Ley de Proteccin de Datos

de Personales
Enfoque prctico de adecuacin

Octubre 2013

Contenidos
1. Principios y fundamentos de la Privacidad
2. Las Leyes de Proteccin de Datos
Personales en el Mundo
3. La legislacin de Proteccin de Datos
Personales en el Per
4. Un enfoque prctico de adaptacin
5. Experiencias, opiniones e inquietudes de
los participantes

Principios y fundamentos
de la Privacidad

2012 Deloitte Touche Tohmatsu

Principios y fundamentos de la privacidad

Definiciones

The right to be left alone

UK Calcutt Committee

Ability of an individual or group

to seclude themselves or
information about themselves
and thereby reveal themselves
selectively

1997

1890
Samuel Warre y Louis Brandeis,
Tribunal Superior de Justicia,
The Right to Privicy

2013
The right of the individual to be
protected against intrusion into his
personal life or affairs, or those of
his family, by direct physical means
or by publication of information

Wikipedia

Principios y fundamentos de la privacidad

Clases de privacidad

Informacin

Corporal

Territorial

Comunicaciones

Las Leyes de Proteccin de

Datos Personales en el
mundo

2012 Deloitte Touche Tohmatsu

Proteccin de Datos Personales en el mundo

Modelos mundiales

Comprenhensive
Law

Sectorial Laws

Co-regulatory
model

Self-regulatory
model

Proteccin de Datos Personales en el mundo

Mapa legislativo mundial
Canada Federal/provincial
PIPEDA, FOIPPA, PIPA
Unin Europea
Directiva Proteccin Datos EU
y Leyes de los Estados
Miembros

US Federal
GLBA, HIPAA, COPPA, Do
Not Call, Safe Harbor

Emiratos rabes
Ley Proteccin Datos
Dubai

Corea Sur
Acto de Promocin del
Uso de Informacin y
Redes de Comunicacin,
y Proteccin de Datos

Espaa
Ley Orgnica de
Proteccin de Datos
Personales

Japn
Acto de Proteccin de
Informacin Personal

Hong Kong
Ordenacin Privacidad
Datos Personales

Leyes estatales
Notificacin Brechas 45 estados
SSN Use

Taiwan
Ley de Proteccin de
Datos Personales
computarizados
India
Registro Nacional
Do Not Call
Nueva Zelanda
Acto de Privacidad

Sur frica
Acto de Comunicaciones
y Transacciones
Electrnicas
7

Nota: no pretende ser un listado exhaustivo

Australia
Enmienda Federal de
Privacidad, email spam
y regulaciones de
privacidad

Proteccin de Datos Personales en el mundo

Contexto regional
Legislados y con rgano supervisor
Legislacin poco definida y/o sin
rgano supervisor
Proyecto legislativo en proyecto

Mxico Ao 2010
Guatemala - Ao 2008
El Salvador

Panam Ao 2002

Nicaragua Ao 2012

Venezuela

Ecuador
Bolivia Ao 2004
Paraguay Ao 2001
Per Ao 2012
Chile Ao 2011
8

Colombia Ao 2012

Uruguay Ao 2008
Argentina Ao 2000

La legislacin de Proteccin
de Datos Personales del
Per

2012 Deloitte Touche Tohmatsu

La legislacin de PDP en el Per

Cronograma de la legislacin

El Congreso de la Repblica del

Per aprob, el 7 de junio de
2010 el Proyecto de Ley N
4079/2009-PE que propone la
Ley de Proteccin de Datos
Personales.

Mediante el DECRETO
SUPREMO N 003-2013-JUS,
publicado el 22 de marzo de
2013, se aprob el Reglamento
de Ley N 29733, el cual
desarrolla y detalla las
disposiciones de la ley.
Se encuentra vigente desde el 8
de mayo, tras 30 das hbiles a
partir de su publicacin.

10

Constitucin
Poltica del
Per

Proyecto de
Ley
N4079/2009PE

Ley N 29733
Proteccin de
Datos
Personales

El artculo 2 numeral 6 de la
Constitucin Poltica del Per
seala que toda persona tiene
derecho a que los servicios
informticos, computarizados o
no, pblicos o privados, no
suministren informaciones que
afecten a la intimidad personal y
familiar.

El 3 de julio de 2011 se public

en el Diario Oficial, El Peruano, la
Ley N 29733, Ley de Proteccin
de Datos Personales.

DS N 0032013-JUS
Reglamento
de la Ley
29733
Directiva de
Seguridad de
la
Informacin

El 11 de octubre de 2013 la
Autoridad Nacional de Proteccin
de Datos public la Directiva de
SI, para orientar en las medidas
tcnicas a aplicar.

La legislacin de PDP en el Per

Definiciones bsicas

Conjunto organizado de datos personales,

automatizado o no, independientemente
del soporte, sea este fsico, magntico,

Informacin numrica, alfabtica, grfica,

digital, ptico u otros que se cree,

fotogrfica, acstica, sobre hbitos

cualquiera que fuere la forma o modalidad

personales, o de cualquier otro tipo relativo

de su creacin, formacin,

a las personas naturales que las identifica

almacenamiento, organizacin y acceso.

o las hace identificables a travs de

medios que puedan ser razonablemente
utilizados.

Banco de
Datos
Personales

Datos
personales

Datos de la esfera ms ntima de la persona:

Datos
sensibles

Titular del Dato

Reg. Ttulo I,
Artculo 2
Ley Art.2

datos biomtricos; origen racial y tnico;

ingresos econmicos, opiniones o convicciones
polticas, religiosas, filosficas o morales;

afiliacin sindical; caractersticas fsicas,

morales o emocionales; familiar; e informacin
relacionada a la salud o a la vida sexual.
11

Persona natural a la que corresponden

los datos personales (propietario).

La legislacin de PDP en el Per

Definiciones bsicas
Persona natural, persona jurdica de
derecho privado o entidad pblica que
determina la finalidad y contenido

Titular del
Banco de
Datos
Personales

Responsable
del
tratamiento

Aqul que decide sobre el tratamiento de

los datos personales

del banco de datos personales, el

tratamiento de stos y las medidas de

seguridad.

Encargado
del
tratamiento
Reg. Ttulo I,
Artculo 2
Ley Art.2

de datos personales, de carcter nacional

o internacional, a una persona jurdica de
derecho privado o a una entidad pblica o
una persona natural distinta de del titular
12

del banco

ser el titular, el responsable u otra persona por encargo del

titular y en virtud de una relacin jurdica . Incluye los que
lo realizan por cuenta del responsable, cuando el
tratamiento se realice sin la existencia de un banco.

Transferencia
de datos
personales
Transmisin, suministro o manifestacin

Realiza el tratamiento de los datos personales, pudiendo

Tratamiento
Datos
Personales

Cualquier operacin o procedimiento

tcnico, automatizado o no, que permita la

extraccin, consulta, registro, organizacin,
almacenamiento, modificacin, bloqueo,
suspensin, difusin o cualquier otra forma
de procesamiento de datos personales.

La legislacin de PDP en el Per

Objetivo y mbito de aplicacin

Reg. Ttulo I,
Artculos 1, 3-5

Garantizar el derecho fundamental a la proteccin de datos personales, regulando

un adecuado tratamiento tanto por las entidades pblicas como por las instituciones
pertenecientes al sector privado.

Quin? Entidades pblicas , compaas del sector privado, y personas naturales

Sobre qu? Datos personales destinados a incluirse en un banco de datos. Excepto:
Datos de personas naturales para uso domstico.
Los bancos de datos personales de la administracin pblica con objeto: defensa nacional,
seguridad pblica, desarrollo de actividades en materia penal, etc.

Dnde? Aplicacin territorial:

El titular del banco de datos o el responsable se encuentra ubicado en territorio peruano,
independientemente del pas en el que se realicen los tratamientos el encargado del
tratamiento.
Titular o responsable en territorio no peruano:
Aplica la legislacin peruana por contrato, etc.
Utiliza medios en dicho pas para el tratamiento (excepto slo transmisin).

13

La legislacin de PDP en el Per

Reg. Ttulo II

Principios rectores

Principio de
Legalidad
Principio de
Consentimiento
Principio de
Proporcionalidad

Principio de
Finalidad
Principio de
Calidad
Principio de
nivel de
proteccin
adecuado

Principio de
Disposicin de
Recurso
Valor de los
Principios

14

Principio de
Seguridad

La legislacin de PDP en el Per

Tratamiento de Datos Personales

Consentimiento
Debe obtenerse consentimiento para todas las finalidades de
uso
Libre, previo, expreso, inequvoco, informado
En el caso de los datos sensibles, firma formal
El titular puede revocarlo en cualquier momento
No se requiere sobre las fuentes accesibles al pblico

15

Reg. Ttulo III,

Captulos I y II

La legislacin de PDP en el Per

Tratamiento de Datos Personales

Transferencia de datos personales

El titular debe ofrecer su consentimiento
Carga de prueba sobre el emisor, comunicando al receptor
las condiciones del consentimiento
El receptor pasa a ser el titular o el responsable del
tratamiento, y debe dar cumplimiento a la ley
Transferencias intragrupo, se recomienda disponer de un
cdigo de conducta
Flujos transfronterizos, debe encontrarse aprobado por la
DGPG, y las obligaciones que asume el receptor formalizadas
mediante contrato.

16

Reg. Ttulo III,

Captulo III

La legislacin de PDP en el Per

Tratamiento de Datos Personales

Tratamientos especiales
Particularidades del consentimiento de datos de menores

Las empresas de telecomunicaciones deben proteger los

datos de sus usuarios y los obtenidos mediante sus
actividades
Tratamiento realizados por otros:

Por el encargado: no se considera una cesin, y deben

conservarse 2 aos.
Utilizando medios tecnolgicos tercerizados sin
intervencin humana: pueden contratarse si dan
cumplimiento a la ley y si el titular mantiene el control y
responsabilidad
Subcontratacin de un tercero: se articula por medio del
contrato, y autorizado por el titular/responsable.
17

Reg. Ttulo III,

Captulo IV

La legislacin de PDP en el Per

Tratamiento de Datos Personales

Medidas de seguridad
mbito

Medidas de seguridad

Automatizados

Control de acceso

Trazabilidad

Gestin respaldos
y conservacin

Transferencias

18

Identificacin de usuarios (usuario-contrasea, uso de

certificados digitales, tokens, entre otros).
Gestin de los privilegios
Revisiones peridicas de permisos
Procedimientos documentados, que definen los aspectos
anteriores.
Mantenimiento de registros: usuario, hora de inicio y cierre de
sesin, y acciones relevantes
Gestin de las trazas: disponibilidad oportuna, almacenamiento,
destruccin, transferencia.
Ambientes en los que se procese, almacene o transmita la
informacin, considerar las recomendaciones de seguridad
fsica y ambiental recomendadas en la NTP ISO/IEC 17799
EDI
Realizacin de respaldo y pruebas de recuperacin.
Autorizacin del titular al envo al exterior de las instalaciones
fsicas.
Uso del mecanismo de proteccin aprobado por l (cifrado,
checksum, etc.)

Reg. Ttulo III,

Captulo V,
Artculos 39-41

La legislacin de PDP en el Per

Tratamiento de Datos Personales

Medidas de seguridad
mbito

Medidas de seguridad

No automatizados

19

Almacenamiento

Copias docs.

Los armarios / archivadores debern encontrarse en reas de

acceso restringido.
Se deben mantener cerradas.
Si no fuera posible por las caractersticas del local, consultar con
la DGPDP.
Las copias slo podrn realizarse bajo el control del personal
autorizado.
Destruccin de las copias deshechadas.

Slo por el personal autorizado

Registro de acceso en el caso de ms de un usuario
El acceso de otros debe quedar registrado segn las indicaciones
de la DGPDP.

Traslado docs.

Medidas para impedir el acceso o manipulacin indebidos.

Prestacin de
servicios

Slo el personal que lo requiere para el desempeo de sus

funciones debe acceder a los datos de carcter personal.
En el caso de personal ajeno, el contrato recoger la prohibicin de
acceder a los datos personales y la obligacin de secreto.

Acceso docs.

Reg. Ttulo III,

Captulo V,
Artculos 42-46

La legislacin de PDP en el Per

Derechos del titular de datos personales

Informacin

/
Reg. Ttulo IV

20

Rectificacin, actualizacin e
inclusin

Acceso

Cancelacin

Impedir el
Suministro

Tratamiento
objetivo

Oposicin

Percepcin del
valor

Tutela

Ser Indemnizado

La legislacin de PDP en el Per

Registro nacional de proteccin de datos personales

Registro Nacional de
Proteccin de Datos

Bancos de Datos
Personales de
titularidad
privada
Bancos de Datos
Personales de
titularidad pblica

Cdigos de
conducta

Sanciones,
medidas
cautelares o
correctivas
Reg. Ttulo V

http://www.minjus.gob.pe/registro-proteccion-datos-personales/

Flujos
transfronterizos
21

La legislacin de PDP en el Per

Infracciones

Reg. Ttulo VI

Infracciones Leves

Dar
tratamiento
a
datos
personales
sin
recabar
el
consentimiento de sus titulares,
cuando el mismo sea necesario
conforme a lo dispuesto en esta
Ley.

No atender, impedir u obstaculizar

el ejercicio de los derechos del
titular de datos personales
reconocidos en el ttulo III, cuando
legalmente proceda.

Infracciones Graves

Obstruir el ejercicio de la funcin

fiscalizadora de la Autoridad
Nacional de Proteccin de Datos
Personales

22

Dar tratamiento a los datos

personales contraviniendo los
principios establecidos en la
presente Ley o incumpliendo sus
dems disposiciones o las de su
Reglamento.
Incumplir la obligacin de
confidencialidad establecida en el
artculo 17.
No
atender,
impedir
u
obstaculizar,
en
forma
sistemtica, el ejercicio de los
derechos del titular de datos
personales reconocidos en el
ttulo III, cuando legalmente
proceda.
Obstruir, en forma sistemtica, el
ejercicio
de
la
funcin
fiscalizadora de la Autoridad
Nacional de Proteccin de Datos
Personales.
No inscribir el banco de datos
personales en el Registro
Nacional de Proteccin de Datos
Personales.

Infracciones Muy Graves

Dar tratamiento a los datos personales

contraviniendo los principios establecidos en
la presente Ley o incumpliendo sus dems
disposiciones o las de su Reglamento,
cuando con ello se impida o se atente contra
el ejercicio de los derechos fundamentales.
Crear, modificar, cancelar o mantener bancos
de datos personales sin cumplir con lo
establecido por la presente Ley o su
reglamento.
Suministrar documentos o informacin falsa o
incompleta a la Autoridad Nacional de
Proteccin de Datos Personales.
No cesar en el tratamiento ilcito de datos
personales, cuando existiese un previo
requerimiento de la Autoridad Nacional de
Proteccin de Datos Personales para ello.
No inscribir el banco de datos personales en
el Registro Nacional de Proteccin de Datos
Personales, no obstante haber sido requerido
para ello por la Autoridad Nacional de
Proteccin de Datos Personales

La legislacin de PDP en el Per

Sanciones

Reg. Ttulo VI

Sancin administrativa de Multa:

Nivel de
Infraccin

Sancin
Multa en S/.

Leve

1,850 a 18,500

Grave

18,501 a 185,000

Muy grave

185,001 a 370,000

Ejemplo
Solicitud de actualizacin de datos rechazada

Reiteradas y diversas solicitudes de actualizacin rechazadas

Entidad remite informacin falsa a la DGPDP

Lmite del 10%de los ingresos brutos anuales que hubiera percibido el presunto infractor
durante el ejercicio anterior

Multas coercitivas : Por incumplimiento de obligaciones accesorias a la sancin de multa

Nivel de Sancin
Obligaciones accesorias a multa por infracciones Leves

Monto de la Multa S/.

740 a 7,400

Obligaciones accesorias a multa por infracciones Graves

7,401 a 22,200

Obligaciones accesorias a multa por infracciones Muy graves

22,201 a 37,000

La multa coercitiva es independiente de las sanciones que puedan imponerse con tal carcter y
compatible con ellas.
23

La legislacin de PDP en el Per

Directiva 1.1

Directiva de Seguridad de la Informacin

Clasificacin de los tratamientos

Bsico
Simple
Intermedio

Volumen
personas
Bajo (hasta 50)
Medio (hasta
100)
Alto (hasta
1.000)
Muy Alto (ms
1.000)

Complejo

Titular Banco

Crtico

Natural
Jurdica
Entidad Pblica

Nmero datos
Bajo (hasta 5)
Normal (ms 5)

Periodo
tratamiento
Bajo (menos 1
ao)
Normal (ms 1
ao o
indefinido)

Datos Sensibles
Mltiples
localizaciones
Finalidad legal

Criterios
24

La legislacin de PDP en el Per

Directiva de Seguridad de la Informacin

Directiva 1.2,
1.3, 2.1 y 2.2.

Medidas de seguridad
-

Clarifica las condiciones, requisitos y medidas tcnicas que se deben tomar en cuenta para el
cumplimiento de la ley.
Define qu debe aplicarse y cmo segn la categorizacin del tratamiento.

Condiciones de seguridad
Cumplimiento normativo en el marco de
la compaa
Disposicin de recursos
Requisitos de seguridad
Poltica, procedimientos, compromiso
confidencialidad
Documento y responsable de Seguridad
Alineamientos NTP-ISO/IEC 27001
Gobernabilidad procesos
Enfoque gestin riesgos
25 No son obligatorios, sino condiciones necesarias

Medidas organizativas
Estructura organizacional
Compromiso documentado
Adecuacin de la organizacin a la ley:
sistemas y procesos
Procedimientos: tratamientos, incidentes,
auditora, gestin de privilegios, etc.
Programa de concienciacin
Medidas legales
Contratos: empleados y terceros
Formatos consentimientos

La legislacin de PDP en el Per

Directiva de Seguridad de la Informacin

Medidas de seguridad
Acceso no autorizado

Tratamientos no autorizados

Contraseas, privilegios
Acceso fsico y lgico no autorizado
Gestin de los accesos: autorizacin,
registro

Alteracin no autorizada

Retiro o traslado
Eliminacin segura
Copia o reproduccin
Gestin privilegios

Tratamiento independizado
Informacin en caso de incidentes
Mantenimiento equipos
Antimalware
Almacenamiento seguro
Transmisin electrnica
Seguridad flujos transfronterizos
Tercerizados
Restriccin foto, audio, video
Auditora
Mejora contnua

Prdida del banco

Disposiciones complementarias

Copias de respaldo, recuperaciones y

pruebas

Programa informacin a los titulares

Tercerizacin

26

Directiva 2.3 y
4

Un enfoque prctico de
adaptacin

27

2012 Deloitte Touche Tohmatsu

Un enfoque prctico de adaptacin

mbitos de afectacin
IMPACTOS EN LA
ORGANIZACIN

Medidas tcnicas

Carga prueba
Gestin medios no
automatizados
Habeas Data

Tcnicos

Tratamientos

Consentimiento

Transferencia
Declaracin
28

Organizacin

Legal

Un enfoque prctico de adaptacin

Visin global del proceso
Fases para la adaptacin
I. Ciclo de
vida dato

II. Aspectos
Legales y
Organizativas

III. Aspectos
Tcnicos

IV. Proceso
de registro

V. Plan de
adaptacin e
implantacin

La metodologa que se presenta es fruto de una amplia experiencia en apoyar a nuestros clientes
a adaptarse con xito a los requisitos legislativos
El enfoque en fases permite abordar de forma gradual y comprensible un proyecto de esta
envergadura.
Una de las fases clave para realizar una adaptacin adecuada y razonable es la I, que trata de
conocer el ciclo de vida del dato.
La ley tiene impactos a nivel organizativo, legal y tcnico, por lo que se requiere un equipo
multidisciplinar para el despliegue del proyecto.
Este proceso requiere la involucracin de mltiples reas de la compaa: negocio, reas de
administracin, sistemas de informacin, legal, etc., por lo que es necesario que el sponsor sea el
adecuado.

29

Un enfoque prctico de adaptacin

I. Ciclo de vida

Anlisis del ciclo de

vida del dato

30

Datos,
finalidades,
soportes,
tratamientos,
terceros,
clasificacin

Las compaas disponen de ms datos personales de los que inicialmente suponen

Las reas de negocio no siempre son conscientes de que en algunos tratamientos estn involucrados datos personales
Este proceso permite concienciar a las reas de negocio y proveedores sobre la legislacin
Es posible conocer la finalidad real para la que se utiliza
Permite identificar cesiones, transmisiones al exterior, terceros involucrados, etc.
Permite racionalizar las siguientes fases y el coste-beneficio del cumplimiento.

Un enfoque prctico de adaptacin

II. Aspectos Legales y Organizativas

Estrategia de
cumplimiento

31

Estructura organizativa

Marco normativo

Procedimientos

Adecuacin del
negocio

Contratos

Iniciativas
Legales y
Organizativas

Un enfoque prctico de adaptacin

II. Aspectos Legales y Organizativas

Estrategia de
cumplimiento

- Compromiso Dir.
- Concienciacin
- Plan prueba
controles peridico

- Adaptacin
procesos
- Adaptacin
sistemas
- Documentacin

32

Estructura organizativa

Marco normativo

Procedimientos

Adecuacin del
negocio

Contratos

Habeas Data.
Consentimiento
Gestin incidentes
Auditora
Privilegios y
accesos
- Registro accesos
- Calidad de los
datos

- Empleados
- Terceros:
encargados
tratamiento,
transmisin

Un enfoque prctico de adaptacin

II. Aspectos Legales y Organizativas

Estrategia de
Cumplimiento y
Gestin

Modelos

Calendario

Alcance

Centralizado

Directrices,
polticas,
actividades,
supervisin
(1r nivel)

Rbles.
Cumplimiento
LDPD

Descentralizado

desorganizado

Asesoramiento

Empresa
A
Empresa
F

Empresa
B

Empresa
F

Empresa
B

Empresa
F

Empresa
D

Organizacin

Empresa
C

Empresa
E

Empresa
B

Empresa
F

Empresa
D

Organizacin

Empresa
C

Empresa
E
Empresa
D

Organizacin

Empresa
B

Matriz

Matriz

Matriz
Empresa
C

Empresa
E

Empresa
A

Empresa
A

Empresa
A

Matriz

33

Mixto

Empresa
C

Empresa
E
Empresa
D

Organizacin

Un enfoque prctico de adaptacin

II. Aspectos Legales y Organizativas
Caso 2

Roles y funciones
Titular Base Datos

Caso 1

Responsable
tratamiento
Encargado
tratamiento

Titular Base Datos

Responsable
tratamiento

Encargado
tratamiento

Encargado
tratamiento

Otros roles y
funciones

34

Encargado
tratamiento

Comit
LDPD
Responsable
Seguridad

Un enfoque prctico de adaptacin

II. Aspectos Legales y Organizativas

Mtodos

Obtencin del
Consentimiento

Canales

Finalidad

35

Un enfoque prctico de adaptacin

III. Aspectos Tcnicos
Aplicacin

Base datos

Automatizado
Sistema operativo

No Automatizado

Iniciativas
Tcnicas

En este punto resalta la importancia de racionalizar y clasificar correctamente la informacin de carcter personal en
los sistemas, ya que la implementacin de algunas medidas puede ser muy costosa.
En algunos casos ser necesario tomar decisiones para maximizar los ratios de proteccin-cumplimiento /costo.
Es una buena oportunidad para implementar en la organizacin un marco de control interno de SI ms completo

