Ir al contenido principal

Como cumplir la Ley de Protección de Datos Personales


Como ya sabrán, la ley de protección de datos personales en el Perú entro en vigencia en Mayo del 2013  y surge de la necesidad de legislar para fomentar y promover buenas prácticas en materia de privacidad para protección de las personas y nuestros clientes, en caso de qué se esté manejando información de carácter personal. El objetivo de la ley es proteger los datos personales en posesión de las empresas y se encarga de regular que dichos datos sean utilizados únicamente con la finalidad que fueron entregados, se tenga un control de quién y para qué los tiene y que el titular o dueño de los datos siempre esté informado del tratamiento que se realice sobre dichos datos.

Actualmente, las empresas ya deben de contar con el Responsable del Departamento de Datos Personales y el Aviso de Privacidad, éste último es un documento físico, electrónico o en cualquier otro formato (visual o sonoro) que es presentado al titular previo al tratamiento de sus datos personales, y básicamente debe contener la siguiente información:
·         Quién recaba (Nombre del responsable)
·         Qué es lo que se recaba (Los datos que van a ser solicitados)
·         Para qué se recaban
·         Cómo limitar su uso o divulgación
·         Cómo revocar el consentimiento
·         Indicar los medios por los cuáles el titular puede ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)
·         Si se acepta o no que los datos se comuniquen a terceros
·         Cómo se van a comunicar cambios en el aviso de privacidad
·         Indicar si se están recabando datos sensibles (datos que en caso de ser divulgados pueden afectar a la esfera más íntima del titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste, ejemplos: creencias religiosas, afiliación sindical, información genética, etc.)
Podemos mirar a países como España, Argentina y México que ya cuentan con experiencia en esta ley, sin embargo en el Perú hay poca información de qué pasos seguir para cumplir con la misma, y no sólo en el aspecto de contar con el aviso de privacidad y un responsable del Departamento de Protección de Datos, si no qué hacer para proteger la confidencialidad e integridad de dichos datos.
A continuación, se presenta un esquema cíclico por fases de que hacer para la protección de los datos personales, incluso se puede aplicar para protección de cualquier tipo de información (propiedad intelectual, patentes u otra información sensible de las organizaciones):
Descubrir y clasificar
1.     Conocer a la organización, identificar todos los perfiles de los colaboradores, cuáles son los alcances y funciones de cada tipo de colaborador. Tener claramente identificado si la información o los datos personales los va a tratar un tercero (ejemplo: callcenter, outsourcing de servicios, etc.) y que obligaciones debe de cumplir para el cuidado de los datos. Ejem. Firmar un contrato de confidencialidad.
2.     Clasificación de los datos personales por criticidad en Baja, Media o Alta, dicho nivel de prioridad se mueve en función de la publicidad del dato hacia la intimidad del mismo. Por ejemplo, en el nivel bajo podemos considerar los datos generales como nombre, apellido, fecha de nacimiento, en un nivel medio pudiera se el perfil profesional de un empleado o candidato, antecedentes legales y finalmente en el nivel alto se encuentran todos los datos que ya invaden la privacidad, es decir los datos sensibles. Se recomienda la intervención de un experto en el tema para que apoye identificar y clasificar los datos a la organización.
3.     Realizar un inventario de los activos  y sistemas de tratamiento de los datos de la organización. Contar con la lista de dispositivos móviles tales cómo laptops, smartphones, tablets, equipos de almacenamiento, discos duros externos, USB’s, servidores, workstations, impresoras, etc. Y no sólo ello si identificar quienes tienen o deberían tener acceso a dichos activos y sistemas, preguntarse ¿qué tipo de información se almacena y procesa por equipo, dispositivo o sistema? ¿cómo está controlando el acceso a los mismos? ¿Quiénes manejan esos datos?

Evaluar y asegurar
1.     El análisis de vulnerabilidades es un componente crítico de cualquier infraestructura de seguridad,  ya que representa un diagnóstico de las debilidades que puedan tener o tienen las organizaciones en sus sistemas de información y en sus equipos, permitiendo la detección proactiva y remediación de vulnerabilidades de seguridad.
2.     Análisis de comportamiento del flujo de los datos ¿quién accede o qué tipo de usuarios acceden a ellos y cómo?, con la finalidad de identificar una intrusión o mal uso de la información.
3.     La evaluación de riesgos supone imaginarse lo que puede ir mal y a continuación estimar las consecuencias que supondría tanto cuantitativamente como cualitativamente. ¿Qué puede ir mal?, ¿Con qué frecuencia puede ocurrir? ¿Cuáles serían sus consecuencias? ¿Qué se intenta proteger? ¿Cuál es su valor para la organización? ¿Frente a qué se intenta proteger (amenazas internas y externas)? ¿Cuál es la probabilidad de un ataque?

