Alejandro Quintanilla Perea
Abogado por la Universidad Católica San Pablo. Asistente de cátedra en Derecho Constitucional por la misma Casa de Estudios. Especialista en competencia, protección al consumidor, protección de datos personales, derechos humanos y compliance.
Dentro de las distintas facultades que tiene la Autoridad Nacional de Protección de Datos Personales (la “Autoridad” o “ANPDP”) se encuentra la función de absolver consultas respecto a la aplicación de la Ley N° 29733, Ley de Protección de Datos Personales (la “LPDP”).
En ejercicio de esta función consultiva, a inicios del presente año ha emitido la Opinión Consultiva N° 06-2022-JUS/DGTAIP (la “OC”) vinculada al tratamiento de datos para la prevención de delitos y cumplimiento regulatorio. En esta OC la ANPDP ha arribado a ciertas conclusiones que resultan importantes para la evolución y desarrollo del Compliance en respeto irrestricto de las normas de protección de datos personales en el Perú.
En primer término, la ANPDP señala en esta OC que la verificación de información proporcionada por el titular del dato personal en registros públicos o fuentes de acceso público es una finalidad acorde con el hecho que la fuente sea pública, y por ende no requiere de consentimiento. Por lo tanto, según la ANPDP, en principio recurrir a fuentes de acceso al público para el cumplimiento de mandatos legales como los establecidos en la Ley N° 27693, que crea la Unidad de Inteligencia Financiera (la “Ley SPLAFT”) con la finalidad de asegurar la calidad de la información que se almacena, es una finalidad acorde con el hecho que se determine que la información es de acceso público.
Ahora bien, cabe destacar que la ANPDP considera que no resulta posible señalar como regla general que todo tratamiento cuya finalidad sea la prevención de lavado de activos, se enmarca dentro de una excepción al consentimiento, toda vez que si bien hay una finalidad legítima, el tratamiento puede resultar desproporcional.
Así las cosas, cabe precisar que si bien la Ley SPLAFT regula las funciones de la Unidad de Inteligencia Financiera (la “UIF”) que se encuentran vinculadas a la recopilación de información a una categoría de sujetos (los “sujetos obligados”), la ANPDP reconoce que el sistema de Compliance en materia de prevención de lavado de activos regulado en la Ley SPLAFT no se agota con la recopilación de datos personales con fines involucrados en materia penal, sino que también establece obligaciones que implican tratamiento de datos personales a los sujetos obligados.
Sin embargo, la ANPDP precisa que si bien las facultades y funciones de la UIF al encontrarse relacionadas a la investigación de los delitos de lavado de activos y financiamiento del terrorismo, no se encuentran dentro del ámbito de aplicación de la LPDP, el tratamiento de datos personales que realizan los sujetos obligados sí se encuentra dentro del ámbito de aplicación de la LPDP, ya que si bien colaboran con la función de investigación o detección de delitos de la UIF, no son la entidad pública que tiene a cargo dicha tarea. Ello implica que los sujetos obligados deben observar todas las exigencias establecidas en la LPDP y su Reglamento.
En aplicación de lo establecido en la LPDP, la ANPDP destacó que en tanto la Ley SPLAFT exige a los sujetos obligados registrar determinadas operaciones que contendrían datos personales, nos encontramos frente a una exigencia de estos sujetos obligados de verificar o utilizar las fuentes de acceso al público para garantizar la calidad de la información que se entregará a la UIF. Así las cosas, de conformidad con lo establecido en la LPDP, este tratamiento de datos personales se encuentra exceptuado del consentimiento toda vez que se encontraría inmerso en la excepción al consentimiento establecida en el artículo 14.10 de la LPDP [1].
En ese orden de ideas, la ANPDP precisó que también se encuentran exonerados de dicha obligación, los grupos económicos conformados por empresas que son consideradas sujetos obligados a informar, conforme a las normas que regulan a la UIF, respecto a compartir información entre sí de sus respectivos clientes para fines de prevención de lavado de activos y financiamiento del terrorismo, así como de otros de cumplimiento regulatorio de conformidad con lo establecido en el artículo 14.11 de la LPDP [2].
Sin embargo, además de la Ley SPLAFT, se estableció a través de la Ley N° 30424, Ley que regula la responsabilidad administrativa de las personas jurídicas por el delito de cohecho activo transnacional (la “Ley del Modelo de Prevención”) la responsabilidad administrativa de las personas jurídicas por la comisión de determinados delitos vinculados al cohecho.
La Ley del Modelo de Prevención regula la posibilidad de que las personas jurídicas obtengan un eximente de responsabilidad siempre que hayan implementado un sistema de Compliance Penal que contenga los elementos mínimos establecido en el artículo 17.2 de la Ley del Modelo de Prevención [3]. De esta manera, para la determinación de este tipo de responsabilidad es necesario que la persona jurídica haya actuado a través de sus miembros que son personas naturales, en consecuencia, resulta posible, a criterio de la ANPDP, que para la implementación de este sistema de Compliance Penal se requiera conocer información contenida en fuentes de acceso al público.
Por lo tanto, este tratamiento de datos personales siempre que se refiera a fines vinculados a la prevención de los delitos dentro del ámbito de aplicación de la Ley del Modelo de Prevención o a establecer la responsabilidad administrativa de la persona jurídica, en cumplimiento de esta norma, estaría exonerado del consentimiento por parte del titular de datos personales toda vez que este tratamiento también se encuentra exceptuado de consentimiento de conformidad con lo establecido en el artículo 14.10 de la LPDP.
Al respecto, si bien resulta significativo que la ANPDP haya abordado la importancia del tratamiento de datos personales en los sistemas de Compliance Penal como son los establecidos por la Ley SPLAFT y la Ley de Modelos de Prevención, existen otros sistemas de Compliance que vienen siendo implementados en el Perú en distintas materias. A manera de ejemplo, cabe invocar la “Guía del Programa de Cumplimiento de las Normas de Libre Competencia” del 2020 que establece lineamientos para la implementación de sistemas de Compliance en materia de Libre Competencia.
De este modo, frente al vertiginoso crecimiento del Compliance en otras ramas distintas a la penal, surgen algunos retos en su implementación considerando lo establecido por la LPDP. Ello toda vez que, por un lado, el incentivo en la reducción y/o exención de sanciones propicia que las empresas implementen sistemas de Compliance; mientras que, por otro lado, estas mismas empresas podrían estarse exponiendo a eventuales sanciones por parte de la ANPDP al realizar tratamiento de datos personales que pueda ser considerado excesivo por esta Autoridad.
Referencias
[1] Ley N° 29733, Ley de Protección de Datos Personales
“Artículo 14. Limitaciones al consentimiento para el tratamiento de datos personales
No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos:
(…)
- Cuando el tratamiento sea para fines vinculados al sistema de prevención de lavado de activos y financiamiento del terrorismo u otros que respondan a un mandato legal”
[2] Ley N° 29733, Ley de Protección de Datos Personales
“Artículo 14. Limitaciones al consentimiento para el tratamiento de datos personales
No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos:
(…)
- En el caso de grupos económicos conformados por empresas que son consideradas sujetos obligados a informar, conforme a las normas que regulan a la Unidad de Inteligencia Financiera, que éstas puedan compartir información entre sí de sus respectivos clientes para fines de prevención de lavado de activos y financiamiento del terrorismo, así como otros de cumplimiento regulatorio, estableciendo las salvaguardas adecuadas sobre la confidencialidad y uso de la información intercambiada.”
[3] Ley N° 30424, Ley que regula la responsabilidad administrativa de las personas jurídicas por el delito de cohecho activo transnacional
“17.2. El modelo de prevención debe de contar con los siguientes elementos mínimos:
17.2.1. Un encargado de prevención, designado por el máximo órgano de administración de la persona jurídica o quien haga sus veces, según corresponda, que debe ejercer su función con autonomía. Tratándose de las micro, pequeña y mediana empresas, el rol de encargado de prevención puede ser asumido directamente por el órgano de administración.
17.2.2. Identificación, evaluación y mitigación de riesgos para prevenir la comisión de los delitos previstos en el artículo 1 a través de la persona jurídica.
17.2.3. Implementación de procedimientos de denuncia.
17.2.4. Difusión y capacitación periódica del modelo de prevención.
17.2.5. Evaluación y monitoreo contínuo del modelo de prevención.”
