Ley nº 27.489 que regula las centrales privadas de información de riesgos y de protección al titular de la información. (11.06.2001)
EL PRESIDENTE DE LA REPUBLICA
POR CUANTO:
El Congreso de la República ha dado la Ley siguiente:
EL CONGRESO DE LA REPUBLICA;
Ha dado la Ley siguiente:
LEY QUE REGULA LAS CENTRALES PRIVADAS DE INFORMACION DE RIESGOS Y DE PROTECCION AL TITULAR DE LA INFORMACIÓN
TITULO PRIMERO. DISPOSICIONES GENERALES
Artículo 1º.- Objeto de la ley
La presente Ley tiene por objeto regular el suministro de información de riesgos en el mercado, garantizando el respeto a los derechos de los titulares de la misma, reconocidos por la Constitución Política del Perú y la legislación vigente, promoviendo la veracidad, confidencialidad y uso apropiado de dicha información.
Artículo 2º.- Definiciones
Para los efectos de esta Ley, se entiende por:
a) Centrales privadas de información de riesgos (CEPIRS).- Las empresas que en locales abiertos al público y en forma habitual recolecten y traten información de riesgos relacionada con personas naturales o jurídicas, con el propósito de difundir por cualquier medio mecánico o electrónico, de manera gratuita u onerosa, reportes de crédito acerca de éstas. No se consideran CEPIRS, para efectos de la presente Ley, a las entidades de la administración pública que tengan a su cargo registros o bancos de datos que almacenen información con el propósito de darle publicidad con carácter general, sin importar la forma como se haga pública dicha información.
b) Información de riesgos.- Información relacionada a obligaciones o antecedentes financieros, comerciales, tributarios, laborales, de seguros de una persona natural o jurídica que permita evaluar su solvencia económica vinculada principalmente a su capacidad y trayectoria de endeudamiento y pago.
c) Información sensible.- Información referida a las características físicas, morales o emocionales de una persona natural, o a hechos o circunstancias de su vida afectiva o familiar, tales como los hábitos personales, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual u otras análogas que afecten su intimidad y todo lo referido en la Constitución Política del Perú en su Artículo 2º inciso 6).
d) Titular de la información.- La persona natural o jurídica a la que se refiere la información de riesgos.
e) Reporte de crédito.- Toda comunicación escrita o contenida en algún medio proporcionada por una CEPIR con información de riesgos referida a una persona natural o jurídica, identificada.
f) Banco de datos.- Conjunto de información de riesgos administrado por las CEPIRS, cualquiera sea la forma o modalidad de su creación, organización, almacenamiento, sistematización y acceso, que permita relacionar la información entre sí, así como procesarla con el propósito de transmitirla a terceros.
g) Recolección de información.- Toda operación o conjunto de operaciones o procedimiento técnico que permitan a las CEPIRS obtener información.
h) Fuentes de acceso público.- Información que se encuentra a disposición del público en general o de acceso no restringido, no impedida por cualquier norma limitativa, que está recogida en medios tales como censos, anuarios, bases de datos o registros públicos, repertorios de jurisprudencia, archivos de prensa, guías telefónicas u otros medios análogos; así como las listas de personas pertenecientes a grupos profesionales que contengan únicamente los nombres, títulos, profesión, actividad, grados académicos, dirección e indicación de su pertenencia al grupo.
i) Tratamiento de información.- Toda operación o conjunto de operaciones o procedimiento técnico, de carácter automatizado o no, que permitan a las CEPIRS acopiar, almacenar, actualizar, grabar, organizar, sistematizar, elaborar, seleccionar, confrontar, interconectar, disociar, cancelar y, en general, utilizar información de riesgos para ser difundida en un reporte de crédito.
j) Difusión de información.- Toda operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan a las CEPIRS comunicar, ceder, transmitir, dar acceso o poner en conocimiento de terceros la información de riesgos contenida en sus bancos de datos. La información de fuente Registros Públicos deberá indicar obligatoriamente la fecha y hora de la obtención de la información y si ésta es sólo informativa.
Artículo 3º.- ámbito de aplicación
Están sujetas a la presente Ley todas las CEPIRS que realicen actividades o presten servicios en el territorio nacional.
