Gestión de la Privacidad en el Sector Público Peruano

El Rol del Gobierno Central para el Gobierno y Gestión de Datos

  1. El gobierno tiene un rol muy importante en promover la innovación pública a través de los datos.
  2. Tiene la responsabilidad de velar por su seguridad y proteger los datos sensibles de las personas.

Administración Efectiva de las TI

  • Existe riesgos que surgen si el tratamiento los datos no se realiza de manera responsable; la recolección, el almacenamiento y el procesamiento de información personal puede terminar vulnerando derechos del as personas.
  • Estos riesgos podrían mitigarse si se diseña una adecuada estrategia de Gobierno y Gestión de datos.
  • A través de la gobernanza se definen el marco jurídico (las reglas de juego), la estructura organizacional, los roles y responsabilidades.

Marco Jurídico Peruano para los Datos Personales

El marco jurídico Peruano para la protección de datos personales se basa principalmente en las siguientes normativas:

  • Ley de Protección de Datos y su Reglamento emitidos por el Ministerio de Justicia.
  • Ley de Gobierno Digital y su Reglamento, emitidos por la Presidencia del Consejo de Ministros.

Ley de Protección de Datos Personales

  • El artículo 3 de la Ley indica el ámbito de aplicación: “La presente Ley es de aplicación a los datos personales contenidos o destinados a ser contenidos en bancos de datos personales de administración pública y de administración privada, cuyo tratamiento se realiza en el territorio nacional”.
  • En el artículo 16 indica “ Queda prohibido el tratamiento de datos personales en bancos de datos que no reúnan los requisitos y las condiciones de seguridad…”.
  • El artículo 17 indica “El titular del banco de datos personales, el encargado y quien es intervengan en cualquier parte de su tratamiento están obligados a guardar confidencialidad…”.

Multas por incumplimiento de la Ley de Protección de Datos Personales

Según lo indicado en el artículo 39, en caso de violación de las normas de la Ley o de su Reglamento, la Autoridad Nacional de Protección de Datos Personales puede aplicar las siguientes multas:

  1. Las infracciones leves son sancionadas con una multa mínima desde 0.5 hasta u UIT.
  2. Las infracciones graves son sancionadas con multa desde más de 5 UIT hasta 50 UIT.
  3. Las infracciones muy graves son sancionadas con multa desde más de 50 UIT hasta 100 UIT.

En el artículo 132 del Reglamento, indica que se tipifica como tratamiento grave, realizar tratamiento de datos personales sensibles incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia.

Reglamento de la Ley de Gobierno Digital (1/3)

  • A través del Decreto Supremo Nº029-2021-PCM se aprobó el Reglamento de la Ley de Gobierno Digital.
  • En el artículo 66 del Reglamento se define el marco de Gobernanza y Gestión de Datos del Estado Peruano.
  • En el artículo 8 define que, las unidades de organización de tecnologías de la información son responsables de la planificación, implementación, ejecución y supervisión del uso y adopción de las tecnologías digitales, con el propósito de permitir alcanzar sus objetivos estratégicos, crear valor público y cumplir con lo establecido por el Comité de Gobierno Digital institucional.

Reglamento de la Ley de Gobierno Digital (2/3)

En el artículo 68 define los Roles y responsabilidades para la Gobernanza y Gestión de Datos que debe tener toda entidad del Estado:

Reglamento de la Ley de Gobierno Digital

En el Reglamento en el artículo 111 define roles y responsabilidades relacionadas a la seguridad de la información en las entidades públicas, según lo indicado en la siguiente tabla.

Resumen de las Normativas

  • Todas las entidades públicas y privadas deben cumplir la Ley de Protección de Datos Personales y su Reglamento.
  • El incumplimiento de dicha Ley o su Reglamento está expuesto a acciones de habeas data, procedimientos sancionadores y multas según su nivel de infracción.
  • El Reglamento de la Ley de Gobierno Digital establece roles y responsabilidades relacionadas al cumplimiento de las normas de los datos personales y en materia de protección de datos personales en las entidades del estado.
  • En caso la entidad posea datos en la nube, bajo servicio IaaS, PaaS o SaaS ,deberá cumplir con la normativa de datos personales del país donde se encuentra alojado el servidor, existiendo el riesgo de incumplimiento con al to impacto.

Recomendaciones

  • Es de suma importancia que las entidades del estado tomen medidas para el cumplimiento de la Ley de Protección de Datos Personales y su Reglamento, a través de un eficiente Gobierno y Gestión de datos digitales y principalmente gestión de la privacidad.
  • La mejora y estandarización de procesos, en base a marcos de buenas prácticas (COBIT, ISO2 7001 u otro), alineados a las necesidades el negocio.
  • El uso de herramientas de software para automatización de procesos de gestión de la privacidad, que permita parametrizar en base a las normas peruanas (y normas de otros países en caso de tener datos en la nube), que permita descubrir en forma automatizada la ubicación de los datos personales en las diferentes bases de datos, archivos Excel, PDF, etc., de la entidad, que permita registrar la clasificación de datos y la trazabilidad de los procesos de gobierno y gestión de datos, entre otros.
  • Caso contrario se hace muy complejo su administración y puede generar un alto riesgo de incumplimiento de la Ley y su Reglamento, y expuesto a las sanciones y multas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *