Sesin 07

Privacidad y Proteccin de Datos Personales

MTODOS Y MEDIOS DE PROTECCIN DE LA INFORMACIN
ggomez@esan.edu.pe

Gianncarlo Gmez Morales

1 ggomez@esan.edu.pe
 Agenda

Introduccin al hacking tico y terminologa

esencial.
Entender las diferentes fases seguidas por
un hacker
Revisin de los hackers y crackers ms
famosos

Av. Petit Thouars 385

+51 315 9610

Gianncarlo Gmez Morales

2 ggomez@esan.edu.pe
 01 Privacidad y Datos Personales

Gianncarlo Gmez Morales

3 ggomez@esan.edu.pe
 Proteccin de Datos Personales en el mundo
UNION EUROPEA
DIRECTIVA DE PROTEC.
DE DX, UE Y LEYES DE
ESTADOS MIEMBROS

JAPON
ACTO DE PROTECCION
ESPAA COREA SUR DE INFORMACION
CANADA
LEY ORGANICA DE ACTO DE PROMOCION PERSONAL
PIPEDA,FOI
PROTECCION DE DE USO DE INF. Y
PPA,PIPPA
DATOS PERSONALES REDES DE COM. Y DX
PERSONALES
US FEDERAL
GLBA,HIPAA,COPPA,S EMIRATOS ARABES
LEY DE PROTECCION DE
AFE HARBOR, DO NOT
CALL DATOS DE BUBAI
HONG KONG
ORDEN DE PRIVACIDAD
DE DATOS PERSONALES

NUEVA ZELANDA
INDIA ACTO DE
REGISTRO NACIONAL PRIVACIDAD
DO NOT CALL

SUR AFRICA AUSTRALIA

ACTO DE ENMIENDA
COMUNICACIONES Y FEDERAL DE
TRAN. PRIVACIDAD
ELECTRONICAS

Gianncarlo Gmez Morales

4 ggomez@esan.edu.pe
 Proteccin de Datos Personales en el mundo

LEGISLADOS Y CON
ORGANO SUPERVISOR

GUATEMALA
2010
MEXICO
2010 PANAMA LEGISLACION POCO
2012 DEFINIDA Y/O SIN
EL SALVADOR ORGANO SUPERVISOR
2011 VENEZUELA

NICARAGUA
2012 COLOMBIA
2012
ECUADOR PROYECTO LEGISLATIVO
BOLIVIA EN CURSO
PER 2004
2012
URUGUAY
PARAGUAY 2008
2001
ARGENTINA
CHILE 2000
2012

Gianncarlo Gmez Morales

5 ggomez@esan.edu.pe
 02 LEY 29733
Ley de Proteccin de Datos Personales

Gianncarlo Gmez Morales

6 ggomez@esan.edu.pe
 Vigencia y aplicacin de la LPDP

Ley 29733
Aprobada el 03/07/2011

Reglamento
DS 03-2013-JUS Aprobado
22/03/2013

Vigencia
Vigencia a partir del 08 de mayo de
2013.

Limite
Plazo mximo: 08 de mayo del 2015

Gianncarlo Gmez Morales

7 ggomez@esan.edu.pe
 Qu es un Dato Personal?

La informacin que permite identificar a una persona.

La informacin sobre una persona identificada
Es aquella informacin numrica, alfabtica, grfica, fotogrfica,
acstica o de cualquier otro tipo concerniente a las personas
naturales que las identifica o las hace identificables a travs de
medios que puedan ser razonablemente utilizados.

Gianncarlo Gmez Morales

8 ggomez@esan.edu.pe
 Cules son los datos personales?

DATOS
DE HUELLA
SALUD FECHA DE FOTOS
DIGITAL NACIMIENTO

DIRECCION
DE
DOMICILIO
DATOS CORREO
ELECTRONICO
PERSONALES

RELIGION

PLACA NOMBRES Y
VEHICULO ADN APELLIDOS
NUMERO
DE
TELEFONO

Gianncarlo Gmez Morales

9 ggomez@esan.edu.pe
 Datos Sensibles - Art. 2 numeral 5

Datos personales constituidos por los datos biomtricos que por s

mismos pueden identificar al titular; datos referidos al origen racial y
tnico; ingresos econmicos, opiniones o convicciones polticas,
religiosas, filosficas o morales; afiliacin sindical; e informacin
relacionada a la salud o a la vida sexual.

