Ley de Protección de Datos Personales 29733 y su Reglamento (Segunda Edición)
0 recomendaciones5,793 vistas
La ley de protección de datos personales en Perú, vigente desde mayo de 2013, establece un marco regulador para el tratamiento de datos personales tanto en la administración pública como privada, resaltando la necesidad de consentimiento explícito y otros principios rectores. Esta ley incluye definiciones clave sobre datos sensibles y bancos de datos, así como los derechos de los titulares de datos y la importancia de la seguridad en su manejo. La normativa también detalla las obligaciones de las entidades y las sanciones por incumplimiento, así como el proceso para la inscripción y regulación de bancos de datos personales.
Ley de Protección de Datos Personales 29733 y su Reglamento (Segunda Edición)
- 1. Ley de protección de datos personales y su entrada en vigencia Principales implicancias y pasos a seguir Julio de 2013
- 2. Constitución 1993 Art. 2 inc. 6 Compromisos internacionales Art. 109 y 164 TLC Unión Europea Compromisos comerciales del Estado y empresas privadas
- 3. Proyecto de Ley 4079 • Presentado por el Ejecutivo Ley 29733 • Publicada el 3 de julio de 2011 DS No. 003- 2013-JUS Reglamento de la Ley 29733 • Publicado el 22 de marzo de 2013 Protección de Datos Personales
- 4. La norma se aplica a los datos personales contenidos en bancos de datos personales de administración pública y de administración privada, cuyo tratamiento se realice en el territorio nacional.
- 6. Toda información sobre una persona natural que la identifica o la hace identificable a través de medios que puedan ser razonablemente utilizados. Datos Personales
- 7. Los datos personales constituidos por los datos biométricos que por sí mismos puedan identificar al titular, datos referidos al origen racial y étnico, ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales, afiliación sindical, e información relacionada con la salud o a la vida sexual. Datos Sensibles
- 8. Conjunto de datos personales, automatizado o no, independientemente del soporte, sea este magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso. Banco de Datos Personales
- 9. Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, suspensión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales. Tratamiento
- 10. No ha sido definido en la ley.Banco de Datos
- 11. Principios rectores Principio de consentimiento Principio de finalidad Principio de calidad Principio de seguridad
- 12. Principio de consentimiento Titular del banco de datos personales o el responsable del tratamiento Debe obtener el consentimiento para el tratamiento de Datos Personales Consentimiento Libre Previo Expreso e inequívoco Informado Para datos sensibles, debe prestarse por escrito Carga de la prueba recae en el titular del banco de datos o en el responsable del tratamiento Titular de datos personales puede revocarlo en cualquier momento, sin justificación y sin efectos retroactivos
- 13. Datos Personales Datos Sensibles Solamente pueden ser objeto de tratamiento con CONSENTIMIENTO de su titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco. En este caso, además de todo lo anterior, el tratamiento requiere que el consentimiento se preste POR ESCRITO. Tratamiento
- 14. "De conformidad con la legislación vigente de la República del Perú, el (firmante/usuario) autoriza a ______________________ al tratamiento de los datos personales recogidos en el presente formulario. Estos datos pasan a formar parte del banco de datos personales denominado “___________________________", inscrito ante el Registro Nacional de Protección de Datos Personales, bajo la responsabilidad de ____________________, con la finalidad de _____________________________________________. El (firmante/usuario) puede ejercitar los derechos de acceso, rectificación, cancelación y oposición, enviando un escrito a la dirección de __________________________________. La falta de entrega o la negativa de entregar los datos personales requeridos bajo los términos del presente formulario, determina ________________________."
- 15. ¿Qué pasa con las listas negras?
- 16. Datos relacionados a la comisión de infracciones penales o administrativas ¿Qué son infracciones penales y administrativas? Tratamiento
- 17. Infracciones penales: Son los delitos y faltas. Pueden ser sancionadas con la privación de la libertad. Infracciones administrativas: Son conductas sancionables conforme a la Ley 27444. Nunca se podrá disponer la privación de la libertad. ¿Qué son infracciones penales y administrativas?
- 18. Datos relacionados a la comisión de infracciones penales o administrativas Solamente puede ser efectuado por las entidades públicas competentes. Cuando se haya producido la cancelación de los antecedentes penales, judiciales, policiales y administrativos, estos datos no pueden ser suministrados salvo que sean requeridos por el Poder Judicial o el Ministerio Público, conforme a ley. Tratamiento
- 19. Características del Tratamiento de datos personales contenidos en “Listas Negras” Tratamiento No hay consentimiento del titular de los datos personales. Las bases de datos personales no están inscritas en el RNPDP. La base de datos personales no está creada de acuerdo a la ley. Infracciones
- 23. Derechos del titular de los datos personales A ser informado previamente. A acceder a la base de datos personales. A actualizar, incluir, rectificar y cancelar. A impedir el suministro. A oponerse al tratamiento. Al tratamiento objetivo. A la tutela. A ser indemnizado.
- 25. Obligaciones del titular y del encargado del Banco de Datos Personales Tratamiento previo consentimiento. No recopilar mediante medios fraudulentos, ilícitos y desleales. Recopilar datos actualizados y pertinentes. No utilizar los datos para fines distintos. Suprimir los datos cuando dejen de ser necesarios. Informar y permitir el acceso a la ANPDP.
- 26. Banco de Datos Personales ¿Sabías que … los armarios, archivadores u otros elementos en los que se almacenen documentos no automatizados con datos personales deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistema de apertura mediante llave u otro dispositivo equivalente? … dichas áreas deben permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el banco de datos? … la generación de copias de los documentos únicamente podrá ser realizada por personal autorizado? … el acceso a la documentación se limitará al personal autorizado?
- 27. Banco de Datos Personales ¿Sabías que … los sistemas informáticos que manejan bancos de datos personales deberán incluir control de acceso a la información, incluyendo gestión de accesos, de privilegios, identificación del usuario y verificación periódica de privilegios, así como generar y mantener registros que provean evidencia sobre interacciones? … los ambientes en los que se procese, almacene o transmita la información deberán ser implementados controles de seguridad (NTP ISO/IEC 17799 EDI. Tecnología de la Información. Código de Buenas Prácticas para la Gestión de la Seguridad de la Información? … se deben contemplar mecanismos de respaldo con un procedimiento que verifique la integridad de los datos y la recuperación completa ante una interrupción o daño?
- 28. Flujo transfronterizo 1. Transferencia de DP fuera del Perú 2. Importador se obliga a observar la ley y el reglamento 3. Se requiere consentimiento del titular de los DP 4. Carga de la prueba recae en el emisor 5. Importador de DP debe asumir las mismas obligaciones que el titular del BDP
- 29. Inscripción y regularización Inscripción debe realizarse de inmediato: Norma ya entró en vigencia el 9/05/2013. Adecuación de los BDP preexistentes puede realizarse hasta el 9/05/2015. Adecuación es el cumplimiento del estándar legal y reglamentario de los BDP. Banco de Datos Personales Políticas de protección de datos personales Designación de responsable del tratamiento
- 30. Para garantizar publicidad sobre… Existencia Finalidad Identidad del titular o encargado Domicilio del titular o encargado ¿Para qué se inscriben? Banco de Datos Personales
- 31. Inscripción
- 34. ¿Quién es el responsable? En este caso, el titular del BDP es la “persona jurídica”. La representación de quien suscribe la solicitud tiene que estar acreditada: Debe designarse un representante que reporte al más alto nivel y cuyas funciones sean transversales a toda la organización. Asume la condición de “responsable del tratamiento”.
- 35. Infracciones y Sanciones Dar tratamiento sin consentimiento. No inscribir el BDP en el RNPDP. Crear, modificar, cancelar o mantener BDP sin cumplir la ley. No cesar en el tratamiento pese a requerimiento de ANPDP. No inscribir el BDP en el RNPDP pese a requerimiento. 5 UIT 50 UIT 100 UIT 100 UIT 100 UIT Son recursos de la ANPDP los montos que recaude por concepto de multas.
- 36. La Ley y el Reglamento entraron completamente en vigencia a partir del 9 de mayo de 2013.
- 37. Julio de 2013 ¡Muchas gracias!