Resolución N JUS/DGTAIPD-DPDP. Expediente N JUS/DPDP-PS. Lima, 10 de noviembre de 2017

Transcripción

1 Expediente N JUS/DPDP-PS Resolución N JUS/DGTAIPD-DPDP Lima, 10 de noviembre de 2017 VISTOS: El Informe N JUS/DGPDP-DSC de fecha 02 de febrero de 2017, que se sustenta en el Acta de fiscalización N de fecha 30 de septiembre de 2016 (Expediente de Fiscalización N JUS/DGPDP-DSC), emitido por la Dirección de Supervisión y Control de la Dirección General de Protección de Datos Personales; y demás documentos que obran en el respectivo expediente y; CONSIDERANDO: I. Antecedentes 1. Mediante Orden de visita N JUS/DGPDP-DSC de fecha 30 de septiembre de 2016, y en cumplimiento de sus funciones, la Dirección de Supervisión y Control de la Dirección General de Protección de Datos Personales (en adelante, DSC), dispuso la realización de una visita de fiscalización a GFK - CONECTA S.A.C., con Registro Único de Contribuyente - RUC N La indicada visita de fiscalización fue llevada a cabo por personal de la DSC en Av. Jorge Basadre N 990, distrito de San Isidro, provincia y departamento de Lima, el 30 de septiembre de 2016, cuyos detalles constan en el Acta de fiscalización N El 02 de febrero de 2017, se puso en conocimiento de la Dirección de Sanciones de la Dirección General de Protección de Datos Personales, el resultado de la fiscalización realizada a GFK - CONECTA S.A.C., remitiéndosele el Informe N JUS/DGPDP-DSC y adjuntando el acta mencionada en el Página 1 de 20

2 considerando precedente así como demás anexos y documentos que conforman el respectivo expediente administrativo. 4. Mediante Resolución Directoral N JUS/DGPDP-DS de fecha 27 de febrero de 2017, la Dirección de Sanciones resolvió iniciar procedimiento administrativo sancionador a GFK - CONECTA S.A.C., por la presunta comisión de la infracción prevista en el literal a. del numeral 2 del artículo 38 de la Ley N 29733, Ley de Protección de Datos Personales (en adelante, LPDP), considerada como infracción grave, pasible de ser sancionada con multa. 4.1 En el primer caso se le atribuye a GFK - CONECTA S.A.C. recopilar datos personales de los visitantes de su portal web referidos a "nombre", "apellido", " ", "empresa", mediante la opción "Contacto" del portal web; sin embargo, el servidor está ubicado en San José - Estados Unidos de América, lo cual constituye flujo transfronterizo de datos personales; asimismo, la Política de Privacidad del portal web se encuentra en idioma inglés, no siendo accesible para todos los visitantes, por lo cual no informaría acerca del tratamiento que le dará a los mismos, incumpliendo lo dispuesto en el artículo 18 de la LPDP, imputándosele la comisión de la infracción grave tipificada en el literal a. del numeral 2 del artículo 38 de la LPDP, esto es "Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento". 4.2 En el segundo caso, se le atribuye a GFK - CONECTA. S.A.C. no haber comunicado a la Dirección General de Protección de Datos Personales la realización de flujo transfronterizo, imputándosele la comisión de la infracción grave tipificada en el literal a. del numeral 2 del artículo 38 de la LPDP, esto es "Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento". 4.3 En el tercer caso, se le atribuye a GFK - CONECTA S.A.C. lo siguiente: (i) no documentar los procedimientos de gestión de accesos, gestión de privilegios ni con la revisión periódica de privilegios, al constatarse que el sistema de "Registro de Participantes" no cuenta con asignación de usuario y contraseña, (ii) el sistema no genera ni mantiene registros de interacciones lógicas con el banco de datos personales en soporte automatizado de los ciudadanos encuestados, (iii) respecto a la restricción de generación de copias o reproducción de documentos se ha verificado que no implementa políticas, ni controles de seguridad para la restricción de copias de datos personales de los ciudadanos encuestados que participan en sus estudios cualitativos de investigación de mercado; asimismo, el equipo de cómputo del asistente de procesamiento cuenta con puertos USB habilitados, permitiendo la visualización y grabación de archivos, posee acceso a internet sin restricción, generando riesgo de fuga de información, incumpliendo las exigencias dispuestas en los numerales 1 y 2 del artículo 39 y artículo 43 del Reglamento de la Ley N 29733, Ley de Protección de Datos Personales aprobado por Decreto Supremo N JUS (en adelante, Reglamento de la LPDP), lo que contraviene el principio de seguridad establecido en el artículo 9 de la LPDP, imputándosele la comisión de la infracción grave tipificada en el literal a. del numeral 2 del artículo 38 de la LPDP, esto es "Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus demás disposiciones o las de su Reglamento". Página 2 de 20

3 5. La Resolución Directoral N JUS/DGPDP-DS fue notificada a GFK - CONECTA S.A.C., el 11 de abril de 2017 mediante Oficio N JUS/DGPDP-DS. 6. Mediante escrito presentado con fecha 04 de mayo de 2017, GFK - CONECTA S.A.C., presentó sus descargos señalando lo siguiente: 6.1 Respecto al deber de información, señalan haber desactivado la solicitud de datos a través de la opción "Contactos" de la página web por lo que los contactos se harán vía correo electrónico sin necesidad de indicar datos personales ni enviándolos a un banco de datos, para lo cual adjuntan una impresión de pantalla donde se advierte la modificación. Asimismo, se ha implementado que la información sobre el uso de los datos personales y la política de seguridad se encuentre en la web en idioma español, cumpliendo con el artículo 18 de la LPDP. (Anexo 7) 6.2 Respecto a la comunicación de flujo transfronterizo de los datos recopilados a través de la página web, al haber desactivado la opción "Contactos" ya no se recopilan datos personales de los visitantes, quedando subsanada la observación. 6.3 El sistema "Registro de Participantes" que alimenta la base de datos de participantes en estudios cualitativos de investigación de mercado ya tiene implementado el requerimiento de usuario y contraseña, dando cumplimiento al numeral 1 del artículo 39 del Reglamento de la LPDP, para lo cual adjuntan una impresión de pantalla (Anexos 2.1 y 2.2). 6.4 Al momento de ingresar el usuario y contraseña se registra en la base de datos el usuario con la fecha y hora de la visita, dando cumplimiento al numeral 2 del artículo 39 del Reglamento de la LPDP. 6.5 El software permite ingresar participantes y se puede descargar únicamente el grupo de participantes en un estudio específico, a través del botón "Exportar" más no la base completa, solo el responsable de TI puede ver / descargar la base de datos completa y el registro de visitas (Anexo 3) Han desarrollado un procedimiento que establece como se otorgan los accesos y privilegios a usuarios y la revisión periódica de los mismos (PADM_019) "Gestión de accesos y privilegios al Registro de Participantes en Estudios Cualitativos" (Anexo 4). Página 3 de 20

4 6.7 Mediante el Active Directory (Windows Server) se ha procedido a bloquear todos los dispositivos USB y Lectoras de DVD en las computadoras y laptops de la empresa, generando un registro de usuarios (gerentes y jefes) que tienen acceso libre de USB (Anexo 5), dando cumplimiento al artículo 43 del Reglamento de la LPDP. Asimismo, el control de accesos es supervisado por el área de TI y las lectoras de DVD solo están activadas al personal del área de TI. 6.8 Sobre el acceso al internet sin restricciones, se ha contratado el servicio a la empresa Optical Tecnologies, el cual permite bloquear los websites públicos, s públicos, limitar accesos, etc, a fin de restringir acceso a todo el personal de campo y proyectos para evitar cualquier fuga de información (Anexo 6). 7. Con fecha 12 de junio de 2017, mediante Resolución Directoral N JUS/DGPDP-DS, notificada al administrado el 03 de julio de 2017, la Dirección de Sanciones, en virtud a lo establecido en el artículo 122 del Reglamento de la LPDP, cerró la etapa instructiva del procedimiento administrativo sancionador. 8. Mediante Oficio N JUS/DGTAIPD-DPDP de fecha 14 de agosto de 2017, la Dirección de Protección de Datos Personales solicitó a la Dirección de Fiscalización e Instrucción realizar una visita adicional, a fin de verificar si efectivamente GFK - CONECTA. S.A.C. habría implementado las medidas de seguridad, de acuerdo a lo señalado en su escrito de descargos. e on de ersonales M. GONZALEZ 9. Mediante Oficio N JUS/DGTAIPD-DFI de fecha 25 de agosto de 2017, la Dirección de Fiscalización e Instrucción remitió a la Dirección de Protección de Datos Personales el Informe N DFI-VARS, mediante el cual se realiza una evaluación de la implementación de medidas de seguridad. 10. Con Informe N DFI-VARS el ingeniero supervisor de la Dirección de Fiscalización e Instrucción concluyó lo siguiente: GFK - CONECTA. S.A.C. ha documentado el procedimiento de gestión de accesos; sin embargo, no ha documentado la gestión de privilegios y revisión periódica de privilegios, requerida en el numeral 1 del artículo 39 del Reglamento de la LPDP. GFK - CONECTA. S.A.C. ha evidenciado los registros de interacción lógica del sistema que realiza tratamiento de datos personales, requerida en el numeral 2 del artículo 39 del Reglamento de la LPDP. GFK - CONECTA. S.A.C. ha evidenciado la implementación de medidas de seguridad referidas al cumplimiento con lo dispuesto en el artículo 43 del Reglamento de la LPDP. 11. Con documento de registro N de fecha 16 de octubre de 2017, GFK - CONECTA. S.A.C. se pronunció sobre lo concluido mediante el Informe N DFI-VARS, precisando con detalle el proceso de gestión de privilegios y revisión periódica de los mismos en el procedimiento PADM_019 "Gestión de accesos y privilegios al Registro de Participantes en estudios cualitativos". 12. Al respecto, en virtud del documento presentado por GFK - CONECTA. S.A.C., se realizó el Informe N DFI-VARS de fecha 25 de octubre de 2017, mediante el cual el ingeniero supervisor de la Dirección de Fiscalización e Instrucción concluyó que GFK - CONECTA. S.A.C. ha cumplido con documentar la gestión de privilegios y revisión periódica de privilegios, requerida en el numeral 1 del artículo 39 del Reglamento de la LPDP. Página 4 de 20

5 13. Las Resoluciones Directorales de inicio y cierre del presente procedimiento sancionador fueron emitidas por la Dirección de Sanciones de la Dirección General de Protección de Datos Personales, creada mediante Decreto Supremo N JUS que aprobó el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos. 14. Mediante Decreto Supremo N JUS de fecha 21 de junio de 2017, se aprobó el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, derogando el Decreto Supremo N JUS. M. GONZALEZ 15. El Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos crea la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales como órgano de línea encargado de ejercer la Autoridad Nacional de Protección de Datos Personales, para el cumplimiento de sus funciones fiscalizadoras y sancionadoras en materia de protección de datos personales cuenta con la Dirección de Fiscalización e Instrucción y la Direccion de Protección de Datos Personales. II. Competencia 16. Conforme a lo dispuesto en el artículo 74 del Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos aprobado por Decreto Supremo N JUS, la Dirección de Protección de Datos Personales, es la unidad orgánica competente para resolver en primera instancia, los procedimientos administrativos sancionadores iniciados por la Dirección de Fiscalización e Instrucción. Página 5 de 20

6 III. Análisis 17. En ejercicio de sus facultades y conforme a sus competencias, corresponde a la Dirección de Protección de Datos Personales de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales determinar si se han cometido infracciones a la LPDP y su reglamento. 18. Mediante Decreto Supremo N JUS de fecha 15 de setiembre de 2017, se aprobó El Reglamento del Decreto Legislativo N 1353 que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses. 19. La Tercera Disposición Complementaria Modificatoria del mencionado reglamento incorpora el capítulo de infracciones al Título VI del Reglamento de la LPDP, agregando el artículo 132 que tipifica las infracciones'. 20. Por lo tanto, en atención al principio de irretroactividad2 que rige la potestad sancionadora administrativa, al haber entrado en vigencia el artículo 132 del Reglamento de la LPDP que tipifica las infracciones y dado que el presente procedimiento sancionador se apertura estando vigentes las infracciones señaladas en el artículo 38 de la LPDP, en el presente caso, se aplicará la disposición sancionadora más favorable al administrado. En tal sentido para emitir pronunciamiento se debe analizar: 20.1 Si GFK - CONECTA. S.A.C. cometió infracción a la LPDP y a su Reglamento, al recopilar datos personales de los visitantes de la página web sin informar acerca del tratamiento que le dará a los mismos (realización de flujo transfronterizo); asimismo, la política de privacidad de dicha página se encuentra en idioma inglés no siendo accesible para todos los visitantes, incumpliendo el artículo 18 de la LPDP, imputándosele la comisión de la infracción grave tipificada en el literal f) del numeral 1 del artículo 132 del Reglamento de la LPDP, esto es "Dar tratamiento a datos personales ' Tercera.- Incorporación del Capítulo IV de Infracciones al Título VI de Infracciones y Sanciones al Reglamento de la Ley N 29733, Ley de Protección de Datos Personales. Incorpórese el Capítulo IV de Infracciones al Título VI al Reglamento de la de la Ley N 29733, Ley de Protección de Datos Personales. aprobado por el Decreto Supremo N JUS, en los siguientes términos: TÍTULO VI INFRACCIONES Y SANCIONES CAPÍTULO IV INFRACCIONES Artículo Infracciones Las infracciones a la Ley N 29733, Ley de Protección de Datos Personales, o su Reglamento se califican como leves, graves y muy graves y se sancionan con multa de acuerdo al artículo 39 de la citada Ley. (...) 2 Texto Único Ordenado de la Ley N 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N JUS: Artículo Principios de la potestad sancionadora administrativa La potestad sancionadora de todas las entidades está regida adicionalmente por los siguientes principios especiales: (...) 5.- Irretroactividad.- Son aplicables las disposiciones sancionadoras vigentes en el momento de incurrir el administrado en la conducta a sancionar, salvo que las posteriores le sean más favorables. Las disposiciones sancionadoras producen efecto retroactivo en cuanto favorecen al presunto infractor o al infractor. tanto en lo referido a la tipificación de la infracción como a la sanción y a sus plazos de prescripción, incluso respecto de las sanciones en ejecución al entrar en vigor la nueva disposición. (...) Página 6 de 20

7 contraviniendo las disposiciones de la Ley y su Reglamento", pues GFK - CONECTA. S.A.C Si GFK - CONECTA. S.A.C. cometió infracción a la LPDP y a su Reglamento, por no haber puesto en conocimiento de la Dirección General de Protección de-. Datos Personales la realización de flujo transfronterizo de los datos personales de sus clientes, incumpliendo la obligación establecida en el segundo párrafo del artículo 26 del Reglamento de la LPDP, imputándosele la comisión de la infracción leve tipificada en el literal e. del numeral 1 del artículo 132 del Reglamento de la LPDP, esto es "No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley" M. GONZALF 20.3 Si GFK - CONECTA. S.A.C. cometió infracción a la LPDP y a su Reglamento; por no tener documentado sus procedimientos de gestión de accesos, gestión de privilegios ni verificación periódica de privilegios, al constatarse que no cuenta con asignación de usuario y contraseña, (ii) el sistema no genera ni mantiene registros de interacciones lógicas con el banco de datos personales en soporte automatizado de los ciudadanos encuestados, (iii) respecto a la restricción de generación de copias o reproducción de documentos se ha verificado que no implementa políticas, ni controles de seguridad para la restricción de copias de datos personales de los ciudadanos encuestados que participan en sus estudios cualitativos de investigación de mercado y (iv) el equipo de cómputo del asistente de procesamiento cuenta con puertos USB habilitados, permitiendo la visualización y grabación de archivos, posee acceso a internet sin restricción, generando riesgo de fuga de información, incumpliendo las exigencias dispuestas en los numerales 1 y 2 del artículo 39 y artículo 43 del Reglamento de la LPDP, lo que contraviene el principio de seguridad establecido en el artículo 9 de la LPDP, imputándosele la comisión de la infracción grave tipificada en el literal a. del numeral 1 del artículo 132 del Reglamento de la LPDP, esto es "Realizar tratamiento de datos personales incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia", 21. En relación al aspecto mencionado en el considerando 20.1 de la presente resolución, señalamos lo siguiente: Página 7 de 20

8 21.1 En la fiscalización se verificó que GFK - CONECTA. S.A.C. es una empresa dedicada a la realización de estudios de mercado y encuestas de opinión pública, la cual realiza tratamiento de datos personales de participantes en estudios cualitativos en soporte automatizado y no automatizado Los datos personales de los participantes en estudios cualitativos se recopilan mediante el sistema denominado "Registro de Participantes"; asimismo, cuentan con la aplicación móvil "Mobinet" Conforme a lo establecido en el informe N JUS/DGPDP-DSC del 02 de febrero de 2017, la Dirección de Supervisión y Control señala que: "(...) 2. GFK - Conecta S.A.C. no informa a los visitantes que solicitan información a través de la opción "Contáctenos" de su página web ( acerca del flujo transfronterizo que realizará de sus datos personales ni de otro factor relevante sobre el tratamiento de los datos personales recopilados, en la forma que exige la LPDP. (...)" 21.4 Al respecto, mediante el Informe N JUS/DGPDP-DSC se verificó que GFK - CONECTA S.A.C. recopila datos personales de los visitantes de su portal web, datos personales referidos a "nombre", "apellido", " ", "empresa", mediante la opción "Contáctenos" del portal web sin embargo, el servidor donde dicha página se encuentra alojada está ubicado en San José, Estados Unidos, configurándose la realización de flujo transfronterizo de los datos personales recopilados. Asimismo, se ha verificado que la Política de Privacidad del portal web se encuentra en idioma inglés, no siendo accesible para todos los visitantes del portal web Al respecto, el artículo 18 de la LPDP establece el contenido del derecho de información de la siguiente manera: "Artículo 18. Derecho de información del titular de datos personales.- El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del o de los encargados del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello. Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables. En el caso que el titular del banco de datos establezca vinculación con un encargado de tratamiento de manera posterior al consentimiento, el accionar del encargado queda bajo responsabilidad del Titular del Banco de Datos, Página 8 de 20

9 debiendo establecer un mecanismo de información personalizado para el titular de los datos personales sobre dicho nuevo encargado de tratamiento. Si con posterioridad al consentimiento se produce la transferencia de datos personales por fusión, adquisición de cartera, o supuestos similares, el nuevo titular del banco de datos debe establecer un mecanismo de información eficaz para el titular de los datos personales sobre dicho nuevo encargado de tratamiento". (El subrayado es nuestro) 21.6 En su condición de titular del banco de datos personales resultante, así como de responsable del tratamiento de dichos datos es necesario que facilite previamente, en el momento de la recopilación de los datos, de modo expreso e inequívoco la información regulada en el artículo 18 de la LPDP Sin embargo, durante la fiscalización se ha constatado que en la página web se presenta la Política de Privacidad únicamente en idioma inglés y no en español, idioma oficial del Perú según lo establecido en el artículo 48 de la Constitución Política del Perú, no siendo accesible para los peruanos que visiten la mencionada página web. Asimismo, mediante el mecanismo de recopilación de datos personales efectuados vía la opción "Contacto" de la página web no se informaba a los visitantes que se realizaría flujo transfronterizo de los mismos, vulnerando lo establecido en el artículo 18 de la LPDP Dicho esto se tiene que, GFK - CONECTA. S.A.C. en su argumento de descargo desarrollado en el considerando 6.1 de la presente Resolución señalan que (i) han desactivado la solicitud de datos a través de la opción "Contactos" de la página web por lo que se hará vía correo electrónico sin necesidad de indicar datos personales ni enviándolos a un banco de datos y (ii) se ha implementado que la información sobre el uso de los datos personales de los visitantes y las Políticas de Privacidad se encuentre en idioma español, cumpliendo con lo establecido en el artículo 18 de la LPDP Al respecto, de la revisión de la Política de Privacidad de la página web se verifica que han cumplido con informar a los titulares de datos personales respecto a la realización de flujo transfronterizo, lo siguiente: Página 9 de 20

10 "Política de Privacidad Transferencias internacionales de datos personales Los datos personales enviados a través de este sitio web residen en servidores en nuestra sede corporativa en Nuremberg, Alemania yen los servidores de nuestro Partner de Marketing HubSpot, lnc, con sede en Boston, MA, EE. UU. El Grupo GfK es una organización global. Sus datos personales pueden ser transferidos a una o más compañías afiliadas GfK o proveedores de servicios no afiliados en otros países y utilizados para los fines descritos anteriormente. Para facilitar nuestras operaciones globales, podemos transferir y acceder a Información Personal de todo el mundo, incluyendo los Estados Unidos. Esta Política de Privacidad se aplicará incluso si transferimos Información Personal a otros países. ( ) En ese sentido, de la verificación realizada a la Política de Privacidad de la página web esta Dirección advirtió que GFK - CONECTA. S.A.C. efectuó la acción de enmienda publicando dicha política en idioma español e informando a los titulares de datos personales respecto a la realización del flujo transfronterizo, de conformidad a lo establecido en el artículo 18 de la LPDP. Asimismo, cabe señalar que la referida enmienda fue realizada el 06 de enero de 2017; es decir, antes de la fecha de inicio del presente procedimiento administrativo sancionador En consecuencia se tiene que, a criterio de esta dirección, y en aplicación del literal f) del artículo 255 del Texto Único Ordenado de la Ley del Procedimiento Administrativo General, Ley N 27444, aprobado mediante Decreto Supremo N JUS3 (en adelante el TUO de la LPAG), señala que constituye eximente de responsabilidad: "La subsanación voluntaria por parte del posible sancionado del acto u omisión imputado como constitutivo de infracción administrativa, con anterioridad a la notificación de la imputación de cargos (...)", por lo cual corresponde declarar la inexistencia de la presunta infracción, pues al momento de iniciarse el presente procedimiento sancionador la acción de enmienda ya había sido realizada Por los argumentos desarrollados en los considerandos 21.1 al precedentes, la DPDP entiende que en el presente caso no se ha configurado la infracción tipificada en el literal f) del numeral 1 del artículo 132 del Reglamento de la LPDP, esto es "Dar tratamiento a los datos personales contraviniendo las disposiciones de la Ley y su Reglamento", toda vez que GFK - CONECTA. S.A.C. cumplió con modificar las Políticas de Privacidad al idioma español; así como informar en las mismas respecto a la realización de flujo transfronterizo, cumpliendo con lo dispuesto en el artículo 18 de la LPDP. 22. En relación al aspecto mencionado en el considerando 20.2 de la presente resolución, señalamos lo siguiente: 3 De acuerdo a la Primera Disposición Complementaria Transitoria del TUO de la Ley N 27444: "Primera.- Regulación transitoria 1. Los procedimientos administrativos iniciados antes de la entrada en vigor de la presente Ley, se regirán por la normativa anterior hasta su conclusión. 2. No obstante, son aplicables a los procedimientos en trámite, las disposiciones de la presente Ley que reconozcan derechos o facultades a los administrados frente a la administración, así como su Titulo Preliminar. (...)" (el subrayado es nuestro) Página 10 de 20

11 22.1 El artículo 26 del Reglamento de la LPDP establece la obligación de poner en conocimiento de la Autoridad Nacional de Protección de Datos Personales: C. IliTCAO, "Artículo 26.- Participación de la Dirección General de Protección de Datos Personales respecto del flujo transfronterizo de datos personales. Los titulares del banco de datos personales o responsables del tratamiento, podrán solicitar la opinión de la Dirección General de Protección de Datos Personales respecto a si el flujo transfronterizo de datos personales que realiza o realizará cumple con lo dispuesto por la Ley y el presente reglamento. óñ de de sonales G NZALF7 En cualquier caso, el flujo transfronterizo de datos personales se pondrá en conocimiento de la Dirección General de Protección de Datos Personales, incluyendo la información que se requiere para la transferencia de datos personales y el registro de banco de datos." 22.2 Asimismo, el numeral 5 del artículo 77 del Reglamento de la LPDP, establece que serán objeto de inscripción en el Registro Nacional de Protección de Datos Personales: "las comunicaciones referidas al flujo transfronterizo de datos personales." 22.3 Por otro lado, conforme a lo establecido en el Informe N JUS/DGPDP-DSC del 02 de febrero de 2017, la Dirección de Supervisión y Control concluyó lo siguiente: 3. GFK - Conecta S.A.C. no ha comunicado la realización de flujo transfronterizo de los datos personales recopilados mediante la mencionada página. Dicha omisión constituiría infracción de conformidad con el literal a) del numeral 2 del artículo 38 de la LPDP, por lo que se recomienda efectuar la subsanación a la brevedad. (..9" 22.4 Al respecto, cabe señalar que se verificó que GFK - CONECTA. S.A.C. es titular siete (07) bancos de datos personales de sus "Participantes en Estudios Cualitativos de Investigación de Mercado de GFK", "Recursos Humanos", Página 11 de 20

12 "Proveedores Eventuales", "Servicios Diversos", "Participantes en Estudios Web", "Encuestas Telefónicas" y "Participantes en Estudios Cuantitativos", bajo los siguientes códigos RNPDP-PJP N 6631, RNPDP-PJP N 6632, RNPDP- PJP N 7134, RNPDP-PJP N 7174, RNPDP-PJP N 7175, RNPDP-PJP N 7176 y RNPDP-PJP N 7177, respectivamente De la fiscalización efectuada se verifica que a través de la opción "Contáctanos" de la página web se recopilan datos personales de los visitantes, estando la dirección IP de dicha página web ubicada en San José, Estados Unidos de Norteamérica, hecho que evidencia la realización de flujo transfronterizo de datos personales En tal sentido, se evidencia que GFK - CONECTA. S.A.C. se encontraba en la obligación legal de inscribir la comunicación de flujo transfronterizo de datos personales, previa solicitud, en el Registro Nacional de Protección de Datos Personales, de conformidad a lo establecido en el artículo 26 del Reglamento de la LPDP No obstante, cabe precisar que en la verificación realizada en el sistema de la Dirección de Registro Nacional de Protección de Datos Personales, no figura inscrita comunicación de realización de flujo transfronterizo de datos personales a nombre de GFK - CONECTA. S.A.C., manteniéndose tal situación a la fecha de expedición de la presente resolución En tal caso, la Dirección de Protección de Datos Personales considera que ha quedado evidenciado que GFK - CONECTA. S.A.C., a pesar de encontrarse obligado a ello, no puso en conocimiento de la Dirección de Protección de Datos Personales la realización de flujo transfronterizo de datos personales que realiza, razón por la cual, ha incumplido la obligación dispuesta por el artículo 26 el Reglamento de la LPDP En consecuencia, ha quedado evidenciado que GFK - CONECTA. S.A.C. ha incurrido en la infracción prevista en el literal e) del numeral 1 del artículo 132 de la LPDP, la cual consiste en: "No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley". 23. En relación al aspecto mencionado en el considerando 20.3 de la presente resolución, señalamos lo siguiente: 23.1 Por otro lado, conforme a lo establecido en el informe N JUS/DGPDP-DSC del 02 de febrero de 2017, la Dirección de Supervisión y Control concluyó lo siguiente: "(...) 3. GFK - Conecta S.A.C. no cuenta con las medidas de seguridad necesarias para la protección de los datos personales de sus encuestados, de acuerdo con las exigencias de la LPDP y su Reglamento. Dicha omisión constituiría infracción conforme con el literal a) del numeral 2 del artículo 38 de la LPDP El artículo 16 de la LPDP dispone que el titular del banco de datos personales debe adoptar medidas técnicas, organizativas y legales que garanticen su seguridad y eviten su alteración, perdida, tratamiento o acceso no autorizado. Página 12 de 20

