Cartilla de Directiva de Seguridad

Directiva De SeguriDaD

autoridad Nacional de Protección de Datos Personales

aPDP


autoridad Nacional de Protección de Datos Personales aPDP

Primera Edición, noviembre 2013

© Ministerio de Justicia y Derechos HumanosCalle Scipión Llona 350, Miraflores, Lima - PerúTeléfono: 204 [email protected]

Ministro de Justicia y Derechos Humanos: Dr. Daniel Figallo Rivadeneyra

Viceministro de Derechos Humanos y Acceso a la Justicia:Dr. Henry José Ávila Herrera

Director de la Autoridad Nacional de Protección de Datos Personales: Dr. José Álvaro Quiroga León

Edición:Autoridad Nacional de Protección de Datos PersonalesMinisterio de Justicia y Derechos Humanos

Diseño y diagramación: Mary Reymundo Aguilar

Impresión: Editora Diskcopy S.A.C.Jr. San Agustín Nro. 497, Surquillo

Hecho el Depósito Legal en la Biblioteca Nacional del Perú: Nº 2013-19069

“Tú también tienes derechos y deberes”



aPDP

3

Prólogo

Presentación

I Estructura

II Objetivo

III Base legal

IV Alcance

V Responsabilidad

Medidas de seguridad

1. Disposiciones generales

2.Disposicionesespecíficas

3. Procedimiento

4. Disposiciones complementarias

Anexo A: Glosario

Anexo B: Orientación para bancos de datos de tipo básico o simple

Anexo C: Orientación para bancos de datos de tipo complejo o crítico

46899

101011112033353637

38

iNDice

4

Prólogo

Actualmente,ciudadanasyciudadanos―voluntariamente―proporcionansusdatosper-sonalesadistintasinstitucionespúblicasoprivadas,pordistintasrazones.Elapropiadotratamientodelosdatos,permiteconvertirloseninformaciónútilparaellogrodedetermi-nadosobjetivos.Peroesosdatospuedenamenazarladignidaddelaspersonasporelusoarbitrarioymaliciosodelainformática.Elpeligroseconcretaconlacapacidaddealmace-namiento en la memoria de las computadoras, la celeridad de todo el proceso, el desarrollo delasdisímilestécnicasreservadasparaelmanejodevolúmenesdeinformación,etc.

Lossistemasinformáticospuedenverificarlosdatossobreunindividuointroducidosensumemoriaycotejarlaimagenrealdelosdatosdelindividuoencuestión.Todosesosdatosdebenserprotegidoscontraelaccesodequienesnoesténautorizados.Estanecesariaprotecciónesunlímitealmanejodelainformáticaanteeltemordequepuedaatentarlain-timidad de las ciudadanas y ciudadanos y que pueda restringir el ejercicio de sus derechos.

Unbancodedatosestácompuestoportodotipodeinformaciónaportadaporlasperso-nasparadeterminadosfines.Perotambiénexisteunagranvariedaddemediosatravésdeloscualessecompilainformacióndelaspersonassinsuconsentimiento,talcomosucedeenalgunossitiosdeInternetquecruzandatosdelaspersonasquelasvisitanyconformanunperfildelinteresado.

Laexistenciadeenormesbancosdedatosquecontienengrancantidaddeinformaciónre-feridaalaspersonasesunaconsecuenciadelainformáticaysinlacualseríaimposiblesuexistencia.Loimportanteeslafinalidadparaelcualseusalainformaciónallíalmacenadaparaevitarqueseamosdiscriminadosdebidoaunusodesatinadodesusdatos.

ConlaexpedicióndelaLeyNº29733–LeydeProteccióndeDatosPersonalesydesurespectivoReglamento,aprobadoconDecretoSupremoNº003-2013-JUS,elPerúcuentayaconunmarcojurídicoparagarantizarelrespetoalderechofundamentalalaproteccióndedatospersonales,loqueensímismoconstituye,quédudacabe,unsig-nificativoavancequeabonaenfavordefortalecerlosmecanismosdeproteccióndelosderechosfundamentalesdelaspersonasennuestropaís.

Ambasnormasdesarrollannosólolosderechosdelostitularesdeldatopersonal,sinoque también se ocupan de las obligaciones de los titulares y encargados de los bancos dedatospersonales,cuyaactuacióndebeajustarsealcontenidodedichomarcojurídicoyalosprincipiosrectoresqueguíantodotratamientodelainformaciónpersonal.

5

Precisamente,elcumplimientodetalesobligacionesexigealostitularesdelosbancosdedatospersonales la implementacióndemedidasdeseguridadadecuadasque lespermitaneltratamientodelosdatospersonalesqueadministran,preservandolaconfi-dencialidad,disponibilidadeintegridaddeaquellos,loque,enbuenacuenta,significadarcumplimientoalmarconormativodadoporlaLeydeProteccióndeDatosPersona-lesysurespectivoReglamento.

Esenesecontexto,quelaemisióndelaDirectivadeSeguridaddelaInformaciónAd-ministradaporlosBancosdeDatosPersonales,aprobadaporResoluciónDirectoralNº019-2013-JUS/DGPDP,de laAutoridadNacionaldeProteccióndeDatosPersonales,órganoespecializadodelMinisteriodeJusticiayDerechosHumanos,esdesumaim-portancia, pues resulta ser un instrumento que posibilita un accionar ajustado a derecho deaquellaspersonas,seannaturalesojurídicas,querealizantratamientodedatosper-sonalesyesque,comolapropiaDirectivaloseñala,éstaorientasobrelascondiciones,requisitos y las medidas técnicas que deben tomar en cuenta para el cumplimiento de las normas anteriormente citadas.

Laconstruccióndeunaverdaderaculturadeproteccióndedatospersonales,esfuerzoalquesehacomprometidoelMinisteriodeJusticiayDerechosHumanosyparticularmentelaAutoridadNacionaldeProteccióndeDatosPersonales,pasanosóloporcontarconunsistemadeimposicióndesanciones,sinoque,lejosdeello,setratadeejercersobrequienesrealizaneltratamientodedatospersonalesunafunciónpedagógicayorientadora.

Elloseverificacon ladacióndeunadirectivadeseguridadqueconsideramosesuninstrumentonormativotécnicodeavanzadaquelaAutoridadNacionaldeProteccióndeDatos Personales ha elaborado con responsabilidad y minuciosidad, en cumplimiento de laLeyNº29733–LeydeProteccióndeDatosPersonales.

Setratadeunaimportantegestiónmásqueelgobiernodaenarasdeconsolidareins-titucionalizarunadecuadoniveldeproteccióndedatospersonales.

Mg. José Ávila Herrera ViceministrodeDerechosHumanosyAccesoalaJusticia

6

PreSeNtacióN

La Autoridad Nacional de Protección de Datos Personales -APDP- del Ministeriode Justicia yDerechosHumanos, de conformidad con lo dispuesto por la segundadisposicióncomplementariafinaldelaLeyN°29733,hatenidoasucargolaelaboracióndeunadirectivadeseguridadparaponeralserviciodetodoslostitularesdebancosde datos personales un instrumento que facilite el cumplimiento de la Ley. Esa eslafinalidadcentraldeestedocumentoyesporelloquenohemosqueridohacerundocumentocontérminosgeneralesolugarescomunes,quehubierasignificadocumplirconestaobligación“formalmente”perosinaportarnadaconcreto.

Consideramosqueesohubieraocurridosihubiéramosentregadounadirectivalimitadaalaenumeracióndeobligaciones(queyaestánenlaley)osihubiéramosdesarrolladocriteriosodisposicionesdemodoprevioa la vigenciadel reglamentode la ley, conel riesgo de que el reglamento resultara con un contenido que dejara descolada a la directiva.Nopodíamospues,“ponerlacarretadelantedeloscaballos”.Teniendolaleyysureglamentovigentesplenamente,yateníasentidoculminarestadirectivayasílohemoshecho,lomásprontoquehasidoposible.

