Horacio Fernandez Delpech - DERECHO INFORMATICO

HFD> Protección de Datos Personales > Legislación, Documentos y Proyectos Extranjeros

LEY 27489 QUE REGULA LAS CENTRALES PRIVADAS DE INFORMACIÓN DE RIESGOS Y DE PROTECCIÓN AL TITULAR DE LA INFORMACIÓN

(Publicada el 28.06.2001)

TÍTULO PRIMERO

DISPOSICIONES GENERALES

Artículo 1.- Objeto de la ley

La presente Ley tiene por objeto regular el suministro de información de riesgos en el mercado, garantizando el respeto a los derechos de los titulares de la misma, reconocidos por la Constitución Política del Perú y la legislación vigente, promoviendo la veracidad, confidencialidad y uso apropiado de dicha información.

Artículo 2.- Definiciones

Para los efectos de esta Ley, se entiende por:

a) Centrales privadas de información de riesgos (CEPIRS).- Las empresas que en locales abiertos al público y en forma habitual recolecten y traten información de riesgos relacionada con personas naturales o jurídicas, con el propósito de difundir por cualquier medio mecánico o electrónico, de manera gratuita u onerosa, reportes de crédito acerca de éstas. No se consideran CEPIRS, para efectos de la presente Ley, a las entidades de la administración pública que tengan a su cargo registros o bancos de datos que almacenen información con el propósito de darle publicidad con carácter general, sin importar la forma como se haga pública dicha información.

b) Información de riesgos.- Información relacionada a obligaciones o antecedentes financieros, comerciales, tributarios, laborales, de seguros de una persona natural o jurídica que permita evaluar su solvencia económica vinculada principalmente a su capacidad y trayectoria de endeudamiento y pago.

c) Información sensible.- Información referida a las características físicas, morales o emocionales de una persona natural, o a hechos o circunstancias de su vida afectiva o familiar, tales como los hábitos personales, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual u otras análogas que afecten su intimidad y todo lo referido en la Constitución Política del Perú en su artículo 2° inciso 6).

d) Titular de la información.- La persona natural o jurídica a la que se refiere la información de riesgos.

e) Reporte de crédito.- Toda comunicación escrita o contenida en algún medio proporcionada por una CEPIR con información de riesgos referida a una persona natural o jurídica, identificada.

f) Banco de datos.- Conjunto de información de riesgos administrado por las CEPIRS, cualquiera sea la forma o modalidad de su creación, organización, almacenamiento, sistematización y acceso, que permita relacionar la información entre sí, así como procesarla con el propósito de transmitirla a terceros.

g) Recolección de información.- Toda operación o conjunto de operaciones o procedimiento técnico que permitan a las CEPIRS obtener información.

h) Fuentes de acceso público.- Información que se encuentra a disposición del público en general o de acceso no restringido, no impedida por cualquier norma limitativa, que está recogida en medios tales como censos, anuarios, bases de datos o registros públicos, repertorios de jurisprudencia, archivos de prensa, guías telefónicas u otros medios análogos; así como las listas de personas pertenecientes a grupos profesionales que contengan únicamente los nombres, títulos, profesión, actividad, grados académicos, dirección e indicación de su pertenencia al grupo.

i) Tratamiento de información.- Toda operación o conjunto de operaciones o procedimiento técnico, de carácter automatizado o no, que permitan a las CEPIRS acopiar, almacenar, actualizar, grabar, organizar, sistematizar, elaborar, seleccionar, confrontar, interconectar, disociar, cancelar y, en general, utilizar información de riesgos para ser difundida en un reporte de crédito.

j) Difusión de información.- Toda operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan a las CEPIRS comunicar, ceder, transmitir, dar acceso o poner en conocimiento de terceros la información de riesgos contenida en sus bancos de datos. La información de fuente Registros Públicos deberá indicar obligatoriamente la fecha y hora de la obtención de la información y si ésta es sólo informativa.

Artículo 3.- Ámbito de aplicación

Están sujetas a la presente Ley todas las CEPIRS que realicen actividades o presten servicios en el territorio nacional.

TÍTULO SEGUNDO

DE LAS CENTRALES PRIVADAS DE INFORMACIÓN DE RIESGOS

Artículo 4.- Organización

Las CEPIRS pueden constituirse bajo cualquiera de las formas permitidas por la Ley General de Sociedades.

