Derecho
Así lo estableció en la Opinión Consultiva N.° 001-2026-JUS/DGTAIPD, la primera del presente año, mediante la cual absuelve diversas interrogantes sobre los sujetos intervinientes en el tratamiento de datos personales y la configuración de transferencia de datos personales en el contexto de una concesión.
Lineamientos
Al comentar los alcances del documento, el estudio de abogados Olaechea precisa entre sus principales conclusiones que una empresa privada que brinda servicios públicos por concesión es titular del banco de los usuarios o clientes del servicio público que presta, pues decide directamente sobre el tratamiento de los datos personales que recopila.
Ahora bien, ¿en caso de que la empresa privada contrate proveedores (encargados del tratamiento), estos últimos pueden transferir los datos personales para finalidades ajenas a la ejecución del servicio público?, se pregunta.
La respuesta es no. “El encargado del tratamiento y terceros subcontratados no pueden realizar transferencias y/o cualquier otro tipo de tratamiento de los datos para finalidades adicionales o distintas a aquellas que hubieran podido ser autorizadas por el propio titular del banco de datos personales”, remarca.
Estos permisos, subraya, se deberán establecer de manera expresa y clara, sea en el contrato que regula el encargo o en el contrato de prestación de servicios.
El documento atiende otra interrogante vinculada con el acceso permanente que puede otorgar la empresa privada a un banco de datos virtual digital; por ejemplo, una plataforma, mediante credenciales.
El estudio de abogados señala que sí, siempre y cuando el acceso a bancos digitalizados implemente las medidas de seguridad establecidas en el artículo 46 del Reglamento de la Ley de Protección de Datos Personales-LPDP.
Entre estas figuran, por ejemplo, Procedimientos de identificación y autenticación; gestión de privilegios, y generación y mantenimiento de registros de interacción lógica para fines de trazabilidad, detalla el informe legal.