La Ley de Protección de Datos Personales del Perú (Ley N°29733) vigente recomienda que las empresas del país implementen ciertos estándares internacionales referentes a la gestión de la seguridad de la información. No pocos afirman que lamentablemente estas normas son costosas para que sean implementadas por las empresas del país. Entonces, ¿qué se puede hacer? Sería acaso una alternativa tropicalizar estos estándares a la realidad peruana?.
Para darnos luces sobre este tema, en las próximas semanas nos contactaremos con expertos para conocer sus puntos de vista. Sin duda, el asunto compromete a agentes técnicos y políticos.
LEY DE PROTECCIÓN DE DATOS PERSONALES: EN BUSCA DE MEJORAS
Citada Ley recomienda la implementación de normas de seguridad de la información, las cuales son muy costosas para las empresas del país. ¿Qué se puede hacer?
(americasistemas.com.pe. Lima, Perú – 9 de setiembre de 2015) El objetivo de la Ley de Protección de Datos Personales del Perú (Ley N°29733), vigente desde mayo último, es proteger todos los datos de las personas naturales gestionados por las compañías (clientes, colaboradores y proveedores, entre otros).
Para cumplir con este fin, se requiere la implementación de un marco integrado de medidas técnicas, organizacionales y legales.
Cabe señalar que la Ley de Protección de Datos Personales (LPDP) concibe a los datos personales como “toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados”.
Además, identifica a los datos sensibles como aquellos “datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual”.
TROPICALIZAR LAS NORMAS
La naturaleza de los datos que manejan las empresas requiere un mayor desarrollo o detalle más específico respecto a las medidas de seguridad.
Por lo tanto, para las empresas que manejan datos sensibles en sus bancos de datos, la Ley recomienda que las compañías implementen el estándar ISO/IEC 27001 (sistema de gestión de la seguridad de la información) y la Ley Sarbanes Oxley (diseñada para controlar los sistemas de mantenimiento de registros que las empresas están obligadas a tener).
¿Es posible que las empresas nacionales implementen estas normas sugeridas por la LPDP? Sí, es posible, pero éstas son caras de implementar.
Según hemos consultado, se estima que si una empresa nacional desea implementar la Ley Sarbanes Oxley (SOx) tendría que invertir alrededor de US$150 mil. Incluso existe una resistencia del mercado estadounidense porque esta norma es cara y les resta competitividad. También implementar la norma ISO/IEC 27001 es costosa.
Ante esta realidad, ¿qué se puede hacer? Una alternativa puede ser la tropicalización de estas normas de acuerdo al mercado peruano: La SOx por una menos exigente y la ISO/IEC 27001 considerando sus amplios aspectos.
La realidad es que en la actualidad las normas de seguridad de la información de las empresas nacionales son insuficientes y lo que recomienda implementar la LPDP es muy costoso.
¿Qué hacer? Esperamos que esta propuesta sea recogida por especialistas y expertos en el tema, la consideren, la mejoren y, finalmente, la impulsen en nuestro país.
Sin duda, más que un tema técnico se trata de un problema político. Por lo tanto, es necesario que el Congreso de la República sea consciente de esta problemática y logre un cierto consenso.
Asimismo, la Superintendencia de Banca, Seguros y AFP (SBS) y la Asociación de Bancos del Perú (Asbanc) pueden impulsar esta reforma en la LPDP e, incluso, buscar el consenso para que las empresas significativas del país se adhieran a esta propuesta.
Un comentario
Me podrían decir en que parte de la Ley / Reglamento / Directiva se hace la recomendación de implementar la Ley Sarbanes Oxley (SOX)