JAPON
ACTO DE PROTECCION
ESPAA COREA SUR DE INFORMACION
CANADA
LEY ORGANICA DE ACTO DE PROMOCION PERSONAL
PIPEDA,FOI
PROTECCION DE DE USO DE INF. Y
PPA,PIPPA
DATOS PERSONALES REDES DE COM. Y DX
PERSONALES
US FEDERAL
GLBA,HIPAA,COPPA,S EMIRATOS ARABES
LEY DE PROTECCION DE
AFE HARBOR, DO NOT
CALL DATOS DE BUBAI
HONG KONG
ORDEN DE PRIVACIDAD
DE DATOS PERSONALES
NUEVA ZELANDA
INDIA ACTO DE
REGISTRO NACIONAL PRIVACIDAD
DO NOT CALL
LEGISLADOS Y CON
ORGANO SUPERVISOR
GUATEMALA
2010
MEXICO
2010 PANAMA LEGISLACION POCO
2012 DEFINIDA Y/O SIN
EL SALVADOR ORGANO SUPERVISOR
2011 VENEZUELA
NICARAGUA
2012 COLOMBIA
2012
ECUADOR PROYECTO LEGISLATIVO
BOLIVIA EN CURSO
PER 2004
2012
URUGUAY
PARAGUAY 2008
2001
ARGENTINA
CHILE 2000
2012
Ley 29733
Aprobada el 03/07/2011
Reglamento
DS 03-2013-JUS Aprobado
22/03/2013
Vigencia
Vigencia a partir del 08 de mayo de
2013.
Limite
Plazo mximo: 08 de mayo del 2015
DATOS
DE HUELLA
SALUD FECHA DE FOTOS
DIGITAL NACIMIENTO
DIRECCION
DE
DOMICILIO
DATOS CORREO
ELECTRONICO
PERSONALES
RELIGION
PLACA NOMBRES Y
VEHICULO ADN APELLIDOS
NUMERO
DE
TELEFONO
RECOPILACIN BLOQUEO
ORGANIZACIN ALMACENAMIENTO
UTILIZACIN
REGISTRO
EXTRACCIN
CONSERVACIN
ELABORACIN COMUNICACIN
Principio de Legalidad
01 El tratamiento de los datos personales se hace conforme a lo establecido
en la ley. Se prohbe la recopilacin de los datos personales por medios
fraudulentos, desleales o ilcitos. 05
Princio de Calidad
Los datos personales que vayan a ser tratados deben ser
veraces, exactos y, en la medida de lo posible,
actualizados, necesarios, pertinentes y adecuados
respecto de la finalidad para la que fueron recopilados.
Principio de Consentimiento
02 Para el tratamiento de los datos personales debe mediar el
Principio de Seguridad
06
consentimiento de su titular.
El titular del banco de datos personales y el encargado
Princio de Finalidad de su tratamiento deben adoptar las medidas tcnicas,
03
organizativas y legales necesarias para garantizar la
El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido seguridad de los datos personales.
la establecida de manera inequvoca como tal al momento de su recopilacin, excluyendo los
casos de actividades de valor histrico, estadstico o cientfico cuando se utilice un
procedimiento de disociacin o anonimizacin.
Principio de Disposicin
04 Principio de proporcionalidad
Todo tratamiento de datos personales debe ser adecuado, relevante y no
excesivo a la finalidad para la que estos hubiesen sido recopilados.
07 Todo titular de datos personales debe contar con las vas
administrativas o jurisdiccionales necesarias para
reclamar y hacer valer sus derechos, cuando estos sean
vulnerados por el tratamiento de sus datos personales.
RECTIFICACIN
Es el derecho del titular de datos personales que se modifiquen los
datos que resulten ser parcial o totalmente inexactos, incompletos,
errneos o falsos.
CANCELACIN
solicitar la supresin o cancelacin de sus datos personales de un
banco de datos personales cuando stos hayan dejado de ser
necesarios o pertinentes para la finalidad para la cual hayan sido
recopilados.
OPOSICIN
Toda persona tiene la posibilidad de oponerse, por un motivo
legtimo y fundado, referido a una situacin personal concreta, a
figurar en un banco de datos o al tratamiento de sus datos
personales, siempre que por una ley no se disponga lo contrario.
Derechos ARCO
Gianncarlo Gmez Morales
17 ggomez@esan.edu.pe
Obligaciones del Titular y encargado del Banco de Datos Personales -
Art 28.
PERIODO PARA
CANTIDAD CANTIDAD DATOS DATOS MULTIPLES
NIVEL CATEGORIA CUMPLIR CON LA OTRO
PERSONAS PERSONALES SENSIBLES OFICINAS
FINALIDAD
Dar tratamiento a los datos personales contraviniendo los principios establecidos en la LPDP.
Incumplir la obligacin de confidencialidad establecida en el artculo 17.
INFRACCIONES No atender, impedir u obstaculizar, en forma sistemtica, el ejercicio de los derechos del titular
5 UIT 50 UIT
GRAVES de datos personales.
Obstruir, en forma sistemtica, el ejercicio de la funcin fiscalizadora de la ANPDP.
No inscribir el banco de datos personales.
Dar tratamiento a los datos personales contraviniendo los principios establecidos en la LPDP.
