cliente, pues este cliente abonará un monto mensual como concepto de pago de seguro oncológico. Así, dicho beneficio no es el mismo que el beneficio económico considerado al momento de realizar la graduación de la sanción, pues en el caso 37 DECRETO SUPREMO Nro. 004-2019-JUS. TEXTO ÚNICO ORDENADO DE LA LEY Nro. 27444 - LEY DEL PROCEDIMIENTO ADMINISTRATIVO GENERAL TÍTULO PRELIMINAR Artículo IV. Principios del procedimiento administrativo 1. El procedimiento administrativo se sustenta fundamentalmente en los siguientes principios, sin perjuicio de la vigencia de otros principios generales del Derecho Administrativo: (…) 1.1. Principio de legalidad.- Las autoridades administrativas deben actuar con respeto a la Constitución, la ley y al derecho, dentro de las facultades que le estén atribuidas y de acuerdo con los fines para los que les fueron conferidas. (…) 38 Como el tratamiento por encargo de los datos personales, así como el discurso de venta o speech que proporciona a GSP y/o las terceras empresas subcontratadas. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 28 de 40 concreto no se ha determinado en montos o porcentaje alguna ganancia a favor de Oncosalud, sino que corresponden a elementos distintos. 80. De otro lado, sobre el interés comercial, resulta evidente que Oncosalud, al contratar a terceros para la venta de sus programas oncológicos conlleva un interés en la afiliación de clientes, el cual tiene un carácter evidentemente comercial. De ese modo, al igual que en el supuesto anterior, la DPDP valoró dichos componentes para acreditar la calidad de responsable del tratamiento por parte de Oncosalud. G. En cuanto a la supuesta afectación del principio de tipicidad por la inadecuada interpretación del responsable del tratamiento de datos personales 81. Oncosalud ha alegado que la DPDP interpreta la definición de titular o responsable del tratamiento de datos de una forma que excede lo contemplado en la LPDP y su Reglamento, por lo que incluye los conceptos de beneficio comercial e interés como elementos dirimentes para identificar a dichos sujetos (titular y responsables del tratamiento), sin considerar que los mismos no han sido adoptados por los cuerpos legales de la materia. 82. Conforme se desarrolló en los fundamentos precedentes, el numeral 14 del artículo 2 del Reglamento de la LPDP prevé que el responsable del tratamiento es aquél que decide sobre el tratamiento de datos personales, aun cuando no se encuentren en un banco de datos personales. Es decir, el responsable del tratamiento no necesariamente tiene que ser el titular del banco de datos, pues dicho responsable es quien define la forma del tratamiento de los datos personales. 83. Teniendo ello en cuenta, la DPDP se limitó a realizar una interpretación sistemática y coherente del texto normativo de la LPDP y su Reglamento, por lo que no se advierte la presunta afectación al principio de tipicidad y/o legalidad39. 39 DECRETO SUPREMO Nro. 004-2019-JUS. TEXTO ÚNICO ORDENADO DE LA LEY Nro. 27444 - LEY DEL PROCEDIMIENTO ADMINISTRATIVO GENERAL Artículo 248.- Principios de la potestad sancionadora administrativa La potestad sancionadora de todas las entidades está regida adicionalmente por los siguientes principios especiales: (…) 4. Tipicidad.- Solo constituyen conductas sancionables administrativamente las infracciones previstas expresamente en normas con rango de ley mediante su tipificación como tales, sin admitir interpretación extensiva o analogía. Las disposiciones reglamentarias de desarrollo pueden especificar o graduar aquellas dirigidas a identificar las conductas o determinar sanciones, sin constituir nuevas conductas sancionables a las previstas legalmente, salvo los casos en que la ley o Decreto Legislativo permita tipifi car infracciones por norma reglamentaria. A través de la tipificación de infracciones no se puede imponer a los administrados el cumplimiento de obligaciones que no estén previstas previamente en una norma legal o reglamentaria, según corresponda. En la configuración de los regímenes sancionadores se evita la tipificación de infracciones con idéntico supuesto de hecho e idéntico fundamento respecto de aquellos delitos o faltas ya establecidos en las leyes penales o respecto de aquellas infracciones ya tipificadas en otras normas administrativas sancionadoras. (…) Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 29 de 40 84. Como se indicó en los fundamentos 74 y 75 de la presente resolución, si bien las autoridades administrativas rigen sus actuaciones en el marco del debido respecto a las leyes y el derecho dentro de sus facultades, lo cierto es que la potestad sancionadora tiene un inevitable contenido y naturaleza discrecional, más aún si se trata de supuestos que involucran conceptos jurídicamente abiertos o no previstos taxativamente en la norma, por lo que la evaluación del juzgador dependerá de los elementos existentes en cada caso en concreto. 85. Por tanto, la DPDP en ejercicio de sus competencias interpretó sistemáticamente lo dispuesto en el artículo 2.14 de la LPDP y en el Reglamento de la LPDP y, de acuerdo con ello y los elementos de valoración obrantes en el expediente, determinó que Oncosalud sí resultaba ser responsable por la conducta infractora (incumplir la disposición de obtener válidamente el consentimiento, lo cual es una infracción sancionable tipificada en el literal b) del numeral 2 del artículo 132 del Reglamento de la LPDP), tomando como uno de los elementos de valoración el beneficio que podría percibir con la afiliación de clientes a través de las llamadas de televenta efectuadas por empresas de call center. Por tanto, no se advierte la alegada vulneración al principio de tipicidad y/o legalidad alegados. 86. Por tales motivos, no corresponde amparar este extremo de la apelación presentada por la administrada. V.2 Evaluar si la DPDP, a través de la resolución de sanción, vulneró el principio de predictibilidad o confianza legítima al haberse apartado de lo resuelto en la Resolución Nro. 378-2017-JUS/DGTAIPD-DPDP 87. En su recurso de apelación, la administrada señala que la DPDP analizó el alcance de la responsabilidad de Oncosalud respecto a las llamadas que realizan los call centers subcontratados por GSP en la Resolución Nro. 378-2017-JUS/DGTAIPD- DPDP en la que se habría indicado que dichas empresas son los titulares de las bases de datos personales. Añadió que en el apartado 8.1.3 de la referida resolución, la DPDP habría desarrollado sobre el titular del banco de datos personales concluyendo que se advierte una relación jurídica de encargo de gestión comercial entre el reclamado y las empresas de call center y son estas quienes realizarían el tratamiento de datos personales y, por tanto, se constituyen en titulares de los bancos de datos de prospectos de clientes. 88. Oncosalud refiere también que la DPDP contravino el principio de predictibilidad o confianza legítima, pues la DPDP fijó un antecedente al señalar que los call centers son los responsables del tratamiento de los datos que hayan obtenido de un banco de datos de su titularidad, lo cual generó la expectativa razonable y legítima en Oncosalud de que ante casos similares se adoptaría el mismo criterio. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 30 de 40 89. Al respecto, el principio de predictibilidad o de confianza legítima40 se encuentra previsto en el numeral 1.15 del artículo IV del Título Preliminar del TUO de la Ley Nro. 27444. Este principio establece que la autoridad administrativa brinda a los administrados o sus representantes información veraz, completa y confiable sobre cada procedimiento a su cargo, de modo tal que, en todo momento, el administrado pueda tener una comprensión cierta sobre los requisitos, trámites, duración estimada y resultados posibles que se podrían obtener. 90. Ahora bien, esta Dirección General ha tenido oportunidad de revisar la Resolución Directoral Nro. 378-2017-JUS/DGTAIPD-DPDP41 emitida en el marco del procedimiento trilateral de tutela recaído en el Expediente Nro. 004-2017-PTT. En dicha resolución la DPDP evaluó la reclamación formulada por un ciudadano contra Oncosalud debido a las llamadas recurrentes que recibía donde le ofrecían servicios de dicha empresa. En ejercicio de su derecho de acceso y cancelación, solicitó que se le informe toda la data que Oncosalud tenía sobre dicha persona, así como la forma cómo se había recopilado dicha información. 91. En dicho procedimiento la DPDP declaró infundada la reclamación debido a que Oncosalud no realizaba directamente el tratamiento de los datos personales de los prospectos de clientes; sino que se había verificado que las llamadas eran realizadas por empresas call center. Por tanto, dicho ciudadano debía ejercer sus derechos ARCO ante dichas empresas titulares de los bancos de datos. 92. Ahora bien, en el presente caso, la materia de discusión no se circunscribe a una reclamación iniciada por un ciudadano en ejercicio de sus derechos ARCO42, sino a un procedimiento administrativo sancionador por presuntos incumplimientos de la normativa de protección de datos, cuya consecuencia puede culminar con la 40 DECRETO SUPREMO Nro. 004-2019-JUS. TEXTO ÚNICO ORDENADO DE LA LEY Nro. 27444 - LEY DEL PROCEDIMIENTO ADMINISTRATIVO GENERAL TÍTULO PRELIMINAR Artículo IV. Principios del procedimiento administrativo 1. El procedimiento administrativo se sustenta fundamentalmente en los siguientes principios, sin perjuicio de la vigencia de otros principios generales del Derecho Administrativo: (…) 1.15. Principio de predictibilidad o de confianza legítima.- La autoridad administrativa brinda a los administrados o sus representantes información veraz, completa y confiable sobre cada procedimiento a su cargo, de modo tal que, en todo momento, el administrado pueda tener una comprensión cierta sobre los requisitos, trámites, duración estimada y resultados posibles que se podrían obtener. Las actuaciones de la autoridad administrativa son congruentes con las expectativas legítimas de los administrados razonablemente generadas por la práctica y los antecedentes administrativos, salvo que por las razones que se expliciten, por escrito, decida apartarse de ellos. La autoridad administrativa se somete al ordenamiento jurídico vigente y no puede actuar arbitrariamente. En tal sentido, la autoridad administrativa no puede variar irrazonable e inmotivadamente la interpretación de las normas aplicables. (…) 41 https://cdn.www.gob.pe/uploads/document/file/589686/RD-378-2017-DPDP.pdf. 42 Que se tramita como un procedimiento trilateral de tutela de derechos, es decir, la decisión tiene efectos únicamente sobre la esfera jurídica particular del reclamante. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 31 de 40 imposición de una sanción de ser hallado responsable, así como la imposición de medidas correctivas que buscan restablecer los efectos jurídicos de la conducta y evitar que esta se siga produciendo43. 93. Si bien ambos procedimientos podrían partir de situaciones de hecho similares, lo cierto es que el ámbito objetivo de análisis de las materias que se discuten es distinto, así como los efectos de la decisión de la autoridad. 94. Por lo demás, es pertinente indicar que si bien los criterios esgrimidos por las autoridades se sujetan a los principios de legalidad, así como predictibilidad y confianza legítima, no se puede inobservar que las cuestiones controvertidas pueden cambiar con la trascurrir del tiempo y/o tornarse más complejas. Ello significa que los criterios de las autoridades administrativas no tienen el carácter de inmutables o inalterables, sino que de acuerdo con las particularidades de cada caso pueden ser modificados siempre y cuando se expresen las razones sustentadas y fundamentadas que conlleven a dicho cambio de criterio. 95. Por tales motivos, no corresponde amparar este extremo del recurso de apelación. V.3 Determinar si correspondía que la DPDP considere como condición eximente de responsabilidad la incorporación del número de celular del denunciante en una base (lista) para no volverlo a contactar 96. En apelación, Oncosalud señaló que la DPDP no habría valorado su conducta relacionada con una subsanación al haber coordinado con GSP para incluir los datos del denunciante en una lista de personas que no desean ser contactadas (“Lista Robinson”). Ello generó que los call centers no vuelvan a contactar al denunciante con la finalidad de solicitar un consentimiento para fines publicitarios y/u ofertarle servicios de Oncosalud. Además, esta situación habría ocurrido varios meses antes de la notificación con la imputación de cargos que dio inicio al presente procedimiento administrativo sancionador. 97. Como se puede observar advierte que la administrada solicita considerar como eximente de responsabilidad su conducta por el hecho de haber dispuesto el bloqueo y cese del uso de los datos personales del denunciante el 25 de agosto de 2020, fecha previa a la notificación de la resolución de inicio del presente procedimiento44. 43 En el presente procedimiento se ha determinado que la empresa tercera Biznes es titular del banco de datos prospección de clientes como call center para el ofrecimiento de planes oncológicos de Oncosalud, determinándose que ello no exime a Oncosalud del cumplimiento de obligaciones como responsable del tratamiento de los datos personales. 44 Resolución Directoral N.° 204-2020-JUS/DGTAIPD-DFI de 30 de diciembre de 2020, notificada mediante Oficio N.° 3-2021-JUS/DGTAIPD-DFI el 12 de enero de 2021. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 32 de 40 98. Al respecto, el artículo 25745 del TUO de la LPAG establece en el literal f) del inciso 1 que la subsanación voluntaria por parte del posible sancionado del acto u omisión imputado como constitutivo de infracción administrativa, con anterioridad a la notificación de la imputación de cargos, constituye eximente de responsabilidad; y, que el reconocimiento del infractor de su responsabilidad de forma expresa y por escrito después de iniciado el procedimiento administrativo sancionador es considerado como condición atenuante de responsabilidad. 99. Al respecto, Morón Urbina46 señala que “Toda infracción es jurídicamente subsanable, lo que impide o dificulta su subsanabilidad es la posibilidad o no de revertir los efectos dañosos producidos”. 100. Por ello, corresponde que las autoridades administrativas involucradas en las acciones de fiscalización y sanción analicen si las acciones implementadas por los administrados lograron el objetivo de subsanar el incumplimiento detectado, de acuerdo con el caso en concreto. 101. En el presente caso, de la revisión de los actuados en el expediente no se aprecia que Oncosalud haya reconocido su responsabilidad de manera expresa respecto de los hechos o la conducta infractora imputada en su contra, elemento normativo necesario para que se configure un eximente y/o atenuante de responsabilidad. Sin perjuicio de ello, a efectos de analizar el argumento formulado en apelación, este Despacho realizará un análisis sobre si, de haberlo reconocido expresamente, correspondería acoger lo señalado por Oncosalud. 102. Estando con lo señalado, esta Dirección aprecia que la configuración de la llamada de televentas posterior a la manifestación de denegatoria de consentimiento del denunciante (3 de marzo de 2020 fecha de interposición de denuncia por llamadas efectuadas en el mismo día) conlleva en sí misma la consumación de la infracción 45 DECRETO SUPREMO Nro. 004-2019-JUS. TEXTO ÚNICO ORDENADO DE LA LEY Nro. 27444 - LEY DEL PROCEDIMIENTO ADMINISTRATIVO GENERAL Artículo 257.- Eximentes y atenuantes de responsabilidad por infracciones 1.- Constituyen condiciones eximentes de la responsabilidad por infracciones las siguientes: a) El caso fortuito o la fuerza mayor debidamente comprobada. b) Obrar en cumplimiento de un deber legal o el ejercicio legítimo del derecho de defensa. c) La incapacidad mental debidamente comprobada por la autoridad competente, siempre que esta afecte la aptitud para entender la infracción. d) La orden obligatoria de autoridad competente, expedida en ejercicio de sus funciones. e) El error inducido por la Administración o por disposición administrativa confusa o ilegal. f) La subsanación voluntaria por parte del pos ble sancionado del acto u omisión imputado como constitutivo de infracción administrativa, con anterioridad a la notificación de la imputación de cargos a que se refiere el inciso 3) del artículo 255. 2.- Constituyen condiciones atenuantes de la responsabilidad por infracciones las siguientes: a) Si iniciado un procedimiento administrativo sancionador el infractor reconoce su responsabilidad de forma expresa y por escrito. En los casos en que la sanción aplicable sea una multa esta se reduce hasta un monto no menor de la mitad de su importe. b) Otros que se establezcan por norma especial. 46 MORÓN, Juan. “Comentarios a la Ley del Procedimiento Administrativo General. Texto Único Ordenado de la Ley No. 27444.” Tomo II. Año 2017. Gaceta Jurídica: Lima, p. 513. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 33 de 40 y el despliegue de sus efectos: la contradicción de la voluntad de dicha persona que conlleva el uso no autorizado de sus datos personales. 103. En efecto, se aprecia el carácter irreversible del efecto del uso no consentido de los datos personales del denunciante, el contacto telefónico no deseado, así como otro factor muy importante: la persistencia del riesgo de que dicha acción se repita, en tanto la administrada no disponga el bloqueo y cese de tratamiento de dichos datos, lo cual sucedió después del 24 de agosto de 2020. 104. En este sentido, las consecuencias negativas del hecho infractor produjeron efectos, al haber efectuado llamadas al denunciante sin su consentimiento, es decir, la infracción fue consumada; por lo que las acciones que se ejecuten para contrarrestar tales efectos, no podrán subsanarlos totalmente, solo alcanzaron a minimizar los efectos antijurídicos y su trascendencia, al detener el riesgo de que nuevamente se de este contacto no deseado, con el cese del tratamiento de los datos personales. 105. Asimismo, como ha señalado la DPDP en el fundamento 125 de la resolución impugnada, el denunciante indicó a las operadoras de call center que hubo más de una llamada de televentas posterior a la denegatoria de consentimiento, por lo que se estaría configurando un supuesto de infracciones continuadas, de consumación inmediata, que vulneran la disposición normativa referida a la obtención del consentimiento válido. 106. A mayor abundamiento, si bien este procedimiento se ha iniciado como consecuencia de la denuncia del señor Ramírez, se ha evidenciado que la administrada no ha tenido la diligencia ni ha probado las medidas que adoptó para asegurarse que los call center contratados, utilicen en la campaña comercial a su favor, datos personales obtenidos cumpliendo las exigencias de la LPDP y su reglamento; por lo que, es razonable inferir que podría estar realizándose tratamiento de datos de otros ciudadanos bajo las mismas condiciones. 107. Corresponde indicar que, el tratamiento de datos personales afecta de manera directa el derecho constitucional protegido y que las empresas que intervienen en estas operaciones referidas al tratamiento de datos personales no pueden desentenderse de sus obligaciones. 108. En el presente caso Oncosalud, debió haber previsto las medidas técnicas y organizativas sobre la procedencia de los datos personales tratados en la campaña comercial realizada en su beneficio y poner a disposición los medios necesarios para impedir que los datos sean tratados sin consentimiento; sin embargo, tales acciones no ocurrieron, pues no consta en el expediente prueba de alguna medida adoptada por Oncosalud para que el tratamiento de los datos utilizados en su campaña comercial se realice conforme a la LPDP y su Reglamento. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 34 de 40 109. Sin embargo, la DPDP ha considerado estas acciones como atenuantes de responsabilidad de conformidad con el fundamento 12947 de la resolución impugnada, al señalar que al estarse cumpliendo el objetivo de la fiscalización y de este procedimiento sancionador (que es hacer cumplir la LPDP y su reglamento respecto de los datos personales del denunciante) será objeto de atenuación. 110. Por tales motivos, no corresponde amparar, los argumentos de la administrada respecto a este extremo. V.4 Determinar si la DPDP, al momento de determinar el monto de la sanción, valoró de manera correcta los factores de graduación de la sanción 111. En el recurso de apelación, con relación a la graduación de la sanción, la administrada refiere que la primera instancia reconoce que no ha existido un perjuicio más allá de la identificación concreta del denunciante, así, no se ha generado un daño grave, que, asimismo, este procedimiento administrativo sancionador no tutela intereses difusos o colectivos, sino, los de un solo administrado, y que este hecho no ha sido valorado por la autoridad a fin de graduar debidamente la multa impuesta. 