Embed Size (px)
DESCRIPTION
Aspectos relevantes a partir de la entrada en vigencia de la regulación de protección de datos personales en el Perú (Actualizado al mes de julio 2013).
Citation preview
Ley de protección de datos
personales y su entrada en vigencia
Principales implicancias y pasos a
seguir
Julio de 2013
Constitución 1993
Art. 2 inc. 6
Compromisos internacionales
Art. 109 y 164 TLC Unión
Europea
Compromisos comerciales
del Estado y empresas privadas
Proyecto de Ley 4079
• Presentado por el Ejecutivo
Ley 29733• Publicada el 3
de julio de 2011
DS No. 003-2013-JUS
Reglamento de la Ley 29733
• Publicado el 22 de marzo de 2013
Protección de Datos
Personales
La norma se aplica a los
datos personales contenidos
en bancos de datos
personales de administración
pública y de administración
privada, cuyo tratamiento se
realice en el territorio
nacional.
Datos Personales
Datos Sensibles
Banco de Datos
Banco de Datos
Personales
Tratamiento
Principales
conceptos
Toda información sobre
una persona natural que la
identifica o la hace
identificable a través de
medios que puedan ser
razonablemente utilizados.
Datos Personales
Los datos personales
constituidos por los datos
biométricos que por sí mismos
puedan identificar al titular,
datos referidos al origen racial y
étnico, ingresos económicos,
opiniones o convicciones
políticas, religiosas, filosóficas o
morales, afiliación sindical, e
información relacionada con la
salud o a la vida sexual.
Datos Sensibles
Conjunto de datos personales,
automatizado o no,
independientemente del
soporte, sea este magnético,
digital, óptico u otros que se
creen, cualquiera fuere la forma
o modalidad de su creación,
formación, almacenamiento,
organización y acceso.
Banco de
Datos Personales
Cualquier operación o
procedimiento técnico,
automatizado o no, que permite
la recopilación, registro,
organización, almacenamiento,
conservación, elaboración,
modificación, extracción,
consulta, utilización, bloqueo,
suspensión, comunicación por
transferencia o por difusión o
cualquier otra forma de
procesamiento que facilite el
acceso, correlación o
interconexión de los datos
personales.
Tratamiento
No ha sido definido en la ley.Banco de Datos
Principios rectores
Principio de consentimiento
Principio de finalidad
Principio de calidad
Principio de seguridad
Principio de
consentimientoTitular del banco de datos
personales o el responsable del
tratamiento
Debe obtener el
consentimiento
para el
tratamiento de
Datos
Personales
Consentimiento
Libre
Previo
Expreso e inequívoco
Informado
Para datos sensibles,
debe prestarse por escrito
Carga de la prueba recae en el titular del banco de datos o en el responsable
del tratamiento
Titular de datos personales puede revocarlo en cualquier momento, sin justificación y
sin efectos retroactivos
Datos Personales Datos Sensibles
Solamente pueden
ser objeto de
tratamiento con
CONSENTIMIENTO
de su titular, salvo ley
autoritativa al
respecto. El
consentimiento debe
ser previo, informado,
expreso e inequívoco.
En este caso,
además de todo
lo anterior, el
tratamiento
requiere que el
consentimiento
se preste POR
ESCRITO.
Tratamiento
"De conformidad con la legislación vigente de la República del Perú, el
(firmante/usuario) autoriza a ______________________ al tratamiento de los
datos personales recogidos en el presente formulario. Estos datos pasan a
formar parte del banco de datos personales denominado
“___________________________", inscrito ante el Registro Nacional de
Protección de Datos Personales, bajo la responsabilidad de
____________________, con la finalidad de
_____________________________________________. El (firmante/usuario)
puede ejercitar los derechos de acceso, rectificación, cancelación y oposición,
enviando un escrito a la dirección
de __________________________________. La falta de entrega o la negativa
de entregar los datos personales requeridos bajo los términos del presente
formulario, determina ________________________."
¿Qué pasa con las listas
negras?
Datos
relacionados a
la comisión de
infracciones
penales o
administrativas
¿Qué son infracciones penales
y administrativas?
Tratamiento
Infracciones penales: Son los delitos
y faltas. Pueden ser sancionadas
con la privación de la libertad.
Infracciones administrativas: Son
conductas sancionables conforme a
la Ley 27444. Nunca se podrá
disponer la privación de la libertad.
¿Qué son infracciones penales
y administrativas?
Datos
relacionados a
la comisión de
infracciones
penales o
administrativas
Solamente puede ser efectuado por las entidades
públicas competentes.
