Ley de Proteccin de Datos de

Personales
Enfoque prctico de adecuacin
Enterprise Risk Services
 Contenido
Principios y fundamentos de la
1
Privacidad
Las Leyes de Proteccin de
2
Datos Personales en el Mundo
La legislacin de Proteccin de
3
Datos Personales en el Per
Nuestro enfoque prctico de
4
adaptacin
5 Contctenos

1
 1

3
Principios y 4
fundamentos de la
5
Privacidad

2
 Principios y fundamentos de la privacidad 1
Definiciones
2

Ability of an individual or group 4

to seclude themselves or
The right to be left alone information about themselves 5
and thereby reveal themselves
UK Calcutt Committee
selectively
1997

1890 2013

Samuel Warre y Louis Brandeis, The right of the individual to be Wikipedia

protected against intrusion into his
Tribunal Superior de Justicia, personal life or affairs, or those of
The Right to Privicy his family, by direct physical means
or by publication of information

3
 Principios y fundamentos de la privacidad 1
Clases de privacidad
2

5
Informacin Corporal

Territorial Comunicaciones

4
 1

3
Las Leyes de 4
Proteccin de Datos
5
Personales en el
mundo

5
 Proteccin de Datos Personales en el mundo 1
Mapa legislativo mundial Emiratos rabes Corea Sur
Ley Proteccin Datos Acto de Promocin del
Japn
2
Dubai Uso de Informacin y
Acto de Proteccin de
Redes de Comunicacin,
Canada Federal/provincial Informacin Personal
PIPEDA, FOIPPA, PIPA
y Proteccin de Datos 3
Unin Europea
Directiva Proteccin Datos EU
y Leyes de los Estados 4
Miembros

US Federal Espaa
GLBA, HIPAA, COPPA, Do Ley Orgnica de
Hong Kong
Not Call, Safe Harbor Proteccin de Datos
Ordenacin Privacidad
Personales
Datos Personales

Leyes estatales
Notificacin Brechas 45 estados
SSN Use
Taiwan
Ley de Proteccin de
India Datos Personales
Registro Nacional computarizados
Do Not Call

Nueva Zelanda
Acto de Privacidad
Australia
Sur frica Enmienda Federal de
Acto de Comunicaciones Privacidad, email spam
y Transacciones y regulaciones de
Electrnicas privacidad
6 Nota: no pretende ser un listado exhaustivo
 Proteccin de Datos Personales en el mundo 1
Contexto regional
Legislados y con rgano supervisor 2
Legislacin poco definida y/o sin
rgano supervisor 3
Proyecto legislativo en proyecto
4
Mxico Ao 2010 5

Guatemala - Ao 2008

El Salvador Panam Ao 2002

Nicaragua Ao 2012 Venezuela
Ecuador
Colombia Ao 2012
Bolivia Ao 2004

Paraguay Ao 2001
Uruguay Ao 2008
Per Ao 2012
Argentina Ao 2000
Chile Ao 2011
7
Nota: no pretende ser un listado exhaustivo
 1

3
La legislacin de 4
Proteccin de Datos
5
Personales en el Per

8
La legislacin de PDP en el Per 1
Cronograma de la legislacin
El artculo 2 numeral 6 de la
2
Constitucin Poltica del Per
Constitucin seala que toda persona tiene 3
Poltica del derecho a que los servicios
El Congreso de la Repblica del Per
informticos, computarizados o
Per aprob, el 7 de junio de 4
no, pblicos o privados, no
2010 el Proyecto de Ley N suministren informaciones que
4079/2009-PE que propone la Proyecto de
afecten a la intimidad personal y 5
Ley de Proteccin de Datos Ley
N4079/2009- familiar.
Personales. PE

Ley N 29733
Proteccin de El 3 de julio de 2011 se public
Mediante el DECRETO Datos en el Diario Oficial, El Peruano, la
SUPREMO N 003-2013-JUS, Personales
Ley N 29733, Ley de Proteccin
publicado el 22 de marzo de de Datos Personales.
2013, se aprob el Reglamento DS N 003-
de Ley N 29733, el cual 2013-JUS
Reglamento
desarrolla y detalla las de la Ley
disposiciones de la ley. 29733
Se encuentra vigente desde el 8 El 11 de octubre de 2013 la
de mayo, tras 30 das hbiles a Directiva de Autoridad Nacional de Proteccin
partir de su publicacin. Seguridad de de Datos public la Directiva de
la
Informacin SI, para orientar en las medidas
tcnicas a aplicar.

