Elaboración de perfiles y el scoring crediticio: caracterización jurídica y aplicación del régimen legal peruano de protección de datos personales(*)(**)

Profiling and credit scoring: legal characterization and application of the Peruvian legal regime for personal data protection

Diego Zegarra Valdivia(***)

Pontificia Universidad Católica del Perú (Lima, Perú)

Giovanna Gil Aguilar(****)

Pontificia Universidad Católica del Perú (Lima, Perú)

Resumen: El creciente uso de mecanismos de análisis automatizado de datos personales, particularmente la elaboración de perfiles (profiling) y el scoring crediticio, plantea importantes desafíos desde la perspectiva de la protección de datos personales. En el ordenamiento jurídico peruano, la reciente incorporación expresa de las decisiones automatizadas y de la elaboración de perfiles en el Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo 016-2024-JUS, exige una delimitación conceptual de estas técnicas, así como un análisis de su compatibilidad con los principios y derechos reconocidos por la normativa de protección de datos personales vigente.

En ese sentido, el presente trabajo tiene como objetivo caracterizar la elaboración de perfiles y el scoring crediticio, determinar su relación conceptual y examinar las condiciones que se deben garantizar para la licitud de su implementación en el sector financiero peruano. Para ello, se adopta un enfoque dogmático, basado en el análisis del derecho comparado, la doctrina especializada y las opiniones consultivas de la Autoridad Nacional de Protección de Datos Personales.

El texto pretende visibilizar que el scoring crediticio constituye una manifestación específica de la elaboración de perfiles que, cuando se integra a procesos de toma de decisiones con efectos jurídicos activa las garantías previstas en el artículo 87 del Reglamento de la LPDP. En consecuencia, su implementación exige una evaluación rigurosa de la base legal aplicable, la identificación adecuada de la fuente de los datos personales y la correcta delimitación de los roles del Responsable y del Encargado del tratamiento.

Palabras clave: Elaboración de Perfiles - Scoring Crediticio - Decisiones Automatizadas - Protección de Datos Personales - Tratamiento Objetivo - Reglamento de la LPDP - Sector Financiero - Perú

Abstract: The increasing use of automated mechanisms for the analysis of personal data, particularly profiling and credit scoring, poses significant challenges from a personal data

protection perspective. Within the Peruvian legal system, the recent explicit incorporation of automated decision-making and profiling into the Regulation of the Personal Data Protection Law, approved by Supreme Decree 016-2024-JUS, requires a clear conceptual delimitation of these techniques, as well as an assessment of their compatibility with the principles and rights recognized under the current data protection framework.

In this context, this article aims to characterize profiling and credit scoring, to determine their conceptual relationship, and to examine the conditions that must be ensured to guarantee the lawfulness of their implementation in the Peruvian financial sector. To this end, a doctrinal approach is adopted, based on the analysis of comparative law, specialized scholarship, and advisory opinions issued by the National Data Protection Authority.

The paper argues that credit scoring constitutes a specific manifestation of profiling which, when integrated into decision-making processes producing legal effects, triggers the safeguards established under Article 87 of the Regulation of the Personal Data Protection Law. Consequently, its implementation requires a rigorous assessment of the applicable legal basis, the proper identification of the source of personal data, and a clear allocation of responsibilities between the data controller and the data processor.

Keywords: Profiling - Credit Scoring - Automated Decision-Making - Personal Data Protection - Objective Processing - Peruvian Data Protection Law - Financial Sector - Peru

1. Introducción

En la actualidad, cada vez son más las entidades tanto públicas como privadas que recurren a mecanismos de análisis automatizado de datos personales para evaluar comportamientos, predecir riesgos o clasificar a las personas en función de determinadas características. Estas prácticas, si bien permiten optimizar procesos y reducir costos, generan importantes desafíos desde la perspectiva de la protección de los datos personales y de los derechos de los titulares, en particular, cuando sus resultados generan un impacto en el acceso a bienes, servicios u oportunidades económicas.

En este contexto, la elaboración de perfiles (profiling) y, en particular, el scoring crediticio, constituyen algunos de los mecanismos de análisis automatizado de datos personales más utilizados, especialmente, en el sector financiero. A través de ellos, se realizan predicciones o conclusiones que pueden incidir de manera directa en el acceso de una persona a un producto, servicio u oportunidad, como ocurre, por ejemplo, con la concesión de créditos, la fijación de condiciones contractuales o la evaluación del riesgo financiero. Ello supone que decisiones con efectos significativos en la esfera jurídica y patrimonial de una persona tengan sustento en procesos automatizados, cuya lógica y alcance no resultan del todo transparentes para los titulares de los datos personales.

Ante esta situación, diversos regímenes de protección de datos personales han incorporado garantías específicas orientadas a proteger a los titulares frente a los riesgos derivados de las decisiones automatizadas y la elaboración de perfiles. En el ordenamiento jurídico peruano, la reciente incorporación expresa de las decisiones automatizadas y de la elaboración de perfiles en el Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo 016-2024-JUS, ha reforzado la necesidad de delimitar conceptualmente estas prácticas y de examinar las condiciones que garantizan su licitud.

En este contexto, el presente trabajo se propone responder las siguientes interrogantes: (i) ¿Cuál es la relación conceptual entre la elaboración de perfiles y el scoring crediticio?; (ii) ¿En qué supuestos el scoring crediticio activa las garantías previstas para las decisiones automatizadas?; y (iii) ¿Qué condiciones deben observarse para asegurar la licitud y proporcionalidad del tratamiento de datos personales en estos contextos?

A partir de estas interrogantes, el objetivo del presente trabajo es analizar el tratamiento de datos personales realizado mediante la elaboración de perfiles (profiling) y, en particular, el scoring crediticio, a fin identificar los aspectos característicos de ambas prácticas, incluyendo sus definiciones, fuentes de datos, actores involucrados y su interrelación, así como los roles y obligaciones del Responsable y del Encargado del tratamiento de datos personales, en el marco del vigente régimen legal peruano de protección de datos personales.

En virtud del este análisis, la hipótesis que se sostiene es que la elaboración de perfiles y las decisiones automatizadas constituyen categorías jurídicas diferenciadas, aunque estrechamente vinculadas, y que el scoring crediticio debe ser entendido como una manifestación específica de la elaboración de perfiles. En tal sentido, cuando el scoring se integra a procesos de toma de decisiones que producen efectos jurídicos o afectan de manera significativa al titular de los datos personales, se activa el derecho al tratamiento objetivo reconocido en el artículo 87 del Reglamento de la Ley 29733, Ley de Protección de Datos Personales [en adelante, LPDP], junto con un régimen reforzado de garantías. En consecuencia, su implementación exige no solo la identificación de una base legal válida, sino también el cumplimiento estricto de los principios de finalidad, proporcionalidad, calidad y transparencia, así como una correcta delimitación de los roles del Responsable y del Encargado del tratamiento.

2. El tratamiento de datos personales mediante decisiones automatizadas y su relación con la elaboración de perfiles

La aprobación del nuevo Reglamento de la Ley de Protección de Datos Personales, mediante el Decreto Supremo 016-2024-JUS, ha supuesto un avance relevante en la regulación del tratamiento de datos personales mediante mecanismos de análisis automatizado. La LPDP no contenía una referencia expresa a las decisiones automatizadas, en cambio, el nuevo Reglamento reconoce su existencia y establece obligaciones específicas orientadas a garantizar la transparencia y la protección de los derechos de los titulares de los datos personales.

En particular, el numeral 8 del artículo 6 del Reglamento de la LPDP, al desarrollar el contenido del deber de informar en el marco de la obtención del consentimiento para el tratamiento de datos personales, dispone que se debe informar al titular de los datos personales la existencia de decisiones automatizadas, incluida la elaboración de perfiles, así como las consecuencias que dichas decisiones puedan generar para el titular del dato personal.

Sin embargo, el Reglamento de la LPDP no establece qué debe entenderse por decisiones automatizadas, por lo que, resulta necesario recurrir a criterios provenientes del derecho comparado y de la doctrina especializada. Es necesario considerar que, pese a la reciente incorporación del concepto de decisiones automatizadas al ordenamiento jurídico peruano, no se trata de un concepto nuevo en el ámbito de la protección de datos personales.

En efecto, el artículo 15 de la Directiva 95/46/CE del Parlamento Europeo, de fecha 24 de octubre de 1995, ya reconocía el derecho de las personas a no ser sometidas a una decisión con efectos jurídicos sobre ellas que se base únicamente en el tratamiento automatizado de sus datos personales destinado a evaluar aspectos de su personalidad somo crédito, fiabilidad, conducta (Barrio, 2025, p. 165).

Por su parte, las Directrices sobre decisiones individuales automatizadas y perfilado emitidas en el marco del Reglamento 2016/679, de fecha 6 de febrero de 2018, del Comité Europeo de Protección de Datos, definen de manera sencilla las decisiones automatizadas como las decisiones adoptadas por medios tecnológicos sin intervención humana, las cuales pueden basarse en distintos tipos de datos personales, tales como datos proporcionados directamente por el titular, datos observados a partir de su comportamiento o datos derivados o inferidos, como aquellos que conforman un perfil previamente elaborado (2018, p. 6).

Con base al desarrollo normativo comparado, a efectos del presente trabajo, y siguiendo a Palma Ortigosa (2022), se entenderá por decisión automatizada toda aquella resolución que adopta una organización en función del resultado emitido por un sistema algorítmico tras haber analizado los datos personales del individuo sobre el cual recae la decisión (p. 65). De esta definición, se desprende que una decisión automatizada presupone la utilización de un sistema capaz de procesar datos personales y generar un resultado que incide en la esfera jurídica del titular de los datos personales.

Los sistemas de toma de decisiones automatizadas pueden valerse de diferentes tecnologías y algoritmos, como herramientas de inteligencia artificial, machine learning, deep learning, entre otros, para poder cumplir su objetivo. Sin embargo, más allá de la tecnología específica empleada, lo relevante desde la perspectiva de la protección de datos personales es identificar cuándo nos encontramos frente a un sistema de toma de decisiones automatizadas que tienen un impacto en la esfera jurídica del titular de los datos personales.

Del numeral 8 del artículo 6 del Reglamento de la LPDP se advierte una conexión directa entre la toma de decisiones automatizadas y la elaboración de perfiles. En particular, el ordenamiento jurídico peruano reconoce expresamente la elaboración de perfiles como una de las manifestaciones posibles de las decisiones automatizadas. No obstante, si bien la elaboración de perfiles y la toma de decisiones automatizadas se encuentran estrechamente vinculadas, no se trata de conceptos equivalentes. En efecto, pueden existir decisiones automatizadas con o sin elaboración de perfiles, así como actividades de elaboración de perfiles que no deriven en la adopción de una decisión automatizada (Roig, 2020, p. 33).

De acuerdo con las Directrices sobre decisiones individuales automatizadas y perfilado en virtud del Reglamento 2016/679, hay tres potenciales formas en las que la elaboración de perfiles puede ser utilizada: (i) el perfilamiento general, (ii) la toma de decisiones basadas en la elaboración de perfiles, y (iii) las decisiones automatizadas que incluyen la elaboración de perfiles que producen efectos jurídicos sobre el titular de los datos personales (2018, p. 8-9).

En el marco del presente trabajo, resulta de especial relevancia esta última modalidad de uso de la elaboración de perfiles, la cual puede comprenderse mejor a través del siguiente ejemplo. Una persona solicita un préstamo, para lo cual sus datos personales son analizados por un algoritmo que elabora un perfil y, en función de dicho perfil, determina si la persona resulta o no elegible para el préstamo solicitado. En este supuesto, la elaboración del perfil constituye la base para la adopción de una decisión automatizada que incide directamente en la esfera jurídica del titular de los datos personales.

En la siguiente sección, se analizará el concepto de elaboración de perfiles y una de sus manifestaciones en el ámbito financiero que es el scoring crediticio.

3. El tratamiento de datos personales a través la elaboración de perfiles (profiling) y el scoring crediticio

La elaboración de perfiles o profiling es una modalidad de tratamiento de datos personales que tiene como finalidad analizar, evaluar o predecir determinados aspectos relativos a una persona a partir del uso de diferentes tecnologías, que permiten identificar patrones o realizar inferencias sobre su comportamiento, características o situación. Es decir, es una técnica que permite segmentar o caracterizar a una persona en función de sus datos personales.

En el sector financiero, el uso de técnicas de perfilado se encuentra estrechamente vinculado a la gestión del riesgo crediticio y a la evaluación de la solvencia de los clientes. Ello responde, además, a exigencias regulatorias previstas en el Reglamento para la Evaluación y Clasificación del Deudor y la Exigencia de Provisiones, aprobado por Resolución SBS 11356-2008 y sus normas modificatorias.

Aunque el uso de estas técnicas mejora la eficiencia y precisión en la toma de decisiones a partir del tratamiento de datos personales, no están exentas de riesgo de afectación a los titulares de los datos personales. Por lo que dichos procesos deben garantizar transparencia, cumplir con las obligaciones de seguridad y confidencialidad establecidas en la normativa vigente y realizar el tratamiento conforme a los principios establecidos en la normativa de protección de datos personales.

En este contexto, es necesario tener en cuenta que, si bien los conceptos de elaboración de perfiles y scoring crediticio están estrechamente relacionados, no son sinónimos, por lo que es necesario establecer los alcances de cada uno con respecto al tratamiento de datos personales a fin de determinar los parámetros y límites de su implementación, así como identificar los riesgos que conlleva.

3.1. Definición y aspectos característicos de la elaboración de perfiles (profiling)

La elaboración de perfiles o profiling es una técnica de tratamiento automatizado de datos personales que permite analizar o predecir aspectos específicos a partir de los datos de una persona natural. En la normativa comparada, en concreto, en el artículo 4.4. del RGPD de la Unión Europea, la elaboración de perfiles se define como:

Artículo 4

Definiciones

A efectos del presente Reglamento se entenderá por:

(...)

4) «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

(...).

En el ámbito jurídico peruano, de forma previa a la entrada en vigencia del actual Reglamento de la LPDP, aprobado por Decreto Supremo 016-2024-JUS, la Autoridad Nacional de Proyección de Datos Personales (ANPDP) emitió la Opinión Consultiva 15-2019-JUS/DGTAIPD(1) en la que define la elaboración de perfiles como: “una técnica de investigación a través de la cual se realizan inferencias sobre las principales características de la personalidad, conductuales y demográficas de un agresor a partir del análisis exhaustivo e interpretación de distintos factores (...)”(2).

Cabe precisar que este es el único pronunciamiento expreso de la ANPDP sobre la elaboración de perfiles. La Opinión Consultiva fue emitida en un contexto específico vinculado a la elaboración de perfiles de personas asociadas a hechos de violencia, lo que explica la utilización del término “agresor” en la definición citada. No obstante, más allá del supuesto que motivó la consulta, la definición propuesta por la ANPDP resulta útil como referencia general para comprender la técnica del perfilamiento.

En la citada Opinión Consultiva, la ANPDP recoge los elementos que caracterizan la elaboración de perfiles, como son: (i) la realización de inferencias; (ii) el uso de características conductuales; y, (iii) el análisis exhaustivo e interpretación de varios factores (que pueden ser varios datos personales).

Posteriormente, con la aprobación del Reglamento de la LPDP vigente, se incorporó en la normativa de protección de datos personales el concepto de elaboración de perfiles, en concreto, en el inciso 11 del artículo III del Título Preliminar del Reglamento de la LPDP, esta actividad se define como:

Artículo III.- Definiciones

(…)

11. La forma de tratamiento automatizado de datos personales que permite evaluar aspectos de una persona natural, de manera específica y continua, para analizar o predecir aspectos [énfasis agregado]. relativos a su rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamientos o hábitos, ubicación o movimientos

(...).

La incorporación de esta definición evidencia que la elaboración de perfiles comprende la realización de análisis de datos personales para la producción de inferencias y el establecimiento de categorías en base a determinadas características; con ello, surgen los modelos de comportamiento, que pueden aplicarse al scoring crediticio cuando a partir del comportamiento financiero de una persona, se asigna una puntuación específica.

El tratamiento de datos personales para la elaboración de perfiles, conforme a lo previsto en el numeral 8 del artículo 6 del Reglamento de la LPDP, está sujeto a que el titular de los datos personales brinde su consentimiento libre, previo, exprese e inequívoco, e informado de manera que el Responsable del tratamiento cumpla con informar de manera clara y sencilla la existencia de decisiones automatizadas, incluida la elaboración de perfiles, y transmita información relativa a las consecuencias para el titular del dato personal.

De acuerdo con esto último, la vigente normativa de protección de datos personales no prohíbe el tratamiento de datos personales para la elaboración de perfiles ni la toma de decisiones automatizadas; por el contrario, los reconoce y ha previsto disposiciones para que cuando se realicen se garantice el derecho de tratamiento objetivo de los datos personales y lo incorpora como parte del deber de informar, como se explicará a continuación.

3.2. Aspectos característicos de la elaboración de perfiles

Como ha sido explicado por Roig, la elaboración de perfiles se caracteriza por tres elementos: (i) debe tratarse de una forma automatizada de tratamiento, la cual puede incluir intervención humana; (ii) debe realizarse respecto de datos personales; y, (iii) tiene por objetivo evaluar aspectos personales, analizar, predecir o juzgar a una persona natural (2020, p. 34).

De estos elementos se desprende que una simple clasificación de las personas en función de características conocidas, como la edad o el género, no constituye por sí misma una elaboración de perfiles (Lefebvre, 2025, p. 127); sino que debe existir un tratamiento automatizado que, a partir de determinados datos personales, permita realizar inferencias, predicciones o conclusiones sobre el comportamiento de una persona determinada.

Como se ha explicado previamente, si bien el Reglamento de la LPDP no define propiamente qué son las decisiones automatizadas, sí establece derechos y garantías respecto de su implementación. En el numeral 1 del artículo 87 del referido Reglamento, se reconoce el derecho a no ser objeto de decisiones automatizadas, conforme al siguiente detalle:

“Artículo 87.- Derecho al tratamiento objetivo de datos personales

87.1 El titular del dato personal tiene derecho a no ser objeto de decisiones, automatizadas o no [énfasis agregado], que le produzcan efectos jurídicos, discriminación o le afecten de manera significativa incluyendo aquellas que se basen únicamente en tratamientos automatizados destinados a evaluar, analizar o predecir, sin intervención humana, determinados aspectos personales del mismo, en particular, su rendimiento profesional, situación económica, estado de salud, orientación o identidad sexual, fiabilidad o comportamiento, entre otros, debiéndose considerar las excepciones contempladas en el artículo 23 de la Ley”.

El citado artículo encuentra un antecedente directo en el numeral 1 del artículo 22 del RGPD, el cual dispone que el interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Sin embargo, conforme al numeral 2 del artículo 22 del RGPD, esta prohibición admite excepciones cuando la decisión sea necesaria para la celebración o ejecución de un contrato entre el interesado y el responsable del tratamiento, esté autorizada por el Derecho de la Unión o de los Estados miembros, o se base en el consentimiento del interesado.

Sobre el alcance de este derecho, se ha considerado que el artículo 22.1 del RGPD no solo se activa a solicitud del titular de los datos personales, sino que recoge una prohibición general de decisiones basadas exclusivamente en el tratamiento automatizado de datos personales, lo que incluye la elaboración de perfiles cuando estas produzcan efectos jurídicos o afecten significativamente al titular. En tal sentido, la protección opera de manera preventiva y automática, sin perjuicio de las excepciones previstas en la norma, las cuales deben ir acompañadas de garantías adecuadas (Lefebvre, 2025, p. 126).

Esta interpretación resulta relevante para la aplicación del artículo 87 del Reglamento de la LPDP. Si bien la norma peruana recurre a la fórmula “derecho al tratamiento objetivo”, su contenido también evidencia una lógica de protección a los titulares de datos personales frente a decisiones que, automatizadas o no, puedan generar efectos jurídicos o impactos significativos en su esfera jurídica. En consecuencia, el artículo 87 no debe entenderse únicamente como un derecho que el titular activa frente a una decisión concreta, sino como una obligación que condiciona el diseño y la implementación de mecanismos de toma de decisiones automatizadas, a fin de evitar la arbitrariedad, discriminación o afectaciones desproporcionadas.

