Ley de Protección de Datos de

Personales
Enfoque práctico de adecuación
Enterprise Risk Services
 Contenido
Principios y fundamentos de la
1
Privacidad
Las Leyes de Protección de
2
Datos Personales en el Mundo
La legislación de Protección de
3
Datos Personales en el Perú
Nuestro enfoque práctico de
4
adaptación
5 Contáctenos

1
 1

3
Principios y 4
fundamentos de la
5
Privacidad

2
 Principios y fundamentos de la privacidad 1
Definiciones
2

“Ability of an individual or group 4

to seclude themselves or
“The right to be left alone” information about themselves 5
and thereby reveal themselves
UK Calcutt Committee
selectively”
1997

1890 2013

Samuel Warre y Louis Brandeis, “The right of the individual to be Wikipedia

protected against intrusion into his
Tribunal Superior de Justicia, personal life or affairs, or those of
“The Right to Privicy” his family, by direct physical means
or by publication of information”

3
 Principios y fundamentos de la privacidad 1
Clases de privacidad
2

5
Información Corporal

Territorial Comunicaciones

4
 1

3
Las Leyes de 4
Protección de Datos
5
Personales en el
mundo

5
 Protección de Datos Personales en el mundo 1
Mapa legislativo mundial Emiratos árabes Corea Sur
Ley Protección Datos Acto de Promoción del
Japón
2
Dubai Uso de Información y
Acto de Protección de
Redes de Comunicación,
Canada Federal/provincial Información Personal
PIPEDA, FOIPPA, PIPA
y Protección de Datos 3
Unión Europea
Directiva Protección Datos EU
y Leyes de los Estados 4
Miembros

US Federal España
GLBA, HIPAA, COPPA, Do Ley Orgánica de
Hong Kong
Not Call, Safe Harbor Protección de Datos
Ordenación Privacidad
Personales
Datos Personales

Leyes estatales
Notificación Brechas 45 estados
SSN Use
Taiwan
Ley de Protección de
India Datos Personales
Registro Nacional computarizados
Do Not Call

Nueva Zelanda
Acto de Privacidad
Australia
Sur África Enmienda Federal de
Acto de Comunicaciones Privacidad, email spam
y Transacciones y regulaciones de
Electrónicas privacidad
6 Nota: no pretende ser un listado exhaustivo
 Protección de Datos Personales en el mundo 1
Contexto regional
Legislados y con órgano supervisor 2
Legislación poco definida y/o sin
órgano supervisor 3
Proyecto legislativo en proyecto
4
México – Año 2010 5

Guatemala - Año 2008

El Salvador Panamá – Año 2002

Nicaragua – Año 2012 Venezuela
Ecuador
Colombia – Año 2012
Bolivia – Año 2004

Paraguay – Año 2001

Uruguay – Año 2008
Perú – Año 2012
Argentina – Año 2000
Chile – Año 2011
7
Nota: no pretende ser un listado exhaustivo
 1

3
La legislación de 4
Protección de Datos
5
Personales en el Perú

8
La legislación de PDP en el Perú 1
Cronograma de la legislación
El artículo 2 numeral 6 de la
2
Constitución Política del Perú
Constitución señala que “toda persona tiene 3
Política del derecho a que los servicios
El Congreso de la República del Perú
informáticos, computarizados o
Perú aprobó, el 7 de junio de 4
no, públicos o privados, no
2010 el Proyecto de Ley N° suministren informaciones que
4079/2009-PE que propone la Proyecto de
afecten a la intimidad personal y 5
Ley de Protección de Datos Ley
N°4079/2009- familiar”.
Personales. PE

Ley N° 29733
Protección de El 3 de julio de 2011 se publicó
Mediante el DECRETO Datos en el Diario Oficial, El Peruano, la
SUPREMO N° 003-2013-JUS, Personales
Ley Nº 29733, Ley de Protección
publicado el 22 de marzo de de Datos Personales.
2013, se aprobó el Reglamento DS N° 003-
de Ley N° 29733, el cual 2013-JUS –
Reglamento
desarrolla y detalla las de la Ley
disposiciones de la ley. 29733
Se encuentra vigente desde el 8 El 11 de octubre de 2013 la
de mayo, tras 30 días hábiles a Directiva de Autoridad Nacional de Protección
partir de su publicación. Seguridad de de Datos publicó la Directiva de
la
Información SI, para orientar en las medidas
técnicas a aplicar.

9
La legislación de PDP en el Perú
Definiciones básicas
Información numérica, alfabética, gráfica,
fotográfica, acústica, sobre hábitos
personales, o de cualquier otro tipo relativo
a las personas naturales que las identifica
o las hace identificables a través de Datos
personales
medios que puedan ser razonablemente
utilizados.
Reg. Título I,
Artículo 2
Ley Art.2
Datos de la esfera más íntima de la persona:
datos biométricos; origen racial y étnico;
ingresos económicos, opiniones o convicciones Datos
sensibles
políticas, religiosas, filosóficas o morales;
afiliación sindical; características físicas,
morales o emocionales; familiar; e información
relacionada a la salud o a la vida sexual.
10
1
Conjunto organizado de datos personales,
automatizado o no, independientemente 2
del soporte, sea este físico, magnético,
digital, óptico u otros que se cree, 3
cualquiera que fuere la forma o modalidad
Banco de de su creación, formación, 4
Datos almacenamiento, organización y acceso.
Personales
5
Titular del Persona natural a la que corresponden
dato
los datos personales (propietario).
Cualquier operación o procedimiento
Tratamiento
Datos técnico, automatizado o no, que permita la
Personales
extracción, consulta, registro, organización,
almacenamiento, modificación, bloqueo,
suspensión, difusión o cualquier otra forma
de procesamiento de datos personales.
La legislación de PDP en el Perú 1
Definiciones básicas
2
Persona natural, persona jurídica de
derecho privado o entidad pública que
3
determina la finalidad y contenido
Aquél que decide sobre el tratamiento de 4
del banco de datos personales, el
los datos personales
tratamiento de éstos y las medidas de
5
seguridad.
Titular del Responsable
Banco de Datos del
Personales tratamiento

Reg. Título I,
Artículo 2
Ley Art.2

Encargado del
Transmisión
tratamiento
Transmisión, suministro o manifestación
Realiza el tratamiento de los datos personales, pudiendo
de datos personales, de carácter nacional
ser el titular, el responsable u otra persona por encargo del
o internacional, a una persona jurídica de
titular y en virtud de una relación jurídica . Incluye los que
derecho privado o a una entidad pública o
lo realizan por cuenta del responsable, cuando el
una persona natural distinta de del titular
tratamiento se realice sin la existencia de un banco.
del banco
11
 La legislación de PDP en el Perú 1
Definiciones básicas
2

3
Roles y funciones
4
Caso 2

Titular Base Datos 5

Caso 1 Responsable
tratamiento
Encargado
Titular Base Datos tratamiento

Responsable
tratamiento Encargado
tratamiento
Encargado Encargado
tratamiento tratamiento

12
La legislación de PDP en el Perú Reg. Título II 1
Principios rectores
2

4
Principio de
Legalidad
5
Principio de Principio de
Consentimiento Finalidad

Principio de Principio de Principio de

Proporcionalidad Calidad Seguridad
Principio de
Principio de
nivel de
Disposición de
protección
Recurso
adecuado
Valor de los
Principios

13
La legislación de PDP en el Perú Reg. Título I, 1
Artículos 1, 3-5
Principales requerimientos
2

3
Garantizar el derecho fundamental a la protección de datos personales, regulando un adecuado
Objetivo tratamiento de los mismos.
4

¿Quién? Entidades públicas, compañías del sector privado, y personas naturales. 5

¿Sobre Datos personales destinados a incluirse en un banco de datos.

Alcance qué?
El titular del banco de datos o el responsable está en territorio peruano
Titular o responsable en territorio no peruano, pero aplica la legislación peruana o utiliza
¿Dónde? medios en el país para el tratamiento.

