Ley de protección de datos personales

LOGO DE

LA EMPRESA

LEY DE PROTECCIÓN DE DATOS PERSONALES

Enfoque práctico de conocimiento

Lima - Perú

Legislación de PDP en el Perú

El objetivo de la ley es:

Garantizar el derecho fundamental a la protección de datos personales, regulando un adecuado tratamiento tanto por las entidades públicas como por las instituciones pertenecientes al sector privado.

Ámbito de aplicación

¿Quién? Entidades públicas, compañías del sector privado, y personas naturales.

¿Sobre qué? Datos personales destinados a incluirse en un banco de datos. Excepto: Datos de personas naturales para uso doméstico. Los bancos de datos personales de la administración pública con objeto: defensa nacional, seguridad pública, desarrollo de actividades en materia penal, etc.

¿Dónde? Aplicación territorial: El titular del banco de datos o el responsable se encuentra ubicado en territorio peruano, independientemente del país en el que se realicen los tratamientos el encargado del tratamiento. Titular o responsable en territorio no peruano:

Aplica la legislación peruana por contrato, etc. Utiliza medios en dicho país para el tratamiento (excepto sólo transmisión).

Abril 2014LOGO DE LA EMPRESA

Legislación de PDP en el Mundo


Legislación de PDP en el Latinoamérica


Dice: Toda persona tiene derecho a que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.

Constitución Política del Perú

de 1993 -Art. 2 inc. 6

Proyecto de Ley N°4079/2009-PE

Directiva de Seguridad de la Información

El Congreso de la República del Perú aprobó, el 7 de junio de 2010 el Proyecto de Ley N 4079/2009-PE que propone la Ley de Protección de Datos Personales.

El 11 de octubre de 2013 la Autoridad Nacional de Protección de Datos (ANPDP ) publicó la Directiva de SI, para orientar en las medidas técnicas a aplicar.

Cronograma de la legislación

Ley N° 29733 Protección de Datos Personales

El 3 de julio de 2011 se publicó en el Diario Oficial, El Peruano, la Ley Nº 29733, Ley de Protección de Datos Personales.

DS N° 003-2013-JUS –Reglamento de la Ley 29733

Mediante el DECRETO SUPREMO N 003-2013-JUS, publicado el 22 de marzo de 2013, se aprobó el Reglamento de Ley N29733, el cual desarrolla y detalla las disposiciones de la ley. Se encuentra vigente desde el 09 de mayo del 2013, tras 30 días hábiles a partir de su publicación.



Datos Personales

Banco de Datos Personales

Datos SensiblesTratamiento de datos

personales

Flujo transfronterizo de datos personales

Principales conceptos



Toda información sobre una

persona natural que la identifica o

la hace identificable a través de

medios que puedan ser

razonablemente

utilizados, (numérica, alfabética, grá

fica, fotográfica, acústica, sobre

hábitos personales, o de cualquier

otro tipo relativo a la persona).

Datos Personales

Datos personales



Conjunto de datos

personales, automatizado o

no, independientemente del

soporte, sea este

magnético, digital, óptico u otros

que se creen, cualquiera fuere la

forma o modalidad de su

creación, formación, almacenamie

nto, organización y acceso.

Banco de

Datos Personales




Son los datos de la esfera más

íntima de la persona:

Constituidos por los datos

biométricos que por sí mismos

puedan identificar al titular, datos

referidos al origen racial y

étnico, ingresos

económicos, opiniones o

convicciones

políticas, religiosas, filosóficas o

morales, afiliación sindical, e

información relacionada con la

salud o a la vida sexual.

Datos Sensibles


Datos Sensibles


Cualquier operación o

procedimiento

técnico, automatizado o no, que

permite la

recopilación, registro, organización,

almacenamiento, conservación, elab

oración, modificación, extracción, c

onsulta, utilización, bloqueo, suspen

sión, comunicación por transferencia

o por difusión o cualquier otra forma

de procesamiento que facilite el

acceso, correlación o interconexión

de los datos personales.

Tratamiento de datos

personales


Tratamiento de datos personales




Solamente pueden ser

objeto de tratamiento

con CONSENTIMIENTO

de su titular, salvo ley

autoritativa al respecto.

El consentimiento debe

ser

previo, informado, expr

eso e inequívoco.

En este caso, además

de todo lo anterior, el

tratamiento requiere

que el consentimiento

se preste POR

ESCRITO.

Datos Personales

Datos Sensibles


personales




Datos relacionados

a la comisión de

infracciones

penales o

administrativas

¿Qué son infracciones penales

y administrativas?

Infracciones penales: Son los

delitos y faltas. Pueden ser

sancionadas con la privación

de la libertad.

Infracciones administrativas: Son

conductas sancionables conforme a

la Ley 27444. Nunca se podrá

disponer la privación de la libertad.



