LOGO DE
LA EMPRESA
LEY DE PROTECCIÓN DE DATOS PERSONALES
Enfoque práctico de conocimiento
Lima - Perú
Legislación de PDP en el Perú
El objetivo de la ley es:
Garantizar el derecho fundamental a la protección de datos personales, regulando un adecuado tratamiento tanto por las entidades públicas como por las instituciones pertenecientes al sector privado.
Ámbito de aplicación
¿Quién? Entidades públicas, compañías del sector privado, y personas naturales.
¿Sobre qué? Datos personales destinados a incluirse en un banco de datos. Excepto: Datos de personas naturales para uso doméstico. Los bancos de datos personales de la administración pública con objeto: defensa nacional, seguridad pública, desarrollo de actividades en materia penal, etc.
¿Dónde? Aplicación territorial: El titular del banco de datos o el responsable se encuentra ubicado en territorio peruano, independientemente del país en el que se realicen los tratamientos el encargado del tratamiento. Titular o responsable en territorio no peruano:
Aplica la legislación peruana por contrato, etc. Utiliza medios en dicho país para el tratamiento (excepto sólo transmisión).
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Mundo
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Latinoamérica
Abril 2014LOGO DE LA EMPRESA
Dice: Toda persona tiene derecho a que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.
Constitución Política del Perú
de 1993 -Art. 2 inc. 6
Proyecto de Ley N°4079/2009-PE
Directiva de Seguridad de la Información
El Congreso de la República del Perú aprobó, el 7 de junio de 2010 el Proyecto de Ley N 4079/2009-PE que propone la Ley de Protección de Datos Personales.
El 11 de octubre de 2013 la Autoridad Nacional de Protección de Datos (ANPDP ) publicó la Directiva de SI, para orientar en las medidas técnicas a aplicar.
Cronograma de la legislación
Ley N° 29733 Protección de Datos Personales
El 3 de julio de 2011 se publicó en el Diario Oficial, El Peruano, la Ley Nº 29733, Ley de Protección de Datos Personales.
DS N° 003-2013-JUS –Reglamento de la Ley 29733
Mediante el DECRETO SUPREMO N 003-2013-JUS, publicado el 22 de marzo de 2013, se aprobó el Reglamento de Ley N29733, el cual desarrolla y detalla las disposiciones de la ley. Se encuentra vigente desde el 09 de mayo del 2013, tras 30 días hábiles a partir de su publicación.
Legislación de PDP en el Perú
Abril 2014LOGO DE LA EMPRESA
Datos Personales
Banco de Datos Personales
Datos SensiblesTratamiento de datos
personales
Flujo transfronterizo de datos personales
Principales conceptos
Legislación de PDP en el Perú
Abril 2014LOGO DE LA EMPRESA
Toda información sobre una
persona natural que la identifica o
la hace identificable a través de
medios que puedan ser
razonablemente
utilizados, (numérica, alfabética, grá
fica, fotográfica, acústica, sobre
hábitos personales, o de cualquier
otro tipo relativo a la persona).
Datos Personales
Datos personales
Legislación de PDP en el Perú
Abril 2014LOGO DE LA EMPRESA
Conjunto de datos
personales, automatizado o
no, independientemente del
soporte, sea este
magnético, digital, óptico u otros
que se creen, cualquiera fuere la
forma o modalidad de su
creación, formación, almacenamie
nto, organización y acceso.
Banco de
Datos Personales
Banco de Datos Personales
Legislación de PDP en el Perú
Abril 2014LOGO DE LA EMPRESA
Son los datos de la esfera más
íntima de la persona:
Constituidos por los datos
biométricos que por sí mismos
puedan identificar al titular, datos
referidos al origen racial y
étnico, ingresos
económicos, opiniones o
convicciones
políticas, religiosas, filosóficas o
morales, afiliación sindical, e
información relacionada con la
salud o a la vida sexual.
Datos Sensibles
Legislación de PDP en el Perú
Datos Sensibles
Abril 2014LOGO DE LA EMPRESA
Cualquier operación o
procedimiento
técnico, automatizado o no, que
permite la
recopilación, registro, organización,
almacenamiento, conservación, elab
oración, modificación, extracción, c
onsulta, utilización, bloqueo, suspen
sión, comunicación por transferencia
o por difusión o cualquier otra forma
de procesamiento que facilite el
acceso, correlación o interconexión
de los datos personales.
Tratamiento de datos
personales
Legislación de PDP en el Perú
Tratamiento de datos personales
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
Tratamiento de datos personales
Solamente pueden ser
objeto de tratamiento
con CONSENTIMIENTO
de su titular, salvo ley
autoritativa al respecto.
El consentimiento debe
ser
previo, informado, expr
eso e inequívoco.
En este caso, además
de todo lo anterior, el
tratamiento requiere
que el consentimiento
se preste POR
ESCRITO.
Datos Personales
Datos Sensibles
Tratamiento de datos
personales
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
Tratamiento de datos personales
Datos relacionados
a la comisión de
infracciones
penales o
administrativas
¿Qué son infracciones penales
y administrativas?