Gianncarlo Gmez Morales

10 ggomez@esan.edu.pe
 Que es un Banco de Datos Personales ? - Artculo 2

Banco de datos personales. Conjunto organizado de datos

personales, automatizado o no, independientemente del soporte, sea
este fsico, magntico, digital, ptico u otros que se creen, cualquiera
fuere la forma o modalidad de su creacin, formacin,
almacenamiento, organizacin y acceso

Gianncarlo Gmez Morales

11 ggomez@esan.edu.pe
 Que es un Banco de Datos Personales ? - Artculo 2

Encargado del banco de Titular del banco de datos

Titular de datos personales
datos personales personales

Toda persona natural, Persona natural a quien Persona natural, persona

persona jurdica de derecho
privado o entidad pblica
que sola o actuando
conjuntamente con otra
realiza el tratamiento de los
datos personales por
encargo del titular del banco
de datos personales.
corresponde los datos jurdica de derecho privado
personales. o entidad pblica que
determina la finalidad y
contenido del banco de
datos personales, el
tratamiento de estos y las
medidas de seguridad.

Gianncarlo Gmez Morales

12 ggomez@esan.edu.pe
 Tratamiento de datos personales - Numeral 17 del Art. 2
Cualquier operacin o procedimiento tcnico, automatizado o no. O cualquier otra forma de procesamiento que facilite el acceso, correlacin o
interconexin de los datos personales.

MODIFICACIN CONSULTA SUPRESIN

RECOPILACIN BLOQUEO

ORGANIZACIN ALMACENAMIENTO

UTILIZACIN
REGISTRO

EXTRACCIN
CONSERVACIN

ELABORACIN COMUNICACIN

Gianncarlo Gmez Morales

13 ggomez@esan.edu.pe
 Principios Rectores Artculos 4 al 11

Principio de Legalidad
01 El tratamiento de los datos personales se hace conforme a lo establecido
en la ley. Se prohbe la recopilacin de los datos personales por medios
fraudulentos, desleales o ilcitos. 05
Princio de Calidad
Los datos personales que vayan a ser tratados deben ser
veraces, exactos y, en la medida de lo posible,
actualizados, necesarios, pertinentes y adecuados
respecto de la finalidad para la que fueron recopilados.

Principio de Consentimiento
02 Para el tratamiento de los datos personales debe mediar el
Principio de Seguridad
06
consentimiento de su titular.
El titular del banco de datos personales y el encargado
Princio de Finalidad de su tratamiento deben adoptar las medidas tcnicas,

03
organizativas y legales necesarias para garantizar la
El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido seguridad de los datos personales.
la establecida de manera inequvoca como tal al momento de su recopilacin, excluyendo los
casos de actividades de valor histrico, estadstico o cientfico cuando se utilice un
procedimiento de disociacin o anonimizacin.

Principio de Disposicin
04 Principio de proporcionalidad
Todo tratamiento de datos personales debe ser adecuado, relevante y no
excesivo a la finalidad para la que estos hubiesen sido recopilados.
07 Todo titular de datos personales debe contar con las vas
administrativas o jurisdiccionales necesarias para
reclamar y hacer valer sus derechos, cuando estos sean
vulnerados por el tratamiento de sus datos personales.

Nivel de Proteccin Adecuado

08 Para el flujo transfronterizo de datos personales, se debe
garantizar un nivel suficiente de proteccin para los datos
personales que se vayan a tratar o, por lo menos,
equiparable a lo previsto por esta Ley o por los estndares
internacionales en la materia.
Gianncarlo Gmez Morales
14 ggomez@esan.edu.pe
 Flujo transfronterizo de datos personales - Artculo 15

El titular y el encargado del banco de datos personales deben realizar

el flujo transfronterizo de datos personales solo si el pas destinatario
mantiene niveles de proteccin adecuados conforme a la presente
Ley. En caso de que el pas destinatario no cuente con un nivel de
proteccin adecuado, el emisor del flujo transfronterizo de datos
personales debe garantizar que el tratamiento de los datos
personales se efecte conforme a lo dispuesto por la presente Ley.
No se aplica lo dispuesto en el segundo prrafo en los siguientes
casos:
1. Acuerdos en el marco de tratados internacionales sobre la
materia en los cuales la Repblica del Per sea parte.
2. Cooperacin judicial internacional.
3. Cooperacin internacional entre organismos de inteligencia
para la lucha contra el terrorismo, trfico ilcito de drogas,
lavado de activos, corrupcin, trata de personas y otras formas
de criminalidad organizada.
4. ..

