Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales...
Transcript of Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales...
![Page 1: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/1.jpg)
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
aPDP
![Page 2: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/2.jpg)
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales aPDP
Primera Edición, noviembre 2013
© Ministerio de Justicia y Derechos HumanosCalle Scipión Llona 350, Miraflores, Lima - PerúTeléfono: 204 [email protected]
Ministro de Justicia y Derechos Humanos: Dr. Daniel Figallo Rivadeneyra
Viceministro de Derechos Humanos y Acceso a la Justicia:Dr. Henry José Ávila Herrera
Director de la Autoridad Nacional de Protección de Datos Personales: Dr. José Álvaro Quiroga León
Edición:Autoridad Nacional de Protección de Datos PersonalesMinisterio de Justicia y Derechos Humanos
Diseño y diagramación: Mary Reymundo Aguilar
Impresión: Editora Diskcopy S.A.C.Jr. San Agustín Nro. 497, Surquillo
Hecho el Depósito Legal en la Biblioteca Nacional del Perú: Nº 2013-19069
“Tú también tienes derechos y deberes”
![Page 3: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/3.jpg)
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
aPDP
![Page 4: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/4.jpg)
![Page 5: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/5.jpg)
3
Prólogo
Presentación
I Estructura
II Objetivo
III Base legal
IV Alcance
V Responsabilidad
Medidas de seguridad
1. Disposiciones generales
2.Disposicionesespecíficas
3. Procedimiento
4. Disposiciones complementarias
Anexo A: Glosario
Anexo B: Orientación para bancos de datos de tipo básico o simple
Anexo C: Orientación para bancos de datos de tipo complejo o crítico
46899
101011112033353637
38
iNDice
![Page 6: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/6.jpg)
4
Prólogo
Actualmente,ciudadanasyciudadanos―voluntariamente―proporcionansusdatosper-sonalesadistintasinstitucionespúblicasoprivadas,pordistintasrazones.Elapropiadotratamientodelosdatos,permiteconvertirloseninformaciónútilparaellogrodedetermi-nadosobjetivos.Peroesosdatospuedenamenazarladignidaddelaspersonasporelusoarbitrarioymaliciosodelainformática.Elpeligroseconcretaconlacapacidaddealmace-namiento en la memoria de las computadoras, la celeridad de todo el proceso, el desarrollo delasdisímilestécnicasreservadasparaelmanejodevolúmenesdeinformación,etc.
Lossistemasinformáticospuedenverificarlosdatossobreunindividuointroducidosensumemoriaycotejarlaimagenrealdelosdatosdelindividuoencuestión.Todosesosdatosdebenserprotegidoscontraelaccesodequienesnoesténautorizados.Estanecesariaprotecciónesunlímitealmanejodelainformáticaanteeltemordequepuedaatentarlain-timidad de las ciudadanas y ciudadanos y que pueda restringir el ejercicio de sus derechos.
Unbancodedatosestácompuestoportodotipodeinformaciónaportadaporlasperso-nasparadeterminadosfines.Perotambiénexisteunagranvariedaddemediosatravésdeloscualessecompilainformacióndelaspersonassinsuconsentimiento,talcomosucedeenalgunossitiosdeInternetquecruzandatosdelaspersonasquelasvisitanyconformanunperfildelinteresado.
Laexistenciadeenormesbancosdedatosquecontienengrancantidaddeinformaciónre-feridaalaspersonasesunaconsecuenciadelainformáticaysinlacualseríaimposiblesuexistencia.Loimportanteeslafinalidadparaelcualseusalainformaciónallíalmacenadaparaevitarqueseamosdiscriminadosdebidoaunusodesatinadodesusdatos.
ConlaexpedicióndelaLeyNº29733–LeydeProteccióndeDatosPersonalesydesurespectivoReglamento,aprobadoconDecretoSupremoNº003-2013-JUS,elPerúcuentayaconunmarcojurídicoparagarantizarelrespetoalderechofundamentalalaproteccióndedatospersonales,loqueensímismoconstituye,quédudacabe,unsig-nificativoavancequeabonaenfavordefortalecerlosmecanismosdeproteccióndelosderechosfundamentalesdelaspersonasennuestropaís.
Ambasnormasdesarrollannosólolosderechosdelostitularesdeldatopersonal,sinoque también se ocupan de las obligaciones de los titulares y encargados de los bancos dedatospersonales,cuyaactuacióndebeajustarsealcontenidodedichomarcojurídicoyalosprincipiosrectoresqueguíantodotratamientodelainformaciónpersonal.
![Page 7: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/7.jpg)
5
Precisamente,elcumplimientodetalesobligacionesexigealostitularesdelosbancosdedatospersonales la implementacióndemedidasdeseguridadadecuadasque lespermitaneltratamientodelosdatospersonalesqueadministran,preservandolaconfi-dencialidad,disponibilidadeintegridaddeaquellos,loque,enbuenacuenta,significadarcumplimientoalmarconormativodadoporlaLeydeProteccióndeDatosPersona-lesysurespectivoReglamento.
Esenesecontexto,quelaemisióndelaDirectivadeSeguridaddelaInformaciónAd-ministradaporlosBancosdeDatosPersonales,aprobadaporResoluciónDirectoralNº019-2013-JUS/DGPDP,de laAutoridadNacionaldeProteccióndeDatosPersonales,órganoespecializadodelMinisteriodeJusticiayDerechosHumanos,esdesumaim-portancia, pues resulta ser un instrumento que posibilita un accionar ajustado a derecho deaquellaspersonas,seannaturalesojurídicas,querealizantratamientodedatosper-sonalesyesque,comolapropiaDirectivaloseñala,éstaorientasobrelascondiciones,requisitos y las medidas técnicas que deben tomar en cuenta para el cumplimiento de las normas anteriormente citadas.
Laconstruccióndeunaverdaderaculturadeproteccióndedatospersonales,esfuerzoalquesehacomprometidoelMinisteriodeJusticiayDerechosHumanosyparticularmentelaAutoridadNacionaldeProteccióndeDatosPersonales,pasanosóloporcontarconunsistemadeimposicióndesanciones,sinoque,lejosdeello,setratadeejercersobrequienesrealizaneltratamientodedatospersonalesunafunciónpedagógicayorientadora.
Elloseverificacon ladacióndeunadirectivadeseguridadqueconsideramosesuninstrumentonormativotécnicodeavanzadaquelaAutoridadNacionaldeProteccióndeDatos Personales ha elaborado con responsabilidad y minuciosidad, en cumplimiento de laLeyNº29733–LeydeProteccióndeDatosPersonales.
Setratadeunaimportantegestiónmásqueelgobiernodaenarasdeconsolidareins-titucionalizarunadecuadoniveldeproteccióndedatospersonales.
Mg. José Ávila Herrera ViceministrodeDerechosHumanosyAccesoalaJusticia
![Page 8: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/8.jpg)
6
PreSeNtacióN
La Autoridad Nacional de Protección de Datos Personales -APDP- del Ministeriode Justicia yDerechosHumanos, de conformidad con lo dispuesto por la segundadisposicióncomplementariafinaldelaLeyN°29733,hatenidoasucargolaelaboracióndeunadirectivadeseguridadparaponeralserviciodetodoslostitularesdebancosde datos personales un instrumento que facilite el cumplimiento de la Ley. Esa eslafinalidadcentraldeestedocumentoyesporelloquenohemosqueridohacerundocumentocontérminosgeneralesolugarescomunes,quehubierasignificadocumplirconestaobligación“formalmente”perosinaportarnadaconcreto.
Consideramosqueesohubieraocurridosihubiéramosentregadounadirectivalimitadaalaenumeracióndeobligaciones(queyaestánenlaley)osihubiéramosdesarrolladocriteriosodisposicionesdemodoprevioa la vigenciadel reglamentode la ley, conel riesgo de que el reglamento resultara con un contenido que dejara descolada a la directiva.Nopodíamospues,“ponerlacarretadelantedeloscaballos”.Teniendolaleyysureglamentovigentesplenamente,yateníasentidoculminarestadirectivayasílohemoshecho,lomásprontoquehasidoposible.
Paraevitarqueestedocumentosearepetitivorespectodelaleyoelreglamentoy,porel contrario, constituya una herramienta útil de trabajo para quien requiera consultarla, ha sido necesario replicar las preguntas, las dudas, las necesidades y las circunstancias que pueden acompañar a los concernidos por la ley, para encontrarles respuestasy soluciones.Para ello ha sido preciso “cruzar” los criterios que pueden describir ycaracterizarlosbancosotratamientosdedatos,comoson:eltipodedatos(generalesosensibles),elnumerodedatosdecadapersona,elnúmerodepersonasyeltiempoprevistooprevisibledeusodelainformación,entreotros.