Asimismo, del artículo 87 del Reglamento, se destacan cuatro cuestiones relevantes en el tratamiento de datos personales mediante la elaboración de perfiles:

a) Identificar si la elaboración de perfiles implica decisiones automatizadas, o si no se basa en las mismas.

b) Identificar las variables utilizadas para la elaboración de perfiles y cuál es el impacto en las decisiones que se adoptan, como efectos jurídicos, discriminación o posibles situaciones que afecten a los titulares de los datos personales.

c) Determinar los objetivos del tratamiento automatizado para la elaboración de perfiles o qué elementos tomar en cuenta para evaluar, analizar o predecir aspectos personales como rendimiento, situación económica y/o financiera, fiabilidad o comportamiento, etc.

d) Considerar el deber de información como elemento clave en el tratamiento de los datos personales y en el ejercicio pleno del principio del consentimiento informado y transparencia. A partir de esta obligación se deberá informar al titular que sus datos personales serán tratados para la elaboración de perfiles, explicar los criterios que usa e indicar la existencia o no de participación humana en el caso de la toma de decisiones.

A partir de lo dispuesto en el citado artículo 87 del Reglamento de la LPDP, la elaboración de perfiles debe ser analizada como una técnica de segmentación automatizada, y también como una actividad que puede producir efectos jurídicos o significativos sobre los titulares de los datos personales.

Cuando los perfiles construidos se utilizan como base para la toma de decisiones que impactan directamente al titular, de manera automatizada o no, se activa el derecho al tratamiento objetivo, lo que impone obligaciones que refuerzan los principios de información y transparencia, así como la necesidad de contar con una base legal clara y legítima para el tratamiento, conforme a las excepciones del artículo 14 de la LPDP.

La elaboración de perfiles constituye entonces una técnica de tratamiento de datos personales que permite segmentar, clasificar o valorar a una persona en función de ciertos datos personales analizados. En el contexto financiero, la elaboración de perfiles puede ser empleada para identificar hábitos de consumo, evaluar el comportamiento financiero e identificar variables de riesgo crediticio, que permitan la segmentación de los clientes y también utilizar tales perfiles para otras finalidades como realizar publicidad, identificar patrones de consumo o determinar la elegibilidad para servicios personalizados (Lefebvre, 2025, p. 519-521).

Por ello, resulta necesario distinguir entre la fase de elaboración del perfil y la fase de adopción de decisiones basadas en dicho perfil. La primera consiste en el tratamiento de datos orientado a identificar patrones o probabilidades, sin que necesariamente exista una decisión individual con efectos jurídicos. La segunda supone la aplicación del perfil a un caso concreto, pudiendo producir efectos jurídicos o afectar significativamente al titular.

Esta distinción no es meramente técnica, sino jurídica, pues las garantías previstas en el artículo 87 del Reglamento de la LPDP se activan cuando el perfil es utilizado para adoptar decisiones que produzcan efectos jurídicos o similares. En consecuencia, el análisis de licitud y proporcionalidad debe diferenciar ambos momentos del tratamiento.

En tal sentido, resulta indispensable conocer las finalidades y el tipo de tratamiento que se asignará a la elaboración de perfiles, así como la naturaleza de las decisiones que puedan derivarse de ella. Esta claridad resulta fundamental no sólo para determinar la licitud del tratamiento y la base legal que lo sustenta, sino también para identificar las responsabilidades específicas de cada interviniente en el proceso.

Asimismo, el análisis de la elaboración de perfiles debe complementarse con la delimitación precisa de los roles del Responsable y del Encargado del tratamiento, dado que de su actuación dependen tanto la correcta aplicación de los principios y derechos previstos en la normativa de protección de datos personales como la prevención de impactos indebidos sobre los titulares.

3.3. Definición del scoring crediticio

El scoring crediticio es una técnica de evaluación del riesgo crediticio de las solicitudes de préstamo u otros servicios, que utiliza datos históricos y técnicas estadísticas con la finalidad de aislar los efectos de diversas características del solicitante en relación con la morosidad y el incumplimiento, es decir, estimar la probabilidad de incumplimiento de las obligaciones financieras (Mester, 1997, p. 4).

El scoring crediticio y la elaboración de perfiles, son conceptos que se pueden usar de manera complementaria. Como ya ha sido referido, la elaboración de perfiles permite segmentar e inferir patrones para describir un tipo de comportamiento o estimar probabilidades, sin que ello implique necesariamente la adopción de una decisión.

En el caso del scoring crediticio, en cambio, este hace posible la asignación de una puntuación que identifique un determinado nivel de riesgo, la cual comúnmente se integra a un proceso de decisión de carácter financiero -con o sin intervención humana-. Estas decisiones, al producir efectos jurídicos, pueden afectar de modo negativo o positivo al titular de los datos personales, habilitando la aplicación del glosado artículo 87 del Reglamento de la LPDP, que regula el derecho de tratamiento objetivo.

3.4. Aspectos característicos del scoring crediticio

En el contexto financiero, las entidades bancarias, al estar expuestas a múltiples riesgos propios de la naturaleza de la actividad, se enfrentan al riesgo crediticio y solvencia como un componente significativo que deben identificar. Esto último justifica que, para la gestión de tales riesgos, las entidades bancarias implementen herramientas que permitan evaluar la solvencia de sus clientes a fin de tomar decisiones informadas al momento de aceptar o rechazar productos o servicios bancarios.

El scoring crediticio permite entonces evaluar y cuantificar el riesgo del crédito en una operación financiera a través del procesamiento automatizado de datos personales a los que accede la entidad bancaria antes de la concesión de préstamos o al emplear otros productos o servicios contratados con el titular. Esta información es la fuente para conocer el estado de solvencia actual de un cliente y para estimar su solvencia futura o su capacidad de pago ante obligaciones financieras (Campos, 2024, p. 113).

El score o puntaje que se le asigne a la persona evaluada, por ejemplo, en el caso de un solicitante de crédito, determina si se concede o no el crédito. El puntaje que debe obtener se determina a partir de criterios fijados por la entidad bancaria y dependiendo del cumplimiento de los requisitos o del puntaje, se prestará mejores servicios, beneficios y más; es decir, a mayor puntuación, se garantizan mejores beneficios, porque ello indica un menor riesgo crediticio y viceversa (Campos, 2024, p. 114).

Para implementar el scoring crediticio es posible utilizar información sobre los hábitos de consumo, historial crediticio, evaluar el comportamiento financiero e identificar otras variables que permitan evaluar el riesgo crediticio y segmentar clientes. El uso de múltiples variables adicionales que contribuyan a la elaboración de un modelo más eficiente genera como riesgo la transgresión de ciertos principios establecidos en la normativa de protección de datos personales como el de finalidad, proporcionalidad y la minimización de datos con base en el principio de calidad.