Monitorear y fortalecer
1.     Visualizar en tiempo real qué es lo que está pasando con la información, que nos ayude a determinar si es usuario privilegiado, cómo se está teniendo acceso a la información. Para ello, nos tendríamos que contar soluciones que nos ofrezcan dicha visibilidad y que nos permita tomar medidas preventivas con base en la información que nos está mostrando.
2.     El cumplimiento de gran parte de los nuevos procedimientos estará basado fundamentalmente en la concientización y la participación de los colaboradores sobre el trato que dan a la información de sus clientes, proveedores y a su mismo personal, y la cultura que en materia de seguridad tenga la organización.
3.     Bloquear el acceso a los datos con base en alertas en tiempo real, y a la par contengan información que apoye en la educación de los usuarios del uso apropiado de la información confidencial.
4.     Contar con una solución que permita el monitoreo de flujo de datos.

Auditar y Generar reportes
1.     Revisión constante y periódica de las políticas o reglas implementadas para la protección de la información y prevención de  su fuga.
2.     Verificaciones o auditorías externas para verificar las políticas de privacidad.
3.     Generar reportes de cumplimiento para el fortalecimiento de la seguridad en los datos.
4.     Identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. Utilización de ciertas técnicas para la obtención de la evidencia.

A partir de la identificación, análisis, monitoreo y generación de reportes se debe realizar un análisis de las diferencias del estado actual versus el estado de cumplimiento y desarrollar un plan de trabajo para subsanar dichas deficiencias  en materia de seguridad. Así como crear políticas, procesos, procedimientos, implementar tecnologías que mantengan al día la protección de datos personales. El proyecto debe abarcar a toda la organización, lo que sólo puede lograrse con un fuerte respaldo de los directivos para su seguimiento y por lo tanto cumplimiento.
Finalmente, considero muy importante el ver a la ley desde una perspectiva positiva para nuestras organizaciones y no sólo por imposición, en el sentido de que le está transmitiendo a sus clientes la experiencia de que están trabajando o haciendo negocios con una empresa seria y confiable, y que puede ser un diferencial frente a su competencia y mejorar su imagen como organización.

Fuente: Jazmín Ortíz


Comentarios

Publicar un comentario

Entradas populares de este blog

Comprueba la Seguridad de tu Móvil

La mayoría de nosotros disponemos de algún tipo de dispositivo móvil -smartphone o tableta- que nos permiten llamar, enviar mensajes, hacer fotos, jugar, chatear, navegar por Internet, etc. CONAN mobile es una aplicación gratuita desarrollada por el equipo de expertos en ciberseguridad de INTECO que te ayudará a proteger tu dispositivo móvil Android. ¡Pruébala! Si estás preocupado por la seguridad de tu dispositivo móvil te recomendamos que hagas uso de CONAN mobile, una aplicación (app) gratuita desarrollada por INTECO para dispositivos Android que te permite conocer el estado de seguridad de tu dispositivo, mostrándote soluciones a posibles riesgos a los que esté expuesto y proporcionándote algunos consejos que te ayudarán a mejorar su seguridad. Entre otras funcionalidades, CONAN mobile te indicará si tienes instalada alguna aplicación maliciosa, verificará si tienes las aplicaciones correctamente actualizadas y comprobará si la configuración de tu dispositivo es co...
Publicar un comentario
Leer más

LIMA PUEDE SER UNA CIUDAD INTELIGENTE?

El concepto de ciudad Inteligente en nuestro país es todavía un terreno virgen. En algunas ciudades europeas como, Málaga ya están colocando los primeros pilares para construir las urbes del futuro: las Smart cites o ciudades inteligentes. Su objetivo es mediante el uso de tecnologías de vanguardia, conseguir una gestión sostenible de los recursos energéticos y optimizar los costes de los distintos servicios municipales. Para gestionar una ciudad inteligente se debe Diseñar, desplegar y validar   en Lima y su entorno una plataforma constituida por 12.000 dispositivos, entre sensores, captadores, actuadores, cámaras y terminales de móviles, capaces de ofrecer información útil a los ciudadanos. Todo esto como primer objetivo real. Con esta plataforma será posible que los ciudadanos conozcan desde la información sobre tiempo, el tráfico o la frecuencia de paso del trasporte público, el estado de las playas, completar trámites burocráticos en línea y de bene...
Publicar un comentario
Leer más

PROYECTO DE IMPLEMENTACIÓN DEL CATASTRO URBANO

Actualmente la tecnología esta que cumple un rol muy importante en las municipalidades, tal es el caso que algunas municipalidades están invirtiendo en la parte de gestión municipal y para eso usan como herramienta la tecnológica. Actualmente me encuentro en un proyecto llamado PROYECTO IMPLEMENTACIÓN DEL CATASTRO URBANO. Si no tiene idea de lo que se trata les explico un poco. Se entiende por Catastro Urbano al inventario de bienes inmuebles de la ciudad, debidamente actualizados y clasificados, lo cual permite identificar física, jurídica, fiscal y económicamente un bien inmueble. El Catastro en estas últimas décadas se ha convertido en una de las herramientas más eficaces para el desarrollo económico de las administraciones ediles, específicamente por tres factores: 1. Cálculo y gestión del cobro de las contribuciones asociadas a la propiedad inmueble. 2. Proporciona seguridad jurídica sobre el derecho de la propiedad. 3. Herramienta base para actualizaciones de planeamiento dentro...
9 comentarios
Leer más