jueves, 6 de febrero de 2014

IMPLANTACIÓN DE LA LEY DE PROTECCIÓN DE DATOS PERSONALES

Realizando un breve análisis de la Directiva de Seguridad de la Ley de protección de datos personales – Perú. El 16 de octubre del 2013 se publicó en la página web de la Autoridad Nacional de Protección de Datos Personales la Directiva de Seguridad en la Información (la “Directiva de Seguridad”), con el fin de establecer lineamientos sobre las condiciones, requisitos y medidas técnicas que se deben adoptar para cumplir la Ley N° 29733, Ley de Protección de Datos Personales (la “Ley”) en materia de medidas de seguridad de los bancos de datos. La Directiva proporciona lineamientos sobre los siguientes aspectos vinculados a la protección de datos personales: (i) medidas de seguridad, (ii) medidas organizativas, (iii) medidas legales y (iv) medidas técnicas. En ese sentido, a continuación, se presenta un resumen de las medidas de protección reguladas por este documento.


I. Medidas de Seguridad
1.1 Disposiciones Generales
La Directiva clasifica el tratamiento de datos personales en cinco (5) categorías según las siguientes características: (i) volumen de registros, (ii) número de datos, (iii) periodo durante el cual se realiza el tratamiento, (iv) finalidad del tratamiento de los datos personales, (v) múltiples localizaciones y (vi) tratamientos de datos sensibles.
En atención a estos criterios, la Directiva regula las siguientes categorías de tratamiento:
Básica: (i) no contiene información de más de cincuenta (50) personas, (ii) número de datos
Personales tratados no es mayor a cinco (5), (iii) no incluyen datos sensibles y (iv) el titular del
banco es una persona natural.2 Simple: (i) no contiene información de más de cien (100) personas, (ii) el periodo de tratamiento para cumplir la finalidad es inferior a un (1) año, (iii) no incluyen datos sensibles, (iv) el titular del banco es una persona natural o jurídica.
Intermedio: (i) contienen la información de hasta mil (1000) personas, (ii) el periodo de tratamiento para cumplir la finalidad es un plazo indeterminado o superior a un (1) año, (iii) puede incluir datos sensibles, (iv) el titular del banco es una persona natural o jurídica.
Complejo: (i) sirven para el tratamiento de datos personales cuyo fin se cumple en un plazo indeterminado o superior a un (1) año; (ii) el tratamiento de datos personales es realizado en múltiples localizaciones (oficinas o dependencias diferentes en la misma ciudad o ciudades diferentes, servicios tercerizados o similares), (iii) pueden incluir datos sensibles, (iv) el titular del banco de datos personales es una persona jurídica o entidad pública.
Crítico: tratamiento de datos personales cuya finalidad está respaldada en una norma legal, (ii) el tratamiento de datos se cumple en un plazo indeterminado o superior a un (1) año; (iii) el tratamiento de datos personales es realizado en múltiples localizaciones (oficinas o dependencias diferentes en la misma ciudad o ciudades diferentes, servicios tercerizados o similares); (iv) pueden incluir datos sensibles; (v) tiene como titular a una persona jurídica o entidad pública.
1.2 Condiciones de seguridad
La Directiva establece ciertas condiciones internas y externas que deben cumplirse en materia de seguridad. Las condiciones externas implican el conocimiento y compromiso de cumplir las normas de protección de datos personales. Las condiciones internas implican la elaboración de una política de protección de datos personales y tener un enfoque de gestión del riesgo de los datos personales sobre los que se brinda tratamiento.
1.3 Requisitos de seguridad
Todas los bancos de datos personales deben cumplir requisitos de seguridad que varían dependiendo de la categoría de tratamiento de datos que realiza el titular del banco (básico, simple, intermedio, complejo o crítico). El tal sentido, las categorías de tratamiento deben cumplir (en mayor o menor medida) los siguientes
requisitos: (i) contar con una política de seguridad de datos, (ii) implementar medidas de seguridad (iii) mantener procedimientos documentado, (iv) adoptar un enfoque de riesgos para fundamentar su tratamiento (v) utilizar de guía la NTP-ISO/IEC 27001 o ISO/IEC 27001 en su edición vigente, (vi) desarrollar y mantener un documento maestro de seguridad de la información; y (vii) mantener actualizado un documento de compromiso de confidencialidad de seguridad en el tratamiento de datos personales.
1.4 Información complementaria sobre requisitos de seguridad
La política de protección de datos que debe mantener el titular del banco de datos es una declaración formal de compromiso y debe considerar: (i) ser clara y comprensible, (ii) apropiada para los objetivos de la organización, (iii) constituye un lineamiento de alto nivel organizacional, (iv) debe incluir un compromiso de cumplimiento de los requisitos de seguridad aplicables, (v) incluir compromiso de respeto; y (vi) comunicarse oportuna y claramente al interior de la organización. Asimismo, en materia de requisitos de seguridad, las categorías de tratamiento de datos personales, según corresponda, deben implementar los siguientes procedimientos documentados: (i) control de documentos y registros, (ii) registro de accesos, (iii) registros de personal con acceso autorizado, (iv) registro de incidentes y medidas adoptadas; y (v) registro de auditorías.
II. Disposiciones especificas
La Directiva ha regulado disposiciones específicas para las categorías de tratamientos de datos personales complejos o críticos, como por ejemplo implementar controles de seguridad de la información según la NTP-ISO/IEC 27001-EDI vigente. Asimismo, los tratamientos intermedios, complejos y críticos deben designar un responsable de seguridad del banco de datos personales, quien coordinará en la institución la aplicación de la Directiva.
Por otro lado, en todas las categorías de tratamiento, los bancos de datos personales deben contener la información estrictamente necesaria para cumplir la finalidad de su recopilación y se debe evaluar la posibilidad de implementar mecanismos de anonimización o disociación.
2.1 Medidas de Seguridad
La Directiva ha establecido que las distintas categorías de tratamiento de datos personales deben implementar (en mayor o menor intensidad) medidas de seguridad organizativas, jurídicas y técnicas, según se detalla a continuación.
2.1.1Medidas de Seguridad Organizativas
§  Desarrollar una estructura organizacional con roles y responsabilidades.
§  Compromiso documentado de respeto a la Ley.
§  Llevar un control y registro de operadores con acceso al banco de datos (trazabilidad).
§  Revisar periódicamente la efectividad de las medidas de seguridad adoptadas.
§  Adecuar los sistemas de gestión para el tratamiento de datos personales.
§  Adecuar los procesos del negocio en materia de datos personales.
§  Desarrollar procedimientos documentados para el tratamiento de datos personales.
§  Desarrollar programas de creación de conciencia y entrenamiento en materia de datos personales.
§  Desarrollar procedimiento de auditoría en materia de datos personales como un mínimo anual.
§  Desarrollar un procedimiento de asignación de privilegios de acceso al banco de datos personales.
2.1.2 Medidas de seguridad jurídicas
§  Mantener formatos de consentimiento adecuados para el tratamiento de datos personales.
§  Adecuación de contratos a la Ley.
§  Adecuación de contratos de terceros a la Ley.
2.1.3 Medidas de seguridad técnicas
1.       Relacionadas con el acceso no autorizado
§  Gestión y uso de contraseñas para el tratamiento a través de medios informáticos.
§  Revisión y registro de privilegios de acceso.
§  Protección contra acceso físico no autorizado al banco de datos personales.
§  Controlar e identificar las autorizaciones de acceso físico a los bancos de datos personales.
2.       Relacionadas con la alteración no autorizada del banco de datos personales
§  Gestionar autorizaciones para el retiro o traslado de datos personales.
§  Adoptar medidas para el traslado de datos personales.
§  Adoptar medidas para eliminar la información contenida en medios informáticos removibles.
§  Adoptar medidas de seguridad en materia de copias y/o reproducción de documentos.
§  Controlar la asignación de privilegios para el tratamiento de datos a usuarios no autorizados.
3.       Relacionados a la pérdida del banco de datos personales
§  Realizar copias de respaldo de los datos personales para permitir su recuperación n caso de pérdida o destrucción.
§  La recuperación de datos personales (desde su copia de respaldo) debe contar con la autorización del encargado del banco de datos personales.
§  Se deben realizar pruebas de recuperación de los datos personales respaldados para comprobar su buen funcionamiento.
4.       Relacionadas al tratamiento no autorizado del banco de datos personales.
§  El banco de datos personales no automatizado debe mantener los datos personales independizados de forma particular, de modo que pueda referirse unívocamente a un titular de datos personales sin exponer información de otro.
§  El titular del banco de datos personales debe informar al titular de los datos personales los incidentes que afecten significativamente sus derechos patrimoniales o morales, tan pronto se confirme el hecho.
§  Los equipos utilizados para el tratamiento de datos personales deben recibir el mantenimiento que corresponda de acuerdo a las especificaciones del proveedor.
§  Los equipos deben contar con protección contra software malicioso para proteger los datos personales.
§  La información electrónica que contiene datos personales debe ser almacenada en forma segura.
§  La información de datos personales que se transmite electrónicamente debe ser protegida para preservar su confidencialidad e integridad.
§  Adoptar medidas de seguridad en el flujo transfronterizo de datos personales.
§  Adoptar medidas de seguridad en servicios de tratamiento de datos personales por medios tecnológicos tercerizados.
§  Todo evento identificado que afecte la confidencialidad, integridad y disponibilidad de los datos personales o que indique un posible incumplimiento de las medidas de seguridad establecidas, debe ser reportado inmediatamente al encargado del banco de datos personales.
§  Restringir el uso de equipos de fotografía, vídeo, audio u otra forma de registro en el área de tratamiento de datos personales salvo autorización del titular del banco de datos personales.
§  Se debe realizar una auditoría sobre el cumplimiento de la presente directiva, bajo responsabilidad del titular del banco de datos personales.
§  Acciones correctivas y de mejora continua.
Finalmente, la Directiva establece que se debe considerar desarrollar programas de información dirigidos a los titularse de los datos personales sobre “consentimiento”, “derechos del titular de los datos personales” y “finalidad”. Asimismo, los encargados del tratamiento deben asegurar y mantener los mecanismos de auditoría, verificación y toma de decisiones del titular del banco que contrata sus servicios.
Análisis para implantar la Directiva de Seguridad de la Ley de protección de datos personales
En la Disposiciones específicas, la ley nos pide cumplir con la norma ISO 27001, implantada esta norma ISO nos garantiza un 80% de cumplimiento de la Ley de datos personales. Todos los que alguna vez pudimos leer la norma ISO 27001 nos dimos cuenta que se divide en clausulas globales (generales) y clausulas focales (especificas).
Como primer paso para implantar la Directiva Seguridad debemos empezar a identificar las clausulas focales, que sería:
1.       Crear un comité de la Directiva de Seguridad (integrada por: Directores, Gerentes y Jefes).
2.       Crear la Política de la ley de protección de datos personales.
3.       Plan de Concientización de la ley de protección de datos personales.
4.       Definir los roles y responsabilidades de la ley de protección de datos personales.
5.       Implementar procedimientos documentados de Seguridad Física y del entorno.
6.       Crear la Política de control de accesos.
7.       Identificar y clasificar los activos de la organización.
8.       Identificar y clasificar los procesos de la organización, contemplando procesos de mitigación de riesgos operativos.
Debemos utilizar el concepto  PDCA son el acrónimo de las palabras inglesas Plan, Do, Check, Act, equivalentes en español a Planificar, Hacer, Verificar, y Actuar.


La interpretación de este ciclo es muy sencilla: cuando se busca obtener algo, lo primero que hay que hacer es planificar cómo conseguirlo, después se procede a realizar las acciones planificadas (hacer), a continuación se comprueba qué tal se ha hecho (verificar) y finalmente se implementan los cambios pertinentes para no volver a incurrir en los mismos errores (actuar). Nuevamente se empieza el ciclo planificando su ejecución pero introduciendo las mejoras provenientes de la experiencia anterior.
Cada organización es diferente y cada tratamiento de datos de carácter personal también, lo es por lo que las acciones a emprender van a depender, entre otras cosas, del origen de los datos, del tipo de datos, de las características del tratamiento y del tipo de instalaciones y soporte en los que se encuentren almacenados dichos datos.
Espero que esta información sea de utilidad.