GOBIERNO Y GESTIÓN DE DATOS PERSONALES EN LAS ENTIDADES PÚBLICAS PERUANAS
Ing. José Antonio Lavado Landeo
Master en Gobierno de TI y certificaciones CGEIT, CRISC, PMP, ITIL y COBIT fundamentos y Cobit diseño e Implementación
El gobierno tiene un rol muy importante en la revolución de los datos, debido a que puede promover la innovación pública a través de los datos, pero a la vez, tiene la responsabilidad de velar por su seguridad y proteger los datos sensibles de las personas. Los datos tienen el potencial de convertirse en un habilitador del desarrollo económico y social de los países. A pesar de los beneficios, también hay riesgos que surgen si el tratamiento de estos datos no se realiza de manera responsable; la recolección, el almacenamiento y el procesamiento de información personal puede terminar vulnerando derechos de las personas.
Estos riesgos podrían mitigarse si se diseña una estrategia de Gobierno y Gestión de datos que contemple todos los aspectos relevantes de la generación, publicación y uso de los datos, tales como privacidad, acceso a la información o ciberseguridad.
A través de la gobernanza se definen el marco jurídico (las reglas de juego), la estructura organizacional, los roles y responsabilidades.
En el Perú se ha tenido avances significativos en el gobierno de datos personales, basado en la Ley de Protección de Datos y su Reglamento emitidos por el Ministerio de Justicia y la Ley de Gobierno Digital y su Reglamento, emitidos por la Presidencia del Consejo de Ministros. A continuación se realizará un análisis de estas normativas y luego recomendaciones para un eficiente Gobierno y Gestión de datos, orientado a la protección de datos personales.
Ley de Protección de Datos y su Reglamento
Por medio de la Ley 29733 Ley de Protección de Datos Personales y su Reglamento aprobado a través del Decreto Supremo N° 003-2013-JUS, en el Perú se norma el derecho fundamental a la protección de los datos personales, previsto en el artículo 2 numeral 6 de la Constitución Política.
El artículo 3 de la Ley indica el ámbito de aplicación: “La presente Ley es de aplicación a los datos personales contenidos o destinados a ser contenidos en bancos de datos personales de administración pública y de administración privada, cuyo tratamiento se realiza en el territorio nacional”.
La normativa se basa en Principios Rectores, dentro de los cuales indica:
- Legalidad: El tratamiento de los datos personales se hace conforme a lo establecido en la ley. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos.
- Consentimiento: Para el tratamiento de los datos personales debe mediar el consentimiento de su titular.
- Finalidad: Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad.
- Seguridad: El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate.
- Disposición de recurso: Todo titular de datos personales debe contar con las vías administrativas o jurisdiccionales necesarias para reclamar y hacer valer sus derechos, cuando estos sean vulnerados por el tratamiento de sus datos personales.
- Valor de los principios: La actuación de los titulares y encargados de tratamiento de datos personales y, en general, de todos los que intervengan con relación a datos personales, debe ajustarse a los principios rectores a que se refiere este Título. Esta relación de principios rectores es enunciativa.
En la Ley, artículo 16 indica “… Queda prohibido el tratamiento de datos personales en bancos de datos que no reúnan los requisitos y las condiciones de seguridad…”.
Respecto a la confidencialidad, en el artículo 17 indica “El titular del banco de datos personales, el encargado y quienes intervengan en cualquier parte de su tratamiento están obligados a guardar confidencialidad respecto de los mismos y de sus antecedentes. Esta obligación subsiste aun después de finalizadas las relaciones con el titular del banco de datos personales”.
Respecto al incumplimiento de la Ley, en el artículo 24 indica “En caso de que el titular o el encargado del banco de datos personales deniegue al titular de datos personales, total o parcialmente, el ejercicio de los derechos establecidos en esta Ley, este puede recurrir ante la Autoridad Nacional de Protección de Datos Personales en vía de reclamación o al Poder Judicial para los efectos de la correspondiente acción de hábeas data. El procedimiento a seguir ante la Autoridad Nacional de Protección de Datos Personales se sujeta a lo dispuesto en los artículos 219 y siguientes de la Ley 27444, Ley del Procedimiento Administrativo General, o la que haga sus veces”.
Respecto a las sanciones, en el artículo 37 de la Ley indica “El procedimiento sancionador se inicia de oficio, por la Autoridad Nacional de Protección de Datos Personales o por denuncia de parte, ante la presunta comisión de actos contrarios a lo dispuesto en la presente Ley o en su reglamento, sin perjuicio del procedimiento seguido en el marco de lo dispuesto en el artículo 24”.
En caso de violación de la la Ley o de su Reglamento, en el artículo 39 indica que, la Autoridad Nacional de Protección de Datos Personales puede aplicar las siguientes multas:
- Las infracciones leves son sancionadas con una multa mínima desde 0.5 UIT hasta 5 UIT.
- Las infracciones graves son sancionadas con multa desde más de 5 UIT hasta 50 UIT.
- Las infracciones muy graves son sancionadas con multa desde más de 50 UIT hasta 100 UIT.
Se debe tener en cuenta que según lo indicado en el artículo 132 del Reglamento, se tipifica como tratamiento grave, realizar tratamiento de datos personales sensibles incumpliendo las medidas de seguridad establecidas en la normativa sobre la materia.
Reglamento de la Ley de Gobierno Digital
A través del Decreto Supremo Nº 029-2021-PCM se aprobó el Reglamento de la Ley de Gobierno Digital, con el objetivo de regular las actividades de gobernanza y gestión de las tecnologías digitales en las entidades de la Administración Pública.
La responsabilidad de la Oficina de Tecnologías de la Información en las entidades públicas, es definida en el artículo 8, en el cual indica que, son responsables de la planificación, implementación, ejecución y supervisión del uso y adopción de las tecnologías digitales como habilitantes de la implementación de la cadena de valor, soluciones de negocio, modelos de negocio o similares priorizadas en el marco de los instrumentos de gestión de la entidad, con el propósito de permitir alcanzar sus objetivos estratégicos, crear valor público y cumplir con lo establecido por el Comité de Gobierno Digital institucional.
El marco de Gobernanza y Gestión de Datos del Estado Peruano es definido en el artículo 66 del Reglamento, el cual es supervisado y evaluado por la Secretaría General de la PCM y en el artículo 68 define los Roles y responsabilidades para la Gobernanza y Gestión de Datos, según lo siguiente:
Rol | Responsabilidad |
Comité de Gobierno Digital | Responsable de la gobernanza y uso estratégico de los datos en la entidad. estableciendo las políticas y directrices institucionales en la materia. |
Oficial de Gobierno de Datos | Responsable de asegurar el uso ético de las tecnologías digitales y datos en la entidad pública, proponer iniciativas de innovación basadas en datos, fomentar una cultura basada en datos, articular y gestionar el uso de datos gubernamentales, y asegurar la calidad e integridad de datos que contribuya a la creación de valor público. |
Oficial de Datos Personales | Responsable de velar por el cumplimiento de las normas en materia de protección de datos personales en su entidad. |
Los dueños de los procesos o en su defecto los responsables de las unidades de organización de la entidad | Son los propietarios de los datos que están bajo su responsabilidad, en cumplimiento de sus funciones o responsabilidades, y se encargan de cumplir con la regulación y los estándares de calidad. |
En el artículo 95 del Reglamento específica sobre la protección de datos e información, se promueve la implementación de medidas y controles de seguridad organizativos, técnicos y legales para preservar la disponibilidad, integridad y confidencialidad de los datos e información que capture, procese, almacene y distribuya una entidad, así como en cualquier otra forma de actividad que facilite el acceso o la interconexión de los datos.
El Reglamento en el artículo 111 define roles y responsabilidades relacionadas a la seguridad de la información en las entidades públicas, según lo indicado en la siguiente tabla.
Roles | Responsabilidades |
Titular de la entidad | Responsable de la implementación del SGSI. |
Comité de Gobierno Digital | Responsable de dirigir, mantener y supervisar el SGSI de la entidad. |
Oficial de Seguridad Digital | Responsable de coordinar la implementación y mantenimiento del SGSI en la entidad, atendiendo las normas en materia de seguridad digital, confianza digital y gobierno digital. |
Resumen de las Normativas
Por todo lo indicado en las diferentes normativas, las entidades públicas y privadas deben cumplir la Ley de Protección de Datos Personales y su Reglamento, el incumplimiento de dicha Ley o su Reglamento está expuesto a acciones de habeas data, procedimientos sancionadores y multas según su nivel de infracción.
El Reglamento de la Ley de Gobierno Digital establece roles y responsabilidades relacionadas al cumplimiento de las normas de los datos personales y en materia de protección de datos personales en las entidades del estado, así como el rol de la oficina de tecnologías de la información en las entidades del estado, por lo que las responsabilidades ya están delimitadas en materia de datos personales.
Siendo así, es de suma importancia que las entidades del estado tomen medidas para el cumplimiento de la Ley de Protección de Datos Personales y su Reglamento, a través de un eficiente Gobierno de datos y gestión de datos digitales, gestión de riesgos de TI y gestión de la seguridad de la información (más específicamente de la ciberseguridad) y el uso de herramientas de software para la automatización de los mismos.
¿Que ofrece GestionTech?
GestionTech está especializada en el servicio de consultorías en el ámbito de Gobierno y Gestión de tecnologías de la información, principalmente en entidades del estado, basado en un enfoque holístico e interdisciplinario (Administración, tecnología y normas legales), basado en marcos y estándares internacionales, siendo los únicos en el Perú con personal con certificaciones internacionales como COBIT (Gobierno de TI), ITIL (Gestión de Servicios de TI), PMBOK (Gestión de Proyectos), Gestión de Riesgos de ISACA y Ciberseguridad de ISACA, con la intensión de recomendar las buenas prácticas de la industria, alineadas a las necesidades de cada entidad.
GestionTech ofrece servicios de análisis, diseño, mejora de procesos y políticas de Gobierno y Gestión de TI, así como la automatización de los procesos de TI, en el campo de Gobierno de TI, Gestión de Riesgos/ciberseguridad y Gestión de la Privacidad, con una herramienta de software líder en el mercado mundial, que permite la automatización e integración de todas estas funciones.
Para una adecuada gestión de la privacidad, GestionTech recomienda la mejora de procesos en este campo, en base a marcos de buenas prácticas. Asimismo, recomienda el uso de herramientas de software que se puedan parame trizar en base a las normas peruanas, que permita descubrir en forma automatizada la ubicación de los datos personales en las diferentes bases de datos, archivos Excel, PDF, etc., de la entidad, que permita registrar la clasificación de datos y la trazabilidad de los procesos de gobierno y gestión de datos, etc., caso contrario se hace muy complejo su administración y puede generar un alto riesgo de incumplimiento de la Ley de Datos Personales y expuesto a las sanciones y multas que indica la Ley.