Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Personales
Enfoque práctico de adecuación
Enterprise Risk Services
Contenido
Principios y fundamentos de la
1
Privacidad
Las Leyes de Protección de
2
Datos Personales en el Mundo
La legislación de Protección de
3
Datos Personales en el Perú
Nuestro enfoque práctico de
4
adaptación
5 Contáctenos
1
1
3
Principios y 4
fundamentos de la
5
Privacidad
2
Principios y fundamentos de la privacidad 1
Definiciones
2
1890 2013
3
Principios y fundamentos de la privacidad 1
Clases de privacidad
2
5
Información Corporal
Territorial Comunicaciones
4
1
3
Las Leyes de 4
Protección de Datos
5
Personales en el
mundo
5
Protección de Datos Personales en el mundo 1
Mapa legislativo mundial Emiratos árabes Corea Sur
Ley Protección Datos Acto de Promoción del
Japón
2
Dubai Uso de Información y
Acto de Protección de
Redes de Comunicación,
Canada Federal/provincial Información Personal
PIPEDA, FOIPPA, PIPA
y Protección de Datos 3
Unión Europea
Directiva Protección Datos EU
y Leyes de los Estados 4
Miembros
US Federal España
GLBA, HIPAA, COPPA, Do Ley Orgánica de
Hong Kong
Not Call, Safe Harbor Protección de Datos
Ordenación Privacidad
Personales
Datos Personales
Leyes estatales
Notificación Brechas 45 estados
SSN Use
Taiwan
Ley de Protección de
India Datos Personales
Registro Nacional computarizados
Do Not Call
Nueva Zelanda
Acto de Privacidad
Australia
Sur África Enmienda Federal de
Acto de Comunicaciones Privacidad, email spam
y Transacciones y regulaciones de
Electrónicas privacidad
6 Nota: no pretende ser un listado exhaustivo
Protección de Datos Personales en el mundo 1
Contexto regional
Legislados y con órgano supervisor 2
Legislación poco definida y/o sin
órgano supervisor 3
Proyecto legislativo en proyecto
4
México – Año 2010 5
3
La legislación de 4
Protección de Datos
5
Personales en el Perú
8
La legislación de PDP en el Perú 1
Cronograma de la legislación
El artículo 2 numeral 6 de la
2
Constitución Política del Perú
Constitución señala que “toda persona tiene 3
Política del derecho a que los servicios
El Congreso de la República del Perú
informáticos, computarizados o
Perú aprobó, el 7 de junio de 4
no, públicos o privados, no
2010 el Proyecto de Ley N° suministren informaciones que
4079/2009-PE que propone la Proyecto de
afecten a la intimidad personal y 5
Ley de Protección de Datos Ley
N°4079/2009- familiar”.
Personales. PE
Ley N° 29733
Protección de El 3 de julio de 2011 se publicó
Mediante el DECRETO Datos en el Diario Oficial, El Peruano, la
SUPREMO N° 003-2013-JUS, Personales
Ley Nº 29733, Ley de Protección
publicado el 22 de marzo de de Datos Personales.
2013, se aprobó el Reglamento DS N° 003-
de Ley N° 29733, el cual 2013-JUS –
Reglamento
desarrolla y detalla las de la Ley
disposiciones de la ley. 29733
Se encuentra vigente desde el 8 El 11 de octubre de 2013 la
de mayo, tras 30 días hábiles a Directiva de Autoridad Nacional de Protección
partir de su publicación. Seguridad de de Datos publicó la Directiva de
la
Información SI, para orientar en las medidas
técnicas a aplicar.
9
La legislación de PDP en el Perú 1
Definiciones básicas Conjunto organizado de datos personales,
automatizado o no, independientemente 2
Información numérica, alfabética, gráfica,
del soporte, sea este físico, magnético,
fotográfica, acústica, sobre hábitos
digital, óptico u otros que se cree, 3
personales, o de cualquier otro tipo relativo
cualquiera que fuere la forma o modalidad
a las personas naturales que las identifica
Banco de de su creación, formación, 4
o las hace identificables a través de Datos
Datos almacenamiento, organización y acceso.
personales
medios que puedan ser razonablemente Personales
5
utilizados.