Paraevitarqueestedocumentosearepetitivorespectodelaleyoelreglamentoy,porel contrario, constituya una herramienta útil de trabajo para quien requiera consultarla, ha sido necesario replicar las preguntas, las dudas, las necesidades y las circunstancias que pueden acompañar a los concernidos por la ley, para encontrarles respuestasy soluciones.Para ello ha sido preciso “cruzar” los criterios que pueden describir ycaracterizarlosbancosotratamientosdedatos,comoson:eltipodedatos(generalesosensibles),elnumerodedatosdecadapersona,elnúmerodepersonasyeltiempoprevistooprevisibledeusodelainformación,entreotros.

7

Este cruce, ordenado y sistematizadode criterios, permiteubicar las característicasdecadabancodedatos, lo cual constituyeelpasopreviopara relacionarlo con lasmedidasdeseguridadindicadasosugeridascomounasuertede“diseñoalamedida”porqueentendemosqueloqueeladministradorequiereesjustamentepasardeltextogeneraldelanormaaunplandeadecuaciónparasucasoconcreto.Esperamosqueestadirectivacumplaesesimpleperotrascendentalpapelafavordelosadministrados.

Paraterminarquisieradejarconstanciadedoscosas:

Primero:Estaesunadirectiva,esdecirunaindicacióndecómopuedenhacerselascosas,undocumentofacilitador.Silosadministradosencuentranquepuedencumplirlasnormasdeseguridadconcriteriosoprotocolosdistintosperoigualmenteeficientesdebenrecordarquesuobligaciónesadecuarsealaleyyelreglamento,noaladirectiva,queessoloundocumentofacilitador.

Segundo:Estedocumentoestaráenpermanente revisión, justamenteporquedebeconsiderarseundocumentodetrabajo,cuyovalorestarásiempredadoporsuutilidad.

José Alvaro Quiroga LeónDirectordelaAutoridadNacionaldeProteccióndeDatosPersonales

8



i. eStructura

Lapresentedirectivaorientasobrelascondiciones,losrequisitosylasmedidastécnicasquesedebentomarencuentaparaelcumplimientode laLeyNº29733,LeydeProteccióndeDatosPersonalesysureglamento,aprobadoatravésdelDecretoSupremoNº003-2013-JUS,enmateriademedidasdeseguridad de los bancos de datos personales.

Las condiciones constituyen recomendaciones que facilitan o generan impacto favorable para laimplementacióndelosrequisitos,habilitandounentornoapropiadoparalacomprensiónydesarrollodelasactividadesnecesarias.

Los requisitos corresponden a condiciones que deben ser demostrables, para considerar que se ha cumplidolapresentedirectiva.

Las medidas técnicas son aquellas que se consideran coherentes para cumplir con los requisitos.

Tantolosrequisitoscomolasmedidasaimplementarpuedenservariablesyporelloestánsegmentadasatendiendoacriterios,como–porejemplo-eltipodetratamiento.

Asítenemosque,seasignauncolorparafacilitarlaidentificaciónenloscuadrosmostrados:

Lacategorizaciónsedescribeenelapartado1.1.

Elnumeral3describedemanerageneralelprocedimientoparadesarrollarlapresentedirectiva.

Elnumeral4incluyedisposicionescomplementariasquepuedenfacilitarelprocesodeimplementacióndelapresentedirectivayconelloelcumplimientodelaLeyNº29733,LeydeProteccióndeDatosPersonales,y su reglamento.

Finalmentesepresentantresanexosdeapoyo:

AnexoA:Glosariodetérminosaplicablesenlalecturadelapresentedirectiva.AnexoB:Orientaciónparabancosdedatospersonalesdetipobásicoosimple.AnexoC:Orientaciónparabancosdedatospersonalesdetipocomplejoocrítico.

BÁSico

SiMPle

iNterMeDio

coMPleJo

crÍtico

9

ii. oBJetivo

a) Objetivo General:

Garantizarlaseguridaddelosdatospersonalescontenidosodestinadosasercontenidosenbancosdedatos personales, mediante medidas de seguridad que protejan a los bancos de datos personales, de conformidadconlaLeyNº29733ysureglamento.

b) ObjetivosEspecíficos:

a. Brindar lineamientos para determinar las condiciones de seguridad en el tratamiento de datos personales a cumplir por el titular del banco de datos personales.

b. Brindar lineamientos para determinar lasmedidas organizativas a cumplir por el titular delbanco de datos personales.

c. Brindar lineamientos para determinar las medidas legales a cumplir por el titular del banco de datos personales.

d. Brindar lineamientos para determinar medidas técnicas a cumplir por el titular del banco de datos personales.

e. Brindar lineamientos para determinar las medidas de seguridad que resulten apropiadas, en función a las características de cada caso concreto, a partir de considerar criterios dediferenciaciónbasadosenlascaracterísticasdeltratamientodedatospersonalesquesevayaaefectuaryenlascaracterísticasdedatospersonalesquesetratan.

iii. BaSe legal

a)ConstituciónPolíticadelPerú.

b)LeyN°29733,LeydeProteccióndeDatosPersonales.

c) DecretoSupremo003-2013-JUS,apruebaelReglamentodelaLeyNº29733,LeydeProtecciónde Datos Personales.

d)DecretoSupremo011-2012-JUS, aprueba elReglamento deOrganización y Funciones delMinisteriodeJusticiayDerechosHumanos.

10



e)Resolución Ministerial Nº 246-2007-PCM, aprueba la Norma Técnica Peruana “NTP ISO/IEC17799:2007EDI,Técnicasdeseguridad,CódigodeBuenasPrácticasparalagestióndeseguridaddelainformación.2aEdición”.

f) ResoluciónMinisterial129-2012-PCM,apruebaelusoobligatoriodelanormatécnicaperuana“NTP-ISO/IEC 27001:2008 EDI Tecnologías de la Información. Técnicas de Seguridad.SistemasdeGestióndeSeguridadde laInformaciónentodas lasentidades integrantesdelSistemaNacionaldeInformática”.

iv. alcaNce

LapresentedirectivaesaplicablealosbancosdedatospersonalesdeadministraciónpúblicaoprivadadeacuerdoaloestablecidoenlaLeyN°29733ysureglamento.

v. reSPoNSaBiliDaD

Enelmarcodelapresentedirectiva,setieneencuentalaatribuciónderesponsabilidades,desdeelorigenhastaladisposicióndelosdatospersonales,quedebetomarseencuentaparamantenerlacoherenciaylaconcordanciadelaactuacióndequienesparticipanenlaproteccióndelosdatospersonalesconlosobjetivosymedidasdeseguridadaimplementar.

a) Titular de datos personales

Esresponsabledesuspropiosdatospersonales,debetomarencuentaquesuconsentimientoparaeltratamientodesusdatospersonalesdebeserlibre,previoeinformadoyverificarquesuconsentimientosearegistradoenlostérminosenqueexpresaeinequívocamentelohadado.EsresponsabledeconoceryejercerlosderechosconferidosporlaLeyN°29733,LeydeProteccióndeDatosPersonales.

b) Titular del banco de datos personales

a. Esresponsabledeotorgarymantenerelnivelsuficientedeprotecciónalosdatospersonalescontenidos en el banco de datos personales que tenga bajo su titularidad.

b. Esresponsableporladeterminaciónycumplimientodelafinalidadydelcontenidodelbancodedatos personales bajo su titularidad.

c. Esresponsableporel tratamientodelosdatospersonalescontenidosenelbancodedatospersonales bajo su titularidad.

11

d. Esresponsabledegarantizarelcumplimientodelosderechosdel titular de los datos personales conferidosenlaLeyN°29733,LeydeProteccióndeDatosPersonales.

c) Autoridad Nacional de Protección de Datos Personales

a. Es responsable de realizar todas las acciones necesarias para el cumplimiento de la Ley N°29733,LeydeProteccióndeDatosPersonales,ysureglamento.

b. Esresponsabledeejercerlasfuncionesadministrativas,orientadoras,normativas,resolutivas,fiscalizadorasysancionadorasseñaladasen laLeyN°29733,LeydeProteccióndeDatosPersonales, y su reglamento.

c. EsresponsabledelaadministracióndelRegistroNacionaldeProteccióndeDatosPersonales.

d. Esresponsabledelseguimientoyevaluacióndelapresentedirectiva.

e. Esresponsabledelarevisióndeestadirectivadeseguridadafindemantener su aplicabilidad eidoneidad.Elperiododerevisiónes,cuandomenos,bianual.