112. La administrada indica que la sanción es desproporcionada en relación con las medidas impuestas por la autoridad anteriormente ante infracciones similares (Resolución Directoral Nro. 04-2020-JUS/ DGTAIPD multa de 5.01 UIT por el tratamiento de datos personales sin consentimiento del titular; y Resolución Directoral Nro. 4074-2019-JUS/DGTAIPD-DPDP con de 5.01 UIT por el tratamiento de datos personales sin consentimiento del titular). 113. De los argumentos señalados, esta Dirección concluye que la DPDP realizó la graduación de la sanción en el numeral 146 de la resolución impugnada, valorando que el incumplimiento del artículo 13.5 del artículo 13 de la LPDP y de lo dispuesto en el artículo 12 del Reglamento de dicha ley, implican la vulneración de uno de los principios del tratamiento de datos personales, como es el principio de Consentimiento, el cual es la principal garantía de la autodeterminación informativa reconocida por el Tribunal Constitucional en la Sentencia STC Nro. 04387-2011-PHD/TC, que a su vez conlleva a inobservar la voluntad de la persona que no desea consentir el tratamiento de sus datos por parte de terceros. 114. Ahora bien, en el caso de los procedimientos iniciados por infracciones en materia de protección de datos, las disposiciones especiales son el Reglamento de la LPDP y la Metodología para el Cálculo de Multas en materia de Protección de Datos Personales, aprobada mediante la Resolución Ministerial Nro. 0326-2020- JUS (en adelante la Metodología para el Cálculo de Multas). Cabe precisar que 47 Obrante en el folio 634 del expediente. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 35 de 40 los criterios de graduación adoptados en dicha normativa se encuentran acordes con los criterios de razonabilidad previstos en el TUO de la Ley Nro. 27444. 115. De acuerdo con lo señalado, las normas aludidas en el párrafo anterior desarrollan de forma clara y objetiva el método para calcular las sanciones que corresponden imponer por cada infracción, así como los descuentos que se deben aplicar en atención a las circunstancias particulares de cada caso. 116. Así, se tiene que la Metodología para el Cálculo de Multas, en concordancia con el TUO de la Ley Nro. 27444, ha establecido que en aquellos casos de reconocimiento de la responsabilidad el factor de reducción será del 30% sobre el valor de la multa base. 117. En el presente caso, de la revisión de la Resolución Directoral Nro. 189-2021- JUS/DGTAIPD-DPDP se advierte que la DPDP, para graduar las sanciones a imponer, tomó en consideración lo dispuesto en el Reglamento de la LPDP y la Metodología para el Cálculo de Multas. Así, la DPDP realizó el cálculo de la multa aplicable teniendo en cuenta los siguientes factores de graduación: 118. Como se puede observar, la DPDP consideró que correspondía aplicar: (i) Como factor atenuante, - 0.30 debido a la colaboración con la autoridad, reconocimiento espontáneo y acción de enmienda, después de notificado el inicio del procedimiento sancionador de Oncosalud; y, (ii) Como factor agravante: (a) 0.10 por el riesgo o daño generado a una persona; (b) 0.15 por el entorpecimiento de la investigación y/o durante el procedimiento; e, (c) 0.30 por la intencionalidad. 119. Con relación al riesgo o daño generado, la determinación de la responsabilidad de un administrado por una infracción a las disposiciones de la LPDP y su reglamento no se limita únicamente a la verificación de una afectación particular producida sobre una o un grupo de personas en particular, sino al efecto real o potencial que Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 36 de 40 dicha conducta genera en perjuicio de aquellas. Por tanto, para la configuración de este criterio basta constatar que la existencia del daño sea potencial. 120. En tal sentido, corresponde desestimar el argumento de la administrada referido a que la sanción se determinó sobre intereses difusos, pues inclusive en el presente caso se constató una afectación generada por lo menos en la esfera jurídica del denunciante, es decir, una corroboración fáctica del nivel de afectación producido. 121. Con relación al entorpecimiento, la DPDP consideró que algunas actuaciones ejecutadas por Oncosalud durante el procedimiento48, si bien no alteraron el análisis y estudio de las cuestiones centrales, conllevaron a acciones de indagación posterior. Es decir, según la DPDP, los argumentos de defensa formulados y/o los medios probatorios presentados habrían implicado un entorpecimiento de la investigación y/o la marcha del procedimiento. 122. Si bien la Metodología para el Cálculo de Multas en efecto contempla como uno de los factores agravantes de la conducta el entorpecimiento en la investigación y/o durante el procedimiento, dicha normativa no desarrolla los alcances de la aplicabilidad de dicho factor. No obstante, la interpretación que se realice de tal agravante debe encontrarse en línea con lo dispuesto en el artículo 248.4 del TUO de la Ley Nro. 2744449 que recoge el principio de tipicidad recogido en el ámbito de la potestad sancionadora de la autoridad administrativa, según el cual “las conductas sancionables administrativamente únicamente pueden ser las 48 (i) La entrega de datos personales para la realización de llamadas de televentas, que se desprende de la comunicación entre la administrada y “Grupo Antel” (desarrollado en los considerandos 132 y 133 de esta resolución directoral), que contradiría lo señalado por la administrada desde el 4 de septiembre de 2020. (ii) La identificación de Biznes S.A.C. como la empresa subcontratada desde la cual se efectuaron las llamadas cuestionadas por el denunciante, según señaló la administrada el 4 de septiembre de 2020; lo cual sería contradicho en la comunicación entre dicha empresa y la administrada de octubre de 2020, de acuerdo con lo que se desarrolló en los considerandos 117, 118 y 134 a 136 de esta resolución directoral. 49 DECRETO SUPREMO 006-2019-JUS. TEXTO ÚNICO ORDENADO DE LA LEY Nro. 27444 – LEY DEL PROCEDIMIENTO ADMINISTRATIVO GENERAL Artículo 248.- Principios de la potestad sancionadora administrativa La potestad sancionadora de todas las entidades está regida adicionalmente por los siguientes principios especiales: (…) 4. Tipicidad.- Solo constituyen conductas sancionables administrativamente las infracciones previstas expresamente en normas con rango de ley mediante su tipificación como tales, sin admitir interpretación extensiva o analogía. Las disposiciones reglamentarias de desarrollo pueden especificar o graduar aquellas dirigidas a identificar las conductas o determinar sanciones, sin constituir nuevas conductas sancionables a las previstas legalmente, salvo los casos en que la ley o Decreto Legislativo permita tipificar infracciones por norma reglamentaria. A través de la tipificación de infracciones no se puede imponer a los administrados el cumplimiento de obligaciones que no estén previstas previamente en una norma legal o reglamentaria, según corresponda. En la configuración de los regímenes sancionadores se evita la tipificación de infracciones con idéntico supuesto de hecho e idéntico fundamento respecto de aquellos delitos o faltas ya establecidos en las leyes penales o respecto de aquellas infracciones ya tipificadas en otras normas administrativas sancionadoras. (…) Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 39 de 40 la necesidad para alcanzar una determinada finalidad, por ser necesarios para un vínculo contractual o, para el caso de la oposición, cuando los datos personales fueron obtenidos de una fuente de acceso pública; situación distinta a la de la denegatoria del consentimiento, con el cual el tratamiento mantiene su ilicitud originaria si persiste, al no haber adquirido legitimidad. 28 Por tanto, en el presente caso, no corresponde que la administrada alegue que la DPDP debe ceñirse al plazo de respuesta con el cual constan estos derechos para su otorgamiento, ello con la finalidad de cesar con el tratamiento de los datos personales del denunciante, pues como se indicó en el párrafo precedente, los derechos del titular de los datos personales no pueden ser equiparados con las condiciones de otorgamiento del consentimiento, pues es deber de la administrada realizar las acciones que acrediten el cese de la vulneración de los derechos del denunciante de manera inmediata. En cuanto a la presunta entrega de información falsa 29 La administrada indica que la DPDP realizó la evaluación sobre el correo electrónico emitido por el propio Biznes que menciona la frase “no hemos marcado esos números” y que ninguno se refiere al número del denunciante. Así, añadió entre otros argumentos que el correo por sí solo no es prueba de que Oncosalud haya brindado información falsa al procedimiento. Es más, el correo electrónico del 25 de agosto de 2020 (adjunto como anexo 8-B) emitido por la misma representante de Biznes advierte que el call center reconoce la realización de la segunda llamada objeto de controversia, la describe y menciona que no volvió a marcarse el número que recibió dicha llamada (de titularidad del denunciante). 