Reg. Título I,
Artículo 2 Titular del Persona natural a la que corresponden
Ley Art.2 dato
los datos personales (propietario).
Reg. Título I,
Artículo 2
Ley Art.2
Encargado del
Transmisión
tratamiento
Transmisión, suministro o manifestación
Realiza el tratamiento de los datos personales, pudiendo
de datos personales, de carácter nacional
ser el titular, el responsable u otra persona por encargo del
o internacional, a una persona jurídica de
titular y en virtud de una relación jurídica . Incluye los que
derecho privado o a una entidad pública o
lo realizan por cuenta del responsable, cuando el
una persona natural distinta de del titular
tratamiento se realice sin la existencia de un banco.
del banco
11
La legislación de PDP en el Perú 1
Definiciones básicas
2
3
Roles y funciones
4
Caso 2
Responsable
tratamiento Encargado
tratamiento
Encargado Encargado
tratamiento tratamiento
12
La legislación de PDP en el Perú Reg. Título II 1
Principios rectores
2
4
Principio de
Legalidad
5
Principio de Principio de
Consentimiento Finalidad
13
La legislación de PDP en el Perú Reg. Título I, 1
Artículos 1, 3-5
Principales requerimientos
2
3
Garantizar el derecho fundamental a la protección de datos personales, regulando un adecuado
Objetivo tratamiento de los mismos.
4
1 2 3 4
Obtención del Declaración
Transferencia ARCO
consentimiento Bases Datos
Requisitos
5 Medidas
6 7 Medidas
Medidas Legales
Organizativas Técnicas
14
@2014 Deloitte Touche SRL
La legislación de PDP en el Perú Reg. Título III, 1
1 Obtención del consentimiento Capítulos I y II
3
Consentimiento
4
• Debe obtenerse consentimiento para todas las finalidades de
uso 5
• Libre, previo, expreso, inequívoco, informado
• En el caso de los datos sensibles, firma formal
• El titular puede revocarlo en cualquier momento
• No se requiere sobre las fuentes accesibles al público
15
La legislación de PDP en el Perú 1
1 Obtención del consentimiento Métodos
2
Obtención del
Consentimiento 3
4
Canales
Finalidad
16
La legislación de PDP en el Perú Reg. Título III, 1
2 Transferencia de datos personales Capítulo III
3
Transferencia de datos personales 4
• El titular debe ofrecer su consentimiento 5
• Carga de prueba sobre el emisor, comunicando al receptor
las condiciones del consentimiento
• El receptor pasa a ser el titular o el responsable del
tratamiento, y debe dar cumplimiento a la ley
• Transferencias intragrupo, se recomienda disponer de un
código de conducta
• Flujos transfronterizos, debe encontrarse aprobado por la
DGPG, y las obligaciones que asume el receptor formalizadas
mediante contrato.
17
La legislación de PDP en el Perú 1
3 Registro nacional de protección de datos personales
2
Bancos de Datos
Personales de 3
titularidad
Registro Nacional de privada
Protección de Datos 4
Bancos de Datos 5
Personales de
titularidad pública
Códigos de
conducta
Sanciones,
medidas
cautelares o
correctivas
18
Un enfoque práctico de adaptación 1
IV.
3 Proceso de registro Declaración en España de
los ficheros de una 2
Entidad Bancaria, un total
de 19. 3
19
Un enfoque práctico de adaptación 1
IV.
3 Proceso de registro Declaración en España de
los ficheros de una 2
empresa aseguradora, un
total de 14. 3
20
La legislación de PDP en el Perú 1
4v Derechos del titular de datos personales: ARCO
2
Rectificación, actualización e 4
Información
inclusión
5
Impedir el
Acceso Cancelación
/
Suministro
21
La legislación de PDP en el Perú Directiva 1.1 1
5 6 7 Medidas organizativas, legales y técnicas
2
Clasificación de los tratamientos 3
4
Volumen Periodo
Número datos
personas tratamiento
Básico • Bajo (hasta 50) • Bajo (hasta 5) • Bajo (menos 1
5
Simple 100)
• Alto (hasta
• Normal (más 1
año o
1.000) indefinido)
• Muy Alto (más
Intermedio 1.000)
Múltiples
• Natural localizaciones
Crítico • Jurídica
• Entidad Pública Finalidad legal
Criterios
22
La legislación de PDP en el Perú Directiva 2.1 y 1
2.2.
5 6 Medidas organizativas y legales
2
Otros roles y 3
Estrategia de funciones
Cumplimiento y Modelos Calendario Alcance
Gestión 4
Comité
LDPD
5
Responsable
Seguridad
Centralizado
Rbles.
Cumplimiento
Directrices, LDPD Descentralizado Mixto “desorganizado”
políticas,
actividades,
supervisión Asesoramiento
(1r nivel)
23
La legislación de PDP en el Perú Directiva 2.1 y 1
2.2.
5 6 Medidas organizativas y legales
2
4
Estrategia de
Estructura organizativa 5
cumplimiento
- Habeas Data.
- Consentimiento
- Gestión incidentes
- Compromiso Dir.
- Auditoría
- Concienciación
Marco normativo Procedimientos - Privilegios y
- Plan prueba
accesos
controles periódico
- Registro accesos
- Calidad de los
datos
- Adaptación
procesos Adecuación del
Contratos
- Adaptación negocio - Empleados
sistemas - Terceros:
- Documentación encargados
tratamiento,
transmisión
24
La legislación de PDP en el Perú Reg. Título III, 1
Capítulo V,
7 Medidas técnicas Artículos 39-41
2
Medidas de seguridad 3
25
La legislación de PDP en el Perú Reg. Título III, 1
Capítulo V,
7 Medidas técnicas Artículos 42-46
2
Medidas de seguridad 3
26
La legislación de PDP en el Perú Directiva 1.2, 1
1.3, 2.1 y 2.2.
7 Medidas técnicas
2
4
Tratamientos no autorizados
Pérdida del banco 5
• Tratamiento independizado
• Copias de respaldo, • Información en caso de incidentes
recuperaciones y pruebas
• Mantenimiento equipos
• Antimalware
Disposiciones
complementarias • Almacenamiento seguro
• Transmisión electrónica
• Programa información a los • Seguridad flujos transfronterizos
titulares • Tercerizados
• Tercerización • Restricción foto, audio, video
• Auditoría
• Mejora contínua
28
La legislación de PDP en el Perú 1
7 Medidas técnicas
2
3
Aplicación
4
Base datos
Automatizado
5
Sistema operativo
Plan de
medidas
No Automatizado
29
La legislación de PDP en el Perú 1
7 Medidas técnicas Medidas específicas con un mayor
impacto 2
Aspectos generales de Cobertura
ISO Privilegios de acceso, autorización y
Seguridad trazabilidad en el caso de archivos no 3
automatizados
Política de protección datos
personales
Trazabilidad de los accesos a datos 4
Procedimientos operativos automatizados
5
Gestión de riesgos Autorización y proceso de traslado de
datos personales (automatizado y no
automatizado)
NTP-ISO/IEC 27001
Responsable de Seguridad
Seguridad en la copia o reproducción
(automático y no automatizado)
• En el proceso de implantación de la ISO 27001
• Deberán incorporar los activos de datos personales en el Información de los incidentes
marco de gestión
Almacenamiento de la información en
• Deberá realizarse el análisis de riesgos incluyendo el riesgo de forma segura: control de acceso y cifrado
privacidad
• Deberá determinarse la aplicación de controles en base a riesgos Transmisión protegida
• Puede tomarse como referencia el marco ISO 29100:2011
• Cabe destacar que no todos los requisitos de la ley quedan Uso de fotografía, video y audio
30
cubiertos por el framework.
