Cartilla de Directiva de Seguridad PDF

Directiva de Seguridad
Autoridad Nacional de
Protección de Datos Personales
APDP
Autoridad Nacional de Protección de
Datos Personales APDP
Primera Edición, noviembre 2013
© Ministerio de Justicia y Derechos Humanos

Calle Scipión Llona 350, Miraflores, Lima - Perú
Teléfono: 204 8130
www.minjus.gob.pe
apdp@minjus.gob.pe
Ministro de Justicia y Derechos Humanos:

Dr. Daniel Figallo Rivadeneyra
Viceministro de Derechos Humanos y

Acceso a la Justicia:
Dr. Henry José Ávila Herrera
Director de la Autoridad Nacional de Protección

de Datos Personales:
Dr. José Álvaro Quiroga León
Edición:
Autoridad Nacional de Protección de Datos Personales
Ministerio de Justicia y Derechos Humanos
Diseño y diagramación:
Mary Reymundo Aguilar
Impresión:
Editora Diskcopy S.A.C.
Jr. San Agustín Nro. 497, Surquillo
Hecho el Depósito Legal en la Biblioteca Nacional del Perú:

Nº 2013-19069
“Tú también tienes derechos y deberes”

Autoridad Nacional de
Protección de Datos Personales
APDP
INDICE
4 Prólogo
6 Presentación
8 I Estructura
9 II Objetivo
9 III Base legal
10 IV Alcance
10 V Responsabilidad
11 Medidas de seguridad
11 1. Disposiciones generales
20 2. Disposiciones específicas
33 3. Procedimiento
35 4. Disposiciones complementarias
36 Anexo A: Glosario
37 Anexo B: Orientación para bancos de

datos de tipo básico o simple
38 Anexo C: Orientación para bancos de

datos de tipo complejo o crítico
3
Prólogo
Actualmente, ciudadanas y ciudadanos ―voluntariamente― proporcionan sus datos per-
sonales a distintas instituciones públicas o privadas, por distintas razones. El apropiado
tratamiento de los datos, permite convertirlos en información útil para el logro de determi-
nados objetivos. Pero esos datos pueden amenazar la dignidad de las personas por el uso
arbitrario y malicioso de la informática. El peligro se concreta con la capacidad de almace-
namiento en la memoria de las computadoras, la celeridad de todo el proceso, el desarrollo
de las disímiles técnicas reservadas para el manejo de volúmenes de información, etc.
Los sistemas informáticos pueden verificar los datos sobre un individuo introducidos en su
memoria y cotejar la imagen real de los datos del individuo en cuestión. Todos esos datos
deben ser protegidos contra el acceso de quienes no estén autorizados. Esta necesaria
protección es un límite al manejo de la informática ante el temor de que pueda atentar la in-
timidad de las ciudadanas y ciudadanos y que pueda restringir el ejercicio de sus derechos.
Un banco de datos está compuesto por todo tipo de información aportada por las perso-
nas para determinados fines. Pero también existe una gran variedad de medios a través
de los cuales se compila información de las personas sin su consentimiento, tal como
sucede en algunos sitios de Internet que cruzan datos de las personas que las visitan y
conforman un perfil del interesado.
La existencia de enormes bancos de datos que contienen gran cantidad de información re-
ferida a las personas es una consecuencia de la informática y sin la cual sería imposible su
existencia. Lo importante es la finalidad para el cual se usa la información allí almacenada
para evitar que seamos discriminados debido a un uso desatinado de sus datos.
Con la expedición de la Ley Nº 29733 – Ley de Protección de Datos Personales y de

su respectivo Reglamento, aprobado con Decreto Supremo Nº 003-2013-JUS, el Perú
cuenta ya con un marco jurídico para garantizar el respeto al derecho fundamental a la
protección de datos personales, lo que en sí mismo constituye, qué duda cabe, un sig-
nificativo avance que abona en favor de fortalecer los mecanismos de protección de los
derechos fundamentales de las personas en nuestro país.
Ambas normas desarrollan no sólo los derechos de los titulares del dato personal, sino
que también se ocupan de las obligaciones de los titulares y encargados de los bancos
de datos personales, cuya actuación debe ajustarse al contenido de dicho marco jurídico
y a los principios rectores que guían todo tratamiento de la información personal.
4
Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos
de datos personales la implementación de medidas de seguridad adecuadas que les
permitan el tratamiento de los datos personales que administran, preservando la confi-
dencialidad, disponibilidad e integridad de aquellos, lo que, en buena cuenta, significa
dar cumplimiento al marco normativo dado por la Ley de Protección de Datos Persona-
les y su respectivo Reglamento.
Es en ese contexto, que la emisión de la Directiva de Seguridad de la Información Ad-

ministrada por los Bancos de Datos Personales, aprobada por Resolución Directoral Nº
019-2013-JUS/DGPDP, de la Autoridad Nacional de Protección de Datos Personales,
órgano especializado del Ministerio de Justicia y Derechos Humanos, es de suma im-
portancia, pues resulta ser un instrumento que posibilita un accionar ajustado a derecho
de aquellas personas, sean naturales o jurídicas, que realizan tratamiento de datos per-
sonales y es que, como la propia Directiva lo señala, ésta orienta sobre las condiciones,
requisitos y las medidas técnicas que deben tomar en cuenta para el cumplimiento de
las normas anteriormente citadas.
La construcción de una verdadera cultura de protección de datos personales, esfuerzo al

que se ha comprometido el Ministerio de Justicia y Derechos Humanos y particularmente
la Autoridad Nacional de Protección de Datos Personales, pasa no sólo por contar con
un sistema de imposición de sanciones, sino que, lejos de ello, se trata de ejercer sobre
quienes realizan el tratamiento de datos personales una función pedagógica y orientadora.
Ello se verifica con la dación de una directiva de seguridad que consideramos es un

instrumento normativo técnico de avanzada que la Autoridad Nacional de Protección de
Datos Personales ha elaborado con responsabilidad y minuciosidad, en cumplimiento de
la Ley Nº 29733 – Ley de Protección de Datos Personales.
Se trata de una importante gestión más que el gobierno da en aras de consolidar e ins-
titucionalizar un adecuado nivel de protección de datos personales.
Mg. José Ávila Herrera

Viceministro de Derechos Humanos y Acceso a la Justicia
5
Presentación
La Autoridad Nacional de Protección de Datos Personales -APDP- del Ministerio
de Justicia y Derechos Humanos, de conformidad con lo dispuesto por la segunda
disposición complementaria final de la Ley N° 29733, ha tenido a su cargo la elaboración
de una directiva de seguridad para poner al servicio de todos los titulares de bancos
de datos personales un instrumento que facilite el cumplimiento de la Ley. Esa es
la finalidad central de este documento y es por ello que no hemos querido hacer un
documento con términos generales o lugares comunes, que hubiera significado cumplir
con esta obligación “formalmente” pero sin aportar nada concreto.
Consideramos que eso hubiera ocurrido si hubiéramos entregado una directiva limitada
a la enumeración de obligaciones (que ya están en la ley) o si hubiéramos desarrollado
criterios o disposiciones de modo previo a la vigencia del reglamento de la ley, con
el riesgo de que el reglamento resultara con un contenido que dejara descolada a la
directiva. No podíamos pues, “poner la carreta delante de los caballos”. Teniendo la ley
y su reglamento vigentes plenamente, ya tenía sentido culminar esta directiva y así lo
hemos hecho, lo más pronto que ha sido posible.
Para evitar que este documento sea repetitivo respecto de la ley o el reglamento y, por
el contrario, constituya una herramienta útil de trabajo para quien requiera consultarla,
ha sido necesario replicar las preguntas, las dudas, las necesidades y las circunstancias
que pueden acompañar a los concernidos por la ley, para encontrarles respuestas
y soluciones. Para ello ha sido preciso “cruzar” los criterios que pueden describir y
caracterizar los bancos o tratamientos de datos, como son: el tipo de datos (generales
o sensibles), el numero de datos de cada persona, el número de personas y el tiempo
previsto o previsible de uso de la información, entre otros.
6
Este cruce, ordenado y sistematizado de criterios, permite ubicar las características
de cada banco de datos, lo cual constituye el paso previo para relacionarlo con las
medidas de seguridad indicadas o sugeridas como una suerte de “diseño a la medida”
porque entendemos que lo que el administrado requiere es justamente pasar del texto
general de la norma a un plan de adecuación para su caso concreto. Esperamos que
esta directiva cumpla ese simple pero trascendental papel a favor de los administrados.
Para terminar quisiera dejar constancia de dos cosas:
Primero: Esta es una directiva, es decir una indicación de cómo pueden hacerse las
cosas, un documento facilitador. Si los administrados encuentran que pueden cumplir
las normas de seguridad con criterios o protocolos distintos pero igualmente eficientes
deben recordar que su obligación es adecuarse a la ley y el reglamento, no a la directiva,
que es solo un documento facilitador.
Segundo: Este documento estará en permanente revisión, justamente porque debe

considerarse un documento de trabajo, cuyo valor estará siempre dado por su utilidad.
José Alvaro Quiroga León

Director de la Autoridad Nacional de Protección de Datos Personales
7
I. ESTRUCTURA
La presente directiva orienta sobre las condiciones, los requisitos y las medidas técnicas que se deben
tomar en cuenta para el cumplimiento de la Ley Nº 29733, Ley de Protección de Datos Personales y
su reglamento, aprobado a través del Decreto Supremo Nº 003-2013-JUS, en materia de medidas de
seguridad de los bancos de datos personales.
Las condiciones constituyen recomendaciones que facilitan o generan impacto favorable para la
implementación de los requisitos, habilitando un entorno apropiado para la comprensión y desarrollo de las
actividades necesarias.
Los requisitos corresponden a condiciones que deben ser demostrables, para considerar que se ha
cumplido la presente directiva.
Las medidas técnicas son aquellas que se consideran coherentes para cumplir con los requisitos.
Tanto los requisitos como las medidas a implementar pueden ser variables y por ello están segmentadas
atendiendo a criterios, como –por ejemplo- el tipo de tratamiento.
Así tenemos que, se asigna un color para facilitar la identificación en los cuadros mostrados:
BÁSICO
SIMPLE
INTERMEDIO
COMPLEJO
CRÍTICO
La categorización se describe en el apartado 1.1.
El numeral 3 describe de manera general el procedimiento para desarrollar la presente directiva.
El numeral 4 incluye disposiciones complementarias que pueden facilitar el proceso de implementación de

la presente directiva y con ello el cumplimiento de la Ley Nº 29733, Ley de Protección de Datos Personales,
y su reglamento.
Finalmente se presentan tres anexos de apoyo:
Anexo A: Glosario de términos aplicables en la lectura de la presente directiva.

Anexo B: Orientación para bancos de datos personales de tipo básico o simple.
Anexo C: Orientación para bancos de datos personales de tipo complejo o crítico.
8
II. OBJETIVO
a) Objetivo General:
Garantizar la seguridad de los datos personales contenidos o destinados a ser contenidos en bancos de
datos personales, mediante medidas de seguridad que protejan a los bancos de datos personales, de
conformidad con la Ley Nº 29733 y su reglamento.
b) Objetivos Específicos:
a. Brindar lineamientos para determinar las condiciones de seguridad en el tratamiento de datos

personales a cumplir por el titular del banco de datos personales.
b. Brindar lineamientos para determinar las medidas organizativas a cumplir por el titular del
banco de datos personales.
c. Brindar lineamientos para determinar las medidas legales a cumplir por el titular del banco de
datos personales.
d. Brindar lineamientos para determinar medidas técnicas a cumplir por el titular del banco de
datos personales.
e. Brindar lineamientos para determinar las medidas de seguridad que resulten apropiadas,
en función a las características de cada caso concreto, a partir de considerar criterios de
diferenciación basados en las características del tratamiento de datos personales que se vaya
a efectuar y en las características de datos personales que se tratan.
III. BASE LEGAL

a) Constitución Política del Perú.
b) Ley N° 29733, Ley de Protección de Datos Personales.
c) Decreto Supremo 003-2013-JUS, aprueba el Reglamento de la Ley Nº 29733, Ley de Protección

de Datos Personales.
d) Decreto Supremo 011-2012-JUS, aprueba el Reglamento de Organización y Funciones del

Ministerio de Justicia y Derechos Humanos.
9
e) Resolución Ministerial Nº 246-2007-PCM, aprueba la Norma Técnica Peruana “NTP ISO/

IEC 17799:2007 EDI, Técnicas de seguridad, Código de Buenas Prácticas para la gestión de
seguridad de la información. 2a Edición”.
f) Resolución Ministerial 129-2012-PCM, aprueba el uso obligatorio de la norma técnica peruana

“NTP-ISO/IEC 27001:2008 EDI Tecnologías de la Información. Técnicas de Seguridad.
Sistemas de Gestión de Seguridad de la Información en todas las entidades integrantes del
Sistema Nacional de Informática”.
IV. ALCANCE
La presente directiva es aplicable a los bancos de datos personales de administración pública o privada
de acuerdo a lo establecido en la Ley N° 29733 y su reglamento.
V. RESPONSABILIDAD
En el marco de la presente directiva, se tiene en cuenta la atribución de responsabilidades, desde el origen
hasta la disposición de los datos personales, que debe tomarse en cuenta para mantener la coherencia
y la concordancia de la actuación de quienes participan en la protección de los datos personales con los
objetivos y medidas de seguridad a implementar.
a) Titular de datos personales

Es responsable de sus propios datos personales, debe tomar en cuenta que su consentimiento para el
tratamiento de sus datos personales debe ser libre, previo e informado y verificar que su consentimiento
sea registrado en los términos en que expresa e inequívocamente lo ha dado. Es responsable de conocer
y ejercer los derechos conferidos por la Ley N° 29733, Ley de Protección de Datos Personales.
b) Titular del banco de datos personales

a. Es responsable de otorgar y mantener el nivel suficiente de protección a los datos personales
contenidos en el banco de datos personales que tenga bajo su titularidad.
b. Es responsable por la determinación y cumplimiento de la finalidad y del contenido del banco de

datos personales bajo su titularidad.
c. Es responsable por el tratamiento de los datos personales contenidos en el banco de datos

personales bajo su titularidad.
10
d. Es responsable de garantizar el cumplimiento de los derechos del titular de los datos personales
conferidos en la Ley N° 29733, Ley de Protección de Datos Personales.
c) Autoridad Nacional de Protección de Datos Personales

a. Es responsable de realizar todas las acciones necesarias para el cumplimiento de la Ley
N° 29733, Ley de Protección de Datos Personales, y su reglamento.
b. Es responsable de ejercer las funciones administrativas, orientadoras, normativas, resolutivas,

fiscalizadoras y sancionadoras señaladas en la Ley N° 29733, Ley de Protección de Datos
Personales, y su reglamento.
c. Es responsable de la administración del Registro Nacional de Protección de Datos Personales.
d. Es responsable del seguimiento y evaluación de la presente directiva.
e. Es responsable de la revisión de esta directiva de seguridad a fin de mantener su aplicabilidad

e idoneidad. El periodo de revisión es, cuando menos, bianual.
MEDIDAS DE SEGURIDAD
1. DISPOSICIONES GENERALES
1.1 Categoría:
1.1.1 Para efectos de la presente directiva, se debe considerar la siguiente clasificación de cate-
gorías en el tratamiento de datos personales y el principio de proporcionalidad descrito en
el artículo 7 de la Ley N° 29733 cuando no exista coincidencia exacta:
a) Básico, corresponde a la categoría de menor nivel e incluye a bancos de datos personales que:
• No contengan la información de más de cincuenta (50) personas.

• Número de datos personales no mayor a cinco (05). Por ejemplo nombres, apellidos, DNI,
dirección y teléfono.
• No incluyen datos sensibles.
• Tienen como titular a una persona natural.
b) Simple, corresponde a bancos de datos personales que:
• No contengan la información de más de cien (100) personas.

• El periodo de tiempo del tratamiento para cumplir con la finalidad es inferior a un (01) año.
11
• No incluyen datos sensibles.

• Tiene como titular a una persona natural o jurídica.
c) Intermedio, corresponde a bancos de datos personales que:
• Contienen la información de hasta mil (1000) personas.

