Alcances de la Directiva de Seguridad de la Información administrada por los Bancos de Datos Personales (Ley 29733)

Lima – Agosto 2012
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
Lima – Noviembre 2013
Alcances de la Directiva de Seguridad de laAlcances de la Directiva de Seguridad de la
Información administrada por los Bancos deInformación administrada por los Bancos de
Datos PersonalesDatos Personales
Carlos A. Horna Vallejos
Consultor en Sistemas de Gestión
Seguridad de la Información y Ciberseguridad

Lima – Agosto 2012
Lima – Noviembre 2013
AgendaAgenda
● Seguridad de la Información
● Referencias de seguridad en la ley 29733
● La Directiva de Seguridad de la Información
Administrada por los Bancos de Datos Personale
● Condiciones de seguridad
● Requisitos de seguridad
● Disposiciones específicas
● Medidas de seguridad

Lima – Agosto 2012Lima – Noviembre 2013
Seguridad de la InformaciónSeguridad de la Información

Confidencialidad
Disponibilidad
Integridad
Propiedad de ser
accesible y útil a
petición por una
entidad autorizada
Propiedad de que la
información no esté
disponible o se
revelará a personas
no autorizadas,
entidades o procesos
Propiedad del proteger la
exactitud e integridad de los
activos

Seguridad de la
Información
Confidencialidad Disponibilidad
Integridad

Referencias de seguridad en la ley 29733Referencias de seguridad en la ley 29733

Articulo 2.- Definiciones
10. Nivel suficiente de protección para los datos
personales
Nivel de Protección que abarca por lo menos la consignación y el
respeto de los principios rectores de esta Ley, así como medidas
técnicas de seguridad y confidencialidad, apropiadas según la
categoría de datos que se trate.

Principio de legalidad
Principio de consentimiento
Principio de finalidad
Principio de proporcionalidad
Principio de calidad
Principio de seguridad
Principio de disposición de recurso
Principio de nivel de protección adecuado
Nivel
suficiente
de
protección
para los
datos
personales.
Datos
personales.

Articulo 8.- Principio de calidad
Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible,
actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados.
Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con
la finalidad del tratamiento.
Calidad Integridad

Articulo 9.- Principio de seguridad
El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas,
organizativas y legales necesarias para garantizar la seguridad de los datos personales.
Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la
categoría de datos personales de que se trate.
Apropiadas y acorde con el tratamiento y la categoría de
datos personales de que se trate.
Medias Técnicas
Medias Organizativas
Medias Legales
Seguridad de
Datos
Personales

Articulo 11.- Principio de Nivel de protección
adecuado
Para el flujo transfronterizo de datos personales, se debe
garantizar un nivel suficiente de protección para los datos
personales que se vayan a tratar o, por lo menos, equiparable a
lo previsto por esta ley o por los estándares internacionales en la
materia.

Articulo 16.- Seguridad del tratamiento de datos personales
Para fines del tratamiento de datos personales, el titular del banco de datos personales debe adoptar medidas
técnicas, organizativas y legales que garanticen su seguridad y eviten su alteración, perdida, tratamiento o acceso
no autorizado.
Titular del Banco de
Datos Personales
Medias Técnicas
Medias Legales
Amenazas
contempladas
Alteración
Pérdida
Tratamiento o
acceso no
autorizado

no autorizado.
Los requisitos y condiciones que deben reunir los bancos de datos personales en materia de seguridad son
establecidos por la autoridad nacional de protección de datos personales, salvo la existencia de disposiciones
especiales contenidas en otras leyes.
Autoridad Nacional de Protección de Datos
Personales
Requisitos que deben reunir los
bancos de datos personales en materia
de seguridad
Condiciones que deben reunir los
bancos de datos personales en
materia de seguridad

no autorizado.
Los requisitos y condiciones que deben reunir los bancos de datos personales en materia de seguridad son
establecidos por la autoridad nacional de protección de datos personales, salvo la existencia de disposiciones
especiales contenidas en otras leyes.
Queda prohibido el tratamiento de datos personales en bancos de datos que no reúnan los requisitos y las
condiciones de seguridad a que se refiere este articulo.

Tratamiento de Datos personales (Aspectos de Seguridad)
Titular del Banco de
Datos Personales
Banco de
datos
personales.
Medias Técnicas
Medias Legales
Amenazas
contempladas
Alteración
Pérdida
Tratamiento o
acceso no
autorizado
Autoridad
Nacional de
Protección de
Datos Personales
Requisitos que
deben reunir los
bancos de datos
personales en
materia de
seguridad Nivel
suficiente
de
protección
para los
datos
personales.
Condiciones
que deben
reunir los bancos
de datos
personales en
materia de
seguridad
Disposiciones
especiales
contenidas en
otras leyes.
Obligaciones
del Titular y
del Encargado
del Banco de
Datos
Personales

La Directiva de Seguridad de la InformaciónLa Directiva de Seguridad de la Información
Administrada por los Bancos de DatosAdministrada por los Bancos de Datos
PersonalesPersonales

EstructuraEstructura
I. OBJETIVO
II. BASE LEGAL
III. ALCANCE
IV. RESPONSABILIDAD
V. DISPOSICIONES GENERALES
VI. DISPOSICIONES ESPECÍFICAS
VII.PROCEDIMIENTO
VIII.DISPOSICIONES COMPLEMENTARIAS
IX. ANEXOS

ProcedimientoProcedimiento
Fin
Inicio
Generar Condiciones
Implementar Requisitos
Incorporar el tratamiento
de datos personales en
el alcance del SGSI.
Medidas Organizativas de
Seguridad
SI
NOCategorización
Crítico
Medidas legales de seguridad
Medidas Técnicas de seguridad

Categoría en el Tratamiento de Datos Personales
Básico
Simple
Intermedio
Complejo
Crítico
● Categorías que son aplicables al
tipo de tratamiento.
● Un mismo banco de datos puede
utilizarse para múltiples
tratamientos.
● La directiva es aplicable a los
bancos de datos por ser el
contenedor de los datos
personales.