Artículo 5.- Características

Las CEPIRS deberán contar, como mínimo, con las siguientes características de organización y funcionamiento:

a) Infraestructura informática adecuada para el debido tratamiento de la información recolectada;

b) Procedimientos internos para una eficiente, efectiva y oportuna atención de consultas, quejas y reclamos, cuando sea el caso; y,

c) Controles internos que proporcionen seguridad en el desarrollo de sus actividades, así como procedimientos de validez de la información procesada.

Artículo 6.- Impedimentos

Están impedidos de ser directores, gerentes o funcionarios que tengan capacidad de decisión dentro de las CEPIRS:

a) Los impedidos para ser directores y gerentes de conformidad con la Ley General de Sociedades;

b) Los condenados por delitos dolosos;

c) Los declarados en proceso de insolvencia, mientras dure éste;

d) Los que registren protestos de documentos en los últimos cinco años;

e) Los que, directa o indirectamente, tengan créditos vencidos por más de 120 (ciento veinte) días, o que hayan ingresado a cobranza judicial; y,

f) Los que sean titulares, socios o accionistas de empresas vinculadas, a las que se refiere el literal b) del artículo 54º de la Ley del Impuesto General a las Ventas e Impuesto Selectivo al Consumo, que tengan créditos vencidos por más de 120 (ciento veinte) días, o que hayan ingresado a cobranza judicial.

TÍTULO TERCERO

DE LA RECOLECCIÓN, TRATAMIENTO, DIFUSIÓN Y SEGURIDAD DE LA INFORMACIÓN DE RIESGOS

Artículo 7.- Fuentes de información

7.1 Las CEPIRS podrán recolectar información de riesgos para sus bancos de datos tanto de fuentes públicas como de fuentes privadas, sin necesidad de contar con la autorización del titular de la información, entendiéndose que la Base de Datos se conformará con toda la información de riesgo.

7.2 Las CEPIRS podrán adquirir información de las fuentes mencionadas en el párrafo precedente mediante la celebración de contratos privados directamente con la persona natural o jurídica que tenga o haya tenido relaciones civiles, comerciales, administrativas, bancarias, laborales o de índole análoga con el titular de la información, siempre y cuando ésta se refiera a los actos, situaciones, hechos, derechos y obligaciones materia de tales relaciones o derivadas de éstas y que no constituyan violación del secreto profesional.

7.3 Igualmente podrán celebrar contratos privados directamente con las entidades de la administración pública que recolecten o utilicen información de riesgos en el ejercicio de sus funciones y competencias legalmente establecidas, salvo que tal información haya sido declarada o constituya un secreto comercial o industrial.

Artículo 8.- Información suministrada por los titulares

Las CEPIRS podrán recolectar información de riesgos directamente de los titulares, debiendo previamente informarles a éstos de modo expreso, preciso e inequívoco lo siguiente:

a) La existencia del banco de datos, la finalidad de la recolección de la

información y los potenciales destinatarios de ésta;

b) La identidad y dirección de la CEPIR que recolecta la información;

c) El carácter facultativo de sus respuestas a las preguntas que le sean planteadas;

d) Las posibles consecuencias de la obtención de la información; y,

e) El alcance de los derechos desarrollados en el Título Cuarto de la presente Ley, así como de los procedimientos para hacerlos valer.

Cuando en la recolección de información se utilicen cuestionarios o cualquier otro medio impreso, se deberá entregar al titular de la información una copia de éstos en la que deberá figurar en forma claramente legible las indicaciones señaladas en los incisos precedentes. La carga probatoria de haber brindado la información antes detallada corresponde a las CEPIRS.

Artículo 9.- Lineamientos generales de recolección y tratamiento de información

Para la recolección y tratamiento de la información de riesgos a su cargo las CEPIRS deberán observar los siguientes lineamientos generales:

a) La recolección de información no podrá efectuarse por medios fraudulentos o ilícitos;

b) La información recolectada sólo podrá ser utilizada para los fines señalados en la presente Ley;

c) La información será lícita, exacta y veraz, de forma tal que responda a la situación real del titular de la información en determinado momento. Si la información resulta ser ilícita, inexacta o errónea, en todo o en parte, deberán adoptarse las medidas correctivas, según sea el caso, por parte de las CEPIRS, sin perjuicio de los derechos que corresponden a los titulares de dicha información.