• Sirven para tratamiento de datos personales cuya finalidad se cumple en un plazo
indeterminado o superior a un (01) año.
• Puede incluir datos sensibles.
• Tiene como titular a una persona natural o jurídica.
d) Complejo, corresponde a bancos de datos personales que:
• Sirven para el tratamiento de datos personales cuya finalidad se cumple en un plazo

indeterminado o superior a un (01) año.
• Sirven para el tratamiento de datos personales que es realizado en múltiples localizaciones
(Oficinas o dependencias diferentes en la misma ciudad o ciudades diferentes, servicios
tercerizados o similares).
• Tiene como titular a una persona jurídica o entidad pública.
e) Crítico, corresponde la categoría de mayor nivel e incluye a bancos de datos personales que:
• Sirven para el tratamiento de datos personales cuya finalidad está respaldada por una
norma legal.
• Sirven para el tratamiento de datos cuya finalidad se cumple en un plazo indeterminado o
superior a un (01) año.
• Sirven para el tratamiento de datos personales que es realizado en múltiples localizaciones
(Oficinas o dependencias diferentes en la misma ciudad o ciudades diferentes, servicios
tercerizados o similares).
• Tiene como titular a una persona jurídica o entidad pública.
1.1.2 Justificación de los criterios

Los criterios que permiten categorizar los bancos de datos han sido determinados tomando en
cuenta lo siguiente:
a) Volumen de registros.- Es importante considerar que existe una diferencia importante entre
realizar el tratamiento manual de los datos personales de veinte (20) personas que de un
millón, toda vez que se requiere mecanismos, procesos y herramientas diferentes.
El tratamiento de altos volúmenes de datos personales requiere, actualmente, el uso de

tecnologías de la información, lo cual, incorpora mejoras fundamentales en los tiempos de
12
procesamiento, pero también incorpora un conjunto de vulnerabilidades asociadas a la
tecnología utilizada, por lo que los niveles de protección deben ser adecuados y comúnmente
son mayores a los de un tratamiento sin tecnologías de la información.
b) Número de datos.- El número de datos personales de cada titular de datos personales que se
procesa es un criterio a considerar porque incluye un mayor nivel de detalle sobre el titular de
los datos personales con o sin la inclusión de datos sensibles.
c) Periodo de tiempo para la finalidad del tratamiento de datos personales.- El tener un

periodo de tiempo indeterminado o muy largo, para cumplir la finalidad del tratamiento, implica
un aumento en el nivel de seguridad que debe observarse en el almacenamiento que se de a
los datos personales durante el periodo del tratamiento, así como en el nivel de impacto sobre
el titular de los datos personales en caso de pérdida de la información, lo que puede conducir
a la implementación de mecanismos de recuperación ante desastres o no.
d) La titularidad del banco de datos personales.- Proporciona un criterio de selección que

principalmente separa los extremos de las categorías. Es decir, no se le puede asignar a una
persona natural una categoría de altísimo nivel porque no dispone de los recursos necesarios,
ni será necesario –como regla general- que implemente las medidas más complejas.
En el caso de las entidades públicas, se cuenta con la Resolución Ministerial 129-2012-PCM,

que las obliga a implementar un sistema de gestión de seguridad de la información. Con lo
cual, no se les puede asignar una categoría de menor nivel, debido a que la información que
manejan impacta directamente en los titulares de datos personales. Sin embargo, para las
categorías simple, intermedio y complejo se pueden tener combinaciones más acordes al tipo
de tratamiento que se realice.
e) Finalidad del tratamiento de datos personales respaldada por norma legal.- Tiene especial
impacto por ser obligatorio, esto determina el tipo crítico.
f) Múltiples localizaciones.- El acceso o tratamiento distribuido incorpora un nivel de atención

especial porque incluye la transferencia de datos entre múltiples locales de tratamiento (ubica-
ciones diferentes, pueden ser inmuebles diferentes en la misma ciudad o ciudades diferentes),
lo que genera complejidad y puede hacerlo crítico.
g) Tratamiento de datos sensible.- Al incluir estos datos se debe tomar medidas de protección
como mínimo de categoría intermedio.
Así podemos hacer algunos cruces para explicar la categorización:
13
Figura 1: Volumen de datos / Número de datos

Número de Datos Personales
Simple Intermedio Complejo Crítico
Básico Simple Intermedio Complejo Crítico
50 100 1000
Volumen de Registro de Datos Personales
Figura 2: Volumen de registros / Tiempo para cumplir la finalidad

Tiempo para cumplir la finalidad
Intermedio Intermedio Intermedio Complejo Crítico

1 año
50 100 1000
14
Figura 3: Volumen de registros / Titularidad del banco de datos personales
Persona Pública

Titularidad
Persona Natural Persona Jurídica
Básico Simple Intermedio
50 100 1000
15
1.1.3 Matriz de apoyo para la selección de categoría en el tratamiento de datos personales.
Ítem Criteri o Bási co Si mple Interm edi o Complejo Críti co

1 Volumen de registros, número

de titulares de datos personales
que consienten el tratamiento de Hasta 50 Hasta 100 Hasta 1000 Indeterminado Indeterminado
sus datos. (Criterio utilizado para
determinar las categorías).
2 Número de datos personales en

banco de datos personales que
no contienen datos sensibles. Hasta 5 Más de 5 Más de 5 Más de 5 Más de 5
(Criterio utilizado para determinar
el tipo básico).
3 Finalidad del tratamiento de datos

personales respaldada por ley
o similar. (Criterio utilizado para No aplica No aplica No aplica No aplica Aplica
determinar el tipo crítico).
4 Periodo mayor a un (01) año o

indeterminado para cumplir la
tratamiento
finalidad (tiempo de No aplica No aplica Aplica Aplica Aplica
de los datos personales).
5 Tipo de Titular del banco de datos

personales: persona natural. (Cri-
Aplica Aplica Aplica No aplica No aplica
terio utilizado para determinar el
tipo entre básico a intermedio).
6 Tipo de Titular del banco de da-

tos personales: persona jurídica.
(Criterio utilizado para
determinar No Aplica Aplica Aplica Aplica Aplica
la categoría entre simple a
complejo).
7 Titular del banco de datos per-

sonales del tipo persona jurídica
o entidad pública con múltiples
localizaciones desde las cuales
se tiene acceso al banco de datos

personales o se realiza trata- No Aplica No aplica No aplica Aplica Aplica
miento de los datos personales.
(Criterio utilizado para determinar
la categoría complejo o crítico).
8 El banco de datos personales

puede incluir datos sensibles.

(Criterio utilizado para determinar No Aplica No aplica Aplica Aplica Aplica
la categoría entre Intermedio a
crítico).
16
1.2 Condiciones de seguridad:
1.2.1 Condiciones de seguridad externas
a) Marco legal apropiado (leyes, reglamentos, o similares).
b) Conocimiento y conciencia (conocer la importancia de la protección de los datos personales, la

Ley N° 29733, Ley de Protección de Datos Personales, y su reglamento).
1.2.2 Condiciones de seguridad internas
a) Compromiso del titular del banco de datos personales (para brindar los recursos y dirección en
la protección de los datos personales).
b) Comprender el contexto institucional en el tratamiento y protección de los datos personales

(Contexto organizativo, tecnológico, jurídico, legal, contractual, regulatorio, físico, etc.).
c) Determinar claramente las responsabilidades y roles organizacionales apropiados con la

suficiente autoridad y recursos para liderar y hacer cumplir la política de seguridad para la
protección de datos personales.
d) Enfoque de gestión del riesgo de los datos personales contenidos o destinados a ser contenidos
en los bancos de datos personales.
17
1.3 Requisitos de seguridad:
1.3.1 Sin perjuicio de las condiciones de seguridad, se deben cumplir los requisitos de seguridad
señalados a continuación:
Aplica a la categoría de tratamiento:
Ítem Criterio Básico Simple Intermedio Complejo Crítico
1.3.1.1 Determinar y dar a conocer una política de protec-

ción de datos personales: Una declaración breve y Pueden utili- Pueden utili-
directa que demuestre el compromiso institucional zar el modelo zar el modelo
y el involucramiento de sus autoridades con la pro- Incorporar Incorporar Incorporar
incluido en incluido en
tección de los datos personales en el tratamiento ítem 1.4.1 ítem 1.4.1 ítem 1.4.1
el Anexo B el Anexo B
que se de a los datos personales contenidos en el
banco de datos personales bajo su titularidad.