MeDiDaS De SeguriDaD

1. DISPOSICIONES GENERALES

1.1 Categoría:

1.1.1 Paraefectosdelapresentedirectiva,sedebeconsiderarlasiguienteclasificacióndecate-gorías en el tratamiento de datos personales y el principio de proporcionalidad descrito en el artículo 7 de la Ley N° 29733 cuando no exista coincidencia exacta:

a) Básico,correspondealacategoríademenorniveleincluyeabancosdedatospersonalesque:

• Nocontenganlainformacióndemásdecincuenta(50)personas.• Númerodedatospersonalesnomayoracinco(05).Porejemplonombres,apellidos,DNI,

direcciónyteléfono.• Noincluyendatossensibles.• Tienencomotitularaunapersonanatural.

b) Simple,correspondeabancosdedatospersonalesque:

• Nocontenganlainformacióndemásdecien(100)personas.• Elperiododetiempodeltratamientoparacumplirconlafinalidadesinferioraun(01)año.

12



• Noincluyendatossensibles.• Tienecomotitularaunapersonanaturalojurídica.

c) Intermedio,correspondeabancosdedatospersonalesque:

• Contienenlainformacióndehastamil(1000)personas.• Sirven para tratamiento de datos personales cuya finalidad se cumple en un plazo

indeterminadoosuperioraun(01)año.• Puedeincluirdatossensibles.• Tienecomotitularaunapersonanaturalojurídica.

d) Complejo,correspondeabancosdedatospersonalesque:

• Sirven para el tratamiento de datos personales cuya finalidad se cumple en un plazoindeterminadoosuperioraun(01)año.

• Sirvenparaeltratamientodedatospersonalesqueesrealizadoenmúltipleslocalizaciones(Oficinasodependenciasdiferentesen lamismaciudadociudadesdiferentes, serviciostercerizadososimilares).

• Puedeincluirdatossensibles.• Tienecomotitularaunapersonajurídicaoentidadpública.

e) Crítico,correspondelacategoríademayorniveleincluyeabancosdedatospersonalesque:

• Sirvenparael tratamientodedatospersonalescuyafinalidadestá respaldadaporunanorma legal.

• Sirvenparaeltratamientodedatoscuyafinalidadsecumpleenunplazoindeterminadoosuperioraun(01)año.

• Sirvenparaeltratamientodedatospersonalesqueesrealizadoenmúltipleslocalizaciones(Oficinasodependenciasdiferentesen lamismaciudadociudadesdiferentes, serviciostercerizadososimilares).

• Puedeincluirdatossensibles.• Tienecomotitularaunapersonajurídicaoentidadpública.

1.1.2 Justificacióndeloscriterios Loscriteriosquepermitencategorizar losbancosdedatoshansidodeterminadostomandoen

cuentalosiguiente:

a) Volumen de registros.-Esimportanteconsiderarqueexisteunadiferenciaimportanteentrerealizar el tratamientomanual de los datos personales de veinte (20) personas que de unmillón,todavezqueserequieremecanismos,procesosyherramientasdiferentes.

El tratamiento de altos volúmenes de datos personales requiere, actualmente, el uso detecnologías de la información, lo cual, incorporamejoras fundamentales en los tiempos de

13

procesamiento, pero también incorpora un conjunto de vulnerabilidades asociadas a latecnologíautilizada,porloquelosnivelesdeproteccióndebenseradecuadosycomúnmentesonmayoresalosdeuntratamientosintecnologíasdelainformación.

b) Número de datos.-Elnúmerodedatospersonalesdecadatitulardedatospersonalesqueseprocesaesuncriterioaconsiderarporqueincluyeunmayorniveldedetallesobreeltitulardelosdatospersonalesconosinlainclusióndedatossensibles.

c)Periodode tiempopara la finalidaddel tratamiento de datos personales.- El tener unperiododetiempoindeterminadoomuylargo,paracumplirlafinalidaddeltratamiento,implicaunaumentoenelniveldeseguridadquedebeobservarseenelalmacenamientoquesedealosdatospersonalesduranteelperiododeltratamiento,asícomoenelniveldeimpactosobreeltitulardelosdatospersonalesencasodepérdidadelainformación,loquepuedeconduciralaimplementacióndemecanismosderecuperaciónantedesastresono.

d) La titularidad del banco de datos personales.- Proporciona un criterio de selección queprincipalmenteseparalosextremosdelascategorías.Esdecir,noselepuedeasignaraunapersonanaturalunacategoríadealtísimonivelporquenodisponedelosrecursosnecesarios,niseránecesario–comoreglageneral-queimplementelasmedidasmáscomplejas.

Enelcasodelasentidadespúblicas,secuentaconlaResoluciónMinisterial129-2012-PCM,que lasobligaa implementarunsistemadegestióndeseguridadde la información.Con locual,noselespuedeasignarunacategoríademenornivel,debidoaquelainformaciónquemanejan impacta directamente en los titulares de datos personales.Sin embargo, para lascategoríassimple,intermedioycomplejosepuedentenercombinacionesmásacordesaltipode tratamiento que se realice.

e) Finalidad del tratamiento de datos personales respaldada por norma legal.-Tieneespecialimpacto por ser obligatorio, esto determina el tipo crítico.

f) Múltiples localizaciones.-Elaccesootratamientodistribuidoincorporaunniveldeatenciónespecialporqueincluyelatransferenciadedatosentremúltipleslocalesdetratamiento(ubica-cionesdiferentes,puedenserinmueblesdiferentesenlamismaciudadociudadesdiferentes),lo que genera complejidad y puede hacerlo crítico.

g) Tratamiento de datos sensible.-Alincluirestosdatossedebetomarmedidasdeproteccióncomo mínimo de categoría intermedio.

Asípodemoshaceralgunoscrucesparaexplicarlacategorización:

14



Figura 1: Volumen de datos / Número de datos

50 100 1000

5

Volumen de Registro de Datos Personales

Núm

ero

de D

atos

Per

sona

les

Simple Intermedio Complejo Crítico

SimpleBásico Intermedio Complejo Crítico

Figura2:Volumenderegistros/Tiempoparacumplirlafinalidad

50 100 1000

1año


Tiem

poparacumplirlafinalidad

IntermedioIntermedioIntermedio Complejo Crítico

SimpleBásico Intermedio Complejo Crítico

15

Figura 3: Volumen de registros / Titularidad del banco de datos personales

50 100 1000


Titu

larid

ad

Simple

Simple

Intermedio

Intermedio

Complejo Crítico

SimpleBásico Intermedio

Complejo Crítico

Pe

rsonaNa

turalPe

rsonaJurídica

Pe

rsonaPú

blica

16



1.1.3 Matriz de apoyo para la selección de categoría en el tratamiento de datos personales.

ÍteM criterio BÁSico Si MPle i NterMeDio coMPleJo crÍtico

Hasta50 Hasta100 Hasta1000 Indeterminado Indeterminado

Hasta5 Másde5 Másde5 Másde5 Másde5

Noaplica Noaplica Noaplica Noaplica Aplica

Noaplica Noaplica Aplica Aplica Aplica

Aplica Aplica Aplica Noaplica Noaplica

NoAplica Aplica Aplica Aplica Aplica

NoAplica Noaplica Noaplica Aplica Aplica

NoAplica Noaplica Aplica Aplica Aplica

Volumen de registros, número de titulares de datos personales que consienten el tratamiento de susdatos.(Criterioutilizadoparadeterminarlascategorías).

