Norma Legal Oficial del día 22 de marzo del año 2013 (22/03/2013)
Si dese vizualizar el documento entero como pdf click aqui.
TEXTO DE LA PÁGINA 24
491326
NORMAS LEGALES
El Peruano MORDAZA, viernes 22 de marzo de 2013
1. El control de acceso a la informacion de datos personales incluyendo la gestion de accesos desde el registro de un usuario, la gestion de los privilegios de dicho usuario, la identificacion del usuario ante el sistema, entre los que se encuentran usuario-contrasena, uso de certificados digitales, tokens, entre otros, y realizar una verificacion periodica de los privilegios asignados, los cuales deben estar definidos mediante un procedimiento documentado a fin de garantizar su idoneidad. 2. Generar y mantener registros que provean evidencia sobre las interacciones con los datos logicos, incluyendo para los fines de la trazabilidad, la informacion de cuentas de usuario con acceso al sistema, horas de inicio y cierre de sesion y acciones relevantes. Estos registros deben ser legibles, oportunos y tener un procedimiento de disposicion, entre los que se encuentran el destino de los registros, una vez que estos ya no MORDAZA utiles, su destruccion, transferencia, almacenamiento, entre otros. Asimismo, se deben establecer las medidas de seguridad relacionadas con los accesos autorizados a los datos mediante procedimientos de identificacion y autenticacion que garanticen la seguridad del tratamiento de los datos personales. Articulo 40.- Conservacion, respaldo y recuperacion de los datos personales. Los ambientes en los que se procese, almacene o transmita la informacion deberan ser implementados, con controles de seguridad apropiados, tomando como referencia las recomendaciones de seguridad fisica y ambiental recomendados en la "NTP ISO/IEC 17799 EDI. Tecnologia de la Informacion. Codigo de Buenas Practicas para la Gestion de Seguridad de la Informacion." en la edicion que se encuentre vigente. Adicionalmente, se deben contemplar los mecanismos de respaldo de seguridad de la informacion de la base de datos personales con un procedimiento que contemple la verificacion de la integridad de los datos almacenados en el respaldo, incluyendo cuando sea pertinente, la recuperacion completa ante una interrupcion o dano, garantizando el retorno al estado en el que se encontraba al momento en que se produjo la interrupcion o dano. Articulo 41.- Transferencia logica o electronica de los datos personales. El intercambio de datos personales desde los ambientes de procesamiento o almacenamiento hacia cualquier destino fuera de las instalaciones fisicas de la entidad, solo procedera con la autorizacion del titular del banco de datos personales y se MORDAZA utilizando los medios de transporte autorizados por el mismo, tomando las medidas necesarias, entre las que se encuentran cifrado de datos, firmas digitales, informacion, checksum de verificacion, entre otros, destinados a evitar el acceso no autorizado, perdida o corrupcion durante el MORDAZA hacia su destino. Articulo 42.- Almacenamiento de documentacion no automatizada. Los armarios, archivadores u otros elementos en los que se almacenen documentos no automatizados con datos personales deberan encontrarse en areas en las que el acceso este protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas areas deberan permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el banco de datos. Si por las caracteristicas de los locales que se dispusiera no fuera posible cumplir lo establecido en el apartado anterior, se adoptaran las medidas alternativas, conforme a las directivas de la Direccion General de Proteccion de Datos Personales. Articulo 43.- MORDAZA o reproduccion. La generacion de copias o la reproduccion de los documentos unicamente podran ser realizadas bajo el control del personal autorizado. Debera procederse a la destruccion de las copias o reproducciones desechadas de forma que se evite el acceso a la informacion contenida en las mismas o su recuperacion posterior.
Articulo 44.- Acceso a la documentacion. El acceso a la documentacion se limitara exclusivamente al personal autorizado. Se estableceran mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por multiples usuarios. El acceso de personas no incluidas en el parrafo anterior debera quedar adecuadamente registrado de acuerdo a las directivas de seguridad que emita la Direccion General de Proteccion de Datos Personales. Articulo 45.- Traslado de documentacion no automatizada. Siempre que se proceda al traslado fisico de la documentacion contenida en un banco de datos, deberan adoptarse medidas dirigidas a impedir el acceso o manipulacion de la informacion objeto de traslado. Articulo 46.- Prestaciones de servicios sin acceso a datos personales. El responsable o el encargado de la informacion o tratamiento adoptaran las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de informacion, para la realizacion de trabajos que no impliquen el tratamiento de datos personales. Cuando se trate de personal ajeno, el contrato de prestacion de servicios recogera expresamente la prohibicion de acceder a los datos personales y la obligacion de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestacion del servicio. TITULO IV Derechos del titular de datos personales Capitulo I Disposiciones generales Articulo 47.- Caracter personal. Los derechos de informacion, acceso, rectificacion, cancelacion, oposicion y tratamiento objetivo de datos personales solo pueden ser ejercidos por el titular de datos personales, sin perjuicio de las normas que regulan la representacion. Articulo 48.- Ejercicio de los derechos del titular de datos personales. El ejercicio de alguno o algunos de los derechos no excluye la posibilidad de ejercer alguno o algunos de los otros, ni puede ser entendido como requisito previo para el ejercicio de cualquiera de ellos. Articulo 49.- Legitimidad para ejercer los derechos. El ejercicio de los derechos contenidos en el presente titulo se realiza: 1. Por el titular de datos personales, acreditando su identidad y presentando MORDAZA del Documento Nacional de Identidad o documento equivalente. El empleo de la firma digital conforme a la normatividad vigente, sustituye la MORDAZA del Documento Nacional de Identidad y su copia. 2. Mediante representante legal acreditado como tal. 3. Mediante representante expresamente facultado para el ejercicio del derecho, adjuntando la MORDAZA de su Documento Nacional de Identidad o documento equivalente, y del titulo que acredite la representacion. Cuando el titular del banco de datos personales sea una entidad publica, podra acreditarse la representacion por cualquier medio valido en derecho que deje MORDAZA fidedigna, conforme al articulo 115 de la Ley Nº 27444, Ley del Procedimiento Administrativo General. 4. En caso se opte por el procedimiento senalado en el articulo 51 del presente reglamento, la acreditacion de la identidad del titular se sujetara a lo dispuesto en dicha disposicion. Articulo 50.- Requisitos de la solicitud. El ejercicio de los derechos se lleva a cabo mediante solicitud dirigida al titular del banco de datos personales o responsable del tratamiento, la misma que contendra: