“Lo sentimos, de momento no podemos eliminar sus datos personales”

El presente artículo les pertenece en co-autoría a Cecilia Kahn y Ana Lucía Taboada.

Imagen: Vector de Tecnología creado por gstudioimagen – www.freepik.es

No es extraño que hayamos escuchado de varias personas que en los últimos años han ejercido alguno de los famosos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) recogidos en la Ley No. 29733, Ley de Protección de Datos Personales (en adelante, la “LPDP”), siendo el de cancelación de los datos personales (también conocido como eliminación o supresión) uno de los ejercidos más frecuentemente. Ante el ejercicio legítimo del derecho de cancelación por parte de los titulares de datos personales[1] (los “Titulares de Datos”), surge la siguiente interrogante: ¿Es posible que el titular del banco de datos personales[2] (el “Titular del Banco de Datos”) pueda negarse a eliminar los datos personales de las personas que han ejercido su derecho de cancelación?

En primer lugar, es importante precisar que, según lo señalado en el artículo 13.5 de la LPDP, los datos personales solo podrán ser objeto de tratamiento (recopilación, registro, utilización, consulta y/o almacenamiento) siempre que se cuente con el consentimiento previo, informado, expreso e inequívoco de los Titulares de Datos, salvo ley autoritativa al respecto. Es así que, en principio, cada Titular del Banco de Datos deberá tener el cuidado necesario para únicamente realizar el tratamiento de datos personales cuyos consentimientos hayan sido otorgados por los Titulares de Datos. Además, el principio de calidad recogido en el artículo 8 de la LPDP dispone que el Titular del Banco de Datos podrá conservar los datos personales de los Titulares de Datos solo por el tiempo necesario para cumplir con la finalidad de su tratamiento, es decir, una vez cumplida la finalidad que dio origen a la recopilación de los datos personales, éstos deberán ser eliminados.

Es en esa línea que, la LPDP prevé los siguientes supuestos para la cancelación de datos personales: (i) cuando se cumplió la finalidad que dio origen al tratamiento de los datos personales, (ii) cuando hubiere vencido el plazo establecido para su tratamiento y, (iii) ante el ejercicio del derecho de cancelación por parte de los Titulares de Datos, en cuyo caso, de acuerdo al artículo 67 del Decreto Supremo No. 003-2013-JUS, Reglamento de la Ley de Protección de Datos Personales (el “Reglamento”), el Titular del Banco de Datos deberá cesar en el tratamiento de datos a partir de un bloqueo de los mismos y su posterior eliminación.

En el caso del ejercicio del derecho de cancelación, el artículo 69 del Reglamento dispone que, en los siguientes casos, se declarará improcedente el ejercicio de este derecho: a) en los casos en los que los datos personales deban ser conservados en virtud de razones históricas, estadísticas o científicas de acuerdo con la legislación aplicable o, b) en su caso, en las relaciones contractuales entre el responsable y el Titular de Datos, que justifiquen el tratamiento de los mismos.  

Asimismo, consideramos que si bien no existe ninguna disposición legal expresa en la LPDP o su Reglamento sobre la declaración de improcedencia al ejercicio del derecho de cancelación en supuestos en los que el Titular del Banco de Datos se encuentra obligado a conservar los datos personales de los Titulares de Datos por determinado plazo, consideramos que dicha improcedencia se encontraría sustentada en marcos legales específicos, tales como, la normativa laboral, telecomunicaciones, financiera y otros, según corresponda. A modo de ejemplo, a continuación, señalamos algunos de estos supuestos:

Laboral

  • En materia laboral, el artículo 3 del Decreto Legislativo No. 1310, Decreto Legislativo que aprueba medidas adicionales de simplificación administrativa, dispone que los empleadores deben conservar todos los documentos y constancias de pago de las obligaciones laborales económicas solamente hasta cinco años después de efectuado el pago, es decir, si el pago del salario se efectuó en mayo del 2015, dicha boleta de pago deberá ser conservada hasta mayo del 2020. En este supuesto, es importante recalcar que esta obligación de conservar documentación de los trabajadores está únicamente referida a boletas de pago.
  • Por otro lado, el empleador deberá conservar los registros relativos a enfermedades ocupacionales por un período de 20 años, mientras que el registro de accidentes de trabajo e incidentes peligrosos por un período de 10 años posteriores al suceso y, los demás registros por un período de 5 años posteriores al suceso de acuerdo a lo dispuesto en el artículo 28 de la Ley No. 29783, Ley de Seguridad y Salud en el Trabajo y el artículo 34 del Decreto Supremo No. 005-2012-TR. 
  • Asimismo, existen otros supuestos en los que es necesario que el empleador, quien tiene la carga de la prueba, conserve documentación del trabajador hasta que venza el plazo de prescripción para que el trabajador reclame sus beneficios laborales, aportes de AFP o sanciones disciplinarias impuestas, según lo recogido en la legislación aplicable. En cualquier caso, se deberá evaluar el tipo de documentación, así como el tiempo de conservación de los mismos con el propósito que cumpla con las finalidades previstas.

