Amigos les comparto un “enfoque práctico de conocimiento” de la LEY DE PROTECCIÓN DE DATOS PERSONALES, que nos ayudara entender mejor. Si desean dejen sus comentarios Saludos.
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)Alvaro J. Thais Rodríguez
Aspectos relevantes a partir de la entrada en vigencia de la regulación de protección de datos personales en el Perú.
Vea la segunda edición actualizada de esta presentación.
Presentación diseñada para la conferencia "PROTECCIÓN DE DATOS PERSONALES" impartida por la Dra. Myrna García y ofrecida por la Universidad de Monterrey.
Amigos les comparto un “enfoque práctico de conocimiento” de la LEY DE PROTECCIÓN DE DATOS PERSONALES, que nos ayudara entender mejor. Si desean dejen sus comentarios Saludos.
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)Alvaro J. Thais Rodríguez
Aspectos relevantes a partir de la entrada en vigencia de la regulación de protección de datos personales en el Perú.
Vea la segunda edición actualizada de esta presentación.
Presentación diseñada para la conferencia "PROTECCIÓN DE DATOS PERSONALES" impartida por la Dra. Myrna García y ofrecida por la Universidad de Monterrey.
Mapa mental contra los delitos informaticosyadiraer
El siguiente mapa, señala, el objeto de la ley contra los delitos informático y es que nos especifica el fin de la misma que Proteger, prevenir y sancionar los delitos contra los sistemas que utilicen tecnologías de información , de igual manera señalamos cada uno de los delitos informáticos, y una de las disposiciones comunes como son los agravantes.
Diapositivas de Inducción a personal Administrativo sobre políticas de seguridad dentro de una empresa y como estas influyen para bien en su vida fuera de lo laboral.
NYCE- Certificaciones Protección de Datos Personales
1. Para responsables y encargados: Certificaciones Esquemas de Autorregulación Vinculante.
2. Para personas: Certificación para profesionales en protección de datos personales.
Presentación "Transparencia y Acceso a la Información Pública en el Perú", preparado por César Augusto Orrego Azula (Defensoría del Pueblo). en el marco del Taller de capacitación para autoridades y funcionarios públicos dictado en Piura, el 27 de mayo de 2011.
Evento vs Incidente de Seguridad de la InformaciónJ. Gustavo López
Conoce la diferencia entre evento e incidente de seguridad de la información, tomando en cuenta sus definiciones dadas por la norma ISO IEC 27000 y NIST.
Privacidad de datos por Jorge Delgado José Manuel CanoAsociación
Día de la Seguridad 8va edición.
Marco de referencia
–¿Porqué estamos aquí reunidos?
–La Gobernanza de las empresas y la seguridad de la información
–Privacidad de datos; el nuevo paradigma
•Ley Federal de Protección de Datos Personales en Posesión de los Particulares
–¿Qué son los datos personales?
–¿De que se trata la LFPDPPP?
–¿Quiénes están obligados?
–¿Qué deben hacer los particulares?
–Principios y derechos
–¿Qué hay que cumplir?
–Sanciones
Mapa mental contra los delitos informaticosyadiraer
El siguiente mapa, señala, el objeto de la ley contra los delitos informático y es que nos especifica el fin de la misma que Proteger, prevenir y sancionar los delitos contra los sistemas que utilicen tecnologías de información , de igual manera señalamos cada uno de los delitos informáticos, y una de las disposiciones comunes como son los agravantes.
Diapositivas de Inducción a personal Administrativo sobre políticas de seguridad dentro de una empresa y como estas influyen para bien en su vida fuera de lo laboral.
NYCE- Certificaciones Protección de Datos Personales
1. Para responsables y encargados: Certificaciones Esquemas de Autorregulación Vinculante.
2. Para personas: Certificación para profesionales en protección de datos personales.
Presentación "Transparencia y Acceso a la Información Pública en el Perú", preparado por César Augusto Orrego Azula (Defensoría del Pueblo). en el marco del Taller de capacitación para autoridades y funcionarios públicos dictado en Piura, el 27 de mayo de 2011.
Evento vs Incidente de Seguridad de la InformaciónJ. Gustavo López
Conoce la diferencia entre evento e incidente de seguridad de la información, tomando en cuenta sus definiciones dadas por la norma ISO IEC 27000 y NIST.
Privacidad de datos por Jorge Delgado José Manuel CanoAsociación
Día de la Seguridad 8va edición.
Marco de referencia
–¿Porqué estamos aquí reunidos?
–La Gobernanza de las empresas y la seguridad de la información
–Privacidad de datos; el nuevo paradigma
•Ley Federal de Protección de Datos Personales en Posesión de los Particulares
–¿Qué son los datos personales?
–¿De que se trata la LFPDPPP?
–¿Quiénes están obligados?
–¿Qué deben hacer los particulares?
–Principios y derechos
–¿Qué hay que cumplir?
–Sanciones
Pechakucha con algunos aspectos de interés sobre la Ley Orgánica de Protección de Datos (LOPD), recomendaciones de la Agencia Española de Protección de Datos y enlaces a las Guías para los Centros Educativos.
Ley de Protección de Datos Personales 29733 y su Reglamento (Segunda Edición)Alvaro J. Thais Rodríguez
Aspectos relevantes a partir de la entrada en vigencia de la regulación de protección de datos personales en el Perú (Actualizado al mes de julio 2013).
Los derechos de privacidad y de informaciónAndresamv2015
Presentamos los aspectos mas importantes a tener en cuenta en lo que se refiere a temas de privacidad de la información, medidas y responsabilidad para tener en cuenta como titular.
Tiene como objeto hacer un recuento de los principales fundamentos de las normas de protección de datos personales en Colombia y las obligaciones que de ellas surgen para las organizaciones que hacen tratamiento de datos de carácter personal. Además, se analizarán algunos casos que han derivado en sanciones impuestas por la autoridad administrativa (Superintendencia de Industria y Comercio), al considerar que han existido infracciones a la normativa de protección de datos personales. Finalmente, se expondrá brevemente la metodología utilizada por Internet Security Auditors y Summa Consultores para el desarrollo de proyectos de consultoría en la materia.
El presente artículo tiene por objeto repasar algunas decisiones adoptadas por la agencia de competencia peruana en cerca de 24 años de aplicación del control de estructuras en el sector eléctrico con el propósito de identificar aquellas definiciones o criterios adoptados por la autoridad que, consideramos, también podrán ser utilizados y aplicados con la reciente ley que establece el control previo de concentraciones empresariales en todos los sectores económicos del país.
una herramienta informativa que orienta a los consumidores sobre las entidades públicas a cargo de la atención de sus consultas, reclamos o denuncias a nivel nacional.
Proyecto de Decreto Supremo que aprueba el
Reglamento que promueve y regula la
implementación voluntaria de programas
y productos de cumplimiento normativo
en materia de protección al consumidor y
publicidad comercial
La Sala Especializada en Defensa de la Competencia del Tribunal del Indecopi confirmó sanción al Colegio de Ingenieros del Perú y a la Asociación Peruana de Consultoría por fijar precios en la prestación de servicios de consultoría de ingeniería
Se confirma la resolución que declaró fundada la denuncia por
infracción de los artículos 19° y 25° de la Ley 29571, Código de Protección y Defensa del Consumidor, ya que las empresas denunciadas pusieron en el mercado un vehículo cuyo airbag no se activó pese a que se presentaron las
condiciones necesarias para ello.
Resolución 0023-2017/SDC-INDECOPI, confirmó la infracción por la comisión de ...Percy Samaniego Pimentel
Calanit S.A.C. no sustentó la veracidad del mensaje difundido en la publicidad televisiva, la misma que indicaba lo siguiente: “Estudios realizados en Europa concluyeron que el uso de Biocres mejora la fortaleza y el volumen del cabello. Lo que es un indicativo de una disminución en la caída del cabello”.
Modifican los artículos 76 77 y 80 del Código de Protección y Defensa del Con...Percy Samaniego Pimentel
Ley que modifica los artículos 76 77 y 80 de la Ley 29571 Código de Protección y Defensa del Consumidor para fortalecer la protección del consumidor de bienes y servicios inmobiliarios
Decreto Legislativo que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública fortalece el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses
Una vez más el INDECOPI ha declarado ilegal la exigencia de realizar exámenes médicos ocupacionales al inicio de la relación laboral cuando no se realizan actividades de riesgo. La resolución solo beneficia a las empresas denunciantes.
COONAPIP II FORO DE MUJERES BUGLÉ Elaborado por: Yanel Venado Jiménez/COONAPI...YuliPalicios
Es una copilación de fotografías y extractos
del II Foro de Mujeres Buglé: Por la Defensa de los Derechos Territoriales, realizado en el corregimiento de Guayabito Comarca Ngäbe-Buglé de Pannamá. A través de estas imágenes y sus reseñas, buscamos presentar estrategias
para responder a las amenazas a las que se enfrentan, reforzar el cuidado y vigilancia del territorio, los derechos y la cultura, como mecanismos de defensa territorial, aportes que fortalezcan colectivamente la protección de
los derechos territoriales del Pueblo Buglé.
2. I. Introducción
Nuestra Constitución Política reconoce el derecho a la intimidad personal y familiar.
En tal sentido, prohíbe la difusión de cualquier información que afecte o pudiera
afectar dicho derecho.
La protección de datos personales permite que los ciudadanos podamos controlar la
información personal que se comparte con terceros, exigir un uso adecuado y,
finalmente, disponer sobre ella.
Tanto la Ley No. 29733, Ley de Protección de Datos Personales, y su Reglamento,
aprobado mediante el Decreto Supremo No. 003-2013-JUS, establecen las
condiciones, requisitos y mecanismos que rigen el tratamiento de datos personales
en el país. Asimismo, las referidas normas contemplan obligaciones que deben ser
cumplidas por aquellos sujetos que tratan con datos personales, sin importar el
sector al que pertenecen.
II. Conceptos Previos
2.1. ¿Qué es un dato personal?
Es toda información sobre una persona natural que la identifica o la hace
identificable a través de medios que pueden ser razonablemente utilizados. La
norma ha enfatizado que no solo se protegerán datos que identifican directamente
a las personas (como el nombre) sino también aquella información que
potencialmente la hace identificable de manera indirecta.
Así, por ejemplo, un número telefónico directamente no identifica a una persona; sin
embargo, es posible que llamando a dicho número o a través de la información del
operador telefónico podamos saber a quién pertenece.
2 | w w w . s a n t i v a n e z . c o m . p e
3. Tipo de datos personales que pueden ser objeto de tratamiento
2.2. ¿Qué es un Banco de Datos Personales?
3 | w w w . s a n t i v a n e z . c o m . p e
QUE
IDENTIFICAN
Nombres,
Apellidos,
DNI, RUC,
pasaporte,
dirección,
teléfono,
email, firma,
imagen, voz.
DE CARACTER
PERSONAL
Estado Civil,
fecha de
nacimiento,
nacionalidad,
sexo, edad,
profesión,
datos
académicos.
ECONÓMICOS
Y
FINANCIEROS
Créditos,
datos
bancarios,
historial,
deudas,
seguros, plan
de pensiones,
bienes.
tarjetas de
crédito.
DE
CARÁCTER
SOCIAL
Aficiones,
afiliaciones a
clubes,
hábitos
personales.
SENSIBLES
Origen
étnico, vida
sexual,
huella,
información
de salud,
credo,
ingresos
económicos.
4. 2.3. ¿Qué debe entenderse por tratamiento de datos personales?
Recopilar
Organizar
Usar
Almacenar
Consultar
Reproducir
Eliminar
Modificar
Transmitir
Usualmente las empresas tratan datos personales de sus clientes, trabajadores,
proveedores, etc. Ello sucede, por ejemplo, cuando solicitan información a sus
clientes o cuando se cuenta con un registro de proveedores. Igualmente, en los
procesos vinculados a recursos humanos, la información que se trata es
significativa.
4 | w w w . s a n t i v a n e z . c o m . p e
5. 5 | w w w . s a n t i v a n e z . c o m . p e
III. ¿Cuáles son las principales obligaciones que
las empresas deben cumplir?
3.1. Inscribir los bancos de datos personales
Las empresas, sin importar el sector en el que realicen sus actividades, que creen,
modifiquen o cancelen bancos de datos personales están obligadas a tramitar la
inscripción de estos actos en el Registro Nacional de Protección de Datos Personales.
Dicho registro almacena la información sobre los bancos de datos personales a nivel
nacional. De esta manera se hace posible que los titulares de los datos personales
ejerzan, si así lo desean, los derechos de acceso a la información, rectificación,
cancelación, oposición y otros. La inscripción de la creación de un banco de datos
debe realizarse de manera previa a su creación.
La inscripción se solicita a la Dirección de Registro Nacional de Protección de Datos
Personales. Para tal fin, es necesario presentar un formulario detallando las
características, finalidad, forma en la que se obtendrán los datos, entre otros.
Una vez presentado el formulario y en caso no existan observaciones, la referida
Dirección contará con 30 días hábiles para proceder con la inscripción. En caso ello
no ocurra, podrá invocarse el silencio administrativo positivo.
No cumplir con esta obligación constituye una infracción que será sancionada por la
Dirección de Protección de Datos Personales.
3.2. Obtener el consentimiento previamente al
tratamiento
Las empresas que deseen realizar el tratamiento de datos personales deberán
obtener el consentimiento de los titulares de la información, salvo que se encuentre
en algunos supuestos de excepción previstos en la ley. El consentimiento debe ser:
Voluntario: Sin que medie error, mala fe, violencia o dolo que puedan afectar la
manifestación de voluntad del titular de los datos personales.
Previo: Con anterioridad al tratamiento.
Expreso e Inequívoco: No deben existir dudas de su otorgamiento.
Informado: Es necesario que el titular de los datos reciba información veraz
respecto del tratamiento que se realizará.
6. En particular, las empresas que realizan el tratamiento de datos personales deberán
informar sobre:
Tratar datos personales sin contar con el consentimiento del titular o no informar de
manera adecuada constituyen incumplimientos legales que será sancionados por la
autoridad.
6 | w w w . s a n t i v a n e z . c o m . p e
7. 3.3. Garantizar el ejercicio de los Derechos ARCO
Nuestro ordenamiento reconoce a los titulares de los datos personales los derechos
ARCO, denominados así por la letra inicial de cada uno de ellos. A continuación, se
mencionan cada uno de ellos:
•Acceso
Obtener la información que sobre sí
mismo sea objeto de tratamiento en
bancos de datos de administración
pública o privada.
A
•Rectificación
A la actualización, inclusión, rectificación
y supresión de sus datos personales,
cuando estos sean parcial o totalmente
inexactos, incompletos.
R
•Cancelación
El titular de datos personales podrá
solicitar la cancelación o supresión de
sus datos personales
C
• Oposición
Es posible oponerse al tratamiento en
cualquier momento. Esta procederá en la
medida que el tratamiento no tenga
justificación contractual o legal.
O
7 | w w w . s a n t i v a n e z . c o m . p e
8. Para garantizar el ejercicio de los derechos ARCO, nuestro ordenamiento obliga a las
empresas que tratan datos personales a contar con procedimientos idóneos que
permitan atender las solicitudes de cualquier ciudadano con relación a sus datos
personales. En tal sentido, las empresas deberán:
Contar con formularios para el ejercicio de los derechos ARCO, los mismos
que deberán estar disponibles para cualquier ciudadano.
Evaluar, dentro de los plazos establecidos en la norma, las solicitudes
presentadas.
Dar respuesta a las solicitudes presentados dentro del plazo legal.
Cabe indicar que, en caso de denegatoria de la solicitud o cuando ésta no sea
satisfactoria para quien la presentó, será posible recurrir ante la Dirección General
de Protección de Datos Personales.
