Génesis

Justificación
A la mayoría de los usuarios de la web les importa muy poco este tema que trataremos,
algo para darnos cuenta en la pregunta; ¿Quién es el valiente que se pone a leer una
política de privacidad?
Lo cierto es que contábamos con una regulación que no supo ni explicarse, ni venderse
y ni controlarse adecuadamente.
Y aquí comienza el descalabro del todo vale, los abusos de confianza a los usuarios y
los desmadres con el tratamiento de información personal.

La era del top manta digital llega a su fin con el nuevo reglamento europeo, o al menos
ese es su principal objetivo. Y es por eso que debes empezar a cambiar el chip
inmediatamente.

Objetivos
Exponer de forma amena y asequible el complejo mundo de la protección de datos,
clarificando cuestiones que es preciso conocer por los profesionales y que les provocan,
en principio, prevención, formar al personal que ejerce funciones de responsabilidad en
los centros socio sanitarios sobre la aplicación, en el ejercicio de sus cometidos, de la
Ley de Protección de Datos y la normativa de protección de la información y los datos
personales.
Determinar cuáles son las posibilidades y los límites del uso de la herramienta
informática por los trabajadores y las posibilidades de control por la empresa del uso
privado por aquellos.
. ¿Qué es seguridad de datos?

La seguridad de datos, también conocida como seguridad de la información o seguridad

informática, es un aspecto esencial de TI en organizaciones de cualquier tamaño y tipo.
Se trata de un aspecto que tiene que ver con la protección de datos contra accesos no
autorizados y para protegerlos de una posible corrupción durante todo su ciclo de vida.
Seguridad de datos incluye conceptos como encriptación de datos, tokenización y
prácticas de gestión de claves que ayudan a proteger los datos en todas las aplicaciones
y plataformas de una organización.
Hoy en día, organizaciones de todo el mundo invierten fuertemente en la tecnología de
información relacionada con la ciberdefensa con el fin de proteger sus activos críticos:
su marca, capital intelectual y la información de sus clientes.
En todos los temas de seguridad de datos existen elementos comunes que todas las
organizaciones deben tener en cuenta a la hora de aplicar sus medidas: las personas,
los procesos y la tecnología.

Privacy by Design
Los 7 Principios Fundamentales
La Privacidad por Diseño es un concepto que desarrollé allá en los años 90’s, para
atender los efectos siempre crecientes y sistemáticos de las Tecnologías de la
Información y las Comunicaciones, y de los sistemas de datos en red a gran escala.
Privacidad por Diseño promueve la visión de que el futuro de la privacidad no puede ser
garantizada sólo por cumplir con los marcos regulatorios; más bien, idealmente el
aseguramiento de la privacidad debe convertirse en el modo de operación
predeterminado de una organización.
Inicialmente el desarrollo de Tecnologías de Mejora de Privacidad (PET por sus siglas
en inglés) fue visto como una solución. Hoy, nos damos cuenta que se requiere un
enfoque más substancial – extendiendo el uso de las PETs hacia las PETs Plus –
tomando un método de “todos ganan” (funcionalidad total), en vez de “si alguien gana,
otro pierde”. Este es el “Plus” en las PETs Plus: “todos ganan”, no una condición de “una
cosa o la otra” del modelo “si alguien gana, otro pierde” (una falsa dualidad).
Privacidad por Diseño se extiende a una “Trilogía” de aplicaciones que engloban:
1) sistemas de tecnologías de la información;
2) prácticas de negocio responsables; y
3) diseño físico e infraestructura en red.
Los principios de Privacidad por Diseño pueden ser aplicados a todos los tipos de
información personal, pero deben ser aplicadas con vigor especial a datos delicados
tales como información médica y datos financieros. La robustez de las medidas de
privacidad tiende a ser correspondiente con la sensibilidad de los datos.
Los objetivos de Privacidad por Diseño – asegurar la privacidad y obtener control
personal de la información propia, y para las organizaciones, obtener una ventaja
competitiva sostenible – pueden ser logrados practicando los 7 Principios
Fundamentales.
1. Proactivo, no Reactivo; Preventivo no Correctivo
El enfoque de Privacidad por Diseño (PbD por sus siglas en inglés) está caracterizado
por medidas proactivas, en vez de reactivas. Anticipa y previene eventos de invasión de
privacidad antes de que estos ocurran. PbD no espera a que los riesgos se materialicen,
ni ofrece remedios para resolver infracciones de privacidad una vez que ya ocurrieron –
su finalidad es prevenir que ocurran. En resumen, Privacidad por Diseño llega antes del
suceso, no después.
2. Privacidad como la Configuración Predeterminada
Todos podemos estar seguros de una cosa – ¡Lo predeterminado es lo que manda! La
Privacidad por Diseño busca entregar el máximo grado de privacidad asegurándose de
que los datos personales estén protegidos automáticamente
en cualquier sistema de IT dado o en cualquier práctica de negocios. Si una la persona
no toma una acción, aun así, la privacidad se mantiene intacta. No se requiere acción
alguna de parte de la persona para proteger la privacidad – está interconstruida en el
sistema, como una configuración predeterminada.
3. Privacidad Incrustada en el Diseño
La Privacidad por Diseño está incrustada en el diseño y la arquitectura de los sistemas
de Tecnologías de Información y en las prácticas de negocios. No está colgada como
un suplemento, después del suceso. El resultado es que la
privacidad se convierte en un componente esencial de la funcionalidad central que está
siendo entregada. La privacidad es parte integral del sistema, sin disminuir su
funcionalidad.
4. Funcionalidad Total – “Todos ganan”, no “Si alguien gana, otro pierde”
Privacidad por Diseño busca acomodar todos los intereses y objetivos legítimos de una
forma “ganar-ganar”, no a través de un método anticuado de “si alguien gana, otro
pierde”, donde se realizan concesiones innecesarias. Privacidad por Diseño evita la
hipocresía de las falsas dualidades, tales como privacidad versus seguridad,
demostrando que sí es posible tener ambas al mismo tiempo.
5. Seguridad Extremo-a-Extremo – Protección de Ciclo de Vida Completo
Habiendo sido incrustada en el sistema antes de que el primer elemento de información
haya sido recolectado, la Privacidad por Diseño se extiende con seguridad a través del
ciclo de vida completo de los datos involucrados – las medidas de seguridad robustas
son esenciales para la privacidad, de inicio a fin. Esto garantiza que todos los datos son
retenidos con seguridad, y luego destruidos con seguridad al final del proceso, sin
demoras. Por lo tanto, la Privacidad por Diseño garantiza una administración segura del
ciclo de vida de la información, desde la cuna hasta la tumba, desde un extremo hacia
el otro.
6. Visibilidad y Transparencia – Mantenerlo Abierto
Privacidad por Diseño busca asegurar a todos los involucrados que cualquiera que sea
la práctica de negocios o tecnología involucrada, esta en realidad, esté operando de
acuerdo a las promesas y objetivos declarados, sujeta a verificación independiente. Sus
partes componentes y operaciones permanecen visibles y transparentes, a usuarios
y a proveedores. Recuerde, confíe, pero verifique.
7. Respeto por la Privacidad de los Usuarios – Mantener un Enfoque Centrado en
el Usuario
Por encima de todo, la Privacidad por Diseño requiere que los arquitectos y operadores
mantengan en una posición superior los intereses de las personas, ofreciendo medidas
tales como predefinidos de privacidad robustos, notificación apropiada, y facultando
opciones amigables para el usuario. Hay que mantener al usuario en el centro de las
prioridades.

Ley de protección de datos en el Perú

¿Cuál es el objeto de la normativa en materia de protección de datos
personales?
La Ley de Protección de Datos Personales (LPDP), tiene como objeto garantizar el
derecho fundamental a los datos personales realizando un adecuado tratamiento a los
mismos. Ello implica el respeto a los derechos fundamentales reconocidos por nuestra
Constitución Política, así como aquellas normas contempladas en la LPDP y su
reglamento.
¿Para quiénes aplica?
Las normas de manera general establecen que son de aplicación a los datos personales
contenidos (o destinados a ser contenidos) en bancos de datos personales cuyo
tratamiento se realice en el Perú, entendiéndose por "datos personales" a toda
información sobre una persona natural que la identifica o la hace identificable y a
"bancos de datos personales" como el conjunto organizado de datos personales,
independientemente del soporte y cualquiera sea la forma o modalidad de su creación,
formación, almacenamiento, organización y acceso.
¿Todos los datos personales están sujetos a la LPDP y su reglamento?
Solo los datos personales que identifican o hacen identificables a personas naturales.
Ello quiere decir que el registro e información que se pueda tener sobre personas
jurídicas, no se encuentra sujeta a esta normativa.
¿Qué obligaciones prácticas imponen las normas en materia de protección
de datos personales?
Dentro de las principales obligaciones de los titulares de los bancos de datos personales
están: efectuar el tratamiento solo previo consentimiento del titular de los datos
personales (salvo las excepciones); recopilar datos personales que sean actualizados,
necesarios, pertinentes y adecuados, con relación a finalidades determinadas, explícitas
y lícitas; almacenar los datos personales de manera que se posibilite el ejercicio de los
derechos de su titular; tramitar la inscripción ante el Registro Nacional de Protección de
Datos Personales (RNPDP) en caso se creen, modifiquen o cancelen bancos de datos
personales; y, guardar confidencialidad de los datos personales respecto de los que se
realice el tratamiento.
La Regulación General de Protección de Datos Europea (GDPR por sus siglas en inglés)
aplicable a partir del 25/05/2018 consolida y unifica los requerimientos de protección de
datos personales para los países miembros de la Unión Europea. La norma sirve de
referencia para otras latitudes y regiones a fin de implementar medidas orientadas a
fortalecer la gestión de seguridad de la información y ciberseguridad en entidades públicas
y privadas.
En el Perú, desde el 8/05/2013 se encuentra vigente el Reglamento de la Ley de Protección
de Datos Personales (Ley 29733). Actualmente, la entidad que vela por su cumplimiento es
la Autoridad Nacional de Transparencia y Acceso a Información Pública. Hoy en día existen
105 procedimientos sancionadores a organizaciones peruanas, lo cual demuestra que el
ente regulador se encuentra ejerciendo sus funciones de manera activa de acuerdo a Ley.
La mencionada norma tomó de base aspectos de la regulación de protección de datos
española. En tal sentido, es importante identificar que nuevos aportes provee la regulación
europea (próxima a entrar en vigencia) que sirvan de base para fortalecer la regulación local.
Oficial de Protección de Datos:
Uno de los principales aspectos considerados en la norma GDPR a diferencia de la
normativa peruana. La regulación en mención obliga, en ciertas circunstancias (como ser
una autoridad pública), a designar formalmente un Oficial de Protección de Datos en la
organización que tenga la responsabilidad de velar por el cumplimiento de los
requerimientos de la norma.
Evaluación de Impacto en la Privacidad (DPIAs, por sus siglas en inglés):
La evaluación de impacto en la privacidad es una herramienta establecida en la norma
GDPR que ayuda a las organizaciones a evaluar si se está cumpliendo con la regulación
cuando se fueran a utilizar nuevas tecnologías, cuando el procesamiento a realizarse es de
alto riesgo en términos de los derechos y libertades de las personas relacionadas con la
protección de datos y cuando se fuera a realizar un monitoreo sistemático de áreas públicas.
Derecho a la Portabilidad de los Datos:
Este derecho, el cual no está considerado en nuestra regulación, permite a los individuos
obtener y reutilizar su información personal para sus propios propósitos a través de
diferentes servicios. Permite mover, copiar y transferir datos personales de manera fácil de
un entorno de tecnología a otro de forma segura y sin obstáculos para la usabilidad.
Las normativas globales generalmente tienen un impacto luego de algunos años en la
regulación local, por lo cual, es importante tener visibilidad de las prácticas que están siendo
utilizadas en entornos con un mayor nivel de desarrollo.
Ahora bien, más allá de la obligación de adecuarse a la Ley 29733, la implementación de un
sólido programa de protección de datos es extremadamente importante para las entidades
públicas y privadas dado que permite establecer un punto base de referencia para proteger
la información de la organización ante eventos que puedan afectar su reputación en un
entorno cada vez más digital. Permite ser el apalancador inicial para niveles mayores de
madurez en términos de seguridad de la información y ciberseguridad.
¿Cuáles son las consecuencias de incumplir con estas obligaciones?

La legislación que exige un adecuado tratamiento de los datos personales de los clientes,
proveedores, colaboradores, trabajadores y otras personas vinculadas a la actividad de
una empresa, no es nueva. Es obligatoria desde hace más de 2 años y todo lo antes
indicado se viene exigiendo efectivamente. Sin embargo, a la fecha, lamentablemente, la
Autoridad Nacional de Protección de Datos Personales viene sancionando a más de 70
empresas por el incumplimiento de las obligaciones antes detalladas, por montos que
sumados ascienden aproximadamente a 2 millones de soles (cada multa puede llegar hasta
100 UIT).

Si una empresa no está adecuada a la regulación de protección de datos personales resulta

urgente que realice su adecuación.