TEXTO PAGINA: 23
NORMAS LEGALES El Peruano Lima, viernes 22 de marzo de 2013 491325 edad datos que permitan obtener información sobre los demás miembros de su grupo familiar, como son los datos relativos a la actividad profesional de sus progenitores, información económica, datos sociológicos o cualquier otro, sin el consentimiento de los titulares de tales datos. Sólo podrá recabarse los datos de identidad y dirección de los padres o de los tutores con la fi nalidad de obtener el consentimiento a que se refi ere el artículo 27 del presente reglamento. Artículo 30.- Fomento de la protección. Es obligación de todos los titulares de bancos de datos personales y especialmente de las entidades públicas colaborar con el fomento del conocimiento del derecho a la protección de datos personales de los niños, niñas y adolescentes, así como de la necesidad de que su tratamiento se realice con especial responsabilidad y seguridad. Artículo 31.- Tratamiento de datos personales en el sector comunicaciones y telecomunicaciones. Los operadores de los servicios de comunicaciones o telecomunicaciones tienen la responsabilidad de velar por la confi dencialidad, seguridad, uso adecuado e integridad de los datos personales que obtengan de sus abonados y usuarios, en el curso de sus operaciones comerciales. En tal sentido, no podrán realizar un tratamiento de los citados datos personales para fi nalidades distintas a las autorizadas por su titular, salvo orden judicial o mandato legal expreso. Artículo 32.- Confi dencialidad y seguridad. Los operadores de comunicaciones o telecomunicaciones deberán velar por la confi dencialidad, seguridad y uso adecuado de cualquier dato personal obtenido como consecuencia de su actividad y adoptarán las medidas técnicas, legales y organizativas, conforme a lo establecido en la Ley y el presente reglamento, sin perjuicio de las medidas establecidas en las normas del sector de comunicaciones y telecomunicaciones que no se opongan a lo establecido en la Ley y el presente reglamento. Artículo 33.- Tratamiento de los datos personales por medios tecnológicos tercerizados. El tratamiento de datos personales por medios tecnológicos tercerizados, entre los que se encuentran servicios, aplicaciones, infraestructura, entre otros, está referido a aquellos, en los que el procesamiento es automático, sin intervención humana. Para los casos en los que en el tratamiento exista intervención humana se aplican los artículos 37 y 38. El tratamiento de datos personales por medios tecnológicos tercerizados, sea completo o parcial, podrá ser contratado por el responsable del tratamiento de datos personales siempre y cuando para la ejecución de aquel se garantice el cumplimiento de lo establecido en la Ley y el presente reglamento. Artículo 34.- Criterios a considerar para el tratamiento de datos personales por medios tecnológicos tercerizados. Al realizar el tratamiento de los datos personales por medios tecnológicos tercerizados se deberá considerar como prestaciones mínimas las siguientes: 1. Informar con transparencia las subcontrataciones que involucren la información sobre la que presta el servicio. 2. No incluir condiciones que autoricen o permitan al prestador asumir la titularidad sobre los bancos de datos personales tratados en la tercerización. 3. Garantizar la confi dencialidad respecto de los datos personales sobre los que preste el servicio. 4. Mantener el control, las decisiones y la responsabilidad sobre el proceso mediante el cual se realiza el tratamiento de los datos personales. 5. Garantizar la destrucción o la imposibilidad de acceder a los datos personales después de concluida la prestación. Artículo 35.- Mecanismos para la prestación del servicio de tratamiento de datos personales por medios tecnológicos tercerizados. El prestador del servicio deberá contar con los siguientes mecanismos: 1. Dar a conocer los cambios en sus políticas de privacidad o en las condiciones del servicio que presta al responsable del tratamiento, para obtener el consentimiento si ello signifi cara incrementar sus facultades de tratamiento. 2. Permitir al responsable del tratamiento limitar el tipo de tratamiento de los datos personales sobre los que presta el servicio. 3. Establecer y mantener medidas de seguridad adecuadas para la protección de los datos personales sobre los que presta el servicio. 4. Garantizar la supresión de los datos personales una vez que haya concluido el servicio prestado al responsable y que este último los haya podido recuperar. 5. Impedir el acceso a los datos personales a quienes no cuenten con privilegios de acceso, o bien en caso sea solicitada por la autoridad competente informar de ese hecho al responsable. Artículo 36.- Prestación de servicios o tratamiento por encargo. Para efectos de la Ley, la entrega de datos personales del titular del banco de datos personales al encargado no constituye transferencia de datos personales. El encargado del banco de datos personales se encuentra prohibido de transferir a terceros los datos personales objeto de la prestación de servicios de tratamiento, a menos que el titular del banco de datos personales que le encargó el tratamiento lo haya autorizado y el titular del dato personal haya brindado su consentimiento, en los supuestos que dicho consentimiento sea requerido conforme a Ley. El plazo para la conservación de los datos será de dos (2) años contado desde la fi nalización del último encargo realizado. Lo dispuesto en el presente artículo será aplicable, en lo que corresponda, a la subcontratación de la prestación de servicios de tratamiento de datos personales. Artículo 37.- Tratamiento a través de subcontratación. El tratamiento de datos personales puede realizarse por un tercero diferente al encargado del tratamiento, a través de un convenio o contrato entre estos dos. Para este supuesto se requerirá de manera previa una autorización por parte del titular del banco de datos personales o responsable del tratamiento. Dicha autorización se entenderá también concedida si estaba prevista en el instrumento jurídico mediante el cual se formalizó la relación entre el responsable del tratamiento y el encargado del mismo. El tratamiento que haga el subcontratista se realizará en nombre y por cuenta del responsable del tratamiento, pero la carga de probar la autorización le corresponde al encargado del tratamiento. Artículo 38.- Responsabilidad del tercero subcontratado. La persona natural o jurídica subcontratada asume las mismas obligaciones que se establezcan para el encargado del tratamiento en la Ley, el presente reglamento y demás disposiciones aplicables. Sin embargo, asumirá las obligaciones del titular del banco de datos personales o encargado del tratamiento cuando: 1. Destine o utilice los datos personales con una fi nalidad distinta a la autorizada por el titular del banco de datos o responsable del tratamiento; o 2. Efectúe una transferencia, incumpliendo las instrucciones del titular del banco de datos personales, aun cuando sea para la conservación de dichos datos. Capítulo V Medidas de seguridad Artículo 39.- Seguridad para el tratamiento de la información digital. Los sistemas informáticos que manejen bancos de datos personales deberán incluir en su funcionamiento: