Esta ley que consta de un título preliminar con disposiciones generales, siete títulos, 40 artículos y 11 disposiciones complementarias finales, dispone lo siguiente:
1.- El tratamiento de datos personales deberá realizarse con pleno respeto de los derechos fundamentales de sus titulares, garantizándose principalmente el derecho fundamental a la protección de los datos personales previsto en la Constitución Política del Perú, en un marco de los demás derechos fundamentales que en ella se reconocen. Refiere que sólo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto. En este último caso, precisa la ley, el consentimiento debe ser previo, informado, expreso e inequívoco, y en el caso de datos sensibles, el consentimiento para efectos de su tratamiento debe efectuarse por escrito.
2.- Limitaciones al ejercicio del derecho fundamental a la protección de datos personales solo pueden ser establecidas por ley, respetando su contenido esencial y estar justificadas en razón del respeto de otros derechos fundamentales o bienes constitucionalmente protegidos.
3.- Las comunicaciones, telecomunicaciones, sistemas informáticos o sus instrumentos, cuando sean de carácter privado o uso privado, solo podrán ser abiertos, incautados, interceptados o intervenidos por mandamiento motivado del juez o con autorización de su titular, con las garantías previstas en la ley. Se guardará secreto de los asuntos ajenos al hecho que motiva su examen. Los datos personales obtenidos con violación de este precepto carecerán de efecto legal.
4.- Que se debe guardar secreto de los asuntos ajenos al hecho que motiva su examen y que los datos personales obtenidos con violación de este precepto carecen de efecto legal.
5.- La mencionada ley también ha establecido limitaciones al consentimiento para el tratamiento de datos personales. En ese sentido, no se requerirá el consentimiento del titular de datos personales en los siguientes casos:
a) Cuando los datos personales se recopilen o transfieran para el ejercicio de las funciones de las entidades públicas en el ámbito de sus competencias.
b) Cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público.
c) Cuando se trate de datos personales relativos a la solvencia patrimonial y de crédito, conforme a ley.
d) Cuando medie norma para la promoción de la competencia en los mercados regulados emitida en ejercicio de la función normativa por los organismos reguladores a que se refiere la Ley N° 27332, Ley Marco de los Organismos Reguladores de la Inversión Privada en los Servicios Públicos, o la que haga sus veces, siempre que la información brindada no sea utilizada en perjuicio de la privacidad del usuario.
e) Cuando los datos personales sean necesarios para la ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento.
f) Cuando se trate de datos personales relativos a la salud y sea necesario, en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho tratamiento sea realizado en establecimientos de salud o por profesionales en ciencias de la salud, observando el secreto profesional; o cuando medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones deben ser calificadas como tales por el Ministerio de Salud; o para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados.
g) Cuando el tratamiento sea efectuado por organismos sin fines de lucro cuya finalidad sea política, religiosa o sindical y se refiera a los datos personales recopilados de sus respectivos miembros, los que deben guardar relación con el propósito a que se circunscriben sus actividades, no pudiendo ser transferidos sin consentimiento de aquellos.
h) Cuando se hubiera aplicado un procedimiento de anonimización o disociación.
i) Cuando el tratamiento de los datos personales sea necesario para salvaguardar intereses legítimos del titular de datos personales por parte del titular de datos personales o por el encargado de datos personales.
j) Otros establecidos por ley, o por el reglamento otorgado de conformidad con la presente Ley.
Por otra parte, dicha norma ha fijado derechos del titular de datos personales. Así, este tendrá derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del encargado del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello.
Asimismo, el titular de datos personales tiene derecho a obtener la información que sobre sí mismo sea objeto de tratamiento en bancos de datos de administración pública o privada, la forma en que sus datos fueron recopilados, las razones que motivaron su recopilación y a solicitud de quién se realizó la recopilación, así como las transferencias realizadas o que se prevén hacer de ellos.
Finalmente, debe precisarse que la ley bajo comentario es de aplicación a los datos personales contenidos o destinados a ser contenidos en bancos de datos personales de administración pública y de administración privada, cuyo tratamiento se realice en el territorio nacional. No obstante, las disposiciones de esta ley no son de aplicación a los siguientes datos personales:
a) A los contenidos o destinados a ser contenidos en bancos de datos personales creados por personas naturales para fines exclusivamente relacionados con su vida privada o familiar.
b) A los contenidos o destinados a ser contenidos en bancos de datos de administración pública, solo en tanto su tratamiento resulte necesario para el estricto cumplimiento de las competencias asignadas por ley a las respectivas entidades públicas, para la defensa nacional, seguridad pública, y para el desarrollo de actividades en materia penal para la investigación y represión del delito.