Infracciones penales: Son los
delitos y faltas. Pueden ser
sancionadas con la privación
de la libertad.
Infracciones administrativas: Son
conductas sancionables conforme a
la Ley 27444. Nunca se podrá
disponer la privación de la libertad.
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
Datos relacionados
a la comisión de
infracciones
penales o
administrativas
Tratamiento de
datos personales
Solamente puede ser efectuado por las entidades públicas competentes.Cuando se haya producido la cancelación de los antecedentes penales, judiciales, policiales yadministrativos, estos datos no pueden ser suministrados salvo que sean requeridos por elPoder Judicial o el Ministerio Público, conforme a ley.
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
Características del Tratamiento de datos
personales contenidos en “Listas Negras”
No hay consentimiento del titular de
los datos personales.
Las bases de datos personales no
están inscritas en el RNPDP.
La base de datos personales no está
creada de acuerdo a la ley.
Infracciones
Tratamiento de datos
personales
Abril 2014LOGO DE LA EMPRESA
Transferencia internacional de datos
personales a un destinatario situado
en un país distinto al país de origen
de los datos personales, sin
importar el soporte en que estos se
encuentren, los medios por los
cuales se efectuó la transferencia ni
el tratamiento que reciban.
Flujo transfronterizo
de datos personales
Legislación de PDP en el Perú
Flujo transfronterizo de datos personales
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
Flujo transfronterizo
1. Transferencia de DP fuera del Perú
2. Importador se obliga a observar la ley y el reglamento
3. Se requiere consentimiento del
titular de los DP
4. Carga de la prueba recae en el emisor
5. Importador de DP debe asumir las
mismas obligaciones que el titular del BDP
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
Autoridad Nacional de Protección de Datos Personales.ANPDP
LISTAS NEGRASEs una lista de personas, instituciones u objetos que deben
ser discriminados en alguna forma. Su uso puede ser
repudiable ya que, en general no se ajusta a las normas
legales que otorga el derecho a las personas.
ADAPTACIÓNConjunto de cambios y modificaciones de un organismo
viviente para ajustarse a un ambiente.
El consentimiento es un concepto jurídico que hace
referencia a la exteriorización de la voluntad entre dos o
varias personas para aceptar derechos y obligaciones
CONSENTIMIENTO
CONTRAVINIENDO Obrar en contra de lo que está establecido o mandado
NTP ISO/IEC
17799 EDI
Esta Norma Técnica Peruana establece recomendaciones
para realizar la gestión de la seguridad de la información que
pueden utilizarse por los responsables de iniciar, implantar o
mantener la seguridad en una organización
OTROS CONCEPTOS
Registro Nacional de Protección de Datos Personales.RNPDP
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
Principios rectores
Principio de consentimiento
Principio de finalidad
Principio de calidad
Principio de seguridad
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
Principio de consentimiento
Titular del banco de datos personales
o el responsable del tratamiento
Debe obtener el
consentimiento
para el
tratamiento de
Datos
Personales
Consentimiento
Libre
Previo
Expreso e inequívoco
Informado
Para datos sensibles, debe prestarse por
escrito
Carga de la prueba recae en el titular del banco de datos o en el responsable
del tratamiento
Titular de datos personales puede revocarlo en cualquier
momento, sin justificación y sin efectos retroactivos
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
¿Sabías que?
… los armarios, archivadores u otros elementos en los que se almacenendocumentos no automatizados con datos personales deberán encontrarseen áreas en las que el acceso esté protegido con puertas de acceso dotadasde sistema de apertura mediante llave u otro dispositivo equivalente?
… dichas áreas deben permanecer cerradas cuando no sea preciso el accesoa los documentos incluidos en el banco de datos?
… la generación de copias de los documentos únicamente podrá serrealizada por personal autorizado?
… el acceso a la documentación se limitará al personal autorizado?
Banco de Datos Personales
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
¿Sabías que?
… los sistemas informáticos que manejan bancos de datos personales deberánincluir control de acceso a la información, incluyendo gestión de accesos, deprivilegios, identificación del usuario y verificación periódica de privilegios, asícomo generar y mantener registros que provean evidencia sobre interacciones?
… los ambientes en los que se procese, almacene o transmita la informacióndeberán ser implementados controles de seguridad (NTP ISO/IEC 17799 EDI.Tecnología de la Información. Código de Buenas Prácticas para la Gestión de laSeguridad de la Información?
… se deben contemplar mecanismos de respaldo con un procedimiento queverifique la integridad de los datos y la recuperación completa ante unainterrupción o daño?
Banco de Datos Personales
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
A ser informado previamente.
A acceder a la base de
datos personales.
A
actualizar, incluir, rectificar
y suprimir.
A impedir el suministro.
A oponerse al tratamiento.
Al tratamiento objetivo.
A la tutela.
A ser indemnizado.
Derechos del titular de
los datos personales
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
Tratamiento previo
consentimiento.
No recopilar mediante
medios fraudulentos,
ilícitos y desleales.
Recopilar datos
actualizados y pertinentes.
No utilizar los datos para
fines distintos.
Suprimir los datos cuando
dejen de ser necesarios.
Informar y permitir el
acceso a la ANPDP.
Obligaciones del titular y
del encargado del Banco
de Datos Personales
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
ENFOQUE PRÁCTICO DE ADECUACIÓN
Inscripción y
regularización
Políticas de protección
de datos personales
Designación de
responsable del
tratamiento
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
INFRACCIONES Y SANCIONES
Infracciones Leves
Dar tratamiento a datos personales sin recabar el consentimiento de
sus titulares, cuando el mismo sea necesario conforme a lo dispuesto en
esta Ley.
No atender, impedir u obstaculizar el ejercicio de los derechos del titular
de datos personales reconocidos en el título III, cuando legalmente
proceda.
Obstruir el ejercicio de la función fiscalizadora de la Autoridad Nacional
de Protección de Datos Personales
Infracciones Leves
Infracciones Graves
Infracciones Muy Graves
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
INFRACCIONES Y SANCIONES
Infracciones Graves
Dar tratamiento a los datos personales contraviniendo los principios
establecidos en la presente Ley o incumpliendo sus demás disposiciones
o las de su Reglamento.
Incumplir la obligación de confidencialidad establecida en el artículo 17.
No atender, impedir u obstaculizar, en forma sistemática, el ejercicio de
los derechos del titular de datos personales reconocidos en el título
III, cuando legalmente proceda.
Obstruir, en forma sistemática, el ejercicio de la función fiscalizadora de
la Autoridad Nacional de Protección de Datos Personales.
No inscribir el banco de datos personales en el Registro Nacional de
Protección de Datos Personales.
Infracciones Leves
Infracciones Graves
Infracciones Muy Graves
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
INFRACCIONES Y SANCIONES
Infracciones Muy Graves
Dar tratamiento a los datos personales contraviniendo los principios establecidos en
la presente Ley o incumpliendo sus demás disposiciones o las de su
Reglamento, cuando con ello se impida o se atente contra el ejercicio de los derechos
fundamentales.
Crear, modificar, cancelar o mantener bancos de datos personales sin cumplir con lo
establecido por la presente Ley o su reglamento.
Suministrar documentos o información falsa o incompleta a la Autoridad Nacional de
Protección de Datos Personales.
No cesar en el tratamiento ilícito de datos personales, cuando existiese un previo
requerimiento de la Autoridad Nacional de Protección de Datos Personales para ello.
No inscribir el banco de datos personales en el Registro Nacional de Protección de
Datos Personales, no obstante haber sido requerido para ello por la Autoridad Nacional
de Protección de Datos Personales.
Infracciones Leves
Infracciones Graves
Infracciones Muy Graves
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
SANCIONES ECONOMICAS
Dar tratamiento sin consentimiento.
No inscribir el BDP en el RNPDP.
Crear, modificar, cancelar o mantener
BDP sin cumplir la ley.
No cesar en el tratamiento pese a
requerimiento de ANPDP.
No inscribir el BDP en el RNPDP pese a
requerimiento.
5 UIT
50
UIT
100
UIT
100
UIT
100
UITSon recursos de la
ANPDP los montos
que recaude por
concepto de multas.
Unidad
Impositiva
Tributaria – UIT
Para el 2014
S/.3,800
Abril 2014LOGO DE LA EMPRESA
Legislación de PDP en el Perú
Lima, ene. 14 (ANDINA). Aclaran que Estado no accederá a datos personales ni los administrará.
El Ministerio de Justicia informó hoy que el Estado solo será vigilante del uso adecuado de todos
los datos personales que la ciudadanía entregue a bancos u otras entidades para diferentes
actividades, y no accederá a ellos ni los administrará.
Se informó que, protegiendo los intereses de la ciudadanía, la Autoridad Nacional de Protección
de Datos Personales (ANPDP) buscará terminar con los días en que cualquiera, con fines
comerciales o delincuenciales, podía acceder sin autorización ni mayor esfuerzo.
En ese sentido, dicho sector, mediante la ANPDP continúa con la reglamentación de la Ley 29733
“Ley de Protección de Datos Personales”, que regula y garantiza el derecho de la población a
proteger el uso de sus datos personales de forma tal que no le resulte perjudicial.
Por ello, el director nacional de Justicia y jefe de la ANPDP, José Quiroga, dijo que se realizan
coordinaciones para la firma de un convenio de cooperación con la Agencia Española de
Protección de Datos (AEPD), para la transferencia gratuita de tecnología informática.
Quiroga resaltó que esta tecnología permitirá que la ANPDP inicie sus labores con un soporte
informático de primer orden que facilite tanto su labor, como la adecuación y autoevaluación de
los titulares de bancos de datos personales a los estándares que la ley exige.
El convenio se suscribirá en el marco de las actividades de capacitación que la ANPDP tiene
previstas en este mes y que incluyen su asistencia a un seminario organizado por la AEPD en la
ciudad de Madrid (España), del 24 al 27 de este mes.
Abril 2014LOGO DE LA EMPRESA
LOGO DE
LA EMPRESA
¡Gracias!
Top Related