Datos relacionados

a la comisión de

infracciones

penales o

administrativas

Tratamiento de

datos personales

Solamente puede ser efectuado por las entidades públicas competentes.Cuando se haya producido la cancelación de los antecedentes penales, judiciales, policiales yadministrativos, estos datos no pueden ser suministrados salvo que sean requeridos por elPoder Judicial o el Ministerio Público, conforme a ley.



Características del Tratamiento de datos

personales contenidos en “Listas Negras”

No hay consentimiento del titular de

los datos personales.

Las bases de datos personales no

están inscritas en el RNPDP.

La base de datos personales no está

creada de acuerdo a la ley.

Infracciones


personales


Transferencia internacional de datos

personales a un destinatario situado

en un país distinto al país de origen

de los datos personales, sin

importar el soporte en que estos se

encuentren, los medios por los

cuales se efectuó la transferencia ni

el tratamiento que reciban.

Flujo transfronterizo

de datos personales


Flujo transfronterizo de datos personales



Flujo transfronterizo

1. Transferencia de DP fuera del Perú

2. Importador se obliga a observar la ley y el reglamento

3. Se requiere consentimiento del

titular de los DP

4. Carga de la prueba recae en el emisor

5. Importador de DP debe asumir las

mismas obligaciones que el titular del BDP



Autoridad Nacional de Protección de Datos Personales.ANPDP

LISTAS NEGRASEs una lista de personas, instituciones u objetos que deben

ser discriminados en alguna forma. Su uso puede ser

repudiable ya que, en general no se ajusta a las normas

legales que otorga el derecho a las personas.

ADAPTACIÓNConjunto de cambios y modificaciones de un organismo

viviente para ajustarse a un ambiente.

El consentimiento es un concepto jurídico que hace

referencia a la exteriorización de la voluntad entre dos o

varias personas para aceptar derechos y obligaciones

CONSENTIMIENTO

CONTRAVINIENDO Obrar en contra de lo que está establecido o mandado

NTP ISO/IEC

17799 EDI

Esta Norma Técnica Peruana establece recomendaciones

para realizar la gestión de la seguridad de la información que

pueden utilizarse por los responsables de iniciar, implantar o

mantener la seguridad en una organización

OTROS CONCEPTOS

Registro Nacional de Protección de Datos Personales.RNPDP



Principios rectores

Principio de consentimiento

Principio de finalidad

Principio de calidad

Principio de seguridad



Principio de consentimiento

Titular del banco de datos personales

o el responsable del tratamiento

Debe obtener el

consentimiento

para el

tratamiento de

Datos

Personales

Consentimiento

Libre

Previo

Expreso e inequívoco

Informado

Para datos sensibles, debe prestarse por

escrito

Carga de la prueba recae en el titular del banco de datos o en el responsable

del tratamiento

Titular de datos personales puede revocarlo en cualquier

momento, sin justificación y sin efectos retroactivos



¿Sabías que?

… los armarios, archivadores u otros elementos en los que se almacenendocumentos no automatizados con datos personales deberán encontrarseen áreas en las que el acceso esté protegido con puertas de acceso dotadasde sistema de apertura mediante llave u otro dispositivo equivalente?

… dichas áreas deben permanecer cerradas cuando no sea preciso el accesoa los documentos incluidos en el banco de datos?

… la generación de copias de los documentos únicamente podrá serrealizada por personal autorizado?

… el acceso a la documentación se limitará al personal autorizado?




¿Sabías que?

… los sistemas informáticos que manejan bancos de datos personales deberánincluir control de acceso a la información, incluyendo gestión de accesos, deprivilegios, identificación del usuario y verificación periódica de privilegios, asícomo generar y mantener registros que provean evidencia sobre interacciones?

… los ambientes en los que se procese, almacene o transmita la informacióndeberán ser implementados controles de seguridad (NTP ISO/IEC 17799 EDI.Tecnología de la Información. Código de Buenas Prácticas para la Gestión de laSeguridad de la Información?

… se deben contemplar mecanismos de respaldo con un procedimiento queverifique la integridad de los datos y la recuperación completa ante unainterrupción o daño?




A ser informado previamente.

A acceder a la base de

datos personales.

A

actualizar, incluir, rectificar

y suprimir.

A impedir el suministro.

A oponerse al tratamiento.

Al tratamiento objetivo.

A la tutela.

A ser indemnizado.

Derechos del titular de

los datos personales



Tratamiento previo

consentimiento.

No recopilar mediante

medios fraudulentos,

ilícitos y desleales.

Recopilar datos

actualizados y pertinentes.

No utilizar los datos para

fines distintos.

Suprimir los datos cuando

dejen de ser necesarios.