![Page 9: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/9.jpg)
7
Este cruce, ordenado y sistematizadode criterios, permiteubicar las característicasdecadabancodedatos, lo cual constituyeelpasopreviopara relacionarlo con lasmedidasdeseguridadindicadasosugeridascomounasuertede“diseñoalamedida”porqueentendemosqueloqueeladministradorequiereesjustamentepasardeltextogeneraldelanormaaunplandeadecuaciónparasucasoconcreto.Esperamosqueestadirectivacumplaesesimpleperotrascendentalpapelafavordelosadministrados.
Paraterminarquisieradejarconstanciadedoscosas:
Primero:Estaesunadirectiva,esdecirunaindicacióndecómopuedenhacerselascosas,undocumentofacilitador.Silosadministradosencuentranquepuedencumplirlasnormasdeseguridadconcriteriosoprotocolosdistintosperoigualmenteeficientesdebenrecordarquesuobligaciónesadecuarsealaleyyelreglamento,noaladirectiva,queessoloundocumentofacilitador.
Segundo:Estedocumentoestaráenpermanente revisión, justamenteporquedebeconsiderarseundocumentodetrabajo,cuyovalorestarásiempredadoporsuutilidad.
José Alvaro Quiroga LeónDirectordelaAutoridadNacionaldeProteccióndeDatosPersonales
![Page 10: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/10.jpg)
8
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
i. eStructura
Lapresentedirectivaorientasobrelascondiciones,losrequisitosylasmedidastécnicasquesedebentomarencuentaparaelcumplimientode laLeyNº29733,LeydeProteccióndeDatosPersonalesysureglamento,aprobadoatravésdelDecretoSupremoNº003-2013-JUS,enmateriademedidasdeseguridad de los bancos de datos personales.
Las condiciones constituyen recomendaciones que facilitan o generan impacto favorable para laimplementacióndelosrequisitos,habilitandounentornoapropiadoparalacomprensiónydesarrollodelasactividadesnecesarias.
Los requisitos corresponden a condiciones que deben ser demostrables, para considerar que se ha cumplidolapresentedirectiva.
Las medidas técnicas son aquellas que se consideran coherentes para cumplir con los requisitos.
Tantolosrequisitoscomolasmedidasaimplementarpuedenservariablesyporelloestánsegmentadasatendiendoacriterios,como–porejemplo-eltipodetratamiento.
Asítenemosque,seasignauncolorparafacilitarlaidentificaciónenloscuadrosmostrados:
Lacategorizaciónsedescribeenelapartado1.1.
Elnumeral3describedemanerageneralelprocedimientoparadesarrollarlapresentedirectiva.
Elnumeral4incluyedisposicionescomplementariasquepuedenfacilitarelprocesodeimplementacióndelapresentedirectivayconelloelcumplimientodelaLeyNº29733,LeydeProteccióndeDatosPersonales,y su reglamento.
Finalmentesepresentantresanexosdeapoyo:
AnexoA:Glosariodetérminosaplicablesenlalecturadelapresentedirectiva.AnexoB:Orientaciónparabancosdedatospersonalesdetipobásicoosimple.AnexoC:Orientaciónparabancosdedatospersonalesdetipocomplejoocrítico.
BÁSico
SiMPle
iNterMeDio
coMPleJo
crÍtico
![Page 11: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/11.jpg)
9
ii. oBJetivo
a) Objetivo General:
Garantizarlaseguridaddelosdatospersonalescontenidosodestinadosasercontenidosenbancosdedatos personales, mediante medidas de seguridad que protejan a los bancos de datos personales, de conformidadconlaLeyNº29733ysureglamento.
b) ObjetivosEspecíficos:
a. Brindar lineamientos para determinar las condiciones de seguridad en el tratamiento de datos personales a cumplir por el titular del banco de datos personales.
b. Brindar lineamientos para determinar lasmedidas organizativas a cumplir por el titular delbanco de datos personales.
c. Brindar lineamientos para determinar las medidas legales a cumplir por el titular del banco de datos personales.
d. Brindar lineamientos para determinar medidas técnicas a cumplir por el titular del banco de datos personales.
e. Brindar lineamientos para determinar las medidas de seguridad que resulten apropiadas, en función a las características de cada caso concreto, a partir de considerar criterios dediferenciaciónbasadosenlascaracterísticasdeltratamientodedatospersonalesquesevayaaefectuaryenlascaracterísticasdedatospersonalesquesetratan.
iii. BaSe legal
a)ConstituciónPolíticadelPerú.
b)LeyN°29733,LeydeProteccióndeDatosPersonales.
c) DecretoSupremo003-2013-JUS,apruebaelReglamentodelaLeyNº29733,LeydeProtecciónde Datos Personales.
d)DecretoSupremo011-2012-JUS, aprueba elReglamento deOrganización y Funciones delMinisteriodeJusticiayDerechosHumanos.
![Page 12: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/12.jpg)
10
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
e)Resolución Ministerial Nº 246-2007-PCM, aprueba la Norma Técnica Peruana “NTP ISO/IEC17799:2007EDI,Técnicasdeseguridad,CódigodeBuenasPrácticasparalagestióndeseguridaddelainformación.2aEdición”.
f) ResoluciónMinisterial129-2012-PCM,apruebaelusoobligatoriodelanormatécnicaperuana“NTP-ISO/IEC 27001:2008 EDI Tecnologías de la Información. Técnicas de Seguridad.SistemasdeGestióndeSeguridadde laInformaciónentodas lasentidades integrantesdelSistemaNacionaldeInformática”.
iv. alcaNce
LapresentedirectivaesaplicablealosbancosdedatospersonalesdeadministraciónpúblicaoprivadadeacuerdoaloestablecidoenlaLeyN°29733ysureglamento.
v. reSPoNSaBiliDaD
Enelmarcodelapresentedirectiva,setieneencuentalaatribuciónderesponsabilidades,desdeelorigenhastaladisposicióndelosdatospersonales,quedebetomarseencuentaparamantenerlacoherenciaylaconcordanciadelaactuacióndequienesparticipanenlaproteccióndelosdatospersonalesconlosobjetivosymedidasdeseguridadaimplementar.
a) Titular de datos personales
Esresponsabledesuspropiosdatospersonales,debetomarencuentaquesuconsentimientoparaeltratamientodesusdatospersonalesdebeserlibre,previoeinformadoyverificarquesuconsentimientosearegistradoenlostérminosenqueexpresaeinequívocamentelohadado.EsresponsabledeconoceryejercerlosderechosconferidosporlaLeyN°29733,LeydeProteccióndeDatosPersonales.
b) Titular del banco de datos personales
a. Esresponsabledeotorgarymantenerelnivelsuficientedeprotecciónalosdatospersonalescontenidos en el banco de datos personales que tenga bajo su titularidad.
b. Esresponsableporladeterminaciónycumplimientodelafinalidadydelcontenidodelbancodedatos personales bajo su titularidad.
c. Esresponsableporel tratamientodelosdatospersonalescontenidosenelbancodedatospersonales bajo su titularidad.
![Page 13: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/13.jpg)
11
d. Esresponsabledegarantizarelcumplimientodelosderechosdel titular de los datos personales conferidosenlaLeyN°29733,LeydeProteccióndeDatosPersonales.
c) Autoridad Nacional de Protección de Datos Personales
a. Es responsable de realizar todas las acciones necesarias para el cumplimiento de la Ley N°29733,LeydeProteccióndeDatosPersonales,ysureglamento.
b. Esresponsabledeejercerlasfuncionesadministrativas,orientadoras,normativas,resolutivas,fiscalizadorasysancionadorasseñaladasen laLeyN°29733,LeydeProteccióndeDatosPersonales, y su reglamento.
c. EsresponsabledelaadministracióndelRegistroNacionaldeProteccióndeDatosPersonales.
d. Esresponsabledelseguimientoyevaluacióndelapresentedirectiva.
e. Esresponsabledelarevisióndeestadirectivadeseguridadafindemantener su aplicabilidad eidoneidad.Elperiododerevisiónes,cuandomenos,bianual.
MeDiDaS De SeguriDaD
1. DISPOSICIONES GENERALES
1.1 Categoría:
1.1.1 Paraefectosdelapresentedirectiva,sedebeconsiderarlasiguienteclasificacióndecate-gorías en el tratamiento de datos personales y el principio de proporcionalidad descrito en el artículo 7 de la Ley N° 29733 cuando no exista coincidencia exacta:
a) Básico,correspondealacategoríademenorniveleincluyeabancosdedatospersonalesque:
• Nocontenganlainformacióndemásdecincuenta(50)personas.• Númerodedatospersonalesnomayoracinco(05).Porejemplonombres,apellidos,DNI,
direcciónyteléfono.• Noincluyendatossensibles.• Tienencomotitularaunapersonanatural.
b) Simple,correspondeabancosdedatospersonalesque:
• Nocontenganlainformacióndemásdecien(100)personas.• Elperiododetiempodeltratamientoparacumplirconlafinalidadesinferioraun(01)año.