TITULO SEGUNDO . DE LAS CENTRALES PRIVADAS DE INFORMACIÓN DE RIESGOS
Artículo 4º.- Organización
Las CEPIRS pueden constituirse bajo cualquiera de las formas permitidas por la Ley General de Sociedades.
Artículo 5º.- Características
Las CEPIRS deberán contar, como mínimo, con las siguientes características de organización y funcionamiento:
a) Infraestructura informática adecuada para el debido tratamiento de la información recolectada;
b) Procedimientos internos para una eficiente, efectiva y oportuna atención de consultas, quejas y reclamos, cuando sea el caso; y,
c) Controles internos que proporcionen seguridad en el desarrollo de sus actividades, así como procedimientos de validez de la información procesada.
Artículo 6º.- Impedimentos
Están impedidos de ser directores, gerentes o funcionarios que tengan capacidad de decisión dentro de las CEPIRS:
a) Los impedidos para ser directores y gerentes de conformidad con la Ley General de Sociedades;
b) Los condenados por delitos dolosos;
c) Los declarados en proceso de insolvencia, mientras dure éste;
d) Los que registren protestos de documentos en los últimos cinco años;
e) Los que, directa o indirectamente, tengan créditos vencidos por más de 120 (ciento veinte) días, o que hayan ingresado a cobranza judicial; y,
f) Los que sean titulares, socios o accionistas de empresas vinculadas, a las que se refiere el literal b) del Artículo 54º de la Ley del Impuesto General a las Ventas e Impuesto Selectivo al Consumo, que tengan créditos vencidos por más de 120 (ciento veinte) días, o que hayan ingresado a cobranza judicial.
TITULO TERCERO – DE LA RECOLECCIÓN, TRATAMIENTO, DIFUSIÓN Y SEGURIDAD DE LA INFORMACIÓN DE RIESGOS
Artículo 7º.- Fuentes de información
7.1 Las CEPIRS podrán recolectar información de riesgos para sus bancos de datos tanto de fuentes públicas como de fuentes privadas, sin necesidad de contar con la autorización del titular de la información, entendiéndose que la Base de Datos se conformará con toda la información de riesgo.
7.2 Las CEPIRS podrán adquirir información de las fuentes mencionadas en el párrafo precedente mediante la celebración de contratos privados directamente con la persona natural o jurídica que tenga o haya tenido relaciones civiles, comerciales, administrativas, bancarias, laborales o de índole análoga con el titular de la información, siempre y cuando ésta se refiera a los actos, situaciones, hechos, derechos y obligaciones materia de tales relaciones o derivadas de éstas y que no constituyan violación del secreto profesional.
7.3 Igualmente podrán celebrar contratos privados directamente con las entidades de la administración pública que recolecten o utilicen información de riesgos en el ejercicio de sus funciones y competencias legalmente establecidas, salvo que tal información haya sido declarada o constituya un secreto comercial o industrial.
Artículo 8º.- Información suministrada por los titulares
Las CEPIRS podrán recolectar información de riesgos directamente de los titulares, debiendo previamente informarles a éstos de modo expreso, preciso e inequívoco lo siguiente:
a) La existencia del banco de datos, la finalidad de la recolección de la información y los potenciales destinatarios de ésta;
b) La identidad y dirección de la CEPIR que recolecta la información;
c) El carácter facultativo de sus respuestas a las preguntas que le sean planteadas;
d) Las posibles consecuencias de la obtención de la información; y,
e) El alcance de los derechos desarrollados en el Título Cuarto de la presente Ley, así como de los procedimientos para hacerlos valer.
Cuando en la recolección de información se utilicen cuestionarios o cualquier otro medio impreso, se deberá entregar al titular de la información una copia de éstos en la que deberá figurar en forma claramente legible las indicaciones señaladas en los incisos precedentes. La carga probatoria de haber brindado la información antes detallada corresponde a las CEPIRS.
Artículo 9º.- Lineamientos generales de recolección y tratamiento de información
Para la recolección y tratamiento de la información de riesgos a su cargo las CEPIRS deberán observar los siguientes lineamientos generales:
a) La recolección de información no podrá efectuarse por medios fraudulentos o ilícitos;
b) La información recolectada sólo podrá ser utilizada para los fines señalados en la presente Ley;
c) La información será lícita, exacta y veraz, de forma tal que responda a la situación real del titular de la información en determinado momento. Si la información resulta ser ilícita, inexacta o errónea, en todo o en parte, deberán adoptarse las medidas correctivas, según sea el caso, por parte de las CEPIRS, sin perjuicio de los derechos que corresponden a los titulares de dicha información.