La identificación del riesgo en este esquema se integra a un proceso de decisión de carácter financiero -con o sin intervención humana-. Estas decisiones, al producir efectos jurídicos, pueden afectar de modo negativo o positivo al titular de los datos personales, pero como ya hemos señalado, al mismo tiempo se encuentra tutelado por el derecho de tratamiento objetivo establecido en el artículo 87 del Reglamento de la LPDP.

De esta forma, aunque es crucial contar con herramientas para evaluar riesgos dentro del sector financiero y su implementación se encuentra reconocida como una práctica legítima para la protección del sistema financiero, debe implementarse dentro de los límites que establece la normativa de protección de datos personales, con relación a la elaboración de perfiles, específicamente para finalidades de scoring y la eventual toma de decisiones automatizadas.

La puesta en marcha de un sistema de scoring crediticio en una organización exige una evaluación precisa de la base legal aplicable, el cumplimiento de los principios como finalidad, proporcionalidad y transparencia, así como la garantía de los derechos del titular frente a posibles efectos jurídicos o significativos derivados del tratamiento. Bajo estas consideraciones, corresponde analizar con mayor detalle las implicancias jurídicas de la implementación de esta técnica a la luz del marco normativo vigente.

4. Relación entre el profiling y el scoring crediticio

La utilización de mecanismos de profiling y scoring exige una evaluación precisa de la base legal aplicable, el cumplimiento de los principios como finalidad, proporcionalidad y transparencia, así como la garantía de los derechos del titular frente a posibles efectos jurídicos o significativos derivados del tratamiento de datos personales.

Delimitar el alcance de las técnicas de profiling y scoring crediticio, así como la relación existente entre ambas, resulta relevante para determinar con mayor precisión qué datos personales son estrictamente necesarios, cuál es la base legal que legitima su tratamiento y los aspectos del tratamiento que se deben informar a los titulares de los datos personales. Asimismo, comprender sus similitudes y diferencias es esencial para evaluar los riesgos asociados a cada uno de ellos pues, aunque ambos comparten fundamentos, sus finalidades, criterios de segmentación y resultados pueden variar significativamente.

Como se ha explicado en los apartados precedentes, el profiling consiste en el tratamiento de datos personales para evaluar determinados aspectos de una persona natural, en particular para analizar o predecir elementos relacionados con su comportamiento, preferencias, intereses o situación económica. En el contexto financiero y comercial, esta técnica permite segmentar a los clientes en función de patrones detectados a partir de su información histórica y comportamientos observados.

Por su parte, el scoring crediticio es una modalidad específica de perfilamiento orientada a estimar la probabilidad de que un cliente cumpla con sus obligaciones de pago. Este cálculo se realiza mediante modelos estadísticos o de aprendizaje automático que procesan datos financieros, transaccionales y, en algunos casos, información de comportamiento de consumo.

La relación entre ambos conceptos radica en que el scoring constituye un tipo particular de profiling, con un objetivo definido: evaluar el riesgo crediticio de un individuo. Mientras que el profiling puede tener finalidades amplias como marketing personalizado, detección de fraude o análisis de tendencias de consumo, el scoring se centra exclusivamente en un indicador numérico o categórico que refleja el nivel de riesgo asociado a la concesión de crédito o a la oferta de productos financieros.

Esta diferencia de finalidades entre ambas técnicas tiene un impacto en la evaluación de la licitud del tratamiento de datos personales que se realice. La finalidad perseguida por estas técnicas condiciona no solo el tipo de datos personales que pueden ser utilizados, sino también la forma en la que son obtenidos.

5. La fuente de los datos personales

Tanto la elaboración de perfiles como el scoring crediticio dependen de la recopilación y el uso de datos personales, los cuales son obtenidos de múltiples fuentes, y permiten crear y alimentar el modelo que se utilice para hacer el scoring. La efectividad de este modelo dependerá de la calidad, legitimidad y pertinencia de los datos personales utilizados.

Para efectos del presente trabajo, el análisis de las fuentes de recopilación de los datos personales se realizará desde dos perspectivas:

a) Origen de los datos: identifica si la información proviene directamente del titular (fuente primaria), de terceros (fuente secundaria), y cómo el Responsable del tratamiento incorpora dichos datos a su banco para una finalidad específica.

b) Pertinencia del uso de ciertas categorías de datos: evalúa si los tipos de datos utilizados guardan relación directa con la finalidad perseguida.

La licitud del tratamiento de los datos personales dependerá tanto de la base legal a partir de la cual se recopilan los datos -principio de legalidad(3) y consentimiento(4)-, como de la pertinencia y proporcionalidad de la categoría de los datos que se recopilan respecto de la finalidad -principio de calidad(5) y proporcionalidad(6)-.

Definir cuál es la fuente del dato personal resulta relevante no solo para determinar la base que lo legitima, sino también conocer la validez legal del tratamiento conforme a la normativa vigente. En tal sentido, los datos personales pueden ser recopilados a través de fuentes primarias o directas, cuando se obtienen directamente del titular del dato; o fuente secundarias o indirectas, cuando los datos personales se adquieren de terceros como socios comerciales, fuentes de acceso al público, etcétera.

A continuación, se desarrollará una explicación de las fuentes de los datos personales desde la perspectiva de su origen y de la pertinencia de las categorías utilizadas, a fin de determinar la licitud del tratamiento y cuáles son las condiciones que deben cumplirse para que su implementación sea conforme a la normativa de protección de datos personales.

5.1. Fuentes de los datos personales según su origen

La evaluación de las fuentes de datos personales, desde la perspectiva de su origen, se refiere al modo en el que se obtiene el consentimiento como fuente de origen. Se puede obtener de manera directa del titular (fuente directa), por ejemplo, los datos personales obtenidos del propio titular a partir de una relación contractual, los formularios de consentimientos en establecimientos físicos o virtuales, y todos los datos personales que el titular ponga a disposición del Responsable en virtud de alguna relación.

El fundamento legal para el tratamiento de los datos personales en relación a una fuente primaria o directa puede ser la preparación, celebración o ejecución de un contrato, cuya configuración se produce a petición del titular, quien a través de dicha relación accede a un producto o servicio. Esto se encuentra previsto en el numeral 5 del artículo 14 de la LPDP, norma que dispone que en los supuestos antes mencionados no se requiere del consentimiento del titular de los datos personales.

Por otro lado, también existen las fuentes secundarias o indirectas, aquellas que fueron obtenidas por terceros -sean autorizados o no por una ley- o mediante fuentes de acceso público -por ejemplo, aquellas obtenidas de registros públicos, los medios de comunicación social, etcétera-, cuya regulación se encuentra prevista en el artículo 11 del Reglamento de la LPDP.

Debe precisarse que las fuentes de acceso público se encuentran exceptuadas de la obligación de obtener el consentimiento de los titulares de datos personales, de conformidad con el artículo 14 de la LPDP, y los supuestos considerados como fuentes accesibles están consignados en el citado artículo 11 del Reglamento de la LPDP. Sin embargo, todo tratamiento de los datos personales a los que se acceden mediante esta modalidad deberá adoptar los principios establecidos en la LPDP y su Reglamento.