Gianncarlo Gmez Morales

15 ggomez@esan.edu.pe
 Flujo transfronterizo de datos personales - Artculo 15

El titular y el encargado del banco de datos personales deben realizar

el flujo transfronterizo de datos personales solo si el pas destinatario
mantiene niveles de proteccin adecuados conforme a la presente
Ley. En caso de que el pas destinatario no cuente con un nivel de
proteccin adecuado, el emisor del flujo transfronterizo de datos
personales debe garantizar que el tratamiento de los datos
personales se efecte conforme a lo dispuesto por la presente Ley.
No se aplica lo dispuesto en el segundo prrafo en los siguientes
casos:
1. Acuerdos en el marco de tratados internacionales sobre la
materia en los cuales la Repblica del Per sea parte.
2. Cooperacin judicial internacional.
3. Cooperacin internacional entre organismos de inteligencia
para la lucha contra el terrorismo, trfico ilcito de drogas,
lavado de activos, corrupcin, trata de personas y otras formas
de criminalidad organizada.
4. ..

Gianncarlo Gmez Morales

16 ggomez@esan.edu.pe
 ACCESO
Toda persona tiene derecho a obtener la informacin que sobre s
mismo sea objeto de tratamiento en bancos de datos de
administracin pblica o privada.

RECTIFICACIN
Es el derecho del titular de datos personales que se modifiquen los
datos que resulten ser parcial o totalmente inexactos, incompletos,
errneos o falsos.

CANCELACIN
solicitar la supresin o cancelacin de sus datos personales de un
banco de datos personales cuando stos hayan dejado de ser
necesarios o pertinentes para la finalidad para la cual hayan sido
recopilados.

OPOSICIN
Toda persona tiene la posibilidad de oponerse, por un motivo
legtimo y fundado, referido a una situacin personal concreta, a
figurar en un banco de datos o al tratamiento de sus datos
personales, siempre que por una ley no se disponga lo contrario.

Derechos ARCO
Gianncarlo Gmez Morales
17 ggomez@esan.edu.pe
 Obligaciones del Titular y encargado del Banco de Datos Personales -
Art 28.

No utilizar los datos personales

Efectuar el tratamiento de No recopilar datos personales Recopilar datos personales que objeto de tratamiento para
datos personales por medios fraudulentos sean actualizados
finalidades distintas

Proporcionar informacin a la Suprimir y sustituir o, en su

Otras establecidas en esta Ley y Autoridad Nacional de caso, completar los datos
en su reglamento. Almacenar los datos personales
Proteccin de Datos Personales personales

Gianncarlo Gmez Morales

18 ggomez@esan.edu.pe
 Clasificacin de bancos de datos personales

PERIODO PARA
CANTIDAD CANTIDAD DATOS DATOS MULTIPLES
NIVEL CATEGORIA CUMPLIR CON LA OTRO
PERSONAS PERSONALES SENSIBLES OFICINAS
FINALIDAD

01 BSICO HASTA 50 HASTA 5 NO HASTA 1 AO NO -

02 SIMPLE HASTA 100 MAS DE 5 NO HASTA 1 AO NO -

03 INTERMEDIO HASTA 1000 MAS DE 5 SI MAYOR A 1 AO SI -

04 COMPLEJO ILIMITADO MAS DE 5 SI MAYOR A 1 AO SI -

Sirven para el tratamiento de

datos personales cuya finalidad
05 CRTICO ILIMITADO MAS DE 5 SI MAYOR A 1 AO SI
est respaldada por una norma
legal.

Gianncarlo Gmez Morales

19 ggomez@esan.edu.pe
 Funciones de la ANPDP Articulo 33

1) Representar al pas ante las instancias internacionales en materia de

proteccin de datos personales.
2) Cooperar con las autoridades extranjeras de proteccin de datos
personales para el cumplimiento de sus competencias y generar
mecanismos de cooperacin bilateral y multilateral para asistirse
entre s y prestarse debido auxilio mutuo cuando se requiera.
3) Administrar y mantener actualizado el Registro Nacional de
Proteccin de Datos Personales.
4) Publicitar, a travs del portal institucional, la relacin actualizada de
bancos de datos personales de administracin pblica y privada.
5) Promover campaas de difusin y promocin sobre la proteccin de
datos personales.
6) Promover y fortalecer una cultura de proteccin de los datos
personales de los nios y de los adolescentes.
7)