1 2 3 4
Obtención del Declaración
Transferencia ARCO
consentimiento Bases Datos
Requisitos

5 Medidas
6 7 Medidas
Medidas Legales
Organizativas Técnicas

14
@2014 Deloitte Touche SRL
La legislación de PDP en el Perú Reg. Título III, 1
1 Obtención del consentimiento Capítulos I y II

3
Consentimiento
4
• Debe obtenerse consentimiento para todas las finalidades de
uso 5
• Libre, previo, expreso, inequívoco, informado
• En el caso de los datos sensibles, firma formal
• El titular puede revocarlo en cualquier momento
• No se requiere sobre las fuentes accesibles al público

15
 La legislación de PDP en el Perú 1
1 Obtención del consentimiento Métodos
2
Obtención del
Consentimiento 3

4
Canales

Finalidad

16
La legislación de PDP en el Perú Reg. Título III, 1
2 Transferencia de datos personales Capítulo III

3
Transferencia de datos personales 4
• El titular debe ofrecer su consentimiento 5
• Carga de prueba sobre el emisor, comunicando al receptor
las condiciones del consentimiento
• El receptor pasa a ser el titular o el responsable del
tratamiento, y debe dar cumplimiento a la ley
• Transferencias intragrupo, se recomienda disponer de un
código de conducta
• Flujos transfronterizos, debe encontrarse aprobado por la
DGPG, y las obligaciones que asume el receptor formalizadas
mediante contrato.

17
La legislación de PDP en el Perú 1
3 Registro nacional de protección de datos personales
2
Bancos de Datos
Personales de 3
titularidad
Registro Nacional de privada
Protección de Datos 4

Bancos de Datos 5
Personales de
titularidad pública

Códigos de
conducta

Sanciones,
medidas
cautelares o
correctivas

http://www.minjus.gob.pe/registro-proteccion-datos-personales/ Reg. Título V

Flujos
transfronterizos

18
 Un enfoque práctico de adaptación 1
IV.
3 Proceso de registro Declaración en España de
los ficheros de una 2
Entidad Bancaria, un total
de 19. 3

19
 Un enfoque práctico de adaptación 1
IV.
3 Proceso de registro Declaración en España de
los ficheros de una 2
empresa aseguradora, un
total de 14. 3

20
La legislación de PDP en el Perú 1
4v Derechos del titular de datos personales: ARCO
2

Rectificación, actualización e 4
Información
inclusión
5

Impedir el
Acceso Cancelación

/
Suministro

Tratamiento Percepción del

Oposición
objetivo valor

Reg. Título IV Tutela Ser Indemnizado

21
La legislación de PDP en el Perú Directiva 1.1 1
5 6 7 Medidas organizativas, legales y técnicas
2
Clasificación de los tratamientos 3

4
Volumen Periodo
Número datos
personas tratamiento
Básico • Bajo (hasta 50) • Bajo (hasta 5) • Bajo (menos 1
5

• Medio (hasta • Normal (más 5) año)

Simple 100)
• Alto (hasta
• Normal (más 1
año o
1.000) indefinido)
• Muy Alto (más
Intermedio 1.000)

Complejo Titular Banco

Datos Sensibles

Múltiples
• Natural localizaciones
Crítico • Jurídica
• Entidad Pública Finalidad legal
Criterios
22
 La legislación de PDP en el Perú Directiva 2.1 y 1
2.2.
5 6 Medidas organizativas y legales
2

Otros roles y 3
Estrategia de funciones
Cumplimiento y Modelos Calendario Alcance
Gestión 4
Comité
LDPD
5
Responsable
Seguridad

Centralizado
Rbles.
Cumplimiento
Directrices, LDPD Descentralizado Mixto “desorganizado”
políticas,
actividades,
supervisión Asesoramiento
(1r nivel)

Empresa Empresa Empresa Empresa

A A A A

Empresa Empresa Empresa Empresa Empresa Empresa Empresa Empresa

F B F B F B F B

Matriz Matriz Matriz Matriz

Empresa Empresa Empresa Empresa Empresa Empresa Empresa Empresa

E C E C E C E C

Empresa Empresa Empresa Empresa

D D D D

Organización Organización Organización Organización

23
 La legislación de PDP en el Perú Directiva 2.1 y 1
2.2.
5 6 Medidas organizativas y legales
2

4
Estrategia de
Estructura organizativa 5
cumplimiento

- Habeas Data.
- Consentimiento
- Gestión incidentes
- Compromiso Dir.
- Auditoría
- Concienciación
Marco normativo Procedimientos - Privilegios y
- Plan prueba
accesos
controles periódico
- Registro accesos
- Calidad de los
datos

- Adaptación
procesos Adecuación del
Contratos
- Adaptación negocio - Empleados
sistemas - Terceros:
- Documentación encargados
tratamiento,
transmisión

24
La legislación de PDP en el Perú Reg. Título III, 1
Capítulo V,
7 Medidas técnicas Artículos 39-41
2
Medidas de seguridad 3

Ámbito Medidas de seguridad 4

• Identificación de usuarios (usuario-contraseña, uso de
certificados digitales, tokens, entre otros). 5
• Gestión de los privilegios
Control de acceso
• Revisiones periódicas de permisos
• Procedimientos documentados, que definen los aspectos
anteriores.
• Mantenimiento de registros: usuario, hora de inicio y cierre de
Automatizados

sesión, y acciones relevantes

Trazabilidad
• Gestión de las trazas: disponibilidad oportuna, almacenamiento,
destrucción, transferencia.
• Ambientes en los que se procese, almacene o transmita la
información, considerar las recomendaciones de seguridad
Gestión respaldos
física y ambiental recomendadas en la “NTP ISO/IEC 17799
y conservación EDI”
• Realización de respaldo y pruebas de recuperación.
• Autorización del titular al envío al exterior de las instalaciones
físicas.
Transferencias • Uso del mecanismo de protección aprobado por él (cifrado,
checksum, etc.)

25
La legislación de PDP en el Perú Reg. Título III, 1
Capítulo V,
7 Medidas técnicas Artículos 42-46
2
Medidas de seguridad 3

Ámbito Medidas de seguridad 4

• Los armarios / archivadores deberán encontrarse en áreas de
acceso restringido. 5
Almacenamiento • Se deben mantener cerradas.
No automatizados

• Si no fuera posible por las características del local, consultar con

la DGPDP.
• Las copias sólo podrán realizarse bajo el control del personal
Copias docs. autorizado.
• Destrucción de las copias deshechadas.
• Sólo por el personal autorizado
• Registro de acceso en el caso de más de un usuario
Acceso docs.
• El acceso de otros debe quedar registrado según las indicaciones
de la DGPDP.

Traslado docs. • Medidas para impedir el acceso o manipulación indebidos.

• Sólo el personal que lo requiere para el desempeño de sus

Prestación de funciones debe acceder a los datos de carácter personal.
servicios • En el caso de personal ajeno, el contrato recogerá la prohibición de
acceder a los datos personales y la obligación de secreto.

26
La legislación de PDP en el Perú Directiva 1.2, 1
1.3, 2.1 y 2.2.
7 Medidas técnicas
2

Condiciones de seguridad Acceso no autorizado 3

• Cumplimiento normativo en el • Contraseñas, privilegios 4

marco de la compañía • Acceso físico y lógico no 5
• Disposición de recursos autorizado
• Gestión de los accesos:
Requisitos de seguridad autorización, registro

• Política, procedimientos, Alteración no autorizada

compromiso confidencialidad
• Documento y responsable de • Retiro o traslado
Seguridad • Eliminación segura
• Alineamientos NTP-ISO/IEC • Copia o reproducción
27001
• Gestión privilegios
• Gobernabilidad procesos
• Enfoque gestión riesgos

27 No son obligatorios, sino condiciones necesarias

La legislación de PDP en el Perú Directiva 2.3 y 1
4
7 Medidas técnicas
2
Medidas de seguridad 3

4
Tratamientos no autorizados
Pérdida del banco 5
• Tratamiento independizado
• Copias de respaldo, • Información en caso de incidentes
recuperaciones y pruebas
• Mantenimiento equipos
• Antimalware
Disposiciones
complementarias • Almacenamiento seguro
• Transmisión electrónica
• Programa información a los • Seguridad flujos transfronterizos
titulares • Tercerizados
• Tercerización • Restricción foto, audio, video
• Auditoría
• Mejora contínua
28
 La legislación de PDP en el Perú 1
7 Medidas técnicas
2

3
Aplicación
4
Base datos
Automatizado
5
Sistema operativo
Plan de
medidas

No Automatizado

29
 La legislación de PDP en el Perú 1
7 Medidas técnicas Medidas específicas con un mayor
impacto 2
Aspectos generales de Cobertura
ISO Privilegios de acceso, autorización y
Seguridad trazabilidad en el caso de archivos no 3
automatizados
Política de protección datos
personales
Trazabilidad de los accesos a datos 4
Procedimientos operativos automatizados
5
Gestión de riesgos Autorización y proceso de traslado de
datos personales (automatizado y no
automatizado)
NTP-ISO/IEC 27001