Historias clínicas

  • En el caso de historias clínicas, el inciso 4.3.2 de la Resolución Ministerial 214-2018/MINSA, que aprueba la NTS No. 139-MINSA/2018/DGAIN, Norma Técnica de Salud para la Gestión de la Historia Clínica, señala que las Instituciones Prestadoras de Servicios de Salud -IPRESS- deberán conservar las historias clínicas por un período de 5 años a partir de la fecha de la última atención al paciente dentro del archivo activo[3], y otros 15 años dentro del archivo pasivo[4] según el artículo 4.3.2.

Telecomunicaciones

  • Según el artículo 16 de la Ley No. 27336, Ley de Desarrollo de las Funciones y Facultades del Organismo Supervisor de Inversión Privada en Telecomunicaciones – OSIPTEL, las empresas operadoras de telecomunicaciones están obligadas a conservar información por un período de al menos 3 años después de su origen, junto con la tasación, los registros fuentes del detalle de las llamadas y facturación de los servicios que explota.

Financiero

  • El artículo 183 de la Ley No. 26702, Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, establece que las empresas del sistema financiero están obligadas a conservar sus libros y documentos, incluyendo formularios y contratos con clientes, por un plazo no menor de 10 años y, si se promoviera una acción judicial en su contra, esta obligación subsistirá en tanto dure el proceso, es conveniente precisar, que la extensión de dicho plazo es aplicable únicamente a la documentación que guarde relación con la controversia.

En ese sentido, si un trabajador o cliente financiero ejercitara su derecho de cancelación respecto al tratamiento de sus datos personales, el empleador o entidad financiera en su calidad de Titulares de los Bancos de Datos podrán negar el pedido de cancelación al tratamiento de acuerdo con lo establecido en las normas especiales que les impongan obligaciones de conservación si fuese aplicable. 

Sin perjuicio de lo señalado anteriormente, consideramos oportuno mencionar que sería conveniente incluir como causal de improcedencia en el Reglamento los supuestos de obligación de conservar los datos personales o de realizar algún otro tratamiento de los mismos previstos en normas especiales con el propósito de que no existan vacíos legales, la legislación sea uniforme y, por tanto, ésta se interprete adecuadamente garantizando de dicha manera los derechos de los Titulares de Datos y el cumplimiento de obligaciones por parte de los Titulares de los Banco de Datos. 



[1] Artículo 2 de la LPDP

(…)

16. Titular de datos personales. Persona natural a quien corresponde los datos personales.

[2] Artículo 2 de la LPDP

(…)

17. Titular del banco de datos personales. Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad.

[3] Según el artículo 4.1. de la NTS No. 139-MINSA/2018/DGAIN, el archivo activo es el repositorio físico que permite almacenar las historias clínicas que son requeridas con frecuencia por los pacientes, y que se mantiene allí hasta por 5 años después de la última atención recibida por el paciente.

[4] El archivo pasivo es el repositorio físico que permite almacenar las historias clínicas que no han sido requeridas por más de 5 años por los pacientes desde su última atención. En este archivo también están consideradas las historias clínicas parcialmente eliminadas, las que contiene los formatos no eliminados (por ejemplo: formato de consentimiento informado, formato de anestesia, epicrisis, informes de alta y otros según pertinencia).

- Aviso Publicitario-
Cecilia Kahn
Cecilia Kahn es abogada por la Universidad de San Martín de Porres y tiene estudios de postgrado en derechos de autor en la Universidad Complutense de Madrid y cursa un PEE en la Universidad Esan. Cecilia cuenta con más de 7 años de experiencia en temas relacionados a Protección de Datos Personales, Seguridad de la Información y Nuevas Tecnologías, así como asesoría legal para Startups, incluyendo Venture Capital. Actualmente, se desempeña como asociada y líder del área de Nuevas Tecnologías y Protección de Datos Personales de CMS Grau

Similares

1,625FansMe gusta
443SeguidoresSeguir
60SeguidoresSeguir

Suscríbete a nuestro Newsletter

Para estar al día con las últimas noticias, artículos, entrevistas y anuncios especiales.

es Spanish
X