1.3.1.2 Mantener la gobernabilidad completa de los proce-
sos involucrados en el tratamiento de los datos per-
sonales, es decir conocer los procesos y procedi-
mientos y tener control de las decisiones sobre los Requerido Requerido Requerido Requerido Requerido
procesos involucrados en el tratamiento de datos
personales cuando estos sean tercerizados o no.
Implementar Implementar Implementar Implementar Implementar

1.3.1.3 Implementación de las medidas de seguridad se- medidas de medidas de medidas de medidas de medidas de
gún las disposiciones específicas del numeral 2. seguridad de seguridad de seguridad de seguridad de seguridad de
tipo básico tipo simple tipo intermedio complejo tipo crítico
1.3.1.4 Implementar y mantener los siguientes procedi- Incorporar Incorporar Incorporar Incorporar
mientos documentados. Opcional ítem 1.4.2 ítem 1.4.3 ítem 1.4.3 ítem 1.4.4
1.3.1.5 Adoptar un enfoque de riesgos y basar las decisio-

nes en el plan de tratamiento de riesgos del banco Opcional Opcional Requerido Requerido Requerido
de datos personales.
1.3.1.6 Alineamiento a los requisitos según NTP-ISO/IEC

27001 o ISO/IEC 27001 en su edición vigente, in- Opcional Requerido Requerido
No aplica Opcional
corporando dentro del alcance del SGSI los bancos
de datos personales.
Opcional (ver Opcional (ver

1.3.1.7 Desarrollar y mantener un documento maestro de
cuaderno de cuaderno de
seguridad de la información del banco de datos Requerido Requerido Requerido
seguridad en seguridad en
personales.
el anexo B) el anexo B)
Declaración Declaración Incorporar Incorporar Incorporar

jurada simple jurada simple el requisito el requisito el requisito
indicando indicando dentro le los dentro le los dentro le los
1.3.1.8 Desarrollar y mantener actualizado un documento nombres, nombres, formatos, pro- formatos, formatos,
de compromiso de confidencialidad en el trata- apellidos, apellidos, cedimientos procedi- procedi-
miento de datos personales (articulo 17 de la Ley DNI y firma DNI y firma o procesos mientos o mientos o
N° 29733), aplicable al personal relacionado con el (puede estar (puede estar apropiados procesos procesos
tratamiento de datos personales. incluido en el incluido en el en la organi- apropiados apropiados
cuaderno de cuaderno de zación. en la organi- en la organi-
seguridad - seguridad - zación. zación.
ver anexo B). ver anexo B).
18
1.4 Información complementaria sobre requisitos (para aplicar según cuadro de requisitos)
1.4.1 La política de protección de datos personales es una declaración formal de compromiso y

debe considerar:
a) Ser clara y comprensible, tanto para el personal involucrado en el tratamiento como para los
titulares de datos personales que hayan consentido el tratamiento.
b) Ser apropiada para los objetivos de la organización.
c) Proporciona un lineamiento de alto nivel organizacional y objetivos claros que sirven de dirección
para la implementación de las condiciones, requisitos y medidas de seguridad apropiadas.
d) Incluir un compromiso de cumplimiento de los requisitos de seguridad aplicables.
e) Incluir compromiso de respeto a los principios de la Ley N° 29733, Ley de Protección de Datos
Personales.
f) Incluir un compromiso de mejora continua.
g) Comunicarse oportuna y claramente al interior de la organización.
1.4.2 Se debe lograr la implementación y el mantenimiento de los siguientes procedimientos

documentados:
a) Control de documentos y registros.
b) Registros de personal con acceso autorizado.
c) Registro de incidentes y medidas adoptadas.
1.4.3 Se debe lograr la implementación y mantener los siguientes procedimientos documentados
a) Control de documentos y registros.
b) Registros de acceso.
c) Registro de auditorías.
d) Registro de incidentes y problemas.
1.4.4 Procedimientos documentados requeridos en el Sistema de Gestión de la Seguridad de la

Información -SGSI, incluyendo además un registro de control de acceso, según el artículo 39
del reglamento de la Ley N° 29733.
19
2. DISPOSICIONES ESPECÍFICAS
a) Para los tratamientos determinados como complejos o críticos, se deben implementar los
controles adecuados de un sistema de gestión de seguridad de la información bajo los requisitos
y controles de la NTP-ISO/IEC 27001 EDI en su edición vigente, incorporando a los bancos de
datos personales dentro del alcance del SGSI, asegurando como mínimo el cumplimiento de
las medidas indicadas a continuación y que los riesgos asociados al banco de datos personales
sean adecuadamente gestionados.
b) El titular del banco de datos personales debe designar un responsable de seguridad del banco
de datos personales, quien coordinará en la institución la aplicación de la presente directiva. El
rol de responsable de seguridad del banco de datos personales debe asignarse a una persona
que tenga las capacidades y autoridad necesaria para el desarrollo de sus funciones. Cuando
dicha designación no exista, se entiende que el rol de responsable de seguridad del banco de
datos personales recae en el titular del banco de datos personales.
c) Las referencias a documentos o registros pueden estar en cualquier formato o tipo de medio
(Hoja impresa, cuaderno, página web, afiche, registro de video, entre otros).
d) Limitar los bancos de datos personales a los datos estrictamente necesarios para cumplir la
finalidad para la cual fueron acopiados.
e) Evaluar la posibilidad de implementar mecanismos de anonimización o disociación aplicables.
20
2.1 Medidas de Seguridad Organizativas
Solo considera al Solo considera al

titular del banco de titular del banco de
datos personales y datos personales y
al o a los encarga- al o a los encarga-
2.1.1 Desarrollar una estructura organizacional dos del tratamiento dos del tratamiento
con roles y responsabilidades de acuerdo a de datos perso- de datos perso-
la proporcionalidad de los datos a proteger. nales. (Cuando el nales. (Cuando el Requerido Requerido Requerido
tratamiento no lo tratamiento no lo
realice exclusiva- realice exclusiva-
mente el titular del mente el titular del
banco de datos banco de datos
personales) personales)
2.1.2 Compromiso documentado de respeto a los Puede utilizar el Puede utilizar el

principios de la ley. modelo citado en modelo citado en Requerido Requerido Requerido
el Anexo B el Anexo B
2.1.3 Llevar un control y registro de los operadores

con acceso al banco de datos personales con el
objetivo de poder identificar al personal con ac- Opcional Opcional Opcional Requerido Requerido
ceso en determinado momento (Trazabilidad).
Requerido. (dichas Requerido. (dichas

2.1.4 Revisar periódicamente la efectividad de las revisiones pueden revisiones pueden
medidas de seguridad adoptadas y registrar estar registradas estar registradas
dicha verificación en un documento adjunto al Requerido Requerido Requerido
en el cuaderno de en el cuaderno de
banco de datos personales. seguridad citado seguridad citado
en el anexo B) en el anexo B)
2.1.5 Adecuación de los sistemas de gestión o

aplicaciones existentes que intervengan en el
tratamiento de datos personales, conforme a Opcional Opcional Opcional Requerido Requerido
la Ley N° 29733, Ley de Protección de Datos
2.1.6 Adecuación de los procesos del negocio

involucrados en el tratamiento de datos
personales a los requisitos establecidos en Opcional Opcional Opcional Requerido Requerido
la Ley N° 29733, Ley de Protección de Datos
2.1.7 Desarrollar procedimientos documentados ade-

Opcional Opcional Requerido Requerido Requerido
cuados para el tratamiento de datos personales.
2.1.8 Desarrollar un programa de creación de

conciencia y entrenamiento en materia de Opcional Opcional Requerido Requerido Requerido
protección de datos personales.
2.1.9 Desarrollar un procedimiento de auditoría res-

pecto de las medidas de seguridad implementa- Opcional Opcional Requerido Requerido Requerido
das, teniendo como mínimo una auditoría anual.
2.1.10 Desarrollar un procedimiento de gestión de inci- Requerido

Opcional Opcional Requerido Requerido
dentes para la protección de datos personales.
2.1.11 Desarrollar un procedimiento de asignación de

privilegios de acceso al banco de datos perso- Opcional Requerido Requerido Requerido Requerido
nales y su correspondiente registro de acceso.
21
2.2 Medidas de Seguridad Jurídicas
Requerido Requerido
(pueden estar (pueden estar
2.2.1 Mantener los formatos de consentimiento para registradas en registradas en
el tratamiento de datos personales, adecuados y el cuaderno el cuaderno Requerido Requerido Requerido
de conformidad con la finalidad para la cual son de seguridad de seguridad
acopiados. citado en el citado en el
anexo B) anexo B)
2.2.2 Adecuación de los contratos del personal rela-

cionado con el tratamiento de datos personales, Opcional Opcional Requerido Requerido Requerido
incluyendo la coherencia con el requisito 1.3.1.8.
2.2.3 Adecuación de los contratos con terceros, incluyen-

do la coherencia con el requisito 1.3.1.8.
2.3 Medidas de Seguridad Técnicas
2.3.1 Medidas de Seguridad Técnicas relacionadas al acceso no autorizado al banco de datos

personales.
Medidas generales
2.3.1.1 Gestión y uso de contraseñas cuando el tratamiento se realice con medios

informáticos.
Se debe controlar la asignación y el uso de las contraseñas de los usuarios de los sistemas de
información que realizan tratamiento de datos personales mediante la adopción de las siguientes
medidas:
a) Solicitar a los usuarios que mantengan en secreto las contraseñas asignadas.
b) Cuando se utilice un servidor de autenticación, éste debe almacenar las contraseñas de manera
cifrada.
c) Permitir que el usuario cambie la contraseña asignada cuando lo considere necesario.
d) Requerir el uso de contraseñas que contengan al menos 8 dígitos y que sean alfanuméricas
(mayúsculas, minúsculas y números) y al menos incluyan un caracter especial.
22
e) Cuando el acceso al sistema esté expuesto en entornos públicos (intranet, internet o similares),
se debe bloquear al usuario luego de cinco (05) intentos fallidos de autenticación consecutivos.
2.3.1.2 Revisión y registro de los privilegios de acceso.
Se debe revisar periódicamente que los privilegios de acceso a los datos personales correspondan
al personal autorizado. Esta revisión debe generar un registro de revisión que evidencie la
realización de dicha revisión.
El periodo de revisión depende de las políticas organizacionales y el tipo de datos personales que
contenga el banco de datos personales. Esta debe realizarse por lo menos semestralmente.
2.3.1.3 Proteger el banco de datos personales contra acceso físico no autorizado mediante
algún mecanismo de bloqueo físico, limitando el acceso solo a los involucrados en el
tratamiento de datos personales debidamente autorizados (en caso de banco de datos
personales no autorizado).
Ubicar el Ubicar el Cuando se contengan Cuando se contengan Cuando se contengan

banco de datos banco de datos datos sensibles, datos sensibles, datos sensibles,
personales en personales en ubicar el banco de ubicar el banco de ubicar el banco de
un gabinete, un gabinete, datos personales datos personales datos personales
caja, cajón de un caja, cajón de un en un ambiente en un ambiente en un ambiente
mueble, gaveta o mobiliario, gaveta aislado protegido por aislado protegido por aislado protegido por
similar siempre y o similar siempre cerradura o similar cerradura o similar cerradura o similar
cuando tenga una y cuando tenga mecanismo, donde mecanismo, donde mecanismo, donde
cerradura con una cerradura con la responsabilidad la responsabilidad la responsabilidad
llave o similar, llave o similar, del mecanismo de del mecanismo de del mecanismo de
la cual será la cual será acceso recae en el acceso recae en el acceso recae en el
responsabilidad responsabilidad titular del banco de titular del banco de titular del banco de
del operador del del operador del datos personales o un datos personales o un datos personales o un
banco de datos banco de datos responsable delegado responsable delegado responsable delegado
personales. personales. por el titular del banco por el titular del banco por el titular del banco
de datos personales. de datos personales. de datos personales.
23
2.3.1.4 Cuando se utilicen mecanismos informáticos para el tratamiento de datos personales

se debe proteger el banco de datos personales contra acceso lógico no autorizado mediante
algún mecanismo de bloqueo lógico, limitando el acceso solo a los involucrados en el
tratamiento de datos personales debidamente autorizados.
Cada usuario Cada usuario Los usuarios deben Los usuarios Los usuarios
con acceso con acceso tener un identificador deben tener un deben tener un
a los datos a los datos único de acceso identificador identificador
personales o al personales o al asociado a perfiles único de acceso único de acceso
banco de datos banco de datos de usuarios y los asociado a perfiles asociado a perfiles
personales debe personales debe accesos autorizados de usuarios y los de usuarios y los
estar claramente estar claramente para cada uno de accesos autorizados accesos autorizados
identificado y identificado y ellos. Asimismo, para cada uno de para cada uno de
utilizar como utilizar como se debe contar ellos. Asimismo, ellos Asimismo, se
mínimo una mínimo una con mecanismos se debe contar debe contar con
validación validación de restricción para con mecanismos mecanismos de
de acceso de acceso evitar el acceso de restricción para restricción para
mediante el mediante el a recursos no evitar el acceso evitar el acceso
uso de usuario/ uso de usuario/ autorizados. a recursos no a recursos no
contraseña contraseña La autenticación autorizados.La autorizados.
independiente independiente de usuarios puede autenticación de La autenticación
para cada para cada estar basada en usuarios puede de usuarios puede
persona que persona que contraseñas o estar basada en estar basada en
tenga acceso. tenga acceso. mecanismos de contraseñas o contraseñas o
fuerte autenticación mecanismos de mecanismos de
como el uso de fuerte autenticación fuerte autenticación
toquen, dispositivos como el uso de como el uso de
biométricos, firmas toquen, dispositivos toquen, dispositivos
digitales, tarjetas biométricos, firmas biométricos, firmas
inteligentes, tarjetas digitales, tarjetas digitales, tarjetas
de coordenadas, inteligentes, tarjetas inteligentes, tarjetas
entre otros. de coordenadas, de coordenadas,
entre otros. entre otros.
24
2.3.1.5 El titular del banco de datos personales, o quien este designe, debe autorizar o retirar
el acceso de usuarios que realicen tratamiento de datos personales. Dicha autorización
debe registrarse.
Se debe Se debe El titular, o quien El titular, o quien El titular, o quien

mantener mantener éste designe, debe éste designe, éste designe,
un registro un registro autorizar o retirar el debe autorizar o debe autorizar o
actualizado actualizado acceso de usuarios a retirar el acceso retirar el acceso
de usuarios de usuarios los datos personales de usuarios a los de usuarios a los
con acceso con acceso contenidos en el datos personales datos personales
autorizado para autorizado para banco de datos contenidos en el contenidos en el
el tratamiento el tratamiento personales, dicha banco de datos banco de datos
de datos de datos operación debe ser personales, dicha personales. Dicha
personales y al personales. registrada. operación debe ser operación debe ser
banco de datos (Puede Los datos registrada. registrada.
personales. registrarse en personales a Los datos a registrar Los datos a registrar
(Puede el cuaderno de registrar deben deben incluir como deben incluir como
registrarse en seguridad citado incluir como mínimo: mínimo: mínimo:
el cuaderno de en el anexo B)
seguridad citado • Usuario (en • Usuario (en • Usuario (en
en el anexo B) sistemas sistemas sistemas
informáticos el informáticos el informáticos el
identificador de identificador de identificador de
usuario) usuario). usuario)
• Fecha y hora • Fecha y hora • Fecha y hora
de asignación de asignación de asignación
y/o retiro de y/o retiro de y/o retiro de
autorización del autorización del autorización del
usuario. usuario. usuario.
• Usuario que • Usuario que • Usuario que
autoriza. autoriza. autoriza.
25
2.3.1.6 Identificar los accesos realizados a los datos personales para su tratamiento.
Implementar un Implementar un Implementar un