3.4. Garantizar la seguridad de los datos personales
Las empresas deben adoptar las medidas que resulten necesarias para garantizar la
seguridad de los datos personales y evitar su vulneración como consecuencia: (i) del
robo o extravío o copia no autorizada; (ii) la pérdida o destrucción no autorizada; (iii)
el acceso o uso no autorizado; o, (iv) el daño o modificación de la información.
La Directiva de Seguridad, aprobada por la Dirección General de Protección de Datos
Personales, tiene por objeto brindar lineamientos para determinar las condiciones
de seguridad y las medidas (organizativas, legales y técnicas) que deben adoptarse
por el titular de los datos personales.
Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se
vaya a efectuar y con la categoría de datos personales de que se trate. Los criterios
que se deben tener en cuenta para categorizar los bancos de datos son:
El volumen de registros (número de personas cuyos datos se tratan).
El número de datos (número de datos personales de cada titular de datos
personales que se procesa).
El período para cumplir la finalidad del tratamiento (si es determinado o
indeterminado).
La titularidad del banco de datos personales.
La finalidad del tratamiento;
Si existen múltiples localizaciones;
Si se realiza el tratamiento de datos sensible.
8 | w w w . s a n t i v a n e z . c o m . p e
9. En base a los criterios mencionados, de acuerdo con la Directiva, podremos
encontrarnos frente a un tratamiento básico, simple, intermedio, complejo o crítico, de
acuerdo al siguiente detalle:
CATEGORÍA CARACTERÍSTICAS
Básico
● No contiene la información de más de cincuenta (50) personas.
● Número de datos personales no mayor a cinco (05). Por ejemplo,
nombres, apellidos, DNI, dirección y teléfono.
● No incluyen datos sensibles.
● Tienen como titular a una persona natural.
Simple
● No contienen la información de más de cien (100) personas.
● El período de tiempo del tratamiento para cumplir con la finalidad
es inferior a un (01) año.
● No incluyen datos sensibles.
● Tiene como titular a una persona natural o jurídica.
Intermedio
● Contiene la información de hasta mil (1000) personas.
● Sirven para tratamiento de datos personales cuya finalidad se
cumple en un plazo indeterminado o superior a un (01) año.
● Puede incluir datos sensibles.
● Tiene como titular a una persona natural o jurídica.
Complejo
● Sirve para el tratamiento de datos personales cuya finalidad se
cumple en un plazo indeterminado o superior a un (01) año.
● Sirve para el tratamiento de datos personales que es realizado en
múltiples localizaciones (Oficinas o dependencias diferentes en la
misma ciudad o ciudades diferentes, servicios tercerizados o
similares).
● Puede incluir datos sensibles.
● Tiene como titular a una persona jurídica o entidad pública.
Crítico
● Sirve para el tratamiento de datos personales cuya finalidad está
respaldada por una norma legal.
● Sirve para el tratamiento de datos cuya finalidad se cumple en un
plazo indeterminado o superior a un (01) año.
● Sirve para el tratamiento de datos personales que es realizado en
múltiples localizaciones (Oficinas o dependencias diferentes en la
misma ciudad o ciudades diferentes, servicios tercerizados o
similares).
● Puede incluir datos sensibles.
● Tiene como titular a una persona jurídica o entidad pública.
9 | w w w . s a n t i v a n e z . c o m . p e
10. 10 | w w w . s a n t i v a n e z . c o m . p e
Las medidas de seguridad que deben adaptarse dependerán de la categoría del
tratamiento que realice cada empresa. Es importante tener en cuenta que nuestro
ordenamiento prohíbe el tratamiento de datos personales en bancos de datos que
no reúnan los requisitos y las condiciones de seguridad.
ALGUNAS MEDIDAS RECOMENDADAS POR LA DIRECTIVA DE SEGURIDAD
ORGANIZATIVAS LEGALES TÉCNICAS
Adaptar una
estructura
organizacional en la
que se incorporen a
las personas que se
encargarán de
cumplir o hacer
cumplir las
disposiciones
previstas en la Ley.
Mantener los
formatos de
consentimiento para
el tratamiento de
datos personales,
adecuados y de
conformidad con la
finalidad para la cual
son acopiados.