Númerodedatospersonalesenbanco de datos personales que no contienen datos sensibles. (Criterioutilizadoparadeterminareltipobásico).

Finalidad del tratamiento de datos personales respaldada por ley osimilar.(Criterioutilizadoparadeterminareltipocrítico).

Periodomayoraun(01)añooindeterminado para cumplir la finalidad(tiempodetratamientodelosdatospersonales).

TipodeTitulardelbancodedatospersonales:personanatural.(Cri-terioutilizadoparadeterminareltipoentrebásicoaintermedio).

TipodeTitulardelbancodeda-tospersonales:personajurídica.(Criterioutilizadoparadeterminarla categoría entre simple a complejo).

Titulardelbancodedatosper-sonales del tipo persona jurídica o entidad pública con múltiples localizacionesdesdelascualesse tiene acceso al banco de datos personalesoserealizatrata-miento de los datos personales. (Criterioutilizadoparadeterminarlacategoríacomplejoocrítico).

Elbancodedatospersonalespuede incluir datos sensibles. (Criterioutilizadoparadeterminarla categoría entre Intermedio a crítico).

1

2

3

4

5

6

7

8

17

1.2 Condiciones de seguridad:

1.2.1 Condiciones de seguridad externas

a)Marcolegalapropiado(leyes,reglamentos,osimilares).

b)Conocimientoyconciencia(conocerlaimportanciadelaproteccióndelosdatospersonales,laLeyN°29733,LeydeProteccióndeDatosPersonales,ysureglamento).

1.2.2 Condiciones de seguridad internas

a)Compromisodeltitulardelbancodedatospersonales(parabrindarlosrecursosydirecciónenlaproteccióndelosdatospersonales).

b)Comprenderelcontexto institucionalenel tratamientoyprotecciónde losdatospersonales(Contextoorganizativo,tecnológico,jurídico,legal,contractual,regulatorio,físico,etc.).

c) Determinar claramente las responsabilidades y roles organizacionales apropiados con lasuficienteautoridad y recursospara liderar yhacer cumplir la políticade seguridadpara laproteccióndedatospersonales.

d)Enfoquedegestióndelriesgodelosdatospersonalescontenidosodestinadosasercontenidosen los bancos de datos personales.

18



1.3 Requisitos de seguridad:

1.3.1 Sin perjuicio de las condiciones de seguridad, se deben cumplir los requisitos de seguridad señalados a continuación:

Determinar y dar a conocer una política de protec-cióndedatospersonales:Unadeclaraciónbreveydirecta que demuestre el compromiso institucional yelinvolucramientodesusautoridadesconlapro-teccióndelosdatospersonaleseneltratamientoque se de a los datos personales contenidos en el banco de datos personales bajo su titularidad.

Mantenerlagobernabilidadcompletadelosproce-sosinvolucradoseneltratamientodelosdatosper-sonales, es decir conocer los procesos y procedi-mientos y tener control de las decisiones sobre los procesosinvolucradoseneltratamientodedatospersonalescuandoestosseantercerizadosono.

Implementacióndelasmedidasdeseguridadse-gúnlasdisposicionesespecíficasdelnumeral2.

Implementar y mantener los siguientes procedi-mientos documentados.

Adoptarunenfoquederiesgosybasarlasdecisio-nes en el plan de tratamiento de riesgos del banco de datos personales.

AlineamientoalosrequisitossegúnNTP-ISO/IEC27001oISO/IEC27001ensuediciónvigente,in-corporandodentrodelalcancedelSGSIlosbancosde datos personales.

Desarrollar y mantener un documento maestro de seguridaddelainformacióndelbancodedatospersonales.

Desarrollarymanteneractualizadoundocumentodecompromisodeconfidencialidadeneltrata-mientodedatospersonales(articulo17delaLeyN°29733),aplicablealpersonalrelacionadoconeltratamiento de datos personales.

Pueden utili-zarelmodeloincluido en elAnexoB

Requerido

Implementar medidas de seguridad de tipo básico

Opcional

Opcional

Noaplica

Opcional(vercuaderno de seguridad en elanexoB)

Declaraciónjurada simple indicando nombres, apellidos, DNIyfirma(puedeestarincluido en el cuaderno de seguridad - veranexoB).

1.3.1.1

1.3.1.2

1.3.1.3

1.3.1.4

1.3.1.5

1.3.1.6

1.3.1.7

1.3.1.8

Pueden utili-zarelmodeloincluido en elAnexoB

Requerido

Implementar medidas de seguridad de tipo simple

Incorporar ítem 1.4.2

Opcional

Opcional

Opcional(vercuaderno de seguridad en elanexoB)

Declaraciónjurada simple indicando nombres, apellidos, DNIyfirma(puedeestarincluido en el cuaderno de seguridad - veranexoB).


Requerido

Implementar medidas de seguridad de tipo intermedio


Requerido

Opcional

Requerido

Incorporar el requisito dentro le los formatos,pro-cedimientos o procesos apropiados en la organi-zación.


Requerido

Implementar medidas de seguridad de complejo


Requerido

Requerido

Requerido

Incorporar el requisito dentro le los formatos,procedi-mientos o procesos apropiados en la organi-zación.


Requerido

Implementar medidas de seguridad de tipo crítico


Requerido

Requerido

Requerido

Incorporar el requisito dentro le los formatos,procedi-mientos o procesos apropiados en la organi-zación.

ÍteM criterio BÁSico SiMPle iNterMeDio coMPleJo crÍtico

APLICA A LA CATEGORíA DE TRATAMIENTO:

19

1.4 Información complementaria sobre requisitos (para aplicar según cuadro de requisitos)

1.4.1 La política de protección de datos personales es una declaración formal de compromiso y debe considerar:

a)Serclaraycomprensible,tantoparaelpersonalinvolucradoeneltratamientocomoparalostitulares de datos personales que hayan consentido el tratamiento.

b)Serapropiadaparalosobjetivosdelaorganización.

c) Proporcionaunlineamientodealtonivelorganizacionalyobjetivosclarosquesirvendedirecciónparalaimplementacióndelascondiciones,requisitosymedidasdeseguridadapropiadas.

d) Incluiruncompromisodecumplimientodelosrequisitosdeseguridadaplicables.

e) IncluircompromisoderespetoalosprincipiosdelaLeyN°29733,LeydeProteccióndeDatosPersonales.

f) Incluiruncompromisodemejoracontinua.

g)Comunicarseoportunayclaramentealinteriordelaorganización.

1.4.2 Se debe lograr la implementación y el mantenimiento de los siguientes procedimientos documentados:

a)Controldedocumentosyregistros.

b)Registrosdepersonalconaccesoautorizado.

c) Registrodeincidentesymedidasadoptadas.

1.4.3 Se debe lograr la implementación y mantener los siguientes procedimientos documentados

a)Controldedocumentosyregistros.

b)Registrosdeacceso.

c) Registrodeauditorías.

d)Registrodeincidentesyproblemas.

1.4.4 Procedimientos documentados requeridos en el Sistema de Gestión de la Seguridad de la Información -SGSI, incluyendo además un registro de control de acceso, según el artículo 39 del reglamento de la Ley N° 29733.

20



2. DISPOSICIONES ESPECíFICAS

a)Para los tratamientos determinados como complejos o críticos, se deben implementar loscontrolesadecuadosdeunsistemadegestióndeseguridaddelainformaciónbajolosrequisitosycontrolesdelaNTP-ISO/IEC27001EDIensuediciónvigente,incorporandoalosbancosdedatospersonalesdentrodelalcancedelSGSI,asegurandocomomínimoelcumplimientodelasmedidasindicadasacontinuaciónyquelosriesgosasociadosalbancodedatospersonalessean adecuadamente gestionados.

b)Eltitulardelbancodedatospersonalesdebedesignarunresponsabledeseguridaddelbancodedatospersonales,quiencoordinaráenlainstituciónlaaplicacióndelapresentedirectiva.Elrol de responsable de seguridad del banco de datos personales debe asignarse a una persona quetengalascapacidadesyautoridadnecesariaparaeldesarrollodesusfunciones.Cuandodichadesignaciónnoexista,seentiendequeelrolderesponsabledeseguridaddelbancodedatos personales recae en el titular del banco de datos personales.

c) Lasreferenciasadocumentosoregistrospuedenestarencualquierformatootipodemedio(Hojaimpresa,cuaderno,páginaweb,afiche,registrodevideo,entreotros).

d)Limitarlosbancosdedatospersonalesalosdatosestrictamentenecesariosparacumplir lafinalidadparalacualfueronacopiados.

e)Evaluarlaposibilidaddeimplementarmecanismosdeanonimizaciónodisociaciónaplicables.