registro de accesos registro de accesos registro de accesos
al banco de datos al banco de datos al banco de datos
personales, el cual personales, el cual personales, el cual
debe contener al debe contener debe contener
menos los siguientes al menos los al menos los
campos: siguientes campos: siguientes campos:
Opcional Opcional • Fecha y hora del • Fecha y hora del • Fecha y hora del
acceso. acceso. acceso.
• Persona o • Persona o • Persona o
personas que personas que personas que
realiza el acceso. realiza el acceso. realiza el acceso.
• Identificador del • Identificador del • Identificador del
titular de los datos titular de los datos titular de los datos
personales a personales a personales a
tratar (mediante tratar (mediante tratar (mediante
mecanismo mecanismo mecanismo
de disociación de disociación de disociación
aplicado). aplicado). aplicado).
• Motivo del acceso. • Motivo del • Motivo del
acceso. acceso.
2.3.2 Medidas de Seguridad Técnicas relacionadas a la alteración no autorizada del banco de

datos personales.
2.3.2.1 Autorización para el retiro o traslado de datos personales.
Todo traslado de datos personales hacia lugares fuera de los ambientes en donde se ubica el banco
de datos personales debe contar con la autorización del titular del banco de datos personales o
quien éste designe para ello.
2.3.2.2 Traslado de datos personales.
Todo traslado de datos personales debe considerar:
a) Los datos en soporte físico deben estar contenidos en un contenedor que evite su acceso y
legibilidad, así como un mecanismo de verificación de la no vulneración del contenedor.
b) Los datos contenidos en soporte informático deben transportarse previa encriptación y un

mecanismo de verificación de la integridad (checksum MD5, firma digital o similar).
26
2.3.2.3 Eliminación de la información contenida en medios informáticos removibles.
Cuando se requiera eliminar la información contenida en un medio informático removible se deben

utilizar mecanismos seguros de eliminación que incluyan el borrado total de la información y/o la
destrucción del medio; de forma tal que, no permitan la recuperación de los datos.
El titular del banco de datos personales debe designar a las personas autorizadas a eliminar la
información de datos personales contenida en los medios informáticos removibles.
2.3.2.4 Seguridad en la copia o reproducción de documentos.
Cuando sea necesario, el titular del banco de datos personales debe designar a las personas
autorizadas a generar y/o eliminar las copias o reproducciones de los datos personales.
Se deben implementar las siguientes medidas para preservar la confidencialidad de los datos
personales:
a) Utilizar impresoras, fotocopiadoras, scanner u otros equipos de reproducción autorizados.
b) Supervisar el proceso de copia o reproducción de los documentos. No dejar desatendido el

equipo.
c) Retirar los documentos originales y las copias del equipo inmediatamente después de finalizada
la copia o reproducción.
Se deben registrar las copias o reproducciones de los documentos con datos personales realizadas
indicando como mínimo:
a) Nombre de la persona que solicita la copia.
b) Nombre de la persona autorizada a realizar copias.
c) Descripción de los datos personales copiados.
d) Número de copias.
e) Motivo.
f) Nombre de la persona que recibe la copia.
g) Lugar de destino.
h) Periodo de validez de la copia.
Las copias o reproducciones de los documentos deben tener una marca que identifique el periodo
de validez de las mismas.
27
2.3.2.5 El titular del banco de datos personales, o quien éste designe, debe asignar o retirar
el privilegio o privilegios (datos a tratar o tarea a realizar) para el tratamiento de datos
personales a usuarios autorizados.
Se debe Se debe El titular, o quien El titular, o quien El titular, o quien

mantener mantener éste designe, éste designe, éste designe,
un registro un registro debe asignar o debe asignar o debe asignar o
actualizado de actualizado de retirar privilegios retirar privilegios retirar privilegios
usuarios con usuarios con a los usuarios a los usuarios a los usuarios
privilegios para privilegios para con acceso a los con acceso a los con acceso a los
el tratamiento el tratamiento datos personales datos personales datos personales
de datos de datos contenidos en el contenidos en el contenidos en el
personales personales banco de datos banco de datos banco de datos
y acceso al y acceso al personales. Dicha personales. Dicha personales. Dicha
banco de datos banco de datos operación debe ser operación debe ser operación debe ser
personales. personales. registrada. registrada. registrada.
(pueden estar (pueden estar Los datos a registrar Los datos a registrar Los datos a registrar
registradas en registradas en deben incluir como deben incluir como deben incluir como
el cuaderno de el cuaderno de mínimo: mínimo: mínimo:
seguridad citado seguridad citado
en el anexo B) en el anexo B) * Usuario (en * Usuario (en * Usuario (en
sistemas sistemas sistemas
informáticos el informáticos el informáticos el
Identificador de identificador de identificador de
usuario). usuario) usuario)
* Privilegio asignado * Privilegio asignado * Privilegio asignado
o retirado al o retirado al o retirado al
usuario. usuario. usuario
* Fecha y hora de * Fecha y hora * Fecha y hora
asignación y/o de asignación de asignación
retiro de privilegios y/o retiro de y/o retiro de
del usuario. privilegios del privilegios del
* Usuario que realiza usuario. usuario.
la asignación y/o * Usuario que * Usuario que
retiro de privilegios realiza la realiza la
(en sistemas asignación asignación
informáticos el y/o retiro de y/o retiro de
identificador de privilegios privilegios
usuario). (en sistemas (en sistemas
informáticos el informáticos el
identificador de identificador de
usuario). usuario).
28
2.3.3 Medidas de Seguridad Técnicas relacionadas a la pérdida del banco de datos personales.
2.3.3.1 Se deben realizar copias de respaldo de los datos Implementar Implementar Implementar
personales para permitir su recuperación en caso Opcional Opcional
ítem 2.3.5.1 ítem 2.3.5.1 ítem 2.3.5.1
de pérdida o destrucción.
2.3.3.2 Toda recuperación de datos personales, desde su

copia de respaldo, debe contar con la autorización Opcional Opcional Requerido Requerido Requerido
del encargado del banco de datos personales.
2.3.3.3 Se deben realizar pruebas de recuperación de los

datos personales respaldados para comprobar Opcional Opcional Implementar Implementar Implementar
que las copias de respaldo pueden ser utilizadas ítem 2.3.5.2 ítem 2.3.5.2 ítem 2.3.5.2
en caso de ser requerido.
2.3.4 Medidas de Seguridad Técnicas relacionadas al tratamiento no autorizado del banco de datos
personales.
Medidas Generales
2.3.4.1 El banco de datos personales no automatizado debe mantener los datos personales
independizados de forma individual, de modo que pueda referirse unívocamente a un titular
de datos personales sin exponer información de otro.
2.3.4.2 El titular del banco de datos personales debe informar al titular de datos personales
los incidentes que afecten significativamente sus derechos patrimoniales o morales, tan
pronto se confirme el hecho.
La información mínima que se debe proporcionar incluye:
a) Naturaleza del incidente.
b) Datos personales comprometidos.
c) Recomendaciones al titular de datos personales.
d) Medidas correctivas implementadas.
29
Medidas Específicas
2.3.4.3 Los equipos utilizados para el tratamiento de los da-

tos personales deben recibir mantenimiento preven-
tivo y correctivo de acuerdo a las recomendaciones Opcional Opcional Requerido Requerido Requerido
y especificaciones del proveedor para asegurar su
disponibilidad e integridad. El mantenimiento de los
equipos debe ser realizado por personal autorizado.
2.3.4.4 Los equipos utilizados para el tratamiento de los

datos personales deben contar con software de pro-
tección contra software malicioso (virus, troyanos,
spyware, etc.), para proteger la integridad de los Opcional Opcional Requerido Requerido Requerido
datos personales. El software de protección debe
ser actualizado frecuentemente de acuerdo a las
recomendaciones y especificaciones del proveedor.
2.3.4.5 Toda información electrónica que contiene datos

personales debe ser almacenada en forma segura
empleando mecanismos de control de acceso y
cifrada para preservar su confidencialidad.
2.3.4.6 La información de datos personales que se Implementar Implementar Implementar ítem Implementar ítem
transmite electrónicamente debe ser protegida para Opcional ítem 2.3.5.3 ítem 2.3.5.3 2.3.5.3 2.3.5.3
preservar su confidencialidad e integridad.
2.3.4.7 Seguridad en el flujo transfronterizo de datos Implementar Implementar Implementar ítem Implementar ítem
No aplica
personales. ítem 2.3.5.4 ítem 2.3.5.4 2.3.5.4 2.3.5.4
2.3.4.8 Seguridad en servicios de tratamiento de datos Implementar Implementar Implementar ítem Implementar ítem
No aplica
personales por medios tecnológicos tercerizados. ítem 2.3.5.5 ítem 2.3.5.5 2.3.5.5 2.3.5.5
Registrar el incidente
con una descripción
2.3.4.9 Todo evento identificado que afecte la confiden- detallada del mismo
cialidad, integridad y disponibilidad de los datos y las medidas correc-
personales, o que indique un posible incumplimiento tivas adoptadas (pue- Implementar Implementar Implementar ítem Implementar ítem
de las medidas de seguridad establecidas, debe ser den estar registradas ítem 2.3.5.7 ítem 2.3.5.7 2.3.5.7 2.3.5.7
reportado inmediatamente al encargado del banco en el cuaderno de
de datos personales. seguridad citado en
el anexo B).
2.3.4.10 Restringir el uso de equipos de fotografía, video, au-

dio u otra forma de registro en el área de tratamiento
Opcional Requerido Requerido Requerido Requerido
de datos personales salvo autorización del titular del
banco de datos personales.
Verificar Se debe realizar una Se debe realizar una

de manera auditoría externa auditoría externa
interna la para la verificación para la verificación
2.3.4.11 Se debe realizar una auditoría sobre el cumplimiento existencia de del cumplimiento de del cumplimiento de
de la presente directiva, bajo responsabilidad del Opcional Opcional los requisitos la presente directiva, la presente directiva,
titular del banco de datos personales. y registros a fin de asegurar a fin de asegurar
aplicables imparcialidad en los imparcialidad en los
resultados. resultados.
Los resultados
de la auditoría
deben iniciar Los resultados de la Los resultados de la
la implemen- auditoría deben iniciar auditoría deben iniciar
2.3.4.12 Acciones correctivas y mejora continúa. Opcional Opcional la implementación de
tación de la implementación de
acciones acciones correctivas. acciones correctivas.
30 correctivas.
2.3.5 Medidas complementarias
2.3.5.1 Sobre pérdida del banco de datos personales, en complemento al requisito 2.3.3.1
Toda copia de respaldo de los datos personales debe estar protegida mediante técnicas de
cifrado y almacenada en un local seguro y distante al ambiente principal de tratamiento de datos,
para garantizar su disponibilidad frente a un desastre en el ambiente principal (considerar el
almacenamiento en una localización diferente o remota).
La frecuencia y el periodo de conservación de los respaldos deben ser acorde con la finalidad del
tratamiento a realizar y el impacto de la pérdida en los derechos del titular de los datos personales.
Cuando sea pertinente, se debe incorporar mecanismos que garanticen la continuidad del
tratamiento de datos personales, principalmente cuando la finalidad tenga un alto impacto en
relación con los titulares de datos personales o el bien común.
2.3.5.2 Sobre pérdida del banco de datos personales, en complemento al requisito 2.3.3.3
Estas pruebas deben realizarse por lo menos en forma semestral y se deben documentar los
resultados de las pruebas incluyendo:
a) Fecha y hora de la prueba.
b) Nombre de la persona que realizó la prueba.
c) Banco de datos personales recuperado.
d) Archivo recuperado y fecha de los datos recuperados.
e) Tiempo de recuperación.
f) Resultados de las pruebas.
g) Acciones tomadas en caso de pruebas insatisfactorias.
2.3.5.3 Sobre el tratamiento no autorizado del banco de datos personales complemento al

requisito 2.3.4.6
a) Transporte electrónico de datos personales en forma cifrada, lo cual puede realizarse mediante
el cifrado de la información antes de su transmisión o mediante el uso de protocolos de
comunicación cifrados (Ejemplo: VPN, correo electrónico cifrado, FTP seguro, entre otros).
b) Uso de firmas digitales para validar la identidad del emisor de la información.
31

requisito 2.3.4.7
El receptor o importador de datos personales debe implementar las medidas de seguridad definidas
por el emisor o exportador de datos personales en el documento de seguridad.
La aceptación de la implementación de las medidas de seguridad por parte del receptor o

importador de datos personales debe establecerse por escrito mediante cláusulas contractuales u
otro instrumento jurídico.

requisito 2.3.4.8
Se debe tomar en cuenta:
a) Que el proveedor no tenga acceso a la información de datos personales que utilicen su

infraestructura.
b) Que el proveedor no brinde acceso a terceros a los datos personales que utilicen su
infraestructura.
c) La destrucción o imposibilidad de recuperación de los datos alojados en el servicio una vez

concluida la relación con el proveedor.
d) Uso de canales seguros para la transferencia de datos personales.
e) Garantizar el cumplimiento de las medidas de seguridad en todos los lugares en donde se

encuentre distribuida la infraestructura del proveedor.

requisito 2.3.4.9
El encargado del banco de datos personales o quien sea designado por el titular del banco de
datos personales deberá coordinar las acciones requeridas para analizar y responder en forma
rápida y efectiva a los incidentes de seguridad presentados.
Se deben registrar los incidentes de seguridad relacionados con los bancos de datos personales,
incluyendo como mínimo:
a) Fecha y hora del incidente.
b) Nombre de la persona que lo reporta.
32
c) Naturaleza del incidente.
d) Datos personales comprometidos.
e) Nombres de las personas involucradas en la resolución del incidente.
f) Consecuencias del incidente.
g) Medidas correctivas implementadas.
h) Recomendaciones para el titular de datos personales. (Si aplica).
i) Recuperación de datos.
j) En caso de haber realizado recuperación de datos, se debe registrar:
• Nombre de la persona que realizó la recuperación.

• Descripción y fecha de los datos restaurados.
• Descripción de los datos restaurados en forma manual. (Si aplica).
3. PROCEDIMIENTO
3.1 Generar las condiciones apropiadas habilita un entorno favorable para la implementación de la
presente directiva.
3.2 Alinear los requisitos, identificar el tipo de tratamiento de datos personales y los requisitos
aplicables.
3.3 Cuando el tratamiento de datos personales corresponda al tipo crítico, incorporar los bancos de
datos personales dentro del alcance del sistema de gestión de seguridad de la información e
implementar los controles apropiados.
3.4 Implementar medidas organizacionales de seguridad de acuerdo al tipo de tratamiento de datos

personales aplicable.
3.5 Implementar medidas jurídicas de seguridad de acuerdo al tipo de tratamiento de datos personales
aplicable.
3.6 Implementar medidas técnicas de seguridad de acuerdo al tipo de tratamiento de datos personales
aplicable.
33
Flujograma:
Inicio
Generar Condiciones
Medidas Organizativas de
Seguridad
Implementar Requisitos
Medidas Legales de
Seguridad
Categorización
No Medidas Técnicas de
Seguridad
Crítico
SI
Incorporar el tratamiento
de datos personales en Fin
el alcance del SGSI
34
4. DISPOSICIONES COMPLEMENTARIAS
Con el objetivo de conseguir el logro de los objetivos de la presente directiva, se deben considerar también
las siguientes disposiciones:
4.1 Desarrollar programas de información en el ámbito de su responsabilidad, dirigido a titulares de

datos personales sobre “consentimiento”, “derechos del titular de datos personales” y “finalidad”.
4.2 Los encargados del tratamiento por tercerización deben asegurar y mantener los mecanismos de
auditoría, verificación y toma de decisiones del titular del banco que contrata.
35
ANEXO A: GLOSARIO
Para los efectos de la aplicación de la presente directiva, sin perjuicio de las definiciones contenidas en
la Ley Nº 29733, Ley de Protección de Datos Personales, y su reglamento, se señalan las siguientes
definiciones a tener en cuenta:
1. Medio informático removible: Dispositivo de almacenamiento de información. Incluye disquetes,

CD’s, DVD’s, cintas de respaldo, memorias USB, disco duro externo, entre otros.
2. Responsable de seguridad: Rol asignado a una persona que coordina y controla la implementación
de las medidas de seguridad en un banco de datos personales.
3. Usuarios de sistemas de información: Persona natural que tiene acceso a un sistema de

información que realiza tratamiento de datos personales. Puede ser el administrador del sistema,
administrador de banco de datos, operadores, personal de soporte o el titular de los datos
personales.
4. Gestión de Riesgos: Proceso ordenado y continuo para medir y mantener los riesgos por debajo
de los umbrales definidos organizacionalmente.
36
ANEXO B: ORIENTACIÓN PARA BANCOS DE
DATOS DE TIPO BÁSICO O SIMPLE
Con el objetivo de orientar en el cumplimiento de la directiva de seguridad de la información administrada
por los bancos de datos personales, se presenta lo siguiente:
1.- Política de seguridad de datos personales

