Amigos les comparto un “enfoque práctico de conocimiento” de la LEY DE PROTECCIÓN DE DATOS PERSONALES, que nos ayudara entender mejor. Si desean dejen sus comentarios Saludos.
1. LOGO DE
LA EMPRESA
LEY DE PROTECCIÓN DE DATOS PERSONALES
Enfoque práctico de conocimiento
Lima - Perú
2. Legislación de PDP en el Perú
El objetivo de la ley es:
Garantizar el derecho fundamental a la protección de datos personales, regulando un adecuado
tratamiento tanto por las entidades públicas como por las instituciones pertenecientes al sector
privado.
Ámbito de aplicación
¿Quién? Entidades públicas, compañías del sector privado, y personas naturales.
¿Sobre qué? Datos personales destinados a incluirse en un banco de datos. Excepto:
Datos de personas naturales para uso doméstico.
Los bancos de datos personales de la administración pública con objeto: defensa
nacional, seguridad pública, desarrollo de actividades en materia penal, etc.
¿Dónde? Aplicación territorial:
El titular del banco de datos o el responsable se encuentra ubicado en territorio
peruano, independientemente del país en el que se realicen los tratamientos el
encargado del tratamiento.
Titular o responsable en territorio no peruano:
Aplica la legislación peruana por contrato, etc.
Utiliza medios en dicho país para el tratamiento (excepto sólo transmisión).
Abril 2014LOGO DE LA EMPRESA
5. Dice: Toda persona tiene derecho a que los servicios
informáticos, computarizados o no, públicos o privados,
no suministren informaciones que afecten la intimidad
personal y familiar.
Constitución Política del Perú
de 1993 -Art. 2 inc. 6
Proyecto de Ley
N°4079/2009-PE
Directiva de Seguridad de la
Información
El Congreso de la República del Perú aprobó, el 7 de junio de
2010 el Proyecto de Ley N 4079/2009-PE que propone la Ley
de Protección de Datos Personales.
El 11 de octubre de 2013 la Autoridad Nacional de
Protección de Datos (ANPDP ) publicó la Directiva de
SI, para orientar en las medidas técnicas a aplicar.
Cronograma de la legislación
Ley N° 29733 Protección de
Datos Personales
El 3 de julio de 2011 se publicó en el Diario Oficial, El
Peruano, la Ley Nº 29733, Ley de Protección de Datos
Personales.
DS N° 003-2013-JUS –
Reglamento de la Ley 29733
Mediante el DECRETO SUPREMO N 003-2013-JUS, publicado el
22 de marzo de 2013, se aprobó el Reglamento de Ley N
29733, el cual desarrolla y detalla las disposiciones de la ley.
Se encuentra vigente desde el 09 de mayo del 2013, tras 30
días hábiles a partir de su publicación.
Legislación de PDP en el Perú
Abril 2014LOGO DE LA EMPRESA
6. Datos Personales
Banco de Datos
Personales
Datos Sensibles
Tratamiento de datos
personales
Flujo transfronterizo de
datos personales
Principales conceptos
Legislación de PDP en el Perú
Abril 2014LOGO DE LA EMPRESA
7. Toda información sobre una
persona natural que la identifica o
la hace identificable a través de
medios que puedan ser
razonablemente
utilizados, (numérica, alfabética, grá
fica, fotográfica, acústica, sobre
hábitos personales, o de cualquier
otro tipo relativo a la persona).
Datos
Personales
Datos personales
Legislación de PDP en el Perú
Abril 2014LOGO DE LA EMPRESA
8. Conjunto de datos
personales, automatizado o
no, independientemente del
soporte, sea este
magnético, digital, óptico u otros
que se creen, cualquiera fuere la
forma o modalidad de su
creación, formación, almacenamie
nto, organización y acceso.
Banco de
Datos
Personales
Banco de Datos Personales
Legislación de PDP en el Perú
Abril 2014LOGO DE LA EMPRESA
9. Son los datos de la esfera más
íntima de la persona:
Constituidos por los datos
biométricos que por sí mismos
puedan identificar al titular, datos
referidos al origen racial y
étnico, ingresos
económicos, opiniones o
convicciones
políticas, religiosas, filosóficas o
morales, afiliación sindical, e
información relacionada con la
salud o a la vida sexual.