Sobre esto último, con relación a la aplicación de los principios de finalidad y consentimiento, la Opinión Consultiva 13-2025-DGTAIPD precisa que:

Los datos contenidos en las fuentes de acceso al público podrán utilizarse únicamente dentro del marco y/o finalidad para el cual dicha fuente fue creada y coloca a disposición la información que contiene. En caso se desee realizar tratamientos destinados a finalidades distintas a aquellas para las cuales los datos fueron puestos a disposición en las fuentes accesibles para el público, entonces se deberá contar con el consentimiento válido de su titular (2025, fundamento 23).

5.2. Fuente de los datos según su pertinencia

Otro aspecto de análisis sobre las fuentes de datos personales en el contexto del tratamiento a través de la elaboración de perfiles, y cuya finalidad última es el scoring crediticio, es la pertinencia de las categorías de datos utilizadas. Este análisis se centra en la evaluación de qué tipos de datos personales resultan adecuados, necesarios y proporcionales para la finalidad perseguida.

En el caso del scoring crediticio, cuya finalidad consiste en evaluar y clasificar el riesgo financiero de una persona natural, el tipo de datos personales utilizados debe cumplir con los principios de finalidad, calidad y proporcionalidad. En consecuencia, los datos personales objeto de tratamiento deben estar actualizados, estrictamente necesarios y pertinentes para dicha evaluación.

Si bien en el ordenamiento jurídico peruano no hay una clasificación específica de datos personales, en los formatos de declaración de banco de datos personales que la ANPDP ponía a disposición de los titulares de bancos de datos(7) se distinguía entre datos de carácter identificativo(8), datos de características personales(9), datos económico-financieros y de seguros(10), los datos de carácter social(11), y los Datos sensibles(12). Estos últimos constituyen una categoría especial que goza de un régimen reforzado de protección.

En el contexto de scoring crediticio, es posible que se utilicen diferentes categorías de datos personales, de manera que, en algunos casos, los datos materia de tratamiento pueden ser estrictamente necesarios para realizar scoring crediticio o también complementarios. La categoría de datos personales necesarios para el tratamiento se encuentra comprendida por los datos de carácter identificativo, los datos económico-financieros y de seguros, y los datos de ingresos económicos, considerados estos últimos como datos sensibles.

Por su parte, los datos personales complementarios no son necesarios para la finalidad de scoring, pero aportan precisión a los modelos de evaluación. A pesar de ser útiles para evaluar el riesgo crediticio o solvencia, son variables que dependen del contexto o factores indeterminados, por lo que su uso para el scoring deberá guardar pertinencia y alinearse a lo exigido por ley.

Respecto de los personales relativos a la solvencia patrimonial y de crédito, se debe tomar en consideración que cuentan con una regulación específica que permite su tratamiento sin consentimiento, siempre que se realice conforme a ley, de conformidad con el numeral 3 del articulo 14 de la LPDP.

En efecto, la Ley 27489, que regula las centrales privadas de información de riesgos, establece el marco jurídico para la recopilación y suministro de información crediticia en el mercado. De conformidad con su artículo 7, las Centrales Privadas de Información de Riesgos [en adelante, CEPIRS] pueden recolectar información proveniente tanto de fuentes públicas como privadas sin necesidad de recabar el consentimiento del titular, dentro de los límites legales establecidos. Ello implica que la información debe ser utilizada exclusivamente para finalidades crediticias legítimas, mantenerse actualizada y evitar generar afectaciones indebidas derivadas de datos inexactos o desactualizados.

Una cuestión particularmente relevante se presenta cuando el modelo de perfilamiento incorpora datos sensibles. En estos casos, el análisis de la licitud del tratamiento de dichos datos personales debe ser más riguroso. Dado que, los datos sensibles son una categoría especial a los que la LPDP les confiere una mayor protección. Ello se justifica en el potencial impacto que el uso indebido de este tipo de datos personales puede generar en la esfera del titular.

La utilización de datos sensibles en procesos de perfilamiento debe superar un juicio estricto de proporcionalidad. Ello implica acreditar no solo su idoneidad para la evaluación del riesgo crediticio, sino también su necesidad, es decir, que no existan medios menos invasivos para alcanzar la misma finalidad. En caso contrario, su incorporación podría configurar un tratamiento excesivo o incompatible con la normativa de protección de datos personales.

En este sentido, la legitimidad del uso de datos sensibles en el scoring crediticio no puede presumirse, sino que debe sustentarse en una base legal válida, una justificación técnica verificable y el cumplimiento estricto de los principios que rigen la protección de datos personales.

De lo expuesto en presente apartado, se debe considerar que la identificación y caracterización de las fuentes de datos personales desde su origen, aseguran la base habilitante e identifica la cadena de responsabilidades al momento de implementar un proyecto de elaboración de perfiles que se ajuste a la finalidad de scoring crediticio y ulteriores finalidades como marketing, publicidad, entre otras. En cualquiera de las finalidades, se tomará como presupuesto los principios generales de la protección de datos personales, como el consentimiento informado, la finalidad, proporcionalidad y tratamiento objetivo.

Las excepciones aplicables al tratamiento de datos de solvencia patrimonial o crediticia, ejecución o medidas precontractuales y fuentes de acceso público permiten prescindir del consentimiento sólo dentro de su marco específico y bajo cumplimiento de las otras disposiciones contenidas en la LPDP y su Reglamento. Este doble enfoque en la identificación de las fuentes de los datos es condición necesaria adoptar los mecanismos legalmente previstos y sustentar la legalidad del perfilamiento con la finalidad de scoring crediticio.

6. El rol del Responsable y del Encargado del tratamiento

La determinación de quién actúa como Responsable y como Encargado del tratamiento constituye otro elemento esencial para evaluar la licitud de la elaboración de perfiles y del scoring crediticio y para establecer obligaciones, responsabilidades y eventuales infracciones conforme a la normativa vigente.

Para la implementación de un sistema de Scoring crediticio, la correcta delimitación de estos roles permitirá garantizar la trazabilidad de las decisiones, asegurar que cada actor actúe dentro de sus competencias y reforzar el cumplimiento de las obligaciones legales por parte de cada una de los involucrados. En el presente apartado, se procederá a describir cada uno de estos roles.

6.1. El rol del Responsable del tratamiento

El poder de decisión y control sobre el tratamiento de los datos personales, que ejerce una persona natural o jurídica, son elementos que caracterizan la figura del Responsable del tratamiento (Duran, 2016).

En la legislación vigente, el Responsable del tratamiento se define en el inciso 22 artículo III del Reglamento de la LPDP como:

“(...) la persona natural, persona jurídica de derecho privado o entidad pública que decide sobre la finalidad y medios del tratamiento de datos personales. Esta definición no se restringe al titular del banco de datos, sino que incluye a cualquier persona que decida sobre el tratamiento de datos personales, aun cuando no se encuentre en un banco de datos personales”.

Respecto del alcance de esta figura, la ANPDP en la Opinión Consultiva 034-2021-JUS/DGTAIPD, ha expresado que se refiere a la capacidad de decisión sobre cómo y mediante qué medios se realiza el tratamiento de los datos personales y excluye al Encargado de tratamiento como Responsable del tratamiento (2021, fundamento 9).

Esto permite asegurar la adecuada delimitación entre Responsable y Encargado, con la asignación inequívoca de obligaciones como la finalidad del tratamiento, la base legal, las medidas de seguridad a adoptar, la gestión de riesgos, la atención de derechos y la rendición de cuentas frente a los titulares de datos personales y la ANPDP.

Como ha sido referido, definir la figura del Responsable, brinda parámetros para analizar los aspectos de la capacidad de decisión para el tratamiento y, desde una perspectiva de la territorialidad, identificar a quien realiza el tratamiento.

Sobre este último, cabe precisar que la figura del Responsable incluye a quienes realizan el tratamiento dentro del territorio peruano, así como a aquellas personas naturales o jurídicas no establecidas en el Perú pero que ofertan bienes y/o servicios a titulares de datos personales ubicados en Perú y, a partir de ellos, podrían analizar sus comportamientos o elaborar perfiles.

En la aplicación de estos criterios en el tratamiento de los datos personales para la elaboración de perfiles, es determinante que se identifique quién decide sobre la finalidad y medios de tratamiento. Esto implica conocer quién recopila el consentimiento, qué variables se usan para elaborar los perfiles o cuál es el destino de los perfiles elaborados en el negocio, entre otros aspectos.

La figura del Responsable, en entornos digitales complejos, no solo comprende a un sujeto activo que recopila la información directamente del titular, sino la intervención de diferentes sujetos en el tratamiento de los datos personales. Ante estos contextos difusos, es ideal que se califique la conducta respecto a los datos a fin de valorar si éste encaja en la definición de Responsable de tratamiento.

Para ello, es necesario contar con una metodología que determine el rol del Responsable. El método consiste en identificar tres elementos: subjetivo, objetivo y funcional. El elemento subjetivo se caracteriza por el poder de control sobre el tratamiento. El elemento objetivo está compuesto a su vez por tres aspectos: los datos personales, el tratamiento de datos personales y el banco de datos personales. El elemento funcional se refiere a la acción concreta que efectúa el Responsable sobre el elemento objetivo en términos de capacidad de “determinación” (Duran, 2016).

La falta de transparencia o invisibilidad de la elaboración de perfiles y la falta de precisión que se deriva en la aplicación automática de reglas de inferencias preestablecidas, pueden presentar riesgos significativos en los derechos y libertades del individuo, tales como la privación al acceso a determinados bienes o a ser objeto de discriminación (Comité de Ministros de los Estados miembros de la Unión Europea, 2010).

Sobre este último, en el contexto de tratamiento para elaboración de perfiles, el Responsable, al tener mayor capacidad de determinación sobre el tratamiento, se encuentra en mejor posición cuando obtiene el consentimiento para informar (transparencia) de manera comprensible y verificable las variables empleadas, criterios de segmentación y los efectos del perfilado conforme lo exige la normativa, sin perjuicio de recurrir a un Encargado para el desarrollo técnico.

6.2. El rol del Encargado del tratamiento

Como sabemos, el Encargado de tratamiento es producto de la capacidad del Responsable de delegar a un tercero una tarea específica como parte del tratamiento de los datos personales para una finalidad determinada, de esta forma, permite que aquellos prestadores de servicios que así lo precisen puedan acceder a datos personales tratados por el Responsable, por cuenta de este (Núñez, 2019).

En la legislación vigente, la figura del Encargado del tratamiento, ha sido recogida en el numeral 7 del artículo 2 de la LPDP y en numeral 10 del del artículo 3 del Título Preliminar del Reglamento de la LPDP, dispositivos que los caracterizan como toda persona natural, persona jurídica de derecho privado o entidad pública que actuando sola o conjuntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales en virtud de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación(13).

De lo explicado en este apartado y en el precedente, el elemento distintivo entre Responsable y Encargado de tratamiento radica en que mientras el primero determina la finalidad y los medios del tratamiento, el Encargado actúa como el ejecutor material de dichas decisiones, limitado por las instrucciones recibidas del Responsable del tratamiento.

Es necesario reparar en que, tratándose de entornos complejos, como es el caso de la existencia de corresponsables, es importante que se determinen y asignen las responsabilidades de manera clara, a fin de garantizar que las complejidades del control conjunto puedan ser objeto de atribución de responsabilidad, en observancia de la normativa de protección de datos personales.

7. A modo de conclusión

La incorporación de las decisiones automatizadas y de la elaboración de perfiles en el Reglamento de la Ley de Protección de Datos Personales, aprobado por Decreto Supremo 016-2024-JUS, supone un avance relevante en el ordenamiento jurídico peruano, en la medida en que reconoce prácticas ampliamente extendidas y establece criterios orientados a garantizar la protección de los derechos de los titulares de los datos personales.

Sin embargo, el análisis realizado evidencia que la adecuada aplicación del marco normativo de protección de datos personales depende de una correcta delimitación conceptual y jurídica de las figuras involucradas. En ese sentido, si bien la elaboración de perfiles y las decisiones automatizadas se encuentran estrechamente vinculadas, no se trata de conceptos equivalentes. La elaboración de perfiles puede operar de forma autónoma o integrarse a procesos de decisiones automatizadas. En este último supuesto, cuando las decisiones adoptadas producen efectos jurídicos o afectan de manera significativa al titular de los datos personales, se activa el derecho al tratamiento objetivo reconocido en el artículo 87 del Reglamento de la LPDP, junto con las garantías que de él se derivan.

En el ámbito del scoring crediticio, dicha diferenciación adquiere especial relevancia. Como se ha desarrollado, el scoring es una manifestación específica de la elaboración de perfiles cuyo objetivo es la evaluación del riesgo crediticio de una persona natural; sin embargo, cuando su resultado determina directamente la concesión o denegación de un producto financiero, puede dar lugar a decisiones con efectos jurídicos relevantes. En tales casos, no basta con verificar la licitud del tratamiento, sino que resulta necesario examinar la fuente de los datos personales, la pertinencia de las categorías de datos personales utilizadas, especialmente cuando se traten datos sensibles; y la proporcionalidad entre la finalidad declarada y el tratamiento de los datos personales.

En ese sentido, el marco vigente somete al profiling y al scoring crediticio a los principios de legalidad, finalidad, proporcionalidad, calidad y transparencia. Además, el articulo 87 del Reglamento de la LPDP opera como una garantía que limita decisiones arbitrarias o desproporcionadas basadas en el tratamiento de datos personales mediante sistemas automatizados.

Finalmente, la correcta delimitación de los roles del Responsable y del Encargado del tratamiento constituye un elemento central para asegurar la rendición de cuentas, la adecuada aplicación de los principios de protección de datos personales y la tutela efectiva de los derechos de los titulares frente a eventuales impactos derivados del uso de técnicas de profiling y scoring crediticio.

Referencias bibliográficas

Autoridad Nacional de Protección de Datos Personales (2019). Opinión Consultiva N.º 15-2019-JUS/DGTAIPD. https://www.gob.pe/institucion/anpd/informes-publicaciones/2164485-oc-n-034-2021-jus-dgtaipd-sobre-las-obligaciones-del-encargado-y-el-responsable-del-tratamiento-de-datos-personales

Autoridad Nacional de Protección de Datos Personales (2021). Opinión Consultiva N.º 034-2021-JUS/DGTAIPD. https://cdn.www.gob.pe/uploads/document/file/2192913/Sobre%20las%20obligaciones%20del%20encargado%20y%20el%20responsable%20del%20tratamiento%20de%20datos%20personales.pdf?v=1632237699

Autoridad Nacional de Protección de Datos Personales (2025). Opinión Consultiva N.º 13-2025-DGTAIPD. https://cdn.www.gob.pe/uploads/document/file/7755492/6554137-sobre-tratamiento-de-datos-personales-para-corroborar-su-veracidad.pdf?v=1741723335

Barrio, M. (2025). Las oportunidades y las amenazas de la automatización administrativa para los valores constitucionales del Estado de Derecho: libertad, justicia, igualdad y pluralismo político. En La actuación administrativa automatizada: sus claves jurídicas (pp. 159-194), Tirant lo Blanch. https://dialnet.unirioja.es/servlet/articulo?codigo=10180802

Campos, G. (2024). Credit Scoring como tratamiento de datos personales a la luz del RGPD. Análisis de su finalidad e influencia en los posibles usos secundarios de los datos. Revista de Derecho UNED, 33(2). https://doi.org/10.5944/rduned.33.2024.41926

Comité Europeo de Protección de Datos. (2018). Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a efectos del Reglamento (UE) 2016/679. https://www.aepd.es/documento/wp251rev01-es.pdf

Comité de Ministros de los Estados miembros de la Unión Europea (2010). Recomendación CM/Rec(2010)13, Recomendación del Comité de Ministros a los Estados miembros sobre la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal en el contexto de la creación de perfiles. https://search.coe.int/cm#{%22CoEIdentifier%22:[%2209000016805cdd2a%22], %22sort%22:[%22CoEValidationDate%20Descending%22]}

Duran, B. (2016). La figura del responsable en el derecho a la protección de datos. Wolters Kluwer.

Lefebvre (2025). Memento práctico: protección de datos. Ediciones Francis Lefebvre.

Mester, L. (1997). What is the point of credit scoring? Business Review (Federal Reserve Bank of Philadelphia). https://www.philadelphiafed.org/-/media/frbp/assets/economy/articles/business-review/1997/september-october/brso97lm.pdf

Núñez, J. (2019). Responsabilidad y obligaciones del responsable y del encargado del tratamiento. En A. Rallo (Ed.), Tratado de Protección de Datos Personales: Actualizado con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantías de Derechos Digitales (pp. 314-353). Tirant lo Blanch.

Palma, A. (2022). Decisiones automatizadas y protección de datos. Dykinson. https://doi.org/10.2307/j.ctv2zp4t7t

Roig, A. (2020). Las garantías frente a las decisiones automatizadas. Bosch Editor.

(*) Nota del Equipo Editorial: Este artículo fue recibido el 25 de enero de 2026 y su publicación fue aprobada el 14 de febrero de 2026.

(**) La presente investigación se enmarca en las actividades de la línea de investigación en Protección de Datos Personales y Transparencia de la Administración del Grupo de Investigación en Derecho Administrativo (GIDA) - PUCP.

(***) Doctor en Derecho por la Universidad de Alicante (Alicante, España). Máster en Derecho de la Telecomunicaciones y de las Tecnologías de la Información por la Universidad Carlos III de Madrid. Profesor Principal de Derecho Administrativo en la Pontificia Universidad Católica del Perú. ORCID: https://orcid.org/0000-0002-8901-1026. Correo electrónico: dzegarra@pucp.edu.pe.

(****) Abogada por la Pontificia Universidad Católica del Perú (Lima, Perú). ORCID: https://orcid.org/0000-0003-2031-5328. Correo electrónico: gaguila@pucp.edu.pe.

(1) En la Opinión Consultiva 15-2019-JUS/DGTAIPD la Autoridad Nacional de Protección de Datos Personales dio respuesta a una consulta realizada por la Dirección Ejecutiva del Programa Nacional contra la Violencia Sexual, sobre la elaboración de perfiles de agresores vinculados al uso de armas de fuego de uso civil realizada por la SUCAMEC.

(2) La Autoridad Nacional de Protección de Datos Personales sigue el planteamiento de Divery, C. (2010) Criminal Profiling and Criminal Investigation. Journal of Contemporary Criminal, 26(4), pp. 393–409.

(3) Artículo 4 de la Ley de Protección de Datos Personales.

(4) Artículo 5 de la Ley de Protección de Datos Personales.

(5) Artículo 8 de la Ley de Protección de Datos Personales.

(6) Artículo 7 de la Ley de Protección de Datos Personales.

(7) Dichos formatos han sido modificados y ya no incluyen la identificación de los tipos de datos que son materia de tratamiento.

(8) Nombre y apellidos, N° DNI, N° RUC, N° de Pasaporte, Carné de extranjería, Dirección del domicilio, Teléfono, Dirección de correo electrónico, Imagen, Voz, Firma, Firma electrónica.

(9) Estado civil Fecha de nacimiento, Nacionalidad, Sexo, Profesión, Edad, Datos académicos, Datos de derechohabientes, Datos de persona de contacto.

(10) Créditos, préstamos, avales; Datos bancarios, Historial de créditos, Información tributaria, Seguros, Tarjetas de crédito, Bienes patrimoniales, Planes de pensión/jubilación, Beneficios recibidos de programas sociales, Hipotecas, Deudas.

(11) Pertenencia a clubes o asociaciones, Aficiones o hábitos personales, Características de vivienda.

(12) Origen racial o étnico, Información relativa a la salud física o mental, Vida sexual, Huella dactilar, Reconocimiento facial, Convicciones filosóficos o morales, Ingresos económicos, Afiliación sindical, Creencias religiosas, Convicciones políticas, Reconocimiento de Iris, Reconocimiento de retina.

(13) La calidad de Encargado del tratamiento es considerada también respecto a quien realice el tratamiento sin la existencia de un banco de datos personales.