1. OBJETIVO Y ALCANCE
El objetivo del presente documento “Procedimiento de Atención de Derechos ARCO”, es definir el mecanismo de atención de las solicitudes presentadas por los titulares de datos personales para el ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición (Derechos ARCO), así como los derechos de Desindexación y Portabilidad ante FINACONT CORP SAC (en adelante FINACONT), conforme los lineamientos establecidos en la Ley 29733 – Ley de Protección de Datos Personales (en adelante LPDP) y su nuevo Reglamento (D.S. 016-2024-JUS).
2. DEFINICIONES
Las definiciones de los principales términos que se emplean en este Procedimiento de Atención de Derechos ARCO, son los siguientes:
– Ley 29733 – Ley de Protección de Datos Personales.
– Decreto Supremo 016-2024-JUS – Nuevo Reglamento de la LPDP.
– Banco de Datos Personales: Es el conjunto de datos de personas naturales computarizado o no, y estructurado conforme a criterios específicos, que permita acceder sin esfuerzos desproporcionados a los datos personales, ya sea aquel centralizado, descentralizado o repartido de forma funcional o geográfica.
– Datos Personales: Es aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, de localización, identificadores en línea o de cualquier otro tipo concerniente a aspectos físicos, económicos, culturales o sociales de las personas naturales que las identifica o las hace identificables. Se considera identificable cuando se puede verificar la identidad de la persona de manera directa o indirectamente a partir de la combinación de datos a través de medios que puedan ser razonablemente utilizados.
– Datos personales relacionados con la salud: Es aquella información concerniente a la salud pasada, presente o pronosticada, física o mental, de una persona, incluyendo la información que se derive de un acto médico, el grado de discapacidad y su información genética.
– Datos sensibles: Es aquella información relativa a datos genéticos o biométricos de la persona natural, datos neuronales, datos morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la afiliación sindical, salud física o mental u otras análogas que afecten su intimidad.
– Encargado de tratamiento de datos personales: Es la persona natural, persona jurídica de derecho privado o entidad pública que realiza tratamiento de datos por cuenta u orden del responsable de tratamiento o titular del banco de datos personales.
– Flujo transfronterizo de datos personales: Se denomina flujo transfronterizo o transferencia internacional de datos personales a la transferencia de datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, sin importar el soporte en que estos se encuentren, los medios por los cuales se efectuó la transferencia ni el tratamiento que reciban.
– Oficial de Datos Personales: Es la persona designada por el responsable de tratamiento o encargado del tratamiento de datos personales para la verificación, asesoramiento e implementación del cumplimiento del régimen jurídico sobre protección de datos personales.
– Responsable del tratamiento: Es la persona natural, persona jurídica de derecho privado o entidad pública que decide sobre la finalidad y medios del tratamiento de datos personales. Esta definición no se restringe al titular del banco de datos, sino que incluye a cualquier persona que decida sobre el tratamiento de datos personales, aun cuando no se encuentre en un banco de datos personales.
– Titular de Datos Personales: Persona natural a quien corresponde los datos personales.
– Titular del Banco de Datos Personales: Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad.
– Tratamiento: Es cualquier operación o conjunto de operaciones, automatizados o no, que se realicen sobre los datos personales o conjuntos de datos personales.
– Transferencia de Datos Personales: Toda transmisión, suministro o manifestación de datos personales, de carácter nacional o internacional, a una persona jurídica de derecho privado, a una entidad pública o a una persona natural distinta del titular de datos personales.
– Tratamiento de Datos Personales: Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales”.
3. MARCO NORMATIVO Y/O DOCUMENTOS RELACIONADOS
El presente documento ha sido elaborado considerando la normativa vigente en materia de Protección de Datos Personales, conforme se detalle a continuación:
– Constitución Política del Perú.
– Ley 29733 – Ley de Protección de Datos Personales.
– Decreto Supremo 016-2024-JUS. Nuevo Reglamento de la Ley de Protección de Datos Personales.
– Decreto Legislativo 1353 – Creación de la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el régimen de protección de datos personales y la regulación de la gestión de intereses.
– Directiva de Seguridad de la Información de la Ley 29733.
– Resolución Ministerial 004-2016-PCM- Uso obligatorio de la NTP-ISO/IEC 27001:2014 EDI Tecnología de Información. Técnicas de Seguridad. Sistemas de gestión de seguridad de la Información.
– Norma ISO 27001:2022 – Sistemas de Gestión de Seguridad de la Información, Ciberseguridad y Privacidad
4. DESARROLLO / PROCEDIMIENTO
4.1. PROCEDIMIENTO EN GENERAL
4.1.1. Recepción y admisión de solicitud de ejercicio de Derecho ARCO.
El formulario de atención de Derechos ARCO será recibido por FINACONT en cualquiera de los siguientes canales:
a) Por correo electrónico, el cual será creado para fines exclusivos de atención de los derechos ARCO, siendo el siguiente: derechosarco@finacontcorp.com
Estos canales de comunicación estarán a cargo del área de atención al cliente, quienes remitirán las solicitudes de atención de derechos ARCO en el mismo día de la recepción al Oficial de Datos Personales (en adelante ODP), quién evaluará el cumplimiento de los requisitos formales de la solicitud y que son exigidos por la LPDP y su Reglamento, y de ser así, admitirá la solicitud a trámite y la remitirá en el día de la recepción al Responsable del BDP correspondiente.
4.1.2. Requisitos Formales de la Solicitud.
1. Nombres y apellidos del titular del derecho y acreditación de los mismos, y en su caso de su representante conforme al artículo precedente.
2. Petición concreta que da lugar a la solicitud (indicación del derecho que ejerce y su sustento).
3. Domicilio, o dirección que puede ser electrónica, a efectos de las notificaciones que correspondan.
4. Fecha y firma del solicitante.
5. Documentos que sustenten la petición, de ser el caso.
Plazo: El ODP deberá remitir la solicitud al Responsable del BDP correspondiente, el mismo día de su recepción o máximo al día siguiente.
4.1.3. Remisión de solicitud al Responsable del Banco de Datos Personales.
El ODP realizará una evaluación preliminar a fin de identificar el BDP al cual corresponde la información materia de la solicitud, y remitirá la solicitud de ejercicio de Derechos ARCO al Responsable del BDP.
Plazo: El ODP tiene un plazo de un (01) día hábil para esta actividad, el cual será contado desde el día siguiente de la recepción de la solicitud o del día que la solicitud sea recibida por correo electrónico.
4.1.4. Evaluación y Requerimiento de Información Adicional.
Paso 1: Evaluación de la Solicitud.
El Responsable del BDP remite la solicitud al Encargado de tratamiento de datos personales, quien deberá realizar una evaluación preliminar a fin de verificar lo siguiente:
(i) Tipo de derecho cuyo ejercicio se solicita;
(ii) Suficiencia o corrección de la información proporcionada por el titular de datos personales y
(iii) Veracidad y pertinencia de la documentación que adjunte el titular del dato personal.
Paso 2: Requerimiento de Información Adicional.
Si la información proporcionada en por el titular de datos personales sea insuficiente o errónea de forma que no permita su atención, el Encargado de tratamiento de datos personales deberá solicitar al ODP que requiera al titular de los datos personales la información y/o documentación adicional que sea necesaria para atender la solicitud. Para dicho efecto, el Encargado de tratamiento de datos personales deberá indicar con exactitud la información adicional que requiere para poder atender la solicitud.
En caso de que la solicitud no cumpla con los requisitos del artículo 63, el Responsable del BDP o el Encargado de tratamiento de datos personales, en un plazo de cinco (5) días, contado desde el día siguiente de la recepción de la solicitud, formula las observaciones que no puedan ser salvadas de oficio, invitando al titular a subsanarlas dentro de un plazo máximo de cinco (5) días. Transcurrido el plazo señalado sin que ocurra la subsanación se tiene por no presentada la solicitud.
El plazo aplicable para brindar la respuesta se suspende hasta que el titular de datos personales atienda el requerimiento de información o documentación adicional. Una vez recibida la información adicional por parte del titular de datos personales, el ODP deberá remitirla al Responsable del BDP quien solicitará al Encargado de tratamiento de datos personales, la validación de la información y procederá a preparación un informe sobre la solicitud de ejercicio de Derecho ARCO.
Plazos:
Actividades a cargo del Responsable del BDP o del Encargado del tratamiento de datos personales: Dos (02) días hábiles contados desde el día siguiente de la recepción de la solicitud de ejercicio de Derechos ARCO.
Actividades a cargo del ODP: Un (01) día hábil contados desde la recepción del requerimiento del Responsable del BDP o del Encargado del tratamiento de datos personal.
Nota: El plazo con el que el titular de los datos personales cuenta para responder el requerimiento de información adicional es de cinco (05) días hábiles, contados desde el día siguiente de la recepción del requerimiento. Transcurrido el plazo señalado sin que ocurra la subsanación se tendrá por no presentada la solicitud.
4.1.5. Elaboración de Respuesta a Solicitud de Atención de Derechos Arco.
Paso 1: Remisión de información para dar respuesta a titular de datos personales
El Responsable del BDP con la información proporcionada por el Encargado del tratamiento de datos personales deberá evaluar y remitir al ODP, el informe que contenga la información necesaria y/o requerida para dar respuesta y/o acreditar la atención del derecho del titular de datos personales materia de la solicitud.
Plazos: La elaboración y remisión del informe y la información necesaria y/o requerida para dar respuesta y/o acreditar la atención del derecho del titular de datos personales materia de la solicitud, se sujetará a los siguientes plazos máximos que deberá cumplir el Responsable del BDP:
a) El plazo máximo de respuesta del titular del BDP o responsable o encargado del tratamiento cuando corresponda, ante el ejercicio del derecho de información, es de ocho (08) días contados desde el día siguiente de la presentación de la solicitud.
b) Ejercicio del derecho de acceso, el plazo máximo será de veinte (20) días hábiles contados desde el día siguiente de la presentación de la solicitud por el titular de datos personales; no obstante, si la solicitud fuera estimada y FINACONT no acompañase a su respuesta la información solicitada, el acceso será efectivo dentro de los diez (10) días hábiles siguientes a dicha respuesta.
c) El ejercicio de los otros derechos como los de rectificación, cancelación u oposición, el plazo máximo será de diez (10) días hábiles contados desde el día siguiente de la presentación de la solicitud correspondiente.
Ampliación de Plazos: Salvo el plazo establecido para el ejercicio del derecho de información, los plazos que correspondan para la respuesta o la atención de los demás derechos, pueden ser ampliados una sola vez, y por un plazo igual, como máximo, siempre y cuando las circunstancias lo justifiquen.
La justificación de la ampliación del plazo debe comunicarse al titular del dato personal dentro del plazo que se pretenda ampliar.
Paso 2: Preparación de proyecto de respuesta al titular de datos personales.
Una vez recibida la información por parte del encargado del tratamiento de datos personales, el responsable del BDP elabora el informe respectivo y lo remite la ODP, quien deberá preparar el proyecto de carta de respuesta al titular de datos personales y remitirla a la unidad legal o quien haga sus veces, para su validación.
Plazo: Un (01) día hábil para que el responsable del BDP remita el informe al ODP y éste a la unidad legal o quien haga sus veces para su validación.
Paso 3: Validación por la Unidad Legal.
Una vez recibido el proyecto de respuesta para el titular de datos personales, la unidad de legal o quien haga sus veces deberá validar el mismo, efectuando las consultas u observaciones necesarias para poder emitir la validación, de ser el caso.
Plazo: Un (01) día hábil para que la unidad legal o quien haga sus veces remita al ODP, la carta de respuesta validada.
4.1.6. Envió de Respuesta al Titular del Dato Personal.
Una vez recibida la carta de respuesta validada, el ODP deberá remitir la respuesta al titular de datos personales.
La notificación de esta al titular de datos personales deberá dirigirse a la dirección consignada en el formulario de atención de Derechos ARCO.
Plazo: Un (01) día hábil contado desde el día siguiente de recibida la carta de respuesta validada por parte de la unidad legal o quien haga sus veces.
Nota: Ninguna solicitud de ejercicio de Derechos ARCO deberá ser rechazada por no utilizar el Formato de Solicitud de ejercicio de Derechos ARCO; sin embargo, a fin de facilitar el pedido deberá procurarse que el titular de datos personales utilice el indicado formulario.
5. LINEAMIENTOS PARA LOS PROCEDIMIENTOS DE ATENCION DE LOS DERECHOS ARCO.
Los derechos ARCO definidos en la LPDP y su Reglamento son los siguientes:
5.1. Procedimiento de Atención del Derecho de Acceso.
El derecho de acceso es uno de los derechos que la LPDP reconoce a los titulares de los datos personales para que puedan controlar por sí mismos el uso que se hace de su información personal.
Como manifestación de este derecho de acceso, los clientes, prospectos de clientes, usuarios, colaboradores, proveedores y aliados estratégicos de FINACONT, en su calidad de titulares de datos personales, poseen las siguientes facultades:
– Obtener la información que sobre sí mismos sea objeto de tratamiento en BDP de FINACONT.
– Obtener información sobre la forma en que sus datos personales fueron recopilados. Obtener información sobre las razones que motivaron la recopilación de sus datos personales.
– Obtener información sobre las transferencias realizadas o que se prevén hacer de sus datos personales.
El titular de datos personales tiene derecho a que se le comunique de forma clara, expresa e indubitablemente con lenguaje sencillo lo siguiente:
1. Sus datos personales objeto de tratamiento;
2. La forma en que sus datos personales fueron recopilados;
3. Las razones que motivaron la recopilación de los datos personales;
4. La indicación de a solicitud de quién se realizó la recopilación; y
5. Las transferencias realizadas o que se prevén hacer con los datos personales.
En cuanto a los medios para el cumplimiento del derecho de acceso, la información correspondiente a este derecho, a opción del titular de los datos personales, podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen u otro medio idóneo para tal fin; en consecuencia, FINACONT debe garantizar el derecho de acceso de los titulares de los datos personales a través de alguna de las siguientes formas:
a) Visualización en sitio (lugar físico donde se ubiquen los BDP). Se precisa que, de tratarse de equipos de trabajo (computadoras, laptop, tablets o similares), estos podrán ser exhibidos al titular de datos personales, previa coordinación con el Responsable del BDP.
b) Escrito, copia, fotocopia o facsímil, cuyo documento impreso deberá ser remitido a la dirección inicialmente consignada en la solicitud de atención de derechos ARCO.
c) Transmisión electrónica de la respuesta, siempre que esté garantizada la identidad del interesado y la confidencialidad, integridad y recepción de la información, debiendo utilizarse cualquier medio de comunicación válido.
d) Cualquier otra forma o medio que sea adecuado a la configuración o implantación material del BDP o a la naturaleza del tratamiento, establecido por el titular del BDP o responsable del tratamiento.
Cualquiera que sea la forma para garantizar el derecho de acceso de los titulares de datos personales, estos se realizan en lenguaje accesible, y en formato claro, legible e inteligible, sin utilizar claves o códigos que requieran de dispositivos mecánicos para su adecuada comprensión y, en su caso, acompañada de una explicación.
La información que, con ocasión del ejercicio del derecho de acceso FINACONT ponga a disposición del titular de los datos personales, comprenderá la totalidad del registro correspondiente a dicho titular, aun cuando el requerimiento sólo comprenda un aspecto de los mencionados datos.
Cabe señalar que el informe no podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con los clientes, prospectos de clientes, usuarios, colaboradores, proveedores o aliados estratégicos que se encuentre ejerciendo su derecho de acceso.
5.2. Procedimiento de Atención del Derecho de Actualización, Rectificación, Inclusión, Supresión o Cancelación, Oposición y Tratamiento Objetivo de Datos Personales.
a) Actualización: Es derecho del titular de datos personales, en vía de rectificación, actualizar aquellos datos que han sido modificados a la fecha del ejercicio del derecho. La solicitud de actualización debe señalar los datos personales a que se refiere, así como la modificación que haya de realizarse en ellos, acompañando la documentación que sustente la procedencia de la actualización solicitada.
b) Rectificación: Es derecho del titular de datos personales que se modifiquen los datos que resulten ser inexactos, erróneos o falsos. La solicitud de rectificación deberá indicar a qué datos personales se refiere, así como la corrección que haya de realizarse en ellos, acompañando la documentación que sustente la procedencia de la rectificación solicitada.
c) Inclusión: Es derecho del titular de datos personales que, en vía de rectificación, sus datos sean incorporados a un BDP, así como que al tratamiento de sus datos personales se incorpore aquella información faltante que la hace incompleta, omitida o eliminada en atención a su relevancia para dicho tratamiento. La solicitud de inclusión debe indicar los datos personales a que se refiere, así como la incorporación que haya de realizarse en ellos, acompañando la documentación que sustente la procedencia e interés fundado para el mismo.
d) Supresión o cancelación: El titular de los datos personales puede solicitar la supresión o cancelación de sus datos personales cuando estos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hayan sido recopilados, cuando hubiere vencido el plazo establecido para su tratamiento, cuando ha revocado su consentimiento para el tratamiento y en los demás casos en los que no están siendo tratados conforme a la Ley y al presente Reglamento. La solicitud de supresión o cancelación puede referirse a todos los datos personales del titular contenidos en un BDP o solo a alguna parte de ellos.
Dentro de lo establecido por el artículo 20 de la Ley y el numeral 3 del artículo III del presente Reglamento, la presentación de la solicitud de supresión al responsable del tratamiento implica el cese en el tratamiento de los datos personales a partir de un bloqueo de estos en tanto se evalúe su posterior eliminación.
e) Oposición: El titular de datos personales tiene derecho a oponerse en cualquier momento, a efectos de que no se lleve a cabo el tratamiento de sus datos personales o se cese en el mismo, cuando no hubiere prestado su consentimiento para su recopilación por haber sido tomados de fuente de acceso al público. Aun cuando hubiera prestado consentimiento, el titular de datos personales tiene derecho a oponerse al tratamiento de sus datos, si acredita la existencia de motivos fundados y legítimos relativos a una concreta situación personal que justifiquen el ejercicio de este derecho.
En caso de que la oposición resulte justificada el titular del BDP o responsable de tratamiento debe proceder al cese del tratamiento que ha dado lugar a la oposición. Salvo que exista relación contractual previa que sustente dicho tratamiento, cuando los datos personales son tratados para fines de publicidad y prospección comercial, incluido la elaboración de perfiles, el titular de datos personales puede ejercer su derecho de oposición, en cualquier momento, de acuerdo con los requisitos del presente Reglamento. Cuando los datos personales son tratados en internet, el ejercicio de derecho de oposición puede incluir la desindexación de los datos personales.
f) Derecho al tratamiento objetivo de datos personales: El titular del dato personal tiene derecho a no ser objeto de decisiones, automatizadas o no, que le produzcan efectos jurídicos, discriminación o le afecten de manera significativa incluyendo aquellas que se basen únicamente en tratamientos automatizados destinados a evaluar, analizar o predecir, sin intervención humana, determinados aspectos personales del mismo, en particular, su rendimiento profesional, situación económica, estado de salud, orientación o identidad sexual, fiabilidad o comportamiento, entre otros, debiéndose considerar las excepciones contempladas en el artículo 23 de la Ley.
Para garantizar el ejercicio del derecho al tratamiento objetivo, de conformidad con lo establecido en el artículo 23 de la Ley, cuando se traten datos personales como parte de un proceso de toma de decisiones sin participación del titular de los datos personales, el titular del BDP o responsable del tratamiento debe informárselo a la brevedad posible, sin perjuicio de lo regulado para el ejercicio de los demás derechos en la Ley y el presente Reglamento.
5.3. Procedimiento de Desindexación y Portabilidad de Datos Personales.
a) Desindexación: Es el proceso mediante el cual una dirección URL o contenido específico de un sitio web es eliminado o excluido de los resultados de motores de búsqueda. Este procedimiento, dependiendo de la situación y las circunstancias específicas, puede ser efectuado por el propietario del sitio web o por el motor de búsqueda.
b) Portabilidad de datos personales: Como manifestación del derecho de acceso, el titular del dato puede solicitar los datos personales sobre sí mismo, que haya facilitado a un responsable o titular de banco de datos, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable o titular de banco de datos personales cuando:
– El tratamiento esté basado en el consentimiento o en una relación contractual en la que el titular del dato es parte; o,
– El tratamiento se ejerza mediante medios automatizados.
Al ejercer la portabilidad, el titular del dato tiene derecho a que sus datos se transmitan directamente de un responsable o titular del banco de datos a otro cuando sea técnicamente posible lo que no incluye su ejercicio imponga una carga financiera excesiva, técnica excesiva o irrazonable al responsable o encargado del tratamiento.
El titular del banco de datos personales o responsable del tratamiento que considere que no cuenta con la posibilidad técnica precitada debe poder acreditar tal situación ante un eventual requerimiento de la Autoridad Nacional de Protección de Datos Personales (en adelante ANPDP) en el marco de un procedimiento trilateral de tutela, cuando así corresponda.
Los datos derivados, inferidos o construidos a partir de datos personales pueden ser objeto de portabilidad siempre que el titular del banco de datos personales o el responsable del tratamiento así lo determinen. Se considera dato derivado, inferido o construido aquel dato que ha sido sometido, por lo menos, a un proceso de personalización, categorización o elaboración de perfiles.
La portabilidad que este artículo reconoce no afecta negativamente a los derechos de terceros.
La portabilidad no se aplica al tratamiento necesario para el cumplimiento de las competencias o funciones conferidas a las entidades públicas.
La ANPDP emite las disposiciones complementarias necesarias para la correcta aplicación de la portabilidad de datos personales.
6. LINEAMIENTOS GENERALES CONFORME AL D.S. 016-2024-JUS NUEVO REGLAMENTO DE LA LEY 29733 (LEY DE PROTECCION DE DATOS PERSONALES)
Entre los principales lineamientos establecidos en el nuevo Reglamento (D.S. 016-2024-JUS) de la LPDP, podemos indicar los siguientes:
6.1. Con respecto al Oficial de Datos Personales.
Es la persona designada por el responsable de tratamiento o encargado del tratamiento de datos personales para la verificación, asesoramiento e implementación del cumplimiento del régimen jurídico sobre protección de datos personales.
El titular del BDP o responsable y el encargado de tratamiento deben designar a un ODP cuando: “…. b). El titular del banco de datos o responsable del tratamiento o el encargado de tratamiento realicen tratamientos de grandes volúmenes de datos personales, en cantidad o tipo de datos, o que pueda afectar a un gran número de personas o cuando se trate de datos sensibles o cuando se produzca un perjuicio evidente a otros derechos o libertades del titular del dato personal”.
El titular del banco de datos o el responsable o encargado del tratamiento debe publicar los datos de contacto del ODP en un lugar visible que permita a los titulares de datos personales tomar conocimiento de ello.
Los datos de contacto del ODP designado, y cualquier actualización, deben ser comunicados a la ANPDP dentro de los 15 días siguientes a la designación o actualización respectiva.
6.2. Con respecto a las obligaciones en materia de tratamiento de datos personales.
El nuevo Reglamento establece que, en caso de un incidente de seguridad de datos personales que genere exposición de grandes volúmenes de los mismos, en cantidad o tipo de datos, o que pueda afectar a un gran número de personas o cuando se trate de datos sensibles o cuando se produzca un perjuicio evidente a otros derechos o libertades del titular del dato personal, el titular del banco de datos o el responsable del tratamiento debe notificar a la ANPDP como máximo dentro de las 48 horas posteriores a haber tomado conocimiento o constancia de ello. Si dicha notificación se efectúa en un tiempo superior a 48 horas, debe ir acompañada de la indicación de los motivos y/o sustento probatorio de tal dilación.
Esta obligación permanece aun cuando el responsable de tratamiento de datos personales considere que tal incidente haya sido subsanado o resuelto internamente.
Asimismo, detalla el contenido de la notificación del incidente de seguridad de datos personales, la obligación del responsable del tratamiento de datos personales de documentar cualquier incidente de seguridad, incluyendo los hechos relacionados a ello, sus efectos y las medidas adoptadas, su obligación de informar de forma inmediata al titular del BDP o responsable del tratamiento del incidente de seguridad de los datos personales de las que tenga conocimiento, entre otros.
6.3. Con respecto a la protección de los datos personales.
El nuevo Reglamento de la Ley 29733 establece la evaluación de impacto relativa a la protección de datos personales, especialmente cuando se trate de datos sensibles, datos con fines de crear perfiles personales, datos de personas en especial situación de vulnerabilidad como niños, niñas y adolescentes, personas pertenecientes a pueblos indígenas en situación de aislamiento y/o contacto inicial o personas con discapacidad; o cuando se realice tratamiento de grandes volúmenes de datos u otros supuestos determinados por la ANPDP.
En ese sentido, se recomienda en uso de como guía, lineamientos y procedimientos los establecidos en la NTP-ISO/IEC 27005 y la NTP-ISO 31000 en su edición vigente u otros estándares relacionados con el análisis y la evaluación de riesgos para la protección de datos personales.
6.4. Con respecto al documento de seguridad.
El nuevo Reglamento de la Ley 29733 establece que, el responsable del tratamiento de datos personales debe contar con un documento de seguridad el cual debe ser aprobado formalmente y contar con fecha cierta.
El documento de seguridad debe estar actualizado y contener como mínimo los procedimientos de gestión de accesos, la gestión de privilegios y la verificación periódica de los privilegios asignados referentes a los sistemas de información, incluyendo, plataformas tecnológicas, aplicaciones móviles, motores de bases de datos, entre otros, empleados para realizar el tratamiento de datos personales.
En ese sentido, recomienda utilizar los requisitos y controles indicados en la NTP-ISO/IEC 27001 vigente o alguna mejor práctica o estándar ampliamente reconocido en su sector.
En el caso de las entidades públicas aplican lo dispuesto en las normas de gobierno digital y seguridad digital vigentes.