La legislación de PDP en el Perú 1
Infracciones Reg. Título VI
2
Infracciones Leves Infracciones Graves Infracciones Muy Graves
3
• Dar tratamiento a datos • Dar tratamiento a los datos • Dar tratamiento a los datos personales
personales sin recabar el personales contraviniendo los contraviniendo los principios establecidos en 4
consentimiento de sus titulares, principios establecidos en la la presente Ley o incumpliendo sus demás
cuando el mismo sea necesario presente Ley o incumpliendo sus disposiciones o las de su Reglamento,
conforme a lo dispuesto en esta demás disposiciones o las de su cuando con ello se impida o se atente contra 5
Ley. Reglamento. el ejercicio de los derechos fundamentales.
• Incumplir la obligación de • Crear, modificar, cancelar o mantener bancos
• No atender, impedir u obstaculizar confidencialidad establecida en el de datos personales sin cumplir con lo
el ejercicio de los derechos del artículo 17. establecido por la presente Ley o su
titular de datos personales • No atender, impedir u reglamento.
reconocidos en el título III, cuando obstaculizar, en forma • Suministrar documentos o información falsa o
legalmente proceda. sistemática, el ejercicio de los incompleta a la Autoridad Nacional de
derechos del titular de datos Protección de Datos Personales.
• Obstruir el ejercicio de la función personales reconocidos en el • No cesar en el tratamiento ilícito de datos
fiscalizadora de la Autoridad título III, cuando legalmente personales, cuando existiese un previo
Nacional de Protección de Datos proceda. requerimiento de la Autoridad Nacional de
Personales • Obstruir, en forma sistemática, el Protección de Datos Personales para ello.
ejercicio de la función • No inscribir el banco de datos personales en
fiscalizadora de la Autoridad el Registro Nacional de Protección de Datos
Nacional de Protección de Datos Personales, no obstante haber sido requerido
Personales. para ello por la Autoridad Nacional de
• No inscribir el banco de datos Protección de Datos Personales
personales en el Registro
Nacional de Protección de Datos
Personales.
31
La legislación de PDP en el Perú 1
Sanciones Reg. Título VI
Nivel de Sanción 3
Ejemplo
Infracción Multa en S/.
4
Leve 1,850 a 18,500 Solicitud de actualización de datos rechazada
Grave 18,501 a 185,000 Reiteradas y diversas solicitudes de actualización rechazadas 5
Muy grave 185,001 a 370,000 Entidad remite información falsa a la DGPDP
Límite del 10%de los ingresos brutos anuales que hubiera percibido el presunto infractor
durante el ejercicio anterior
33
La legislación de PDP en el Perú 1
Ejemplo: sanciones en España
2
34
1
3
Un enfoque práctico 4
de adaptación
5
35
Un enfoque práctico de adaptación 1
Ámbitos de afectación
2
IMPACTOS EN LA
Medidas técnicas
ORGANIZACIÓN 3
Carga prueba 4
5
Gestión medios no
automatizados
Técnicos
Habeas Data
Tratamientos
Organización Legal
Consentimiento
Transferencia
Declaración
36
Un enfoque práctico de adaptación 1
Visión global del proceso
2
• La metodología que se presenta es fruto de una amplia experiencia en apoyar a nuestros clientes
a adaptarse con éxito a los requisitos legislativos
• El enfoque en fases permite abordar de forma gradual y comprensible un proyecto de esta
envergadura.
• Una de las fases clave para realizar una adaptación adecuada y razonable es la I, que trata de
conocer el ciclo de vida del dato.
• La ley tiene impactos a nivel organizativo, legal y técnico, por lo que se requiere un equipo
multidisciplinar para el despliegue del proyecto.
• Este proceso requiere la involucración de múltiples áreas de la compañía: negocio, áreas de
administración, sistemas de información, legal, etc., por lo que es necesario que el sponsor sea el
adecuado.
37
Un enfoque práctico de adaptación 1
I. Ciclo de vida
2
Datos, 5
Análisis del ciclo de finalidades,
vida del dato soportes,
tratamientos,
terceros,
clasificación
• Las compañías disponen de más datos personales de los que inicialmente suponen
• Las áreas de negocio no siempre son conscientes de que en algunos tratamientos están involucrados datos personales
• Este proceso permite concienciar a las áreas de negocio y proveedores sobre la legislación
• Es posible conocer la finalidad real para la que se utiliza
• Permite identificar cesiones, transmisiones al exterior, terceros involucrados, etc.
• Permite racionalizar las siguientes fases y el coste-beneficio del cumplimiento.
38
Un enfoque práctico de adaptación 1
I. Ciclo de vida
2
Ejemplo de entregables 3
Inventario de bases
de datos personales
Ciclo de
vida del
dato
39
@2014 Deloitte Touche SRL
Un enfoque práctico de adaptación 1
III. Aspectos Técnicos
2
Aplicación
3
Base datos
Automatizado
4
Sistema operativo
Iniciativas
No Automatizado
Técnicas
• En este punto resalta la importancia de racionalizar y clasificar correctamente la información de carácter personal en
los sistemas, ya que la implementación de algunas medidas puede ser muy costosa.
• En algunos casos será necesario tomar decisiones para maximizar los ratios de protección-cumplimiento /costo.
• Es una buena oportunidad para implementar en la organización un marco de control interno de SI más completo
40
Un enfoque práctico de adaptación 1
IV. Proceso de registro
2
3
Iniciativas
Declaración 4
ficheros
5
• En ocasiones es necesario tomar decisiones que racionalicen el uso de los datos y de la protección de los mismos.
• La definición debe conllevar un equilibrio entre la utilidad de las bases de datos, así como el esfuerzo de mantenimiento que
conlleva.
• La estrategia de cumplimiento que se defina tendrá fuertes implicaciones en la definición de Bases de Datos Personales:
gestión individualizada, centralizada, con asesoramiento, etc.
41
Un enfoque práctico de adaptación 1
V. Plan de implantación / medidas
2
Situación Fecha
Medida Descripción Situación actual de la Compañía Recomendación Responsable Fecha fin
Actual
Analizar en detalle el marco normativo
inicio 3
En general, s e conoce la importancia del nuevo marco
Externa. Existe un marco legal Se aplica el marco legal apropiado relacionado con la ley de protección de datos
legis lativo. Sin embargo, no s e conoce en profundidad
apropiado (leyes , reglamentos o s imilares ) pers onales , y determinar las implicancias del
dado que aún no s e ha abordado el proces o de Comité LDPD mar-13 may-13
mis mos . Definir un plan de adaptación para la
Externa. Conocimiento y
Conocimiento y conciencia: conocer la
importancia de la protección de los
datos pers onales y del marco
En general, s e conoce la importancia del nuevo marco
legis lativo. Sin embargo, no s e conoce en profundidad
dado que aún no s e ha abordado el proces o de Ver C.1 y O.8
4
conciencia legis lativo adaptación, y no s e ha llevado a cabo el programa de
- Conocer y conciencia del marco capacitación y concienciación de los empleados . Comité LDPD mar-13 may-13
Exis te el compromis o de la dirección
42
Un enfoque práctico de adaptación 1
V. Plan de implantación
2
43
Un enfoque práctico de adaptación 1
Equipo tipo del proyecto
2
3
Equipo de trabajo Áreas involucradas
4
Áreas de negocio 5
Sistemas de Información
Seguridad
Tecnología
Información
Auditoría Interna
44
Contactenos
Contáctenos
46
Deloitte se refiere a Deloitte Touche Tohmatsu, una asociación suiza, o a una o más integrantes de su
red de firmas miembros, cada una de las cuales constituye una entidad separada e independiente
desde el punto de vista legal. Una descripción detallada de la estructura legal de Deloitte Touche
Tohmatsu y sus firmas miembros puede verse en el sitio web www.deloitte.com/pe