Modelo de referencia para la protección de datos personales en el sector microfinanciero peruano / Reference model for personal data protection in the Peruvian microfinance sector

Alejo Alarcón, Claudio Alfredo Aarón, Navarro Ruíz, Alan Jesús

30 November 2020

La protección de datos personales consiste en resguardar la información de las personas en todo su ciclo de vida dentro de una entidad y emplearla únicamente para los fines por los cuales fueron proporcionados. Todas las empresas se convierten en titulares de bancos de datos personales al poseer información de sus clientes, colaboradores y/o proveedores, ya sea empleando tecnologías de información para su tratamiento, o documentos y almacenes físicos. La aplicación de las medidas de seguridad adecuadas para la protección de datos personales es de gran importancia en las organizaciones, en especial, en uno de los sectores de mayor crecimiento como es el microfinanciero. De lo contrario, pone en riesgo los derechos y libertades de las personas, además de recibir costosas sanciones económicas. En la presente tesis, se propone un modelo de referencia que brinda un conjunto de medidas legales, organizativas y técnicas para proteger los datos personales custodiados por una entidad microfinanciera, garantizando su adecuado tratamiento a lo largo de su ciclo de vida. Estas medidas están basadas en la Ley 29733 y su reglamento, ISO 27001, COBIT 5, NIST 800-53 y CIS CSC. El modelo de referencia fue implementado en una Cooperativa peruana de ahorro y créditos donde se recopiló información relacionada al tratamiento de datos personales, se evaluó el nivel de protección de datos personales y se implementó un plan de mejora. El resultado de la implementación fue un incremento del 57% en el nivel de protección de datos personales, alcanzando así un 74%. / The protection of personal data consists of safeguarding the information of people throughout its life cycle within an entity and using it only for the purposes for which it was provided. All companies become owners of personal data banks by having information on their clients, collaborators and / or suppliers, either by using information technologies for their treatment, or documents and physical warehouses. The application of adequate security measures for the protection of personal data is of great importance in organizations, especially in one of the fastest growing sectors such as microfinance. Otherwise, it puts the rights and freedoms of people at risk, in addition to receiving costly financial penalties. In this thesis, a reference model is proposed that provides a set of legal, organizational and technical measures to protect the personal data kept by a microfinance entity, guaranteeing its adequate treatment throughout its life cycle. These measures are based on Law 29733 and its regulations, ISO 27001, COBIT 5, NIST 800-53 and CIS CSC. The reference model was implemented in a Peruvian savings and loan cooperative where information related to the processing of personal data was collected, the level of protection of personal data was evaluated and an improvement plan was implemented. The result of the implementation was a 57% increase in the level of protection of personal data, thus reaching 74%. / Tesis

Datos personales

Sector microfinanciero

Seguridad de la información

ISO 27001

Personal data

Microfinance

Information security

A PROTEÇÃO JURÍDICA DOS DADOS PESSOAIS NOS PAÍSES DO MERCOSUL EM FACE DA SEGMENTAÇÃO COMPORTAMENTAL: um estudo comparado / LA PROTECCIÓN JURÍDICA DE LOS DATOS PERSONALES EN LOS PAÍSES DEL MERCOSUR EN FACE DE LA SEGMENTACIÓN COMPORTAMENTAL: un estudio comparado

Silva, Felipe Stribe da

09 March 2015

El presente estudio ten como objetivo investigar el tratamiento jurídico conferido a los datos personales en los ordenamientos jurídicos de la Argentina, Uruguay y Brasil, discutiendo si sus legislaciones son eficaces para evitar la práctica de la segmentación comportamental ocurrida en internet. Esta estrategia de marketing es utilizada por muchas empresas y presenta fuerte potencial ofensivo a los derechos fundamentales de los internautas, especialmente el derecho a la privacidad, lo que suscita nuevos conflictos emergentes de la sociedad en red. A pesar de esas nuevas situaciones de vulnerabilidad al derecho a la privacidad, el Brasil es el único país del Mercado Común del Sur (MERCOSUR) que aún no cuenta con legislación específica acerca la protección de datos personales (tangencialmente tratado por el Marco Civil de la Internet), diferentemente de Estados como Argentina y Uruguay, cuya legislación fue considerada con un nivel de protección adecuado por la Unión Europea, una de las precursoras en el estudio de esa temática. Delante de esa asimetría en los ordenamientos jurídicos se cuestionó: ¿Cuál el grado de protección que estas legislaciones conceden al ciudadano internauta? ¿Esté mayor grado de protección legislativa refleja alterando significativamente en las políticas empresarias de los intermediarios de la Internet, generando Términos de Política de Privacidad más protectivos? Para responder a esos problemas de investigación fue compuesto un marco teórico que reúne las contribuciones de reconocidos autores del área, como Antonio Henrique Perez-Luño, Stefano Rodotá y Manuel Castells, elegidos por su producción discutir las profundas alteraciones de la sociedad desencadenadas por la masiva utilización de las Tecnologías de la Información y de la Comunicación (TIC). Como forma de solucionar la problemática apuntada se optó por la utilización de abordaje deductivo, complementada por la adopción del método del procedimiento comparativo, partiéndose de la comprensión amplia de autodeterminación informativa, de sociedad informacional y de segmentación de comportamientos para el análisis específico de las legislaciones de los países investigados y de los Términos de Políticas de Privacidad allá utilizados por el Proveedor de Acceso TIERRA. Tales métodos fueron complementados por las técnicas de investigación bibliográfica y documental. Después del análisis se constató que la existencia de legislación específica sobre la protección de datos personales en internet amplía la protección del titular de los datos personales, privilegiando el ejercicio de su autodeterminación informativa, como ocurre con las legislaciones de la Argentina y de Uruguay, y, por otro lado, la ausencia de tal reglamentación tiende a dificultar el ejercicio del control por el titular de la destinación de sus datos personales. Como decorrencia de esa asimetría de protección, se verificó que los intermediarios del acceso a la Internet, de entre los cuales el proveedor Tierra , tienden a documentar su política de privacidad de forma diferenciada en estos locales, hecho que apunta para la mayor vulnerabilidad de los internautas brasileños y corrobora la necesidad de edición de legislación específica sobre el tema en Brasil. / O presente trabalho tem como objetivo investigar o tratamento jurídico conferido aos dados pessoais nos ordenamentos jurídicos da Argentina, Uruguai e Brasil, discutindo se suas legislações são eficazes para evitar a prática da segmentação comportamental ocorrida na Internet. Esta estratégia de marketing é utilizada por muitas empresas e apresenta forte potencial ofensivo aos direitos fundamentais dos internautas, especialmente o direito à privacidade, o que suscita novos conflitos emergentes da sociedade em rede. Apesar dessas novas situações de vulnerabilidade ao direito à privacidade, o Brasil é o único país do Mercado Comum do Sul (MERCOSUL) que ainda não conta com legislação específica sobre a proteção de dados pessoais (tangencialmente tratado pelo Marco Civil da Internet), diferentemente de Estados como Argentina e Uruguai, cuja legislação foi considerada com um nível de proteção adequado pela União Europeia, uma das precursoras no estudo dessa temática. Diante dessa assimetria nos ordenamentos jurídicos questionou-se: Qual o grau de proteção que estas legislações concedem ao cidadão internauta? Este maior grau de proteção legislativa surte um relfexo alterando significativamente nas políticas empresarias dos intermediários da Internet, gerando Termos de Política de Privacidade mais protetivos? Para responder a esses problemas de pesquisa foi composto um marco teórico que reúne as contribuições de reconhecidos autores da área, como Antonio Enrrique Perez-Luño, Stefano Rodotá e Manuel Castells, eleitos por sua produção discutir as profundas alterações da sociedade desencadeadas pela massiva utilização das Tecnologias da Informação e da Comunicação (TIC). Como forma de solucionar a problemática apontada optou-se pela utilização de abordagem dedutiva, complementada pela adoção do método do procedimento comparativo, partindo-se da compreensão ampla de autodeterminação informativa, de sociedade informacional e de segmentação de comportamentos para a análise específica das legislações dos países investigados e dos Termos de Políticas de Privacidade lá utilizados pelo Provedor de Acesso TERRA. Tais métodos foram complementados pelas técnicas de pesquisa bibliográfica e documental. Após a análise constatou-se que a existência de legislação específica sobre a proteção de dados pessoais na Internet amplia a proteção do titular dos dados pessoais, privilegiando o exercício da sua autodeterminação informativa, como ocorre com as legislações da Argentina e do Uruguai, e, por outro lado, a ausência de tal regulamentação tende a dificultar o exercício do controle pelo titular da destinação dos seus dados pessoais. Como decorrência dessa assimetria de proteção, verificou-se que os intermediários do acesso à Internet, dentre os quais o provedor Terra , tendem a documentar a sua política de privacidade de forma diferenciada nestes locais, fato que aponta para a maior vulnerabilidade dos internautas brasileiros e corrobora a necessidade de edição de legislação específica sobre o tema no Brasil.

Autodeterminação Informativa

Dados Pessoais

Segmentação de Comportamentos

Termos de Política de Privacidade

Autodeterminación Informativa

Datos Personales

Segmentación de Comportamientos

Términos de Política de Privacidad