Archivos de la etiqueta: Directiva Perú

12Mar/21

Directiva nº 001-2019-PCM/SEGDI.

Directiva nº 001-2019-PCM/SEGDI. Directiva para compartir y usar Software Público Peruano. (Aprobada por Resolución de Secretaría de Gobierno Digital nº 001-2019-PCM/SEGDI).

Directiva para compartir y usar Software Público Peruano

Directiva n° 001-2019-PCM/SEGDI

PRESIDENCIA DEL CONSEJO DE MINISTROS

Secretaría de Gobierno Digital

Directiva para compartir y usar Software Público Peruano.

Versión 1.0

CONTROL DE VERSIONES

Versión  1.0

Fecha   2019/03

Título   Directiva para compartir y usar Software Público Peruano

Elaborado por Secretaría de Gobierno Digital

CONTENIDO

Artículo 1°.- Objeto

Establecer los lineamientos, procedimientos y requisitos para compartir y usar software entre las diferentes entidades de la Administración Pública a través del Portal de Software Público Peruano (en adelante PSPP) en beneficio del Estado Peruano.

Artículo 2°.- Finalidad

Contribuir a optimizar el uso de recursos en las entidades de la Administración Pública, dado que podrán adecuar un software pre-existente en lugar de desarrollar un nuevo software, generando ahorro y contribuyendo al despliegue del gobierno digital y la transformación digital del Estado.

Artículo 3°.- Base Legal

Las normas que sustentan la presente Directiva son:

3.1 Ley nº 29158, Ley Orgánica del Poder Ejecutivo.

3.2 Decreto Legislativo n° 604, que crea el Sistema Nacional de Informática.

3.3 Decreto Legislativo n° 822, Ley sobre el Derecho de Autor.

3.4 Decreto Legislativo n° 1412, Ley de Gobierno Digital.

3.5 Decreto Supremo n° 066-2011-PCM, que aprueba el Plan de Desarrollo de la Sociedad de la Información en el Perú – Agenda Digital 2.0.

3.6 Decreto Supremo nº 022-2017-PCM, que aprueba el Reglamento de Organización y Funciones de la Presidencia del Consejo de Ministros y modificatoria.

3.7 Decreto Supremo n° 051-2018-PCM, que crea el Portal de Software Público Peruano y establece disposiciones adicionales sobre el software publico peruano.

3.8 Decreto Supremo n° 118-2018-PCM, que declara de interés nacional el desarrollo del gobierno digital, la innovación y la economía digital con enfoque territorial.

3.9 Decreto Supremo n° 004-2019-JUS, que aprueba el Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General.

Artículo 4°.- Alcance

La presente Directiva es de aplicación a todas las entidades de la Administración Pública comprendidas en el artículo I del Título Preliminar del Texto Único Ordenado de la Ley n° 27444, Ley del Procedimiento Administrativo General, aprobado con Decreto Supremo n° 004-2019-JUS, con excepción de las personas jurídicas señaladas en el numeral 8 del citado artículo.

Artículo 5°.- Definiciones

Para la presente Directiva se entiende como:

5.1 Gobierno Digital (1): Es el uso estratégico de las tecnologías digitales y datos en la Administración Pública para la creación de valor público. Se sustenta en un ecosistema compuesto por actores del sector público, ciudadanos y otros interesados, quienes apoyan en la implementación de iniciativas y acciones de diseño, creación de servicios digitales y contenidos, asegurando el pleno respeto de los derechos de los ciudadanos y personas en general en el entorno digital.

5.2 Programa de ordenador (Software) (2): Expresión de un conjunto de instrucciones mediante palabras, códigos, planes o en cualquier otra forma que, al ser incorporadas en un dispositivo de lectura automatizada, es capaz de hacer que un computador ejecute una tarea u obtenga un resultado. La protección del programa de ordenador comprende también la documentación técnica y los manuales de uso.

5.3 Software libre (3): Es aquel cuya licencia de uso garantiza las facultades de:

* Uso irrestricto del software para cualquier propósito;

* Inspección exhaustiva de los mecanismos de funcionamiento del programa;

* Confección y distribución de copias del programa; y,

* Modificación del programa y distribución libre tanto de las alteraciones como del nuevo programa resultante, bajo estas mismas condiciones.

5.4 Software propietario4: Es aquel cuya licencia de uso, no permite acceso, modificación, copia o distribución de su código fuente.

5.5 Asistencia Técnica5: Proceso a través del cual se proporciona la atención de consultas y requerimientos sobre el funcionamiento adecuado del SPP.

5.6 Mantenimiento6: es la modificación de un producto software, después de la entrega, para corregir errores, mejorar el rendimiento, alterar la funcionalidad o atributos, con miras a satisfacer las necesidades o demandas de los procesos, usuarios o servicios soportados o afectados.

5.7 Metadato: Registros que describen el contexto, contenido y las características de los datos o recursos de información; permiten la creación, registro, clasificación, acceso, conservación, interoperabilidad y disposición de los datos e información a largo plazo.

Artículo 6°.- Modelo de Software Público Peruano

El Modelo de Software Público Peruano describe cuales son los componentes que nos permitirán usar y compartir software de titularidad de las entidades de la Administración Pública y otros interesados. En esa línea, el Modelo se constituye en una visión de alto nivel sobre cómo interactúan actores y procesos con miras a generar un entorno colaborativo y sostenible que propicie la reutilización del SPP entre los involucrados, procurando con esto ahorros, eficiencias y beneficios para las entidades públicas en la digitalización de sus procesos y servicios.

El Modelo de Software Público Peruano tiene los siguientes componentes:

1. Portal de Software Público Peruano.

2. Catálogo de Software Público Peruano.

3. Software Público Peruano.

4. Entidad titular del Software Público Peruano.

5. Usuario del Software Público Peruano.

6. Procesos del Software Público Peruano.

7. Plataforma de Alojamiento de Código y Documentos.

8. Comunidades de Software Público.

9. Redes Multinacionales de Software Público.

Ilustración 1: Modelo de Software Público Peruano

6.1 Portal de Software Público Peruano (7): Plataforma oficial que facilita el acceso a Software Público Peruano, que las entidades de la Administración Pública están en condiciones de compartir bajo licencias libres o abiertas que permitan:

(i) usarlo o ejecutarlo,

(ii) copiarlo o reproducirlo,

(iii) acceder al código fuente, código objeto, documentación técnica y manuales de uso,

(iv) modificarlo o transformarlo en forma colaborativa, y

(v) distribuirlo, en beneficio del Estado Peruano.

6.2 Catálogo de Software Público Peruano: es la solución que permite buscar, acceder y evaluar un software público peruano, clasificados y categorizados según corresponda.

6.3 Software Público Peruano (8): Es aquel software o programa de ordenador de titularidad de una entidad de la Administración Pública, cuyo desarrollo es contratado o efectuado directamente por el personal de dicha entidad para soportar sus procesos o servicios, es financiado con fondos públicos, y puede ser puesto a disposición para ser usado, copiado, modificado y distribuido bajo una licencia libre o abierta.

6.4 Entidad titular del Software Público Peruano: Entidad de la Administración Pública que ha adquirido los derechos patrimoniales de autor sobre el software, pudiendo ponerlo a disposición para usarlo o ejecutarlo, copiarlo o reproducirlo, acceder al código fuente, código objeto, documentación técnica y manuales de uso, modificarlo o transformarlo y distribuirlo.

6.5 Usuario del Software Público Peruano: (en adelante Usuario del SPP). Es aquella entidad pública, funcionario público u otro interesado que usará o será responsable de la adecuación o el mantenimiento de la copia del software obtenido a través del PSPP.

6.6 Procesos del Software Público Peruano: Comprende el conjunto de procesos que los usuarios deben seguir para poner a disposición, hacer uso, acceder, entre otros al SPP a través del PSPP.

6.7 Plataforma de Alojamiento de Código: Herramienta que permite depositar el SPP, controlar las versiones del mismo y promover la interacción y colaboración entre los miembros de una comunidad. Para ello se hace necesario que la descripción de los datos (metadatos) del SPP sea accesible para su indexación.

6.8 Plataforma de Alojamiento de Documentación: Herramienta que permitirá depositar la documentación del SPP y controlar las versiones del mismo. Para ello se hace necesario que la descripción de los datos (metadatos) de los documentos sea accesible para su indexación.

6.9 Comunidades de Software Público: Conjunto de entidades públicas y otros interesados que se conforma, organizan e interactúan alrededor de un SPP con el fin de brindarle mantenimiento, soporte o compartir experiencias.

6.10 Redes Multinacionales de Software Público: Son aquellas organizaciones públicas o privadas, pertenecientes al ámbito nacional o internacional vinculadas al desarrollo, promoción y cooperación de software público, con los cuales se podrá coordinar y definir acciones en pro del desarrollo del software público.

Artículo 7°.- Portal de Software Público Peruano

7.1 Todo software disponible en el PSPP se denomina “Software Público Peruano”.

7.2 Los servicios asociados al PSPP son:

a) Catálogo de SPP.

b) Formulario para compartir SPP (9).

c) Formulario de registro del Funcionario Responsable (10).

d) Formulario de registro del Usuario del SPP (11).

e) Servicios adicionales que disponga la Secretaría de Gobierno Digital en base

a las necesidades del PSPP.

Artículo 8°.- Características del Software Público Peruano

8.1 Es de titularidad de la entidad de la Administración Pública, exceptuando y respetando los componentes del software propietario o licenciado y los principios del software libre, según sea el caso.

8.2 Soporta procesos o funcionalidades que tengan o puedan tener alcances, objetivos, características o actividades similares en las entidades de la Administración Pública.

8.3 El código fuente y código objeto derivado es liberado y puesto a disposición mediante una licencia libre o abierta.

8.4 Tener como mínimo la documentación siguiente:

1. Diccionario de Datos,

2. Manual de usuario o equivalente,

3. Documentación técnica de desarrollo (deseable incluir el Manual de Operaciones o documento equivalente) y

 4. Manual de instalación y configuración (12), los mismos que deben estar publicados bajo una licencia libre o abierta. Dicha documentación debe ser la última versión actualizada y vigente.

Opcionalmente, podrá brindar la siguiente documentación: análisis funcional, diseño y estructura del software, arquitectura y componentes, conjunto de pruebas funcionales y no funcionales, casos de uso del proceso de negocio y sistema.

La documentación a compartir debe encontrarse en texto simple, se sugiere usar formatos de tipo: formato de documento portátil (PDF por sus siglas en inglés), formato de documento abierto (ODF por sus siglas en inglés), entre otros.

Artículo 9°.- Responsabilidades

9.1 Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros

a) Establecer los mecanismos para identificar y clasificar el SPP.

b) Publicar en el PSPP el Catálogo de SPP, que contiene el software remitido por las entidades de la Administración Pública.

c) Promover la generación de comunidades de software público para el adecuado desarrollo, mantenimiento y gestión del SPP.

d) Promover el uso de una plataforma de alojamiento o repositorio de código para el control de las versiones del SPP y su mantenimiento.

e) Promover el uso de una plataforma de alojamiento o repositorio de documentos para gestionar la documentación del SPP.

f) Asistir en la gestión de aspectos técnicos vinculados al PSPP, a la publicación del SPP, y al repositorio de código y documentación del PSPP.

9.2 Entidad titular del Software Público Peruano

a) Designar al Funcionario Responsable del Software Público de su entidad (en adelante Funcionario Responsable).

b) Poner a disposición de la Secretaría de Gobierno Digital lo indicado en los numerales 8.3 y 8.4 del artículo 8 de la presente Directiva.

c) Asegurar que en el diseño y desarrollo del SPP, se hayan implementado las medidas y controles que permitan asegurar la protección de datos personales (13), así como proteger adecuadamente la seguridad de otros datos mediante el uso de protocolos seguros de almacenamiento y comunicación y otros aspectos pertinentes, de acuerdo con la normatividad vigente y las buenas prácticas que existen en materia de desarrollo de software, seguridad de la información y protección de datos personales.

d) Hacer uso de estándares abiertos de codificación en el Estado, tanto en el software como en el procesamiento de datos e información que dan soporte a sus procesos administrativos y servicios.

e) Verificar que la contratación para el desarrollo de software se haga bajo términos y condiciones que permitan su inclusión en el PSPP; para ello tomarán como referencia lo previsto en el artículo 10 del Decreto Supremo n° 051-2018-PCM, el artículo 29 del Decreto Legislativo n° 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital.

f) Hacer de conocimiento de todo el personal del área de contrataciones, administración o la que haga sus veces en la entidad las disposiciones contempladas en el párrafo precedente.

g) Indicar los requisitos de licenciamiento de cada uno de sus componentes o dependencias relacionadas del SPP, cuando corresponda.

h) La entidad podrá brindar asesoría técnica al usuario del SPP, de acuerdo a sus recursos y capacidades.

i) La entidad podrá encargar al Funcionario Responsable el registro del SPP ante el INDECOPI de considerarlo necesario.

j) La autoridad de gestión administrativa en coordinación con los responsables de sus órganos de administración interna, órganos de línea, órganos desconcentrados o dueños del proceso (14), brinda las facilidades al Funcionario Responsable para la publicación o uso de un Software Público Peruano.

9.3 Usuario del Software Público Peruano

a) Designar al Funcionario Responsable del Software Público de su entidad.

b) Asumir los costos de la implementación y mantenimiento del SPP (personal, infraestructura, otros).

c) Respetar los derechos de autor del SPP descargado y utilizado, de acuerdo al Decreto Legislativo nº 822 – Ley sobre el Derecho de Autor y lo establecido en la Licencia del SPP.

d) Asumir el costo de las licencias de software propietario que pudieran ser requeridas para el funcionamiento integral del SPP. Por ejemplo, licenciar una base de datos propietaria para un SPP, licenciar un servidor de aplicaciones, licenciar gestores de contenidos, licenciar un sistema operativo, entre otros.

9.4 Funcionario Responsable del Software Público

El Funcionario Responsable designado por el titular de la entidad a que se refiere el artículo 7 del Decreto Supremo n° 051-2018-PCM, tiene las siguientes responsabilidades:

a) Realizar su registro como Funcionario Responsable en el PSPP, adjuntando documento que lo sustenta.

b) En coordinación con el área legal o quien haga sus veces en su entidad identificar el SPP asegurando el cumplimiento de los requisitos técnicos, legales, la titularidad de los derechos sobre el mismo, así como el correcto uso de las licencias correspondientes antes de su publicación.

c) Coordinar con la Secretaría de Gobierno Digital la publicación del SPP en el PSPP.

d) Informar y publicar oportunamente cualquier mejora o nueva versión del SPP en el PSPP.

e) Coordinar con la Secretaría de Gobierno Digital acciones relacionadas a promover el uso del SPP.

f) Brindar información de los desarrolladores, personas o empresas con experiencia y capacidad para la prestación de servicios de implementación y mantenimiento del SPP.

Artículo 10°.- Impedimentos para compartir Software Público Peruano

Se consideran impedimentos para compartir SPP a los siguientes:

a) La entidad no tiene la titularidad del software y solo es un licenciatario.

b) El software solo utiliza librerías o componentes propietarios.

c) Blob Binarios (15) o código fuente ofuscado (16).

d) Software catalogado como secreto, reservado o confidencial, de manera concordante con el artículo 9 del Decreto Supremo n° 051-2018-PCM y aquellas establecidas en la Ley n° 27806, Ley de Transparencia y Acceso a la Información Pública.

Artículo 11°.- Requisitos técnicos y legales del Software Público Peruano

Los requisitos para publicar un software son:

11.1 Requisitos técnicos

Son requisitos técnicos obligatorios para incorporar un software al PSPP:

a) La existencia de una versión estable. Se entiende por versión estable aquella susceptible de ser instalada en un ambiente apropiado, ejecutada de manera exitosa y que se encuentre en producción en forma comprobada (17).

b) Contar con la documentación especificada en el numeral 8.4 del artículo 8 de la presente Directiva.

c) Proporcionar el código fuente, código objeto derivado y scripts necesarios para su instalación, configuración y uso adecuado.

d) Contar con las medidas y controles necesarios para asegurar la protección de datos personales y de seguridad de la información.

e) Cada archivo del código fuente (18) debe incluir y especificar una nota o comentario sobre la licencia libre o abierta bajo la cual opera. Por ejemplo:

/* (…)

@licencia [nombre de la licencia libre o abierta] ver LICENCIA.txt

(…) */

/* (…)

@licencia ver LICENCIA.txt

(…)*/

»’ (…)

@licencia ver LICENCIA.txt

(…) »’

Tabla 1.- Ejemplo de notas o comentarios a incorporar en el código fuente

11.2 Requisitos legales

Es un requisito legal obligatorio para incorporar un software al PSPP el ponerlo a disposición bajo una licencia libre o abierta que cumpla, como mínimo, los siguientes requisitos:

a) La licencia debe garantizar la libertad de usarlo o ejecutarlo, copiarlo o reproducirlo, acceder al código fuente, código objeto, documentación técnica y manuales de uso, modificarlo o transformarlo, y distribuirlo.

b) La licencia debe garantizar que las libertades mencionadas anteriormente se mantengan en las distintas evoluciones del software y/o sus derivados.

11.3 Para especificar la licencia libre o abierta bajo la cual se libera el código fuente se debe adjuntar un archivo de texto (.txt) denominado “LICENCIA.txt” (19).

11.4 Para especificar la licencia libre o abierta bajo la cual se libera la documentación del software se debe incorporar en cada uno de los documentos la glosa correspondiente (20).

Artículo 12°.- Procedimiento para solicitar un SPP

12.1 El Usuario del SPP se registra en el PSPP completando el formulario de registro y adjuntando la documentación requerida. El formulario tiene carácter de Declaración Jurada.

12.2 El Usuario realiza la búsqueda del SPP en el Catálogo de SPP.

12.3 El Usuario registra el formulario correspondiente para solicitar el software publicado a través del Catálogo de SPP, en el cual justifica la necesidad de utilizar dicho software.

12.4 La Secretaría de Gobierno Digital entrega los accesos al código y documentación del SPP solicitado.

Ilustración 2.- Procedimiento para solicitar un SPP

Artículo 13°.- Procedimiento para compartir un SPP

13.1 El Funcionario Responsable debe identificar el software que pueda ser publicado en el PSPP. Para ello debe evaluar y asegurar que dicho software cumpla los requisitos técnicos y legales establecidos en el artículo 11 de la presente Directiva, en coordinación con su área legal, dueño del proceso (21) y demás áreas correspondientes (órganos de administración interna, órganos de línea y órganos desconcentrados).

13.2 El Funcionario Responsable realiza su registro en el PSPP llenando el formulario correspondiente.

13.3 El Funcionario Responsable haciendo uso del formulario correspondiente en el PSPP solicita a la Secretaría de Gobierno Digital la publicación del SPP identificado en el numeral 13.1. Ver Anexo I.

13.4 La Secretaría de Gobierno Digital recibe la solicitud y en un plazo de diez (10) días hábiles se pone en contacto con el Funcionario Responsable, mediante correo electrónico, para brindar respuesta a su solicitud.

13.5 La Secretaría de Gobierno Digital procederá conforme a lo siguiente:

13.5.1 Si la documentación y licencia están conformes, la Secretaría de Gobierno Digital en coordinación con el Funcionario Responsable incorpora el software en el Catálogo de SPP.

13.5.2 Si la documentación y licencia no están conformes, la Secretaría de Gobierno Digital comunica al Funcionario Responsable las observaciones para ser subsanados por esta. El plazo para subsanar las observaciones es de veinte (20) días hábiles.

Ilustración 3.- Procedimiento para compartir un SPP

ANEXO 01: Especificación General del SPP

Información General del SPP

a) Logo: Imagen en formato .jpg, .png, otros | Opcional

b) Nombre del software: Obligatorio

c) Entidad titular del software: Obligatorio

d) Descripción del software: Indicar su funcionalidad | Obligatorio

e) Palabras claves: separado por comas. Ejemplo: Java, .NET, Tramite, SIGA, (…) | Obligatorio

f) Versión del Software: Ejemplo: 0.1, 0.2, (…), 1.0, 1.1, 1.2, (…) | Obligatorio

g) Procesos de la entidad que son soportados por el software: Apoyo, Estratégico y Principal | Opcional

h) Especificación Técnica:            Sistema operativo | Obligatorio

Base de datos | Obligatorio

Lenguaje de programación | Obligatorio

Entorno de desarrollo sugerido | Obligatorio

Entorno de ejecución | Obligatorio

Navegadores soportados | Obligatorio

i) Equipo de desarrollo                  Nombre del Responsable del equipo | Obligatorio

Correo electrónico institucional del responsable del equipo | Obligatorio

Teléfono institucional del responsable del equipo | Obligatorio

j) Tipo de Licencia libre o abierta | Obligatorio

k) Costo estimado del software | Obligatorio

l) Tiempo estimado que demoró su desarrollo | Opcional

m) Categoría: salud, educación, agricultura, datos espaciales, telecomunicaciones, gobierno abierto, administración, contabilidad, economía, ambiente, inteligencia de negocios, gestión documental | Obligatorio

n) Funcionario Responsable del Software Publico | Obligatorio

o) Enlace de la Plataforma de Alojamiento de Código | Opcional

Documentación del SPP

a) Manual de instalación y configuración (Obligatorio)

* Datos Generales: Nombre del software, versión, breve descripción del manual de instalación.

* Requisitos de Hardware: requisitos de procesador, memoria, espacio en disco, resolución de video, otro hardware (ratón, micrófono, cámara web, teclado, auriculares, etc.).

* Requisitos de Software: sistema operativo, versión, service pack, software de base de datos compatible, servidor de aplicaciones requerido, navegador compatible, librerías o código fuente necesario.

* Descripción del proceso de instalación tarea por tarea, incluyendo captura de imágenes.

* Descripción del proceso de configuración, y buenas prácticas o recomendaciones        al respecto.

* Contáctenos

* Tipo de Licencia libre o abierta

b) Manual de Usuario (Obligatorio)

* Datos Generales: Nombre del software, versión, breve descripción de la funcionalidad principal.

* Funcionalidad del Software: describir funcionalidad, actividades o tareas, esto incluye, si es el caso, la generación de reportes, gestión de tablas, etc.

* Tipo de Licencia libre o abierta

c) Diccionario de datos (Obligatorio)

* Modelo de Datos

* Diccionario de Datos

* Tipo de Licencia libre o abierta

d) Documentación técnica de desarrollo (Obligatorio)

* Requerimientos del software

* Documento de Análisis

* Documento de Diseño

* Documento de Arquitectura y componentes

* Documento Plan de pruebas funcionales y no funcionales

 *Documento Manual de operaciones

* Tipo de Licencia libre o abierta

ANEXO 02: Glosa para liberar el código del SPP utilizando una licencia libre o abierta

Este software es puesto a disposición por [Nombre de la entidad] con la finalidad de que puedan:

(i) usarlo o ejecutarlo,

(ii) copiarlo o reproducirlo,

(iii) acceder al código fuente, código objeto, documentación técnica

(iv) modificarlo o transformarlo en forma colaborativa, y  (v) distribuirlo a cualquier otra entidad o interesado, siempre que se cumplan las siguientes condiciones:

* Reutilización de software: Las modificaciones, extensiones o mejoras que utilicen el código fuente de este software deberán ser puestos a disposición de otras entidades o interesados en el sitio web www.softwarepublico.gob.pe.

* Modificaciones: Cualquier modificación, derivación o bifurcación que utilice el presente código fuente deberá establecer términos de licenciamiento idénticos a los establecidos en estas condiciones.

* Compatibilidad: Se entiende incorporado a la presente licencia los términos establecidos en la [nombre de la licencia]. En consecuencia, dicha licencia es compatible con estas condiciones y ninguna estipulación aquí contemplada podrá ser interpretada en el sentido de contravenir o limitar dicha licencia.

* Distribución: Las redistribuciones del código fuente de este software deben conservar la información sobre los derechos de autor (entidad que posee la titularidad del software).

* Permisos adicionales: Permisos que vayan más allá de lo cubierto por esta licencia pueden solicitarse al Titular del Software Público.

Este software no otorga NINGUNA GARANTÍA. En ningún caso [nombre de la entidad] será responsable por los daños, riesgos o perjuicios de cualquier índole que, de forma directa o indirecta, produzcan o pueden llegar a producir pérdidas económicas, materiales, o sobre datos y aplicaciones, provocados por el uso de este software, incluso si se ha advertido de la posibilidad de tales daños.

ANEXO 03: Glosa para liberar documentos del SPP utilizando una licencia libre o abierta

Este [Tipo de Documento] de Titularidad de [Nombre de la entidad] es compartido bajo una Licencia Creative Commons Reconocimiento – Compartir por Igual (CC BYSA), la misma que permite copiar y redistribuir el documento en cualquier medio o formato; adaptarlo, remezclarlo, transformarlo para cualquier finalidad, incluso comercial, bajo las siguientes condiciones:

* Reconocimiento — Debe reconocerse adecuadamente la autoría, proporcionarse un enlace a la licencia e indicarse si se han realizado cambios.

Puede hacerlo de cualquier manera razonable, pero sin que sugiera que tiene el apoyo del licenciante.

* Compartir por Igual — Si remezcla, transforma o crea el documento, deberá difundir sus contribuciones bajo la misma licencia que el original.

* Ninguna licencia o medida tecnológica puede restringir realizar aquello que la licencia original permite.

Enlace de la licencia: https://creativecommons.org/licenses/by-sa/4.0/legalcode.es      Permisos que vayan más allá de lo cubierto por esta licencia pueden solicitarse al Responsable del Software Público de la entidad.

————————————————————————-

(1) Artículo 6 del Decreto Legislativo n° 1412, que aprueba la Ley de Gobierno Digital.

(2) Artículo 2 del Decreto Legislativo n° 822, Ley sobre el Derecho de Autor

(3) Numeral 1 del artículo 3 de la Ley n° 28612 – Ley que norma el Uso, Adquisición y Adecuación del Software en la Administración Pública.

(4) Adaptado en base al numeral 2 del artículo 3 de la Ley n° 28612- Ley que norma el Uso, Adquisición y Adecuación del Software en la Administración Pública. Cabe resaltar que se tomará dicho concepto a efectos de su uso en la presente Directiva.

(5) Glosario de términos, ITIL: https://www.axelos.com/Corporate/media/Files/Glossaries/ITIL_2011_Glossary_ES-(Latin-America)-v1-0.pdf

(6) Adaptado de la ISO/IEC 14764:2006 Software Engineering — Software Life Cycle Processes — Maintenance

(7) Artículo 1 del Decreto Supremo n° 051-2018-PCM, que crea el Portal de Software Público Peruano y establece disposiciones adicionales sobre el software publico peruano.

(8) Ibid. Artículo 4.

(9) El formulario contiene como mínimo la información detallada en el Anexo 01: Especificación General del SPP de la presente Directiva.

(10) El formulario puede ser accedido a través del PSPP.

(11) El formulario puede ser accedido a través del PSPP.

(12) El manual de instalación permite al usuario instalar el software sin la ayuda de la entidad que posee la titularidad del software, asimismo debe detallar los pasos a seguir para instalar y configurar el software en el entorno de producción (en lugar de manual se puede disponer de una herramienta o archivo de instalación automatizada).

(13) De conformidad con el numeral 5.3 Privacidad desde el Diseño previsto en el Decreto Legislativo nº 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital.

(14) De acuerdo al numeral 5.4.2. de la Norma Técnica n° 001-2018-PCM/SGP “Implementación de la Gestión por Procesos en las entidades de la Administración Pública”, aprobada mediante Resolución de Secretaría de Gestión Pública n° 006-2018-PCM/SGP.

(15) Cuando no se tiene el código fuente disponible, difícilmente se puede decodificar y generalmente limitan a alguna arquitectura de hardware.

(16) Es aquel código fuente difícil de leer o entender, no se entiende su lógica.

(17) Se estima un periodo mínimo de un (01) año en producción antes de su incorporación en el PSPP.

(18) Conjunto de instrucciones generadas bajo un lenguaje de programación.

(19) Puede tomar como referencia el Anexo 02: Glosa para liberar el código fuente del SPP

(20) Puede tomar como referencia el Anexo 03: Glosa para liberar documentos del SPP(21) De acuerdo al numeral 5.4.2. de la Norma Técnica n° 001-2018-PCM/SGP “Implementación de la Gestión por Procesos en las entidades de la Administración Pública”, aprobada mediante Resolución de Secretaría

07Mar/21

Directiva nº 01-2020-JUS/DGTAIPD. Tratamiento de datos personales mediante Sistemas de Vigilancia.

Directiva nº 01-2020-JUS/DGTAIPD. Tratamiento de datos personales mediante Sistemas de Vigilancia.

DIRECTIVA n° 01-2020-JUS/DGTAIPD

TRATAMIENTO DE DATOS PERSONALES MEDIANTE SISTEMAS DE VIDEOVIGILANCIA

FORMULADA POR: Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales

Dirección de Protección de Datos Personales

I. OBJETIVO

Establecer las disposiciones para el tratamiento de datos personales captados a través de sistemas de videovigilancia con fines de seguridad, control laboral y otros, de conformidad con lo establecido en la Ley n° 29733 y su reglamento.

II. BASE LEGAL

Constitución Política del Perú.

Ley n° 27153, Ley que regula la explotación de juegos de casinos y máquinas tragamonedas.

Ley n° 27933, Ley del Sistema de Seguridad Ciudadana.

Ley n° 29733, Ley de Protección de Datos Personales (LPDP)

Ley n° 27972, Ley Orgánica de Municipalidades.

Ley n° 30120, Ley de Apoyo a la Seguridad Ciudadana con Cámaras de Videovigilancia Públicas y Privadas.

Ley n° 30037, Ley que Previene y Sanciona la Violencia en los Espectáculos Deportivos.

Ley n° 30740, Ley que regula el uso y las operaciones de los sistemas de aeronaves pilotadas a distancia (RPAS).

Decreto Legislativo n° 1218, que regula el uso de las cámaras de videovigilancia.

Decreto Supremo n° 003-97-TR, que aprueba el Texto Único Ordenado de la Ley de Productividad y competitividad laboral.

Decreto Supremo n° 003-2013-JUS, que aprueba el Reglamento de la Ley de Protección de Datos Personales.

Decreto Supremo n° 011-2014-IN, que aprueba el Reglamento de la Ley n° 27933, Ley del Sistema Nacional de Seguridad Ciudadana.

Decreto Supremo n° 007-2016-IN, que aprueba el Reglamento de la Ley n° 30037, Ley que previene y sanciona la violencia en los espectáculos deportivos.

Decreto Supremo n° 013-2017-JUS, que aprueba el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos.

Decreto Supremo n° 004-2019-JUS, que aprueba el Texto Único Ordenado de la Ley de Procedimiento Administrativo general, Ley n° 27444.

Decreto Supremo n° 018-2013-MINJUS, que aprueba el Texto Único Ordenado de la Ley Orgánica del Ministerio de Justicia y Derechos Humanos, modificado por Resolución Ministerial n° 065-2017-JUS.

Decreto Supremo n° 009-2002-MINCETUR, que aprueba el Reglamento de la Ley n° 27153, que regula la explotación de juegos de casinos y máquinas tragamonedas,

Resolución Directoral n° 709-2005-MINCETURNTM/DNT: «Normas complementarias a la instalación del sistema de video en la sala de juego y máquinas tragamonedas».

III. ALCANCE

Las disposiciones contenidas en la presente directiva se aplican a toda persona natural y jurídica que realice tratamiento de datos personales a través de sistemas de videovigilancia y, en general, mediante cualquier dispositivo que permita el tratamiento de datos para dicho fin.

Las entidades de la Administración Pública señaladas en el artículo 1 de la Ley n° 27444, Ley del Procedimiento Administrativo General, se sujetarán a aquellas disposiciones de la presente directiva que resulten aplicables conforme a las normas comunes de derecho público.

IV. RESPONSABLE:

El responsable de esta directiva, a efectos de su difusión, exigibilidad y cumplimiento, es la Autoridad Nacional de Protección de Datos Personales que es ejercida por el Ministerio de Justicia y Derechos Humanos a través de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales.

V. DEFINICIONES Y/0 SIGLAS

5.1 Arquitectura física:

Representación gráfica de los componentes físicos (servidores, cámara o videocámara, monitores, entre otros) del sistema de videovigilancia a través del cual se realiza tratamiento de datos personales.

5.2 Arquitectura lógica

Representación gráfica de las conexiones entre los componentes lógicos (software, sistemas, aplicativos, etc.) del sistema de videovigilancia a través del cual se realiza tratamiento de datos personales.

5.3 Cámara o videocámara:

Dispositivo digital, óptico o electrónico, fijo o móvil que permite captar, grabar o cualquier otro tratamiento de datos personales a través de imágenes, videos o audios.

5.4 Cámara conectada a internet

Es aquella cámara o videocámara que se encuentra conectada a internet a través de cualquier identificador (IP u otros) con finalidad de realizar tratamiento de datos personales mediante imágenes, videos o audios.