A efectos de determinar el momento se deberá, en cada reporte, señalar la fecha del informe; y,
d) La información será conservada durante el plazo legal establecido o, en su defecto, durante el tiempo necesario para los fines para los que fue recolectada.
Artículo 10º.- Información excluida
Las CEPIRS no podrán contener en sus bancos de datos ni difundir en sus reportes de crédito la siguiente información:
a) Información sensible;
b) Información que viole el secreto bancario o la reserva tributaria;
c) Información inexacta o errónea;
d) Información referida al incumplimiento de obligaciones de naturaleza civil, comercial o tributaria, cuando (i) hayan transcurrido 5 (cinco) años desde que la obligación fue pagada o extinguida en forma total o (ii) haya prescrito el plazo legal para exigir su cumplimiento, lo que suceda primero;
e) Información referida a sanciones exigibles de naturaleza tributaria, administrativa u otras análogas, de contenido económico, cuando (i) hayan transcurrido 5 (cinco) años desde que se ejecutó la sanción impuesta al infractor o se extinguió por cualquier otro medio legal, o (ii) haya prescrito el plazo legal para exigir su ejecución, lo que suceda primero;
f) Información referida a la insolvencia o quiebra del titular de la información, cuando hayan transcurrido 5 (cinco) años desde que se levantó el estado de insolvencia o desde que se declaró la quiebra; o,
g) Cualquier otra información excluida por ley.
Artículo 11º.- Difusión de información de riesgos
Las CEPIRS podrán difundir a terceras personas, de manera onerosa o a título gratuito, la información de riesgos que contengan en sus bancos de datos. Para tales efectos, las CEPIRS podrán implementar en la forma que estimen conveniente procedimientos automatizados para la transmisión, comunicación o acceso de datos a terceros, así como el registro obligatorio de éstos bajo responsabilidad, debiendo cautelar los derechos de los titulares de la información.
Las CEPIRS difunden la información de riesgo, luego de identificar con medios apropiados al solicitante de la información.
Artículo 12º.- Deber de seguridad
Las CEPIRS deberán adoptar las medidas de índole técnica y administrativa destinadas a garantizar la seguridad de la información que manejen, a fin de evitar su alteración, pérdida, tratamiento o acceso no autorizado.
TITULO CUARTO . DE LA DEFENSA DE LOS TITULARES DE LA INFORMACIÓN EN GENERAL
SUBTITULO PRIMERO . DE LOS DERECHOS DE LOS TITULARES DE LA INFORMACIÓN
Artículo 13º.- Derechos de los titulares
De manera enunciativa, mas no limitativa, los titulares de la información registrada en los bancos de datos administrados por las CEPIRS tienen los siguientes derechos:
a) El derecho de acceso a la información referida a uno mismo registrada en tales bancos;
b) El derecho de modificación y el derecho de cancelación de la información referida a uno mismo registrada en tales bancos que pudiese ser ilegal, inexacta, errónea o caduca; y,
c) El derecho de rectificación de la información referida a uno mismo que haya sido difundida por las CEPIRS y que resulte ser ilegal, inexacta, errónea o caduca.
Artículo 14º.- Derecho de acceso
Los titulares podrán acceder, una vez al año o cuando la información contenida en los bancos de datos haya sido objeto de rectificación, a la información crediticia que les concierne que estuviese registrada en los bancos de datos administrados por las CEPIRS. Esta información será acompañada de una reseña explicativa de los derechos desarrollados en el presente Título, así como de los procedimientos para hacerlos valer. La información podrá ser obtenida por el titular de la información:
a) De forma gratuita, mediante la visualización en pantalla de los datos o;
b) Mediante el pago de una suma de dinero, que no excederá de los costos necesarios para la emisión del documento correspondiente, mediante un escrito, copia o fotocopia, en forma legible e inteligible, sin utilizar claves o códigos que requieran de dispositivos mecánicos para su adecuada comprensión.
La información a que se refiere este artículo incluirá, a solicitud del titular, la identidad de las fuentes de información registrada en los bancos de datos, con excepción de las fuentes de acceso público y la identidad de todas las personas que obtuvieron un reporte de crédito sobre el titular en los últimos doce meses, así como la fecha en que se emitieron tales reportes.
Artículo 15º.- Derecho de modificación y derecho de cancelación
15.1 En caso de considerar que la información contenida en los bancos de datos es ilegal, inexacta, errónea o caduca, el titular de dicha información podrá solicitar que ésta sea revisada por cuenta y costo de las CEPIRS y, de ser el caso, que se proceda a su modificación o cancelación.
15.2 La solicitud para la revisión de la información deberá ser interpuesta por escrito, acompañando los medios probatorios que acrediten que el solicitante es el titular de la información. En dicha solicitud se precisará los datos concretos que se desea revisar, acompañando la documentación que justifique el pedido.
15.3 Las CEPIRS establecerán los procedimientos internos necesarios para brindar una eficiente, efectiva y oportuna atención a las solicitudes de revisión presentadas, así como los mecanismos de comunicación y coordinación adecuados con las fuentes de las que recolecta la información.
15.4 Dentro del plazo de 7 (siete) días naturales desde la presentación de la solicitud, las CEPIRS obligatoriamente informarán por escrito al titular de la información si su pedido es procedente o si ha sido denegado. Alternativamente, dentro del mismo plazo, las CEPIRS podrán prorrogar, hasta por 5 (cinco) días naturales adicionales, el plazo para emitir una decisión definitiva, debiendo para ello, hasta que finalice el plazo, difundir que dicha información es materia de revisión.
15.5 Vencidos los plazos mencionados en el párrafo presente, el titular de la información deberá recibir la comunicación por escrito que responda de manera definitiva su solicitud.
Artículo 16º.- Derecho de rectificación
En caso que se verifique que la información contenida en los bancos de datos es ilegal, inexacta, errónea o caduca, la CEPIR, a su cuenta y costo, enviará comunicaciones rectificatorias, a quienes les hubiera proporcionado dicha información en los doce meses anteriores a la fecha en que se verifique el problema.
Artículo 17º.- Tutela jurisdiccional
17.1 Los titulares de la información que no sean considerados consumidores para efectos del Decreto Legislativo nº 716, Ley de Protección al Consumidor, podrán solicitar judicialmente la tutela de los derechos enunciados en este Subtítulo en la vía del proceso sumarísimo.
17.2 Para poder interponer una demanda con el fin de que se modifique, cancele o rectifique una información de riesgos que se considere ilegal, inexacta, errónea o caduca, el titular de dicha información deberá previamente obtener un pronunciamiento, expreso o tácito, denegando una solicitud de revisión o de rectificación, tramitada conforme a lo dispuesto en los Artículos 15§ y 16§ de la presente Ley.
SUBTITULO SEGUNDO . DE LA RESPONSABILIDAD CIVIL Y PENAL
Artículo 18º.- Responsabilidad civil y penal
18.1 La responsabilidad civil de las CEPIRS por los daños ocasionados al titular por efecto del tratamiento o difusión de información será objetiva. Las CEPIRS podrán repetir contra las fuentes proveedoras de información cuando el daño sea ocasionado como consecuencia del tratamiento de información realizada por éstas.
18.2 Igualmente existe responsabilidad por parte de los usuarios o receptores de información de riesgos proporcionada por las CEPIRS, en caso de utilización indebida, fraudulenta o de modo que cause daños al titular de la información, la misma que se determinará conforme a las normas de responsabilidad civil y penal a que hubiese lugar. Sin perjuicio de lo anterior, las CEPIRS podrán repetir contra los usuarios o receptores de información en caso de haber asumido responsabilidad frente al titular de la información o terceros, en los supuestos antes indicados en que esté involucrada la responsabilidad de los usuarios o receptores de información.
TITULO QUINTO . DE LA DEFENSA DE LOS CONSUMIDORES EN ESPECIAL
Artículo 19º.- Defensa de los consumidores
Las disposiciones contenidas en el presente Título son de aplicación a las disputas que surjan entre las CEPIRS y los titulares de la información, que son considerados consumidores por mandato de la presente Ley, para efectos de la aplicación de lo dispuesto por el Decreto Legislativo nº 716, Ley de Protección al Consumidor.
