NORMAS LEGALES El PeruanoLima, viernes 22 de marzo de 2013491320de la Superintendencia Nacional de Migraciones - MIGRACIONES, por cuanto su participacin coadyuvar, entre otros aspectos, a compartir conocimientos a fi n de hacer ms viable la circulacin de las personas entre ambos pases;

Que, los gastos por concepto de pasajes terrestres y viticos sern asumidos por la Unidad Ejecutora 001: Ofi cina General de Administracin del Pliego 007, Ministerio del Interior;

Que, el penltimo prrafo del numeral 10.1 del artculo 10 de la Ley N 29951, Ley de Presupuesto del Sector Pblico para el Ao Fiscal 2013 establece, respecto a los viajes al exterior de servidores o funcionarios pblicos y representantes del Estado con cargo a recursos pblicos, que el requerimiento de excepciones adicionales a las sealadas en los literales de dicho numeral, en el caso de las entidades del Poder Ejecutivo, deber canalizarse a travs de la Presidencia del Consejo de Ministros y se autoriza mediante resolucin suprema refrendada por el Presidente del Consejo de Ministros;

Con la visacin de la Ofi cina General de Asesora Jurdica del Ministerio del Interior; y,

De conformidad con lo establecido en la Ley N 27619, Ley que regula la autorizacin de viajes al exterior de servidores y funcionarios y su Reglamento aprobado mediante Decreto Supremo N 047-2002-PCM; la Ley N 29951, Ley de Presupuesto del Sector Pblico para el Ao Fiscal 2013; el Decreto Legislativo N 1130 que crea la Superintendencia Nacional de Migraciones MIGRACIONES; el Decreto Legislativo N 1135, que aprueba la Ley de Organizacin y Funciones del Ministerio del Interior y el Reglamento de Organizacin y Funciones del Ministerio del Interior aprobado mediante Decreto Supremo N 002-2012-IN;

SE RESUELVE:

Artculo 1.- Autorizar el viaje al exterior, en Comisin de Servicios, de la seorita Janneth Capacoila Grimaldos, Inspector de Migraciones de la Superintendencia Nacional de Migraciones MIGRACIONES, del 25 al 26 de marzo de 2013, a la ciudad de Copacabana Estado Plurinacional de Bolivia, para que participe en la I Reunin del Comit de Frontera Altiplnico Per-Bolivia.

Artculo 2.- Los gastos por concepto de viticos y pasajes terrestres que ocasione el viaje a que hace referencia el artculo precedente, se efectuarn con cargo a la Unidad Ejecutora 001: Ofi cina General de Administracin del Pliego 007, Ministerio del Interior, de acuerdo al siguiente detalle:

Pasajes Terrestres : S/. 108.06Viticos (por 2 das) : S/. 1,080.00

Artculo 3.- Dentro de los quince (15) das calendario de efectuado el viaje, la servidora designada deber presentar ante el Titular del Sector un informe detallado describiendo las acciones realizadas y los resultados obtenidos durante el viaje autorizado; as como la rendicin de cuentas debidamente documentada.

Artculo 4.- La presente Resolucin Suprema no dar derecho a exoneracin o liberacin de impuestos de ninguna clase o denominacin.

Artculo 5.- La presente Resolucin Suprema ser refrendada por el Presidente del Consejo de Ministros y por el Ministro del Interior.

Regstrese, comunquese y publquese.

OLLANTA HUMALA TASSOPresidente Constitucional de la Repblica

JUAN F. JIMNEZ MAYORPresidente del Consejo de Ministros

WILFREDO PEDRAZA SIERRAMinistro del Interior

915560-3

JUSTICIA Y DERECHOS

HUMANOS

Aprueban Reglamento de la Ley N 29733, Ley de Proteccin de Datos Personales

DECRETO SUPREMON 003-2013-JUS

EL PRESIDENTE DE LA REPBLICA

CONSIDERANDO:

Que, el artculo 2 numeral 6 de la Constitucin Poltica del Per seala que toda persona tiene derecho a que los servicios informticos, computarizados o no, pblicos o privados, no suministren informaciones que afecten la intimidad personal y familiar;

Que, la Ley N 29733, Ley de Proteccin de Datos Personales, tiene el objeto de garantizar el derecho fundamental a la proteccin de los datos personales, previsto en la Constitucin Poltica del Per;

Que, el artculo 32 de la acotada Ley N 29733, dispone que el Ministerio de Justicia y Derechos Humanos asume la Autoridad Nacional de Proteccin de Datos Personales;

Que, la Primera Disposicin Complementaria Final de la Ley N 29733, dispuso que se constituya una Comisin Multisectorial, presidida por la Autoridad Nacional de Proteccin de Datos Personales, para la elaboracin del correspondiente Reglamento;

Que, la Comisin Multisectorial conformada mediante Resolucin Suprema N 180-2011-PCM ha elaborado el proyecto de Reglamento de la Ley N 29733, Ley de Proteccin de Datos Personales, el que ha sido prepublicado conforme a ley, recibindose los aportes de la ciudadana y comunidad en general;

Que, en tal sentido, corresponde aprobar el Reglamento de la Ley N 29733, Ley de Proteccin de Datos Personales;

De conformidad con lo establecido por la Ley N 29733, Ley de Proteccin de Datos Personales; la Ley N 29158, Ley Orgnica del Poder Ejecutivo; y la Ley N 29809, Ley de Organizacin y Funciones del Ministerio de Justicia y Derechos Humanos;

DECRETA:

Artculo 1.- AprobacinAprubese el Reglamento de la Ley N 29733, Ley de

Proteccin de Datos Personales, que consta de VI Ttulos, ciento treinta y un (131) Artculos, tres (03) Disposiciones Complementarias Finales y tres (03) Disposiciones Complementarias Transitorias, que forma parte integrante del presente Decreto Supremo.

Artculo 2.- PublicacinEl presente Decreto Supremo y el Reglamento de la

Ley N 29733, Ley de Proteccin de Datos Personales, aprobado por el artculo precedente, debern ser publicados en el Portal Institucional del Ministerio de Justicia y Derechos Humanos (www.minjus.gob.pe).

Artculo 3.- VigenciaEl Reglamento aprobado entrar en vigencia en el

plazo de treinta (30) das hbiles contados a partir del da siguiente de la publicacin del presente Decreto Supremo en el Diario Ofi cial El Peruano.

Artculo 4.- RefrendoEl presente Decreto Supremo ser refrendado por la

Ministra de Justicia y Derechos Humanos.

Dado en la Casa de Gobierno, en Lima, a los veintin das del mes de marzo del ao dos mil trece.

OLLANTA HUMALA TASSOPresidente Constitucional de la Repblica

EDA A. RIVAS FRANCHINIMinistra de Justicia y Derechos Humanos

NORMAS LEGALESEl PeruanoLima, viernes 22 de marzo de 2013 491321REGLAMENTO DE LA LEY N 29733

LEY DE PROTECCIN DE DATOS PERSONALES

ndice

Ttulo I Disposiciones generales.

Ttulo II Principios rectores.

Ttulo III Tratamiento de datos personales.

Captulo I Consentimiento.Captulo II Limitaciones al consentimiento.Captulo III Transferencia de datos personales.Captulo IV Tratamientos especiales de datos

personales.Captulo V Medidas de seguridad.

Ttulo IV Derechos del titular de datos personales.

Captulo I Disposiciones generales.Captulo II Disposiciones especiales.Captulo III Procedimiento de tutela.

Ttulo V Registro Nacional de Proteccin de Datos Personales.

Captulo I Disposiciones generales.Captulo II Procedimiento de inscripcin.Captulo III Procedimiento de inscripcin de los

cdigos de conducta.

Ttulo VI Infracciones y sanciones.

Captulo I Procedimiento fi scalizador.Captulo II Procedimiento sancionador.Captulo III Sanciones.

Disposiciones Complementarias Finales y Transitorias

TTULO I

Disposiciones generales

Artculo 1.- Objeto.El presente reglamento tiene por objeto desarrollar la

Ley N 29733, Ley de Proteccin de Datos Personales, en adelante la Ley, a fi n de garantizar el derecho fundamental a la proteccin de datos personales, regulando un adecuado tratamiento, tanto por las entidades pblicas, como por las instituciones pertenecientes al sector privado. Sus disposiciones constituyen normas de orden pblico y de cumplimiento obligatorio.

Artculo 2.- Defi niciones.Para los efectos de la aplicacin del presente

reglamento, sin perjuicio de las defi niciones contenidas en la Ley, complementariamente, se entiende las siguientes defi niciones:

1. Banco de datos personales no automatizado: Conjunto de datos de personas naturales no computarizado y estructurado conforme a criterios especfi cos, que permita acceder sin esfuerzos desproporcionados a los datos personales, ya sea aquel centralizado, descentralizado o repartido de forma funcional o geogrfi ca.

2. Bloqueo: Es la medida por la que el encargado del banco de datos personales impide el acceso de terceros a los datos y stos no pueden ser objeto de tratamiento, durante el periodo en que se est procesando alguna solicitud de actualizacin, inclusin, rectifi cacin o supresin, en concordancia con lo que dispone el tercer prrafo del artculo 20 de la Ley.

Se dispone tambin como paso previo a la cancelacin por el tiempo necesario para determinar posibles responsabilidades en relacin a los tratamientos, durante el plazo de prescripcin legal o previsto contractualmente.

3. Cancelacin: Es la accin o medida que en la Ley se describe como supresin, cuando se refi ere a datos

personales, que consiste en eliminar o suprimir los datos personales de un banco de datos.

4. Datos personales: Es aquella informacin numrica, alfabtica, grfi ca, fotogrfi ca, acstica, sobre hbitos personales, o de cualquier otro tipo concerniente a las personas naturales que las identifi ca o las hace identifi cables a travs de medios que puedan ser razonablemente utilizados.

5. Datos personales relacionados con la salud: Es aquella informacin concerniente a la salud pasada, presente o pronosticada, fsica o mental, de una persona, incluyendo el grado de discapacidad y su informacin gentica.

6. Datos sensibles: Es aquella informacin relativa a datos personales referidos a las caractersticas fsicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hbitos personales que corresponden a la esfera ms ntima, la informacin relativa a la salud fsica o mental u otras anlogas que afecten su intimidad.

