Alcances de la Directiva de Seguridad de la Información administrada por los ...
Alcances sobre la Directiva de Seguridad de la información administrada por los bancos de datos personales - Ley 29733
1. Lima – Agosto 2012
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
Lima – Noviembre 2013
Alcances de la Directiva de Seguridad de laAlcances de la Directiva de Seguridad de la
Información administrada por los Bancos deInformación administrada por los Bancos de
Datos PersonalesDatos Personales
Carlos A. Horna Vallejos
Consultor en Sistemas de Gestión
Seguridad de la Información y Ciberseguridad
2. Lima – Agosto 2012
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
Lima – Noviembre 2013
AgendaAgenda
● Seguridad de la Información
● Referencias de seguridad en la ley 29733
● La Directiva de Seguridad de la Información
Administrada por los Bancos de Datos Personale
● Condiciones de seguridad
● Requisitos de seguridad
● Disposiciones específicas
● Medidas de seguridad
3. Lima – Agosto 2012Lima – Noviembre 2013
Seguridad de la InformaciónSeguridad de la Información
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
4. Lima – Agosto 2012Lima – Noviembre 2013
Confidencialidad
Disponibilidad
Integridad
Propiedad de ser
accesible y útil a
petición por una
entidad autorizada
Propiedad de que la
información no esté
disponible o se
revelará a personas
no autorizadas,
entidades o procesos
Propiedad del proteger la
exactitud e integridad de los
activos
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
5. Lima – Agosto 2012Lima – Noviembre 2013
Seguridad de la
Información
Confidencialidad Disponibilidad
Integridad
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
6. Lima – Agosto 2012Lima – Noviembre 2013
Referencias de seguridad en la ley 29733Referencias de seguridad en la ley 29733
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
7. Lima – Agosto 2012Lima – Noviembre 2013
Articulo 2.- Definiciones
10. Nivel suficiente de protección para los datos
personales
Nivel de Protección que abarca por lo menos la consignación y el
respeto de los principios rectores de esta Ley, así como medidas
técnicas de seguridad y confidencialidad, apropiadas según la
categoría de datos que se trate.
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
8. Lima – Agosto 2012Lima – Noviembre 2013
Principio de legalidad
Principio de consentimiento
Principio de finalidad
Principio de proporcionalidad
Principio de calidad
Principio de seguridad
Principio de disposición de recurso
Principio de nivel de protección adecuado
Nivel
suficiente
de
protección
para los
datos
personales.
Datos
personales.
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
9. Lima – Agosto 2012Lima – Noviembre 2013
Articulo 8.- Principio de calidad
Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible,
actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados.
Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con
la finalidad del tratamiento.
Calidad Integridad
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
10. Lima – Agosto 2012Lima – Noviembre 2013
Articulo 9.- Principio de seguridad
El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas,
organizativas y legales necesarias para garantizar la seguridad de los datos personales.
Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la
categoría de datos personales de que se trate.
Apropiadas y acorde con el tratamiento y la categoría de
datos personales de que se trate.
Medias Técnicas
Medias Organizativas
Medias Legales
Seguridad de
Datos
Personales
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
11. Lima – Agosto 2012Lima – Noviembre 2013
Articulo 11.- Principio de Nivel de protección
adecuado
Para el flujo transfronterizo de datos personales, se debe
garantizar un nivel suficiente de protección para los datos
personales que se vayan a tratar o, por lo menos, equiparable a
lo previsto por esta ley o por los estándares internacionales en la
materia.
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
12. Lima – Agosto 2012Lima – Noviembre 2013
Articulo 16.- Seguridad del tratamiento de datos personales
Para fines del tratamiento de datos personales, el titular del banco de datos personales debe adoptar medidas
técnicas, organizativas y legales que garanticen su seguridad y eviten su alteración, perdida, tratamiento o acceso
no autorizado.
Titular del Banco de
Datos Personales
Medias Técnicas
Medias Organizativas
Medias Legales
Amenazas
contempladas
Alteración
Pérdida
Tratamiento o
acceso no
autorizado
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
13. Lima – Agosto 2012Lima – Noviembre 2013
Articulo 16.- Seguridad del tratamiento de datos personales
Para fines del tratamiento de datos personales, el titular del banco de datos personales debe adoptar medidas
técnicas, organizativas y legales que garanticen su seguridad y eviten su alteración, perdida, tratamiento o acceso
no autorizado.
Los requisitos y condiciones que deben reunir los bancos de datos personales en materia de seguridad son
establecidos por la autoridad nacional de protección de datos personales, salvo la existencia de disposiciones
especiales contenidas en otras leyes.
Autoridad Nacional de Protección de Datos
Personales
Requisitos que deben reunir los
bancos de datos personales en materia
de seguridad
Condiciones que deben reunir los
bancos de datos personales en
materia de seguridad
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
14. Lima – Agosto 2012Lima – Noviembre 2013
Articulo 16.- Seguridad del tratamiento de datos personales
Para fines del tratamiento de datos personales, el titular del banco de datos personales debe adoptar medidas
técnicas, organizativas y legales que garanticen su seguridad y eviten su alteración, perdida, tratamiento o acceso
no autorizado.
Los requisitos y condiciones que deben reunir los bancos de datos personales en materia de seguridad son
establecidos por la autoridad nacional de protección de datos personales, salvo la existencia de disposiciones
especiales contenidas en otras leyes.
Queda prohibido el tratamiento de datos personales en bancos de datos que no reúnan los requisitos y las
condiciones de seguridad a que se refiere este articulo.
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
15. Lima – Agosto 2012Lima – Noviembre 2013
Tratamiento de Datos personales (Aspectos de Seguridad)
Titular del Banco de
Datos Personales
Banco de
datos
personales.
Medias Técnicas
Medias Organizativas
Medias Legales
Amenazas
contempladas
Alteración
Pérdida
Tratamiento o
acceso no
autorizado
Autoridad
Nacional de
Protección de
Datos Personales
Requisitos que
deben reunir los
bancos de datos
personales en
materia de
seguridad Nivel
suficiente
de
protección
para los
datos
personales.
Condiciones
que deben
reunir los bancos
de datos
personales en
materia de
seguridad
Disposiciones
especiales
contenidas en
otras leyes.
Obligaciones
del Titular y
del Encargado
del Banco de
Datos
Personales
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
16. Lima – Agosto 2012Lima – Noviembre 2013
La Directiva de Seguridad de la InformaciónLa Directiva de Seguridad de la Información
Administrada por los Bancos de DatosAdministrada por los Bancos de Datos
PersonalesPersonales
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
17. Lima – Agosto 2012Lima – Noviembre 2013
EstructuraEstructura
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
I. OBJETIVO
II. BASE LEGAL
III. ALCANCE
IV. RESPONSABILIDAD
V. DISPOSICIONES GENERALES
VI. DISPOSICIONES ESPECÍFICAS
VII.PROCEDIMIENTO
VIII.DISPOSICIONES COMPLEMENTARIAS
IX. ANEXOS
18. Lima – Agosto 2012Lima – Noviembre 2013
ProcedimientoProcedimiento
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
Fin
Inicio
Generar Condiciones
Implementar Requisitos
Incorporar el tratamiento
de datos personales en
el alcance del SGSI.
Medidas Organizativas de
Seguridad
SI
NOCategorización
Crítico
Medidas legales de seguridad
Medidas Técnicas de seguridad
19. Lima – Agosto 2012Lima – Noviembre 2013
Categoría en el Tratamiento de Datos Personales
Básico
Simple
Intermedio
Complejo
Crítico
● Categorías que son aplicables al
tipo de tratamiento.
● Un mismo banco de datos puede
utilizarse para múltiples
tratamientos.
● La directiva es aplicable a los
bancos de datos por ser el
contenedor de los datos
personales.
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
20. Lima – Agosto 2012Lima – Noviembre 2013
Tanto los requisitos como las medidas de seguridad a implementar están
segmentadas por tipo de tratamiento a los cuales se asigna un color para
facilitar la identificación en los cuadros mostrados :
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
21. Lima – Agosto 2012Lima – Noviembre 2013
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
22. Lima – Agosto 2012Lima – Noviembre 2013
Condiciones de seguridadCondiciones de seguridad
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
23. Lima – Agosto 2012Lima – Noviembre 2013
Condiciones de Seguridad Externa
Marco legal
apropiado (leyes,
reglamentos, o
similares).
Conocimiento y conciencia (conocer la
importancia de la protección de los datos
personales, la ley de protección de datos
personales y su reglamento).
Condiciones de Seguridad Interna
Comprender el contexto
institucional en el
tratamiento y protección de
los datos personales
(Contexto organizativo,
tecnológico, jurídico, legal,
contractual, regulatorio,
físico, etc.)
Determinar claramente las
responsabilidades y roles
organizacionales apropiados
con la suficiente autoridad y
recursos para liderar y hacer
cumplir la política de
seguridad para la protección
de datos personales.
Enfoque de gestión del
riesgo de los datos
personales contenidos o
destinados a ser
contenidos en los bancos
de datos personales.