13 23.3 Asimismo el artículo 39 del Reglamento de la LPDP establece que la gestión de accesos, así como la gestión de privilegios deben estar documentados a fin de garantizar su idoneidad: "Artículo 39.- Seguridad para el tratamiento de la información digital Los sistemas informáticos que manejen bancos de datos personales deberán incluir en su funcionamiento: M. GONZA 1. El control de acceso a la información de datos personales incluyendo la gestión de accesos desde el registro de un usuario, la gestión de los privilegios de dicho usuario, la identificación del usuario ante el sistema, entre los que se encuentran usuariocontraseña, uso de certificados digitales, tokens, entre otros, y realizar una verificación periódica de los privilegios asignados, los cuales deben estar definidos mediante un procedimiento documentado a fin de garantizar su idoneidad. 2. Generar y mantener registros que provean evidencia sobre las interacciones con los datos lógicos, incluyendo para los fines de la trazabilidad, la información de cuentas de usuario con acceso al sistema, horas de inicio y cierre de sesión y acciones relevantes. Estos registros deben ser legibles, oportunos y tener un procedimiento de disposición, entre los que se encuentran el destino de los registros, una vez que éstos ya no sean útiles, su destrucción, transferencia, almacenamiento, entre otros. (...)" 23.4 Sobre este punto la LPDP establece que la implementación de medidas de seguridad es necesaria para el resguardo y adecuado tratamiento de datos personales, conforme el principio de seguridad recogido en su artículo 9: "Artículo 9. Principio de seguridad El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento 23.5 En consecuencia, se tiene que GFK - CONECTA. S.A.C. se encuentra en la obligación de mantener documentados los procedimientos de gestión de Página 13 de 20

14 privilegios de los usuarios que acceden a sus bancos de datos personales automatizados Dicho esto se tiene que, GFK - CONECTA. S.A.C. en sus argumentos de descargos desarrollados en los considerandos 6.3 al 6.8 de la presente Resolución manifiestan que ya han implementado las medidas de seguridad, realizando acciones de enmienda correspondientes. amor 7 en de rsonales AL GONZALEZ 23.7 Al respecto, la Dirección de Protección de Datos Personales efectuó la revisión de la documentación presentada por GFK - CONECTA. S.A.C. en su escrito de descargos, por lo cual mediante el Informe N DFI-VARS de fecha 25 de agosto de 2017, el ingeniero supervisor de la Dirección de Fiscalización e Instrucción concluyó lo siguiente: 1. GFK - CONECTA. S.A.C. ha documentado el procedimiento de gestión de accesos. Sin embargo, no ha documentado la gestión de privilegios y revisión periódica de privilegios requerida en el numeral 1 del artículo 39 del Reglamento de la LPDP. 2. GFK - CONECTA. S.A.C. ha evidenciado los registros de interacción lógica del sistema que realiza tratamiento de datos personales requerida en el numeral 2 del artículo 39 del Reglamento de la LPDP. 3. GFK - CONECTA. S.A.C. ha evidenciado la implementación de medidas de seguridad referidas al cumplimiento con lo dispuesto en el artículo 43 del Reglamento de la LPDP Debemos precisar que, la documentación remitida por el GFK - CONECTA. S.A.C. en su escrito de descargos constituye una acción de enmienda, y considerando la fecha de emisión de los mismos, dicha acción ha sido realizada con posterioridad a la fecha de inicio del presente procedimiento administrativo sancionador. Por lo tanto, resulta de aplicación el atenuante al que se refiere el artículo 1264 del Reglamento de la LPDP, dado que GFK - CONECTA. S.A.C. ha dispuesto una acción dirigida a enmendar la infracción imputada Por los argumentos expuestos, GFK - CONECTA. S.A.C. ha cometido la infracción leve tipificada en el literal a) del numeral 1 del artículo 132 del Reglamento de la LPDP, esto es "Realizar tratamiento de datos personales incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia". 24. La Tercera Disposición Complementaria Modificatoria del Reglamento del Decreto Legislativo N 1353, aprobado mediante Decreto Supremo N JUS de fecha 15 de setiembre de 2017, modifica el artículo 38 de la LPDP sobre infracciones, incorporando el artículo 132 al Título VI sobre infracciones y sanciones del Reglamento de la LPDP5, este artículo tipifica las infracciones. 4 Reglamento de la Ley de Protección de Datos Personales aprobado con Decreto Supremo N JUS: "Artículo Atenuantes. La colaboración con las acciones de la autoridad y el reconocimiento espontáneo de las infracciones acompañado de acciones de enmienda se considerarán atenuantes. Atendiendo a la oportunidad del reconocimiento y a las fórmulas de enmienda, la atenuación permitirá incluso la reducción motivada de la sanción por debajo del rango previsto en la Ley." 5 Tercera.- Incorporación del Capítulo IV de Infracciones al Título VI de Infracciones y Sanciones al Reglamento de la Ley N 29733, Ley de Protección de Datos Personales Incorpórese el Capítulo IV de Infracciones al Título VI al Reglamento de la de la Ley N 29733, Ley de Protección de Datos Personales, aprobado por el Decreto Supremo N JUS, en los siguientes términos: TÍTULO VI INFRACCIONES Y SANCIONES CAPÍTULO IV INFRACCIONES Artículo Infracciones Página 14 de 20

15 25. El artículo 39 de la LPDP establece las sanciones administrativas calificándolas como leves, graves o muy graves y su imposición va desde una multa de 0,5 de una unidad impositiva tributaria hasta una multa de 100 unidades impositivas tributarias6, sin perjuicio de las medidas correctivas que puedan determinarse de acuerdo a lo establecido en el artículo 118 del Reglamento de la LPDP7. 4% 1, :12,,, IIIII I P de óh de rsonales M. GONZALE7 26. La Dirección de Protección de Datos Personales determina el monto de las multas a ser impuestas tomando en cuenta para su graduación los criterios establecidos en el numeral 3 del artículo 246 del Texto Único Ordenado de la Ley N 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N JUS. En ese sentido, debe prever que la comisión de las conductas sancionables no resulte más ventajosa para el infractor que cumplir las normas infringidas o asumir la sanción administrativa, por lo que la sanción deberá ser proporcional al incumplimiento calificado como infracción, observando para ello los criterios que el numeral 3 del citado artículo 246 señala para su graduación. Las infracciones a la Ley N 29733, Ley de Protección de Datos Personales, o su Reglamento se califican como leves, graves y muy graves y se sancionan con multa de acuerdo al articulo 39 de la citada Ley. (..-) 6 Artículo 39. Sanciones administrativas En caso de violación de las normas de esta Ley o de su reglamento, la Autoridad Nacional de Protección de Datos Personales puede aplicar las siguientes multas: 1. Las infracciones leves son sancionadas con una multa mínima desde cero coma cinco de una unidad impositiva tributaria (UIT) hasta cinco unidades impositivas tributarias (UIT). 2. Las infracciones graves son sancionadas con multa desde más de cinco unidades impositivas tributarias (UIT) hasta cincuenta unidades impositivas tributarias (UIT). 3. Las infracciones muy graves son sancionadas con multa desde más de cincuenta unidades impositivas tributarias (UIT) hasta cien unidades impositivas tributarias (UIT). (...)". Artículo Medidas cautelares y correctivas: Una vez iniciado el procedimiento sancionador, la Dirección de Sanciones podrá disponer, mediante acto motivado, la adopción de medidas de carácter provisional que aseguren la eficacia de la resolución final que pudiera recaer en el referido procedimiento, con observancia de las normas aplicables de la Ley N 27444, Ley del Procedimiento Administrativo General. Asimismo, sin perjuicio de la sanción administrativa que corresponda por una infracción a las disposiciones contenidas en la Ley y el presente reglamento, se podrán dictar, cuando sea posible, medidas correctivas destinadas a eliminar, evitar o detener los efectos de las infracciones. Página 15 de 20

16 27. En el presente caso, la Dirección de Protección de Datos Personales considera como criterios relevantes para graduar las infracciones evidenciadas a los siguientes: a) El beneficio ilícito resultante por la comisión de la infracción: No se ha evidenciado beneficio ilícito resultante de la comisión de las infracciones cometidas. b) La probabilidad de detección de la infracción: Respecto a la comisión de la infracción imputada se tiene que la probabilidad de detección de la conducta referida a no informar sobre la realización de flujo transfronterizo de datos personales, es baja debido a que ha sido necesario realizar una fiscalización para la detección de la misma. Respecto a la conducta referida a no haber puesto en conocimiento de la Dirección de Protección de Datos Personales la realización de flujo transfronterizo de los datos personales de sus clientes, incumpliendo la obligación establecida en el segundo párrafo del artículo 26 del Reglamento de la LPDP, se tiene que la probabilidad de detección de dicha conducta es alta, debido a que ha sido necesaria una verificación por parte de la Dirección de Registro Nacional de Protección de Datos personales para la detección de la misma. Respecto a la comisión de la infracción imputada se tiene que la probabilidad de detección de la conducta referida a realizar tratamiento sin contar con las medidas necesarias para garantizar la seguridad de los datos personales, es baja debido a que ha sido necesario realizar una fiscalización para la detección de la misma. c) La gravedad del daño al interés público vio bien jurídico protegido: Las infracciones detectadas afectan el derecho fundamental a la protección de datos personales, el cual se encuentra reconocido en el artículo 2, numeral 6 de la Constitución Política del Perú, siendo desarrollado por la Ley N 29733, Ley de Protección de Datos Personales y su reglamento. Se demostró que GFK - CONECTA. S.A.C. carece de las medidas de seguridad que la LPDP y su reglamento exigen al titular del banco de datos personales, infracción que afecta el derecho de los ciudadanos a que se dé un tratamiento adecuado de sus datos personales, los mismos que deben ser tratados adoptándose medidas técnicas, organizativas y legales necesarias para garantizar su seguridad, lo que en el presente caso no ocurre. Así también se demostró que omitieron comunicar a la Dirección de Protección de Datos Personales la realización del flujo transfronterizo de los datos personales recopilados a través de la página web. d) El perjuicio económico causado: No se ha evidenciado un perjuicio económico causado resultante de la comisión de las infracciones. Página 16 de 20

17 5,e,,..ICA DEI c. A e) La reincidencia en la comisión de la infracción: Del mismo modo, se tiene en cuenta que GFK - CONECTA. S.A.C. no es reincidente, ya que no ha sido sancionado. O Las circunstancias de la comisión de las infracciones: Respecto a la infracción referida a la observancia del principio de seguridad, se advierte que GFK - CONECTA. S.A.C. ha implementado las medidas de seguridad necesarias para el resguardo de los datos personales, subsanando el incumplimiento de lo requerido por el artículo 39 y 43 del Reglamento de la LPDP. GFK - CONECTA. S.A.C. no ha comunicado a la Dirección de Protección de Datos Personales la realización de flujo transfronterizo, a pesar de haber sido notificado de los resultados de la fiscalización y del inicio del presente procedimiento sancionador. g) La existencia o no de intencionalidad en la conducta del infractor: En el presente caso, ha quedado probada la responsabilidad de GFK - CONECTA. S.A.C. en la comisión de dos (2) infracciones, debiendo tenerse en cuenta para la aplicación de la multa que: (i) GFK - CONECTA. S.A.C. no ha comunicado a la Dirección de Protección de Datos Personales sobre la realización de flujo transfronterizo de datos personales. (ii) GFK - CONECTA. S.A.C. ha cumplido con implementar las medidas de seguridad que fueron observadas en la fiscalización, a fin de garantizar la seguridad de los datos personales, lo que demuestra su diligencia y adecuación a la normativa sobre protección de datos personales; por tanto, resulta aplicable el atenuante al que se refiere el artículo 126 del Reglamento de la LPDP, dado que se dispusieron acciones tendientes a enmendar la infracción imputada. Página 17 de 20