Datos
Sensibles
Legislación de PDP en el Perú
Datos Sensibles
Abril 2014LOGO DE LA EMPRESA
10. Cualquier operación o
procedimiento
técnico, automatizado o no, que
permite la
recopilación, registro, organización,
almacenamiento, conservación, elab
oración, modificación, extracción, c
onsulta, utilización, bloqueo, suspen
sión, comunicación por transferencia
o por difusión o cualquier otra forma
de procesamiento que facilite el
acceso, correlación o interconexión
de los datos personales.
Tratamiento
de datos
personales
Legislación de PDP en el Perú
Tratamiento de datos personales
Abril 2014LOGO DE LA EMPRESA
11. Legislación de PDP en el Perú
Tratamiento de datos personales
Solamente pueden ser
objeto de tratamiento
con CONSENTIMIENTO
de su titular, salvo ley
autoritativa al respecto.
El consentimiento debe
ser
previo, informado, expr
eso e inequívoco.
En este caso, además
de todo lo anterior, el
tratamiento requiere
que el consentimiento
se preste POR
ESCRITO.
Datos
Personales
Datos
Sensibles
Tratamiento
de datos
personales
Abril 2014LOGO DE LA EMPRESA
12. Legislación de PDP en el Perú
Tratamiento de datos personales
Datos relacionados
a la comisión de
infracciones
penales o
administrativas
¿Qué son infracciones penales
y administrativas?
Infracciones penales: Son los
delitos y faltas. Pueden ser
sancionadas con la privación
de la libertad.
Infracciones administrativas: Son
conductas sancionables conforme a
la Ley 27444. Nunca se podrá
disponer la privación de la libertad.
Abril 2014LOGO DE LA EMPRESA
13. Legislación de PDP en el Perú
Datos relacionados
a la comisión de
infracciones
penales o
administrativas
Tratamiento de
datos personales
Solamente puede ser efectuado por las entidades públicas competentes.
Cuando se haya producido la cancelación de los antecedentes penales, judiciales, policiales y
administrativos, estos datos no pueden ser suministrados salvo que sean requeridos por el
Poder Judicial o el Ministerio Público, conforme a ley.
Abril 2014LOGO DE LA EMPRESA
14. Legislación de PDP en el Perú
Características del Tratamiento de datos
personales contenidos en “Listas Negras”
No hay consentimiento del titular de
los datos personales.
Las bases de datos personales no
están inscritas en el RNPDP.
La base de datos personales no está
creada de acuerdo a la ley.
Infracciones
Tratamiento
de datos
personales
Abril 2014LOGO DE LA EMPRESA
15. Transferencia internacional de datos
personales a un destinatario situado
en un país distinto al país de origen
de los datos personales, sin
importar el soporte en que estos se
encuentren, los medios por los
cuales se efectuó la transferencia ni
el tratamiento que reciban.
Flujo
transfronterizo
de datos
personales
Legislación de PDP en el Perú
Flujo transfronterizo de datos personales
Abril 2014LOGO DE LA EMPRESA
16. Legislación de PDP en el Perú
Flujo transfronterizo
1. Transferencia de
DP fuera del Perú
2. Importador se
obliga a observar la
ley y el reglamento
3. Se requiere
consentimiento del
titular de los DP
4. Carga de la prueba
recae en el emisor
5. Importador de DP
debe asumir las
mismas obligaciones
que el titular del BDP
Abril 2014LOGO DE LA EMPRESA
17. Legislación de PDP en el Perú
Autoridad Nacional de Protección de Datos Personales.ANPDP
LISTAS NEGRAS
Es una lista de personas, instituciones u objetos que deben
ser discriminados en alguna forma. Su uso puede ser
repudiable ya que, en general no se ajusta a las normas
legales que otorga el derecho a las personas.
ADAPTACIÓN
Conjunto de cambios y modificaciones de un organismo
viviente para ajustarse a un ambiente.