![Page 14: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/14.jpg)
12
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
• Noincluyendatossensibles.• Tienecomotitularaunapersonanaturalojurídica.
c) Intermedio,correspondeabancosdedatospersonalesque:
• Contienenlainformacióndehastamil(1000)personas.• Sirven para tratamiento de datos personales cuya finalidad se cumple en un plazo
indeterminadoosuperioraun(01)año.• Puedeincluirdatossensibles.• Tienecomotitularaunapersonanaturalojurídica.
d) Complejo,correspondeabancosdedatospersonalesque:
• Sirven para el tratamiento de datos personales cuya finalidad se cumple en un plazoindeterminadoosuperioraun(01)año.
• Sirvenparaeltratamientodedatospersonalesqueesrealizadoenmúltipleslocalizaciones(Oficinasodependenciasdiferentesen lamismaciudadociudadesdiferentes, serviciostercerizadososimilares).
• Puedeincluirdatossensibles.• Tienecomotitularaunapersonajurídicaoentidadpública.
e) Crítico,correspondelacategoríademayorniveleincluyeabancosdedatospersonalesque:
• Sirvenparael tratamientodedatospersonalescuyafinalidadestá respaldadaporunanorma legal.
• Sirvenparaeltratamientodedatoscuyafinalidadsecumpleenunplazoindeterminadoosuperioraun(01)año.
• Sirvenparaeltratamientodedatospersonalesqueesrealizadoenmúltipleslocalizaciones(Oficinasodependenciasdiferentesen lamismaciudadociudadesdiferentes, serviciostercerizadososimilares).
• Puedeincluirdatossensibles.• Tienecomotitularaunapersonajurídicaoentidadpública.
1.1.2 Justificacióndeloscriterios Loscriteriosquepermitencategorizar losbancosdedatoshansidodeterminadostomandoen
cuentalosiguiente:
a) Volumen de registros.-Esimportanteconsiderarqueexisteunadiferenciaimportanteentrerealizar el tratamientomanual de los datos personales de veinte (20) personas que de unmillón,todavezqueserequieremecanismos,procesosyherramientasdiferentes.
El tratamiento de altos volúmenes de datos personales requiere, actualmente, el uso detecnologías de la información, lo cual, incorporamejoras fundamentales en los tiempos de
![Page 15: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/15.jpg)
13
procesamiento, pero también incorpora un conjunto de vulnerabilidades asociadas a latecnologíautilizada,porloquelosnivelesdeproteccióndebenseradecuadosycomúnmentesonmayoresalosdeuntratamientosintecnologíasdelainformación.
b) Número de datos.-Elnúmerodedatospersonalesdecadatitulardedatospersonalesqueseprocesaesuncriterioaconsiderarporqueincluyeunmayorniveldedetallesobreeltitulardelosdatospersonalesconosinlainclusióndedatossensibles.
c)Periodode tiempopara la finalidaddel tratamiento de datos personales.- El tener unperiododetiempoindeterminadoomuylargo,paracumplirlafinalidaddeltratamiento,implicaunaumentoenelniveldeseguridadquedebeobservarseenelalmacenamientoquesedealosdatospersonalesduranteelperiododeltratamiento,asícomoenelniveldeimpactosobreeltitulardelosdatospersonalesencasodepérdidadelainformación,loquepuedeconduciralaimplementacióndemecanismosderecuperaciónantedesastresono.
d) La titularidad del banco de datos personales.- Proporciona un criterio de selección queprincipalmenteseparalosextremosdelascategorías.Esdecir,noselepuedeasignaraunapersonanaturalunacategoríadealtísimonivelporquenodisponedelosrecursosnecesarios,niseránecesario–comoreglageneral-queimplementelasmedidasmáscomplejas.
Enelcasodelasentidadespúblicas,secuentaconlaResoluciónMinisterial129-2012-PCM,que lasobligaa implementarunsistemadegestióndeseguridadde la información.Con locual,noselespuedeasignarunacategoríademenornivel,debidoaquelainformaciónquemanejan impacta directamente en los titulares de datos personales.Sin embargo, para lascategoríassimple,intermedioycomplejosepuedentenercombinacionesmásacordesaltipode tratamiento que se realice.
e) Finalidad del tratamiento de datos personales respaldada por norma legal.-Tieneespecialimpacto por ser obligatorio, esto determina el tipo crítico.
f) Múltiples localizaciones.-Elaccesootratamientodistribuidoincorporaunniveldeatenciónespecialporqueincluyelatransferenciadedatosentremúltipleslocalesdetratamiento(ubica-cionesdiferentes,puedenserinmueblesdiferentesenlamismaciudadociudadesdiferentes),lo que genera complejidad y puede hacerlo crítico.
g) Tratamiento de datos sensible.-Alincluirestosdatossedebetomarmedidasdeproteccióncomo mínimo de categoría intermedio.
Asípodemoshaceralgunoscrucesparaexplicarlacategorización:
![Page 16: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/16.jpg)
14
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
Figura 1: Volumen de datos / Número de datos
50 100 1000
5
Volumen de Registro de Datos Personales
Núm
ero
de D
atos
Per
sona
les
Simple Intermedio Complejo Crítico
SimpleBásico Intermedio Complejo Crítico
Figura2:Volumenderegistros/Tiempoparacumplirlafinalidad
50 100 1000
1año
Volumen de Registro de Datos Personales
Tiem
poparacumplirlafinalidad
IntermedioIntermedioIntermedio Complejo Crítico
SimpleBásico Intermedio Complejo Crítico
![Page 17: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/17.jpg)
15
Figura 3: Volumen de registros / Titularidad del banco de datos personales
50 100 1000
Volumen de Registro de Datos Personales
Titu
larid
ad
Simple
Simple
Intermedio
Intermedio
Complejo Crítico
SimpleBásico Intermedio
Complejo Crítico
Pe
rsonaNa
turalPe
rsonaJurídica
Pe
rsonaPú
blica
![Page 18: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/18.jpg)
16
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
1.1.3 Matriz de apoyo para la selección de categoría en el tratamiento de datos personales.
ÍteM criterio BÁSico Si MPle i NterMeDio coMPleJo crÍtico
Hasta50 Hasta100 Hasta1000 Indeterminado Indeterminado
Hasta5 Másde5 Másde5 Másde5 Másde5
Noaplica Noaplica Noaplica Noaplica Aplica
Noaplica Noaplica Aplica Aplica Aplica
Aplica Aplica Aplica Noaplica Noaplica
NoAplica Aplica Aplica Aplica Aplica
NoAplica Noaplica Noaplica Aplica Aplica
NoAplica Noaplica Aplica Aplica Aplica
Volumen de registros, número de titulares de datos personales que consienten el tratamiento de susdatos.(Criterioutilizadoparadeterminarlascategorías).
Númerodedatospersonalesenbanco de datos personales que no contienen datos sensibles. (Criterioutilizadoparadeterminareltipobásico).
Finalidad del tratamiento de datos personales respaldada por ley osimilar.(Criterioutilizadoparadeterminareltipocrítico).
Periodomayoraun(01)añooindeterminado para cumplir la finalidad(tiempodetratamientodelosdatospersonales).
TipodeTitulardelbancodedatospersonales:personanatural.(Cri-terioutilizadoparadeterminareltipoentrebásicoaintermedio).
TipodeTitulardelbancodeda-tospersonales:personajurídica.(Criterioutilizadoparadeterminarla categoría entre simple a complejo).
Titulardelbancodedatosper-sonales del tipo persona jurídica o entidad pública con múltiples localizacionesdesdelascualesse tiene acceso al banco de datos personalesoserealizatrata-miento de los datos personales. (Criterioutilizadoparadeterminarlacategoríacomplejoocrítico).
Elbancodedatospersonalespuede incluir datos sensibles. (Criterioutilizadoparadeterminarla categoría entre Intermedio a crítico).
1
2
3
4
5
6
7
8
![Page 19: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/19.jpg)
17
1.2 Condiciones de seguridad:
1.2.1 Condiciones de seguridad externas
a)Marcolegalapropiado(leyes,reglamentos,osimilares).
b)Conocimientoyconciencia(conocerlaimportanciadelaproteccióndelosdatospersonales,laLeyN°29733,LeydeProteccióndeDatosPersonales,ysureglamento).