Documento Seguridad Eliminación segura de la información en

medios automáticos removibles

Responsable de Seguridad
Seguridad en la copia o reproducción
(automático y no automatizado)
• En el proceso de implantación de la ISO 27001
• Deberán incorporar los activos de datos personales en el Información de los incidentes
marco de gestión
Almacenamiento de la información en
• Deberá realizarse el análisis de riesgos incluyendo el riesgo de forma segura: control de acceso y cifrado
privacidad
• Deberá determinarse la aplicación de controles en base a riesgos Transmisión protegida
• Puede tomarse como referencia el marco ISO 29100:2011
• Cabe destacar que no todos los requisitos de la ley quedan Uso de fotografía, video y audio

30
cubiertos por el framework.
 La legislación de PDP en el Perú
Infracciones
Infracciones Leves Infracciones Graves
• Dar tratamiento a datos • Dar tratamiento a los datos
personales sin recabar el personales contraviniendo los
consentimiento de sus titulares, principios establecidos en la
cuando el mismo sea necesario presente Ley o incumpliendo sus
conforme a lo dispuesto en esta demás disposiciones o las de su
Ley. Reglamento.
• Incumplir la obligación de
• No atender, impedir u obstaculizar confidencialidad establecida en el
el ejercicio de los derechos del artículo 17.
titular de datos personales • No atender, impedir u reglamento.
reconocidos en el título III, cuando obstaculizar, en forma
legalmente proceda. sistemática, el ejercicio de los
derechos del titular de datos
• Obstruir el ejercicio de la función personales reconocidos en el
fiscalizadora de la Autoridad título III, cuando legalmente
Nacional de Protección de Datos proceda.
Personales • Obstruir, en forma sistemática, el
ejercicio de la función
fiscalizadora de la Autoridad
Nacional de Protección de Datos
Personales.
• No inscribir el banco de datos
personales en el Registro
Nacional de Protección de Datos
Personales.
31
1
Reg. Título VI
2
Infracciones Muy Graves
3
• Dar tratamiento a los datos personales
contraviniendo los principios establecidos en 4
la presente Ley o incumpliendo sus demás
disposiciones o las de su Reglamento,
cuando con ello se impida o se atente contra 5
el ejercicio de los derechos fundamentales.
• Crear, modificar, cancelar o mantener bancos
de datos personales sin cumplir con lo
establecido por la presente Ley o su
• Suministrar documentos o información falsa o
incompleta a la Autoridad Nacional de
Protección de Datos Personales.
• No cesar en el tratamiento ilícito de datos
personales, cuando existiese un previo
requerimiento de la Autoridad Nacional de
Protección de Datos Personales para ello.
• No inscribir el banco de datos personales en
el Registro Nacional de Protección de Datos
Personales, no obstante haber sido requerido
para ello por la Autoridad Nacional de
Protección de Datos Personales
 La legislación de PDP en el Perú 1
Sanciones Reg. Título VI

• Sanción administrativa de Multa: 2

Nivel de Sanción 3
Ejemplo
Infracción Multa en S/.
4
Leve 1,850 a 18,500 Solicitud de actualización de datos rechazada
Grave 18,501 a 185,000 Reiteradas y diversas solicitudes de actualización rechazadas 5
Muy grave 185,001 a 370,000 Entidad remite información falsa a la DGPDP
Límite del 10%de los ingresos brutos anuales que hubiera percibido el presunto infractor
durante el ejercicio anterior

• Multas coercitivas : Por incumplimiento de obligaciones accesorias a la sanción de multa

Nivel de Sanción Monto de la Multa S/.
Obligaciones accesorias a multa por infracciones Leves 740 a 7,400
Obligaciones accesorias a multa por infracciones Graves 7,401 a 22,200
Obligaciones accesorias a multa por infracciones Muy graves 22,201 a 37,000
La multa coercitiva es independiente de las sanciones que puedan imponerse con tal carácter y
compatible con ellas.
32
 La legislación de PDP en el Perú 1
Ejemplo: sanciones en España
2

33
 La legislación de PDP en el Perú 1
Ejemplo: sanciones en España
2

34
 1

3
Un enfoque práctico 4
de adaptación
5

35
 Un enfoque práctico de adaptación 1
Ámbitos de afectación
2
IMPACTOS EN LA
Medidas técnicas
ORGANIZACIÓN 3

Carga prueba 4

5
Gestión medios no
automatizados
Técnicos

Habeas Data
Tratamientos

Organización Legal
Consentimiento

Transferencia

Declaración

36
 Un enfoque práctico de adaptación 1
Visión global del proceso
2

Fases para la adaptación 3

II. Aspectos V. Plan de 4

I. Ciclo de III. Aspectos IV. Proceso
Legales y adaptación e
vida dato Técnicos de registro
Organizativas implantación
5

• La metodología que se presenta es fruto de una amplia experiencia en apoyar a nuestros clientes
a adaptarse con éxito a los requisitos legislativos
• El enfoque en fases permite abordar de forma gradual y comprensible un proyecto de esta
envergadura.
• Una de las fases clave para realizar una adaptación adecuada y razonable es la I, que trata de
conocer el ciclo de vida del dato.
• La ley tiene impactos a nivel organizativo, legal y técnico, por lo que se requiere un equipo
multidisciplinar para el despliegue del proyecto.
• Este proceso requiere la involucración de múltiples áreas de la compañía: negocio, áreas de
administración, sistemas de información, legal, etc., por lo que es necesario que el sponsor sea el
adecuado.

37
 Un enfoque práctico de adaptación 1
I. Ciclo de vida
2

Datos, 5
Análisis del ciclo de finalidades,
vida del dato soportes,
tratamientos,
terceros,
clasificación

• Las compañías disponen de más datos personales de los que inicialmente suponen
• Las áreas de negocio no siempre son conscientes de que en algunos tratamientos están involucrados datos personales
• Este proceso permite concienciar a las áreas de negocio y proveedores sobre la legislación
• Es posible conocer la finalidad real para la que se utiliza
• Permite identificar cesiones, transmisiones al exterior, terceros involucrados, etc.
• Permite racionalizar las siguientes fases y el coste-beneficio del cumplimiento.
38
Un enfoque práctico de adaptación 1
I. Ciclo de vida
2

Ejemplo de entregables 3

Inventario de bases
de datos personales

Ciclo de
vida del
dato

39
@2014 Deloitte Touche SRL
 Un enfoque práctico de adaptación 1
III. Aspectos Técnicos
2
Aplicación

3
Base datos
Automatizado
4
Sistema operativo

Iniciativas
No Automatizado
Técnicas

• En este punto resalta la importancia de racionalizar y clasificar correctamente la información de carácter personal en
los sistemas, ya que la implementación de algunas medidas puede ser muy costosa.
• En algunos casos será necesario tomar decisiones para maximizar los ratios de protección-cumplimiento /costo.
• Es una buena oportunidad para implementar en la organización un marco de control interno de SI más completo

40
 Un enfoque práctico de adaptación 1
IV. Proceso de registro
2

3
Iniciativas
Declaración 4
ficheros
5

• Identificación bases de datos

• Descripción características
• Clasificación tratamientos
• Formularios y declaración