Cuando se haya producido la cancelación de los
antecedentes penales, judiciales, policiales y
administrativos, estos datos no pueden ser
suministrados salvo que sean requeridos por el
Poder Judicial o el Ministerio Público, conforme a
ley.
Tratamiento
Características del
Tratamiento de datos
personales contenidos en
“Listas Negras”
Tratamiento
No hay consentimiento del titular
de los datos personales.
Las bases de datos personales no
están inscritas en el RNPDP.
La base de datos personales no
está creada de acuerdo a la ley.
Infracciones
¿Cuál es el
estándar?
Banco de
Datos Personales
Banco de
Datos Personales
Derechos del titular de los
datos personales
A ser informado
previamente.
A acceder a la base de
datos personales.
A actualizar, incluir,
rectificar y cancelar.
A impedir el suministro.
A oponerse al
tratamiento.
Al tratamiento objetivo.
A la tutela.
A ser indemnizado.
Derechos ARCO
Derechos ARCO
AccesoAcceso
RectificaciónRectificación
CancelaciónCancelación
OposiciónOposición
Obligaciones del titular y
del encargado del Banco
de Datos Personales
Tratamiento previo
consentimiento.
No recopilar mediante
medios fraudulentos,
ilícitos y desleales.
Recopilar datos
actualizados y
pertinentes.
No utilizar los datos
para fines distintos.
Suprimir los datos
cuando dejen de ser
necesarios.
Informar y permitir el
acceso a la ANPDP.
Banco de
Datos Personales
¿Sabías que
… los armarios, archivadores u otros elementos en los que se
almacenen documentos no automatizados con datos personales
deberán encontrarse en áreas en las que el acceso esté protegido
con puertas de acceso dotadas de sistema de apertura mediante
llave u otro dispositivo equivalente?
… dichas áreas deben permanecer cerradas cuando no sea preciso
el acceso a los documentos incluidos en el banco de datos?
… la generación de copias de los documentos únicamente podrá ser
realizada por personal autorizado?
… el acceso a la documentación se limitará al personal autorizado?
Banco de
Datos Personales
¿Sabías que
… los sistemas informáticos que manejan bancos de datos
personales deberán incluir control de acceso a la información,
incluyendo gestión de accesos, de privilegios, identificación del
usuario y verificación periódica de privilegios, así como generar y
mantener registros que provean evidencia sobre interacciones?
… los ambientes en los que se procese, almacene o transmita la
información deberán ser implementados controles de seguridad
(NTP ISO/IEC 17799 EDI. Tecnología de la Información. Código de
Buenas Prácticas para la Gestión de la Seguridad de la Información?
… se deben contemplar mecanismos de respaldo con un
procedimiento que verifique la integridad de los datos y la
recuperación completa ante una interrupción o daño?
Flujo
transfronterizo
1. Transferencia de DP fuera del
Perú
2. Importador se obliga a observar
la ley y el reglamento
3. Se requiere consentimiento del titular de los
DP
4. Carga de la prueba recae en
el emisor
5. Importador de DP debe asumir
las mismas obligaciones que el titular del BDP
Inscripción y
regularización
Inscripción debe realizarse de inmediato:
Norma ya entró en vigencia el 9/05/2013.
Adecuación de los BDP preexistentes puede realizarse
hasta el 9/05/2015.
Adecuación es el cumplimiento del estándar legal y
reglamentario de los BDP.
Banco de
Datos Personales
Políticas de protección
de datos personales
Designación de
responsable del
tratamiento
Para garantizar publicidad
sobre…
Existencia
Finalidad
Identidad del titular
o encargado
Domicilio del titular
o encargado
¿Para qué se
inscriben?
Banco de
Datos Personales
Inscripción
¿Quién es el
responsable?
En este caso, el titular del BDP es
la “persona jurídica”.
La representación de quien
suscribe la solicitud tiene que
estar acreditada: Debe designarse
un representante que reporte al
más alto nivel y cuyas funciones
sean transversales a toda la
organización.
Asume la condición de
“responsable del tratamiento”.
Infracciones y Sanciones
Dar tratamiento sin consentimiento.
No inscribir el BDP en el RNPDP.
Crear, modificar, cancelar o
mantener BDP sin cumplir la ley.
No cesar en el tratamiento pese a
requerimiento de ANPDP.
No inscribir el BDP en el RNPDP
pese a requerimiento.
5 UIT
50
UIT
100
UIT
100
UIT
100
UIT
Son recursos de la
ANPDP los montos
que recaude por
concepto de
multas.
La Ley y el Reglamento entraron
completamente en vigencia a partir
del 9 de mayo de 2013.
Julio de 2013
¡Muchas gracias!
