de Personales
Enfoque prctico de adecuacin
Octubre 2013
Contenidos
1. Principios y fundamentos de la Privacidad
2. Las Leyes de Proteccin de Datos
Personales en el Mundo
3. La legislacin de Proteccin de Datos
Personales en el Per
4. Un enfoque prctico de adaptacin
5. Experiencias, opiniones e inquietudes de
los participantes
Principios y fundamentos
de la Privacidad
1997
1890
Samuel Warre y Louis Brandeis,
Tribunal Superior de Justicia,
The Right to Privicy
2013
The right of the individual to be
protected against intrusion into his
personal life or affairs, or those of
his family, by direct physical means
or by publication of information
Wikipedia
Informacin
Corporal
Territorial
Comunicaciones
Comprenhensive
Law
Sectorial Laws
Co-regulatory
model
Self-regulatory
model
US Federal
GLBA, HIPAA, COPPA, Do
Not Call, Safe Harbor
Emiratos rabes
Ley Proteccin Datos
Dubai
Corea Sur
Acto de Promocin del
Uso de Informacin y
Redes de Comunicacin,
y Proteccin de Datos
Espaa
Ley Orgnica de
Proteccin de Datos
Personales
Japn
Acto de Proteccin de
Informacin Personal
Hong Kong
Ordenacin Privacidad
Datos Personales
Leyes estatales
Notificacin Brechas 45 estados
SSN Use
Taiwan
Ley de Proteccin de
Datos Personales
computarizados
India
Registro Nacional
Do Not Call
Nueva Zelanda
Acto de Privacidad
Sur frica
Acto de Comunicaciones
y Transacciones
Electrnicas
7
Australia
Enmienda Federal de
Privacidad, email spam
y regulaciones de
privacidad
Mxico Ao 2010
Guatemala - Ao 2008
El Salvador
Panam Ao 2002
Nicaragua Ao 2012
Venezuela
Ecuador
Bolivia Ao 2004
Paraguay Ao 2001
Per Ao 2012
Chile Ao 2011
8
Colombia Ao 2012
Uruguay Ao 2008
Argentina Ao 2000
La legislacin de Proteccin
de Datos Personales del
Per
Mediante el DECRETO
SUPREMO N 003-2013-JUS,
publicado el 22 de marzo de
2013, se aprob el Reglamento
de Ley N 29733, el cual
desarrolla y detalla las
disposiciones de la ley.
Se encuentra vigente desde el 8
de mayo, tras 30 das hbiles a
partir de su publicacin.
10
Constitucin
Poltica del
Per
Proyecto de
Ley
N4079/2009PE
Ley N 29733
Proteccin de
Datos
Personales
El artculo 2 numeral 6 de la
Constitucin Poltica del Per
seala que toda persona tiene
derecho a que los servicios
informticos, computarizados o
no, pblicos o privados, no
suministren informaciones que
afecten a la intimidad personal y
familiar.
DS N 0032013-JUS
Reglamento
de la Ley
29733
Directiva de
Seguridad de
la
Informacin
El 11 de octubre de 2013 la
Autoridad Nacional de Proteccin
de Datos public la Directiva de
SI, para orientar en las medidas
tcnicas a aplicar.
de su creacin, formacin,
Banco de
Datos
Personales
Datos
personales
Datos
sensibles
Reg. Ttulo I,
Artculo 2
Ley Art.2
Titular del
Banco de
Datos
Personales
Responsable
del
tratamiento
seguridad.
Encargado
del
tratamiento
Reg. Ttulo I,
Artculo 2
Ley Art.2
del banco
Transferencia
de datos
personales
Transmisin, suministro o manifestacin
Tratamiento
Datos
Personales
Reg. Ttulo I,
Artculos 1, 3-5
13
Reg. Ttulo II
Principios rectores
Principio de
Legalidad
Principio de
Consentimiento
Principio de
Proporcionalidad
Principio de
Finalidad
Principio de
Calidad
Principio de
nivel de
proteccin
adecuado
Principio de
Disposicin de
Recurso
Valor de los
Principios
14
Principio de
Seguridad
Consentimiento
Debe obtenerse consentimiento para todas las finalidades de
uso
Libre, previo, expreso, inequvoco, informado
En el caso de los datos sensibles, firma formal
El titular puede revocarlo en cualquier momento
No se requiere sobre las fuentes accesibles al pblico
15
16
Tratamientos especiales
Particularidades del consentimiento de datos de menores
Medidas de seguridad
mbito
Medidas de seguridad
Automatizados
Control de acceso
Trazabilidad
Gestin respaldos
y conservacin
Transferencias
18
Medidas de seguridad
mbito
Medidas de seguridad
No automatizados
19
Almacenamiento
Copias docs.
Traslado docs.
Prestacin de
servicios
Acceso docs.
Informacin
/
Reg. Ttulo IV
20
Rectificacin, actualizacin e
inclusin
Acceso
Cancelacin
Impedir el
Suministro
Tratamiento
objetivo
Oposicin
Percepcin del
valor
Tutela
Ser Indemnizado
Registro Nacional de
Proteccin de Datos
Bancos de Datos
Personales de
titularidad
privada
Bancos de Datos
Personales de
titularidad pblica
Cdigos de
conducta
Sanciones,
medidas
cautelares o
correctivas
Reg. Ttulo V
http://www.minjus.gob.pe/registro-proteccion-datos-personales/
Flujos
transfronterizos
21
Reg. Ttulo VI
Infracciones Leves
Dar
tratamiento
a
datos
personales
sin
recabar
el
consentimiento de sus titulares,
cuando el mismo sea necesario
conforme a lo dispuesto en esta
Ley.
Infracciones Graves
22
Reg. Ttulo VI
Nivel de
Infraccin
Sancin
Multa en S/.
Leve
1,850 a 18,500
Grave
18,501 a 185,000
Muy grave
185,001 a 370,000
Ejemplo
Solicitud de actualizacin de datos rechazada
Lmite del 10%de los ingresos brutos anuales que hubiera percibido el presunto infractor
durante el ejercicio anterior
Nivel de Sancin
Obligaciones accesorias a multa por infracciones Leves
7,401 a 22,200
22,201 a 37,000
La multa coercitiva es independiente de las sanciones que puedan imponerse con tal carcter y
compatible con ellas.
23
Directiva 1.1
Bsico
Simple
Intermedio
Volumen
personas
Bajo (hasta 50)
Medio (hasta
100)
Alto (hasta
1.000)
Muy Alto (ms
1.000)
Complejo
Titular Banco
Crtico
Natural
Jurdica
Entidad Pblica
Nmero datos
Bajo (hasta 5)
Normal (ms 5)
Periodo
tratamiento
Bajo (menos 1
ao)
Normal (ms 1
ao o
indefinido)
Datos Sensibles
Mltiples
localizaciones
Finalidad legal
Criterios
24
Directiva 1.2,
1.3, 2.1 y 2.2.
Medidas de seguridad
-
Clarifica las condiciones, requisitos y medidas tcnicas que se deben tomar en cuenta para el
cumplimiento de la ley.
Define qu debe aplicarse y cmo segn la categorizacin del tratamiento.
Condiciones de seguridad
Cumplimiento normativo en el marco de
la compaa
Disposicin de recursos
Requisitos de seguridad
Poltica, procedimientos, compromiso
confidencialidad
Documento y responsable de Seguridad
Alineamientos NTP-ISO/IEC 27001
Gobernabilidad procesos
Enfoque gestin riesgos
25 No son obligatorios, sino condiciones necesarias
Medidas organizativas
Estructura organizacional
Compromiso documentado
Adecuacin de la organizacin a la ley:
sistemas y procesos
Procedimientos: tratamientos, incidentes,
auditora, gestin de privilegios, etc.
Programa de concienciacin
Medidas legales
Contratos: empleados y terceros
Formatos consentimientos
Medidas de seguridad
Acceso no autorizado
Tratamientos no autorizados
Contraseas, privilegios
Acceso fsico y lgico no autorizado
Gestin de los accesos: autorizacin,
registro
Alteracin no autorizada
Retiro o traslado
Eliminacin segura
Copia o reproduccin
Gestin privilegios
Tratamiento independizado
Informacin en caso de incidentes
Mantenimiento equipos
Antimalware
Almacenamiento seguro
Transmisin electrnica
Seguridad flujos transfronterizos
Tercerizados
Restriccin foto, audio, video
Auditora
Mejora contnua
Disposiciones complementarias
26
Directiva 2.3 y
4
Un enfoque prctico de
adaptacin
27
Medidas tcnicas
Carga prueba
Gestin medios no
automatizados
Habeas Data
Tcnicos
Tratamientos
Consentimiento
Transferencia
Declaracin
28
Organizacin
Legal
II. Aspectos
Legales y
Organizativas
III. Aspectos
Tcnicos
IV. Proceso
de registro
V. Plan de
adaptacin e
implantacin
La metodologa que se presenta es fruto de una amplia experiencia en apoyar a nuestros clientes
a adaptarse con xito a los requisitos legislativos
El enfoque en fases permite abordar de forma gradual y comprensible un proyecto de esta
envergadura.
Una de las fases clave para realizar una adaptacin adecuada y razonable es la I, que trata de
conocer el ciclo de vida del dato.
La ley tiene impactos a nivel organizativo, legal y tcnico, por lo que se requiere un equipo
multidisciplinar para el despliegue del proyecto.
Este proceso requiere la involucracin de mltiples reas de la compaa: negocio, reas de
administracin, sistemas de informacin, legal, etc., por lo que es necesario que el sponsor sea el
adecuado.
29
30
Datos,
finalidades,
soportes,
tratamientos,
terceros,
clasificacin
Estrategia de
cumplimiento
31
Estructura organizativa
Marco normativo
Procedimientos
Adecuacin del
negocio
Contratos
Iniciativas
Legales y
Organizativas
Estrategia de
cumplimiento
- Compromiso Dir.
- Concienciacin
- Plan prueba
controles peridico
- Adaptacin
procesos
- Adaptacin
sistemas
- Documentacin
32
Estructura organizativa
Marco normativo
Procedimientos
Adecuacin del
negocio
Contratos
Habeas Data.
Consentimiento
Gestin incidentes
Auditora
Privilegios y
accesos
- Registro accesos
- Calidad de los
datos
- Empleados
- Terceros:
encargados
tratamiento,
transmisin
Estrategia de
Cumplimiento y
Gestin
Modelos
Calendario
Alcance
Centralizado
Directrices,
polticas,
actividades,
supervisin
(1r nivel)
Rbles.
Cumplimiento
LDPD
Descentralizado
desorganizado
Asesoramiento
Empresa
A
Empresa
F
Empresa
B
Empresa
F
Empresa
B
Empresa
F
Empresa
D
Organizacin
Empresa
C
Empresa
E
Empresa
B
Empresa
F
Empresa
D
Organizacin
Empresa
C
Empresa
E
Empresa
D
Organizacin
Empresa
B
Matriz
Matriz
Matriz
Empresa
C
Empresa
E
Empresa
A
Empresa
A
Empresa
A
Matriz
33
Mixto
Empresa
C
Empresa
E
Empresa
D
Organizacin
Roles y funciones
Titular Base Datos
Caso 1
Responsable
tratamiento
Encargado
tratamiento
Encargado
tratamiento
Encargado
tratamiento
Otros roles y
funciones
34
Encargado
tratamiento
Comit
LDPD
Responsable
Seguridad
Mtodos
Obtencin del
Consentimiento
Canales
Finalidad
35
Base datos
Automatizado
Sistema operativo
No Automatizado
Iniciativas
Tcnicas
En este punto resalta la importancia de racionalizar y clasificar correctamente la informacin de carcter personal en
los sistemas, ya que la implementacin de algunas medidas puede ser muy costosa.
En algunos casos ser necesario tomar decisiones para maximizar los ratios de proteccin-cumplimiento /costo.
Es una buena oportunidad para implementar en la organizacin un marco de control interno de SI ms completo
36
NTP-ISO/IEC 27001
Documento Seguridad
Responsable de Seguridad
37
Transmisin protegida
Uso de fotografa, video y audio
Iniciativas
Declaracin
ficheros
En ocasiones es necesario tomar decisiones que racionalicen el uso de los datos y de la proteccin de los mismos.
La definicin debe conllevar un equilibrio entre la utilidad de las bases de datos, as como el esfuerzo de mantenimiento que
conlleva.
La estrategia de cumplimiento que se defina tendr fuertes implicaciones en la definicin de Bases de Datos Personales:
gestin individualizada, centralizada, con asesoramiento, etc.
38
39
Declaracin en Espaa de
los ficheros de una
Entidad Bancaria, un total
de 19.
40
Declaracin en Espaa de
los ficheros de una
empresa aseguradora, un
total de 14.
41
42
Nuestros servicios
43
Servicios post-adaptacin
Diagnstico y roadmap
- Evaluacin del estado
actual: medidas tcnicas,
legales y organizativas
Colaboracin implantacin
cumplimiento
Asesoramiento experto
- Identificacin datos y
tratamientos: clasificacin y
- Definicin de las iniciativas declaracin
Asesoramiento durante el
a realizra por la compaa
desarrollo de las acciones
- Defincin de la estrategia, definidas para la
para el cumplimiento.
responsabilidades, polticas, implantacin
procedimientos
Contactos
44
Auditoras de
Cumplimiento
Gerardo Herrera
Socio Lder
Riesgos de Negocio
geherrera@deloitte.com
Anna Salguero
Gerente
Riesgos de Negocio
asalguero@deloitte.com
Asesor
experto
Outsourcing
tareas
cumplimiento
Deloitte se refiere a Deloitte Touche Tohmatsu, una asociacin suiza, o a una o ms integrantes de su
red de firmas miembros, cada una de las cuales constituye una entidad separada e independiente
desde el punto de vista legal. Una descripcin detallada de la estructura legal de Deloitte Touche
Tohmatsu y sus firmas miembros puede verse en el sitio web www.deloitte.com/pe
45