• En ocasiones es necesario tomar decisiones que racionalicen el uso de los datos y de la protección de los mismos.
• La definición debe conllevar un equilibrio entre la utilidad de las bases de datos, así como el esfuerzo de mantenimiento que
conlleva.
• La estrategia de cumplimiento que se defina tendrá fuertes implicaciones en la definición de Bases de Datos Personales:
gestión individualizada, centralizada, con asesoramiento, etc.
41
 Un enfoque práctico de adaptación
V. Plan de implantación / medidas
Medida
Externa. Existe un marco legal
apropiado
Externa. Conocimiento y
conciencia
Interna. Compromiso titular
Interna. Comprensión del
contexto
Interna. Roles y
responsabilidades
Interna. Enfoque a riesgos
Estructura organizacional
Compromiso documentado
cumplimiento
42
Situación
Descripción
Actual
Se aplica el marco legal apropiado
(leyes , reglamentos o s imilares )
Conocimiento y conciencia: conocer la
importancia de la protección de los
datos pers onales y del marco
legis lativo
- Conocer y conciencia del marco
Exis te el compromis o de la dirección
para que s e dis ponga de los recurs os
neces arios y brindar dirección en la
protección de datos pers onales .
Comprender el contexto ins titucional
en el tratamiento y protección de los
datos
Exis ten unas res pons abilidades y roles
apropiados para ges tionar el
cumplimiento de la legis lación, con la
s uficiente autoridad y recurs os
Enfoque de ges tión de ries gos de los
datos pers onales tratados
Se dis pone de roles y
res pons abilidades alineados con la
proporcionalidad de los datos a
proteger
La organización dis pone de un
compromis o documentado de res peto
a los principios de la ley
1
2
Fecha
Situación actual de la Compañía Recomendación Responsable Fecha fin
Analizar en detalle el marco normativo
inicio 3
En general, s e conoce la importancia del nuevo marco
relacionado con la ley de protección de datos
legis lativo. Sin embargo, no s e conoce en profundidad
pers onales , y determinar las implicancias del
dado que aún no s e ha abordado el proces o de Comité LDPD mar-13 may-13
mis mos . Definir un plan de adaptación para la
En general, s e conoce la importancia del nuevo marco
legis lativo. Sin embargo, no s e conoce en profundidad
dado que aún no s e ha abordado el proces o de Ver C.1 y O.8
4
adaptación, y no s e ha llevado a cabo el programa de
capacitación y concienciación de los empleados . Comité LDPD mar-13 may-13
Aún no s e ha abordado el proces o de adaptación a los
requis itos de la legis lación. Ver O.2 5
El compromis o debería mos trars e por es crito (ver O.2)
Área Legal mar-13 may-13
Según el anális is gap realizado, s e ha obtenido un
conocimiento parcial del contexto, focalizado en el Realizar el anális is de ciclo de vida de los
proces o de ges tión de es de . datos de carácter pers onal para la
Aún no s e ha abordado el proces o de adaptación a los organización completa.
requis itos de la legis lación, por lo que no s e ha llevado Comité LDPD mar-13 may-13
Aún no s e ha abordado el proces o de adaptación a los
requis itos de la legis lación, por lo que no s e han
Ver O.1
definido y es tablecido los roles y res pons abilidades (ver
O.1) Comité LDPD mar-13 may-13
Definir el modelo de control a del anális is de
Aún no s e ha abordado el proces o de adaptación a los riesgos de privacidad . Cons iderar el inventario
requis itos de la legis lación, por lo que no s e ha actualizado de activos de información, en el
es tablecido un enfoque a ries gos de privacidad que s e incluyan los activos que contengan
Comité LDPD mar-13 may-13
datos de carácter pers onal.
- Definir la es tructura de cumplimiento a nivel
corporativo:
* Analizar los dis tintos modelos y definir el
Actualmente no exis ten en la organización recurs os modelo que s e aplicará
des tinados al cumplimiento de la ley de protección de * Des ignar Res pons able de Seguridad
datos . * Des ignar las res pons abilidades de cada
una de las áreas involucradas
* Las res pons abilidades de cada empleado
de Comité LDPD mar-13 may-13
Obtener el compromis o de la Dirección, de
forma que s e comprometa a:
La organización no dis pone de un compromis o
- Proporcionar los recurs os neces arios
documentado de res peto a los principios de la ley.
- Se compromete a encontrars e involucrado
con la neces idad de proteger los datos Comité LDPD mar-13 may-13
 Un enfoque práctico de adaptación 1
V. Plan de implantación
2

43
 Un enfoque práctico de adaptación 1
Equipo tipo del proyecto
2

3
Equipo de trabajo Áreas involucradas
4

Áreas de negocio 5

Procesos Legal Áreas de backoffice

Sistemas de Información
Seguridad
Tecnología
Información

Auditoría Interna

44
Contactenos
Contáctenos

Deloitte & Touche S.R.L.

Las Begonias 441, piso 6
Deloitte San Isidro, Lima 27. Perú
Tel: +51(1) 211-8585
www.deloitte.com/pe

Christiam Garratt Saldaña

Christiam Socio
Garratt Consultoría en Riesgo Empresarial
cgarratt@deloitte.com

Anna Salguero Sende

Anna Gerente Senior
Salguero Consultoría en Riesgo Empresarial
asalguero@deloitte.com

46
 Deloitte se refiere a Deloitte Touche Tohmatsu, una asociación suiza, o a una o más integrantes de su
red de firmas miembros, cada una de las cuales constituye una entidad separada e independiente
desde el punto de vista legal. Una descripción detallada de la estructura legal de Deloitte Touche
Tohmatsu y sus firmas miembros puede verse en el sitio web www.deloitte.com/pe

47 ©2014 Deloitte Touche Tohmatsu