Академический Документы
Профессиональный Документы
Культура Документы
Personales
Enfoque prctico de adecuacin
Enterprise Risk Services
Contenido
Principios y fundamentos de la
1
Privacidad
Las Leyes de Proteccin de
2
Datos Personales en el Mundo
La legislacin de Proteccin de
3
Datos Personales en el Per
Nuestro enfoque prctico de
4
adaptacin
5 Contctenos
1
1
3
Principios y 4
fundamentos de la
5
Privacidad
2
Principios y fundamentos de la privacidad 1
Definiciones
2
1890 2013
3
Principios y fundamentos de la privacidad 1
Clases de privacidad
2
5
Informacin Corporal
Territorial Comunicaciones
4
1
3
Las Leyes de 4
Proteccin de Datos
5
Personales en el
mundo
5
Proteccin de Datos Personales en el mundo 1
Mapa legislativo mundial Emiratos rabes Corea Sur
Ley Proteccin Datos Acto de Promocin del
Japn
2
Dubai Uso de Informacin y
Acto de Proteccin de
Redes de Comunicacin,
Canada Federal/provincial Informacin Personal
PIPEDA, FOIPPA, PIPA
y Proteccin de Datos 3
Unin Europea
Directiva Proteccin Datos EU
y Leyes de los Estados 4
Miembros
US Federal Espaa
GLBA, HIPAA, COPPA, Do Ley Orgnica de
Hong Kong
Not Call, Safe Harbor Proteccin de Datos
Ordenacin Privacidad
Personales
Datos Personales
Leyes estatales
Notificacin Brechas 45 estados
SSN Use
Taiwan
Ley de Proteccin de
India Datos Personales
Registro Nacional computarizados
Do Not Call
Nueva Zelanda
Acto de Privacidad
Australia
Sur frica Enmienda Federal de
Acto de Comunicaciones Privacidad, email spam
y Transacciones y regulaciones de
Electrnicas privacidad
6 Nota: no pretende ser un listado exhaustivo
Proteccin de Datos Personales en el mundo 1
Contexto regional
Legislados y con rgano supervisor 2
Legislacin poco definida y/o sin
rgano supervisor 3
Proyecto legislativo en proyecto
4
Mxico Ao 2010 5
Guatemala - Ao 2008
Paraguay Ao 2001
Uruguay Ao 2008
Per Ao 2012
Argentina Ao 2000
Chile Ao 2011
7
Nota: no pretende ser un listado exhaustivo
1
3
La legislacin de 4
Proteccin de Datos
5
Personales en el Per
8
La legislacin de PDP en el Per 1
Cronograma de la legislacin
El artculo 2 numeral 6 de la
2
Constitucin Poltica del Per
Constitucin seala que toda persona tiene 3
Poltica del derecho a que los servicios
El Congreso de la Repblica del Per
informticos, computarizados o
Per aprob, el 7 de junio de 4
no, pblicos o privados, no
2010 el Proyecto de Ley N suministren informaciones que
4079/2009-PE que propone la Proyecto de
afecten a la intimidad personal y 5
Ley de Proteccin de Datos Ley
N4079/2009- familiar.
Personales. PE
Ley N 29733
Proteccin de El 3 de julio de 2011 se public
Mediante el DECRETO Datos en el Diario Oficial, El Peruano, la
SUPREMO N 003-2013-JUS, Personales
Ley N 29733, Ley de Proteccin
publicado el 22 de marzo de de Datos Personales.
2013, se aprob el Reglamento DS N 003-
de Ley N 29733, el cual 2013-JUS
Reglamento
desarrolla y detalla las de la Ley
disposiciones de la ley. 29733
Se encuentra vigente desde el 8 El 11 de octubre de 2013 la
de mayo, tras 30 das hbiles a Directiva de Autoridad Nacional de Proteccin
partir de su publicacin. Seguridad de de Datos public la Directiva de
la
Informacin SI, para orientar en las medidas
tcnicas a aplicar.