Informar y permitir el

acceso a la ANPDP.

Obligaciones del titular y

del encargado del Banco

de Datos Personales



ENFOQUE PRÁCTICO DE ADECUACIÓN

Inscripción y

regularización

Políticas de protección

de datos personales

Designación de

responsable del

tratamiento



INFRACCIONES Y SANCIONES

Infracciones Leves

Dar tratamiento a datos personales sin recabar el consentimiento de

sus titulares, cuando el mismo sea necesario conforme a lo dispuesto en

esta Ley.

No atender, impedir u obstaculizar el ejercicio de los derechos del titular

de datos personales reconocidos en el título III, cuando legalmente

proceda.

Obstruir el ejercicio de la función fiscalizadora de la Autoridad Nacional

de Protección de Datos Personales

Infracciones Leves

Infracciones Graves

Infracciones Muy Graves




Infracciones Graves

Dar tratamiento a los datos personales contraviniendo los principios

establecidos en la presente Ley o incumpliendo sus demás disposiciones

o las de su Reglamento.

Incumplir la obligación de confidencialidad establecida en el artículo 17.

No atender, impedir u obstaculizar, en forma sistemática, el ejercicio de

los derechos del titular de datos personales reconocidos en el título

III, cuando legalmente proceda.

Obstruir, en forma sistemática, el ejercicio de la función fiscalizadora de

la Autoridad Nacional de Protección de Datos Personales.

No inscribir el banco de datos personales en el Registro Nacional de

Protección de Datos Personales.

Infracciones Leves

Infracciones Graves






Dar tratamiento a los datos personales contraviniendo los principios establecidos en

la presente Ley o incumpliendo sus demás disposiciones o las de su

Reglamento, cuando con ello se impida o se atente contra el ejercicio de los derechos

fundamentales.

Crear, modificar, cancelar o mantener bancos de datos personales sin cumplir con lo

establecido por la presente Ley o su reglamento.

Suministrar documentos o información falsa o incompleta a la Autoridad Nacional de

Protección de Datos Personales.

No cesar en el tratamiento ilícito de datos personales, cuando existiese un previo

requerimiento de la Autoridad Nacional de Protección de Datos Personales para ello.

No inscribir el banco de datos personales en el Registro Nacional de Protección de

Datos Personales, no obstante haber sido requerido para ello por la Autoridad Nacional

de Protección de Datos Personales.

Infracciones Leves

Infracciones Graves




SANCIONES ECONOMICAS

Dar tratamiento sin consentimiento.

No inscribir el BDP en el RNPDP.

Crear, modificar, cancelar o mantener

BDP sin cumplir la ley.

No cesar en el tratamiento pese a

requerimiento de ANPDP.

No inscribir el BDP en el RNPDP pese a

requerimiento.

5 UIT

50

UIT

100

UIT

100

UIT

100

UITSon recursos de la

ANPDP los montos

que recaude por

concepto de multas.

Unidad

Impositiva

Tributaria – UIT

Para el 2014

S/.3,800



Lima, ene. 14 (ANDINA). Aclaran que Estado no accederá a datos personales ni los administrará.

El Ministerio de Justicia informó hoy que el Estado solo será vigilante del uso adecuado de todos

los datos personales que la ciudadanía entregue a bancos u otras entidades para diferentes

actividades, y no accederá a ellos ni los administrará.

Se informó que, protegiendo los intereses de la ciudadanía, la Autoridad Nacional de Protección

de Datos Personales (ANPDP) buscará terminar con los días en que cualquiera, con fines

comerciales o delincuenciales, podía acceder sin autorización ni mayor esfuerzo.

En ese sentido, dicho sector, mediante la ANPDP continúa con la reglamentación de la Ley 29733

“Ley de Protección de Datos Personales”, que regula y garantiza el derecho de la población a

proteger el uso de sus datos personales de forma tal que no le resulte perjudicial.

Por ello, el director nacional de Justicia y jefe de la ANPDP, José Quiroga, dijo que se realizan

coordinaciones para la firma de un convenio de cooperación con la Agencia Española de

Protección de Datos (AEPD), para la transferencia gratuita de tecnología informática.

Quiroga resaltó que esta tecnología permitirá que la ANPDP inicie sus labores con un soporte

informático de primer orden que facilite tanto su labor, como la adecuación y autoevaluación de

los titulares de bancos de datos personales a los estándares que la ley exige.

El convenio se suscribirá en el marco de las actividades de capacitación que la ANPDP tiene

previstas en este mes y que incluyen su asistencia a un seminario organizado por la AEPD en la

ciudad de Madrid (España), del 24 al 27 de este mes.


LOGO DE

LA EMPRESA

¡Gracias!

Ley de protección de datos personales

Education

Transcript of Ley de protección de datos personales