A efectos de determinar el momento se deberá, en cada reporte, señalar la fecha del informe; y,

d) La información será conservada durante el plazo legal establecido o, en su defecto, durante el tiempo necesario para los fines para los que fue recolectada.

Artículo 10.- Información excluida

Las CEPIRS no podrán contener en sus bancos de datos ni difundir en sus reportes de crédito la siguiente información:

a) Información sensible;

b) Información que viole el secreto bancario o la reserva tributaria;

c) Información inexacta o errónea;

d) Información referida al incumplimiento de obligaciones de naturaleza civil, comercial o tributaria, cuando (i) hayan transcurrido 5 (cinco) años desde que la obligación fue pagada o extinguida en forma total o (ii) haya prescrito el plazo legal para exigir su cumplimiento, lo que suceda primero;

e) Información referida a sanciones exigibles de naturaleza tributaria, administrativa u otras análogas, de contenido económico, cuando (i) hayan transcurrido 5 (cinco) años desde que se ejecutó la sanción impuesta al infractor o se extinguió por cualquier otro medio legal, o (ii) haya prescrito el plazo legal para exigir su ejecución, lo que suceda primero;

f) Información referida a la insolvencia o quiebra del titular de la información, cuando hayan transcurrido 5 (cinco) años desde que se levantó el estado de insolvencia o desde que se declaró la quiebra; o,

g) Cualquier otra información excluida por ley.

Artículo 11.- Difusión de información de riesgos

Las CEPIRS podrán difundir a terceras personas, de manera onerosa o a título gratuito, la información de riesgos que contengan en sus bancos de datos. Para tales efectos, las CEPIRS podrán implementar en la forma que estimen conveniente procedimientos automatizados para la transmisión, comunicación o acceso de datos a terceros, así como el registro obligatorio de éstos bajo responsabilidad, debiendo cautelar los derechos de los titulares de la información.

Las CEPIRS difunden la información de riesgo, luego de identificar con medios apropiados al solicitante de la información .

Artículo 12.- Deber de seguridad

Las CEPIRS deberán adoptar las medidas de índole técnica y administrativa destinadas a garantizar la seguridad de la información que manejen, a fin de evitar su alteración, pérdida, tratamiento o acceso no autorizado.

TÍTULO CUARTO

DE LA DEFENSA DE LOS TITULARES DE LA INFORMACIÓN EN GENERAL

SUBTÍTULO PRIMERO

DE LOS DERECHOS DE LOS TITULARES DE LA INFORMACIÓN

Artículo 13.- Derechos de los titulares

De manera enunciativa, mas no limitativa, los titulares de la información registrada en los bancos de datos administrados por las CEPIRS tienen los siguientes derechos:

a) El derecho de acceso a la información referida a uno mismo registrada en tales bancos;

b) El derecho de modificación y el derecho de cancelación de la información referida a uno mismo registrada en tales bancos que pudiese ser ilegal, inexacta, errónea o caduca; y,

c) El derecho de rectificación de la información referida a uno mismo que haya sido difundida por las CEPIRS y que resulte ser ilegal, inexacta, errónea o caduca.

Artículo 14.- Derecho de acceso

Los titulares podrán acceder, una vez al año o cuando la información contenida en los bancos de datos haya sido objeto de rectificación, a la información crediticia que les concierne que estuviese registrada en los bancos de datos administrados por las CEPIRS. Esta información será acompañada de una reseña explicativa de los derechos desarrollados en el presente Título, así como de los procedimientos para hacerlos valer. La información podrá ser obtenida por el titular de la información:

a) De forma gratuita, mediante la visualización en pantalla de los datos o;

b) Mediante el pago de una suma de dinero, que no excederá de los costos necesarios para la emisión del documento correspondiente, mediante un escrito, copia o fotocopia, en forma legible e inteligible, sin utilizar claves o códigos que requieran de dispositivos mecánicos para su adecuada comprensión.