1.2.2 Condiciones de seguridad internas
a)Compromisodeltitulardelbancodedatospersonales(parabrindarlosrecursosydirecciónenlaproteccióndelosdatospersonales).
b)Comprenderelcontexto institucionalenel tratamientoyprotecciónde losdatospersonales(Contextoorganizativo,tecnológico,jurídico,legal,contractual,regulatorio,físico,etc.).
c) Determinar claramente las responsabilidades y roles organizacionales apropiados con lasuficienteautoridad y recursospara liderar yhacer cumplir la políticade seguridadpara laproteccióndedatospersonales.
d)Enfoquedegestióndelriesgodelosdatospersonalescontenidosodestinadosasercontenidosen los bancos de datos personales.
![Page 20: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/20.jpg)
18
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
1.3 Requisitos de seguridad:
1.3.1 Sin perjuicio de las condiciones de seguridad, se deben cumplir los requisitos de seguridad señalados a continuación:
Determinar y dar a conocer una política de protec-cióndedatospersonales:Unadeclaraciónbreveydirecta que demuestre el compromiso institucional yelinvolucramientodesusautoridadesconlapro-teccióndelosdatospersonaleseneltratamientoque se de a los datos personales contenidos en el banco de datos personales bajo su titularidad.
Mantenerlagobernabilidadcompletadelosproce-sosinvolucradoseneltratamientodelosdatosper-sonales, es decir conocer los procesos y procedi-mientos y tener control de las decisiones sobre los procesosinvolucradoseneltratamientodedatospersonalescuandoestosseantercerizadosono.
Implementacióndelasmedidasdeseguridadse-gúnlasdisposicionesespecíficasdelnumeral2.
Implementar y mantener los siguientes procedi-mientos documentados.
Adoptarunenfoquederiesgosybasarlasdecisio-nes en el plan de tratamiento de riesgos del banco de datos personales.
AlineamientoalosrequisitossegúnNTP-ISO/IEC27001oISO/IEC27001ensuediciónvigente,in-corporandodentrodelalcancedelSGSIlosbancosde datos personales.
Desarrollar y mantener un documento maestro de seguridaddelainformacióndelbancodedatospersonales.
Desarrollarymanteneractualizadoundocumentodecompromisodeconfidencialidadeneltrata-mientodedatospersonales(articulo17delaLeyN°29733),aplicablealpersonalrelacionadoconeltratamiento de datos personales.
Pueden utili-zarelmodeloincluido en elAnexoB
Requerido
Implementar medidas de seguridad de tipo básico
Opcional
Opcional
Noaplica
Opcional(vercuaderno de seguridad en elanexoB)
Declaraciónjurada simple indicando nombres, apellidos, DNIyfirma(puedeestarincluido en el cuaderno de seguridad - veranexoB).
1.3.1.1
1.3.1.2
1.3.1.3
1.3.1.4
1.3.1.5
1.3.1.6
1.3.1.7
1.3.1.8
Pueden utili-zarelmodeloincluido en elAnexoB
Requerido
Implementar medidas de seguridad de tipo simple
Incorporar ítem 1.4.2
Opcional
Opcional
Opcional(vercuaderno de seguridad en elanexoB)
Declaraciónjurada simple indicando nombres, apellidos, DNIyfirma(puedeestarincluido en el cuaderno de seguridad - veranexoB).
Incorporar ítem 1.4.1
Requerido
Implementar medidas de seguridad de tipo intermedio
Incorporar ítem 1.4.3
Requerido
Opcional
Requerido
Incorporar el requisito dentro le los formatos,pro-cedimientos o procesos apropiados en la organi-zación.
Incorporar ítem 1.4.1
Requerido
Implementar medidas de seguridad de complejo
Incorporar ítem 1.4.3
Requerido
Requerido
Requerido
Incorporar el requisito dentro le los formatos,procedi-mientos o procesos apropiados en la organi-zación.
Incorporar ítem 1.4.1
Requerido
Implementar medidas de seguridad de tipo crítico
Incorporar ítem 1.4.4
Requerido
Requerido
Requerido
Incorporar el requisito dentro le los formatos,procedi-mientos o procesos apropiados en la organi-zación.
ÍteM criterio BÁSico SiMPle iNterMeDio coMPleJo crÍtico
APLICA A LA CATEGORíA DE TRATAMIENTO:
![Page 21: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/21.jpg)
19
1.4 Información complementaria sobre requisitos (para aplicar según cuadro de requisitos)
1.4.1 La política de protección de datos personales es una declaración formal de compromiso y debe considerar:
a)Serclaraycomprensible,tantoparaelpersonalinvolucradoeneltratamientocomoparalostitulares de datos personales que hayan consentido el tratamiento.
b)Serapropiadaparalosobjetivosdelaorganización.
c) Proporcionaunlineamientodealtonivelorganizacionalyobjetivosclarosquesirvendedirecciónparalaimplementacióndelascondiciones,requisitosymedidasdeseguridadapropiadas.
d) Incluiruncompromisodecumplimientodelosrequisitosdeseguridadaplicables.
e) IncluircompromisoderespetoalosprincipiosdelaLeyN°29733,LeydeProteccióndeDatosPersonales.
f) Incluiruncompromisodemejoracontinua.
g)Comunicarseoportunayclaramentealinteriordelaorganización.
1.4.2 Se debe lograr la implementación y el mantenimiento de los siguientes procedimientos documentados:
a)Controldedocumentosyregistros.
b)Registrosdepersonalconaccesoautorizado.
c) Registrodeincidentesymedidasadoptadas.
1.4.3 Se debe lograr la implementación y mantener los siguientes procedimientos documentados
a)Controldedocumentosyregistros.
b)Registrosdeacceso.
c) Registrodeauditorías.
d)Registrodeincidentesyproblemas.
1.4.4 Procedimientos documentados requeridos en el Sistema de Gestión de la Seguridad de la Información -SGSI, incluyendo además un registro de control de acceso, según el artículo 39 del reglamento de la Ley N° 29733.
![Page 22: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/22.jpg)
20
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
2. DISPOSICIONES ESPECíFICAS
a)Para los tratamientos determinados como complejos o críticos, se deben implementar loscontrolesadecuadosdeunsistemadegestióndeseguridaddelainformaciónbajolosrequisitosycontrolesdelaNTP-ISO/IEC27001EDIensuediciónvigente,incorporandoalosbancosdedatospersonalesdentrodelalcancedelSGSI,asegurandocomomínimoelcumplimientodelasmedidasindicadasacontinuaciónyquelosriesgosasociadosalbancodedatospersonalessean adecuadamente gestionados.
b)Eltitulardelbancodedatospersonalesdebedesignarunresponsabledeseguridaddelbancodedatospersonales,quiencoordinaráenlainstituciónlaaplicacióndelapresentedirectiva.Elrol de responsable de seguridad del banco de datos personales debe asignarse a una persona quetengalascapacidadesyautoridadnecesariaparaeldesarrollodesusfunciones.Cuandodichadesignaciónnoexista,seentiendequeelrolderesponsabledeseguridaddelbancodedatos personales recae en el titular del banco de datos personales.
c) Lasreferenciasadocumentosoregistrospuedenestarencualquierformatootipodemedio(Hojaimpresa,cuaderno,páginaweb,afiche,registrodevideo,entreotros).
d)Limitarlosbancosdedatospersonalesalosdatosestrictamentenecesariosparacumplir lafinalidadparalacualfueronacopiados.
e)Evaluarlaposibilidaddeimplementarmecanismosdeanonimizaciónodisociaciónaplicables.
![Page 23: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/23.jpg)
21
2.1 Medidas de Seguridad Organizativas
Desarrollarunaestructuraorganizacionalcon roles y responsabilidades de acuerdo a la proporcionalidad de los datos a proteger.
Compromiso documentado de respeto a los principios de la ley.
Llevaruncontrolyregistrodelosoperadorescon acceso al banco de datos personales con el objetivodepoderidentificaralpersonalconac-cesoendeterminadomomento(Trazabilidad).
Revisarperiódicamentelaefectividaddelasmedidas de seguridad adoptadas y registrar dichaverificaciónenundocumentoadjuntoalbanco de datos personales.
Adecuacióndelossistemasdegestiónoaplicacionesexistentesqueintervenganeneltratamientodedatospersonales,conformealaLeyN°29733,LeydeProteccióndeDatosPersonales, y su reglamento.
Adecuacióndelosprocesosdelnegocioinvolucradoseneltratamientodedatospersonales a los requisitos establecidos en laLeyN°29733,LeydeProteccióndeDatosPersonales, y su reglamento.
Desarrollar procedimientos documentados ade-cuados para el tratamiento de datos personales.
Desarrollarunprogramadecreacióndeconciencia y entrenamiento en materia de proteccióndedatospersonales.
Desarrollar un procedimiento de auditoría res-pecto de las medidas de seguridad implementa-das, teniendo como mínimo una auditoría anual.
Desarrollarunprocedimientodegestióndeinci-dentesparalaproteccióndedatospersonales.
Desarrollarunprocedimientodeasignacióndeprivilegiosdeaccesoalbancodedatosperso-nales y su correspondiente registro de acceso.
Soloconsideraaltitular del banco de datos personales y al o a los encarga-dos del tratamiento de datos perso-nales.(Cuandoeltratamiento no lo realiceexclusiva-mente el titular del banco de datos personales)
Puedeutilizarelmodelo citado en elAnexoB
Opcional
Requerido.(dichasrevisionespuedenestar registradas en el cuaderno de seguridad citado enelanexoB)
Opcional
Opcional
Opcional
Opcional
Opcional
Opcional
Opcional
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.1.6
2.1.7
2.1.8
2.1.9
2.1.10
2.1.11
Soloconsideraaltitular del banco de datos personales y al o a los encarga-dos del tratamiento de datos perso-nales.(Cuandoeltratamiento no lo realiceexclusiva-mente el titular del banco de datos personales)
Puedeutilizarelmodelo citado en elAnexoB
Opcional
Requerido.(dichasrevisionespuedenestar registradas en el cuaderno de seguridad citado enelanexoB)
Opcional
Opcional
Opcional
Opcional
Opcional
Opcional
Requerido
Requerido
Requerido
Opcional
Requerido
Opcional
Opcional
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
APLICA A LA CATEGORíA DE TRATAMIENTO:
ÍteM criterio BÁSico SiMPle iNterMeDio coMPleJo crÍtico
![Page 24: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/24.jpg)
22
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
2.2 Medidas de Seguridad Jurídicas
Mantenerlosformatosdeconsentimientoparael tratamiento de datos personales, adecuados y deconformidadconlafinalidadparalacualsonacopiados.
Adecuacióndeloscontratosdelpersonalrela-cionado con el tratamiento de datos personales, incluyendolacoherenciaconelrequisito1.3.1.8.
Adecuacióndeloscontratosconterceros,incluyen-dolacoherenciaconelrequisito1.3.1.8.
Requerido(puedenestarregistradas en el cuaderno de seguridad citado en el anexoB)
Opcional
Opcional
2.2.1
2.2.2
2.2.3
Requerido(puedenestarregistradas en el cuaderno de seguridad citado en el anexoB)
Opcional
Opcional
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
Requerido
ÍteM criterio BÁSico SiMPle iNterMeDio coMPleJo crÍtico
APLICA A LA CATEGORíA DE TRATAMIENTO:
2.3 Medidas de Seguridad Técnicas
2.3.1 Medidas de Seguridad Técnicas relacionadas al acceso no autorizado al banco de datos personales.
Medidas generales
2.3.1.1 Gestión y uso de contraseñas cuando el tratamiento se realice con medios informáticos.
Sedebecontrolarlaasignaciónyelusodelascontraseñasdelosusuariosdelossistemasdeinformaciónquerealizantratamientodedatospersonalesmediantelaadopcióndelassiguientesmedidas:
a)Solicitaralosusuariosquemantenganensecretolascontraseñasasignadas.
b)Cuandoseutiliceunservidordeautenticación,éstedebealmacenarlascontraseñasdemaneracifrada.
c) Permitirqueelusuariocambielacontraseñaasignadacuandoloconsiderenecesario.
d)Requerirelusodecontraseñasquecontenganalmenos8dígitosyqueseanalfanuméricas(mayúsculas,minúsculasynúmeros)yalmenosincluyanuncaracterespecial.
![Page 25: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/25.jpg)
23
e)Cuandoelaccesoalsistemaestéexpuestoenentornospúblicos(intranet,internetosimilares),sedebebloquearalusuarioluegodecinco(05)intentosfallidosdeautenticaciónconsecutivos.
2.3.1.2 Revisión y registro de los privilegios de acceso.
Sedeberevisarperiódicamentequelosprivilegiosdeaccesoalosdatospersonalescorrespondanal personal autorizado. Esta revisión debe generar un registro de revisión que evidencie larealizacióndedicharevisión.
Elperiododerevisióndependedelaspolíticasorganizacionalesyeltipodedatospersonalesquecontengaelbancodedatospersonales.Estadeberealizarseporlomenossemestralmente.
2.3.1.3 Proteger el banco de datos personales contra acceso físico no autorizado mediante algún mecanismo de bloqueo físico, limitando el acceso solo a los involucrados en el tratamiento de datos personales debidamente autorizados (en caso de banco de datos personales no autorizado).
Ubicar el banco de datos personales en un gabinete, caja,cajóndeunmueble,gavetaosimilar siempre y cuando tenga una cerradura con llaveosimilar,lacualseráresponsabilidad del operador del banco de datos personales.
Ubicar el banco de datos personales en un gabinete, caja,cajóndeunmobiliario,gavetao similar siempre y cuando tenga una cerradura con llaveosimilar,lacualseráresponsabilidad del operador del banco de datos personales.
Cuando se contengan datos sensibles, ubicar el banco de datos personales en un ambiente aislado protegido por cerradura o similar mecanismo, donde la responsabilidad del mecanismo de acceso recae en el titular del banco de datos personales o un responsable delegado por el titular del banco de datos personales.
Cuando se contengan datos sensibles, ubicar el banco de datos personales en un ambiente aislado protegido por cerradura o similar mecanismo, donde la responsabilidad del mecanismo de acceso recae en el titular del banco de datos personales o un responsable delegado por el titular del banco de datos personales.
Cuando se contengan datos sensibles, ubicar el banco de datos personales en un ambiente aislado protegido por cerradura o similar mecanismo, donde la responsabilidad del mecanismo de acceso recae en el titular del banco de datos personales o un responsable delegado por el titular del banco de datos personales.
BÁSico SiMPle iNterMeDio coMPleJo crÍtico
APLICA A LA CATEGORíA DE TRATAMIENTO:
![Page 26: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/26.jpg)
24
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
2.3.1.4 Cuando se utilicen mecanismos informáticos para el tratamiento de datos personales se debe proteger el banco de datos personales contra acceso lógico no autorizado mediante algún mecanismo de bloqueo lógico, limitando el acceso solo a los involucrados en el tratamiento de datos personales debidamente autorizados.
Cada usuario con acceso a los datos personales o al banco de datos personales debe estar claramente identificadoyutilizarcomomínimo una validaciónde acceso mediante el usodeusuario/contraseñaindependiente para cada persona que tenga acceso.
Cada usuario con acceso a los datos personales o al banco de datos personales debe estar claramente identificadoyutilizarcomomínimo una validaciónde acceso mediante el usodeusuario/contraseñaindependiente para cada persona que tenga acceso.
Los usuarios deben tenerunidentificadorúnico de acceso asociadoaperfilesde usuarios y los accesosautorizadospara cada uno de ellos. Asimismo, se debe contar con mecanismos derestricciónparaevitarelaccesoa recursos no autorizados. Laautenticaciónde usuarios puede estar basada en contraseñasomecanismos de fuerteautenticacióncomo el uso de toquen,dispositivosbiométricos,firmasdigitales, tarjetas inteligentes, tarjetas de coordenadas, entre otros.
Los usuarios deben tener un identificadorúnico de acceso asociadoaperfilesde usuarios y los accesosautorizadospara cada uno de ellos. Asimismo, se debe contar con mecanismos derestricciónparaevitarelaccesoa recursos no autorizados.Laautenticacióndeusuarios puede estar basada en contraseñasomecanismos de fuerteautenticacióncomo el uso de toquen,dispositivosbiométricos,firmasdigitales, tarjetas inteligentes, tarjetas de coordenadas, entre otros.
Los usuarios deben tener un identificadorúnico de acceso asociadoaperfilesde usuarios y los accesosautorizadospara cada uno de ellos Asimismo, se debe contar con mecanismos de restricciónparaevitarelaccesoa recursos no autorizados. Laautenticaciónde usuarios puede estar basada en contraseñasomecanismos de fuerteautenticacióncomo el uso de toquen,dispositivosbiométricos,firmasdigitales, tarjetas inteligentes, tarjetas de coordenadas, entre otros.
BÁSico SiMPle iNterMeDio coMPleJo crÍtico
APLICA A LA CATEGORíA DE TRATAMIENTO:
![Page 27: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/27.jpg)
25
Sedebemantener un registro actualizadode usuarios con acceso autorizadoparael tratamiento de datos personales y al banco de datos personales. (Puederegistrarse en el cuaderno de seguridad citado enelanexoB)
Sedebemantener un registro actualizadode usuarios con acceso autorizadoparael tratamiento de datos personales. (Puederegistrarse en el cuaderno de seguridad citado enelanexoB)
Eltitular,oquienéste designe, debe autorizaroretirarelacceso de usuarios a los datos personales contenidos en el banco de datos personales, dicha operacióndebeserregistrada. Los datos personales a registrar deben incluircomomínimo:
• Usuario(ensistemas informáticoselidentificadordeusuario)
• Fechayhoradeasignacióny/oretirodeautorizacióndelusuario.