21

2.1 Medidas de Seguridad Organizativas

Desarrollarunaestructuraorganizacionalcon roles y responsabilidades de acuerdo a la proporcionalidad de los datos a proteger.

Compromiso documentado de respeto a los principios de la ley.

Llevaruncontrolyregistrodelosoperadorescon acceso al banco de datos personales con el objetivodepoderidentificaralpersonalconac-cesoendeterminadomomento(Trazabilidad).

Revisarperiódicamentelaefectividaddelasmedidas de seguridad adoptadas y registrar dichaverificaciónenundocumentoadjuntoalbanco de datos personales.

Adecuacióndelossistemasdegestiónoaplicacionesexistentesqueintervenganeneltratamientodedatospersonales,conformealaLeyN°29733,LeydeProteccióndeDatosPersonales, y su reglamento.

Adecuacióndelosprocesosdelnegocioinvolucradoseneltratamientodedatospersonales a los requisitos establecidos en laLeyN°29733,LeydeProteccióndeDatosPersonales, y su reglamento.

Desarrollar procedimientos documentados ade-cuados para el tratamiento de datos personales.

Desarrollarunprogramadecreacióndeconciencia y entrenamiento en materia de proteccióndedatospersonales.

Desarrollar un procedimiento de auditoría res-pecto de las medidas de seguridad implementa-das, teniendo como mínimo una auditoría anual.

Desarrollarunprocedimientodegestióndeinci-dentesparalaproteccióndedatospersonales.

Desarrollarunprocedimientodeasignacióndeprivilegiosdeaccesoalbancodedatosperso-nales y su correspondiente registro de acceso.

Soloconsideraaltitular del banco de datos personales y al o a los encarga-dos del tratamiento de datos perso-nales.(Cuandoeltratamiento no lo realiceexclusiva-mente el titular del banco de datos personales)

Puedeutilizarelmodelo citado en elAnexoB

Opcional

Requerido.(dichasrevisionespuedenestar registradas en el cuaderno de seguridad citado enelanexoB)

Opcional

Opcional

Opcional

Opcional

Opcional

Opcional

Opcional

2.1.1

2.1.2

2.1.3

2.1.4

2.1.5

2.1.6

2.1.7

2.1.8

2.1.9

2.1.10

2.1.11

Soloconsideraaltitular del banco de datos personales y al o a los encarga-dos del tratamiento de datos perso-nales.(Cuandoeltratamiento no lo realiceexclusiva-mente el titular del banco de datos personales)

Puedeutilizarelmodelo citado en elAnexoB

Opcional

Requerido.(dichasrevisionespuedenestar registradas en el cuaderno de seguridad citado enelanexoB)

Opcional

Opcional

Opcional

Opcional

Opcional

Opcional

Requerido

Requerido

Requerido

Opcional

Requerido

Opcional

Opcional

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido



22



2.2 Medidas de Seguridad Jurídicas

Mantenerlosformatosdeconsentimientoparael tratamiento de datos personales, adecuados y deconformidadconlafinalidadparalacualsonacopiados.

Adecuacióndeloscontratosdelpersonalrela-cionado con el tratamiento de datos personales, incluyendolacoherenciaconelrequisito1.3.1.8.

Adecuacióndeloscontratosconterceros,incluyen-dolacoherenciaconelrequisito1.3.1.8.

Requerido(puedenestarregistradas en el cuaderno de seguridad citado en el anexoB)

Opcional

Opcional

2.2.1

2.2.2

2.2.3

Requerido(puedenestarregistradas en el cuaderno de seguridad citado en el anexoB)

Opcional

Opcional

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido

Requerido



2.3 Medidas de Seguridad Técnicas

2.3.1 Medidas de Seguridad Técnicas relacionadas al acceso no autorizado al banco de datos personales.

Medidas generales

2.3.1.1 Gestión y uso de contraseñas cuando el tratamiento se realice con medios informáticos.

Sedebecontrolarlaasignaciónyelusodelascontraseñasdelosusuariosdelossistemasdeinformaciónquerealizantratamientodedatospersonalesmediantelaadopcióndelassiguientesmedidas:

a)Solicitaralosusuariosquemantenganensecretolascontraseñasasignadas.

b)Cuandoseutiliceunservidordeautenticación,éstedebealmacenarlascontraseñasdemaneracifrada.

c) Permitirqueelusuariocambielacontraseñaasignadacuandoloconsiderenecesario.

d)Requerirelusodecontraseñasquecontenganalmenos8dígitosyqueseanalfanuméricas(mayúsculas,minúsculasynúmeros)yalmenosincluyanuncaracterespecial.

23

e)Cuandoelaccesoalsistemaestéexpuestoenentornospúblicos(intranet,internetosimilares),sedebebloquearalusuarioluegodecinco(05)intentosfallidosdeautenticaciónconsecutivos.

2.3.1.2 Revisión y registro de los privilegios de acceso.

Sedeberevisarperiódicamentequelosprivilegiosdeaccesoalosdatospersonalescorrespondanal personal autorizado. Esta revisión debe generar un registro de revisión que evidencie larealizacióndedicharevisión.

Elperiododerevisióndependedelaspolíticasorganizacionalesyeltipodedatospersonalesquecontengaelbancodedatospersonales.Estadeberealizarseporlomenossemestralmente.

2.3.1.3 Proteger el banco de datos personales contra acceso físico no autorizado mediante algún mecanismo de bloqueo físico, limitando el acceso solo a los involucrados en el tratamiento de datos personales debidamente autorizados (en caso de banco de datos personales no autorizado).

Ubicar el banco de datos personales en un gabinete, caja,cajóndeunmueble,gavetaosimilar siempre y cuando tenga una cerradura con llaveosimilar,lacualseráresponsabilidad del operador del banco de datos personales.

Ubicar el banco de datos personales en un gabinete, caja,cajóndeunmobiliario,gavetao similar siempre y cuando tenga una cerradura con llaveosimilar,lacualseráresponsabilidad del operador del banco de datos personales.

Cuando se contengan datos sensibles, ubicar el banco de datos personales en un ambiente aislado protegido por cerradura o similar mecanismo, donde la responsabilidad del mecanismo de acceso recae en el titular del banco de datos personales o un responsable delegado por el titular del banco de datos personales.



BÁSico SiMPle iNterMeDio coMPleJo crÍtico


24



2.3.1.4 Cuando se utilicen mecanismos informáticos para el tratamiento de datos personales se debe proteger el banco de datos personales contra acceso lógico no autorizado mediante algún mecanismo de bloqueo lógico, limitando el acceso solo a los involucrados en el tratamiento de datos personales debidamente autorizados.

Cada usuario con acceso a los datos personales o al banco de datos personales debe estar claramente identificadoyutilizarcomomínimo una validaciónde acceso mediante el usodeusuario/contraseñaindependiente para cada persona que tenga acceso.

Cada usuario con acceso a los datos personales o al banco de datos personales debe estar claramente identificadoyutilizarcomomínimo una validaciónde acceso mediante el usodeusuario/contraseñaindependiente para cada persona que tenga acceso.

Los usuarios deben tenerunidentificadorúnico de acceso asociadoaperfilesde usuarios y los accesosautorizadospara cada uno de ellos. Asimismo, se debe contar con mecanismos derestricciónparaevitarelaccesoa recursos no autorizados. Laautenticaciónde usuarios puede estar basada en contraseñasomecanismos de fuerteautenticacióncomo el uso de toquen,dispositivosbiométricos,firmasdigitales, tarjetas inteligentes, tarjetas de coordenadas, entre otros.