Crear, modificar, cancelar o mantener bancos de datos personales sin cumplir con lo establecido
por la LPDP o su reglamento.
INFRACCIONES
MUY GRAVES Suministrar documentos o informacin falsa o incompleta a la ANPDP. > 50 UIT 100 UIT
No cesar en el tratamiento ilcito de datos personales, cuando existiese un previo requerimiento
de la ANPDP para ello.
No inscribir el banco de datos personales.
8 Bsico 7. Procedimientos de identificacin y autenticacin de los usuarios de datos autorizados para utilizar determinados sistemas de informacin. A 11.2.1
9 Bsico 7. Procedimientos de identificacin y autenticacin de los usuarios de datos autorizados para utilizar determinados sistemas de informacin. A 11.5.2
10 Bsico 8. Control de acceso de usuarios a datos y recursos necesarios para la realizacin de sus tareas para lo cual deben estar autorizados. A 11.1.1
9. Adoptar medidas de prevencin a efectos de impedir amenazas de software malicioso (virus, troyanos, etc.) que puedan afectar archivos con
11 Bsico A 10.4.1
datos de carcter personal. Entre otras:
10. Procedimiento que garantice una adecuada Gestin de los Soportes que contengan datos de carcter personal (identificacin del tipo de
12 Bsico informacin que contienen, almacenamiento en lugares de acceso restringidos, inventarios, autorizacin para su salida fuera del local en que A 10.7.3
estn ubicados, destruccin de la informacin en desuso, etc.).
13 Medio 1. El Instructivo de seguridad deber identificar al Responsable (u rgano especfico) de Seguridad. A 6.1.3
2. Realizacin de auditoras (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de
14 Medio A 15.2.2
seguridad para datos personales.
A 11.5.1
15 Medio 3. Se limitar la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacin.
A 11.5.3
4. Se establecer un control de acceso fsico a los locales donde se encuentren situados los sistemas de informacin con datos de carcter A 9.1.2
16 Medio
personal. A 9.2.1
17 Medio 5. Gestin de Soportes e informacin contenida en ellos, A 10.7.3
Gianncarlo Gmez Morales
23 ggomez@esan.edu.pe
Datos Personales y el ISO/IEC 27001
MEDIDAS DE
N
SEGURIDAD REQUERIMIENTO CONTROL
5.1. Se dispondr de un registro de entradas y salidas de los soportes informticos de manera de identificar, da y
18 Medio A 10.8.1
hora de entrada y salida del soporte, receptor, emisor, forma de envo, etc.
5.2. Se adoptarn las medidas necesarias para impedir cualquier recuperacin de la informacin con posterioridad a
19 Medio que un soporte vaya a ser desechado o reutilizado, o que la informacin deba ser destruida, por la causa que A 10.7.2
correspondiere.
A 10.5.1
5.3. Deber disponerse de un procedimiento de recuperacin de la informacin de respaldo y de tratamiento de la
20 Medio A 14.1.3
misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales.
A 14.1.5
6. Los registros de incidentes de seguridad, en el caso de tener que recuperar datos, debern identificar la persona
A 13.2.1
21 Medio que recuper y/o modific dichos datos. Ser necesaria la autorizacin en forma fehaciente del responsable del
A 10.5.1
archivo informatizado.
7. Las pruebas de funcionamiento de los sistemas de informacin, realizadas con anterioridad a su puesta operativa
A 10.1.4
22 Medio no se realizarn con datos/archivos reales, a menos que se aseguren los niveles de seguridad correspondientes al
A 10.1.2
tipo de datos informatizados tratados.
1. Distribucin de soportes: cuando se distribuyan soportes que contengan archivos con datos de carcter personal
23 Crtico incluidas las copias de respaldo, se debern cifrar dichos datos (o utilizar cualquier otro mecanismo) a fin de A 12.3.1
garantizar que no puedan ser ledos o manipulados durante su transporte.
2. Registro de accesos: se deber disponer de un registro de accesos con informacin que identifique al usuario que
accedi, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso
A 10.10.1
24 Crtico haya sido autorizado se deber identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificacin,
A 10.10.4
etc.). Este registro de accesos deber ser analizado peridicamente por el responsable de seguridad y deber ser
conservado como minino por el trmino de un TRES (3) aos.
3. Copias de respaldo: adems de las que se mantengan en la localizacin donde residan los datos debern
implementarse copias de resguardo externas, situadas fuera de la localizacin, en caja ignfuga y a prueba de gases o A 10.8.3
25 Crtico bien en una caja de seguridad bancaria, cualquiera de ellas situadas a prudencial distancia de la aludida localizacin. A 10.7.3
Deber disponerse de un procedimiento de recuperacin de esa informacin y de tratamiento de la misma en caso A 10.5.1
de contingencias que pongan no operativo el/los equipos de procesamiento habituales.
4. Transmisin de datos: los datos de carcter personal que se transmitan a travs de redes de comunicacin (1), A 10.8.1
26 Crtico debern serlo cifrados o utilizando cualquier otro mecanismo que impida su lectura y/o tratamiento por parte de Gmez Morales
Gianncarlo A 10.6.1
24 personas no autorizadas. A 12.3.1
ggomez@esan.edu.pe
Notificacin e inscripcin de ficheros.