9
La legislacin de PDP en el Per
Definiciones bsicas
Informacin numrica, alfabtica, grfica,
fotogrfica, acstica, sobre hbitos
personales, o de cualquier otro tipo relativo
a las personas naturales que las identifica
o las hace identificables a travs de Datos
personales
medios que puedan ser razonablemente
utilizados.
Reg. Ttulo I,
Artculo 2 Titular del
Ley Art.2
Datos de la esfera ms ntima de la persona:
datos biomtricos; origen racial y tnico;
ingresos econmicos, opiniones o convicciones Datos
sensibles
polticas, religiosas, filosficas o morales;
afiliacin sindical; caractersticas fsicas,
morales o emocionales; familiar; e informacin
relacionada a la salud o a la vida sexual.
10
1
Conjunto organizado de datos personales,
automatizado o no, independientemente 2
del soporte, sea este fsico, magntico,
digital, ptico u otros que se cree, 3
cualquiera que fuere la forma o modalidad
Banco de de su creacin, formacin, 4
Datos almacenamiento, organizacin y acceso.
Personales
5
Persona natural a la que corresponden
dato
los datos personales (propietario).
Cualquier operacin o procedimiento
Tratamiento
Datos tcnico, automatizado o no, que permita la
Personales
extraccin, consulta, registro, organizacin,
almacenamiento, modificacin, bloqueo,
suspensin, difusin o cualquier otra forma
de procesamiento de datos personales.
La legislacin de PDP en el Per 1
Definiciones bsicas
2
Persona natural, persona jurdica de
derecho privado o entidad pblica que
3
determina la finalidad y contenido
Aqul que decide sobre el tratamiento de 4
del banco de datos personales, el
los datos personales
tratamiento de stos y las medidas de
5
seguridad.
Titular del Responsable
Banco de Datos del
Personales tratamiento

Reg. Ttulo I,
Artculo 2
Ley Art.2

Encargado del
Transmisin
tratamiento
Transmisin, suministro o manifestacin
Realiza el tratamiento de los datos personales, pudiendo
de datos personales, de carcter nacional
ser el titular, el responsable u otra persona por encargo del
o internacional, a una persona jurdica de
titular y en virtud de una relacin jurdica . Incluye los que
derecho privado o a una entidad pblica o
lo realizan por cuenta del responsable, cuando el
una persona natural distinta de del titular
tratamiento se realice sin la existencia de un banco.
del banco
11
 La legislacin de PDP en el Per 1
Definiciones bsicas
2

3
Roles y funciones
4
Caso 2

Titular Base Datos 5

Caso 1 Responsable
tratamiento
Encargado
Titular Base Datos tratamiento

Responsable
tratamiento Encargado
tratamiento
Encargado Encargado
tratamiento tratamiento

12
La legislacin de PDP en el Per Reg. Ttulo II 1
Principios rectores
2

4
Principio de
Legalidad
5
Principio de Principio de
Consentimiento Finalidad

Principio de Principio de Principio de

Proporcionalidad Calidad Seguridad
Principio de
Principio de
nivel de
Disposicin de
proteccin
Recurso
adecuado
Valor de los
Principios

13
La legislacin de PDP en el Per Reg. Ttulo I, 1
Artculos 1, 3-5
Principales requerimientos
2

3
Garantizar el derecho fundamental a la proteccin de datos personales, regulando un adecuado
Objetivo tratamiento de los mismos.
4

Quin? Entidades pblicas, compaas del sector privado, y personas naturales. 5

Sobre Datos personales destinados a incluirse en un banco de datos.

Alcance qu?
El titular del banco de datos o el responsable est en territorio peruano
Titular o responsable en territorio no peruano, pero aplica la legislacin peruana o utiliza
Dnde? medios en el pas para el tratamiento.