Los usuarios deben tener un identificadorúnico de acceso asociadoaperfilesde usuarios y los accesosautorizadospara cada uno de ellos. Asimismo, se debe contar con mecanismos derestricciónparaevitarelaccesoa recursos no autorizados.Laautenticacióndeusuarios puede estar basada en contraseñasomecanismos de fuerteautenticacióncomo el uso de toquen,dispositivosbiométricos,firmasdigitales, tarjetas inteligentes, tarjetas de coordenadas, entre otros.

Los usuarios deben tener un identificadorúnico de acceso asociadoaperfilesde usuarios y los accesosautorizadospara cada uno de ellos Asimismo, se debe contar con mecanismos de restricciónparaevitarelaccesoa recursos no autorizados. Laautenticaciónde usuarios puede estar basada en contraseñasomecanismos de fuerteautenticacióncomo el uso de toquen,dispositivosbiométricos,firmasdigitales, tarjetas inteligentes, tarjetas de coordenadas, entre otros.



25

Sedebemantener un registro actualizadode usuarios con acceso autorizadoparael tratamiento de datos personales y al banco de datos personales. (Puederegistrarse en el cuaderno de seguridad citado enelanexoB)

Sedebemantener un registro actualizadode usuarios con acceso autorizadoparael tratamiento de datos personales. (Puederegistrarse en el cuaderno de seguridad citado enelanexoB)

Eltitular,oquienéste designe, debe autorizaroretirarelacceso de usuarios a los datos personales contenidos en el banco de datos personales, dicha operacióndebeserregistrada. Los datos personales a registrar deben incluircomomínimo:

• Usuario(ensistemas informáticoselidentificadordeusuario)

• Fechayhoradeasignacióny/oretirodeautorizacióndelusuario.

• Usuarioqueautoriza.

Eltitular,oquienéste designe, debeautorizaroretirar el acceso de usuarios a los datos personales contenidos en el banco de datos personales, dicha operacióndebeserregistrada.Los datos a registrar deben incluir como mínimo:

• Usuario(ensistemas informáticoselidentificadordeusuario).



Eltitular,oquienéste designe, debeautorizaroretirar el acceso de usuarios a los datos personales contenidos en el banco de datos personales. Dicha operacióndebeserregistrada.Los datos a registrar deben incluir como mínimo:

• Usuario(ensistemas informáticoselidentificadordeusuario)





2.3.1.5 El titular del banco de datos personales, o quien este designe, debe autorizar o retirar el acceso de usuarios que realicen tratamiento de datos personales. Dicha autorización debe registrarse.

26



Opcional Opcional

Implementar un registro de accesos al banco de datos personales, el cual debe contener al menos los siguientes campos:

• Fechayhoradelacceso.

• Personaopersonas que realizaelacceso.

• Identificadordeltitular de los datos personales a tratar(mediantemecanismo dedisociaciónaplicado).

• Motivodelacceso.

Implementar un registro de accesos al banco de datos personales, el cual debe contener al menos los siguientescampos:





Implementar un registro de accesos al banco de datos personales, el cual debe contener al menos los siguientescampos:







2.3.1.6Identificarlosaccesosrealizadosalosdatospersonalesparasutratamiento.

2.3.2 Medidas de Seguridad Técnicas relacionadas a la alteración no autorizada del banco de datos personales.

2.3.2.1 Autorización para el retiro o traslado de datos personales.

Todotrasladodedatospersonaleshacialugaresfueradelosambientesendondeseubicaelbancodedatospersonalesdebecontarconlaautorizacióndeltitulardelbancodedatospersonalesoquien éste designe para ello.

2.3.2.2 Traslado de datos personales.

Todotrasladodedatospersonalesdebeconsiderar:

a)Losdatosensoportefísicodebenestarcontenidosenuncontenedorqueevitesuaccesoylegibilidad,asícomounmecanismodeverificacióndelanovulneracióndelcontenedor.

b)Los datos contenidos en soporte informático deben transportarse previa encriptación y unmecanismodeverificacióndelaintegridad(checksumMD5,firmadigitalosimilar).

27

2.3.2.3 Eliminación de la información contenida en medios informáticos removibles.

Cuandoserequieraeliminarlainformacióncontenidaenunmedioinformáticoremoviblesedebenutilizarmecanismossegurosdeeliminaciónqueincluyanelborradototaldelainformacióny/oladestruccióndelmedio;deformatalque,nopermitanlarecuperacióndelosdatos.

Eltitulardelbancodedatospersonalesdebedesignaralaspersonasautorizadasaeliminarlainformacióndedatospersonalescontenidaenlosmediosinformáticosremovibles.

2.3.2.4 Seguridad en la copia o reproducción de documentos.

Cuando sea necesario, el titular del banco de datos personales debe designar a las personas autorizadasagenerary/oeliminarlascopiasoreproduccionesdelosdatospersonales.

Sedeben implementar las siguientesmedidasparapreservar la confidencialidadde losdatospersonales:

a)Utilizarimpresoras,fotocopiadoras,scanneruotrosequiposdereproducciónautorizados.

b)Supervisarelprocesodecopiaoreproducciónde losdocumentos.Nodejardesatendidoelequipo.

c) Retirarlosdocumentosoriginalesylascopiasdelequipoinmediatamentedespuésdefinalizadalacopiaoreproducción.

Sedebenregistrarlascopiasoreproduccionesdelosdocumentoscondatospersonalesrealizadasindicandocomomínimo:

a)Nombredelapersonaquesolicitalacopia.

b)Nombredelapersonaautorizadaarealizarcopias.

c) Descripcióndelosdatospersonalescopiados.

d)Númerodecopias.

e)Motivo.

f) Nombredelapersonaquerecibelacopia.

g)Lugardedestino.

h)Periododevalidezdelacopia.

Lascopiasoreproduccionesdelosdocumentosdebentenerunamarcaqueidentifiqueelperiododevalidezdelasmismas.

28



Sedebemantener un registro actualizadodeusuarios con privilegiosparael tratamiento de datos personales y acceso al banco de datos personales.(puedenestarregistradas en el cuaderno de seguridad citado enelanexoB)

Sedebemantener un registro actualizadodeusuarios con privilegiosparael tratamiento de datos personales y acceso al banco de datos personales.(puedenestarregistradas en el cuaderno de seguridad citado enelanexoB)

Eltitular,oquienéste designe, debe asignar o retirarprivilegiosa los usuarios con acceso a los datos personales contenidos en el banco de datos personales. Dicha operacióndebeserregistrada.Los datos a registrar deben incluir como mínimo:

*Usuario(ensistemas informáticoselIdentificadordeusuario).

*Privilegioasignadoo retirado al usuario.

* Fecha y hora de asignacióny/oretirodeprivilegiosdel usuario.

*Usuarioquerealizalaasignacióny/oretirodeprivilegios(ensistemasinformáticoselidentificadordeusuario).


*Usuario(ensistemas informáticoselidentificadordeusuario)

*Privilegioasignadoo retirado al usuario.

* Fecha y hora deasignacióny/oretirodeprivilegiosdelusuario.

* Usuario que realizalaasignacióny/oretirodeprivilegios(ensistemasinformáticoselidentificadordeusuario).


*Usuario(ensistemas informáticoselidentificadordeusuario)

*Privilegioasignadoo retirado al usuario

* Fecha y hora deasignacióny/oretirodeprivilegiosdelusuario.

* Usuario que realizalaasignacióny/oretirodeprivilegios(ensistemasinformáticoselidentificadordeusuario).



2.3.2.5 El titular del banco de datos personales, o quien éste designe, debe asignar o retirar el privilegio o privilegios (datos a tratar o tarea a realizar) para el tratamiento de datos personales a usuarios autorizados.