7. Das: Das hbiles.

8. Direccin General de Proteccin de Datos Personales: Es el rgano encargado de ejercer la Autoridad Nacional de Proteccin de Datos Personales a que se refi ere el artculo 32 de la Ley, pudiendo usarse indistintamente cualquiera de dichas denominaciones.

9. Emisor o exportador de datos personales: Es el titular del banco de datos personales o aqul que resulte responsable del tratamiento situado en el Per que realice, conforme a lo dispuesto en el presente reglamento, una transferencia de datos personales a otro pas.

10. Encargado del tratamiento: Es quien realiza el tratamiento de los datos personales, pudiendo ser el propio titular del banco de datos personales o el encargado del banco de datos personales u otra persona por encargo del titular del banco de datos personales en virtud de una relacin jurdica que le vincula con el mismo y delimita el mbito de su actuacin. Incluye a quien realice el tratamiento de datos personales por orden del responsable del tratamiento cuando este se realice sin la existencia de un banco de datos personales.

11. Receptor o importador de datos personales: Es toda persona natural o jurdica de derecho privado, incluyendo las sucursales, fi liales, vinculadas o similares; o entidades pblicas, que recibe los datos en caso de transferencia internacional, ya sea como titular o encargado del banco de datos personales, o como tercero.

12. Rectifi cacin: Es aquella accin genrica destinada a afectar o modifi car un banco de datos personales ya sea para actualizarlo incluir informacin en l o especfi camente rectifi car su contenido con datos exactos.

13. Repertorio de jurisprudencia: Es el banco de resoluciones judiciales o administrativas que se organizan como fuente de consulta y destinadas al conocimiento pblico.

14. Responsable del tratamiento: Es aqul que decide sobre el tratamiento de datos personales, aun cuando no se encuentren en un banco de datos personales.

15. Tercero: Es toda persona natural, persona jurdica de derecho privado o entidad pblica, distinta del titular de datos personales, del titular o encargado del banco de datos personales y del responsable del tratamiento, incluyendo a quienes tratan los datos bajo autoridad directa de aquellos.

La referencia a tercero que hace el artculo 30 de la Ley constituye una excepcin al signifi cado previsto en este numeral.

Artculo 3.- mbito de aplicacin.El presente reglamento es de aplicacin al tratamiento

de los datos personales contenidos en un banco de datos

NORMAS LEGALES El PeruanoLima, viernes 22 de marzo de 2013491322personales o destinados a ser contenidos en bancos de datos personales.

Conforme a lo dispuesto por el numeral 6 del artculo 2 de la Constitucin Poltica del Per y el artculo 3 de la Ley, el presente reglamento se aplicar a toda modalidad de tratamiento de datos personales, ya sea efectuado por personas naturales, entidades pblicas o instituciones del sector privado e independientemente del soporte en el que se encuentren.

La existencia de normas o regmenes particulares o especiales, aun cuando incluyan regulaciones sobre datos personales, no excluye a las entidades pblicas o instituciones privadas a las que dichos regmenes se aplican del mbito de aplicacin de la Ley y del presente reglamento.

Lo dispuesto en el prrafo precedente no implica la derogatoria o inaplicacin de las normas particulares, en tanto su aplicacin no genere la afectacin del derecho a la proteccin de datos personales.

Artculo 4.- Excepciones al mbito de aplicacin.Las disposiciones de este reglamento no sern de

aplicacin a:

1. El tratamiento de datos personales realizado por personas naturales para fi nes exclusivamente domsticos, personales o relacionados con su vida privada o familiar.

2. Los contenidos o destinados a ser contenidos en bancos de datos personales de la administracin pblica, solo en tanto su tratamiento resulte necesario para el estricto cumplimiento de competencias asignadas por ley a las respectivas entidades pblicas siempre que tengan por objeto:

2.1 La defensa nacional.2.2 La seguridad pblica y,2.3 El desarrollo de actividades en materia penal para

la investigacin y represin del delito.

Artculo 5.- mbito de aplicacin territorial.Las disposiciones de la Ley y del presente reglamento

son de aplicacin al tratamiento de datos personales cuando:

1. Sea efectuado en un establecimiento ubicado en territorio peruano correspondiente al titular del banco de datos personales o de quien resulte responsable del tratamiento.

2. Sea efectuado por un encargado del tratamiento, con independencia de su ubicacin, a nombre de un titular de banco de datos personales establecido en territorio peruano o de quien sea el responsable del tratamiento.

3. El titular del banco de datos personales o quien resulte responsable del tratamiento no est establecido en territorio peruano, pero le resulte aplicable la legislacin peruana, por disposicin contractual o del derecho internacional; y

4. El titular del banco de datos personales o quien resulte responsable no est establecido en territorio peruano, pero utilice medios situados en dicho territorio, salvo que tales medios se utilicen nicamente con fi nes de trnsito que no impliquen un tratamiento.

Para estos efectos, el responsable deber proveer los medios que resulten necesarios para el efectivo cumplimiento de las obligaciones que imponen la Ley y el presente reglamento y designar un representante o implementar los mecanismos sufi cientes para estar en posibilidades de cumplir de manera efectiva, en territorio peruano, con las obligaciones que impone la legislacin peruana.

Cuando el titular del banco de datos personales o quien resulte el responsable del tratamiento no se encuentre establecido en territorio peruano, pero el encargado del tratamiento lo est, a este ltimo le sern aplicables las disposiciones relativas a las medidas de seguridad contenidas en el presente reglamento.

En el caso de personas naturales, el establecimiento se entender como el local en donde se encuentre el principal asiento de sus negocios, o el que utilicen para el desempeo de sus actividades o su domicilio.

Tratndose de personas jurdicas, se entender como el establecimiento el local en el que se encuentre la administracin principal del negocio. Si se trata

de personas jurdicas residentes en el extranjero, se entender que es el local en el que se encuentre la administracin principal del negocio en territorio peruano, o en su defecto el que designen, o cualquier instalacin estable que permita el ejercicio efectivo o real de una actividad.

Si no fuera posible establecer la direccin del domicilio o del establecimiento, se le considerar con domicilio desconocido en territorio peruano.

TTULO II

Principios rectores

Artculo 6.- Principios rectores.El titular del banco de datos personales, o en su caso,

quien resulte responsable del tratamiento, debe cumplir con los principios rectores de la proteccin de datos personales, de conformidad con lo establecido en la Ley, aplicando los criterios de desarrollo que se establecen en el presente ttulo del reglamento.

Artculo 7.- Principio de consentimiento.En atencin al principio de consentimiento, el tratamiento

de los datos personales es lcito cuando el titular del dato personal hubiere prestado su consentimiento libre, previo, expreso, informado e inequvoco. No se admiten frmulas de consentimiento en las que ste no sea expresado de forma directa, como aquellas en las que se requiere presumir, o asumir la existencia de una voluntad que no ha sido expresa. Incluso el consentimiento prestado con otras declaraciones, deber manifestarse en forma expresa y clara.

Artculo 8.- Principio de fi nalidad.En atencin al principio de fi nalidad se considera

que una fi nalidad est determinada cuando haya sido expresada con claridad, sin lugar a confusin y cuando de manera objetiva se especifi ca el objeto que tendr el tratamiento de los datos personales.

Tratndose de banco de datos personales que contengan datos sensibles, su creacin solo puede justifi carse si su fi nalidad adems de ser legtima, es concreta y acorde con las actividades o fi nes explcitos del titular del banco de datos personales.

Los profesionales que realicen el tratamiento de algn dato personal, adems de estar limitados por la fi nalidad de sus servicios, se encuentran obligados a guardar secreto profesional.

Artculo 9.- Principio de calidad.En atencin al principio de calidad, los datos

contenidos en un banco de datos personales, deben ajustarse con precisin a la realidad. Se presume que los datos directamente facilitados por el titular de los mismos son exactos.

Artculo 10.- Principio de seguridad.En atencin al principio de seguridad, en el tratamiento

de los datos personales deben adoptarse las medidas de seguridad que resulten necesarias a fi n de evitar cualquier tratamiento contrario a la Ley o al presente reglamento, incluyndose en ellos a la adulteracin, la prdida, las desviaciones de informacin, intencionales o no, ya sea que los riesgos provengan de la accin humana o del medio tcnico utilizado.

TTULO III

Tratamiento de datos personales

Captulo IConsentimiento

Artculo 11.- Disposiciones generales sobre el consentimiento para el tratamiento de datos personales.

El titular del banco de datos personales o quien resulte como responsable del tratamiento, deber obtener el consentimiento para el tratamiento de los datos personales, de conformidad con lo establecido en la Ley y en el presente reglamento, salvo los supuestos establecidos en el artculo 14 de la Ley, en cuyo numeral 1) queda comprendido el tratamiento de datos personales que

NORMAS LEGALESEl PeruanoLima, viernes 22 de marzo de 2013 491323resulte imprescindible para ejecutar la interoperabilidad entre las entidades pblicas.

La solicitud del consentimiento deber estar referida a un tratamiento o serie de tratamientos determinados, con expresa identifi cacin de la fi nalidad o fi nalidades para las que se recaban los datos; as como las dems condiciones que concurran en el tratamiento o tratamientos, sin perjuicio de lo dispuesto en el artculo siguiente sobre las caractersticas del consentimiento.

Cuando se solicite el consentimiento para una forma de tratamiento que incluya o pueda incluir la transferencia nacional o internacional de los datos, el titular de los mismos deber ser informado de forma que conozca inequvocamente tal circunstancia, adems de la fi nalidad a la que se destinarn sus datos y el tipo de actividad desarrollada por quien recibir los mismos.

Artculo 12.- Caractersticas del consentimiento.Adems de lo dispuesto en el artculo 18 de la Ley

y en el artculo precedente del presente reglamento, la obtencin del consentimiento debe ser:

1. Libre: Sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestacin de voluntad del titular de los datos personales.

La entrega de obsequios o el otorgamiento de benefi cios al titular de los datos personales con ocasin de su consentimiento no afectan la condicin de libertad que tiene para otorgarlo, salvo en el caso de menores de edad, en los supuestos en que se admite su consentimiento, en que no se considerar libre el consentimiento otorgado mediando obsequios o benefi cios.