Artículo 20º.- Infracciones
Se consideran infracciones administrativas a la presente Ley:
a) Negarse a facilitar el acceso de un consumidor a la información de riesgos de la que es titular;
b) Denegar una solicitud de revisión o una solicitud de rectificación de la información de riesgos de la que es titular un consumidor; o,
c) Negarse a modificar o a cancelar la información de un titular luego de que éste haya tenido un pronunciamiento favorable en un procedimiento seguido de conformidad con lo establecido en el Artículo 15§ de la presente Ley.
Las CEPIRS son objetivamente responsables por incurrir en las infracciones antes tipificadas, sin perjuicio de la responsabilidad que pudiera corresponder a las fuentes de las que hubieran recolectado información, de ser el caso, conforme a las disposiciones contenidas en el Decreto Legislativo nº 716, Ley de Protección al Consumidor.
Artículo 21º.- Competencia de la Comisión de Protección al Consumidor
21.1 La Comisión de Protección al Consumidor del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (INDECOPI) es el órgano administrativo competente para conocer de las infracciones tipificadas en el artículo precedente e imponer las sanciones administrativas y las medidas correctivas a las que hubiere lugar. Para tales efectos, la Comisión aplicará el procedimiento único contemplado en el Título V del Decreto Legislativo nº 807, Facultades, Normas y Organización del INDECOPI.
21.2 Para presentar una denuncia administrativa por infracción al Artículo 20§ inciso b), el consumidor titular de la información deberá previamente obtener un pronunciamiento expreso o tácito, denegando una solicitud de revisión o rectificación, tramitada conforme a lo dispuesto en los Artículos 15º y 16º de la presente Ley.
Artículo 22º.- Medidas correctivas
Sin perjuicio de las sanciones administrativas a que hubiera lugar, la Comisión de Protección al Consumidor impondrá a las CEPIRS que incurran en alguna infracción a la presente Ley, las siguientes medidas correctivas:
a) La modificación o cancelación de la información de riesgos registrada en sus bancos de datos; y,
b) La rectificación de la información comercial de riesgos difundida en el mercado, por cuenta y costo del infractor, en la forma que determine la Comisión.
Adicionalmente a las sanciones administrativas a que hubiera lugar respecto de las CEPIRS, la Comisión de Protección al Consumidor impondrá sanciones a las fuentes proveedoras de la información que incurran en alguna infracción a la presente Ley y en general a terceras personas que han proporcionado información de riesgos a las CEPIRS que resulte ilegal, inexacta, errónea o caduca.
La modificación, actualización, rectificación o cancelación de la información de riesgos antes indicada que se encuentre registrada en sus bases de datos se actualizará dentro del día siguiente de notificada la medida.
Artículo 23º.- Ejecución de medidas correctivas a favor de los consumidores
23.1 Las resoluciones finales que ordenen medidas correctivas constituyen Títulos de Ejecución conforme a lo dispuesto en el Artículo 713º inciso 3) del Código Procesal Civil, una vez que queden consentidas o causen estado en la vía administrativa.
23.2 En caso de resoluciones finales que ordenen medidas correctivas a favor de consumidores afectados por la infracción administrativa, la legitimidad para obrar en los procesos civiles de ejecución corresponde a tales consumidores.
En los casos restantes, la legitimidad corresponde al INDECOPI.
DISPOSICION COMPLEMENTARIA Y FINAL ÚNICA.- Entrada en vigencia
La presente Ley entrará en vigencia a los 30 (treinta) días de su publicación.
Comuníquese al señor Presidente de la República para su promulgación.
En Lima, a los once días del mes de junio de dos mil uno.
CARLOS FERRERO
Presidente a.i. del Congreso de la República
HENRY PEASE GARCIA
Segundo Vicepresidente del Congreso de la República
AL SEÑOR PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA
POR TANTO:
Mando se publique y cumpla.
Dado en la Casa de Gobierno, en Lima, a los veintisiete días del mes de junio del año dos mil uno.
VALENTIN PANIAGUA CORAZAO
Presidente Constitucional de la República
JUAN INCHAUSTEGUI VARGAS
Ministro de Industria, Turismo, Integración y Negociaciones Comerciales Internacionales