El consentimiento es un concepto jurídico que hace
referencia a la exteriorización de la voluntad entre dos o
varias personas para aceptar derechos y obligaciones
CONSENTIMIENTO
CONTRAVINIENDO Obrar en contra de lo que está establecido o mandado
NTP ISO/IEC
17799 EDI
Esta Norma Técnica Peruana establece recomendaciones
para realizar la gestión de la seguridad de la información que
pueden utilizarse por los responsables de iniciar, implantar o
mantener la seguridad en una organización
OTROS CONCEPTOS
Registro Nacional de Protección de Datos Personales.RNPDP
Abril 2014LOGO DE LA EMPRESA
18. Legislación de PDP en el Perú
Principios rectores
Principio de
consentimiento
Principio de
finalidad
Principio de
calidad
Principio de
seguridad
Abril 2014LOGO DE LA EMPRESA
19. Legislación de PDP en el Perú
Principio de
consentimiento
Titular del banco de datos personales
o el responsable del tratamiento
Debe obtener el
consentimiento
para el
tratamiento de
Datos
Personales
Consentimiento
Libre
Previo
Expreso e
inequívoco
Informado
Para datos
sensibles, debe
prestarse por
escrito
Carga de la prueba recae
en el titular del banco de
datos o en el responsable
del tratamiento
Titular de datos personales puede
revocarlo en cualquier
momento, sin justificación y sin
efectos retroactivos
Abril 2014LOGO DE LA EMPRESA
20. Legislación de PDP en el Perú
¿Sabías que?
… los armarios, archivadores u otros elementos en los que se almacenen
documentos no automatizados con datos personales deberán encontrarse
en áreas en las que el acceso esté protegido con puertas de acceso dotadas
de sistema de apertura mediante llave u otro dispositivo equivalente?
… dichas áreas deben permanecer cerradas cuando no sea preciso el acceso
a los documentos incluidos en el banco de datos?
… la generación de copias de los documentos únicamente podrá ser
realizada por personal autorizado?
… el acceso a la documentación se limitará al personal autorizado?
Banco de Datos Personales
Abril 2014LOGO DE LA EMPRESA
21. Legislación de PDP en el Perú
¿Sabías que?
… los sistemas informáticos que manejan bancos de datos personales deberán
incluir control de acceso a la información, incluyendo gestión de accesos, de
privilegios, identificación del usuario y verificación periódica de privilegios, así
como generar y mantener registros que provean evidencia sobre interacciones?
… los ambientes en los que se procese, almacene o transmita la información
deberán ser implementados controles de seguridad (NTP ISO/IEC 17799 EDI.
Tecnología de la Información. Código de Buenas Prácticas para la Gestión de la
Seguridad de la Información?
… se deben contemplar mecanismos de respaldo con un procedimiento que
verifique la integridad de los datos y la recuperación completa ante una
interrupción o daño?
Banco de Datos Personales
Abril 2014LOGO DE LA EMPRESA
22. Legislación de PDP en el Perú
A ser informado previamente.
A acceder a la base de
datos personales.
A
actualizar, incluir, rectificar
y suprimir.
A impedir el suministro.
A oponerse al tratamiento.
Al tratamiento objetivo.
A la tutela.
A ser indemnizado.
Derechos del titular de
los datos personales
Abril 2014LOGO DE LA EMPRESA
23. Legislación de PDP en el Perú
Tratamiento previo
consentimiento.
No recopilar mediante
medios fraudulentos,
ilícitos y desleales.
Recopilar datos
actualizados y pertinentes.
No utilizar los datos para
fines distintos.
Suprimir los datos cuando
dejen de ser necesarios.
Informar y permitir el
acceso a la ANPDP.
Obligaciones del titular y
del encargado del Banco
de Datos Personales
Abril 2014LOGO DE LA EMPRESA
24. Legislación de PDP en el Perú
ENFOQUE PRÁCTICO DE ADECUACIÓN
Inscripción y
regularización
Políticas de protección
de datos personales
Designación de
responsable del
tratamiento
Abril 2014LOGO DE LA EMPRESA
25. Legislación de PDP en el Perú
INFRACCIONES Y SANCIONES
Infracciones Leves
Dar tratamiento a datos personales sin recabar el consentimiento de
sus titulares, cuando el mismo sea necesario conforme a lo dispuesto en
esta Ley.
No atender, impedir u obstaculizar el ejercicio de los derechos del titular
de datos personales reconocidos en el título III, cuando legalmente
proceda.
Obstruir el ejercicio de la función fiscalizadora de la Autoridad Nacional
de Protección de Datos Personales
Infracciones Leves
Infracciones Graves
Infracciones Muy Graves
Abril 2014LOGO DE LA EMPRESA
26. Legislación de PDP en el Perú
INFRACCIONES Y SANCIONES
Infracciones Graves
Dar tratamiento a los datos personales contraviniendo los principios
establecidos en la presente Ley o incumpliendo sus demás disposiciones
o las de su Reglamento.
Incumplir la obligación de confidencialidad establecida en el artículo 17.
No atender, impedir u obstaculizar, en forma sistemática, el ejercicio de
los derechos del titular de datos personales reconocidos en el título
III, cuando legalmente proceda.
Obstruir, en forma sistemática, el ejercicio de la función fiscalizadora de
la Autoridad Nacional de Protección de Datos Personales.
No inscribir el banco de datos personales en el Registro Nacional de
Protección de Datos Personales.
Infracciones Leves
Infracciones Graves
Infracciones Muy Graves
Abril 2014LOGO DE LA EMPRESA
27. Legislación de PDP en el Perú
INFRACCIONES Y SANCIONES
Infracciones Muy Graves
Dar tratamiento a los datos personales contraviniendo los principios establecidos en
la presente Ley o incumpliendo sus demás disposiciones o las de su
Reglamento, cuando con ello se impida o se atente contra el ejercicio de los derechos
fundamentales.
Crear, modificar, cancelar o mantener bancos de datos personales sin cumplir con lo
establecido por la presente Ley o su reglamento.
Suministrar documentos o información falsa o incompleta a la Autoridad Nacional de
Protección de Datos Personales.
No cesar en el tratamiento ilícito de datos personales, cuando existiese un previo
requerimiento de la Autoridad Nacional de Protección de Datos Personales para ello.
No inscribir el banco de datos personales en el Registro Nacional de Protección de
Datos Personales, no obstante haber sido requerido para ello por la Autoridad Nacional
de Protección de Datos Personales.
Infracciones Leves
Infracciones Graves
Infracciones Muy Graves
Abril 2014LOGO DE LA EMPRESA
28. Legislación de PDP en el Perú
SANCIONES ECONOMICAS
Dar tratamiento sin consentimiento.
No inscribir el BDP en el RNPDP.
Crear, modificar, cancelar o mantener
BDP sin cumplir la ley.
No cesar en el tratamiento pese a
requerimiento de ANPDP.
No inscribir el BDP en el RNPDP pese a
requerimiento.
5 UIT
50
UIT
100
UIT
100
UIT
100
UIT
Son recursos de la
ANPDP los montos
que recaude por
concepto de multas.
Unidad
Impositiva
Tributaria – UIT
Para el 2014
S/.3,800
Abril 2014LOGO DE LA EMPRESA
29. Legislación de PDP en el Perú
Lima, ene. 14 (ANDINA). Aclaran que Estado no accederá a datos personales ni los administrará.
El Ministerio de Justicia informó hoy que el Estado solo será vigilante del uso adecuado de todos
los datos personales que la ciudadanía entregue a bancos u otras entidades para diferentes
actividades, y no accederá a ellos ni los administrará.
Se informó que, protegiendo los intereses de la ciudadanía, la Autoridad Nacional de Protección
de Datos Personales (ANPDP) buscará terminar con los días en que cualquiera, con fines
comerciales o delincuenciales, podía acceder sin autorización ni mayor esfuerzo.
En ese sentido, dicho sector, mediante la ANPDP continúa con la reglamentación de la Ley 29733
“Ley de Protección de Datos Personales”, que regula y garantiza el derecho de la población a
proteger el uso de sus datos personales de forma tal que no le resulte perjudicial.
Por ello, el director nacional de Justicia y jefe de la ANPDP, José Quiroga, dijo que se realizan
coordinaciones para la firma de un convenio de cooperación con la Agencia Española de
Protección de Datos (AEPD), para la transferencia gratuita de tecnología informática.
Quiroga resaltó que esta tecnología permitirá que la ANPDP inicie sus labores con un soporte
informático de primer orden que facilite tanto su labor, como la adecuación y autoevaluación de
los titulares de bancos de datos personales a los estándares que la ley exige.
El convenio se suscribirá en el marco de las actividades de capacitación que la ANPDP tiene
previstas en este mes y que incluyen su asistencia a un seminario organizado por la AEPD en la
ciudad de Madrid (España), del 24 al 27 de este mes.
Abril 2014LOGO DE LA EMPRESA