El condicionamiento de la prestacin de un servicio, o la advertencia o amenaza de denegar el acceso a benefi cios o servicios que normalmente son de acceso no restringido, s afecta la libertad de quien otorga consentimiento para el tratamiento de sus datos personales, si los datos solicitados no son indispensables para la prestacin de los benefi cios o servicios.

2. Previo: Con anterioridad a la recopilacin de los datos o en su caso, anterior al tratamiento distinto a aquel por el cual ya se recopilaron.

3. Expreso e Inequvoco: Cuando el consentimiento haya sido manifestado en condiciones que no admitan dudas de su otorgamiento.

Se considera que el consentimiento expreso se otorg verbalmente cuando el titular lo exterioriza oralmente de manera presencial o mediante el uso de cualquier tecnologa que permita la interlocucin oral.

Se considera consentimiento escrito a aqul que otorga el titular mediante un documento con su fi rma autgrafa, huella dactilar o cualquier otro mecanismo autorizado por el ordenamiento jurdico que queda o pueda ser impreso en una superfi cie de papel o similar.

La condicin de expreso no se limita a la manifestacin verbal o escrita.

En sentido restrictivo y siempre de acuerdo con lo dispuesto por el artculo 7 del presente reglamento, se considerar consentimiento expreso a aquel que se manifi este mediante la conducta del titular que evidencie que ha consentido inequvocamente, dado que de lo contrario su conducta, necesariamente, hubiera sido otra.

Tratndose del entorno digital, tambin se considera expresa la manifestacin consistente en hacer clic, cliquear o pinchar, dar un toque, touch o pad u otros similares.

En este contexto el consentimiento escrito podr otorgarse mediante fi rma electrnica, mediante escritura que quede grabada, de forma tal que pueda ser leda e impresa, o que por cualquier otro mecanismo o procedimiento establecido permita identifi car al titular y recabar su consentimiento, a travs de texto escrito. Tambin podr otorgarse mediante texto preestablecido, fcilmente visible, legible y en lenguaje sencillo, que el titular pueda hacer suyo, o no, mediante una respuesta escrita, grfi ca o mediante clic o pinchado.

La sola conducta de expresar voluntad en cualquiera de las formas reguladas en el presente numeral no elimina, ni da por cumplidos, los otros requisitos del consentimiento referidos a la libertad, oportunidad e informacin.

4. Informado: Cuando al titular de los datos personales se le comunique clara, expresa e indubitablemente, con lenguaje sencillo, cuando menos de lo siguiente:

a. La identidad y domicilio o direccin del titular del banco de datos personales o del responsable del tratamiento al que puede dirigirse para revocar el consentimiento o ejercer sus derechos.

b. La fi nalidad o fi nalidades del tratamiento a las que sus datos sern sometidos.

c. La identidad de los que son o pueden ser sus destinatarios, de ser el caso.

d. La existencia del banco de datos personales en que se almacenarn, cuando corresponda.

e. El carcter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, cuando sea el caso.

f. Las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo.

g. En su caso, la transferencia nacional e internacional de datos que se efecten.

Artculo 13.- Polticas de privacidad.La publicacin de polticas de privacidad, de acuerdo

a lo previsto en el segundo prrafo del artculo 18 de la Ley, debe entenderse como una forma de cumplimiento del deber de informacin que no exonera del requisito de obtener el consentimiento del titular de los datos personales.

Artculo 14.- Consentimiento y datos sensibles.Tratndose de datos sensibles, el consentimiento

debe ser otorgado por escrito, a travs de su fi rma manuscrita, fi rma digital o cualquier otro mecanismo de autenticacin que garantice la voluntad inequvoca del titular.

Artculo 15.- Consentimiento y carga de la prueba.Para efectos de demostrar la obtencin del

consentimiento en los trminos establecidos en la Ley y en el presente reglamento, la carga de la prueba recaer en todos los casos en el titular del banco de datos personales o quien resulte el responsable del tratamiento.

Artculo 16.- Negacin, revocacin y alcances del consentimiento.

El titular de los datos personales podr revocar su consentimiento para el tratamiento de sus datos personales en cualquier momento, sin justifi cacin previa y sin que le atribuyan efectos retroactivos. Para la revocacin del consentimiento se cumplirn los mismos requisitos observados con ocasin de su otorgamiento, pudiendo ser estos ms simples, si as se hubiera sealado en tal oportunidad.

El titular de los datos personales podr negar o revocar su consentimiento al tratamiento de sus datos personales para fi nalidades adicionales a aquellas que dan lugar a su tratamiento autorizado, sin que ello afecte la relacin que da lugar al consentimiento que s ha otorgado o no ha revocado. En caso de revocatoria, es obligacin de quien efecta el tratamiento de los datos personales adecuar los nuevos tratamientos a la revocatoria y los tratamientos que estuvieran en proceso de efectuarse, en el plazo que resulte de una actuacin diligente, que no podr ser mayor a cinco (5) das.

Si la revocatoria afecta la totalidad del tratamiento de datos personales que se vena haciendo, el titular o encargado del banco de datos personales, o en su caso el responsable del tratamiento, aplicar las reglas de cancelacin o supresin de datos personales.

El titular del banco de datos personales o quien resulte responsable del tratamiento debe establecer mecanismos fcilmente accesibles e incondicionales, sencillos, rpidos y gratuitos para hacer efectiva la revocacin.

Captulo IILimitaciones al consentimiento

Artculo 17.- Fuentes accesibles al pblico.Para los efectos del artculo 2, inciso 9) de la Ley,

se considerarn fuentes accesibles al pblico, con independencia de que el acceso requiera contraprestacin, las siguientes:

1. Los medios de comunicacin electrnica, ptica y de otra tecnologa, siempre que el lugar en el que se encuentren los datos personales est concebido para facilitar informacin al pblico y est abierto a la consulta general.

NORMAS LEGALES El PeruanoLima, viernes 22 de marzo de 20134913242. Las guas telefnicas, independientemente del

soporte en el que estn a disposicin y en los trminos de su regulacin especfi ca.

3. Los diarios y revistas independientemente del soporte en el que estn a disposicin y en los trminos de su regulacin especfi ca.

4. Los medios de comunicacin social.5. Las listas de personas pertenecientes a grupos

profesionales que contengan nicamente los datos de nombre, ttulo, profesin, actividad, grado acadmico, direccin postal, nmero telefnico, nmero de fax, direccin de correo electrnico y aquellos que establezcan su pertenencia al grupo.

En el caso de colegios profesionales, podrn indicarse adems los siguientes datos de sus miembros: nmero de colegiatura, fecha de incorporacin y situacin gremial en relacin al ejercicio profesional.

6. Los repertorios de jurisprudencia, debidamente anonimizados.

7. Los Registros Pblicos administrados por la Superintendencia Nacional de Registros Pblicos - SUNARP, as como todo otro registro o banco de datos califi cado como pblico conforme a ley.

8. Las entidades de la Administracin Pblica, en relacin a la informacin que deba ser entregada en aplicacin de la Ley N 27806, Ley de Transparencia y Acceso a la Informacin Pblica.

Lo dispuesto en el numeral precedente no quiere decir que todo dato personal contenido en informacin administrada por las entidades sujetas a la Ley de Transparencia y Acceso a la Informacin Pblica sea considerado informacin pblica accesible. La evaluacin del acceso a datos personales en posesin de entidades de administracin pblica se har atendiendo a las circunstancias de cada caso concreto.

El tratamiento de los datos personales obtenidos a travs de fuentes de acceso pblico deber respetar los principios establecidos en la Ley y en el presente reglamento.

Captulo IIITransferencia de datos personales

Artculo 18.- Disposiciones generales.La transferencia de datos personales implica la

comunicacin de datos personales dentro o fuera del territorio nacional realizada a persona distinta al titular de los datos personales, al encargado del banco de datos personales o al encargado del tratamiento de datos personales.

Se denomina fl ujo transfronterizo de datos personales a la transferencia de datos personales fuera del territorio nacional.

Aqul a quien se transfi eran los datos personales se obliga, por el solo hecho de la transferencia, a la observancia de las disposiciones de la Ley y del presente reglamento.

Artculo 19.- Condiciones para la transferencia.Toda transferencia de datos personales requiere

el consentimiento de su titular, salvo las excepciones previstas en el artculo 14 de la Ley y debe limitarse a la fi nalidad que la justifi que.

Artculo 20.- Prueba del cumplimiento de las obligaciones en materia de transferencias.

Para efectos de demostrar que la transferencia se realiz conforme a lo que establece la Ley y el presente reglamento, la carga de la prueba recaer, en todos los casos, en el emisor de datos.

Artculo 21.- Transferencia dentro de un sector o grupo empresarial y cdigo de conducta.

En el caso de transferencias de datos personales dentro de grupos empresariales, sociedades subsidiarias afi liadas o vinculadas bajo el control comn del mismo grupo del titular del banco de datos personales o responsable del tratamiento, o a aquellas afi liadas o vinculadas a una sociedad matriz o a cualquier sociedad del mismo grupo del titular del banco de datos o responsable del tratamiento, se cumple con garantizar el tratamiento de datos personales, si se cuenta con un cdigo de conducta que establezca las normas internas de proteccin de

datos personales con el contenido previsto por el artculo 31 de la Ley, e inscrito segn lo previsto por los artculos 89 a 97 del presente reglamento.

Artculo 22.- Receptor de los datos personales.El receptor de los datos personales asume la condicin

de titular del banco de datos personales o responsable del tratamiento en lo que se refi ere la Ley y el presente reglamento, y deber realizar el tratamiento de los datos personales cumpliendo lo establecido en la informacin que el emisor dio de manera previa al consentimiento recabado del titular de los datos personales.

Artculo 23.- Formalizacin de las transferencias nacionales.

La transferencia deber formalizarse mediante mecanismos que permitan demostrar que el titular del banco de datos personales o el responsable del tratamiento comunic al responsable receptor las condiciones en las que el titular de los datos personales consinti el tratamiento de los mismos.

Artculo 24.- Flujo transfronterizo de datos personales.

Los fl ujos transfronterizos de datos personales sern posibles cuando el receptor o importador de los datos personales asuma las mismas obligaciones que corresponden al titular del banco de datos personales o responsable del tratamiento que como emisor o exportador transfi ri los datos personales.