Gianncarlo Gmez Morales

20 ggomez@esan.edu.pe
 Registro Nacional de Proteccin de Datos Personales Artculo 34

Crase el Registro Nacional de Proteccin de Datos Personales como

registro de carcter administrativo a cargo de la Autoridad Nacional
de Proteccin de Datos Personales, con la finalidad de inscribir en
forma diferenciada, a nivel nacional, lo siguiente:

Los bancos de datos personales de administracin pblica o privada,

as como los datos relativos a estos que sean necesarios para el
ejercicio de los derechos que corresponden a los titulares de datos
personales, conforme a lo dispuesto en esta Ley y en su reglamento.

Gianncarlo Gmez Morales

21 ggomez@esan.edu.pe
 Infracciones Artculo 38
SANCION SANCION
TIPO DESCRIPCIN
MININA MXIMA

Dar tratamiento a datos personales sin recabar el consentimiento de sus titulares

INFRACCIONES
impedir u obstaculizar el ejercicio de los derechos del titular 0.5 UIT 5 UIT
LEVES
Obstruir el ejercicio de la funcin fiscalizadora de la ANPDP

Dar tratamiento a los datos personales contraviniendo los principios establecidos en la LPDP.
Incumplir la obligacin de confidencialidad establecida en el artculo 17.
INFRACCIONES No atender, impedir u obstaculizar, en forma sistemtica, el ejercicio de los derechos del titular
5 UIT 50 UIT
GRAVES de datos personales.
Obstruir, en forma sistemtica, el ejercicio de la funcin fiscalizadora de la ANPDP.
No inscribir el banco de datos personales.

Dar tratamiento a los datos personales contraviniendo los principios establecidos en la LPDP.
Crear, modificar, cancelar o mantener bancos de datos personales sin cumplir con lo establecido
por la LPDP o su reglamento.
INFRACCIONES
MUY GRAVES Suministrar documentos o informacin falsa o incompleta a la ANPDP. > 50 UIT 100 UIT
No cesar en el tratamiento ilcito de datos personales, cuando existiese un previo requerimiento
de la ANPDP para ello.
No inscribir el banco de datos personales.

Gianncarlo Gmez Morales

22 ggomez@esan.edu.pe
 Datos Personales y el ISO/IEC 27001
MEDIDAS DE
N REQUERIMIENTO CONTROL
SEGURIDAD

1 Bsico 1. Funciones y obligaciones del personal. A 8.1.1

A 7.1.1
2 Bsico 2. Descripcin de los archivos con datos de carcter personal y los sistemas de informacin que los tratan.
A 7.2.1
3. Descripcin de las rutinas de control de datos de los programas de ingreso de datos y las acciones a seguir ante los errores detectados a
A 12.2.1
efectos de su correccin. Todos los programas de ingreso de datos, cualquiera sea su modo de procesamiento (batch, interactivo, etc.), deben
3 Bsico A 12.2.2
incluir en su diseo, rutinas de control, que minimicen la posibilidad de incorporar al sistema de informacin, datos ilgicos, incorrectos o
A 12.2.3
faltantes.
4 Bsico 4. Registros de incidentes de seguridad. A 13.1
5 Bsico 4.1. Notificacin, gestin y respuesta ante los incidentes de seguridad. A 13.2.1
6 Bsico 5. Procedimientos para efectuar las copias de respaldo y de recuperacin de datos. A 10.5.1
7 Bsico 6. Relacin actualizada entre Sistemas de Informacin y usuarios de datos con autorizacin para su uso. A 11.2.4

8 Bsico 7. Procedimientos de identificacin y autenticacin de los usuarios de datos autorizados para utilizar determinados sistemas de informacin. A 11.2.1

9 Bsico 7. Procedimientos de identificacin y autenticacin de los usuarios de datos autorizados para utilizar determinados sistemas de informacin. A 11.5.2