29

2.3.3 Medidas de Seguridad Técnicas relacionadas a la pérdida del banco de datos personales.

2.3.4 Medidas de Seguridad Técnicas relacionadas al tratamiento no autorizado del banco de datos personales.

Medidas Generales

2.3.4.1 El banco de datos personales no automatizado debe mantener los datos personales independizados de forma individual, de modo que pueda referirse unívocamente a un titular de datos personales sin exponer información de otro.

2.3.4.2 El titular del banco de datos personales debe informar al titular de datos personales losincidentesqueafectensignificativamentesusderechospatrimonialesomorales,tanprontoseconfirmeelhecho.

Lainformaciónmínimaquesedebeproporcionarincluye:

a)Naturalezadelincidente.

b)Datospersonalescomprometidos.

c) Recomendacionesaltitulardedatospersonales.

d)Medidascorrectivasimplementadas.

Sedebenrealizarcopiasderespaldodelosdatospersonalesparapermitirsurecuperaciónencasodepérdidaodestrucción.

Todarecuperacióndedatospersonales,desdesucopiaderespaldo,debecontarconlaautorizacióndel encargado del banco de datos personales.

Sedebenrealizarpruebasderecuperacióndelosdatos personales respaldados para comprobar quelascopiasderespaldopuedenserutilizadasen caso de ser requerido.

Opcional

Opcional

Opcional

Opcional

Opcional

Opcional

2.3.3.1

2.3.3.2

2.3.3.3

Implementar ítem2.3.5.1

Requerido



Requerido



Requerido




30



MedidasEspecíficas

Losequiposutilizadosparaeltratamientodelosda-tospersonalesdebenrecibirmantenimientopreven-tivoycorrectivodeacuerdoalasrecomendacionesyespecificacionesdelproveedorparaasegurarsudisponibilidadeintegridad.Elmantenimientodelosequiposdebeserrealizadoporpersonalautorizado.

Losequiposutilizadosparaeltratamientodelosdatospersonalesdebencontarconsoftwaredepro-teccióncontrasoftwaremalicioso(virus,troyanos,spyware,etc.),paraprotegerlaintegridaddelosdatospersonales.Elsoftwaredeproteccióndebeseractualizadofrecuentementedeacuerdoalasrecomendacionesyespecificacionesdelproveedor.

Todainformaciónelectrónicaquecontienedatospersonalesdebeseralmacenadaenformaseguraempleando mecanismos de control de acceso y cifradaparapreservarsuconfidencialidad.

Lainformacióndedatospersonalesquesetransmiteelectrónicamentedebeserprotegidaparapreservarsuconfidencialidadeintegridad.

Seguridadenelflujotransfronterizodedatospersonales.

Seguridadenserviciosdetratamientodedatospersonalespormediostecnológicostercerizados.

Todoeventoidentificadoqueafectelaconfiden-cialidad, integridad y disponibilidad de los datos personales, o que indique un posible incumplimiento de las medidas de seguridad establecidas, debe ser reportado inmediatamente al encargado del banco de datos personales.

Restringirelusodeequiposdefotografía,video,au-diouotraformaderegistroeneláreadetratamientodedatospersonalessalvoautorizacióndeltitulardelbanco de datos personales.

Sedeberealizarunaauditoríasobreelcumplimientodelapresentedirectiva,bajoresponsabilidaddeltitular del banco de datos personales.

Accionescorrectivasymejoracontinúa.

Opcional

Opcional

Opcional

Opcional

Noaplica

Noaplica

Registrarelincidenteconunadescripcióndetallada del mismo y las medidas correc-tivasadoptadas(pue-den estar registradas en el cuaderno de seguridad citado en elanexoB).

Opcional

Opcional

Opcional

2.3.4.3

2.3.4.4

2.3.4.5

2.3.4.6

2.3.4.7

2.3.4.8

2.3.4.9

2.3.4.10

2.3.4.11

2.3.4.12

Opcional

Opcional

Opcional





Requerido

Opcional

Opcional

Requerido

Requerido

Requerido





Requerido

Verificarde manera interna la existenciadelos requisitos y registros aplicables

Los resultados de la auditoría deben iniciar la implemen-tacióndeacciones correctivas.

Requerido

Requerido

Requerido

Implementar ítem 2.3.5.3




Requerido

Sedeberealizarunaauditoríaexternaparalaverificacióndel cumplimiento de lapresentedirectiva,afindeasegurarimparcialidad en los resultados.

Los resultados de la auditoría deben iniciar laimplementacióndeaccionescorrectivas.

Requerido

Requerido

Requerido





Requerido

Sedeberealizarunaauditoríaexternaparalaverificacióndel cumplimiento de lapresentedirectiva,afindeasegurarimparcialidad en los resultados.

Los resultados de la auditoría deben iniciar laimplementacióndeaccionescorrectivas.



31

2.3.5 Medidas complementarias

2.3.5.1 Sobre pérdida del banco de datos personales, en complemento al requisito 2.3.3.1

Toda copia de respaldo de los datos personales debe estar protegida mediante técnicas decifradoyalmacenadaenunlocalseguroydistantealambienteprincipaldetratamientodedatos,para garantizar su disponibilidad frente a un desastre en el ambiente principal (considerar elalmacenamientoenunalocalizacióndiferenteoremota).

Lafrecuenciayelperiododeconservacióndelosrespaldosdebenseracordeconlafinalidaddeltratamientoarealizaryelimpactodelapérdidaenlosderechosdeltitulardelosdatospersonales.

Cuando sea pertinente, se debe incorporar mecanismos que garanticen la continuidad del tratamiento de datos personales, principalmente cuando la finalidad tenga un alto impacto enrelaciónconlostitularesdedatospersonalesoelbiencomún.

2.3.5.2 Sobre pérdida del banco de datos personales, en complemento al requisito 2.3.3.3

Estaspruebasdeben realizarsepor lomenosen formasemestral y sedebendocumentar losresultadosdelaspruebasincluyendo:

a)Fechayhoradelaprueba.

b)Nombredelapersonaquerealizólaprueba.

c) Bancodedatospersonalesrecuperado.

d)Archivorecuperadoyfechadelosdatosrecuperados.

e)Tiempoderecuperación.

f) Resultadosdelaspruebas.

g)Accionestomadasencasodepruebasinsatisfactorias.

2.3.5.3 Sobre el tratamiento no autorizado del banco de datos personales complemento al requisito 2.3.4.6

a)Transporteelectrónicodedatospersonalesenformacifrada,locualpuederealizarsemedianteel cifrado de la información antes de su transmisión o mediante el uso de protocolos decomunicacióncifrados(Ejemplo:VPN,correoelectrónicocifrado,FTPseguro,entreotros).

b)Usodefirmasdigitalesparavalidarlaidentidaddelemisordelainformación.

32




Elreceptoroimportadordedatospersonalesdebeimplementarlasmedidasdeseguridaddefinidasporelemisoroexportadordedatospersonaleseneldocumentodeseguridad.

La aceptación de la implementación de las medidas de seguridad por parte del receptor oimportadordedatospersonalesdebeestablecerseporescritomediantecláusulascontractualesuotro instrumento jurídico.


Sedebetomarencuenta:

a)Que el proveedor no tenga acceso a la información de datos personales que utilicen suinfraestructura.

b)Que el proveedor no brinde acceso a terceros a los datos personales que utilicen suinfraestructura.

c) Ladestrucciónoimposibilidadderecuperacióndelosdatosalojadosenelserviciounavezconcluidalarelaciónconelproveedor.

d)Usodecanalessegurosparalatransferenciadedatospersonales.

e)Garantizarel cumplimientode lasmedidasdeseguridaden todos los lugaresendondeseencuentredistribuidalainfraestructuradelproveedor.


Elencargadodelbancodedatospersonalesoquienseadesignadoporeltitulardelbancodedatospersonalesdeberácoordinarlasaccionesrequeridasparaanalizaryresponderenformarápidayefectivaalosincidentesdeseguridadpresentados.