De conformidad con el artculo 15 de la Ley, adems de los supuestos previstos en el primer y tercer prrafo de dicho artculo, lo dispuesto en el segundo prrafo del mismo tampoco aplica cuando se traten de datos personales que deriven de una relacin cientfi ca o profesional del titular y sean necesarios para su desarrollo o cumplimiento.

Artculo 25.- Formalizacin del fl ujo transfronterizo de datos personales.

Para los efectos del artculo precedente, el emisor o exportador podr valerse de clusulas contractuales u otros instrumentos jurdicos en los que se establezcan cuando menos las mismas obligaciones a las que se encuentra sujeto, as como las condiciones en las que el titular consinti el tratamiento de sus datos personales.

Artculo 26.- Participacin de la Direccin General de Proteccin de Datos Personales respecto del fl ujo transfronterizo de datos personales.

Los titulares del banco de datos personales o responsables del tratamiento, podrn solicitar la opinin de la Direccin General de Proteccin de Datos Personales respecto a si el fl ujo transfronterizo de datos personales que realiza o realizar cumple con lo dispuesto por la Ley y el presente reglamento.

En cualquier caso, el fl ujo transfronterizo de datos personales se pondr en conocimiento de la Direccin General de Proteccin de Datos Personales, incluyendo la informacin que se requiere para la transferencia de datos personales y el registro de banco de datos.

Captulo IVTratamientos especiales de datos personales

Artculo 27.- Tratamiento de los datos personales de menores.

Para el tratamiento de los datos personales de un menor de edad, se requerir el consentimiento de los titulares de la patria potestad o tutores, segn corresponda.

Artculo 28.- Consentimiento excepcional.Podr hacerse tratamiento de los datos personales de

mayores de catorce y menores de dieciocho aos con su consentimiento, siempre que la informacin proporcionada haya sido expresada en un lenguaje comprensible por ellos, salvo en los casos que la ley exija para su otorgamiento la asistencia de los titulares de la patria potestad o tutela.

En ningn caso el consentimiento para el tratamiento de datos personales de menores de edad podr otorgarse para que accedan a actividades, vinculadas con bienes o servicios que estn restringidos para mayores de edad.

Artculo 29.- Prohibicin de recopilacin.En ningn caso se podr recabar de un menor de

NORMAS LEGALESEl PeruanoLima, viernes 22 de marzo de 2013 491325edad datos que permitan obtener informacin sobre los dems miembros de su grupo familiar, como son los datos relativos a la actividad profesional de sus progenitores, informacin econmica, datos sociolgicos o cualquier otro, sin el consentimiento de los titulares de tales datos.

Slo podr recabarse los datos de identidad y direccin de los padres o de los tutores con la fi nalidad de obtener el consentimiento a que se refi ere el artculo 27 del presente reglamento.

Artculo 30.- Fomento de la proteccin.Es obligacin de todos los titulares de bancos de

datos personales y especialmente de las entidades pblicas colaborar con el fomento del conocimiento del derecho a la proteccin de datos personales de los nios, nias y adolescentes, as como de la necesidad de que su tratamiento se realice con especial responsabilidad y seguridad.

Artculo 31.- Tratamiento de datos personales en el sector comunicaciones y telecomunicaciones.

Los operadores de los servicios de comunicaciones o telecomunicaciones tienen la responsabilidad de velar por la confi dencialidad, seguridad, uso adecuado e integridad de los datos personales que obtengan de sus abonados y usuarios, en el curso de sus operaciones comerciales. En tal sentido, no podrn realizar un tratamiento de los citados datos personales para fi nalidades distintas a las autorizadas por su titular, salvo orden judicial o mandato legal expreso.

Artculo 32.- Confi dencialidad y seguridad.Los operadores de comunicaciones o

telecomunicaciones debern velar por la confi dencialidad, seguridad y uso adecuado de cualquier dato personal obtenido como consecuencia de su actividad y adoptarn las medidas tcnicas, legales y organizativas, conforme a lo establecido en la Ley y el presente reglamento, sin perjuicio de las medidas establecidas en las normas del sector de comunicaciones y telecomunicaciones que no se opongan a lo establecido en la Ley y el presente reglamento.

Artculo 33.- Tratamiento de los datos personales por medios tecnolgicos tercerizados.

El tratamiento de datos personales por medios tecnolgicos tercerizados, entre los que se encuentran servicios, aplicaciones, infraestructura, entre otros, est referido a aquellos, en los que el procesamiento es automtico, sin intervencin humana.

Para los casos en los que en el tratamiento exista intervencin humana se aplican los artculos 37 y 38.

El tratamiento de datos personales por medios tecnolgicos tercerizados, sea completo o parcial, podr ser contratado por el responsable del tratamiento de datos personales siempre y cuando para la ejecucin de aquel se garantice el cumplimiento de lo establecido en la Ley y el presente reglamento.

Artculo 34.- Criterios a considerar para el tratamiento de datos personales por medios tecnolgicos tercerizados.

Al realizar el tratamiento de los datos personales por medios tecnolgicos tercerizados se deber considerar como prestaciones mnimas las siguientes:

1. Informar con transparencia las subcontrataciones que involucren la informacin sobre la que presta el servicio.

2. No incluir condiciones que autoricen o permitan al prestador asumir la titularidad sobre los bancos de datos personales tratados en la tercerizacin.

3. Garantizar la confi dencialidad respecto de los datos personales sobre los que preste el servicio.

4. Mantener el control, las decisiones y la responsabilidad sobre el proceso mediante el cual se realiza el tratamiento de los datos personales.

5. Garantizar la destruccin o la imposibilidad de acceder a los datos personales despus de concluida la prestacin.

Artculo 35.- Mecanismos para la prestacin del servicio de tratamiento de datos personales por medios tecnolgicos tercerizados.

El prestador del servicio deber contar con los siguientes mecanismos:

1. Dar a conocer los cambios en sus polticas de privacidad o en las condiciones del servicio que presta al responsable del tratamiento, para obtener el consentimiento si ello signifi cara incrementar sus facultades de tratamiento.

2. Permitir al responsable del tratamiento limitar el tipo de tratamiento de los datos personales sobre los que presta el servicio.

3. Establecer y mantener medidas de seguridad adecuadas para la proteccin de los datos personales sobre los que presta el servicio.

4. Garantizar la supresin de los datos personales una vez que haya concluido el servicio prestado al responsable y que este ltimo los haya podido recuperar.

5. Impedir el acceso a los datos personales a quienes no cuenten con privilegios de acceso, o bien en caso sea solicitada por la autoridad competente informar de ese hecho al responsable.

Artculo 36.- Prestacin de servicios o tratamiento por encargo.

Para efectos de la Ley, la entrega de datos personales del titular del banco de datos personales al encargado no constituye transferencia de datos personales.

El encargado del banco de datos personales se encuentra prohibido de transferir a terceros los datos personales objeto de la prestacin de servicios de tratamiento, a menos que el titular del banco de datos personales que le encarg el tratamiento lo haya autorizado y el titular del dato personal haya brindado su consentimiento, en los supuestos que dicho consentimiento sea requerido conforme a Ley.

El plazo para la conservacin de los datos ser de dos (2) aos contado desde la fi nalizacin del ltimo encargo realizado.

Lo dispuesto en el presente artculo ser aplicable, en lo que corresponda, a la subcontratacin de la prestacin de servicios de tratamiento de datos personales.

Artculo 37.- Tratamiento a travs de subcontratacin.

El tratamiento de datos personales puede realizarse por un tercero diferente al encargado del tratamiento, a travs de un convenio o contrato entre estos dos.

Para este supuesto se requerir de manera previa una autorizacin por parte del titular del banco de datos personales o responsable del tratamiento. Dicha autorizacin se entender tambin concedida si estaba prevista en el instrumento jurdico mediante el cual se formaliz la relacin entre el responsable del tratamiento y el encargado del mismo. El tratamiento que haga el subcontratista se realizar en nombre y por cuenta del responsable del tratamiento, pero la carga de probar la autorizacin le corresponde al encargado del tratamiento.

Artculo 38.- Responsabilidad del tercero subcontratado.

La persona natural o jurdica subcontratada asume las mismas obligaciones que se establezcan para el encargado del tratamiento en la Ley, el presente reglamento y dems disposiciones aplicables. Sin embargo, asumir las obligaciones del titular del banco de datos personales o encargado del tratamiento cuando:

1. Destine o utilice los datos personales con una fi nalidad distinta a la autorizada por el titular del banco de datos o responsable del tratamiento; o

2. Efecte una transferencia, incumpliendo las instrucciones del titular del banco de datos personales, aun cuando sea para la conservacin de dichos datos.

Captulo VMedidas de seguridad

Artculo 39.- Seguridad para el tratamiento de la informacin digital.

Los sistemas informticos que manejen bancos de datos personales debern incluir en su funcionamiento:

NORMAS LEGALES El PeruanoLima, viernes 22 de marzo de 20134913261. El control de acceso a la informacin de datos

personales incluyendo la gestin de accesos desde el registro de un usuario, la gestin de los privilegios de dicho usuario, la identifi cacin del usuario ante el sistema, entre los que se encuentran usuario-contrasea, uso de certifi cados digitales, tokens, entre otros, y realizar una verifi cacin peridica de los privilegios asignados, los cuales deben estar defi nidos mediante un procedimiento documentado a fi n de garantizar su idoneidad.

2. Generar y mantener registros que provean evidencia sobre las interacciones con los datos lgicos, incluyendo para los fi nes de la trazabilidad, la informacin de cuentas de usuario con acceso al sistema, horas de inicio y cierre de sesin y acciones relevantes. Estos registros deben ser legibles, oportunos y tener un procedimiento de disposicin, entre los que se encuentran el destino de los registros, una vez que stos ya no sean tiles, su destruccin, transferencia, almacenamiento, entre otros.

Asimismo, se deben establecer las medidas de seguridad relacionadas con los accesos autorizados a los datos mediante procedimientos de identifi cacin y autenticacin que garanticen la seguridad del tratamiento de los datos personales.

Artculo 40.- Conservacin, respaldo y recuperacin de los datos personales.

Los ambientes en los que se procese, almacene o transmita la informacin debern ser implementados, con controles de seguridad apropiados, tomando como referencia las recomendaciones de seguridad fsica y ambiental recomendados en la NTP ISO/IEC 17799 EDI. Tecnologa de la Informacin. Cdigo de Buenas Prcticas para la Gestin de Seguridad de la Informacin. en la edicin que se encuentre vigente.