Compromiso del titular del
banco de datos
personales (para brindar
los recursos y dirección en
la protección de los datos
personales)
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
24. Lima – Agosto 2012Lima – Noviembre 2013
Requisitos de seguridadRequisitos de seguridad
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
25. Lima – Agosto 2012Lima – Noviembre 2013
● Los requisitos deben tomarse como elementos mandatorios por
estar alineados directamente con la Ley 29733 y su reglamento.
● Están presentados en un formato de matriz (cuadro) con
desarrollo independiente por tipo de tratamiento, ilustrado para
marcar esta diferencia mediante colores.
● La sección 1.4 desarrolla de manera complementaria los
requisitos señalados en la sección 1.3 y que hacen referencia a
items específicos de la sección 1.4.
● Los requisitos varían en su nivel de detalle con el objetivo de
adecuarse al tipo de tratamiento correspondiente a un
determinado tipo de banco de datos y su titular (persona natural,
PYME, gran empresa, entidad gubernamental, etc).
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
26. Lima – Agosto 2012Lima – Noviembre 2013
Disposiciones específicasDisposiciones específicas
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
27. Lima – Agosto 2012Lima – Noviembre 2013
Para los tratamientos determinados como complejos o críticos, se debe implementar los
controles adecuados de un sistema de gestión de seguridad de la información bajo los
requisitos y controles de NTP-ISO/IEC 27001 EDI en su edición vigente, incorporando
los bancos de datos personales dentro del alcance del SGSI, asegurando como mínimo
el cumplimiento de las medidas indicadas a continuación y que los riesgos asociados al
banco de datos personales sean adecuadamente gestionados.
El titular del banco de datos personales debe designar un responsable de seguridad del
banco de datos personales, quien coordinara en la institución la aplicación de la presente
directiva. El rol de responsable de seguridad del banco de datos personales debe
asignarse a una persona que tenga las capacidades y autoridad necesaria para el
desarrollo de sus funciones. Cuando dicha designación no exista, se entiende que el rol
de responsable de seguridad del banco de datos personales recae en el titular del banco
de datos personales.
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
28. Lima – Agosto 2012Lima – Noviembre 2013
Las referencias a documentos o registros, se entiende que pueden estar en cualquier
formato o tipo de medio (Hoja impresa, cuaderno, pagina web, afiche, registro de video,
entre otros).
Limitar los bancos de datos personales a los datos estrictamente necesarios para
cumplir la finalidad para la cual fueron acopiados.
Evaluar la posibilidad de implementar mecanismos de anonimización o dosciación
aplicables.
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
29. Lima – Agosto 2012Lima – Noviembre 2013
Medidas de seguridadMedidas de seguridad
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
30. Lima – Agosto 2012Lima – Noviembre 2013
Medidas de Seguridad Organizativas
Medidas de Seguridad Jurídicas
Medidas de Seguridad Técnicas
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
31. Lima – Agosto 2012Lima – Noviembre 2013
Medidas de Seguridad Técnicas
Medidas de Seguridad Técnicas relacionadas al acceso no autorizado al banco
de datos personales
Medidas de Seguridad Técnicas relacionadas a la alteración no autorizada del
banco de datos personales
Medidas de Seguridad Técnicas relacionadas a la pérdida del banco de datos
personales
Medidas de Seguridad Técnicas relacionadas al tratamiento no autorizado del
banco de datos personales
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
32. Lima – Agosto 2012Lima – Noviembre 2013
Medidas de Seguridad Técnicas
Medidas complementarias
Desarrolla de manera complementaria las medidas de seguridad técnicas
anteriores.
Indica el item de precedencia al que se aplica.
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
33. Lima – Agosto 2012Lima – Noviembre 2013
Anexos
Contienen instrucciones que pueden ser utilizados como guía en la aplicación
de la directiva.
Incluye un ejemplo de declaración simple de cumplimiento con los principios de
la Ley.
Incluye referencias hacia la utilización de otros documentos para:
● Gestión de Riesgos
● Evaluación de Impacto en la Privacidad (PIA)
● Privacidad por Diseño (Privacy by Desgn)
Incluye una referencia al “Cuaderno de seguridad de datos personales”
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada
34. Lima – Agosto 2012Lima – Noviembre 2013
Gracias por su atenciónGracias por su atención
Carlos A. Horna Vallejos
Consultor en Sistemas de Gestión
Seguridad de la Información y Ciberseguridad
Jornada de Orientación a Titulares de Bancos de DatosJornada de Orientación a Titulares de Bancos de Datos
Personales de Administración PrivadaPersonales de Administración Privada