Para tener un panorama más claro y preciso sobre la influencia de la Ley de Protección de Datos Personales del Perú (Ley N°29733), América Sistemas fue en búsqueda de reconocidos especialistas en el tema.
En esta ocasión, nos contactamos con el Dr. Fernando Nakaya, socio del Estudio Torres y Torres Lara Abogados (TyTL), y Efraín Cuentas, presidente ejecutivo de Híper, quienes señalaron que la Ley de Protección de Datos Personales (LPDP) establece medidas de carácter general y que de no buscar consenso puede acarrear graves consecuencias en la sociedad. A estar alertas amigos lectores!!
LEY DE PROTECCIÓN DE DATOS PERSONALES Y NORMA ISO/IEC 27001
Especialistas entrevistados por Amércia Sistemas comentaron que la norma ISO/IEC 27001, en el marco de la Ley de Protección de Datos Personales, es onerosa su implementación, genérica y amplia para la realidad de las empresas peruanas
(americasistemas.com.pe. Lima, Perú – 16 de setiembre de 2015) Para tener un panorama más claro y preciso sobre la influencia de la Ley de Protección de Datos Personales del Perú (Ley N°29733), América Sistemas fue en búsqueda de especialistas en el tema.
En esta ocasión, nos contactamos con el Dr. Fernando Nakaya, asociado del Estudio Torres y Torres Lara Abogados (TyTL), y Efraín Cuentas, presidente ejecutivo de Híper, quienes señalaron que la Ley de Protección de Datos Personales (LPDP) establece medidas de seguridad de carácter general, sin embargo, existe además una directiva de la Autoridad Nacional de Protección de Datos Personales (APDP) en donde se hace referencia a manera de recomendación para bancos de datos de tipo complejo y crítico el poder “implementar el ISO/IEC 27001”.
La APDP nace con la dación de la Ley N° 29733 y establece los términos en que se garantiza el derecho fundamental a la protección de los datos personales a través de un adecuado tratamiento, en un marco de respeto de los demás derechos fundamentales.
“En cuanto a medidas de seguridad la LPDP presenta varias generalidades. Por otro lado la APDP a través de una Directiva de Seguridad realiza recomendaciones, que no son obligatorias, siendo necesario que la Ley precise las medidas de seguridad que requieren los bancos de datos personales que manejan información sensible y que son calificados como complejos o críticos”, dijo Fernando Nakaya.
Aseguró que los bancos de datos personales que manejan información sensible se identifican por el tipo de información que manejan y por su categoría de tratamiento (los complejos y críticos son los más exigentes).
Además, Nakaya sostuvo que se hace necesario una mayor precisión normativa en cuanto al tipo de medidas de seguridad que se requieren cuando estemos frente al tratamiento de datos sensibles, de manera tal que por su naturaleza e importancia estos datos se encuentren debidamente protegidos.
Afirmó también que las empresas peruanas “deben hacer lo posible por proteger sus bases de datos, con la Ley de Protección de Datos Personales o sin ella, pero ello no ocurre”.
“Sin duda, la Ley N° 29733 es un buen primer paso en materia de protección de datos personales, ya que responde al constante aumento de la exposición de los datos que manejan las empresas del país”, declaró el entrevistado.
Si bien la adecuación de las empresas del país a esta Ley puede ser considerada como “una carga” pues incrementa el costo operativo de éstas. Es necesario advertir que el objetivo de la Ley es, además, proteger la información de las bases de datos de las empresas para que el contenido de dichos bancos no pueda ser manejado de manera distinta a la que se otorgó el consentimiento, subrayó.
Finalmente, manifestó que se debe evaluar convenientemente cómo las empresas pueden optimizar la seguridad de la información sensible en los bancos críticos y complejos sin incurrir en el exceso de que lo que hoy es una recomendación se convierta mañana en una exigencia, refiriéndose específicamente a la implementación de la ISO/IEC 27001 señalada en la Directiva de Seguridad.
NORMA AMPLIA, GENÉRICA Y CARA
Por su parte, el presidente ejecutivo de Híper, Efraín Cuentas, coincidió con Nakaya al expresar que LPDP no obliga a las empresas nacionales implementar la norma ISO/IEC 27001. “La única obligación que existe es que las empresas deben comprometerse a registrar en un archivo los datos personales con la debida correspondencia”, precisó.
“Para las empresas del país, de acuerdo a la Ley, el ISO/IEC 27001 es demasiado amplio, genérico para la realidad nacional y caro de implementar. Este estándar es una norma que no me dice cómo archivo la información, sino cómo implemento un sistema de seguridad de la información en general, no solo de datos”, indicó.
Cuentas exclamó: “La Ley establece que se deben guardar los datos sensibles y críticos, pero no puntualiza cómo hacerlo”.
Posibles escenarios sombríos
Si se almacenan datos sensibles tales como historias clínicas o identificación biométrica sin las medidas adecuadas de seguridad las consecuencias pueden ser catastróficas para los derechos de privacidad que sanciona la constitución.
Pensemos, por ejemplo, que la información de las personas portadoras del VIH puede llegar a las aseguradoras o a las empresas encargadas de reclutar personal en forma masiva, permitiendo que se les discrimine en contra de sus derechos.
Otro escenario catastrófico sería que alguna institución guarde los datos de identificación biométrica, como la huella digital, y por la escasa seguridad sean robados por alguna de las mafias que existen en nuestro país. En ese momento, con la tecnificación que estás están tomando podrían falsificar las huellas digitales en los procesos que se dan en la SUNARP, con lo cual se perdería totalmente una de las pocas barreras que existen para darnos seguridad en las transferencias de inmuebles; o en cualquier proceso que implique usar este mecanismo de identificación cierta.
Es obvio que estas situaciones solo se presentan en Bases de Datos que almacenen Datos Sensibles y que sean de tipo Complejo o Crítico.
Cuentas enfatiza: “A mi entender, quedan dos caminos para resolver este riesgo en forma concreta en el corto plazo: Obligamos a utilizar el ISO 27001 para poder guardar este tipo de datos, con lo cual se restringe en forma natural a grandes instituciones como las únicas que están en condiciones de hacerlo; fundamentalmente las instituciones públicas como RENIEC o buscamos una norma que se adecue más a nuestra realidad, posiblemente derivándola de normas como PCI, en cualquiera de las alternativas que se tome; el primer paso, en espera de una adecuación legal, nunca lo suficientemente rápida, es buscar un consenso entre las empresas más significativas del mercado para asumir esa norma de facto” concluye el ejecutivo.