5.5 Cámara «on board»:

Cámara instalada dentro de un vehículo, casco o vestimenta de un conductor, que permite grabar imágenes durante el recorrido que se realiza con el mismo.

5.6 Captación de imágenes y/o sonidos:

Es el proceso técnico que permite la captura de imágenes y/o sonidos en tiempo real mediante cámaras o videocámaras en cualquier medio o soporte tecnológico.

5.7 CD:

5.8 Dato personal:

Las imágenes y las voces de una persona constituyen datos personales, ya que permiten identificar o hacer identificable a una persona natural a través de medios que pueden ser razonablemente utilizados.

5.9 Días: Días hábiles.

5.10 Dron:

Aeronave no tripulada.

5.11 Grabación:

Es el proceso técnico a través del cual se registra imágenes, videos o audios en cualquier medio o soporte tecnológico, con la finalidad de almacenar o reproducir con posterioridad lo registrado.

5.12 Inventario documentado:

Lista ordenada de la totalidad de las cámaras u otros dispositivos de videovigilancia, en la cual se debe precisar la ubicación física de los dispositivos, ya sea interna o externa, así como su estado de operatividad.

5.13 LPDP:

Ley n° 29733, Ley de Protección de Datos Personales.

5.14 Máscara de privacidad:

Permite bloquear y/o anonimizar determinadas partes de una imagen que no se visualizará o captará por la cámara o videocámara.

5.15 Persona identificable:

Persona a la cual se la pueda identificar mediante tratamientos a los que se refiere la directiva. Se identifica a una persona natural con la captación de su imagen, voz o cualquier otro tratamiento de sus datos que permita hacerlo.

5.16 Perfil:

Conjunto de facultades que se le atribuyen a los usuarios del sistema de videovigilancia que permiten determinar la atribución de sus funciones, en razón de sus posibilidades de accesos al sistema y de gestión privilegios.

Existen tres tipos de Perfiles:

5.16.1 Perfil administrador:

Es la persona que tiene a cargo todas las obligaciones contenidas en la LPDP, su reglamento y la presente directiva. Toda persona natural, jurídica o entidad pública que cuente con sistemas de videovigilancia, para los fines establecidos en esta directiva, debe designar, mediante documento, a la persona que estará a cargo de estas atribuciones, pues será quien responda específicamente por el tratamiento de datos personales que se realice a través del sistema, sin perjuicio de la responsabilidad atribuida al encargado del tratamiento.

5.16.2 Perfil intermedio:

Es aquel a quien el perfil administrador puede delegar determinadas funciones o responder, en defecto del perfil administrador, por ellas. Las funciones que le pueden ser asignadas, mediante documento, están reguladas en esta directiva. El perfil intermedio se encuentra bajo la dirección del perfil administrador.

5.16.3 Perfil básico:

Es aquel a quien, de acuerdo al documento de asignación, le compete únicamente las funciones de monitoreo de las cámaras de videovigilancia, seguridad lógica y física del ambiente de videovigilancia y mantener actualizado el inventario documentado de cámaras. Ello, sin perjuicio que estas actividades puedan ser realizadas también por el perfil intermedio y administrador, pudiéndose encontrar incluso bajo su mando o dirección.

5.17 Procedimiento documentado de gestión de acceso:

Documento en el que se establecen los procedimientos y políticas de seguridad a fin de garantizar el acceso seguro a los sistemas, aplicativos y/o equivalentes que realizan tratamiento de datos personales. Dichos accesos deberán ser definidos mediante procesos de identificación y/o autentificación de los usuarios, así como los responsables de realizar dichos procesos.

5.18 Procedimiento documentado de gestión de privilegios:

Documento mediante el cual se establecen los procedimientos formales de definición y de aprobación de los perfiles de los usuarios que realizan tratamiento de datos personales, teniendo en cuenta las autorizaciones de acceso y las restricciones del banco de datos automatizado que realiza tratamiento de datos personales, así como los responsables de realizar el tratamiento de datos personales y de aquellos que llevan a cabo dichos procesos.

5.19 Procedimiento documentado de verificación periódica de privilegios asignados:

Documento a través del cual se establecen los procedimientos, políticas formales y la periodicidad de revalidación, y la verificación de los privilegios a los usuarios que tienen acceso a datos personales, así como a los responsables de dichos procesos.

5.20 RLPDP:

Reglamento de la Ley de Protección de Datos Personales.

5.21 RNPDP:

Registro Nacional de Protección de Datos Personales.

5.22 Sistema de Videovigilancia:

Conjunto de una o más personas y equipos tecnológicos -compuesto por una o varias cámaras de video localizadas estratégicamente e interconectadas entre sí – que permiten el tratamiento de datos personales.

5.23 Tipos de prestación en contratos de encargo de sistemas de videovigilancia:

5.23.1 Una empresa externa puede prestar servicios consistentes en la instalación y/o mantenimiento técnico de los equipos y sistemas de videovigilancia sin acceso a imágenes y/o audio.

En estos casos estas empresas no tienen la condición de encargados del tratamiento, siendo el titular del banco de datos el obligado a adoptar los sistemas a los requisitos normativos.

5.23.2 La empresa externa puede brindar servicios de instalación o mantenimiento de los equipos y sistemas de videovigilancia con utilización de los equipos o acceso a las imágenes, videos o audios.

En este tipo de relación la empresa se considera encargada del tratamiento y tiene que cumplir las obligaciones que tal condición le otorga la LPDP.

5.24 Tratamiento de datos personales a través de sistemas de videovigilancia:

Es cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de la imagen o voz, captados por medio de un sistema de cámaras fijas o móviles ya sea en tiempo real o en visualización de grabaciones de imágenes, vídeos o audios.

5.25 Usuario:

Operador de la plataforma tecnológica a quien se le asignó un perfil determinado.

5.26 Videoporteria:

Sistema autónomo que sirve para gestionar las llamadas que se hacen en la puerta de un edificio (sea complejo residencial, vivienda unifamiliar, centros de trabajo, etc.), controlando el acceso al mismo mediante la comunicación audiovisual entre el interior y el exterior. La característica principal de la videoportería es que permite que la persona que ocupa el interior identifique a la visita, pudiendo, si lo desea, entablar una conversación y/o abrir la puerta para permitir el acceso de la persona que ha activado un timbre o dispositivo de comunicación.

5.27 Videovigilancia:

Monitoreo y captación de imágenes, videos o audios de lugares, personas u objetos. La información captada puede o no ser objeto de almacenamiento a través de su grabación.

5.28 Violación o brecha de seguridad de los datos personales:

Se produce cuando los datos contenidos en sistemas de videovigilancia sufren un incidente de seguridad que da lugar a la violación de la confidencialidad, disponibilidad o integridad de los mismos.

Dichos incidentes de seguridad pueden ser: la destrucción, pérdida o alteración accidental o ilícita de los datos personales transmitidos, conservados y tratados, o la comunicación y/o accesos no autorizados a dichos datos.

VI. DISPOSICIONES GENERALES

Ámbito material de aplicación

6.1 Se aplica al tratamiento de datos de personas identificadas o identificables captados a través de sistemas de videovigilancia. El tratamiento objeto de esta directiva comprende la grabación, captación, transmisión, conservación o almacenamiento de imágenes o voces, incluida su reproducción o emisión en tiempo real o cualquier otro tratamiento que permita el acceso a los datos personales relacionados con aquellos, para fines de seguridad, control laboral y otros.

6.2 No se encuentran dentro del ámbito de aplicación de la presente directiva:

6.2.1 Los tratamientos de datos de personas naturales identificadas o identificables a través de cámaras o videocámaras y sistemas de videovigilancia en el marco de los supuestos de excepción previstos en el artículo 3 de la LPDP.

6.2.2 Al tratamiento de imágenes en el ámbito personal y doméstico, que incluye el uso de cámaras «on board’ y los sistemas de videoportería, salvo que estos últimos se articulen mediante procedimientos que reproduzcan o graben imágenes de modo constante y que resulten accesibles (mediante internet o emisiones por televisión en circuito cerrado) y, en particular, cuando el objeto de las mismas alcance a las zonas comunes y/o la vía pública colindante.

6.2.3 Al tratamiento de imágenes vinculadas al ejercicio legítimo del derecho a la libertad de información y expresión por los medios de comunicación.

6.2.4 Aquellos sistemas que involucren cámaras o videocámaras simuladas o desactivadas. A estas últimas, sí les resultará aplicable la directiva en lo que respecta a las medidas de seguridad del sistema.

Legitimación para el tratamiento de datos mediante cámaras o sistemas de videovigilancia

6.3 Existe legitimidad para el tratamiento de datos personales mediante sistemas de videovigilancia cuando se cuente con alguno de los siguientes supuestos:

6.3.1 Se cuente con el consentimiento del titular de los datos personales.

6.3.2 Una norma con rango de ley habilite a captar los datos sin el consentimiento de los titulares.

6.3.3 Se dé alguna de las circunstancias previstas en el artículo 14 de la LPDP.

Principios

6.4 Principio de proporcionalidad:

El tratamiento de los datos personales debe ser adecuado, pertinente y no excesivo en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras o videocámaras.

Debe existir una relación de proporcionalidad entre la finalidad perseguida y el modo en que se traten los datos. Una adecuación medio —fin.

El uso de instalaciones de cámaras o videocámaras es legítimo cuando no exista un medio menos invasivo o igual de eficaz, para alcanzar la finalidad perseguida.

6.5 Principio de seguridad:

El responsable del tratamiento debe adoptar las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos y evitar su alteración, pérdida, tratamiento o acceso no autorizado.

Aquellos sistemas de videovigilancia de personas jurídicas conectados o que vayan a ser conectados con una central receptora de alarmas o un centro de control, deben cumplir con lo previsto en el Decreto Legislativo n° 1213, que regula los servicios de seguridad privada. Estos servicios únicamente pueden ser realizados por empresas de seguridad, en virtud de sus condiciones y cualificación, debiendo estas ser consideradas encargadas del tratamiento.

6.6 Principio de calidad:

El tratamiento de los datos deberá ser necesario, pertinente y adecuado respecto a la finalidad para la que fueron recopilados, y deberán conservarse solo por el tiempo necesario para cumplir con la finalidad que motivó su tratamiento, tomando en cuenta el plazo señalado en el punto 6.13 de la presente directiva.

Derecho de información

6.7 Debe informarse sobre la captación y/o grabación de las imágenes, para tal fin se debe colocar en las zonas videovigiladas al menos un distintivo informativo ubicado en un lugar suficientemente visible, tanto en espacios abiertos como cerrados.

Si la información prevista en el artículo 18 de la LPDP no puede ser colocada en su integridad en el cartel informativo, en el espacio videovigilado debe tenerse a disposición de los interesados, ya sea a través de medios informáticos, digitalizados o impresos, la información mínima requerida para garantizar sus derechos, regulada en el punto 6.12 de la presente directiva.

Si el lugar vigilado dispone de varios accesos, el cartel se coloca en todos ellos, en un lugar visible, para que la información contenida en el mismo también lo sea.

Respeto a los derechos fundamentales de terceros

6.8 Debe prevenirse la captación de imágenes de terceros ajenos a los fines de la captación. El titular del banco de datos personales o quien realice el tratamiento de los datos a través de los sistemas de videovigilancia es responsable por la implementación de mecanismos o medidas adecuadas para no afectar los derechos de terceros que aparezcan en las grabaciones.

Las cámaras o videocámaras instaladas en espacios privados no deben obtener imágenes de espacios públicos, salvo que resulte imposible evitarlo. En este último caso, la cámara debe captar únicamente la sección de vía pública que resulte imprescindible para cumplir con los fines de vigilancia que se pretende con la instalación del sistema.

Registro de banco de datos de videovigilancia

6.9 La persona natural, jurídica o entidad pública que utilice un sistema de videovigilancia o cualquier dispositivo que permita el tratamiento de datos para dicho fin, debe solicitar la inscripción del banco de datos personales respectivo a la Dirección de Protección de Datos Personales, unidad orgánica de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos, encargada de la administración del Registro Nacional de Protección de Datos Personales.

6.10 Los sistemas que no almacenan imágenes, sino que consisten exclusivamente en la reproducción y emisión de imágenes en tiempo real, no son considerados bancos de datos. Sin embargo, esto no los exime del cumplimiento de las demás obligaciones contenidas en la LPDP, su reglamento y la presente directiva, en lo que resulte aplicable.

Características del cartel informativo

6.11 Cada acceso a la zona videovigilada debe tener un cartel o anuncio visible con fondo amarillo o cualquier otro que contraste con el color de la pared y que lo haga suficientemente visible. Su contenido mínimo debe indicar (Anexo 1):

6.11.1 La identidad y domicilio del titular del banco de datos personales.

6.11.2 Ante quién y cómo se pueden ejercitar los derechos establecidos en la LPDP.

6.11.3 Lugar dónde puede obtener la información contenida en el artículo 18 de la LPDP.

6.11.4 En lo que se refiere a las dimensiones, los elementos gráficos podrán tener, como mínimo, las siguientes: 297 x 210 mm. Cuando el espacio en que se vaya a ubicar el cartel informativo no lo permita, este debe adecuarse al espacio disponible, de tal forma que cumpla su finalidad informativa.

Características del informativo adicional del sistema de videovigilancia

6.12 El informativo adicional del sistema de videovigilancia (Anexo 2) debe estar disponible, ya sea a través de medios informáticos, digitalizados o impresos, y debe contener la información requerida para garantizar el derecho reconocido en el artículo 18 de la LPDP:

6.12.1 La identidad y domicilio del titular del banco de datos personales y del encargado del tratamiento, de ser el caso.

6.12.2 La finalidad.

6.12.3 Las transferencias y destinatarios de los datos personales.

6.12.4 El plazo durante el cual se conservarán los datos personales.

6.12.5 El ejercicio de los derechos de información, acceso, cancelación y oposición de los datos.

Plazo de conservación o almacenamiento de la información grabada

6.13 Las imágenes y/o voces grabadas se almacenan por un plazo de treinta (30) días y hasta un plazo máximo de sesenta (60), salvo disposición distinta en normas sectoriales. Durante ese plazo, el titular del banco de datos o encargado del tratamiento de los datos debe asegurar la reserva y confidencialidad de la información, no permitiendo la difusión, copia o visualización de imágenes por terceros no autorizados.

6.14 El registro de las imágenes, videos o audios que presenten indicios razonables de la comisión de un delito o falta debe ser informado haciendo entrega del soporte que contiene el mismo de manera inmediata a la Policía Nacional del Perú o al Ministerio Público, según corresponda.

Cancelación definitiva de la información

6.15 Transcurrido el plazo de conservación de la información referido en el punto 6.13, y no habiendo requerimiento de alguna autoridad competente para entregar o visualizar el contenido de la grabación, se deben eliminar los archivos en el plazo máximo de dos (02) días hábiles, salvo disposición distinta en norma sectorial.

6.16 El plazo máximo previsto para la eliminación de la información no será aplicable cuando exista alguna finalidad o interés legítimo que justifique su conservación, así como la concurrencia de alguna contingencia de orden técnico que justifique razonablemente el aplazamiento de la eliminación de la misma por un período determinado o determinable.

Formalidades que debe seguir el encargado del tratamiento

6.17 Cuando una persona natural, jurídica o entidad pública ha instalado o pretende instalar un sistema de cámaras de videovigilancia, pero encarga a otra la gestión del sistema con utilización de los equipos o acceso a las imágenes o voces, debe de suscribirse un contrato, convenio o documento similar en el que se establezca el objeto, la duración, la naturaleza y finalidad del tratamiento, el tipo de datos y categorías de interesados, las obligaciones y derechos que correspondan, así como el destino de los datos al finalizar la prestación.

6.18 El contrato, convenio o documento similar atiende a las circunstancias concretas de la prestación del servicio. El encargado está obligado, en mérito de él, a cumplir con las condiciones técnicas y organizativas necesarias para respetar las obligaciones establecidas en la LPDP; a observar los requisitos legales que lo habilitan para prestar el servicio; a seguir las instrucciones del responsable del tratamiento o del titular del banco de datos; a realizar las acciones necesarias para asistir al responsable o titular del banco de datos en el cumplimiento de su deber de responder frente el ejercicio de los derechos señalados en la LPDP; y, en general, de colaborar en el cumplimiento de las obligaciones del titular del banco de datos.

6.19 El encargado del tratamiento debe garantizar al responsable que el acceso a los datos sólo se realizará por personas debidamente autorizadas debiendo adoptar las medidas de seguridad necesarias para asegurar el adecuado uso del sistema y tratamiento de los datos personales.

6.20 El encargado del tratamiento del sistema de videovigilancia debe notificar, sin dilación, al responsable del tratamiento acerca de la existencia de una violación o brecha de seguridad.

6.21 De acuerdo a lo establecido en el artículo 37 del RLPDP, es posible la subcontratación con terceros, debiendo asumir la persona natural o jurídica subcontratada las mismas obligaciones que se establezcan para el titular del banco de datos, responsable o encargado del tratamiento, según corresponda, de acuerdo a lo establecido en el artículo 38 del RLPDP.

Principales obligaciones sobre medidas de seguridad

6.22 La persona que opera o tiene acceso a cualquier sistema de cámaras de videovigilancia, en razón de sus funciones, debe cumplir con lo siguiente:

6.22.1 Tener procedimientos de identificación y autentificación de usuarios que den cuenta del funcionamiento del centro de control y monitoreo del sistema de cámaras o videocámaras de videovigilancia, de las partes que lo componen y los equipos.

6.22.2 Conocer el funcionamiento correcto del sistema de videovigilancia.

6.22.3 Contar con un inventario documentado de las cámaras u otros dispositivos de videovigilancia.

6.22.4 Contar con un esquema y/o diagrama documentado de la arquitectura física y lógica del sistema de videovigilancia. La arquitectura física es la representación gráfica de las conexiones físicas entre los diversos componentes del sistema. Entiéndase por componentes: los servidores, cámaras de videovigilancia, computadoras, etc.

Por su parte, la arquitectura lógica es la representación gráfica de las conexiones entre los componentes lógicos (software, sistemas aplicativos, etc.) de una red o sistema de videovigilancia, en el cual se debe detallar nombre del sistema y funciones específicas.

6.22.5 Contar con documentación respecto a la gestión de accesos, privilegios y verificación periódica de privilegios asignados.

6.22.6 Cuando corresponda, contar con mecanismos de respaldo de seguridad de la información de carácter personal obtenida a través de sistemas de videovigilancia, así como con un procedimiento que contemple la verificación de la integridad de los datos almacenados en el respaldo.

6.22.7 Implementar las medidas de seguridad en el caso de que resulte necesario transportar los sistemas o cámaras de videovigilancia que contengan información de carácter personal. El transporte debe ser autorizado por el titular del banco de datos personales.

6.22.8 Otras obligaciones que las leyes o normativa sobre la materia dispongan.

6.23 Para efectos de un cumplimiento adecuado de las medidas de seguridad dentro del sistema de videovigilancia, es necesaria la implementación de los perfiles definidos en el glosario de la presente directiva, a fin de limitar accesos y gestión de privilegios de los usuarios. En el caso de personas jurídicas o naturales que cuenten con un número no superior de ocho cámaras y dos operadores de las mismas, sólo será necesario la determinación del perfil administrador y habilitarse un ambiente aislado o apropiado con mecanismo de control de acceso asignado para el mismo.

Deber de confidencialidad

6.24 El deber de confidencialidad podrá materializarse a través de un documento en el que se determine la obligación de secreto entre las partes, a efectos de no divulgar una determinada información. En este documento se establece la prohibición de reproducir, modificar, publicar o difundir o transferir a terceros la información sin autorización expresa de la otra parte.

6.25 El documento debe ser suscrito entre las personas que en razón de sus funciones operan o tienen acceso a cualquier sistema de videovigilancia, con el titular del banco de datos personales o con el encargado del tratamiento, dependiendo de a quien presta sus servicios directamente, siendo la empresa empleadora la propietaria del sistema de videovigilancia o del establecimiento en donde este se realiza.

Responsabilidades de las personas que operan sistemas o centros de videovigilancia por operaciones no autorizadas

6.26 Las personas que operan o tienen acceso a cualquier sistema de videovigilancia, en razón de sus funciones, son responsables de la facilitación, comercialización, difusión, copia o entrega no autorizadas del contenido de las grabaciones.

Prestaciones de servicio sin acceso a datos personales

6.27 El responsable o encargado del tratamiento de los datos personales adopta las medidas adecuadas para limitar el acceso del personal distinto al especialmente designado para acceder y gestionar el sistema de videovigilancia.

6.28 El personal que no tiene entre sus funciones realizar tratamiento de datos personales se encuentra prohibido de tratar los datos personales, debiendo consignarse esta prohibición:

6.28.1 En el contrato de trabajo o prestación de servicios que suscriban con el titular del banco de datos o encargado de su tratamiento; o,

6.28.2 En el contrato que suscriba la empresa tercerizadora o intermediaria y el titular del banco de datos o el encargado de su tratamiento, debiendo la empresa tercerizadora o intermediadora hacer de conocimiento de quien vaya a prestar directamente el servicio de tal obligación de confidencialidad.

6.29 Asimismo, deberá consignarse la obligación de secreto respecto a los datos que este personal hubiera podido conocer con motivo de la prestación de su servicio.

Derechos de los titulares de los datos

6.30 Los derechos establecidos en la LPDP pueden ser ejercidos por los titulares de los datos personales con motivo de su captación a través de un sistema de videovigilancia. Por las particularidades propias de los sistemas de videovigilancia podrán ejercitarse los siguientes derechos:

6.30.1 Derecho acceso.

6.30.2 Derecho de cancelación.

6.30.3 Derecho de oposición (en algunos supuestos).

Derecho de Acceso

6.31 Dadas las particularidades propias de los sistemas de videovigilancia, el derecho de acceso reviste características singulares:

6.31.1 El titular del dato personal debe precisar la fecha, rango de horas, lugar o cualquier otra información que permita facilitar la ubicación de la imagen requerida. Asimismo, de ser necesario, aportará una imagen actualizada de sí mismo que permita al titular o encargado del tratamiento verificar su presencia en el registro.

6.31.2 Con la finalidad de no afectar la protección de datos personales de terceros, el titular del dato personal puede escoger entre las siguientes alternativas para acceder a su información:

a) Acceso mediante un escrito:

El titular del dato personal presentará una solicitud escrita a la dirección física o electrónica que aparece en el cartel o documento informativo, adjuntando e indicando lo señalado en el numeral 6.31.1.

La respuesta emitida por el titular del banco de datos personales o por el encargado del tratamiento debe detallar los datos requeridos que son objeto de tratamiento, sin afectar derechos de terceros.

b) Entrega de las imágenes, vídeos o audios:

El titular del dato personal debe entregar un CD en blanco o dispositivo análogo al titular del banco de datos personales o al encargado de tratamiento con el fin de que este grabe su información. En este supuesto, el titular o encargado del tratamiento debe utilizar máscaras de privacidad para difuminar la imagen o cualquier otro medio que impida la afectación de terceros, así como implementar un mecanismo de protección para el archivo (cifrado, contraseña u otros).

c) Visualización en sitio:

El titular del dato personal debe acercarse físicamente a las instalaciones del titular del banco de datos o responsable del tratamiento para acceder directamente a su información.

Para ello, debe presentar previamente una solicitud en la dirección física o electrónica que aparece en el cartel o documento informativo, indicando fecha, rango de horas, lugar o cualquier otra información que permita facilitar la ubicación de la imagen; así como una imagen actualizada de sí mismo que permita al titular del banco de datos personales o responsable del tratamiento advertir su presencia en el registro.

Se debe dejar constancia de lo visualizado y entregar la misma al titular del dato personal, una vez culminada la visualización.

6.31.3 Adicionalmente, se entrega al titular de los datos personales información precisa sobre la finalidad de la recolección de los datos, sobre la inscripción del banco de datos, el lugar donde se produjo el registro o captación de su imagen, el tiempo en que la misma se produjo y el destino de los datos.

6.31.4 Si se ejerce el derecho de acceso ante el responsable de un sistema que únicamente reproduce imágenes sin registrarlas, debe ponerse esta situación a conocimiento del titular del dato personal.

6.31.5 No procede la difuminación de imágenes o aplicación de máscaras de seguridad de terceras personas cuando se acredite el legítimo interés del titular del dato personal que lo solicita. Se entiende por legítimo interés, el acopio de información para ejercer el derecho de defensa, formular denuncia administrativa o penal o similares.

6.31.6 En el supuesto que el responsable o encargado del tratamiento no aplicara la máscara de seguridad o algún mecanismo de difuminación de imágenes que impidiera la afectación de terceros, aduciendo falta de capacidad técnica o económica, será la autoridad administrativa que valorará este alegato en cada caso en concreto.