1 2 3 4
Obtencin del Declaracin
Transferencia ARCO
consentimiento Bases Datos
Requisitos

5 Medidas
6 7 Medidas
Medidas Legales
Organizativas Tcnicas

14
@2014 Deloitte Touche SRL
La legislacin de PDP en el Per Reg. Ttulo III, 1
1 Obtencin del consentimiento Captulos I y II

3
Consentimiento
4
Debe obtenerse consentimiento para todas las finalidades de
uso 5
Libre, previo, expreso, inequvoco, informado
En el caso de los datos sensibles, firma formal
El titular puede revocarlo en cualquier momento
No se requiere sobre las fuentes accesibles al pblico

15
 La legislacin de PDP en el Per 1
1 Obtencin del consentimiento Mtodos
2
Obtencin del
Consentimiento 3

4
Canales

Finalidad

16
La legislacin de PDP en el Per Reg. Ttulo III, 1
2 Transferencia de datos personales Captulo III

3
Transferencia de datos personales 4
El titular debe ofrecer su consentimiento 5
Carga de prueba sobre el emisor, comunicando al receptor
las condiciones del consentimiento
El receptor pasa a ser el titular o el responsable del
tratamiento, y debe dar cumplimiento a la ley
Transferencias intragrupo, se recomienda disponer de un
cdigo de conducta
Flujos transfronterizos, debe encontrarse aprobado por la
DGPG, y las obligaciones que asume el receptor formalizadas
mediante contrato.

17
La legislacin de PDP en el Per 1
3 Registro nacional de proteccin de datos personales
2
Bancos de Datos
Personales de 3
titularidad
Registro Nacional de privada
Proteccin de Datos 4

Bancos de Datos 5
Personales de
titularidad pblica

Cdigos de
conducta

Sanciones,
medidas
cautelares o
correctivas

http://www.minjus.gob.pe/registro-proteccion-datos-personales/ Reg. Ttulo V

Flujos
transfronterizos

18
 Un enfoque prctico de adaptacin 1
IV.
3 Proceso de registro Declaracin en Espaa de
los ficheros de una 2
Entidad Bancaria, un total
de 19. 3

19
 Un enfoque prctico de adaptacin 1
IV.
3 Proceso de registro Declaracin en Espaa de
los ficheros de una 2
empresa aseguradora, un
total de 14. 3

20
La legislacin de PDP en el Per 1
4v Derechos del titular de datos personales: ARCO
2

Rectificacin, actualizacin e 4
Informacin
inclusin
5

Impedir el
Acceso Cancelacin

/
Suministro

Tratamiento Percepcin del

Oposicin
objetivo valor

Reg. Ttulo IV Tutela Ser Indemnizado

21
La legislacin de PDP en el Per Directiva 1.1 1
5 6 7 Medidas organizativas, legales y tcnicas
2
Clasificacin de los tratamientos 3

4
Volumen Periodo
Nmero datos
personas tratamiento
Bsico Bajo (hasta 50) Bajo (hasta 5) Bajo (menos 1
5

Medio (hasta Normal (ms 5) ao)

100) Normal (ms 1
Simple Alto (hasta ao o
1.000) indefinido)
Muy Alto (ms
Intermedio 1.000)

Complejo Titular Banco

Datos Sensibles

Mltiples
Natural localizaciones
Crtico Jurdica
Entidad Pblica Finalidad legal
Criterios
22
 La legislacin de PDP en el Per Directiva 2.1 y 1
2.2.
5 6 Medidas organizativas y legales
2

Otros roles y 3
Estrategia de funciones
Cumplimiento y Modelos Calendario Alcance
Gestin 4
Comit
LDPD
5
Responsable
Seguridad

Centralizado
Rbles.
Cumplimiento
Directrices, LDPD Descentralizado Mixto desorganizado
polticas,
actividades,
supervisin Asesoramiento
(1r nivel)

Empresa Empresa Empresa Empresa

A A A A

Empresa Empresa Empresa Empresa Empresa Empresa Empresa Empresa

F B F B F B F B

Matriz Matriz Matriz Matriz

Empresa Empresa Empresa Empresa Empresa Empresa Empresa Empresa

E C E C E C E C

Empresa Empresa Empresa Empresa

D D D D

Organizacin Organizacin Organizacin Organizacin

23
 La legislacin de PDP en el Per Directiva 2.1 y 1
2.2.
5 6 Medidas organizativas y legales
2

4
Estrategia de
Estructura organizativa 5
cumplimiento

- Habeas Data.
- Consentimiento
- Gestin incidentes
- Compromiso Dir.
- Auditora
- Concienciacin
Marco normativo Procedimientos - Privilegios y
- Plan prueba
accesos
controles peridico
- Registro accesos
- Calidad de los
datos

- Adaptacin
procesos Adecuacin del
Contratos
- Adaptacin negocio - Empleados
sistemas - Terceros:
- Documentacin encargados
tratamiento,
transmisin