Adicionalmente, se deben contemplar los mecanismos de respaldo de seguridad de la informacin de la base de datos personales con un procedimiento que contemple la verifi cacin de la integridad de los datos almacenados en el respaldo, incluyendo cuando sea pertinente, la recuperacin completa ante una interrupcin o dao, garantizando el retorno al estado en el que se encontraba al momento en que se produjo la interrupcin o dao.

Artculo 41.- Transferencia lgica o electrnica de los datos personales.

El intercambio de datos personales desde los ambientes de procesamiento o almacenamiento hacia cualquier destino fuera de las instalaciones fsicas de la entidad, solo proceder con la autorizacin del titular del banco de datos personales y se har utilizando los medios de transporte autorizados por el mismo, tomando las medidas necesarias, entre las que se encuentran cifrado de datos, fi rmas digitales, informacin, checksum de verifi cacin, entre otros, destinados a evitar el acceso no autorizado, prdida o corrupcin durante el trnsito hacia su destino.

Artculo 42.- Almacenamiento de documentacin no automatizada.

Los armarios, archivadores u otros elementos en los que se almacenen documentos no automatizados con datos personales debern encontrarse en reas en las que el acceso est protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas reas debern permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el banco de datos.

Si por las caractersticas de los locales que se dispusiera no fuera posible cumplir lo establecido en el apartado anterior, se adoptarn las medidas alternativas, conforme a las directivas de la Direccin General de Proteccin de Datos Personales.

Artculo 43.- Copia o reproduccin.La generacin de copias o la reproduccin de los

documentos nicamente podrn ser realizadas bajo el control del personal autorizado.

Deber procederse a la destruccin de las copias o reproducciones desechadas de forma que se evite el acceso a la informacin contenida en las mismas o su recuperacin posterior.

Artculo 44.- Acceso a la documentacin.El acceso a la documentacin se limitar

exclusivamente al personal autorizado.Se establecern mecanismos que permitan identifi car

los accesos realizados en el caso de documentos que puedan ser utilizados por mltiples usuarios.

El acceso de personas no incluidas en el prrafo anterior deber quedar adecuadamente registrado de acuerdo a las directivas de seguridad que emita la Direccin General de Proteccin de Datos Personales.

Artculo 45.- Traslado de documentacin no automatizada.

Siempre que se proceda al traslado fsico de la documentacin contenida en un banco de datos, debern adoptarse medidas dirigidas a impedir el acceso o manipulacin de la informacin objeto de traslado.

Artculo 46.- Prestaciones de servicios sin acceso a datos personales.

El responsable o el encargado de la informacin o tratamiento adoptarn las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de informacin, para la realizacin de trabajos que no impliquen el tratamiento de datos personales.

Cuando se trate de personal ajeno, el contrato de prestacin de servicios recoger expresamente la prohibicin de acceder a los datos personales y la obligacin de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestacin del servicio.

TTULO IV

Derechos del titular de datos personales

Captulo IDisposiciones generales

Artculo 47.- Carcter personal.Los derechos de informacin, acceso, rectifi cacin,

cancelacin, oposicin y tratamiento objetivo de datos personales slo pueden ser ejercidos por el titular de datos personales, sin perjuicio de las normas que regulan la representacin.

Artculo 48.- Ejercicio de los derechos del titular de datos personales.

El ejercicio de alguno o algunos de los derechos no excluye la posibilidad de ejercer alguno o algunos de los otros, ni puede ser entendido como requisito previo para el ejercicio de cualquiera de ellos.

Artculo 49.- Legitimidad para ejercer los derechos.

El ejercicio de los derechos contenidos en el presente ttulo se realiza:

1. Por el titular de datos personales, acreditando su identidad y presentando copia del Documento Nacional de Identidad o documento equivalente.

El empleo de la fi rma digital conforme a la normatividad vigente, sustituye la presentacin del Documento Nacional de Identidad y su copia.

2. Mediante representante legal acreditado como tal.3. Mediante representante expresamente facultado

para el ejercicio del derecho, adjuntando la copia de su Documento Nacional de Identidad o documento equivalente, y del ttulo que acredite la representacin.

Cuando el titular del banco de datos personales sea una entidad pblica, podr acreditarse la representacin por cualquier medio vlido en derecho que deje constancia fi dedigna, conforme al artculo 115 de la Ley N 27444, Ley del Procedimiento Administrativo General.

4. En caso se opte por el procedimiento sealado en el artculo 51 del presente reglamento, la acreditacin de la identidad del titular se sujetar a lo dispuesto en dicha disposicin.

Artculo 50.- Requisitos de la solicitud.El ejercicio de los derechos se lleva a cabo mediante

solicitud dirigida al titular del banco de datos personales o responsable del tratamiento, la misma que contendr:

NORMAS LEGALESEl PeruanoLima, viernes 22 de marzo de 2013 4913271. Nombres y apellidos del titular del derecho

y acreditacin de los mismos, y en su caso de su representante conforme al artculo precedente.

2. Peticin concreta que da lugar a la solicitud.3. Domicilio, o direccin que puede ser electrnica, a

efectos de las notifi caciones que correspondan.4. Fecha y fi rma del solicitante.5. Documentos que sustenten la peticin, de ser el

caso.6. Pago de la contraprestacin, tratndose de

entidades pblicas siempre que lo tengan previsto en sus procedimientos de fecha anterior a la vigencia del presente reglamento.

Artculo 51.- Servicios de atencin al pblico.Cuando el titular del banco de datos personales o

responsable del tratamiento disponga de servicios de cualquier naturaleza para la atencin a su pblico o el ejercicio de reclamaciones relacionadas con el servicio prestado o productos ofertados, podr tambin atender las solicitudes para el ejercicio de los derechos comprendidos en el presente ttulo a travs de dichos servicios, siempre que los plazos no sean mayores a los establecidos en el presente reglamento.

En este caso, la identidad del titular de datos personales se considera acreditada por los medios establecidos por el titular del banco de datos personales o responsable del tratamiento para la identifi cacin de aqul, siempre que se acredite la misma, conforme a la naturaleza de la prestacin del servicio o producto ofertado.

Artculo 52.- Recepcin y subsanacin de la peticin.

Deben ser recibidas todas las solicitudes presentadas, dejndose constancia de su recepcin por parte del titular del banco de datos personales o responsable del tratamiento. En caso de que la solicitud no cumpla con los requisitos sealados en el artculo anterior, el titular del banco de datos personales o responsable de su tratamiento, en un plazo de cinco (5) das, contado desde el da siguiente de la recepcin de la solicitud, formula las observaciones por incumplimiento que no puedan ser salvadas de ofi cio, invitando al titular a subsanarlas dentro de un plazo mximo de cinco (5) das.

Transcurrido el plazo sealado sin que ocurra la subsanacin se tendr por no presentada la solicitud.

Las entidades pblicas aplican el artculo 126 de la Ley N 27444, Ley del Procedimiento Administrativo General, sobre observaciones a la documentacin presentada.

Artculo 53.- Facilidades para el ejercicio del derecho.

El titular del banco de datos personales o responsable del tratamiento est obligado a establecer un procedimiento sencillo para el ejercicio de los derechos. Sin perjuicio de lo sealado e independientemente de los medios o mecanismos que la Ley y el presente reglamento establezcan para el ejercicio de los derechos correspondientes al titular de datos personales, el titular del banco de datos personales o el responsable del tratamiento, podr ofrecer mecanismos que faciliten el ejercicio de tales derechos en benefi cio del titular de datos personales.

Para efectos de la contraprestacin que debe abonar el titular de datos personales para el ejercicio de sus derechos ante la administracin pblica se estar a lo dispuesto en el primer prrafo del artculo 26 de la Ley.

El ejercicio por el titular de datos personales de sus derechos ante los bancos de datos personales de administracin privada ser de carcter gratuito, salvo lo establecido en normas especiales de la materia. En ningn caso el ejercicio de estos derechos implicar ingreso adicional para el titular del banco de datos personales o responsable del tratamiento ante el cual se ejercen.

No se podr establecer como medios para el ejercicio de los derechos ninguno que implique el cobro de una tarifa adicional al solicitante o cualquier otro medio que suponga un costo excesivo.

Artculo 54.- Forma de la respuesta.El titular del banco de datos personales o responsable

del tratamiento deber dar respuesta a la solicitud en la forma y plazo establecido en el presente reglamento, con independencia de que fi guren o no datos personales del

titular de los mismos en los bancos de datos personales que administre.

La respuesta al titular de datos personales deber referirse nicamente a aquellos datos que especfi camente se hayan indicado en su solicitud y deber presentarse en forma clara, legible, comprensible y de fcil acceso.

En caso de ser necesario el empleo de claves o cdigos, debern proporcionarse los signifi cados correspondientes.

Corresponder al titular del banco de datos personales o responsable del tratamiento la prueba del cumplimiento del deber de respuesta, debiendo conservar los medios para hacerlo. Lo sealado ser de aplicacin, en lo que fuera pertinente, para acreditar la realizacin de lo establecido en el segundo prrafo del artculo 20 de la Ley.

Artculo 55.- Plazos de respuesta.

1. El plazo mximo de respuesta del titular del banco de datos personales o responsable del tratamiento ante el ejercicio del derecho de informacin ser de ocho (08) das contados desde el da siguiente de la presentacin de la solicitud correspondiente.

2. El plazo mximo para la respuesta del titular del banco de datos personales o responsable del tratamiento ante el ejercicio del derecho de acceso ser de veinte (20) das contados desde el da siguiente de la presentacin de la solicitud por el titular de datos personales.

Si la solicitud fuera estimada y el titular del banco de datos personales o responsable del tratamiento no acompaase a su respuesta la informacin solicitada, el acceso ser efectivo dentro de los diez (10) das siguientes a dicha respuesta.

3. Tratndose del ejercicio de los otros derechos como los de rectifi cacin, cancelacin u oposicin, el plazo mximo de respuesta del titular del banco de datos personales o responsable del tratamiento ser de diez (10) das contados desde el da siguiente de la presentacin de la solicitud correspondiente.

Artculo 56.- Requerimiento de informacin adicional.

En el caso que la informacin proporcionada en la solicitud sea insufi ciente o errnea de forma que no permita su atencin, el titular del banco de datos personales podr requerir dentro de los siete (7) das siguientes de recibida la solicitud, documentacin adicional al titular de los datos personales para atenderla.

En un plazo de diez (10) das de recibido el requerimiento, contado desde el da siguiente de la recepcin del mismo, el titular de datos personales acompaar la documentacin adicional que estime pertinente para fundamentar su solicitud. En caso contrario, se tendr por no presentada dicha solicitud.

Artculo 57.- Ampliacin de los plazos.Salvo el plazo establecido para el ejercicio del

derecho de informacin, los plazos que correspondan para la respuesta o la atencin de los dems derechos, podrn ser ampliados una sola vez, y por un plazo igual, como mximo, siempre y cuando las circunstancias lo justifi quen.

La justifi cacin de la ampliacin del plazo deber comunicarse al titular del dato personal dentro del plazo que se pretenda ampliar.

Artculo 58.- Aplicacin de legislacin especfi ca.Cuando las disposiciones aplicables a determinados

bancos de datos personales conforme a la legislacin especial que los regule establezcan un procedimiento especfi co para el ejercicio de los derechos regulados en el presente ttulo, sern de aplicacin las mismas en cuanto ofrezcan iguales o mayores garantas al titular de los datos personales y no contravengan lo dispuesto en la Ley y el presente reglamento.

Artculo 59.- Denegacin parcial o total ante el ejercicio de un derecho.

La respuesta total o parcialmente negativa por parte del titular del banco de datos personales o del responsable del tratamiento ante la solicitud de un derecho del titular de datos personales, debe estar debidamente justifi cada y debe sealar el derecho que le asiste al mismo para

NORMAS LEGALES El PeruanoLima, viernes 22 de marzo de 2013491328recurrir ante la Direccin General de Proteccin de Datos Personales en va de reclamacin, en los trminos del artculo 24 de la Ley y del presente reglamento.

Captulo IIDisposiciones especiales

Artculo 60.- Derecho a la informacin.El titular de datos personales tiene derecho, en va de

acceso, a que se le brinde toda la informacin sealada en el artculo 18 de la Ley y el numeral 4 del artculo 12 del presente reglamento.

La respuesta contendr los extremos previstos en los artculos citados en el prrafo anterior, salvo que el titular haya solicitado la informacin referida slo a alguno de ellos.

Ser de aplicacin para la respuesta al ejercicio del derecho a la informacin, en lo que fuere pertinente, lo establecido en los artculos 62 y 63 del presente reglamento.

Artculo 61.- Derecho de acceso.Sin perjuicio de lo sealado en el artculo 19 de la Ley,

el titular de los datos personales tiene derecho a obtener del titular del banco de datos personales o responsable del tratamiento la informacin relativa a sus datos personales, as como a todas las condiciones y generalidades del tratamiento de los mismos.

Artculo 62.- Medios para el cumplimiento del derecho de acceso.

La informacin correspondiente al derecho de acceso, a opcin del titular de los datos personales, podr suministrarse por escrito, por medios electrnicos, telefnicos, de imagen u otro idneo para tal fi n.

El titular de los datos personales podr optar a travs de algunos o varios de las siguientes formas:

1. Visualizacin en sitio.2. Escrito, copia, fotocopia o facsmil.3. Transmisin electrnica de la respuesta, siempre

que est garantizada la identidad del interesado y la confi dencialidad, integridad y recepcin de la informacin.

4. Cualquier otra forma o medio que sea adecuado a la confi guracin o implantacin material del banco de datos personales o a la naturaleza del tratamiento, establecido por el titular del banco de datos personales o responsable del tratamiento.

Cualquiera sea la forma a emplear, el acceso debe ser en formato claro, legible e inteligible, sin utilizar claves o cdigos que requieran de dispositivos mecnicos para su adecuada comprensin y en su caso acompaada de una explicacin. Asimismo, el acceso debe ser en lenguaje accesible al conocimiento medio de la poblacin, de los trminos que se utilicen. Sin perjuicio de lo cual, con el objeto de usar los medios de comunicacin ms ecolgicos disponibles en cada caso, el responsable del tratamiento podr acordar con el titular el uso de medios de reproduccin de la informacin distintos a los establecidos en el presente reglamento.

Artculo 63.- Contenido de la informacin.La informacin que con ocasin del ejercicio del

derecho de acceso se ponga a disposicin del titular de los datos personales, debe ser amplia y comprender la totalidad del registro correspondiente al titular de datos personales, aun cuando el requerimiento slo comprenda un aspecto de dichos datos. El informe no podr revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado.

Artculo 64.- Actualizacin.Es derecho del titular de datos personales, en va

de rectifi cacin, actualizar aquellos datos que han sido modifi cados a la fecha del ejercicio del derecho.

La solicitud de actualizacin deber sealar a qu datos personales se refi ere, as como la modifi cacin que haya de realizarse en ellos, acompaando la documentacin que sustente la procedencia de la actualizacin solicitada.

Artculo 65.- Rectifi cacin.Es derecho del titular de datos personales que se

modifi quen los datos que resulten ser inexactos, errneos o falsos.

La solicitud de rectifi cacin deber indicar a qu datos personales se refi ere, as como la correccin que haya de realizarse en ellos, acompaando la documentacin que sustente la procedencia de la rectifi cacin solicitada.

Artculo 66.- Inclusin.Es derecho del titular de datos personales que, en va

de rectifi cacin, sus datos sean incorporados a un banco de datos personales, as como que al tratamiento de sus datos personales se incorpore aquella informacin faltante que la hace incompleta, omitida o eliminada en atencin a su relevancia para dicho tratamiento.

La solicitud de inclusin deber indicar a qu datos personales se refi ere, as como la incorporacin que haya de realizarse en ellos, acompaando la documentacin que sustente la procedencia e inters fundado para el mismo.

Artculo 67.- Supresin o cancelacin.El titular de los datos personales podr solicitar la

supresin o cancelacin de sus datos personales de un banco de datos personales cuando stos hayan dejado de ser necesarios o pertinentes para la fi nalidad para la cual hayan sido recopilados, cuando hubiere vencido el plazo establecido para su tratamiento, cuando ha revocado su consentimiento para el tratamiento y en los dems casos en los que no estn siendo tratados conforme a la Ley y al presente reglamento.

La solicitud de supresin o cancelacin podr referirse a todos los datos personales del titular contenidos en un banco de datos personales o slo a alguna parte de ellos.

Dentro de lo establecido por el artculo 20 de la Ley y el numeral 3) del artculo 2 del presente reglamento, la solicitud de supresin implica el cese en el tratamiento de los datos personales a partir de un bloqueo de los mismos y su posterior eliminacin.

Artculo 68.- Comunicacin de la supresin o cancelacin.

El titular del banco de datos personales o responsable del tratamiento deber documentar ante el titular de los datos personales haber cumplido con lo solicitado e indicar las transferencias de los datos suprimidos, identifi cando a quin o a quines fueron transferidos, as como la comunicacin de la supresin correspondiente.

Artculo 69.- Improcedencia de la supresin o cancelacin.

La supresin no proceder cuando los datos personales deban ser conservados en virtud de razones histricas, estadsticas o cientfi cas de acuerdo con la legislacin aplicable o, en su caso, en las relaciones contractuales entre el responsable y el titular de los datos personales, que justifi quen el tratamiento de los mismos.

Artculo 70.- Proteccin en caso de denegatoria de supresin o cancelacin.

Siempre que sea posible, segn la naturaleza de las razones que sustenten la denegatoria prevista en el prrafo precedente, se debern emplear medios de disociacin o anonimizacin para continuar el tratamiento.

Artculo 71.- Oposicin.El titular de datos personales tiene derecho a que no

se lleve a cabo el tratamiento de sus datos personales o se cese en el mismo, cuando no hubiere prestado su consentimiento para su recopilacin por haber sido tomados de fuente de acceso al pblico.

Aun cuando hubiera prestado consentimiento, el titular de datos personales tiene derecho a oponerse al tratamiento de sus datos, si acredita la existencia de motivos fundados y legtimos relativos a una concreta situacin personal que justifi quen el ejercicio de este derecho.

En caso que la oposicin resulte justifi cada el titular del banco de datos personales o responsable de su tratamiento deber proceder al cese del tratamiento que ha dado lugar a la oposicin.

Artculo 72.- Derecho al tratamiento objetivo de datos personales.

Para garantizar el ejercicio del derecho al tratamiento objetivo de conformidad con lo establecido en el artculo 23

NORMAS LEGALESEl PeruanoLima, viernes 22 de marzo de 2013 491329de la Ley, cuando se traten datos personales como parte de un proceso de toma de decisiones sin participacin del titular de los datos personales, el titular del banco de datos personales o responsable del tratamiento deber informrselo a la brevedad posible, sin perjuicio de lo regulado para el ejercicio de los dems derechos en la Ley y el presente reglamento.

Captulo IIIProcedimiento de tutela

Artculo 73.- Procedimiento de tutela directa.El ejercicio de los derechos regulados por la Ley y

el presente reglamento se inicia con la solicitud que el titular de los datos personales debe dirigir directamente al titular del banco de datos personales o responsable del tratamiento, de acuerdo a las caractersticas que se regulan en los artculos precedentes del presente ttulo.

El titular del banco de datos personales o responsable del tratamiento deber dar respuesta, en los plazos previstos en el artculo 55 del presente reglamento, expresando lo correspondiente a cada uno de los extremos de la solicitud. Transcurrido el plazo sin haber recibido la respuesta el solicitante podr considerar denegada su solicitud.

La denegatoria o la respuesta insatisfactoria habilitan al solicitante a iniciar el procedimiento administrativo ante la Direccin General de Proteccin de Datos Personales, de acuerdo al artculo 74 del presente reglamento.

Artculo 74.- Procedimiento trilateral de tutela.El procedimiento administrativo de tutela de los

derechos regulados por la Ley y el presente reglamento, se sujeta a lo dispuesto por los artculos 219 al 228 de la Ley N 27444, Ley del Procedimiento Administrativo General en lo que le sea aplicable, y ser resuelto mediante resolucin del Director General de Proteccin de Datos Personales. Contra esta resolucin solo procede recurso de reconsideracin, el que, una vez resuelto, agota la va administrativa.

Para iniciar el procedimiento administrativo a que se refi ere este artculo, sin perjuicio de los requisitos generales previstos en el presente reglamento, el titular de los datos personales deber presentar con su solicitud de tutela:

1. El cargo de la solicitud que previamente envi al titular del banco de datos personales o responsable del tratamiento para obtener de l, directamente, la tutela de sus derechos.

2. El documento que contenga la respuesta del titular del banco de datos personales o responsable del tratamiento que, a su vez, contenga la denegatoria de su pedido o la respuesta que considere no satisfactoria, de haberla recibido.

El plazo mximo en que debe resolverse la solicitud de tutela de derechos ser treinta (30) das, contado desde el da siguiente de recibida la contestacin del reclamado o desde el vencimiento del plazo para formularla y podr ampliarse hasta por un mximo de treinta (30) das adicionales, atendiendo a la complejidad del caso.

La orden de realizar la visita de fi scalizacin suspende el plazo previsto para resolver hasta que se reciba el informe correspondiente.

Artculo 75.- Visita de fi scalizacin.Para mejor resolver, se podr ordenar a la Direccin

de Supervisin y Control la realizacin de una visita de fi scalizacin, que se efectuar conforme a lo previsto en los artculos 108 a 114 del presente reglamento, dentro de los cinco (5) das siguientes de recibida la orden.

TTULO V

Registro Nacional de Proteccinde Datos Personales

Captulo IDisposiciones generales

Artculo 76.- Inscripcin registral.El Registro Nacional de Proteccin de Datos

Personales es la unidad de almacenamiento destinada a

contener principalmente la informacin sobre los bancos de datos personales de titularidad pblica o privada y tiene por fi nalidad dar publicidad de la inscripcin de dichos bancos de tal forma que sea posible ejercer los derechos de acceso a la informacin, rectifi cacin, cancelacin, oposicin y otros regulados en la Ley y el presente reglamento.

Artculo 77.- Actos y documentos inscribibles en el Registro.

Sern objeto de inscripcin en el Registro Nacional de Proteccin de Datos Personales con arreglo a lo dispuesto en la Ley y en este ttulo:

1. Los bancos de datos personales de la administracin pblica, con las excepciones previstas en la Ley y el presente reglamento.

2. Los bancos de datos personales de administracin privada, con la excepcin prevista en el numeral 1) del artculo 3 de la Ley.

3. Los cdigos de conducta a que se refi ere el artculo 31 de la Ley.

4. Las sanciones, medidas cautelares o correctivas impuestas por la Direccin General de Proteccin de Datos Personales conforme a la Ley y el presente reglamento.

5. Las comunicaciones referidas al fl ujo transfronterizo de datos personales.

Cualquier persona puede consultar la informacin a que se refi ere el artculo 34 de la Ley y cualquier otra contenida en el Registro.

Artculo 78.- Obligacin de inscripcin.Las personas naturales o jurdicas del sector privado

o entidades pblicas que creen, modifi quen o cancelen bancos de datos personales estn obligadas a tramitar la inscripcin de estos actos ante el Registro Nacional de Proteccin de Datos Personales.

Captulo IIProcedimiento de inscripcin

Artculo 79.- Requisitos.Los titulares de los bancos de datos personales

debern inscribirlos en el Registro Nacional de Proteccin de Datos Personales proporcionando la siguiente informacin:

1. La denominacin y ubicacin del banco de datos personales, sus fi nalidades y los usos previstos.

2. La identifi cacin del titular del banco de datos personales, y en su caso, la identifi cacin del encargado del tratamiento.

3. Tipos de datos personales sometidos a tratamiento en dicho banco.

4. Procedimientos de obtencin y el sistema de tratamiento de los datos personales.

5. La descripcin tcnica de las medidas de seguridad.

6. Los destinatarios de transferencias de datos personales.

Artculo 80.- Modelos o formularios.La Direccin General de Proteccin de Datos

Personales publicar mediante resolucin los modelos o formularios electrnicos de las solicitudes de creacin, modifi cacin o cancelacin de bancos de datos personales, que permitan su presentacin a travs de medios telemticos o en soporte papel, de conformidad al procedimiento establecido en el presente reglamento.

Los modelos o formularios electrnicos se podrn obtener gratuitamente en el Portal Institucional del Ministerio de Justicia y Derechos Humanos.

Artculo 81.- Inicio.El procedimiento se iniciar con la presentacin, ante

la Direccin de Registro Nacional de Proteccin de Datos Personales, de la solicitud de creacin, modifi cacin o cancelacin del banco de datos personales formulada por su titular o representante debidamente acreditado.

Tratndose de la solicitud de inscripcin deber contener los requisitos exigidos por el presente reglamento, de faltar alguno de los requisitos, se requerir que se subsane la omisin, conforme a lo dispuesto en el siguiente artculo.

NORMAS LEGALES El PeruanoLima, viernes 22 de marzo de 2013491330Asimismo, tratndose de la solicitud de la modifi cacin

o cancelacin de un banco de datos personales, deber indicarse en la misma el cdigo de inscripcin del banco de datos personales en el Registro Nacional de Proteccin de Datos Personales.

En la solicitud, se deber declarar un domicilio o direccin, a efectos de remitir las notifi caciones relativas al respectivo procedimiento.

Artculo 82.- Subsanacin de los defectos y archivamiento.

Si la solicitud presentada no cumple con los requisitos exigidos por el reglamento, la Direccin de Registro Nacional de Proteccin de Datos Personales requerir al solicitante que en el plazo de diez (10) das subsane la omisin. Vencido el plazo mximo, sin que el interesado haya cumplido con subsanar dicha omisin, se proceder al archivamiento de la solicitud.

Artculo 83.- Resolucin de inscripcin.El Director de la Direccin de Registro Nacional de

Proteccin de Datos Personales emitir la resolucin disponiendo la inscripcin del banco de datos personales, siempre que se ajuste a los requisitos exigidos en la Ley y el presente reglamento.

La resolucin debe consignar:

1. El cdigo asignado por el Registro.2. La identifi cacin del banco de datos personales.3. La descripcin de la fi nalidad y usos previstos.4. La identifi cacin del titular del banco de datos

personales.5. La categora de los datos personales que contiene.6. Los procedimientos de obtencin.7. El sistema de tratamiento de los datos personales y

la indicacin de las medidas de seguridad.

Asimismo, se incluirn, en su caso, la identifi cacin del encargado del tratamiento en donde se encuentre ubicado el banco de datos personales y los receptores de los datos personales y del fl ujo transfronterizo.

Una vez inscrito el banco de datos personales en el Registro Nacional de Proteccin de Datos, se notifi car la decisin al interesado.

La inscripcin de un banco de datos personales en el Registro Nacional de Proteccin de Datos no exime al titular del cumplimiento del resto de las obligaciones previstas en la Ley y el presente reglamento.

Artculo 84.- Modifi cacin o cancelacin de bancos de datos personales.

La inscripcin de un banco de datos personales deber mantenerse actualizada en todo momento. Cualquier modifi cacin que afecte al contenido de la inscripcin deber ser previamente comunicada a la Direccin de Registro Nacional de Proteccin de Datos Personales para su inscripcin.

Cuando el titular de un banco de datos personales decida su cancelacin, deber comunicarla a la Direccin de Registro Nacional de Proteccin de Datos Personales, a efectos de que proceda a la cancelacin de la inscripcin. El solicitante precisar el destino que va a darse a los datos o las previsiones para su destruccin.

Artculo 85.- Duracin del procedimiento.El plazo mximo para emitir la resolucin acerca de

la inscripcin, modifi cacin o cancelacin ser de treinta (30) das.

Si en dicho plazo no se hubiese emitido resolucin expresa, se entender inscrito, modifi cado o cancelado el banco de datos personales, para todos los efectos.

Artculo 86.- Improcedencia o denegacin de la inscripcin.

El Director de la Direccin de Registro Nacional de Proteccin de Datos emitir resolucin denegando la inscripcin cuando la solicitud no cumpla con los requisitos dispuestos en la Ley y en el presente reglamento u otras disposiciones que dicte la Direccin General de Proteccin de Datos Personales de conformidad a las facultades legales conferidas.

La resolucin debe estar debidamente motivada, con indicacin expresa de las causas que impiden la inscripcin, modifi cacin o cancelacin.

Artculo 87.- Impugnacin.Contra la resolucin que deniega la inscripcin

proceden los recursos de reconsideracin y apelacin, conforme al procedimiento sealado en la Ley N 27444, Ley del Procedimiento Administrativo General.

Artculo 88.- Las instancias.La Direccin de Registro Nacional de Proteccin

de Datos Personales constituye la primera instancia para efectos de atender los recursos administrativos interpuestos contra la denegatoria de inscripcin de un banco de datos personales. Resolver los recursos de reconsideracin y elevar los de apelacin a la Direccin General de Proteccin de Datos Personales que resolver en ltima instancia administrativa por la procedencia o improcedencia de la inscripcin.

Captulo IIIProcedimiento de inscripcinde los cdigos de conducta

Artculo 89.- mbito de aplicacin de los cdigos de conducta.

1. Los cdigos de conducta tendrn carcter voluntario.

2. Los cdigos de conducta de carcter sectorial podrn referirse a la totalidad o a parte de los tratamientos llevados a cabo por el sector, debiendo ser formulados por organizaciones representativas del mismo.

3. Los cdigos de conducta promovidos por una empresa o grupo empresarial debern referirse a la totalidad de los tratamientos llevados a cabo por los mismos.

Artculo 90.- Contenido.

1. Los cdigos de conducta deben estar redactados en trminos claros y accesibles.

2. Los cdigos de conducta deben estar adecuados a lo establecido en la Ley e incluir como mnimo los siguientes aspectos:

2.1. La delimitacin clara y precisa de su mbito de aplicacin, las actividades a que el cdigo se refi ere y los tratamientos sometidos al mismo.

2.2. Las previsiones especfi cas para la aplicacin de los principios de proteccin de datos personales.

2.3. El establecimiento de estndares homogneos para el cumplimiento por los adheridos al cdigo de las obligaciones establecidas en la Ley.