Sedebenregistrarlosincidentesdeseguridadrelacionadosconlosbancosdedatospersonales,incluyendocomomínimo:

a)Fechayhoradelincidente.

b)Nombredelapersonaqueloreporta.

33

c) Naturalezadelincidente.

d)Datospersonalescomprometidos.

e)Nombresdelaspersonasinvolucradasenlaresolucióndelincidente.

f) Consecuenciasdelincidente.

g)Medidascorrectivasimplementadas.

h)Recomendacionesparaeltitulardedatospersonales.(Siaplica).

i) Recuperacióndedatos.

j) Encasodehaberrealizadorecuperacióndedatos,sedeberegistrar:

• Nombredelapersonaquerealizólarecuperación.• Descripciónyfechadelosdatosrestaurados.• Descripcióndelosdatosrestauradosenformamanual.(Siaplica).

3. PROCEDIMIENTO

3.1 Generar lascondicionesapropiadashabilitaunentornofavorableparala implementacióndelapresentedirectiva.

3.2 Alinear los requisitos, identificar el tipo de tratamiento de datos personales y los requisitosaplicables.

3.3 Cuando el tratamiento de datos personales corresponda al tipo crítico, incorporar los bancos de datospersonalesdentro del alcancedel sistemadegestiónde seguridadde la informacióneimplementar los controles apropiados.

3.4 Implementarmedidasorganizacionalesdeseguridaddeacuerdoaltipodetratamientodedatospersonales aplicable.

3.5 Implementarmedidasjurídicasdeseguridaddeacuerdoaltipodetratamientodedatospersonalesaplicable.

3.6 Implementarmedidastécnicasdeseguridaddeacuerdoaltipodetratamientodedatospersonalesaplicable.

34



Flujograma:

INICIO

FIN

SI

NO

Generar Condiciones

Implementar Requisitos

Medidas Organizativas de Seguridad

Categorización Crítico

Medidas Legales de Seguridad

Incorporar el tratamiento de datos personales en

el alcance del SGSI

Medidas Técnicas de Seguridad

35

4. DISPOSICIONES COMPLEMENTARIAS

Conelobjetivodeconseguirellogrodelosobjetivosdelapresentedirectiva,sedebenconsiderartambiénlassiguientesdisposiciones:

4.1 Desarrollarprogramasdeinformaciónenelámbitodesuresponsabilidad,dirigidoatitularesdedatospersonalessobre“consentimiento”,“derechosdeltitulardedatospersonales”y“finalidad”.

4.2 Losencargadosdeltratamientoportercerizacióndebenasegurarymantenerlosmecanismosdeauditoría,verificaciónytomadedecisionesdeltitulardelbancoquecontrata.

36



aNeXo a: gloSario

Paralosefectosdelaaplicacióndelapresentedirectiva,sinperjuiciodelasdefinicionescontenidasenlaLeyNº29733,LeydeProteccióndeDatosPersonales,ysureglamento,seseñalanlassiguientesdefinicionesatenerencuenta:

1. Medio informático removible: Dispositivodealmacenamientodeinformación.Incluyedisquetes,CD’s,DVD’s,cintasderespaldo,memoriasUSB,discoduroexterno,entreotros.

2. Responsable de seguridad: Rolasignadoaunapersonaquecoordinaycontrolalaimplementaciónde las medidas de seguridad en un banco de datos personales.

3. Usuarios de sistemas de información: Persona natural que tiene acceso a un sistema de informaciónquerealizatratamientodedatospersonales.Puedesereladministradordelsistema,administrador de banco de datos, operadores, personal de soporte o el titular de los datos personales.

4. Gestión de Riesgos: Proceso ordenado y continuo para medir y mantener los riesgos por debajo delosumbralesdefinidosorganizacionalmente.

37

aNeXo B: orieNtacióN Para BaNcoS De DatoS De tiPo BÁSico o SiMPle

Conelobjetivodeorientarenelcumplimientodeladirectivadeseguridaddelainformaciónadministradaporlosbancosdedatospersonales,sepresentalosiguiente:

1.- Política de seguridad de datos personales

Conconocimientodelosocho(08)principiosseñaladosenlaLeyNº29733,LeydeProteccióndeDatosPersonales,parafinesdecumplimiento,losbancosdedatospersonalesdetipobásicoosimplepodráncolocarunavisoenunlugarvisible,quecontengalasiguienteinformación:

2.- Cuaderno de seguridad de datos personales (Documento maestro de seguridad de la información del banco de datos personales)

Parafinesdecumplimiento,losbancosdedatosdetipobásicopuedenutilizaruncuadernosimplequecontengademaneraordenadatodoslosrequisitosdocumentadosyregistrosseñaladosenladirectivadeseguridaddelainformaciónadministradaporlosbancosdedatospersonales.

Estecuadernodebeestarprotegidodelaccesonoautorizado,porejemploenungabineteocajóndemuebleprotegidoporunacerraduraconllaveocandado.

Aquí protegemos los datos personales.

Respetamoslosprincipiosdeproteccióndedatospersonales:

• Principiodelegalidad• Principiodeconsentimiento• Principiodefinalidad• Principiodeproporcionalidad• Principiodecalidad• Principiodedisposiciónderecurso• Principiodeniveldeprotecciónadecuado

Ley Nº 29733- Ley de Protección de Datos Personales y su reglamento, aprobado mediante Decreto Supremo N° 003-2013-JUS

38



aNeXo c: orieNtacióN Para BaNcoS De DatoS De tiPo coMPleJo o crÍtico

Conelobjetivodeorientarenelcumplimientodeladirectivadeseguridaddelainformaciónadministradaporlosbancosdedatospersonales,sepresentalosiguiente:

• LasentidadespúblicaspertenecientesalSistemaNacionaldeInformáticatienenlaobligatoriedadde implementar laNTP-ISO/IEC27001según laResoluciónMinisterial 129-2012-PCM.Por loque,al incorporar losbancosdedatospersonalesdentrodelalcancedelSGSI,elsistemadegestiónayudaráalcumplimientodelamayorpartedelosrequisitosymedidasseñaladasenladirectivadeseguridaddelainformaciónadministradaporlosbancosdedatospersonales,inclusoamayorniveldeldefinidoenladirectiva.SiendonecesarioidentificarcuálessonlosaspectosqueelSGSInocubreyqueladirectivaseñala.

• LaspersonasjurídicaspuedenimplementarelISO/IEC27001ensuediciónvigenteincorporando,enelalcancedelSGSI,a losbancosdedatospersonales.Con locual,elsistemadegestiónayudaráalcumplimientodelamayorpartedelosrequisitosymedidasseñaladasenladirectivadeseguridaddelainformaciónadministradaporlosbancosdedatospersonales,inclusoamayorniveldeldefinidoenladirectiva.SiendonecesarioidentificarcuálessonlosaspectosqueelSGSInocubreyqueladirectivaseñala.

• LasinstitucionespuedenutilizarelISO31000oISO/IEC27005comoreferenciasdegestióndelriesgo.

• LasinstitucionespuedenutilizarunAnálisisdeImpactoenlaPrivacidad(PIAporsussiglaseninglés)comoinsumouorientaciónenlafasedeplanificaciónygestióndelriesgo.

• Las instituciones pueden utilizar el enfoque de “Privacidad porDiseño” como referencia en laevaluacióndesusprocesosyherramientasquedeterminendeban incorporarseomodificarseparaelcumplimientodelaLeyN°29733,LeydeProteccióndeDatosPersonales.

Ver:http://www.privacybydesign.ca/content/uploads/2009/08/7foundationalprinciples-spanish.pdf

Estapublicación seterminódeimprimir

enlostalleresgráficosdelaimprenta:EDITORADISKCOPYS.A.C., condomicilioenJr.SanAgustín

Nro497,Surquillo.

Calle Scipión Llona Nº 350, MirafloresLima - Perú

Teléfono: 204 8020www.minjus.gob.pe

Cartilla de Directiva de Seguridad

Documents

Transcript of Cartilla de Directiva de Seguridad