9
La legislacin de PDP en el Per 1
Definiciones bsicas Conjunto organizado de datos personales,
automatizado o no, independientemente 2
Informacin numrica, alfabtica, grfica,
del soporte, sea este fsico, magntico,
fotogrfica, acstica, sobre hbitos
digital, ptico u otros que se cree, 3
personales, o de cualquier otro tipo relativo
cualquiera que fuere la forma o modalidad
a las personas naturales que las identifica
Banco de de su creacin, formacin, 4
o las hace identificables a travs de Datos
Datos almacenamiento, organizacin y acceso.
personales
medios que puedan ser razonablemente Personales
5
utilizados.
Reg. Ttulo I,
Artculo 2 Titular del Persona natural a la que corresponden
Ley Art.2 dato
los datos personales (propietario).
Reg. Ttulo I,
Artculo 2
Ley Art.2
Encargado del
Transmisin
tratamiento
Transmisin, suministro o manifestacin
Realiza el tratamiento de los datos personales, pudiendo
de datos personales, de carcter nacional
ser el titular, el responsable u otra persona por encargo del
o internacional, a una persona jurdica de
titular y en virtud de una relacin jurdica . Incluye los que
derecho privado o a una entidad pblica o
lo realizan por cuenta del responsable, cuando el
una persona natural distinta de del titular
tratamiento se realice sin la existencia de un banco.
del banco
11
La legislacin de PDP en el Per 1
Definiciones bsicas
2
3
Roles y funciones
4
Caso 2
Responsable
tratamiento Encargado
tratamiento
Encargado Encargado
tratamiento tratamiento
12
La legislacin de PDP en el Per Reg. Ttulo II 1
Principios rectores
2
4
Principio de
Legalidad
5
Principio de Principio de
Consentimiento Finalidad
13
La legislacin de PDP en el Per Reg. Ttulo I, 1
Artculos 1, 3-5
Principales requerimientos
2
3
Garantizar el derecho fundamental a la proteccin de datos personales, regulando un adecuado
Objetivo tratamiento de los mismos.
4
1 2 3 4
Obtencin del Declaracin
Transferencia ARCO
consentimiento Bases Datos
Requisitos
5 Medidas
6 7 Medidas
Medidas Legales
Organizativas Tcnicas
14
@2014 Deloitte Touche SRL
La legislacin de PDP en el Per Reg. Ttulo III, 1
1 Obtencin del consentimiento Captulos I y II
3
Consentimiento
4
Debe obtenerse consentimiento para todas las finalidades de
uso 5
Libre, previo, expreso, inequvoco, informado
En el caso de los datos sensibles, firma formal
El titular puede revocarlo en cualquier momento
No se requiere sobre las fuentes accesibles al pblico
15
La legislacin de PDP en el Per 1
1 Obtencin del consentimiento Mtodos
2
Obtencin del
Consentimiento 3
4
Canales
Finalidad
16
La legislacin de PDP en el Per Reg. Ttulo III, 1
2 Transferencia de datos personales Captulo III
3
Transferencia de datos personales 4
El titular debe ofrecer su consentimiento 5
Carga de prueba sobre el emisor, comunicando al receptor
las condiciones del consentimiento
El receptor pasa a ser el titular o el responsable del
tratamiento, y debe dar cumplimiento a la ley
Transferencias intragrupo, se recomienda disponer de un
cdigo de conducta
Flujos transfronterizos, debe encontrarse aprobado por la
DGPG, y las obligaciones que asume el receptor formalizadas
mediante contrato.
17
La legislacin de PDP en el Per 1
3 Registro nacional de proteccin de datos personales
2
Bancos de Datos
Personales de 3
titularidad
Registro Nacional de privada
Proteccin de Datos 4
Bancos de Datos 5
Personales de
titularidad pblica
Cdigos de
conducta
Sanciones,
medidas
cautelares o
correctivas
18
Un enfoque prctico de adaptacin 1
IV.