Tanto los requisitos como las medidas de seguridad a implementar están
segmentadas por tipo de tratamiento a los cuales se asigna un color para
facilitar la identificación en los cuadros mostrados :

Condiciones de seguridadCondiciones de seguridad

Condiciones de Seguridad Externa
Marco legal
apropiado (leyes,
reglamentos, o
similares).
Conocimiento y conciencia (conocer la
importancia de la protección de los datos
personales, la ley de protección de datos
personales y su reglamento).
Condiciones de Seguridad Interna
Comprender el contexto
institucional en el
tratamiento y protección de
los datos personales
(Contexto organizativo,
tecnológico, jurídico, legal,
contractual, regulatorio,
físico, etc.)
Determinar claramente las
responsabilidades y roles
organizacionales apropiados
con la suficiente autoridad y
recursos para liderar y hacer
cumplir la política de
seguridad para la protección
de datos personales.
Enfoque de gestión del
riesgo de los datos
personales contenidos o
destinados a ser
contenidos en los bancos
Compromiso del titular del
banco de datos
personales (para brindar
los recursos y dirección en
la protección de los datos
personales)

Requisitos de seguridadRequisitos de seguridad

● Los requisitos deben tomarse como elementos mandatorios por
estar alineados directamente con la Ley 29733 y su reglamento.
● Están presentados en un formato de matriz (cuadro) con
desarrollo independiente por tipo de tratamiento, ilustrado para
marcar esta diferencia mediante colores.
● La sección 1.4 desarrolla de manera complementaria los
requisitos señalados en la sección 1.3 y que hacen referencia a
items específicos de la sección 1.4.
● Los requisitos varían en su nivel de detalle con el objetivo de
adecuarse al tipo de tratamiento correspondiente a un
determinado tipo de banco de datos y su titular (persona natural,
PYME, gran empresa, entidad gubernamental, etc).

Disposiciones específicasDisposiciones específicas

Para los tratamientos determinados como complejos o críticos, se debe implementar los
controles adecuados de un sistema de gestión de seguridad de la información bajo los
requisitos y controles de NTP-ISO/IEC 27001 EDI en su edición vigente, incorporando
los bancos de datos personales dentro del alcance del SGSI, asegurando como mínimo
el cumplimiento de las medidas indicadas a continuación y que los riesgos asociados al
banco de datos personales sean adecuadamente gestionados.
El titular del banco de datos personales debe designar un responsable de seguridad del
banco de datos personales, quien coordinara en la institución la aplicación de la presente
directiva. El rol de responsable de seguridad del banco de datos personales debe
asignarse a una persona que tenga las capacidades y autoridad necesaria para el
desarrollo de sus funciones. Cuando dicha designación no exista, se entiende que el rol
de responsable de seguridad del banco de datos personales recae en el titular del banco

Las referencias a documentos o registros, se entiende que pueden estar en cualquier
formato o tipo de medio (Hoja impresa, cuaderno, pagina web, afiche, registro de video,
entre otros).
Limitar los bancos de datos personales a los datos estrictamente necesarios para
cumplir la finalidad para la cual fueron acopiados.
Evaluar la posibilidad de implementar mecanismos de anonimización o dosciación
aplicables.

Medidas de seguridadMedidas de seguridad

Medidas de Seguridad Organizativas
Medidas de Seguridad Jurídicas
Medidas de Seguridad Técnicas

Medidas de Seguridad Técnicas relacionadas al acceso no autorizado al banco
de datos personales
Medidas de Seguridad Técnicas relacionadas a la alteración no autorizada del
banco de datos personales
Medidas de Seguridad Técnicas relacionadas a la pérdida del banco de datos
personales
Medidas de Seguridad Técnicas relacionadas al tratamiento no autorizado del
banco de datos personales

Medidas complementarias
Desarrolla de manera complementaria las medidas de seguridad técnicas
anteriores.
Indica el item de precedencia al que se aplica.

Anexos
Contienen instrucciones que pueden ser utilizados como guía en la aplicación
de la directiva.
Incluye un ejemplo de declaración simple de cumplimiento con los principios de
la Ley.
Incluye referencias hacia la utilización de otros documentos para:
● Gestión de Riesgos
● Evaluación de Impacto en la Privacidad (PIA)
● Privacidad por Diseño (Privacy by Desgn)
Incluye una referencia al “Cuaderno de seguridad de datos personales”

Gracias por su atenciónGracias por su atención
Carlos A. Horna Vallejos
Consultor en Sistemas de Gestión
Seguridad de la Información y Ciberseguridad

Alcances de la Directiva de Seguridad de la Información administrada por los Bancos de Datos Personales (Ley 29733)

Más contenido relacionado

Destacado

Similar a Alcances de la Directiva de Seguridad de la Información administrada por los Bancos de Datos Personales (Ley 29733)

Más de Carlos A. Horna Vallejos

Alcances de la Directiva de Seguridad de la Información administrada por los Bancos de Datos Personales (Ley 29733)