24
La legislacin de PDP en el Per Reg. Ttulo III, 1
Captulo V,
7 Medidas tcnicas Artculos 39-41
2
Medidas de seguridad 3

mbito Medidas de seguridad 4

Identificacin de usuarios (usuario-contrasea, uso de
certificados digitales, tokens, entre otros). 5
Gestin de los privilegios
Control de acceso
Revisiones peridicas de permisos
Procedimientos documentados, que definen los aspectos
anteriores.
Mantenimiento de registros: usuario, hora de inicio y cierre de
Automatizados

sesin, y acciones relevantes

Trazabilidad
Gestin de las trazas: disponibilidad oportuna, almacenamiento,
destruccin, transferencia.
Ambientes en los que se procese, almacene o transmita la
informacin, considerar las recomendaciones de seguridad
Gestin respaldos
fsica y ambiental recomendadas en la NTP ISO/IEC 17799
y conservacin EDI
Realizacin de respaldo y pruebas de recuperacin.
Autorizacin del titular al envo al exterior de las instalaciones
fsicas.
Transferencias Uso del mecanismo de proteccin aprobado por l (cifrado,
checksum, etc.)

25
La legislacin de PDP en el Per Reg. Ttulo III, 1
Captulo V,
7 Medidas tcnicas Artculos 42-46
2
Medidas de seguridad 3

mbito Medidas de seguridad 4

Los armarios / archivadores debern encontrarse en reas de
acceso restringido. 5
Almacenamiento Se deben mantener cerradas.
No automatizados

Si no fuera posible por las caractersticas del local, consultar con

la DGPDP.
Las copias slo podrn realizarse bajo el control del personal
Copias docs. autorizado.
Destruccin de las copias deshechadas.
Slo por el personal autorizado
Registro de acceso en el caso de ms de un usuario
Acceso docs.
El acceso de otros debe quedar registrado segn las indicaciones
de la DGPDP.

Traslado docs. Medidas para impedir el acceso o manipulacin indebidos.

Slo el personal que lo requiere para el desempeo de sus

Prestacin de funciones debe acceder a los datos de carcter personal.
servicios En el caso de personal ajeno, el contrato recoger la prohibicin de
acceder a los datos personales y la obligacin de secreto.

26
La legislacin de PDP en el Per Directiva 1.2, 1
1.3, 2.1 y 2.2.
7 Medidas tcnicas
2

Condiciones de seguridad Acceso no autorizado 3

Cumplimiento normativo en el Contraseas, privilegios 4

marco de la compaa Acceso fsico y lgico no 5
Disposicin de recursos autorizado
Gestin de los accesos:
Requisitos de seguridad autorizacin, registro

Poltica, procedimientos, Alteracin no autorizada

compromiso confidencialidad
Documento y responsable de Retiro o traslado
Seguridad Eliminacin segura
Alineamientos NTP-ISO/IEC Copia o reproduccin
27001
Gestin privilegios
Gobernabilidad procesos
Enfoque gestin riesgos

27 No son obligatorios, sino condiciones necesarias

La legislacin de PDP en el Per Directiva 2.3 y 1
4
7 Medidas tcnicas
2
Medidas de seguridad 3

4
Tratamientos no autorizados
Prdida del banco 5
Tratamiento independizado
Copias de respaldo, Informacin en caso de incidentes
recuperaciones y pruebas
Mantenimiento equipos
Antimalware
Disposiciones
complementarias Almacenamiento seguro
Transmisin electrnica
Programa informacin a los Seguridad flujos transfronterizos
titulares Tercerizados
Tercerizacin Restriccin foto, audio, video
Auditora
Mejora contnua
28
 La legislacin de PDP en el Per 1
7 Medidas tcnicas
2

3
Aplicacin
4
Base datos
Automatizado
5
Sistema operativo
Plan de
medidas

No Automatizado

29
 La legislacin de PDP en el Per 1
7 Medidas tcnicas Medidas especficas con un mayor
impacto 2
Aspectos generales de Cobertura
ISO Privilegios de acceso, autorizacin y
Seguridad trazabilidad en el caso de archivos no 3
automatizados
Poltica de proteccin datos
personales
Trazabilidad de los accesos a datos 4
Procedimientos operativos automatizados
5
Gestin de riesgos Autorizacin y proceso de traslado de
datos personales (automatizado y no
automatizado)
NTP-ISO/IEC 27001

Documento Seguridad Eliminacin segura de la informacin en

medios automticos removibles

Responsable de Seguridad
Seguridad en la copia o reproduccin
(automtico y no automatizado)
En el proceso de implantacin de la ISO 27001
Debern incorporar los activos de datos personales en el Informacin de los incidentes
marco de gestin
Almacenamiento de la informacin en
Deber realizarse el anlisis de riesgos incluyendo el riesgo de forma segura: control de acceso y cifrado
privacidad
Deber determinarse la aplicacin de controles en base a riesgos Transmisin protegida
Puede tomarse como referencia el marco ISO 29100:2011
Cabe destacar que no todos los requisitos de la ley quedan Uso de fotografa, video y audio

30
cubiertos por el framework.
 La legislacin de PDP en el Per
Infracciones
Infracciones Leves Infracciones Graves
Dar tratamiento a datos Dar tratamiento a los datos
personales sin recabar el personales contraviniendo los
consentimiento de sus titulares, principios establecidos en la
cuando el mismo sea necesario presente Ley o incumpliendo sus
conforme a lo dispuesto en esta dems disposiciones o las de su
Ley. Reglamento.
Incumplir la obligacin de
No atender, impedir u obstaculizar confidencialidad establecida en el
el ejercicio de los derechos del artculo 17.
titular de datos personales No atender, impedir u reglamento.
reconocidos en el ttulo III, cuando obstaculizar, en forma
legalmente proceda. sistemtica, el ejercicio de los
derechos del titular de datos
Obstruir el ejercicio de la funcin personales reconocidos en el
fiscalizadora de la Autoridad ttulo III, cuando legalmente
Nacional de Proteccin de Datos proceda.
Personales Obstruir, en forma sistemtica, el
ejercicio de la funcin
fiscalizadora de la Autoridad
Nacional de Proteccin de Datos
Personales.
No inscribir el banco de datos
personales en el Registro
Nacional de Proteccin de Datos
Personales.
31
1
Reg. Ttulo VI
2
Infracciones Muy Graves
3
Dar tratamiento a los datos personales
contraviniendo los principios establecidos en 4
la presente Ley o incumpliendo sus dems
disposiciones o las de su Reglamento,
cuando con ello se impida o se atente contra 5
el ejercicio de los derechos fundamentales.
Crear, modificar, cancelar o mantener bancos
de datos personales sin cumplir con lo
establecido por la presente Ley o su
Suministrar documentos o informacin falsa o
incompleta a la Autoridad Nacional de
Proteccin de Datos Personales.
No cesar en el tratamiento ilcito de datos
personales, cuando existiese un previo
requerimiento de la Autoridad Nacional de
Proteccin de Datos Personales para ello.
No inscribir el banco de datos personales en
el Registro Nacional de Proteccin de Datos
Personales, no obstante haber sido requerido
para ello por la Autoridad Nacional de
Proteccin de Datos Personales
 La legislacin de PDP en el Per 1
Sanciones Reg. Ttulo VI

Sancin administrativa de Multa: 2

Nivel de Sancin 3
Ejemplo
Infraccin Multa en S/.
4
Leve 1,850 a 18,500 Solicitud de actualizacin de datos rechazada
Grave 18,501 a 185,000 Reiteradas y diversas solicitudes de actualizacin rechazadas 5
Muy grave 185,001 a 370,000 Entidad remite informacin falsa a la DGPDP
Lmite del 10%de los ingresos brutos anuales que hubiera percibido el presunto infractor
durante el ejercicio anterior

Multas coercitivas : Por incumplimiento de obligaciones accesorias a la sancin de multa

Nivel de Sancin Monto de la Multa S/.
Obligaciones accesorias a multa por infracciones Leves 740 a 7,400
Obligaciones accesorias a multa por infracciones Graves 7,401 a 22,200
Obligaciones accesorias a multa por infracciones Muy graves 22,201 a 37,000
La multa coercitiva es independiente de las sanciones que puedan imponerse con tal carcter y
compatible con ellas.
32
 La legislacin de PDP en el Per 1
Ejemplo: sanciones en Espaa
2

33
 La legislacin de PDP en el Per 1
Ejemplo: sanciones en Espaa
2

34
 1

3
Un enfoque prctico 4
de adaptacin
5

35
 Un enfoque prctico de adaptacin 1
mbitos de afectacin
2
IMPACTOS EN LA
Medidas tcnicas
ORGANIZACIN 3

Carga prueba 4

5
Gestin medios no
automatizados
Tcnicos

Habeas Data
Tratamientos

Organizacin Legal
Consentimiento

Transferencia

Declaracin

36
 Un enfoque prctico de adaptacin 1
Visin global del proceso
2

Fases para la adaptacin 3

II. Aspectos V. Plan de 4

I. Ciclo de III. Aspectos IV. Proceso
Legales y adaptacin e
vida dato Tcnicos de registro
Organizativas implantacin
5

La metodologa que se presenta es fruto de una amplia experiencia en apoyar a nuestros clientes
a adaptarse con xito a los requisitos legislativos
El enfoque en fases permite abordar de forma gradual y comprensible un proyecto de esta
envergadura.
Una de las fases clave para realizar una adaptacin adecuada y razonable es la I, que trata de
conocer el ciclo de vida del dato.
La ley tiene impactos a nivel organizativo, legal y tcnico, por lo que se requiere un equipo
multidisciplinar para el despliegue del proyecto.
Este proceso requiere la involucracin de mltiples reas de la compaa: negocio, reas de
administracin, sistemas de informacin, legal, etc., por lo que es necesario que el sponsor sea el
adecuado.

37
 Un enfoque prctico de adaptacin 1
I. Ciclo de vida
2

Datos, 5
Anlisis del ciclo de finalidades,
vida del dato soportes,
tratamientos,
terceros,
clasificacin

Las compaas disponen de ms datos personales de los que inicialmente suponen

Las reas de negocio no siempre son conscientes de que en algunos tratamientos estn involucrados datos personales
Este proceso permite concienciar a las reas de negocio y proveedores sobre la legislacin
Es posible conocer la finalidad real para la que se utiliza
Permite identificar cesiones, transmisiones al exterior, terceros involucrados, etc.
Permite racionalizar las siguientes fases y el coste-beneficio del cumplimiento.
38
Un enfoque prctico de adaptacin 1
I. Ciclo de vida
2

Ejemplo de entregables 3

Inventario de bases
de datos personales

Ciclo de
vida del
dato

39
@2014 Deloitte Touche SRL
 Un enfoque prctico de adaptacin 1
III. Aspectos Tcnicos
2
Aplicacin

3
Base datos
Automatizado
4
Sistema operativo

Iniciativas
No Automatizado
Tcnicas

En este punto resalta la importancia de racionalizar y clasificar correctamente la informacin de carcter personal en
los sistemas, ya que la implementacin de algunas medidas puede ser muy costosa.
En algunos casos ser necesario tomar decisiones para maximizar los ratios de proteccin-cumplimiento /costo.
Es una buena oportunidad para implementar en la organizacin un marco de control interno de SI ms completo

