Mediante dos pronunciamientos, la Dirección General de Protección de Datos Personales sancionó a Interbank S.A.A.—una de las entidades financieras más importantes del país—y a la empresa de venta de seguros de salud oncológicos Oncosalud S.A.C. por el tratamiento de datos personales contrario a la normativa peruana de protección.

Si bien cada caso fue objeto de análisis en procedimientos separados, ambos presentan elementos resaltantes que exhiben escenarios de gestión de datos personales. Estos escenarios exponen negligencias a las que cualquier empresa puede encontrarse expuesta, recordándonos nuevamente la importancia de la minuciosidad con la que se deben obtener datos personales, así como la observancia de los derechos básicos de los titulares de datos, cualquiera sea la plataforma usada para su recopilación.

En el primer caso, el órgano instructivo de la Dirección General de Datos Personales (en adelante, «la Dirección») dispuso iniciar una investigación contra Interbank por el uso no autorizado de datos personales para la finalidad de ventas de seguros oncológicos mediante la empresa Oncosalud, consistente en la oferta de servicios mediante la televenta por medio de servicios de call center.

Mediante una visita de fiscalización, la autoridad instructiva verificó que se había recopilado datos personales que posteriormente fueron transferidos a una empresa dedicada al servicio de televenta por cuenta de terceros, en el caso, a favor de la empresa Oncosalud. Los datos personales fueron obtenidos a través de una herramienta de transferencia de información; por tal razón, la autoridad solicitó a Interbank indicar si contaba o no con el consentimiento de los titulares de datos personales de una muestra consistente en 300 personas.

Por otra parte, mediante el segundo caso, el órgano instructivo de la Dirección se dirigió directamente a la empresa Oncosalud S.A.C., en razón a un reporte de una persona que indicó haber recibido llamadas ofreciendo sus productos sin haber brindado previamente sus datos personales.

Frente a ello, Oncosalud informó que había suscrito un acuerdo con una empresa asesora de ventas que manejaba su propio banco de datos personales, siendo que esta tercerizaba las labores de televenta, por lo que no se le podría señalar como titular de banco de datos personales, ni exigirle las obligaciones de observancia de los derechos de los titulares de datos.

Como premisa de ambos casos, la Ley General de Protección de Datos Personales de Perú precisa que los bancos de datos personales son todo conjunto organizado de datos personales, que son recopilados por titulares de bancos de datos personales a través del procedimiento de tratamientos de datos consistentes en todo mecanismo de recopilación.

Asimismo, señala que entre los principios que rigen la legislación de tratamiento de datos personales peruana, se destaca para ambos casos la necesidad de observar el consentimiento y la fijación clara de la finalidad para la que se recopilan los datos.

Ahora bien, los hechos en ambos casos reflejan que se ha creado un ecosistema de negocio presente en compañías de gran escala, por el cual una empresa no solamente recopila datos personales en ocasión de sus actividades económicas diarias, sino que lo hace para compartirlas entre otras empresas asociadas.

Del mismo modo, en muchas ocasiones se subcontratan empresas para el desempeño de funciones específicas, como puede ser el contacto y ofrecimiento de productos, como es el caso de las televentas por llamadas, para cuyo ejercicio utilizan invariablemente datos personales de potenciales clientes.

No obstante, situaciones de negligencia pueden generar una vulneración a los derechos básicos de titulares de datos personales tales como el del consentimiento informado.

Como bien se presenta en el primer caso relatado, de la muestra obtenida por el órgano instructivo de la Dirección, se verificó únicamente la obtención de consentimiento de un grupo de 136 personas, mientras que del restante ni siquiera se pudo corroborar su fuente.

Sin embargo, lo destacable de dicho caso sucede al descubrirse que los datos personales obtenidos de aquellas 136 personas tampoco habían cumplido con el requisito de consentimiento y finalidad al no habérseles informado con claridad que se utilizarían para fines diferentes a los de servicios financieros y que serían transferidos a una empresa de televentas.

Ante esto, el pronunciamiento de la Dirección destaca que la remisión de datos personales para finalidades diferentes a las de productos financieros requerían del consentimiento válido obligatorio, así como también para su posterior transferencia a la mencionada empresa de televentas.

Por otro lado, el segundo caso guarda cierta semejanza en lo que respecta a la estrategia del tratamiento de los datos personales, pero resalta la situación particular del tratamiento de datos a través de la subcontratación.

Como se indicó al relatar este segundo caso, la empresa Oncosalud declinó responsabilidad, alegando que el tratamiento de los datos personales recaía en otra empresa con quien había suscrito un acuerdo. Sin embargo, el pronunciamiento de la Dirección identificó la situación acaecida como un supuesto de tratamiento a través de subcontratación, lo que, sumado al hecho que dicha actividad se dirigía a satisfacer un interés suyo (la prospección de posibles ventas), generaba que sea responsable del tratamiento que se le den.

Al desprenderse de ambos casos, la óptica de la Dirección está dirigida a no solo fiscalizar la existencia de bancos de datos personales inscritos sino a evaluar los distintos escenarios de usos de datos personales, los que pueden ser variados y que pueden involucrar la subcontratación de empresas y posteriores transferencias de datos, procesos durante los cuales pueden suceder filtraciones u omisiones a los derechos básicos de los titulares como el mismo consentimiento informado.