3 Proceso de registro Declaracin en Espaa de
los ficheros de una 2
Entidad Bancaria, un total
de 19. 3
19
Un enfoque prctico de adaptacin 1
IV.
3 Proceso de registro Declaracin en Espaa de
los ficheros de una 2
empresa aseguradora, un
total de 14. 3
20
La legislacin de PDP en el Per 1
4v Derechos del titular de datos personales: ARCO
2
Rectificacin, actualizacin e 4
Informacin
inclusin
5
Impedir el
Acceso Cancelacin
/
Suministro
21
La legislacin de PDP en el Per Directiva 1.1 1
5 6 7 Medidas organizativas, legales y tcnicas
2
Clasificacin de los tratamientos 3
4
Volumen Periodo
Nmero datos
personas tratamiento
Bsico Bajo (hasta 50) Bajo (hasta 5) Bajo (menos 1
5
Mltiples
Natural localizaciones
Crtico Jurdica
Entidad Pblica Finalidad legal
Criterios
22
La legislacin de PDP en el Per Directiva 2.1 y 1
2.2.
5 6 Medidas organizativas y legales
2
Otros roles y 3
Estrategia de funciones
Cumplimiento y Modelos Calendario Alcance
Gestin 4
Comit
LDPD
5
Responsable
Seguridad
Centralizado
Rbles.
Cumplimiento
Directrices, LDPD Descentralizado Mixto desorganizado
polticas,
actividades,
supervisin Asesoramiento
(1r nivel)
23
La legislacin de PDP en el Per Directiva 2.1 y 1
2.2.
5 6 Medidas organizativas y legales
2
4
Estrategia de
Estructura organizativa 5
cumplimiento
- Habeas Data.
- Consentimiento
- Gestin incidentes
- Compromiso Dir.
- Auditora
- Concienciacin
Marco normativo Procedimientos - Privilegios y
- Plan prueba
accesos
controles peridico
- Registro accesos
- Calidad de los
datos
- Adaptacin
procesos Adecuacin del
Contratos
- Adaptacin negocio - Empleados
sistemas - Terceros:
- Documentacin encargados
tratamiento,
transmisin
24
La legislacin de PDP en el Per Reg. Ttulo III, 1
Captulo V,
7 Medidas tcnicas Artculos 39-41
2
Medidas de seguridad 3
25
La legislacin de PDP en el Per Reg. Ttulo III, 1
Captulo V,
7 Medidas tcnicas Artculos 42-46
2
Medidas de seguridad 3
26
La legislacin de PDP en el Per Directiva 1.2, 1
1.3, 2.1 y 2.2.
7 Medidas tcnicas
2
4
Tratamientos no autorizados
Prdida del banco 5
Tratamiento independizado
Copias de respaldo, Informacin en caso de incidentes
recuperaciones y pruebas
Mantenimiento equipos
Antimalware
Disposiciones
complementarias Almacenamiento seguro
Transmisin electrnica
Programa informacin a los Seguridad flujos transfronterizos
titulares Tercerizados
Tercerizacin Restriccin foto, audio, video
Auditora
Mejora contnua
28
La legislacin de PDP en el Per 1
7 Medidas tcnicas
2
3
Aplicacin
4
Base datos
Automatizado
5
Sistema operativo
Plan de
medidas
No Automatizado
29
La legislacin de PDP en el Per 1
7 Medidas tcnicas Medidas especficas con un mayor
impacto 2
Aspectos generales de Cobertura
ISO Privilegios de acceso, autorizacin y
Seguridad trazabilidad en el caso de archivos no 3
automatizados
Poltica de proteccin datos
personales
Trazabilidad de los accesos a datos 4
Procedimientos operativos automatizados
5
Gestin de riesgos Autorizacin y proceso de traslado de
datos personales (automatizado y no
automatizado)
NTP-ISO/IEC 27001
Responsable de Seguridad
Seguridad en la copia o reproduccin
(automtico y no automatizado)
En el proceso de implantacin de la ISO 27001
Debern incorporar los activos de datos personales en el Informacin de los incidentes
marco de gestin
Almacenamiento de la informacin en
Deber realizarse el anlisis de riesgos incluyendo el riesgo de forma segura: control de acceso y cifrado
privacidad
Deber determinarse la aplicacin de controles en base a riesgos Transmisin protegida
Puede tomarse como referencia el marco ISO 29100:2011
Cabe destacar que no todos los requisitos de la ley quedan Uso de fotografa, video y audio
30
cubiertos por el framework.
