TEXTO PAGINA: 24
NORMAS LEGALES El Peruano Lima, viernes 22 de marzo de 2013 491326 1. El control de acceso a la información de datos personales incluyendo la gestión de accesos desde el registro de un usuario, la gestión de los privilegios de dicho usuario, la identifi cación del usuario ante el sistema, entre los que se encuentran usuario-contraseña, uso de certifi cados digitales, tokens, entre otros, y realizar una verifi cación periódica de los privilegios asignados, los cuales deben estar defi nidos mediante un procedimiento documentado a fi n de garantizar su idoneidad. 2. Generar y mantener registros que provean evidencia sobre las interacciones con los datos lógicos, incluyendo para los fi nes de la trazabilidad, la información de cuentas de usuario con acceso al sistema, horas de inicio y cierre de sesión y acciones relevantes. Estos registros deben ser legibles, oportunos y tener un procedimiento de disposición, entre los que se encuentran el destino de los registros, una vez que éstos ya no sean útiles, su destrucción, transferencia, almacenamiento, entre otros. Asimismo, se deben establecer las medidas de seguridad relacionadas con los accesos autorizados a los datos mediante procedimientos de identifi cación y autenticación que garanticen la seguridad del tratamiento de los datos personales. Artículo 40.- Conservación, respaldo y recuperación de los datos personales. Los ambientes en los que se procese, almacene o transmita la información deberán ser implementados, con controles de seguridad apropiados, tomando como referencia las recomendaciones de seguridad física y ambiental recomendados en la “NTP ISO/IEC 17799 EDI. Tecnología de la Información. Código de Buenas Prácticas para la Gestión de Seguridad de la Información.” en la edición que se encuentre vigente. Adicionalmente, se deben contemplar los mecanismos de respaldo de seguridad de la información de la base de datos personales con un procedimiento que contemple la verifi cación de la integridad de los datos almacenados en el respaldo, incluyendo cuando sea pertinente, la recuperación completa ante una interrupción o daño, garantizando el retorno al estado en el que se encontraba al momento en que se produjo la interrupción o daño. Artículo 41.- Transferencia lógica o electrónica de los datos personales. El intercambio de datos personales desde los ambientes de procesamiento o almacenamiento hacia cualquier destino fuera de las instalaciones físicas de la entidad, solo procederá con la autorización del titular del banco de datos personales y se hará utilizando los medios de transporte autorizados por el mismo, tomando las medidas necesarias, entre las que se encuentran cifrado de datos, fi rmas digitales, información, checksum de verifi cación, entre otros, destinados a evitar el acceso no autorizado, pérdida o corrupción durante el tránsito hacia su destino. Artículo 42.- Almacenamiento de documentación no automatizada. Los armarios, archivadores u otros elementos en los que se almacenen documentos no automatizados con datos personales deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el banco de datos. Si por las características de los locales que se dispusiera no fuera posible cumplir lo establecido en el apartado anterior, se adoptarán las medidas alternativas, conforme a las directivas de la Dirección General de Protección de Datos Personales. Artículo 43.- Copia o reproducción. La generación de copias o la reproducción de los documentos únicamente podrán ser realizadas bajo el control del personal autorizado. Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior. Artículo 44.- Acceso a la documentación. El acceso a la documentación se limitará exclusivamente al personal autorizado. Se establecerán mecanismos que permitan identifi car los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios. El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo a las directivas de seguridad que emita la Dirección General de Protección de Datos Personales. Artículo 45.- Traslado de documentación no automatizada. Siempre que se proceda al traslado físico de la documentación contenida en un banco de datos, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado. Artículo 46.- Prestaciones de servicios sin acceso a datos personales. El responsable o el encargado de la información o tratamiento adoptarán las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales. Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio. TÍTULO IV Derechos del titular de datos personales Capítulo I Disposiciones generales Artículo 47.- Carácter personal. Los derechos de información, acceso, rectifi cación, cancelación, oposición y tratamiento objetivo de datos personales sólo pueden ser ejercidos por el titular de datos personales, sin perjuicio de las normas que regulan la representación. Artículo 48.- Ejercicio de los derechos del titular de datos personales. El ejercicio de alguno o algunos de los derechos no excluye la posibilidad de ejercer alguno o algunos de los otros, ni puede ser entendido como requisito previo para el ejercicio de cualquiera de ellos. Artículo 49.- Legitimidad para ejercer los derechos. El ejercicio de los derechos contenidos en el presente título se realiza: 1. Por el titular de datos personales, acreditando su identidad y presentando copia del Documento Nacional de Identidad o documento equivalente. El empleo de la fi rma digital conforme a la normatividad vigente, sustituye la presentación del Documento Nacional de Identidad y su copia. 2. Mediante representante legal acreditado como tal. 3. Mediante representante expresamente facultado para el ejercicio del derecho, adjuntando la copia de su Documento Nacional de Identidad o documento equivalente, y del título que acredite la representación. Cuando el titular del banco de datos personales sea una entidad pública, podrá acreditarse la representación por cualquier medio válido en derecho que deje constancia fi dedigna, conforme al artículo 115 de la Ley Nº 27444, Ley del Procedimiento Administrativo General. 4. En caso se opte por el procedimiento señalado en el artículo 51 del presente reglamento, la acreditación de la identidad del titular se sujetará a lo dispuesto en dicha disposición. Artículo 50.- Requisitos de la solicitud. El ejercicio de los derechos se lleva a cabo mediante solicitud dirigida al titular del banco de datos personales o responsable del tratamiento, la misma que contendrá: