La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Ministerio de Justicia emitió la Resolución Directoral 82-2022-JUS/DGTAIPD, en cuyo contenido se confirma una multa contra una empresa por no haber incluido la cláusula de protección de datos personales y haber recopilado antecedentes judiciales, policiales, penales y denuncias ante el Ministerio Público.
Esta información fue adquirida por la empresa durante un proceso de selección de personal. Tras analizar el caso, la Dirección de Protección de Datos Personales decidió multarla con 261,786 soles, pues calificaron los actos de desleales y ilícitos. Estos fueron los criterios que se establecieron:
Los hechos de este caso se desarrollaron en torno a un proceso de selección de personal. Al formular sus descargos la empresa señaló que el Poder Judicial y el Ministerio Público exhiben en sus sedes diversos comunicados dirigidos a personas que desean consultar sobre los datos referidos a procesos o investigaciones en general.
También sostuvieron que toda la información que posea el Estado se presume de carácter público, lo que armoniza con el literal 2) del artículo 14 de la Ley de Protección de Datos Personales, que a la letra indica que no se requiere el consentimiento del titular de los datos personales para efectuar el tratamiento de información contenida en bancos de acceso al público.
Así, con la intención de robustecer este argumento señalaron que, a pesar de que la información penal es pricada, existiría cierta información de los procesos que es calificada como pública. Este fue el argumento central:
(vii) La administrada refiere que no correspondería imputar la comisión del supuesto acceso a datos personales por medios fraudulentos, en tanto la información a la que se habría tenido acceso calificaría como pública y no contravendría ninguna disposición normativa, incluso, para su acceso ni siquiera resultaría necesario el consentimiento de sus titulares en tanto se encontraría en un supuesto de excepción de la norma, dado que es información que se encuentra en fuentes de acceso público.
Una de las vulneraciones sindicadas a través de la denuncia administrativa ante el la Autoridad de Protección de Datos Personales fue que la empresa no pidió el consentimiento para transferir los datos personales de sus trabajadores a otra empresa.
En respuesta a esto, la empresa sostuvo que antes del inicio del Procedimiento Administrativo Sancionador remitió un correo electrónico a los trabajadores para actualizar el consentimiento del tratamiento de datos personales e informarles sobre el detalle de las empresas a las que se le transfiere la información.
Esto fue planteado por la empresa con la intención de que se le exima de responsabilidad penal, en atención al literal f) del artículo 257.1 de la Ley de Procedimiento Administrativo General, que indica lo siguiente:
Artículo 257.- Eximentes y atenuantes de responsabilidad por infracciones 1.- Constituyen condiciones eximentes de la responsabilidad por infracciones las siguientes:
f) La subsanación voluntaria por parte del posible sancionado del acto u omisión imputado como constitutivo de infracción administrativa, con anterioridad a la notifi cación de la imputación de cargos a que se refi ere el inciso 3) del artículo 255.