10 Bsico 8. Control de acceso de usuarios a datos y recursos necesarios para la realizacin de sus tareas para lo cual deben estar autorizados. A 11.1.1
9. Adoptar medidas de prevencin a efectos de impedir amenazas de software malicioso (virus, troyanos, etc.) que puedan afectar archivos con
11 Bsico A 10.4.1
datos de carcter personal. Entre otras:
10. Procedimiento que garantice una adecuada Gestin de los Soportes que contengan datos de carcter personal (identificacin del tipo de
12 Bsico informacin que contienen, almacenamiento en lugares de acceso restringidos, inventarios, autorizacin para su salida fuera del local en que A 10.7.3
estn ubicados, destruccin de la informacin en desuso, etc.).
13 Medio 1. El Instructivo de seguridad deber identificar al Responsable (u rgano especfico) de Seguridad. A 6.1.3
2. Realizacin de auditoras (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de
14 Medio A 15.2.2
seguridad para datos personales.
A 11.5.1
15 Medio 3. Se limitar la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacin.
A 11.5.3
4. Se establecer un control de acceso fsico a los locales donde se encuentren situados los sistemas de informacin con datos de carcter A 9.1.2
16 Medio
personal. A 9.2.1
17 Medio 5. Gestin de Soportes e informacin contenida en ellos, A 10.7.3
Gianncarlo Gmez Morales
23 ggomez@esan.edu.pe
 Datos Personales y el ISO/IEC 27001
MEDIDAS DE
N
SEGURIDAD REQUERIMIENTO CONTROL

5.1. Se dispondr de un registro de entradas y salidas de los soportes informticos de manera de identificar, da y
18 Medio A 10.8.1
hora de entrada y salida del soporte, receptor, emisor, forma de envo, etc.
5.2. Se adoptarn las medidas necesarias para impedir cualquier recuperacin de la informacin con posterioridad a
19 Medio que un soporte vaya a ser desechado o reutilizado, o que la informacin deba ser destruida, por la causa que A 10.7.2
correspondiere.
A 10.5.1
5.3. Deber disponerse de un procedimiento de recuperacin de la informacin de respaldo y de tratamiento de la
20 Medio A 14.1.3
misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales.
A 14.1.5
6. Los registros de incidentes de seguridad, en el caso de tener que recuperar datos, debern identificar la persona
A 13.2.1
21 Medio que recuper y/o modific dichos datos. Ser necesaria la autorizacin en forma fehaciente del responsable del
A 10.5.1
archivo informatizado.
7. Las pruebas de funcionamiento de los sistemas de informacin, realizadas con anterioridad a su puesta operativa
A 10.1.4
22 Medio no se realizarn con datos/archivos reales, a menos que se aseguren los niveles de seguridad correspondientes al
A 10.1.2
tipo de datos informatizados tratados.
1. Distribucin de soportes: cuando se distribuyan soportes que contengan archivos con datos de carcter personal
23 Crtico incluidas las copias de respaldo, se debern cifrar dichos datos (o utilizar cualquier otro mecanismo) a fin de A 12.3.1
garantizar que no puedan ser ledos o manipulados durante su transporte.
2. Registro de accesos: se deber disponer de un registro de accesos con informacin que identifique al usuario que
accedi, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso
A 10.10.1
24 Crtico haya sido autorizado se deber identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificacin,
A 10.10.4
etc.). Este registro de accesos deber ser analizado peridicamente por el responsable de seguridad y deber ser
conservado como minino por el trmino de un TRES (3) aos.
3. Copias de respaldo: adems de las que se mantengan en la localizacin donde residan los datos debern
implementarse copias de resguardo externas, situadas fuera de la localizacin, en caja ignfuga y a prueba de gases o A 10.8.3
25 Crtico bien en una caja de seguridad bancaria, cualquiera de ellas situadas a prudencial distancia de la aludida localizacin. A 10.7.3
Deber disponerse de un procedimiento de recuperacin de esa informacin y de tratamiento de la misma en caso A 10.5.1
de contingencias que pongan no operativo el/los equipos de procesamiento habituales.
4. Transmisin de datos: los datos de carcter personal que se transmitan a travs de redes de comunicacin (1), A 10.8.1
26 Crtico debern serlo cifrados o utilizando cualquier otro mecanismo que impida su lectura y/o tratamiento por parte de Gmez Morales
Gianncarlo A 10.6.1
24 personas no autorizadas. A 12.3.1
ggomez@esan.edu.pe
 Notificacin e inscripcin de ficheros.

Gianncarlo Gmez Morales

25 ggomez@esan.edu.pe
 Consultas?
ggomez@esan.edu.pe
+51 992247107

Gianncarlo Gmez Morales

26 ggomez@esan.edu.pe