La información a que se refiere este artículo incluirá, a solicitud del titular, la identidad de las fuentes de información registrada en los bancos de datos, con excepción de las fuentes de acceso público y la identidad de todas las personas que obtuvieron un reporte de crédito sobre el titular en los últimos doce meses, así como la fecha en que se emitieron tales reportes.

Artículo 15.- Derecho de modificación y derecho de cancelación

15.1 En caso de considerar que la información contenida en los bancos de datos es ilegal, inexacta, errónea o caduca, el titular de dicha información podrá solicitar que ésta sea revisada por cuenta y costo de las CEPIRS y, de ser el caso, que se proceda a su modificación o cancelación.

15.2 La solicitud para la revisión de la información deberá ser interpuesta por escrito, acompañando los medios probatorios que acrediten que el solicitante es el titular de la información. En dicha solicitud se precisará los datos concretos que se desea revisar, acompañando la documentación que justifique el pedido.

15.3 Las CEPIRS establecerán los procedimientos internos necesarios para brindar una eficiente, efectiva y oportuna atención a las solicitudes de revisión presentadas, así como los mecanismos de comunicación y coordinación adecuados con las fuentes de las que recolecta la información.

15.4 Dentro del plazo de 7 (siete) días naturales desde la presentación de la solicitud, las CEPIRS obligatoriamente informarán por escrito al titular de la información si su pedido es procedente o si ha sido denegado. Alternativamente, dentro del mismo plazo, las CEPIRS podrán prorrogar, hasta por 5 (cinco) días naturales adicionales, el plazo para emitir una decisión definitiva, debiendo para ello, hasta que finalice el plazo, difundir que dicha información es materia de revisión.

15.5 Vencidos los plazos mencionados en el párrafo presente, el titular de la información deberá recibir la comunicación por escrito que responda de manera definitiva su solicitud.

Artículo 16.- Derecho de rectificación

En caso que se verifique que la información contenida en los bancos de datos es ilegal, inexacta, errónea o caduca, la CEPIR, a su cuenta y costo, enviará comunicaciones rectificatorias, a quienes les hubiera proporcionado dicha información en los doce meses anteriores a la fecha en que se verifique el problema.

Artículo 17.- Tutela jurisdiccional

17.1 Los titulares de la información que no sean considerados consumidores para efectos del Decreto Legislativo N° 716, Ley de Protección al Consumidor, podrán solicitar judicialmente la tutela de los derechos enunciados en este Subtítulo en la vía del proceso sumarísimo.

17.2 Para poder interponer una demanda con el fin de que se modifique, cancele o rectifique una información de riesgos que se considere ilegal, inexacta, errónea o caduca, el titular de dicha información deberá previamente obtener un pronunciamiento, expreso o tácito, denegando una solicitud de revisión o de rectificación, tramitada conforme a lo dispuesto en los artículos 15º y 16º de la presente Ley.

SUBTÍTULO SEGUNDO

DE LA RESPONSABILIDAD CIVIL Y PENAL

Artículo 18.- Responsabilidad civil y penal

18.1 La responsabilidad civil de las CEPIRS por los daños ocasionados al titular por efecto del tratamiento o difusión de información será objetiva. Las CEPIRS podrán repetir contra las fuentes proveedoras de información cuando el daño sea ocasionado como consecuencia del tratamiento de información realizada por éstas.

18.2 Igualmente existe responsabilidad por parte de los usuarios o receptores de información de riesgos proporcionada por las CEPIRS, en caso de utilización indebida, fraudulenta o de modo que cause daños al titular de la información, la misma que se determinará conforme a las normas de responsabilidad civil y penal a que hubiese lugar. Sin perjuicio de lo anterior, las CEPIRS podrán repetir contra los usuarios o receptores de información en caso de haber asumido responsabilidad frente al titular de la información o terceros, en los supuestos antes indicados en que esté involucrada la responsabilidad de los usuarios o receptores de información.

TÍTULO QUINTO

DE LA DEFENSA DE LOS CONSUMIDORES EN ESPECIAL

Artículo 19.- Defensa de los consumidores

Las disposiciones contenidas en el presente Título son de aplicación a las disputas que surjan entre las CEPIRS y los titulares de la información, que son considerados consumidores por mandato de la presente Ley, para efectos de la aplicación de lo dispuesto por el Decreto Legislativo N° 716, Ley de Protección al Consumidor.

Artículo 20.- Infracciones

Se consideran infracciones administrativas a la presente Ley:

a) Negarse a facilitar el acceso de un consumidor a la información de riesgos de la que es titular;

b) Denegar una solicitud de revisión o una solicitud de rectificación de la información de riesgos de la que es titular un consumidor; o,

c) Negarse a modificar o a cancelar la información de un titular luego de que éste haya tenido un pronunciamiento favorable en un procedimiento seguido de conformidad con lo establecido en el artículo 15° de la presente Ley.

Las CEPIRS son objetivamente responsables por incurrir en las infracciones antes tipificadas, sin perjuicio de la responsabilidad que pudiera corresponder a las fuentes de las que hubieran recolectado información, de ser el caso, conforme a las disposiciones contenidas en el Decreto Legislativo Nº 716, Ley de Protección al Consumidor.

Artículo 21.- Competencia de la Comisión de Protección al Consumidor

21.1 La Comisión de Protección al Consumidor del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (INDECOPI) es el órgano administrativo competente para conocer de las infracciones tipificadas en el artículo precedente e imponer las sanciones administrativas y las medidas correctivas a las que hubiere lugar. Para tales efectos, la Comisión aplicará el procedimiento único contemplado en el Título V del Decreto Legislativo N° 807, Facultades, Normas y Organización del INDECOPI.

21.2 Para presentar una denuncia administrativa por infracción al artículo 20° inciso b), el consumidor titular de la información deberá previamente obtener un pronunciamiento expreso o tácito, denegando una solicitud de revisión o rectificación, tramitada conforme a lo dispuesto en los artículos 15° y 16° de la presente Ley.

Artículo 22.- Medidas correctivas

Sin perjuicio de las sanciones administrativas a que hubiera lugar, la Comisión de Protección al Consumidor impondrá a las CEPIRS que incurran en alguna infracción a la presente Ley, las siguientes medidas correctivas:

a) La modificación o cancelación de la información de riesgos registrada en sus bancos de datos; y,

b) La rectificación de la información comercial de riesgos difundida en el mercado, por cuenta y costo del infractor, en la forma que determine la Comisión.

Adicionalmente a las sanciones administrativas a que hubiera lugar respecto de las CEPIRS, la Comisión de Protección al Consumidor impondrá sanciones a las fuentes proveedoras de la información que incurran en alguna infracción a la presente Ley y en general a terceras personas que han proporcionado información de riesgos a las CEPIRS que resulte ilegal, inexacta, errónea o caduca.

La modificación, actualización, rectificación o cancelación de la información de riesgos antes indicada que se encuentre registrada en sus bases de datos se actualizará dentro del día siguiente de notificada la medida.

Artículo 23.- Ejecución de medidas correctivas a favor de los consumidores

23.1 Las resoluciones finales que ordenen medidas correctivas constituyen Títulos de Ejecución conforme a lo dispuesto en el artículo 713° inciso 3) del Código Procesal Civil, una vez que queden consentidas o causen estado en la vía administrativa.

23.2 En caso de resoluciones finales que ordenen medidas correctivas a favor de consumidores afectados por la infracción administrativa, la legitimidad para obrar en los procesos civiles de ejecución corresponde a tales consumidores.

En los casos restantes, la legitimidad corresponde al INDECOPI.

DISPOSICIÓN COMPLEMENTARIA Y FINAL

ÚNICA.- Entrada en vigencia

La presente Ley entrará en vigencia a los 30 (treinta) días de su publicación.

Comuníquese al señor Presidente de la República para su promulgación.

En Lima, a los once días del mes de junio de dos mil uno.

CARLOS FERRERO

Presidente a.i. del Congreso de la República

HENRY PEASE GARCÍA

Segundo Vicepresidente del Congreso de la República

AL SEÑOR PRESIDENTE CONSTITUCIONAL DE LA REPÚBLICA

POR TANTO:

Mando se publique y cumpla.

Dado en la Casa de Gobierno, en Lima, a los veintisiete días del mes de junio del año dos mil uno.

VALENTIN PANIAGUA CORAZAO

Presidente Constitucional de la República

JUAN INCHAUSTEGUI VARGAS

Ministro de Industria, Turismo, Integración y Negociaciones Comerciales Internacionales