seguridad de la información

En IT DATUM SAC cada cliente es único y requiere un servicio que le brinde seguridad y confiabilidad a la información, para la toma de decisiones y el cumplimiento de sus objetivos empresariales. Nuestros profesionales con estudios especializados en Europa y con amplia experiencia en importantes grupos empresariales, dedican tiempo a entender su negocio en la industria en el cual usted opera y son capaces de identificar riesgos y oportunidades de mejora en los controles internos clave del negocio.

Ley 29733 de Proteccion de Datos Personales

Gran porcentaje de empresas no están listas para cumplir la Ley de Protección de Datos Personales, que ya rige desde mayo de 2015. Si tienes una base de datos en tu poder, por más simple que esta sea, esta ley te afecta y por su incumplimiento podrías recibir una sanción o multa de hasta 50 UIT o aprox. S/.197,500 (valor UIT al 2016 es S/.3,950).

La norma sobre bases de datos no es nueva (fue promulgada en el 2011) pero ha ido entrando en vigencia por partes y la última sección de la ley que aún no regía, se hizo a partir del 7 de mayo de 2015, por lo tanto ya no habrán más plazos para pensar en cómo cumplirla.

A.- ¿Que rige primero?

Desde mayo del 2013 se dispuso, que en las organizaciones tenían que obtener el consentimiento previo y expreso de los clientes o personas con las que se relacionan para acceder, manejar o compartir sus datos personales. De no hacerlo pueden ser sancionados por la autoridad competente.

Los datos personales no son otra cosa que aquella información que te permite identificar una persona (dirección del hogar, e-mail, otros.), y los datos sensibles aquellos que afectan tu intimidad (orientación sexual, enfermedades, otros.). Cualquier persona natural o jurídica que tenga en su poder un Excel con cualquiera de esos datos de otras personas, debe tener el consentimiento de dichas personas para poseerlas.
Además, quienes posean esas bases de datos personales están obligados desde entonces a registrarlos o inscribirlos en la dirección pertinente manejada por el Ministerio de Justicia y también serán sujetos de sanción si en un proceso de supervisión se descubre que no lo han hecho.

No es necesario entregar una copia de todas las bases de datos a la citada autoridad, sino que hay que acercarse a ella y llenar un formulario donde se indica de manera general qué campos y tipos de datos personales se incluyen en la base de datos y quien es el responsable de su cuidado.

B.- ¿Que regira ahora?

Desde el 07 de Mayo de 2015, todas las empresas o personas que manejan bases de datos personales deberán implementar además una serie de medidas de seguridad para proteger dichos datos y si no lo hacen también serán sancionados.

Se trata de tener "candados", los cuales en la mayoría de los casos van desde el uso de software de seguridad hasta políticas de confidencialidad y acceso a las bases de datos dependiendo de la sensibilidad de los mismos.

C.- ¿Sabemos identificar cuales son los datos personales?

Se considera que en general la mayoría de personas y empresas desconocen del tema, no saben que existe una ley, no entienden que están incumpliendo una norma vigente y no se imaginan que pueden recibir una sanción por eso. De hecho, solo el 10% de las empresas locales ha cumplido hasta ahora con lo que dictamina la ley, aun cuando afecta al 100% de las empresas.

Existen muchos mitos y confusiones al respecto. Hay empresas que creen que los datos personales de trabajadores, clientes y proveedores son propiedad de la empresa, lo cual es falso: pertenecen a dichas personas y son ellos los que nos autorizan a tener una copia de dichos datos.

Eso no significa que no podamos usarlos para el marketing o para fines comerciales, sí se pueden usar pero se debe pedir permiso. Además, es bueno considerar que no solo se trata de bases de datos de clientes, trabajadores y proveedores, también hay otras que deben ser consideradas como por ejemplo el registro de visitantes que realiza el área de seguridad física de la empresa y los vídeos de vigilancia que capturan las imágenes de individuos.

D.- ¿Como las Empresas pueden adecuadarse a la Ley y Cumplirla?

Se sugiere cuatro pasos:

  • Identificar quién capta los datos en la empresa, quién los conserva, si son transferidos a terceros, dónde y cuánto tiempo se estarán almacenando.
  • Una vez hecho el análisis interno de cómo fluyen los datos personales en la organización, hay que detectar cuáles son los bancos de datos que recogen dicha información. Por lo general no hay una sola base de datos y no está en una sola área de la empresa. Por ejemplo si recursos humanos recopila varias hojas de vida y hace un listado de candidatos con sus señas principales y las guarda en una computadora, ya tienes el flujo de una base de datos que debe ser reportada a la autoridad. No sólo se trata de la lista de los clientes que dejan sus coordenadas a los vendedores en la tienda porque están interesados en que les manden un correo informando sobre los nuevos productos que lance la empresa.
  • Un siguiente paso consiste en contrastar cómo manejamos los datos en la empresa y cómo dice la norma que debo asegurar esos datos mientras los utilizo o guardo. Para hacerlo es mejor pedir asesoría o ayuda a alguien que sepa de seguridad de datos. Por ejemplo, está el tema de quién puede acceder a los datos: un practicante no debería poder ingresar a ver la planilla completa de la empresa o toda la lista de potenciales clientes de retro virales. Para evitarlo hay que diseñar una serie de controles.
  • Una vez identificados las bases de datos y evaluado si su manejo y cuidad es acorde a lo que ha establecido la autoridad pertinente, es necesario implementar un plan para remediar los problemas encontrados, tomando en cuenta los riesgos más urgentes. Subsanados los errores, podemos dormir tranquilos porque no seremos sujeto de sanción alguna.

Le invitamos a comunicarse con nosotros para apoyar a su organizacion.

Norma Técnica Peruana NTP-ISO/IEC 17799

Consiente de los riesgos tecnológicos actuales, al cual pueden estar expuestos los activos de información de las diferentes organizaciones del sector público, el Estado Peruano aprobó el uso obligatorio de la Norma Técnica Peruana "NTP-ISO/IEC 17799 Código de buenas prácticas para la gestión de la seguridad de la información". Entre los beneficios de su implementación se incluyen:

  • Cumplir con lo estipulado en la Resolución Ministerial N° 224-2004-PCM, acerca del cumplimiento de la Norma Técnica Peruana "NTP-ISO/IEC 17799".
  • Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
  • Reducir las posibilidades de fraude y de problemas relacionados al reporte financiero.
  • Contar con una comprensión clara y completa de la situación actual de la gestión de seguridad de su plataforma tecnológica.
  • Focalizar sus esfuerzos de identificación, evaluación y monitoreo de las vulnerabilidades que afectan a la plataforma tecnológica.
  • Reducción del riesgo de pérdida, robo o corrupción de información.
  • Minimizar la posibilidad de pérdidas financieras o daños en la imagen.

Contacto

Escríbenos a ventas@itdatum.com o también puedes llenar el siguiente formulario.

Nombres y Apellidos
Empresa
Teléfono
Correo
Asunto
Mensaje