Los datos contenidos
en soporte
informático deben
transferirse previa
encriptación y un
mecanismo de
verificación de la
integridad (firma
digital o similar).
Aprobación de la
política de seguridad
con las exigencias
previstas en la Ley.
Adecuación de los
contratos del
personal relacionado
con el tratamiento
de datos personales.
Evaluar los
privilegios de
accesos.
Adecuación de los
procesos del negocio
involucrados en el
tratamiento de
datos personales.
Adecuación de los
contratos con
terceros.
Llevar el registro de
accesos a los bancos
de datos personales.
Desarrollar
procedimientos
documentados
adecuados para el
tratamiento de
datos personales.
Suscribir acuerdos de
confidencialidad con
trabajadores que
tratan datos
personales.
Cambio obligatorio y
periódico de las
contraseñas.
11. 11 | w w w . s a n t i v a n e z . c o m . p e
3.5. Comunicar el Flujo Transfronterizo
Es la transferencia internacional de datos personales a un destinatario situado en el
extranjero. El flujo transfronterizo debe ser previamente comunicado a la autoridad.
Dicha comunicación se inscribirá en el Registro Nacional de Protección de Datos
Personales.
Solo se podrá realizar el flujo transfronterizo si el país destinatario mantiene niveles de
protección adecuados conforme a la norma peruana. En caso ello no sea así, la empresa
que realizará el flujo transfronterizo deberá garantizar que el tratamiento de los datos
objeto de transferencia serán realizados conforme a la norma peruana (por ejemplo, se
podrá suscribir un acuerdo con cláusulas en las que se establezcan las condiciones en las
que los datos personales podrán ser tratados).
Se requiere del consentimiento previo, informado, expreso e inequívoco de los titulares
de los datos personales para realizar una transferencia internacional.
12. 12 | w w w . s a n t i v a n e z . c o m . p e
Leves: Multa de 0,5 a 5 UIT
Graves: Multa > 5 a 50 UIT
Muy Graves: > 50 a 100 UIT
IV. Pautas para la implementación de la Ley de
Datos Personales
V. Sanciones en caso de incumplimiento
Las sanciones por infracción a la Ley pueden ser:
• Evaluar las distintas actividades de la empresa a fin de determinar el ciclo de vida de los datos
personales, identificar cómo se obtienen, cuáles son los usos previstos, las finalidades para las que se
tratarán, las tecnologías utilizadas, entre otros aspectos.
• El objetivo es determinar los riesgos reales y potenciales para eliminarlos o al menos, mitigarlos.
• Verificar el grado de cumplimiento legal respecto de las obligaciones de la ley de Protección de Datos
Personales y su Reglamento.
• Determinar si las medidas de seguridad que se adoptan en la organización garantizan la
confidencialidad de la información, teniendo en cuenta el tipo de tratamiento que se realiza.
• Teniendo en cuenta la evaluación realizada, se deberá establecer un cronograma a fin de empezar con
la adecuación de normativa vigente.
• Las medidas que se deberán adoptar (organizativa, tecnológica, contractual) dependerán de las
características de la empresa y el tipo de tratamiento que ésta realiza.
13. En ningún caso la multa impuesta puede exceder del 10% de los ingresos brutos anuales
que hubiera percibido el presunto infractor durante el ejercicio anterior.
Además de la multa, la autoridad puede ordenar la implementación de una o más
medidas correctivas, con el objetivo de corregir o revertir los efectos que la conducta
infractora hubiere ocasionado o evitar que ésta se produzca nuevamente.
Finalmente, el titular de datos personales que sea afectado a consecuencia del
incumplimiento de las normas sobre protección de datos personales tiene derecho a
obtener una indemnización.
Este documento no constituye asesoramiento legal. Cualquier reproducción o uso de este documento, total
o parcial, requiere de autorización previa de Santiváñez Abogados.
CONTACTO:
Percy Samaniego Pimentel
percy.samaniego@santivanez.com.pe
+51(1) 202 8000
13 | w w w . s a n t i v a n e z . c o m . p e