Alcances sobre la Directiva de Seguridad de la información administrada por los bancos de datos personales - Ley 29733

Lima – Agosto 2012

Jornada de Orientación a Titulares de Bancos de Datos Jornada de Orientación a Titulares de Bancos de Datos Personales de Administración PrivadaPersonales de Administración Privada

Lima – Noviembre 2013

Alcances de la Directiva de Seguridad de la Alcances de la Directiva de Seguridad de la Información administrada por los Bancos de Información administrada por los Bancos de

Datos PersonalesDatos Personales

Carlos A. Horna VallejosConsultor en Sistemas de Gestión

Seguridad de la Información y Ciberseguridad

Lima – Agosto 2012


Lima – Noviembre 2013

AgendaAgenda

● Seguridad de la Información● Referencias de seguridad en la ley 29733● La Directiva de Seguridad de la Información

Administrada por los Bancos de Datos Personale● Condiciones de seguridad● Requisitos de seguridad● Disposiciones específicas● Medidas de seguridad

Lima – Agosto 2012Lima – Noviembre 2013

Seguridad de la InformaciónSeguridad de la Información



Confidencialidad

Disponibilidad

Integridad

Propiedad de ser accesible y útil a petición por una

entidad autorizada

Propiedad de que la información no esté disponible o se revelará a personas no autorizadas, entidades o procesos

Propiedad del proteger la exactitud e integridad de los

activos



Seguridad de laInformación

Confidencialidad Disponibilidad

Integridad



Referencias de seguridad en la ley 29733Referencias de seguridad en la ley 29733



Articulo 2.- Definiciones

10. Nivel suficiente de protección para los datos personales

Nivel de Protección que abarca por lo menos la consignación y el respeto de los principios rectores de esta Ley, así como medidas técnicas de seguridad y confidencialidad, apropiadas según la categoría de datos que se trate.



Principio de legalidad

Principio de consentimiento

Principio de finalidad

Principio de proporcionalidad

Principio de calidad

Principio de seguridad

Principio de disposición de recurso

Principio de nivel de protección adecuado

Nivel suficiente

de protección

para los datos

personales.

Datos personales.



Articulo 8.- Principio de calidad

Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados.

Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento.

Calidad Integridad



Articulo 9.- Principio de seguridad

El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales.

Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate.

Apropiadas y acorde con el tratamiento y la categoría de datos personales de que se trate.

Medias Técnicas

Medias Organizativas

Medias Legales

Seguridad de Datos

Personales



Articulo 11.- Principio de Nivel de protección adecuado

Para el flujo transfronterizo de datos personales, se debe garantizar un nivel suficiente de protección para los datos personales que se vayan a tratar o, por lo menos, equiparable a lo previsto por esta ley o por los estándares internacionales en la materia.



Articulo 16.- Seguridad del tratamiento de datos personales

Para fines del tratamiento de datos personales, el titular del banco de datos personales debe adoptar medidas técnicas, organizativas y legales que garanticen su seguridad y eviten su alteración, perdida, tratamiento o acceso no autorizado.

Titular del Banco de Datos Personales

Medias Técnicas


Medias Legales

Amenazas contempladas

Alteración

Pérdida

Tratamiento o acceso no autorizado





Los requisitos y condiciones que deben reunir los bancos de datos personales en materia de seguridad son establecidos por la autoridad nacional de protección de datos personales, salvo la existencia de disposiciones especiales contenidas en otras leyes.

Autoridad Nacional de Protección de Datos Personales

Requisitos que deben reunir los bancos de datos personales en materia de seguridad

Condiciones que deben reunir los bancos de datos personales en materia de seguridad





Los requisitos y condiciones que deben reunir los bancos de datos personales en materia de seguridad son establecidos por la autoridad nacional de protección de datos personales, salvo la existencia de disposiciones especiales contenidas en otras leyes.

Queda prohibido el tratamiento de datos personales en bancos de datos que no reúnan los requisitos y las condiciones de seguridad a que se refiere este articulo.



Tratamiento de Datos personales (Aspectos de Seguridad)

Titular del Banco de Datos Personales

Banco de datos

personales. Medias Técnicas


Medias Legales

Amenazas contempladas

Alteración

Pérdida

Tratamiento o acceso no autorizado

Autoridad Nacional de

Protección de Datos Personales

Requisitos que deben reunir los bancos de datos personales en materia de seguridad Nivel

suficiente de

protección para los

datos personales.

Condiciones que deben reunir los bancos de datos personales en materia de seguridad

Disposicionesespeciales contenidas en otras leyes.

Obligaciones del Titular y

del Encargado del Banco de

Datos Personales



La Directiva de Seguridad de la Información La Directiva de Seguridad de la Información Administrada por los Bancos de Datos Administrada por los Bancos de Datos

PersonalesPersonales



EstructuraEstructura


I. OBJETIVO

II. BASE LEGAL

III. ALCANCE

IV. RESPONSABILIDAD

V. DISPOSICIONES GENERALES

VI. DISPOSICIONES ESPECÍFICAS

VII.PROCEDIMIENTO

VIII.DISPOSICIONES COMPLEMENTARIAS

IX. ANEXOS


ProcedimientoProcedimiento


Fin

Inicio

Generar Condiciones

Implementar Requisitos

Incorporar el tratamiento de datos personales en

el alcance del SGSI.

Medidas Organizativas de Seguridad

SI

NOCategorizaciónCrítico

Medidas legales de seguridad

Medidas Técnicas de seguridad


Categoría en el Tratamiento de Datos Personales

Básico

Simple

Intermedio

Complejo

Crítico

● Categorías que son aplicables al tipo de tratamiento.

● Un mismo banco de datos puede utilizarse para múltiples tratamientos.

● La directiva es aplicable a los bancos de datos por ser el contenedor de los datos personales.



Tanto los requisitos como las medidas de seguridad a implementar están segmentadas por tipo de tratamiento a los cuales se asigna un color para facilitar la identificación en los cuadros mostrados :





Condiciones de seguridadCondiciones de seguridad



Condiciones de Seguridad Externa

Marco legal apropiado (leyes, reglamentos, o

similares).

Conocimiento y conciencia (conocer la importancia de la protección de los datospersonales, la ley de protección de datos

personales y su reglamento).

Condiciones de Seguridad Interna

Comprender el contexto institucional en el

tratamiento y protección de los datos personales

(Contexto organizativo, tecnológico, jurídico, legal,

contractual, regulatorio, físico, etc.)

Determinar claramente las responsabilidades y roles

organizacionales apropiados con la suficiente autoridad y recursos para liderar y hacer

cumplir la política de seguridad para la protección

de datos personales.

Enfoque de gestión del riesgo de los datos

personales contenidos o destinados a ser

contenidos en los bancos de datos personales.

Compromiso del titular del banco de datos

personales (para brindar los recursos y dirección en la protección de los datos

personales)



Requisitos de seguridadRequisitos de seguridad



● Los requisitos deben tomarse como elementos mandatorios por estar alineados directamente con la Ley 29733 y su reglamento.

● Están presentados en un formato de matriz (cuadro) con desarrollo independiente por tipo de tratamiento, ilustrado para marcar esta diferencia mediante colores.

● La sección 1.4 desarrolla de manera complementaria los requisitos señalados en la sección 1.3 y que hacen referencia a items específicos de la sección 1.4.

● Los requisitos varían en su nivel de detalle con el objetivo de adecuarse al tipo de tratamiento correspondiente a un determinado tipo de banco de datos y su titular (persona natural, PYME, gran empresa, entidad gubernamental, etc).



Disposiciones específicasDisposiciones específicas



Para los tratamientos determinados como complejos o críticos, se debe implementar los controles adecuados de un sistema de gestión de seguridad de la información bajo los requisitos y controles de NTP-ISO/IEC 27001 EDI en su edición vigente, incorporando los bancos de datos personales dentro del alcance del SGSI, asegurando como mínimo el cumplimiento de las medidas indicadas a continuación y que los riesgos asociados al banco de datos personales sean adecuadamente gestionados.

El titular del banco de datos personales debe designar un responsable de seguridad delbanco de datos personales, quien coordinara en la institución la aplicación de la presentedirectiva. El rol de responsable de seguridad del banco de datos personales debe asignarse a una persona que tenga las capacidades y autoridad necesaria para el desarrollo de sus funciones. Cuando dicha designación no exista, se entiende que el rol de responsable de seguridad del banco de datos personales recae en el titular del banco de datos personales.



Las referencias a documentos o registros, se entiende que pueden estar en cualquier formato o tipo de medio (Hoja impresa, cuaderno, pagina web, afiche, registro de video, entre otros).

Limitar los bancos de datos personales a los datos estrictamente necesarios para cumplir la finalidad para la cual fueron acopiados.

Evaluar la posibilidad de implementar mecanismos de anonimización o dosciaciónaplicables.



Medidas de seguridadMedidas de seguridad



Medidas de Seguridad Organizativas

Medidas de Seguridad Jurídicas

Medidas de Seguridad Técnicas




Medidas de Seguridad Técnicas relacionadas al acceso no autorizado al banco de datos personales

Medidas de Seguridad Técnicas relacionadas a la alteración no autorizada delbanco de datos personales

Medidas de Seguridad Técnicas relacionadas a la pérdida del banco de datos personales

Medidas de Seguridad Técnicas relacionadas al tratamiento no autorizado del banco de datos personales




Medidas complementarias

Desarrolla de manera complementaria las medidas de seguridad técnicas anteriores.

Indica el item de precedencia al que se aplica.



Anexos

Contienen instrucciones que pueden ser utilizados como guía en la aplicación de la directiva.

Incluye un ejemplo de declaración simple de cumplimiento con los principios de la Ley.

Incluye referencias hacia la utilización de otros documentos para:● Gestión de Riesgos● Evaluación de Impacto en la Privacidad (PIA)● Privacidad por Diseño (Privacy by Desgn)

Incluye una referencia al “Cuaderno de seguridad de datos personales”



Gracias por su atenciónGracias por su atenciónCarlos A. Horna VallejosConsultor en Sistemas de Gestión

Seguridad de la Información y Ciberseguridad


Documents

Alcances sobre la Directiva de Seguridad de la información administrada por los bancos de datos personales - Ley 29733