• Usuarioqueautoriza.
Eltitular,oquienéste designe, debeautorizaroretirar el acceso de usuarios a los datos personales contenidos en el banco de datos personales, dicha operacióndebeserregistrada.Los datos a registrar deben incluir como mínimo:
• Usuario(ensistemas informáticoselidentificadordeusuario).
• Fechayhoradeasignacióny/oretirodeautorizacióndelusuario.
• Usuarioqueautoriza.
Eltitular,oquienéste designe, debeautorizaroretirar el acceso de usuarios a los datos personales contenidos en el banco de datos personales. Dicha operacióndebeserregistrada.Los datos a registrar deben incluir como mínimo:
• Usuario(ensistemas informáticoselidentificadordeusuario)
• Fechayhoradeasignacióny/oretirodeautorizacióndelusuario.
• Usuarioqueautoriza.
BÁSico SiMPle iNterMeDio coMPleJo crÍtico
APLICA A LA CATEGORíA DE TRATAMIENTO:
2.3.1.5 El titular del banco de datos personales, o quien este designe, debe autorizar o retirar el acceso de usuarios que realicen tratamiento de datos personales. Dicha autorización debe registrarse.
![Page 28: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/28.jpg)
26
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
Opcional Opcional
Implementar un registro de accesos al banco de datos personales, el cual debe contener al menos los siguientes campos:
• Fechayhoradelacceso.
• Personaopersonas que realizaelacceso.
• Identificadordeltitular de los datos personales a tratar(mediantemecanismo dedisociaciónaplicado).
• Motivodelacceso.
Implementar un registro de accesos al banco de datos personales, el cual debe contener al menos los siguientescampos:
• Fechayhoradelacceso.
• Personaopersonas que realizaelacceso.
• Identificadordeltitular de los datos personales a tratar(mediantemecanismo dedisociaciónaplicado).
• Motivodelacceso.
Implementar un registro de accesos al banco de datos personales, el cual debe contener al menos los siguientescampos:
• Fechayhoradelacceso.
• Personaopersonas que realizaelacceso.
• Identificadordeltitular de los datos personales a tratar(mediantemecanismo dedisociaciónaplicado).
• Motivodelacceso.
BÁSico SiMPle iNterMeDio coMPleJo crÍtico
APLICA A LA CATEGORíA DE TRATAMIENTO:
2.3.1.6Identificarlosaccesosrealizadosalosdatospersonalesparasutratamiento.
2.3.2 Medidas de Seguridad Técnicas relacionadas a la alteración no autorizada del banco de datos personales.
2.3.2.1 Autorización para el retiro o traslado de datos personales.
Todotrasladodedatospersonaleshacialugaresfueradelosambientesendondeseubicaelbancodedatospersonalesdebecontarconlaautorizacióndeltitulardelbancodedatospersonalesoquien éste designe para ello.
2.3.2.2 Traslado de datos personales.
Todotrasladodedatospersonalesdebeconsiderar:
a)Losdatosensoportefísicodebenestarcontenidosenuncontenedorqueevitesuaccesoylegibilidad,asícomounmecanismodeverificacióndelanovulneracióndelcontenedor.
b)Los datos contenidos en soporte informático deben transportarse previa encriptación y unmecanismodeverificacióndelaintegridad(checksumMD5,firmadigitalosimilar).
![Page 29: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/29.jpg)
27
2.3.2.3 Eliminación de la información contenida en medios informáticos removibles.
Cuandoserequieraeliminarlainformacióncontenidaenunmedioinformáticoremoviblesedebenutilizarmecanismossegurosdeeliminaciónqueincluyanelborradototaldelainformacióny/oladestruccióndelmedio;deformatalque,nopermitanlarecuperacióndelosdatos.
Eltitulardelbancodedatospersonalesdebedesignaralaspersonasautorizadasaeliminarlainformacióndedatospersonalescontenidaenlosmediosinformáticosremovibles.
2.3.2.4 Seguridad en la copia o reproducción de documentos.
Cuando sea necesario, el titular del banco de datos personales debe designar a las personas autorizadasagenerary/oeliminarlascopiasoreproduccionesdelosdatospersonales.
Sedeben implementar las siguientesmedidasparapreservar la confidencialidadde losdatospersonales:
a)Utilizarimpresoras,fotocopiadoras,scanneruotrosequiposdereproducciónautorizados.
b)Supervisarelprocesodecopiaoreproducciónde losdocumentos.Nodejardesatendidoelequipo.
c) Retirarlosdocumentosoriginalesylascopiasdelequipoinmediatamentedespuésdefinalizadalacopiaoreproducción.
Sedebenregistrarlascopiasoreproduccionesdelosdocumentoscondatospersonalesrealizadasindicandocomomínimo:
a)Nombredelapersonaquesolicitalacopia.
b)Nombredelapersonaautorizadaarealizarcopias.
c) Descripcióndelosdatospersonalescopiados.
d)Númerodecopias.
e)Motivo.
f) Nombredelapersonaquerecibelacopia.
g)Lugardedestino.
h)Periododevalidezdelacopia.
Lascopiasoreproduccionesdelosdocumentosdebentenerunamarcaqueidentifiqueelperiododevalidezdelasmismas.
![Page 30: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/30.jpg)
28
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
Sedebemantener un registro actualizadodeusuarios con privilegiosparael tratamiento de datos personales y acceso al banco de datos personales.(puedenestarregistradas en el cuaderno de seguridad citado enelanexoB)
Sedebemantener un registro actualizadodeusuarios con privilegiosparael tratamiento de datos personales y acceso al banco de datos personales.(puedenestarregistradas en el cuaderno de seguridad citado enelanexoB)
Eltitular,oquienéste designe, debe asignar o retirarprivilegiosa los usuarios con acceso a los datos personales contenidos en el banco de datos personales. Dicha operacióndebeserregistrada.Los datos a registrar deben incluir como mínimo:
*Usuario(ensistemas informáticoselIdentificadordeusuario).
*Privilegioasignadoo retirado al usuario.
* Fecha y hora de asignacióny/oretirodeprivilegiosdel usuario.
*Usuarioquerealizalaasignacióny/oretirodeprivilegios(ensistemasinformáticoselidentificadordeusuario).
Eltitular,oquienéste designe, debe asignar o retirarprivilegiosa los usuarios con acceso a los datos personales contenidos en el banco de datos personales. Dicha operacióndebeserregistrada.Los datos a registrar deben incluir como mínimo:
*Usuario(ensistemas informáticoselidentificadordeusuario)
*Privilegioasignadoo retirado al usuario.
* Fecha y hora deasignacióny/oretirodeprivilegiosdelusuario.
* Usuario que realizalaasignacióny/oretirodeprivilegios(ensistemasinformáticoselidentificadordeusuario).
Eltitular,oquienéste designe, debe asignar o retirarprivilegiosa los usuarios con acceso a los datos personales contenidos en el banco de datos personales. Dicha operacióndebeserregistrada.Los datos a registrar deben incluir como mínimo:
*Usuario(ensistemas informáticoselidentificadordeusuario)
*Privilegioasignadoo retirado al usuario
* Fecha y hora deasignacióny/oretirodeprivilegiosdelusuario.
* Usuario que realizalaasignacióny/oretirodeprivilegios(ensistemasinformáticoselidentificadordeusuario).
BÁSico SiMPle iNterMeDio coMPleJo crÍtico
APLICA A LA CATEGORíA DE TRATAMIENTO:
2.3.2.5 El titular del banco de datos personales, o quien éste designe, debe asignar o retirar el privilegio o privilegios (datos a tratar o tarea a realizar) para el tratamiento de datos personales a usuarios autorizados.
![Page 31: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/31.jpg)
29
2.3.3 Medidas de Seguridad Técnicas relacionadas a la pérdida del banco de datos personales.
2.3.4 Medidas de Seguridad Técnicas relacionadas al tratamiento no autorizado del banco de datos personales.
Medidas Generales
2.3.4.1 El banco de datos personales no automatizado debe mantener los datos personales independizados de forma individual, de modo que pueda referirse unívocamente a un titular de datos personales sin exponer información de otro.
2.3.4.2 El titular del banco de datos personales debe informar al titular de datos personales losincidentesqueafectensignificativamentesusderechospatrimonialesomorales,tanprontoseconfirmeelhecho.
Lainformaciónmínimaquesedebeproporcionarincluye:
a)Naturalezadelincidente.
b)Datospersonalescomprometidos.
c) Recomendacionesaltitulardedatospersonales.
d)Medidascorrectivasimplementadas.
Sedebenrealizarcopiasderespaldodelosdatospersonalesparapermitirsurecuperaciónencasodepérdidaodestrucción.
Todarecuperacióndedatospersonales,desdesucopiaderespaldo,debecontarconlaautorizacióndel encargado del banco de datos personales.
Sedebenrealizarpruebasderecuperacióndelosdatos personales respaldados para comprobar quelascopiasderespaldopuedenserutilizadasen caso de ser requerido.
Opcional
Opcional
Opcional
Opcional
Opcional
Opcional
2.3.3.1
2.3.3.2
2.3.3.3
Implementar ítem2.3.5.1
Requerido
Implementar ítem2.3.5.2
Implementar ítem2.3.5.1
Requerido
Implementar ítem2.3.5.2
Implementar ítem2.3.5.1
Requerido
Implementar ítem2.3.5.2
ÍteM criterio BÁSico SiMPle iNterMeDio coMPleJo crÍtico
APLICA A LA CATEGORíA DE TRATAMIENTO:
![Page 32: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/32.jpg)
30
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
MedidasEspecíficas
Losequiposutilizadosparaeltratamientodelosda-tospersonalesdebenrecibirmantenimientopreven-tivoycorrectivodeacuerdoalasrecomendacionesyespecificacionesdelproveedorparaasegurarsudisponibilidadeintegridad.Elmantenimientodelosequiposdebeserrealizadoporpersonalautorizado.
Losequiposutilizadosparaeltratamientodelosdatospersonalesdebencontarconsoftwaredepro-teccióncontrasoftwaremalicioso(virus,troyanos,spyware,etc.),paraprotegerlaintegridaddelosdatospersonales.Elsoftwaredeproteccióndebeseractualizadofrecuentementedeacuerdoalasrecomendacionesyespecificacionesdelproveedor.
Todainformaciónelectrónicaquecontienedatospersonalesdebeseralmacenadaenformaseguraempleando mecanismos de control de acceso y cifradaparapreservarsuconfidencialidad.
Lainformacióndedatospersonalesquesetransmiteelectrónicamentedebeserprotegidaparapreservarsuconfidencialidadeintegridad.
Seguridadenelflujotransfronterizodedatospersonales.
Seguridadenserviciosdetratamientodedatospersonalespormediostecnológicostercerizados.
Todoeventoidentificadoqueafectelaconfiden-cialidad, integridad y disponibilidad de los datos personales, o que indique un posible incumplimiento de las medidas de seguridad establecidas, debe ser reportado inmediatamente al encargado del banco de datos personales.
Restringirelusodeequiposdefotografía,video,au-diouotraformaderegistroeneláreadetratamientodedatospersonalessalvoautorizacióndeltitulardelbanco de datos personales.
Sedeberealizarunaauditoríasobreelcumplimientodelapresentedirectiva,bajoresponsabilidaddeltitular del banco de datos personales.
Accionescorrectivasymejoracontinúa.
Opcional
Opcional
Opcional
Opcional
Noaplica
Noaplica
Registrarelincidenteconunadescripcióndetallada del mismo y las medidas correc-tivasadoptadas(pue-den estar registradas en el cuaderno de seguridad citado en elanexoB).
Opcional
Opcional
Opcional
2.3.4.3
2.3.4.4
2.3.4.5
2.3.4.6
2.3.4.7
2.3.4.8
2.3.4.9
2.3.4.10
2.3.4.11
2.3.4.12
Opcional
Opcional
Opcional
Implementar ítem2.3.5.3
Implementar ítem2.3.5.4
Implementar ítem2.3.5.5
Implementar ítem2.3.5.7
Requerido
Opcional
Opcional
Requerido
Requerido
Requerido
Implementar ítem2.3.5.3
Implementar ítem2.3.5.4
Implementar ítem2.3.5.5
Implementar ítem2.3.5.7
Requerido
Verificarde manera interna la existenciadelos requisitos y registros aplicables
Los resultados de la auditoría deben iniciar la implemen-tacióndeacciones correctivas.
Requerido
Requerido
Requerido
Implementar ítem 2.3.5.3
Implementar ítem 2.3.5.4
Implementar ítem 2.3.5.5
Implementar ítem 2.3.5.7
Requerido
Sedeberealizarunaauditoríaexternaparalaverificacióndel cumplimiento de lapresentedirectiva,afindeasegurarimparcialidad en los resultados.
Los resultados de la auditoría deben iniciar laimplementacióndeaccionescorrectivas.
Requerido
Requerido
Requerido
Implementar ítem 2.3.5.3
Implementar ítem 2.3.5.4
Implementar ítem 2.3.5.5
Implementar ítem 2.3.5.7
Requerido
Sedeberealizarunaauditoríaexternaparalaverificacióndel cumplimiento de lapresentedirectiva,afindeasegurarimparcialidad en los resultados.
Los resultados de la auditoría deben iniciar laimplementacióndeaccionescorrectivas.
ÍteM criterio BÁSico SiMPle iNterMeDio coMPleJo crÍtico
APLICA A LA CATEGORíA DE TRATAMIENTO:
![Page 33: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/33.jpg)
31
2.3.5 Medidas complementarias
2.3.5.1 Sobre pérdida del banco de datos personales, en complemento al requisito 2.3.3.1
Toda copia de respaldo de los datos personales debe estar protegida mediante técnicas decifradoyalmacenadaenunlocalseguroydistantealambienteprincipaldetratamientodedatos,para garantizar su disponibilidad frente a un desastre en el ambiente principal (considerar elalmacenamientoenunalocalizacióndiferenteoremota).
Lafrecuenciayelperiododeconservacióndelosrespaldosdebenseracordeconlafinalidaddeltratamientoarealizaryelimpactodelapérdidaenlosderechosdeltitulardelosdatospersonales.
Cuando sea pertinente, se debe incorporar mecanismos que garanticen la continuidad del tratamiento de datos personales, principalmente cuando la finalidad tenga un alto impacto enrelaciónconlostitularesdedatospersonalesoelbiencomún.
2.3.5.2 Sobre pérdida del banco de datos personales, en complemento al requisito 2.3.3.3
Estaspruebasdeben realizarsepor lomenosen formasemestral y sedebendocumentar losresultadosdelaspruebasincluyendo:
a)Fechayhoradelaprueba.
b)Nombredelapersonaquerealizólaprueba.
c) Bancodedatospersonalesrecuperado.
d)Archivorecuperadoyfechadelosdatosrecuperados.
e)Tiempoderecuperación.
f) Resultadosdelaspruebas.
g)Accionestomadasencasodepruebasinsatisfactorias.
2.3.5.3 Sobre el tratamiento no autorizado del banco de datos personales complemento al requisito 2.3.4.6
a)Transporteelectrónicodedatospersonalesenformacifrada,locualpuederealizarsemedianteel cifrado de la información antes de su transmisión o mediante el uso de protocolos decomunicacióncifrados(Ejemplo:VPN,correoelectrónicocifrado,FTPseguro,entreotros).
b)Usodefirmasdigitalesparavalidarlaidentidaddelemisordelainformación.
![Page 34: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/34.jpg)
32
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
2.3.5.4 Sobre el tratamiento no autorizado del banco de datos personales complemento al requisito 2.3.4.7
Elreceptoroimportadordedatospersonalesdebeimplementarlasmedidasdeseguridaddefinidasporelemisoroexportadordedatospersonaleseneldocumentodeseguridad.
La aceptación de la implementación de las medidas de seguridad por parte del receptor oimportadordedatospersonalesdebeestablecerseporescritomediantecláusulascontractualesuotro instrumento jurídico.
2.3.5.5 Sobre el tratamiento no autorizado del banco de datos personales complemento al requisito 2.3.4.8
Sedebetomarencuenta:
a)Que el proveedor no tenga acceso a la información de datos personales que utilicen suinfraestructura.
b)Que el proveedor no brinde acceso a terceros a los datos personales que utilicen suinfraestructura.
c) Ladestrucciónoimposibilidadderecuperacióndelosdatosalojadosenelserviciounavezconcluidalarelaciónconelproveedor.
d)Usodecanalessegurosparalatransferenciadedatospersonales.
e)Garantizarel cumplimientode lasmedidasdeseguridaden todos los lugaresendondeseencuentredistribuidalainfraestructuradelproveedor.
2.3.5.6 Sobre el tratamiento no autorizado del banco de datos personales complemento al requisito 2.3.4.9
Elencargadodelbancodedatospersonalesoquienseadesignadoporeltitulardelbancodedatospersonalesdeberácoordinarlasaccionesrequeridasparaanalizaryresponderenformarápidayefectivaalosincidentesdeseguridadpresentados.
Sedebenregistrarlosincidentesdeseguridadrelacionadosconlosbancosdedatospersonales,incluyendocomomínimo:
a)Fechayhoradelincidente.
b)Nombredelapersonaqueloreporta.
![Page 35: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/35.jpg)
33
c) Naturalezadelincidente.
d)Datospersonalescomprometidos.
e)Nombresdelaspersonasinvolucradasenlaresolucióndelincidente.
f) Consecuenciasdelincidente.
g)Medidascorrectivasimplementadas.
h)Recomendacionesparaeltitulardedatospersonales.(Siaplica).
i) Recuperacióndedatos.
j) Encasodehaberrealizadorecuperacióndedatos,sedeberegistrar:
• Nombredelapersonaquerealizólarecuperación.• Descripciónyfechadelosdatosrestaurados.• Descripcióndelosdatosrestauradosenformamanual.(Siaplica).
3. PROCEDIMIENTO
3.1 Generar lascondicionesapropiadashabilitaunentornofavorableparala implementacióndelapresentedirectiva.
3.2 Alinear los requisitos, identificar el tipo de tratamiento de datos personales y los requisitosaplicables.
3.3 Cuando el tratamiento de datos personales corresponda al tipo crítico, incorporar los bancos de datospersonalesdentro del alcancedel sistemadegestiónde seguridadde la informacióneimplementar los controles apropiados.
3.4 Implementarmedidasorganizacionalesdeseguridaddeacuerdoaltipodetratamientodedatospersonales aplicable.
3.5 Implementarmedidasjurídicasdeseguridaddeacuerdoaltipodetratamientodedatospersonalesaplicable.
3.6 Implementarmedidastécnicasdeseguridaddeacuerdoaltipodetratamientodedatospersonalesaplicable.
![Page 36: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/36.jpg)
34
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
Flujograma:
INICIO
FIN
SI
NO
Generar Condiciones
Implementar Requisitos
Medidas Organizativas de Seguridad
Categorización Crítico
Medidas Legales de Seguridad
Incorporar el tratamiento de datos personales en
el alcance del SGSI
Medidas Técnicas de Seguridad
![Page 37: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/37.jpg)
35
4. DISPOSICIONES COMPLEMENTARIAS
Conelobjetivodeconseguirellogrodelosobjetivosdelapresentedirectiva,sedebenconsiderartambiénlassiguientesdisposiciones:
4.1 Desarrollarprogramasdeinformaciónenelámbitodesuresponsabilidad,dirigidoatitularesdedatospersonalessobre“consentimiento”,“derechosdeltitulardedatospersonales”y“finalidad”.
4.2 Losencargadosdeltratamientoportercerizacióndebenasegurarymantenerlosmecanismosdeauditoría,verificaciónytomadedecisionesdeltitulardelbancoquecontrata.
![Page 38: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/38.jpg)
36
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
aNeXo a: gloSario
Paralosefectosdelaaplicacióndelapresentedirectiva,sinperjuiciodelasdefinicionescontenidasenlaLeyNº29733,LeydeProteccióndeDatosPersonales,ysureglamento,seseñalanlassiguientesdefinicionesatenerencuenta:
1. Medio informático removible: Dispositivodealmacenamientodeinformación.Incluyedisquetes,CD’s,DVD’s,cintasderespaldo,memoriasUSB,discoduroexterno,entreotros.
2. Responsable de seguridad: Rolasignadoaunapersonaquecoordinaycontrolalaimplementaciónde las medidas de seguridad en un banco de datos personales.
3. Usuarios de sistemas de información: Persona natural que tiene acceso a un sistema de informaciónquerealizatratamientodedatospersonales.Puedesereladministradordelsistema,administrador de banco de datos, operadores, personal de soporte o el titular de los datos personales.
4. Gestión de Riesgos: Proceso ordenado y continuo para medir y mantener los riesgos por debajo delosumbralesdefinidosorganizacionalmente.
![Page 39: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/39.jpg)
37
aNeXo B: orieNtacióN Para BaNcoS De DatoS De tiPo BÁSico o SiMPle
Conelobjetivodeorientarenelcumplimientodeladirectivadeseguridaddelainformaciónadministradaporlosbancosdedatospersonales,sepresentalosiguiente:
1.- Política de seguridad de datos personales
Conconocimientodelosocho(08)principiosseñaladosenlaLeyNº29733,LeydeProteccióndeDatosPersonales,parafinesdecumplimiento,losbancosdedatospersonalesdetipobásicoosimplepodráncolocarunavisoenunlugarvisible,quecontengalasiguienteinformación:
2.- Cuaderno de seguridad de datos personales (Documento maestro de seguridad de la información del banco de datos personales)
Parafinesdecumplimiento,losbancosdedatosdetipobásicopuedenutilizaruncuadernosimplequecontengademaneraordenadatodoslosrequisitosdocumentadosyregistrosseñaladosenladirectivadeseguridaddelainformaciónadministradaporlosbancosdedatospersonales.
Estecuadernodebeestarprotegidodelaccesonoautorizado,porejemploenungabineteocajóndemuebleprotegidoporunacerraduraconllaveocandado.
Aquí protegemos los datos personales.
Respetamoslosprincipiosdeproteccióndedatospersonales:
• Principiodelegalidad• Principiodeconsentimiento• Principiodefinalidad• Principiodeproporcionalidad• Principiodecalidad• Principiodedisposiciónderecurso• Principiodeniveldeprotecciónadecuado
Ley Nº 29733- Ley de Protección de Datos Personales y su reglamento, aprobado mediante Decreto Supremo N° 003-2013-JUS
![Page 40: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/40.jpg)
38
Directiva De SeguriDaD
autoridad Nacional de Protección de Datos Personales
aNeXo c: orieNtacióN Para BaNcoS De DatoS De tiPo coMPleJo o crÍtico
Conelobjetivodeorientarenelcumplimientodeladirectivadeseguridaddelainformaciónadministradaporlosbancosdedatospersonales,sepresentalosiguiente:
• LasentidadespúblicaspertenecientesalSistemaNacionaldeInformáticatienenlaobligatoriedadde implementar laNTP-ISO/IEC27001según laResoluciónMinisterial 129-2012-PCM.Por loque,al incorporar losbancosdedatospersonalesdentrodelalcancedelSGSI,elsistemadegestiónayudaráalcumplimientodelamayorpartedelosrequisitosymedidasseñaladasenladirectivadeseguridaddelainformaciónadministradaporlosbancosdedatospersonales,inclusoamayorniveldeldefinidoenladirectiva.SiendonecesarioidentificarcuálessonlosaspectosqueelSGSInocubreyqueladirectivaseñala.
• LaspersonasjurídicaspuedenimplementarelISO/IEC27001ensuediciónvigenteincorporando,enelalcancedelSGSI,a losbancosdedatospersonales.Con locual,elsistemadegestiónayudaráalcumplimientodelamayorpartedelosrequisitosymedidasseñaladasenladirectivadeseguridaddelainformaciónadministradaporlosbancosdedatospersonales,inclusoamayorniveldeldefinidoenladirectiva.SiendonecesarioidentificarcuálessonlosaspectosqueelSGSInocubreyqueladirectivaseñala.
• LasinstitucionespuedenutilizarelISO31000oISO/IEC27005comoreferenciasdegestióndelriesgo.
• LasinstitucionespuedenutilizarunAnálisisdeImpactoenlaPrivacidad(PIAporsussiglaseninglés)comoinsumouorientaciónenlafasedeplanificaciónygestióndelriesgo.
• Las instituciones pueden utilizar el enfoque de “Privacidad porDiseño” como referencia en laevaluacióndesusprocesosyherramientasquedeterminendeban incorporarseomodificarseparaelcumplimientodelaLeyN°29733,LeydeProteccióndeDatosPersonales.
Ver:http://www.privacybydesign.ca/content/uploads/2009/08/7foundationalprinciples-spanish.pdf
![Page 41: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/41.jpg)
39
![Page 42: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/42.jpg)
Estapublicación seterminódeimprimir
enlostalleresgráficosdelaimprenta:EDITORADISKCOPYS.A.C., condomicilioenJr.SanAgustín
Nro497,Surquillo.
![Page 43: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/43.jpg)
![Page 44: Directiva De SeguriDaD - FENACREP - Federación … Precisamente, el cumplimiento de tales obligaciones exige a los titulares de los bancos de datos personales la implementación de](https://reader031.fdocuments.mx/reader031/viewer/2022022623/5bb7726309d3f2f7768d988e/html5/thumbnails/44.jpg)
Calle Scipión Llona Nº 350, MirafloresLima - Perú
Teléfono: 204 8020www.minjus.gob.pe