18 28. Habiendo la Dirección de Protección de Datos Personales realizado el análisis de las conductas infractoras aplicando el principio de irretroactividad de la potestad sancionadora administrativa, señalado en el numeral 5. del artículo 246 del Texto Único Ordenado de la Ley N 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N JUS, se tiene que las infracciones cometidas por GFK - CONECTA. S.A.C. están tipificadas como leves, y conforme con lo establecido por el numeral 1. del artículo 39 de la LPDP que regula las sanciones administrativas aplicables, las infracciones calificadas de leves son sancionadas con multa desde más de cero coma cinco (0,5) hasta cinco (5) unidades impositivas tributarias (UIT); por lo que a efectos de establecerse la sanción de multa se tiene en cuenta la suma de todos los criterios que permiten graduarlas conforme a los argumentos desarrollados en el considerando 27 de la presente resolución directoral, a efectos de determinar la sanción de multa a imponerse. Por las consideraciones expuestas y de conformidad con lo dispuesto por la Ley N 29733, Ley de Protección de Datos Personales, su reglamento aprobado por el Decreto Supremo N JUS, el Texto Único Ordenado de la Ley N 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N JUS, y el Reglamento del Decreto Legislativo N 1353 que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses aprobado por Decreto Supremo N JUS; M. GONZALEZ SE RESUELVE: Artículo 1.- Declarar la inexistencia de la infracción leve descrita en el literal f) del numeral 1 del artículo 132 del Reglamento de la LPDP, esto es "Dar tratamiento a datos personales contraviniendo las disposiciones de la Ley y su Reglamento", pues GFK - CONECTA. S.A.C. ha realizado una acción de enmienda que constituye un eximente de responsabilidad, de conformidad al literal f) del artículo 255 del Texto Único Ordenado de la Ley N 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N JUS. Artículo 2.- Sancionar a GFK - CONECTA. S.A.C. con RUC N , con la multa ascendente a una unidad impositivas tributarias (1 UIT) por "No inscribir o actualizar en el Registro Nacional los actos establecidos en el artículo 34 de la Ley", toda vez que GFK - CONECTA. S.A.C. no ha comunicado a la Dirección de Protección de Datos Personales la realización de flujo transfronterizo de los datos personales, configurándose la infracción leve prevista en el literal e) del numeral 1 del artículo 132 del Reglamento de la LPDP8. Artículo 3.- Sancionar a GFK - CONECTA. S.A.C. con RUC N , con la multa ascendente a una unidad impositiva tributaria (1 UIT) por "Realizar tratamiento de datos personales incumpliendo las medidas de seguridad establecidas 8 Artículo incorporado al Reglamento de la Ley de Protección de Datos Personales, por la Tercera Disposición Complementaria Modificatoria del Reglamento del Decreto Legislativo N 1353 aprobado por Decreto Supremo N JUS. Artículo Infracciones (--) 1. Son infracciones leves: b) Recopilar datos personales que no sean necesarios, pertinentes ni adecuados con relación a las finalidades determinadas, explícitas y lícitas para las que requieren ser obtenidos. Página 18 de 20

19 en la normativa sobre la materia", toda vez que GFK - CONECTA. S.A.C. no ha implementado las medidas de seguridad exigidas por los artículos 39 y 43 del Reglamento de la LPDP, contraviniendo el principio de seguridad recogido en el artículo 9 de la LPDP, configurándose la infracción leve prevista en el literal a) del numeral 1 del artículo 132 del Reglamento de la LPDP9. Artículo 4.- Informar a GFK - CONECTA. S.A.C. que contra la presente resolución, de acuerdo a lo indicado en el artículo 123 del Reglamento de la LPDP, proceden los recursos de reconsideración o apelación dentro de los quince (15) días hábiles de notificada la presente10. M. GONZALEZ Artículo 5.- El pago de la multa será requerido una vez que la resolución que impone la sanción quede firme. En el requerimiento de pago se le otorgará diez (10) días hábiles para realizarlo y se entiende que cumplió con pagar la multa impuesta, si antes de que venza el plazo establecido en el requerimiento de pago, cancela el 60 A de la multa impuesta conforme a lo dispuesto en el artículo 128 del Reglamento de la LPDP11. 9 Artículo Infracciones 1. Son infracciones leves: a) Realizar tratamiento de datos personales incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia. ' Artículo 123. Impugnación "Contra la resolución que resuelve el procedimiento sancionador proceden los recursos de reconsideración o apelación dentro de los quince (15) dias de notificada la resolución al administrado. 14" " Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo N JUS. "Articulo Incentivos para el pago de la sanción de multa. Se considerará que el sancionado ha cumplido con pagar la sanción de multa si, antes de vences el plazo otorgado para pagar la multa, deposita en la cuenta bancaria determinada por la Dirección General de Protección de Datos Personales el sesenta por ciento (60%) de su monto. Para que surta efecto dicho beneficio deberá comunicar tal hecho a la Dirección General de Protección de Datos Personales, adjuntando el comprobante del depósito bancario correspondiente. Luego de dicho plazo, el pago solo será admitido por el integro de la multa impuesta." Página 19 de 20