36

Un enfoque prctico de adaptacin

III. Aspectos Tcnicos
Aspectos generales de
Seguridad

Medidas especficas con un mayor

impacto
Cobertura
ISO

Poltica de proteccin datos

personales
Procedimientos operativos
Gestin de riesgos

Privilegios de acceso, autorizacin y

trazabilidad en el caso de archivos no
automatizados
Trazabilidad de los accesos a datos
automatizados

Autorizacin y proceso de traslado de

datos personales (automatizado y no
automatizado)

NTP-ISO/IEC 27001
Documento Seguridad
Responsable de Seguridad

37

En el proceso de implantacin de la ISO 27001

Debern incorporar los activos de datos personales en el
marco de gestin
Deber realizarse el anlisis de riesgos incluyendo el riesgo de
privacidad
Deber determinarse la aplicacin de controles en base a riesgos
Puede tomarse como referencia el marco ISO 29100:2011
Cabe destacar que no todos los requisitos de la ley quedan
cubiertos por el framework.

Eliminacin segura de la informacin en

medios automticos removibles
Seguridad en la copia o reproduccin
(automtico y no automatizado)

Informacin de los incidentes

Almacenamiento de la informacin en
forma segura: control de acceso y cifrado

Transmisin protegida
Uso de fotografa, video y audio

Un enfoque prctico de adaptacin

IV. Proceso de registro

Iniciativas
Declaracin
ficheros

Identificacin bases de datos

Descripcin caractersticas
Clasificacin tratamientos
Formularios y declaracin

En ocasiones es necesario tomar decisiones que racionalicen el uso de los datos y de la proteccin de los mismos.
La definicin debe conllevar un equilibrio entre la utilidad de las bases de datos, as como el esfuerzo de mantenimiento que
conlleva.
La estrategia de cumplimiento que se defina tendr fuertes implicaciones en la definicin de Bases de Datos Personales:
gestin individualizada, centralizada, con asesoramiento, etc.
38

Un enfoque prctico de adaptacin

IV. Proceso de registro

39

Declaracin en Espaa de
los ficheros de una
Entidad Bancaria, un total
de 19.

Un enfoque prctico de adaptacin

IV. Proceso de registro

40

Declaracin en Espaa de
los ficheros de una
empresa aseguradora, un
total de 14.

Un enfoque prctico de adaptacin

Ejemplo: sanciones en Espaa

41

Un enfoque prctico de adaptacin

Ejemplo: sanciones en Espaa

42

Nuestros servicios

43

2012 Deloitte Touche Tohmatsu

Cmo podemos ayudarle?

Servicios de adaptacin

Servicios post-adaptacin

Diagnstico y roadmap
- Evaluacin del estado
actual: medidas tcnicas,
legales y organizativas

Colaboracin implantacin

cumplimiento

Asesoramiento experto

- Identificacin datos y
tratamientos: clasificacin y
- Definicin de las iniciativas declaracin
Asesoramiento durante el
a realizra por la compaa
desarrollo de las acciones
- Defincin de la estrategia, definidas para la
para el cumplimiento.
responsabilidades, polticas, implantacin
procedimientos

- Definicin de las medidas

tncias y otras

Contactos

44

Auditoras de

Cumplimiento

Gerardo Herrera
Socio Lder
Riesgos de Negocio
geherrera@deloitte.com

Anna Salguero
Gerente
Riesgos de Negocio
asalguero@deloitte.com

Las Begonias 441, piso 6

San Isidro, Lima 27, Per
www.deloitte.com/pe

Tel: +51 (1) 211 8585

Fax: +51 (1) 211 8586

Asesor
experto
Outsourcing
tareas
cumplimiento

Deloitte se refiere a Deloitte Touche Tohmatsu, una asociacin suiza, o a una o ms integrantes de su
red de firmas miembros, cada una de las cuales constituye una entidad separada e independiente
desde el punto de vista legal. Una descripcin detallada de la estructura legal de Deloitte Touche
Tohmatsu y sus firmas miembros puede verse en el sitio web www.deloitte.com/pe

45

2012 Deloitte Touche Tohmatsu