La legislacin de PDP en el Per 1
Infracciones Reg. Ttulo VI
2
Infracciones Leves Infracciones Graves Infracciones Muy Graves
3
Dar tratamiento a datos Dar tratamiento a los datos Dar tratamiento a los datos personales
personales sin recabar el personales contraviniendo los contraviniendo los principios establecidos en 4
consentimiento de sus titulares, principios establecidos en la la presente Ley o incumpliendo sus dems
cuando el mismo sea necesario presente Ley o incumpliendo sus disposiciones o las de su Reglamento,
conforme a lo dispuesto en esta dems disposiciones o las de su cuando con ello se impida o se atente contra 5
Ley. Reglamento. el ejercicio de los derechos fundamentales.
Incumplir la obligacin de Crear, modificar, cancelar o mantener bancos
No atender, impedir u obstaculizar confidencialidad establecida en el de datos personales sin cumplir con lo
el ejercicio de los derechos del artculo 17. establecido por la presente Ley o su
titular de datos personales No atender, impedir u reglamento.
reconocidos en el ttulo III, cuando obstaculizar, en forma Suministrar documentos o informacin falsa o
legalmente proceda. sistemtica, el ejercicio de los incompleta a la Autoridad Nacional de
derechos del titular de datos Proteccin de Datos Personales.
Obstruir el ejercicio de la funcin personales reconocidos en el No cesar en el tratamiento ilcito de datos
fiscalizadora de la Autoridad ttulo III, cuando legalmente personales, cuando existiese un previo
Nacional de Proteccin de Datos proceda. requerimiento de la Autoridad Nacional de
Personales Obstruir, en forma sistemtica, el Proteccin de Datos Personales para ello.
ejercicio de la funcin No inscribir el banco de datos personales en
fiscalizadora de la Autoridad el Registro Nacional de Proteccin de Datos
Nacional de Proteccin de Datos Personales, no obstante haber sido requerido
Personales. para ello por la Autoridad Nacional de
No inscribir el banco de datos Proteccin de Datos Personales
personales en el Registro
Nacional de Proteccin de Datos
Personales.
31
La legislacin de PDP en el Per 1
Sanciones Reg. Ttulo VI
Nivel de Sancin 3
Ejemplo
Infraccin Multa en S/.
4
Leve 1,850 a 18,500 Solicitud de actualizacin de datos rechazada
Grave 18,501 a 185,000 Reiteradas y diversas solicitudes de actualizacin rechazadas 5
Muy grave 185,001 a 370,000 Entidad remite informacin falsa a la DGPDP
Lmite del 10%de los ingresos brutos anuales que hubiera percibido el presunto infractor
durante el ejercicio anterior
33
La legislacin de PDP en el Per 1
Ejemplo: sanciones en Espaa
2
34
1
3
Un enfoque prctico 4
de adaptacin
5
35
Un enfoque prctico de adaptacin 1
mbitos de afectacin
2
IMPACTOS EN LA
Medidas tcnicas
ORGANIZACIN 3
Carga prueba 4
5
Gestin medios no
automatizados
Tcnicos
Habeas Data
Tratamientos
Organizacin Legal
Consentimiento
Transferencia
Declaracin
36
Un enfoque prctico de adaptacin 1
Visin global del proceso
2
La metodologa que se presenta es fruto de una amplia experiencia en apoyar a nuestros clientes
a adaptarse con xito a los requisitos legislativos
El enfoque en fases permite abordar de forma gradual y comprensible un proyecto de esta
envergadura.