2.4. El establecimiento de procedimientos que faciliten el ejercicio por los afectados de sus derechos de informacin, acceso, rectifi cacin, cancelacin y oposicin.

2.5. La determinacin de las transferencias nacionales e internacionales de datos personales que, en su caso, se prevean con indicacin de las garantas que deban adoptarse.

2.6. Las acciones de fomento y difusin en materia de proteccin de datos personales dirigidas a quienes los traten, especialmente en cuanto a su relacin con los afectados.

2.7. Los mecanismos de supervisin a travs de los cuales se garantice el cumplimiento por los adheridos de lo establecido en el cdigo de conducta.

3. En particular, deber consignarse en el cdigo:

3.1 Clusulas para la obtencin del consentimiento de los titulares de los datos personales al tratamiento o transferencia de sus datos personales.

3.2 Clusulas para informar a los titulares de los datos personales del tratamiento, cuando los datos no sean obtenidos de los mismos.

3.3 Modelos para el ejercicio por los afectados de sus derechos de informacin, acceso, rectifi cacin, cancelacin y oposicin.

3.4 De ser el caso, modelos de clusulas para el cumplimiento de los requisitos formales exigibles para la contratacin de un encargado del tratamiento.

Artculo 91.- Inicio del procedimiento.El procedimiento para la inscripcin en el Registro

Nacional de Proteccin de Datos Personales de los cdigos de conducta se iniciar siempre a solicitud de

NORMAS LEGALESEl PeruanoLima, viernes 22 de marzo de 2013 491331la entidad, rgano o asociacin promotora del cdigo de conducta.

La solicitud, adems de reunir los requisitos legalmente establecidos, cumplir los siguientes requisitos adicionales:

1. Acreditacin de la representacin con que cuente la persona que presente la solicitud.

2. Contenido del acuerdo, convenio o decisin por la que se aprueba en el mbito correspondiente el contenido del cdigo de conducta presentado.

3. En caso de que el cdigo de conducta proceda de un acuerdo sectorial o una decisin de empresa, se adjuntar la certifi cacin referida a la adopcin del acuerdo y legitimacin del rgano que lo adopt y copia de los estatutos de la asociacin, organizacin sectorial o entidad en cuyo marco haya sido aprobado el cdigo.

4. En caso de cdigos de conducta presentados por asociaciones u organizaciones de carcter sectorial, se adjuntar documentacin relativa a su representatividad en el sector.

5. En caso de cdigos de conducta basados en decisiones de empresa, se adjuntar descripcin de los tratamientos a los que se refi ere.

Artculo 92.- Subsanacin de los defectos.Analizados los aspectos sustantivos del cdigo de

conducta, si resultase necesaria la aportacin de nuevos documentos o la modifi cacin de su contenido, la Direccin de Registro Nacional de Proteccin de Datos Personales requerir al solicitante que en el plazo de diez (10) das realice las modifi caciones precisadas.

Artculo 93.- Trmite.Transcurrido el plazo sealado en el artculo anterior,

la Direccin de Registro Nacional de Proteccin de Datos Personales elaborar un informe sobre las caractersticas del proyecto de cdigo de conducta que ser enviado a la Direccin de Normatividad y Asistencia Legal, para que informe en el plazo de siete (07) das si cumple con lo requerido por la Ley y el presente reglamento.

Artculo 94.- Emisin de la resolucin.Cumplido lo establecido en los artculos precedentes, el

Director de la Direccin de Registro Nacional de Proteccin de Datos Personales emitir la resolucin disponiendo la inscripcin del cdigo de conducta, siempre que se ajuste a los requisitos exigidos en la Ley y el presente reglamento.

Artculo 95.- Duracin del procedimiento.El plazo mximo para emitir la resolucin ser de

treinta (30) das, contado desde la fecha de presentacin de la solicitud ante la Direccin de Registro Nacional de Proteccin de Datos Personales. Si en dicho plazo no se hubiese emitido la resolucin, el solicitante podr considerar estimada su solicitud.

Artculo 96.- Improcedencia o denegacin de la inscripcin.

La denegatoria de la inscripcin del cdigo de conducta ser resuelta mediante resolucin del Director de la Direccin de Registro Nacional de Proteccin de Datos Personales, cuando dicha solicitud no cumpla con los requisitos dispuestos en la Ley, el presente reglamento y aquellas disposiciones que dicte la Direccin General de Proteccin de Datos Personales, en el marco de sus competencias legales y estatutarias.

Contra la resolucin que deniega la inscripcin proceden los recursos de reconsideracin y apelacin, conforme al procedimiento sealado en los artculos 87 y 88 del presente reglamento.

Artculo 97.- PublicidadEl Registro Nacional de Proteccin de Datos Personales

dar publicidad al contenido de los cdigos de conducta utilizando para ello medios electrnicos o telemtico.

TTULO VI

Infracciones y sancionesCaptulo I

Procedimiento fi scalizadorArtculo 98.- Objeto.El procedimiento de fi scalizacin tendr por objeto

determinar si concurren las circunstancias que justifi quen

la iniciacin del procedimiento sancionador, con identifi cacin del titular del banco de datos personales o del responsable del tratamiento y la presunta comisin de actos contrarios a la Ley y al presente reglamento.

Artculo 99.- Inicio del procedimiento de fi scalizacin.

El procedimiento de fi scalizacin se inicia siempre de ofi cio como consecuencia de:

1. Iniciativa directa de la Direccin de Supervisin y Control o del Director General de Proteccin de Datos Personales.

2. Por denuncia de cualquier entidad pblica, persona natural o jurdica.

En ambos casos, la Direccin de Supervisin y Control requerir al titular del banco de datos personales, al encargado o a quien resulte responsable, informacin relativa al tratamiento de datos personales o la documentacin necesaria. En el caso de las visitas de fi scalizacin a las sedes de las entidades pblicas o privadas donde se encuentren los bancos de datos personales que administran, los fi scalizadores tendrn acceso a los mismos.

Artculo 100.- Reconduccin del procedimiento.En caso que, de la denuncia presentada pueda

percibirse que no se dirige a los objetivos de un procedimiento de fi scalizacin, sino a los de la tutela de derechos, se derivar al procedimiento correspondiente.

Artculo 101.- Fe pblica.En el ejercicio de las funciones de fi scalizacin, el

personal de la Direccin de Supervisin y Control estar dotado de fe pblica para constatar la veracidad de los hechos en relacin con los trmites a su cargo.

Artculo 102.- Requisitos de la denuncia.La denuncia deber indicar lo siguiente:

1. Nombre del denunciante y el domicilio para efectos de recibir las notifi caciones.

2. Relacin de los hechos en los que basa su denuncia y los documentos que la sustenten.

3. Nombre y domicilio del denunciado o, en su caso, datos para su ubicacin.

Artculo 103.- Forma de la denuncia.La denuncia podr presentarse en soporte fsico o

segn los formatos tipo automatizados, que se exhiban en el Portal Institucional del Ministerio de Justicia y Derechos Humanos.

Cuando la denuncia se presente por medios electrnicos a travs del sistema que establezca la Direccin General de Proteccin de Datos Personales, se entender que se acepta que las notifi caciones sean efectuadas por dicho sistema o a travs de otros medios electrnicos generados por ste, salvo que se seale un medio distinto.

Artculo 104.- Requerimiento de informacin.Cuando se formule denuncia, la Direccin de

Supervisin y Control podr solicitar la documentacin que estime oportuna al denunciante para el desarrollo del procedimiento.

Artculo 105.- Desarrollo de la fi scalizacin.El procedimiento de fi scalizacin tendr una duracin

mxima de noventa (90) das, este plazo corre desde la fecha en que la Direccin de Supervisin y Control recibe la denuncia o da inicio de ofi cio al procedimiento y concluir con el informe que se pronunciar sobre la existencia de elementos que sostengan o no, la presunta comisin de infracciones previstas en la Ley.

El plazo establecido podr ser ampliado por una vez y hasta por un periodo de cuarenta y cinco (45) das, por decisin motivada, atendiendo a la complejidad de la materia fi scalizada y con conocimiento del Director General de Proteccin de Datos Personales.

Artculo 106.- Programa de visitas.La fi scalizacin podr incluir diversas visitas para

obtener los elementos de conviccin necesarios, las

NORMAS LEGALES El PeruanoLima, viernes 22 de marzo de 2013491332cuales se desarrollarn con un plazo mximo de diez (10) das entre cada una. Luego de la primera visita, se notifi car un programa de visitas al titular del banco de datos personales o al encargado o al responsable del tratamiento y, en su caso, al denunciante.

Artculo 107.- Identifi cacin del personal fi scalizador.

Al iniciar la visita, el personal fi scalizador deber exhibir credencial vigente con fotografa, expedida por la Direccin General de Proteccin de Datos Personales que lo acredite como tal.

Artculo 108.- Visitas de fi scalizacin.El personal que lleve a cabo las visitas de fi scalizacin

deber estar provisto de orden escrita motivada con fi rma autgrafa del funcionario, de la que dejar copia, con cargo, a la persona que atendi la visita.

En la orden deber precisarse el lugar o los lugares en donde se encuentra la entidad pblica o privada o la persona natural que se fi scalizar, o donde se encuentren los bancos de datos personales objeto de fi scalizacin, el objeto genrico de la visita y las disposiciones legales que lo fundamenten.

Artculo 109.- Acta de fi scalizacin.Las visitas de fi scalizacin requieren el levantamiento

del acta correspondiente, en la que quedar constancia de las actuaciones practicadas durante la visita de verifi cacin. Dicha acta se levantar en presencia de dos testigos propuestos por la persona con quien se entendi la diligencia. Si se hubiera negado a proponerlos o no hubieran participado los propuestos, bastar la fi rma de la persona con quien se entendi la diligencia o la constancia de su negativa a fi rmar, de ser el caso.

El acta se elaborar por duplicado y ser fi rmada por el personal fi scalizador y quienes hayan participado en la diligencia. El acta puede incluir la manifestacin que los participantes consideren que conviene a su derecho.

Se entregar al fi scalizado uno de los originales del acta de fi scalizacin, incorporndose el otro a los actuados.

Artculo 110.- Contenido de las actas de fi scalizacin.

En las actas de fi scalizacin se har constar:

1. Nombre, denominacin o razn social del fi scalizado.

2. Hora, da, mes y ao en que se inicie y concluya