40
 Un enfoque prctico de adaptacin 1
IV. Proceso de registro
2

3
Iniciativas
Declaracin 4
ficheros
5

Identificacin bases de datos

Descripcin caractersticas
Clasificacin tratamientos
Formularios y declaracin

En ocasiones es necesario tomar decisiones que racionalicen el uso de los datos y de la proteccin de los mismos.
La definicin debe conllevar un equilibrio entre la utilidad de las bases de datos, as como el esfuerzo de mantenimiento que
conlleva.
La estrategia de cumplimiento que se defina tendr fuertes implicaciones en la definicin de Bases de Datos Personales:
gestin individualizada, centralizada, con asesoramiento, etc.
41
 Un enfoque prctico de adaptacin
V. Plan de implantacin / medidas
Medida
Externa. Existe un marco legal
apropiado
Externa. Conocimiento y
conciencia
Interna. Compromiso titular
Interna. Comprensin del
contexto
Interna. Roles y
responsabilidades
Interna. Enfoque a riesgos
Estructura organizacional
Compromiso documentado
cumplimiento
42
Situacin
Descripcin
Actual
Se aplica el marco legal apropiado
(leyes , reglamentos o s imilares )
Conocimiento y conciencia: conocer la
importancia de la proteccin de los
datos pers onales y del marco
legis lativo
- Conocer y conciencia del marco
Exis te el compromis o de la direccin
para que s e dis ponga de los recurs os
neces arios y brindar direccin en la
proteccin de datos pers onales .
Comprender el contexto ins titucional
en el tratamiento y proteccin de los
datos
Exis ten unas res pons abilidades y roles
apropiados para ges tionar el
cumplimiento de la legis lacin, con la
s uficiente autoridad y recurs os
Enfoque de ges tin de ries gos de los
datos pers onales tratados
Se dis pone de roles y
res pons abilidades alineados con la
proporcionalidad de los datos a
proteger
La organizacin dis pone de un
compromis o documentado de res peto
a los principios de la ley
1
2
Fecha
Situacin actual de la Compaa Recomendacin Responsable Fecha fin
Analizar en detalle el marco normativo
inicio 3
En general, s e conoce la importancia del nuevo marco
relacionado con la ley de proteccin de datos
legis lativo. Sin embargo, no s e conoce en profundidad
pers onales , y determinar las implicancias del
dado que an no s e ha abordado el proces o de Comit LDPD mar-13 may-13
mis mos . Definir un plan de adaptacin para la
En general, s e conoce la importancia del nuevo marco
legis lativo. Sin embargo, no s e conoce en profundidad
dado que an no s e ha abordado el proces o de Ver C.1 y O.8
4
adaptacin, y no s e ha llevado a cabo el programa de
capacitacin y concienciacin de los empleados . Comit LDPD mar-13 may-13
An no s e ha abordado el proces o de adaptacin a los
requis itos de la legis lacin. Ver O.2 5
El compromis o debera mos trars e por es crito (ver O.2)
rea Legal mar-13 may-13
Segn el anlis is gap realizado, s e ha obtenido un
conocimiento parcial del contexto, focalizado en el Realizar el anlis is de ciclo de vida de los
proces o de ges tin de es de . datos de carcter pers onal para la
An no s e ha abordado el proces o de adaptacin a los organizacin completa.
requis itos de la legis lacin, por lo que no s e ha llevado Comit LDPD mar-13 may-13
An no s e ha abordado el proces o de adaptacin a los
requis itos de la legis lacin, por lo que no s e han
Ver O.1
definido y es tablecido los roles y res pons abilidades (ver
O.1) Comit LDPD mar-13 may-13
Definir el modelo de control a del anlis is de
An no s e ha abordado el proces o de adaptacin a los riesgos de privacidad . Cons iderar el inventario
requis itos de la legis lacin, por lo que no s e ha actualizado de activos de informacin, en el
es tablecido un enfoque a ries gos de privacidad que s e incluyan los activos que contengan
Comit LDPD mar-13 may-13
datos de carcter pers onal.
- Definir la es tructura de cumplimiento a nivel
corporativo:
* Analizar los dis tintos modelos y definir el
Actualmente no exis ten en la organizacin recurs os modelo que s e aplicar
des tinados al cumplimiento de la ley de proteccin de * Des ignar Res pons able de Seguridad
datos . * Des ignar las res pons abilidades de cada
una de las reas involucradas
* Las res pons abilidades de cada empleado
de Comit LDPD mar-13 may-13
Obtener el compromis o de la Direccin, de
forma que s e comprometa a:
La organizacin no dis pone de un compromis o
- Proporcionar los recurs os neces arios
documentado de res peto a los principios de la ley.
- Se compromete a encontrars e involucrado
con la neces idad de proteger los datos Comit LDPD mar-13 may-13
 Un enfoque prctico de adaptacin 1
V. Plan de implantacin
2

43
 Un enfoque prctico de adaptacin 1
Equipo tipo del proyecto
2

3
Equipo de trabajo reas involucradas
4

reas de negocio 5

Procesos Legal reas de backoffice

Sistemas de Informacin
Seguridad
Tecnologa
Informacin

Auditora Interna

44
Contactenos
Contctenos

Deloitte & Touche S.R.L.

Las Begonias 441, piso 6
Deloitte San Isidro, Lima 27. Per
Tel: +51(1) 211-8585
www.deloitte.com/pe

Christiam Garratt Saldaa

Christiam Socio
Garratt Consultora en Riesgo Empresarial
cgarratt@deloitte.com

Anna Salguero Sende

Anna Gerente Senior
Salguero Consultora en Riesgo Empresarial
asalguero@deloitte.com

46
 Deloitte se refiere a Deloitte Touche Tohmatsu, una asociacin suiza, o a una o ms integrantes de su
red de firmas miembros, cada una de las cuales constituye una entidad separada e independiente
desde el punto de vista legal. Una descripcin detallada de la estructura legal de Deloitte Touche
Tohmatsu y sus firmas miembros puede verse en el sitio web www.deloitte.com/pe

47 2014 Deloitte Touche Tohmatsu