Una de las fases clave para realizar una adaptacin adecuada y razonable es la I, que trata de
conocer el ciclo de vida del dato.
La ley tiene impactos a nivel organizativo, legal y tcnico, por lo que se requiere un equipo
multidisciplinar para el despliegue del proyecto.
Este proceso requiere la involucracin de mltiples reas de la compaa: negocio, reas de
administracin, sistemas de informacin, legal, etc., por lo que es necesario que el sponsor sea el
adecuado.
37
Un enfoque prctico de adaptacin 1
I. Ciclo de vida
2
Datos, 5
Anlisis del ciclo de finalidades,
vida del dato soportes,
tratamientos,
terceros,
clasificacin
Ejemplo de entregables 3
Inventario de bases
de datos personales
Ciclo de
vida del
dato
39
@2014 Deloitte Touche SRL
Un enfoque prctico de adaptacin 1
III. Aspectos Tcnicos
2
Aplicacin
3
Base datos
Automatizado
4
Sistema operativo
Iniciativas
No Automatizado
Tcnicas
En este punto resalta la importancia de racionalizar y clasificar correctamente la informacin de carcter personal en
los sistemas, ya que la implementacin de algunas medidas puede ser muy costosa.
En algunos casos ser necesario tomar decisiones para maximizar los ratios de proteccin-cumplimiento /costo.
Es una buena oportunidad para implementar en la organizacin un marco de control interno de SI ms completo
40
Un enfoque prctico de adaptacin 1
IV. Proceso de registro
2
3
Iniciativas
Declaracin 4
ficheros
5
En ocasiones es necesario tomar decisiones que racionalicen el uso de los datos y de la proteccin de los mismos.
La definicin debe conllevar un equilibrio entre la utilidad de las bases de datos, as como el esfuerzo de mantenimiento que
conlleva.
La estrategia de cumplimiento que se defina tendr fuertes implicaciones en la definicin de Bases de Datos Personales:
gestin individualizada, centralizada, con asesoramiento, etc.
41
Un enfoque prctico de adaptacin 1
V. Plan de implantacin / medidas
2
Situacin Fecha
Medida Descripcin Situacin actual de la Compaa Recomendacin Responsable Fecha fin
Actual
Analizar en detalle el marco normativo
inicio 3
En general, s e conoce la importancia del nuevo marco
Externa. Existe un marco legal Se aplica el marco legal apropiado relacionado con la ley de proteccin de datos
legis lativo. Sin embargo, no s e conoce en profundidad
apropiado (leyes , reglamentos o s imilares ) pers onales , y determinar las implicancias del
dado que an no s e ha abordado el proces o de Comit LDPD mar-13 may-13
mis mos . Definir un plan de adaptacin para la
Conocimiento y conciencia: conocer la En general, s e conoce la importancia del nuevo marco
Externa. Conocimiento y importancia de la proteccin de los
datos pers onales y del marco
legis lativo. Sin embargo, no s e conoce en profundidad
dado que an no s e ha abordado el proces o de Ver C.1 y O.8
4
conciencia legis lativo adaptacin, y no s e ha llevado a cabo el programa de
- Conocer y conciencia del marco capacitacin y concienciacin de los empleados . Comit LDPD mar-13 may-13
Exis te el compromis o de la direccin
42
Un enfoque prctico de adaptacin 1
V. Plan de implantacin
2
43
Un enfoque prctico de adaptacin 1
Equipo tipo del proyecto
2
3
Equipo de trabajo reas involucradas
4
reas de negocio 5
Sistemas de Informacin
Seguridad
Tecnologa
Informacin
Auditora Interna
44
Contactenos
Contctenos
46
Deloitte se refiere a Deloitte Touche Tohmatsu, una asociacin suiza, o a una o ms integrantes de su
red de firmas miembros, cada una de las cuales constituye una entidad separada e independiente
desde el punto de vista legal. Una descripcin detallada de la estructura legal de Deloitte Touche
Tohmatsu y sus firmas miembros puede verse en el sitio web www.deloitte.com/pe