30 Sobre el particular, resulta necesario indicar que la infracción objeto de análisis en el presente procedimiento corresponde a la presunta infracción por tratamiento de datos personales sin haber obtenido válidamente el consentimiento para tales efectos y no por una presunta información falsa. Por lo que carece de objeto que este Despacho se pronuncie sobre los argumentos vinculados al respecto. 31 Sin perjuicio de ello, de acuerdo con el fundamento 137 de la resolución impugnada, la DPDP remitió copia de los actuados a la DFI para la evaluación del inicio de acciones de fiscalización respecto ante una presunta comisión de la infracción por presentación de imputación falsa. Es decir, la DFI evaluará si existente elementos suficientes e idóneos para iniciar un procedimiento sancionador contra Oncosalud por dicha conducta y, de ser el caso, Oncosalud tendrá oportunidad de formular sus argumentos de defensa al respecto. 32 Por tales motivos, no corresponde amparar estos extremos de la apelación presentada por la administrada. Resolución Directoral Nro. 009-2023-JUS/DGTAIPD “Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Justicia y Derechos Humanos, aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la tercera Disposición Complementaria final del D.S. 026-2016-PCM. Su autenticidad e integridad pueden ser contrastadas través de la siguiente dirección web: https://sgd.minjus.gob.pe/gesdoc web/login.jsp e ingresando el Tipo de Documento, Número y Rango de Fechas de ser el caso o https://sgd.minjus.gob.pe/gesdoc web/verifica.jsp e ingresando Tipo de Documento, Número, Remitente y Año, según corresponda”. Página 40 de 40 Por las consideraciones expuestas y de conformidad con lo dispuesto por la Ley NRO. 29733, Ley de Protección de Datos Personales, su reglamento aprobado por el Decreto Supremo NRO. 003-2013-JUS, el Texto Único Ordenado de la Ley NRO. 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo NRO. 004-2019-JUS, el artículo 71, literal l), del Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, aprobado por Decreto Supremo NRO. 013-2017-JUS, y el Reglamento del Decreto Legislativo NRO. 1353 que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses aprobado por Decreto Supremo NRO. 019-2017-JUS; RESOLUCIÓN: PRIMERO. Declarar FUNDADO en parte el recurso de apelación presentado por ONCOSALUD S.A.C. y, en consecuencia: • REVOCAR la Resolución Directoral Nro. 3439-2021- JUS/DGTAIPD-DPDP de 7 de diciembre de 2021 en el extremo que determinó el monto de la multa en 28.13 Unidades Impositivas Tributarias por la infracción imputada. En consecuencia, REFORMULAR el cálculo de la multa al monto de veinticuatro punto setenta y cinco (24.75) Unidades Impositivas Tributarias. • CONFIRMAR la Resolución Directoral Nro. 3439-2021- JUS/DGTAIPD-DPDP de 7 de diciembre de 2021 en todos sus demás extremos. SEGUNDO. Notificar la presente resolución, la cual agota la vía administrativa. TERCERO. Disponer la devolución del expediente administrativo a la Dirección de Protección de Datos Personales para los fines pertinentes. Regístrese y comuníquese. Eduardo Luna Cervantes Director General Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales 2342f7fbc36bb1a7a5860cbc40d1624d51c9229e0b36c8b6b3d8af4b49d69519.pdf 28e4652f70379e54ab3b9f80c854f79e443f9375b4384fa597fe2ec2e8279d03.pdf 438b665082ca803b82a72ddb230d89266accffe26d318d84d3150ababc7faa91.pdf b30a702e52ca308d4f2028503aff268d5795cc65c4b94783baa170d4847de0ac.pdf 28e4652f70379e54ab3b9f80c854f79e443f9375b4384fa597fe2ec2e8279d03.pdf 9c39b8a27a0d01a1e00dd12b5030b78a15d27dfb41f4082dac24a4966b314362.pdf