La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Ministerio de Justicia emitió la Resolución Directoral 82-2022-JUS/DGTAIPD, en cuyo contenido se confirma una multa contra una empresa por no haber incluido la cláusula de protección de datos personales y haber recopilado antecedentes judiciales, policiales, penales y denuncias ante el Ministerio Público. 

Esta información fue adquirida por la empresa durante un proceso de selección de personal. Tras analizar el caso, la Dirección de Protección de Datos Personales decidió multarla con 261,786 soles, pues calificaron los actos de desleales y ilícitos. Estos fueron los criterios que se establecieron: 

• El contenido de los antecedentes judiciales, penales y policiales únicamente puede ser obtenido por el Titular de los Datos Personales y no por cualquier persona o empresa, menos aún para un proceso de selección de personal, salvo que sean solicitados por entidades públicas con competencia, conforme a la normativa aplicable; y,
• La información referida a antecedentes judiciales, penales y policiales contenidas en las bases del Ministerio Público, Poder Judicial y Policía Nacional, no son consideradas “Fuentes de Acceso al Público”, de acuerdo con lo previsto en el artículo 17 del Reglamento de la Ley de Protección de Datos Personales – Ley 29733. Por ello, esa información sólo puede ser obtenida por el propio titular de los datos, o por una autoridad competente.

Los hechos de este caso se desarrollaron en torno a un proceso de selección de personal. Al formular sus descargos la empresa señaló que el Poder Judicial y el Ministerio Público exhiben en sus sedes diversos comunicados dirigidos a personas que desean consultar sobre los datos referidos a procesos o investigaciones en general. 

También sostuvieron que toda la información que posea el Estado se presume de carácter público, lo que armoniza con el literal 2) del artículo 14 de la Ley de Protección de Datos Personales, que a la letra indica que no se requiere el consentimiento del titular de los datos personales para efectuar el tratamiento de información contenida en bancos de acceso al público.

Así, con la intención de robustecer este argumento señalaron que, a pesar de que la información penal es pricada, existiría cierta información de los procesos que es calificada como pública. Este fue el argumento central:

(vii) La administrada refiere que no correspondería imputar la comisión del supuesto acceso a datos personales por medios fraudulentos, en tanto la información a la que se habría tenido acceso calificaría como pública y no contravendría ninguna disposición normativa, incluso, para su acceso ni siquiera resultaría necesario el consentimiento de sus titulares en tanto se encontraría en un supuesto de excepción de la norma, dado que es información que se encuentra en fuentes de acceso público.

Una de las vulneraciones sindicadas a través de la denuncia administrativa ante el la Autoridad de Protección de Datos Personales fue que la empresa no pidió el consentimiento para transferir los datos personales de sus trabajadores a otra empresa.

En respuesta a esto, la empresa sostuvo que antes del inicio del Procedimiento Administrativo Sancionador remitió un correo electrónico a los trabajadores para actualizar el consentimiento del tratamiento de datos personales e informarles sobre el detalle de las empresas a las que se le transfiere la información. 

Esto fue planteado por la empresa con la intención de que se le exima de responsabilidad penal, en atención al literal f) del artículo 257.1 de la Ley de Procedimiento Administrativo General, que indica lo siguiente: 

Artículo 257.- Eximentes y atenuantes de responsabilidad por infracciones 1.- Constituyen condiciones eximentes de la responsabilidad por infracciones las siguientes:

f) La subsanación voluntaria por parte del posible sancionado del acto u omisión imputado como constitutivo de infracción administrativa, con anterioridad a la notifi cación de la imputación de cargos a que se refi ere el inciso 3) del artículo 255.