Alcances sobre la Directiva de Seguridad para la ley de protección de datos personales

Con la publicación de la Directiva de Seguridad para la ley de protección de datos personales, se cumple con la segunda disposición complementaria final de la Ley 29733, Ley de protección de datos personales.

Esta directiva es altamente recomendable y una herramienta interesante para la implementación de medidas de seguridad, especialmente las medidas de seguridad técnicas, sin embargo hay algunos aspectos que comúnmente no son tomados en cuenta al momento de implementar las disposiciones de la Ley y su reglamento.

Así vamos a revisar algunos aspectos importantes :

1.- La directiva de seguridad es una herramienta para facilitar el cumplimiento de la ley y su reglamento .- Como se señala en la presentación del documento :

"Esta es una directiva, es decir una indicación de cómo pueden hacerse las cosas, un documento facilitador. Si los administrados encuentran que pueden cumplir las normas de seguridad con criterios o protocolos distintos pero igualmente eficientes deben recordar que su obligación es adecuarse a la ley y el reglamento, no a la directiva, que es solo un documento facilitador."

Esto es importante a tomar en cuenta, toda vez que la directiva de seguridad no es un simple check-list que sea de aplicación en todos los casos, de hecho la directiva de seguridad no contempla muchos aspectos específicos de la Ley 29733 (como las caracteristicas del consentimineto o los principios de la Ley) sino que se centra principalmente en medidas de seguridad, condiciones de seguridad y requisitos.

2.- Incorpora 5 tipos de tratamiento .- Estos tipos de tratamiento no estan definidos ni en la Ley 29733 ni en su reglamento, son incorporados en la directiva de seguridad como una forma de diferenciar la carga de medidas de seguridad que se tienen que implementar según la complejidad del tratamiento que se realice (a tratamiento mas complicado o delicado mayor categoría), de este modo un tratamiento que involucra pocos datos personales sin incluir datos sensibles, tiene unas recomendaciones mas simples que tratamientos que incluyan datos sensibles o que se realicen desde múltiples localizaciones.

3.- Principales destinatarios .- Los principales destinatarios de la directiva de seguridad son los titulares de bancos de datos personales que realicen tipos de tratamiento BASICO, SIMPLE o INTERMEDIO, toda vez que las posibildiades de contratar o adquirir servicios especializados en consultoria o productos para protección de datos personales es complicado (principalmente para tipos BASICO y SIMPLE) por lo que la directiva de seguridad hace recomendaciones para el cumplimiento de la Ley que no suponen una inversión importante y se focalizan principalmente en asumir responsabilidades. Para el tipo de tratamiento INTERMEDIO la directiva de seguridad incorpora un mayor detalle en cuanto a las medidas de seguridad recomendadas y sera necesario evaluar la necesidad o no de apoyo especiailizado externo.

4.-  Complejidad y criticidad .- Los tipos de tratamiento complejos se refieren a las estructuras organizacionales que tienen múltiples localizaciones y se determina complejo por la complejidad que supone la estructura organizacional necesaria para gestionar efectiva y eficientemente múltiples oficinas (por ejemplo manetener un jefe o responsable de oficina o sucursal, procedimientos de reporte a la sede central, mecanismos de intercambio de información o conectividad remota entre oficinas, etc), esta complejidad hace necesario tambien una estructura documental (políticas, descripción de procesos, procedimientos, etc) que asegure que las actividades se realicen apropiadamente. El tipo de tratamiento CRITICO es mas simple de identificar, toda vez que tiene la característica de que su finalidad esta definida por una Ley o equivalente (por ejemplo las historias clinicas electrónicas o la RENIEC), la criticidad esta dada por la afectación al titular del dato personal, todos estos bancos de datos con finalidades asignadas por ley estan basados en algun derecho o necesidad común de la sociedad y su carencia supone la afectación de algún derecho (como justicia, salud, educación, etc).

5.- Relación con ISO/IEC 27001 .- Tanto los tipos de tratamiento COMPLEJO o CRITICO mantienen una relación con la norma ISO/IEC 27001, toda vez que mediante la R.M. 129-2012-PCM la NTP-ISO/IEC 27001 es obligatoria para las entidades conformantes del sistema nacional de informática (aqui debemos tener en cuenta que la asignacion por ley de una finalidad solo es posible a una entidad pública como un ministerio o una dependencia gubernamental y por definición, esta es integrante del sistema nacional de informática), por lo tanto todo tipo de tratamiento CRITICO esta dentro del alcance de la R.M. 129-2012-PCM y por ello este tipo de tratamiento debe estar en una entidad donde es obligatorio la implementación de la NTP-ISO/IEC 27001. De otro lado las entidades que comúnmente tienen tipos de tratamiento COMPLEJO no estan obligadas pero por la naturaleza de sus objetivos de negócio es altamente recomendable y de hecho la mayoria tienen procesos de implementación o implementaciones parciales (Bancos , cajas de ahorro, operadores de telecomunicaciones, etc) esto por necesidades del negocio o por cumplimiento con obligaciones de reguladores o cumplimiento de normas internacionales.

6.- Los Anexos B y C .- Los anexos de la directiva de seguridad tienen información que no esta relacionada expresamente con la ley y su reglamento, pero que permiten una mayor comprensión y aplicación de la ley, asi en el Anexo B se presenta algunas recomendaciones para tipos de tratamiento BASICO y SIMPLE, como lel uso de un cuaderno de seguridad y en el Anexo C recomendaciones para tipos de tratamiento COMPLEJO y CRITICO, donde se hace enfasis en la gestión del riesgo y se pone en referencia la utilidad de un PIA o del enfoque de privacidad por diseño, ambos anexos brindan recoemendaciones adicionales a lo contenido en la directiva de seguridad. 

Finalmente podemos decir que la directiva de seguridad ayuda a la mayoria de empresas a cumplir con la Ley y su reglamento pero que es muy probable que empresas grandes o grupos empresariales requieran mayores mecanismos para evidenciar de forma apropiada su cumplimiento con la Ley y su reglamento.

-------

Si estas intersado en nuestros contenidos, puedes seguirnos en las redes sociales para ser notificado de nuevas publicaciones asi como de nuestros eventos:

Facebook : @gtdi.pe

Twitter : @gtdipe

Linkedin : GTDI

Protección de datos personales Gobernanza TI  SGSI - 27001