Con conocimiento de los ocho (08) principios señalados en la Ley Nº 29733, Ley de Protección de Datos
Personales, para fines de cumplimiento, los bancos de datos personales de tipo básico o simple podrán
colocar un aviso en un lugar visible, que contenga la siguiente información:
Aquí protegemos los datos personales.
Respetamos los principios de protección de datos personales:
• Principio de legalidad
• Principio de consentimiento
• Principio de finalidad
• Principio de proporcionalidad
• Principio de calidad
• Principio de disposición de recurso
• Principio de nivel de protección adecuado
Ley Nº 29733- Ley de Protección de Datos Personales y su reglamento,

aprobado mediante Decreto Supremo N° 003-2013-JUS
2.- Cuaderno de seguridad de datos personales (Documento maestro de seguridad

de la información del banco de datos personales)
Para fines de cumplimiento, los bancos de datos de tipo básico pueden utilizar un cuaderno simple que
contenga de manera ordenada todos los requisitos documentados y registros señalados en la directiva de
seguridad de la información administrada por los bancos de datos personales.
Este cuaderno debe estar protegido del acceso no autorizado, por ejemplo en un gabinete o cajón de
mueble protegido por una cerradura con llave o candado.
37
ANEXO C: ORIENTACIÓN PARA BANCOS DE

DATOS DE TIPO COMPLEJO O CRÍTICO
Con el objetivo de orientar en el cumplimiento de la directiva de seguridad de la información administrada
por los bancos de datos personales, se presenta lo siguiente:
• Las entidades públicas pertenecientes al Sistema Nacional de Informática tienen la obligatoriedad

de implementar la NTP-ISO/IEC 27001 según la Resolución Ministerial 129-2012-PCM. Por lo
que, al incorporar los bancos de datos personales dentro del alcance del SGSI, el sistema de
gestión ayudará al cumplimiento de la mayor parte de los requisitos y medidas señaladas en la
directiva de seguridad de la información administrada por los bancos de datos personales, incluso
a mayor nivel del definido en la directiva. Siendo necesario identificar cuáles son los aspectos que
el SGSI no cubre y que la directiva señala.
• Las personas jurídicas pueden implementar el ISO/IEC 27001 en su edición vigente incorporando,
en el alcance del SGSI, a los bancos de datos personales. Con lo cual, el sistema de gestión
ayudará al cumplimiento de la mayor parte de los requisitos y medidas señaladas en la directiva
de seguridad de la información administrada por los bancos de datos personales, incluso a mayor
nivel del definido en la directiva. Siendo necesario identificar cuáles son los aspectos que el SGSI
no cubre y que la directiva señala.
• Las instituciones pueden utilizar el ISO 31000 o ISO/IEC 27005 como referencias de gestión del
riesgo.
• Las instituciones pueden utilizar un Análisis de Impacto en la Privacidad (PIA por sus siglas en
inglés) como insumo u orientación en la fase de planificación y gestión del riesgo.
• Las instituciones pueden utilizar el enfoque de “Privacidad por Diseño” como referencia en la
evaluación de sus procesos y herramientas que determinen deban incorporarse o modificarse
para el cumplimiento de la Ley N° 29733, Ley de Protección de Datos Personales.
Ver: http://www.privacybydesign.ca/content/uploads/2009/08/7foundationalprinciples-spanish.pdf
38
39
Esta publicación
se terminó de imprimir
en los talleres gráficos de la imprenta:
EDITORA DISKCOPY S.A.C.,
con domicilio en Jr. San Agustín
Nro 497, Surquillo.
Calle Scipión Llona Nº 350, Miraflores
Lima - Perú
Teléfono: 204 8020
www.minjus.gob.pe

Cartilla de Directiva de Seguridad PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cartilla de Directiva de Seguridad PDF

Cargado por

Copyright:

Formatos disponibles

Directiva de Seguridad

Primera Edición, noviembre 2013

© Ministerio de Justicia y Derechos Humanos

Ministro de Justicia y Derechos Humanos:

Viceministro de Derechos Humanos y

Director de la Autoridad Nacional de Protección

Hecho el Depósito Legal en la Biblioteca Nacional del Perú:

“Tú también tienes derechos y deberes”

9 III Base legal

37 Anexo B: Orientación para bancos de

38 Anexo C: Orientación para bancos de

Con la expedición de la Ley Nº 29733 – Ley de Protección de Datos Personales y de

Es en ese contexto, que la emisión de la Directiva de Seguridad de la Información Ad-

La construcción de una verdadera cultura de protección de datos personales, esfuerzo al

Ello se verifica con la dación de una directiva de seguridad que consideramos es un

Mg. José Ávila Herrera

Para terminar quisiera dejar constancia de dos cosas:

Segundo: Este documento estará en permanente revisión, justamente porque debe

José Alvaro Quiroga León

La categorización se describe en el apartado 1.1.

El numeral 3 describe de manera general el procedimiento para desarrollar la presente directiva.

El numeral 4 incluye disposiciones complementarias que pueden facilitar el proceso de implementación de

Finalmente se presentan tres anexos de apoyo:

Anexo A: Glosario de términos aplicables en la lectura de la presente directiva.

a. Brindar lineamientos para determinar las condiciones de seguridad en el tratamiento de datos

III. BASE LEGAL

b) Ley N° 29733, Ley de Protección de Datos Personales.

c) Decreto Supremo 003-2013-JUS, aprueba el Reglamento de la Ley Nº 29733, Ley de Protección

d) Decreto Supremo 011-2012-JUS, aprueba el Reglamento de Organización y Funciones del

e) Resolución Ministerial Nº 246-2007-PCM, aprueba la Norma Técnica Peruana “NTP ISO/

f) Resolución Ministerial 129-2012-PCM, aprueba el uso obligatorio de la norma técnica peruana

a) Titular de datos personales

b) Titular del banco de datos personales

b. Es responsable por la determinación y cumplimiento de la finalidad y del contenido del banco de

c. Es responsable por el tratamiento de los datos personales contenidos en el banco de datos

c) Autoridad Nacional de Protección de Datos Personales

b. Es responsable de ejercer las funciones administrativas, orientadoras, normativas, resolutivas,

c. Es responsable de la administración del Registro Nacional de Protección de Datos Personales.

d. Es responsable del seguimiento y evaluación de la presente directiva.

e. Es responsable de la revisión de esta directiva de seguridad a fin de mantener su aplicabilidad

• No contengan la información de más de cincuenta (50) personas.

b) Simple, corresponde a bancos de datos personales que:

• No contengan la información de más de cien (100) personas.

• No incluyen datos sensibles.

c) Intermedio, corresponde a bancos de datos personales que:

• Contienen la información de hasta mil (1000) personas.

d) Complejo, corresponde a bancos de datos personales que:

• Sirven para el tratamiento de datos personales cuya finalidad se cumple en un plazo

1.1.2 Justificación de los criterios

El tratamiento de altos volúmenes de datos personales requiere, actualmente, el uso de

c) Periodo de tiempo para la finalidad del tratamiento de datos personales.- El tener un

d) La titularidad del banco de datos personales.- Proporciona un criterio de selección que

En el caso de las entidades públicas, se cuenta con la Resolución Ministerial 129-2012-PCM,

f) Múltiples localizaciones.- El acceso o tratamiento distribuido incorpora un nivel de atención

Así podemos hacer algunos cruces para explicar la categorización:

Figura 1: Volumen de datos / Número de datos

Simple Intermedio Complejo Crítico

Básico Simple Intermedio Complejo Crítico

Volumen de Registro de Datos Personales

Figura 2: Volumen de registros / Tiempo para cumplir la finalidad

Intermedio Intermedio Intermedio Complejo Crítico

Básico Simple Intermedio Complejo Crítico

Volumen de Registro de Datos Personales