6.31.7 Si el titular del banco de datos o responsable del tratamiento es declarado un activo crítico nacional conforme a la normativa de la materia o si se tratara de áreas de alto riesgo para la seguridad, se deberá acordar con el titular del dato personal otro mecanismo idóneo para dar acceso a su información. De no existir ningún medio posible, podrá ser denegada su solitud por el titular del banco de datos personales o el responsable del tratamiento, debiendo hacerlo de forma motivada.

Derechos de Cancelación y Oposición

Los derechos de cancelación y oposición se ejercen atendiendo a lo dispuesto en el numeral 6.31.1. de la presente directiva, a los artículos 20 y 22 de la LPDP y los artículos 67 y 71 del RLPDP. Asimismo, procederá la atención en aquellos supuestos donde sea materialmente posible y responda a criterios fundamentados y motivados.

Imposibilidad de ejercicio del derecho de rectificación

No es posible el ejercicio del derecho de rectificación en el tratamiento mediante sistemas de videovigilancia, dado que, por su naturaleza, las imágenes captadas reflejan un hecho objetivo que no puede ser modificado a petición del titular del dato personal.

Denegación de los derechos de acceso, cancelación y oposición

6.34 En caso de denegación de alguno de los derechos deberá indicarse expresamente en el escrito de denegación, la posibilidad de reclamar su tutela ante la Autoridad Nacional de Protección de Datos Personales.

Comunicación sin consentimiento de los titulares de los datos

6.35 Es legítima la transferencia de los datos personales captados por los sistemas de videovigilancia sin el consentimiento de los titulares de los datos, cuando:

6.35.1 La comunicación de lo captado deba ser entregada por orden judicial o a una entidad pública en cumplimiento de sus funciones.

6.35.2 Cuando deba ser puesto a disposición o sea requerido por la Policía Nacional del Perú o el Ministerio Público, en razón del ejercicio de las competencias asignadas por ley, en aquellos supuestos necesarios para la prevención, investigación, detección o represión de infracciones penales o delitos. La petición de las grabaciones debe realizarse de forma motivada y el tratamiento de las mismas debe responder a la finalidad del requerimiento realizado.

VII. DISPOSICIONES ESPECÍFICAS

TRATAMIENTOS ESPECÍFICOS CON FINES DE SEGURIDAD

Espacios públicos de uso privado

Prohibiciones de uso de sistemas de videovigilancia en determinados espacios.

7.1 En espacios públicos de uso privado, como establecimientos comerciales, restaurantes, lugares de ocio, entre otras, se deberá cumplir en estricto con el principio de proporcionalidad, de esta forma a título enunciativo se tiene que:

7.1.1 Se encuentra prohibida la instalación de cámaras en baños y vestuarios.

7.1.2 En los lugares de ocio:

a) El sistema de videovigilancia sólo puede ser visual, está prohibida la grabación de las conversaciones. Además, deberá utilizarse sólo cuando no exista otro método de seguridad menos invasivo e igual de eficaz que cumpla con la finalidad legítima determinada.

b) No se pueden utilizar las imágenes captadas por sistemas de videovigilancia con fines comerciales o promocionales, salvo consentimiento de las personas cuyas imágenes han sido grabadas.

Entidades financieras

Características especiales

7.2 Dado los servicios que presta la entidad financiera deberá tenerse en cuenta lo siguiente:

7.2.1 Que lo captado a través de los sistemas de videovigilancia y contenido en los soportes informáticos tiene que ser utilizado exclusivamente para fines de seguridad.

7.2.2 Las imágenes que registren la supuesta comisión de un acto delictivo o falta, deben ser puestas a conocimiento de la Policía Nacional del Perú o del Ministerio Público de forma inmediata, como medio de identificación de los presuntos autores de delitos.

7.2.3 Si la entidad financiera decide no encargar el tratamiento de los sistemas de videovigilancia a una empresa especializada en sistemas de seguridad videovigilada, debe contar con un responsable de la propia entidad especializado en sistemas de seguridad videovigilada.

7.2.4 Si una cámara se ubica en la puerta de entrada de una entidad bancaria debe orientarse de modo que la parte de vía pública que capte se limite al acceso vigilado, sin recoger más proporción de la vía pública que la imprescindible para efectos de la labor de vigilancia, no debiendo captar imágenes del resto de la acera o la calle.

7.2.5 Otras disposiciones de acuerdo a las normas específicas sobre la materia.

Entornos escolares

Requisitos de los sistemas de videovigilancia en entomos escolares

7.3 En el caso de uso de sistemas de videovigilancia, se debe instalar un distintivo o cartel informando a los miembros de la comunidad educativa de la existencia de cámaras u otros dispositivos análogos, en un lugar completamente visible, tanto si los dispositivos están en el interior como en espacios abiertos. En dicho distintivo o cartel debe también indicarse dónde se puede obtener la información que regula el artículo 18 de la LPDP.

7.4 La zona objeto de videovigilancia será la mínima imprescindible para el fin de vigilancia trazado, pudiendo abarcar espacios públicos o comunes como accesos y pasillos, patio de recreo, comedores, y siempre con miras a la protección y defensa del interés superior del niño, niña y adolescente.

7.5 En ningún caso deben instalarse cámaras de videovigilancia en espacios privados como baños, vestuarios o aquellos en los que se desarrollen actividades cuya captación pueda afectar la imagen o la intimidad de forma desproporcionada.

7.6 Los usos de sistemas de videovigilancia con fines de seguridad en aulas y otros ámbitos en los que se desarrolla la personalidad de los niños, niñas y adolescentes podrán grabar imágenes si existen circunstancias excepcionales, justificadas por la presencia de un riesgo objetivo y previsible para la seguridad y los derechos fundamentales de los menores.

7.7 El acceso a las imágenes de los sistemas de videovigilancia queda restringido al director del centro o a la persona designada como responsable del tratamiento. No puede ser de libre acceso para cualquier personal docente o administrativo no autorizado para ello.

Cancelación de las imágenes

7.8 Las imágenes se conservarán por un plazo máximo de treinta (30) días desde su captación. Transcurrido dicho plazo, el titular del banco de datos o responsable del tratamiento únicamente podrá conservar aquellas imágenes que revelen algún hecho trascendente que deba ser puesto en conocimiento de los padres de familia o tutores, quienes de acuerdo a sus facultades pueden actuar velando por los intereses de sus menores hijos en defensa y protección de sus derechos o, de ser el caso, frente a la comisión de presuntos actos delictivos poniendo en conocimiento los hechos a la Policía Nacional o del Ministerio Público.

TRATAMIENTO DISTINTO A LOS FINES DE SEGURIDAD

Videovigilancia para el control laboral

Excepción al consentimiento en torno de la finalidad

7.9 En virtud del poder de dirección del empleador, este se encuentra facultado para realizar controles o tomar medidas para vigilar el ejercicio de las actividades laborales de sus trabajadores, entre las que se encuentra la captación y/o tratamiento de datos a través de sistemas de videovigilancia.

Deber de Informar

7.10 El empleador se encuentra obligado a informar a sus trabajadores de los controles videovigilados, a través de carteles (o en su defecto de los avisos informativos mencionados en la presente directiva); ello, sin perjuicio de informar de manera individualizada a cada trabajador, si se considera pertinente.

En el caso de trabajadores del hogar, para acreditar el cumplimiento del deber de informar, bastará con que los empleadores acrediten de forma razonable que han cumplido con el deber de informar contenido en el artículo 18 de la LPDP.

Finalidad de los sistemas de videovigilancia

7.11 El tratamiento de los datos de los trabajadores se limita a las finalidades propias del control y supervisión de la prestación laboral, de tal forma que no pueden utilizarse los medios o el sistema de videovigilancia para fines distintos, salvo que se cuente con el consentimiento del trabajador o se trate de alguna de las excepciones señaladas en el artículo 14 de LPDP.

7.12 Son fines legítimos para el control y la supervisión de la prestación laboral, la protección de bienes y recursos del empleador; la verificación de la adopción de medidas de seguridad en el trabajo; y, aquellos otros que la legislación laboral y sectorial prevea.

Principio de proporcionalidad

7.13 El control laboral a través de sistemas de videovigilancia sólo se realiza cuando sea pertinente, adecuado y no excesivo para el cumplimiento de tal fin.

7.14 Asimismo, la instalación de las cámaras o, en todo caso, su ámbito de captación debe restringirse a los espacios indispensables para satisfacer las finalidades de control laboral.

7.15 En ningún caso se admite la instalación de sistemas de grabación o captación de sonido ni de videovigilancia en los lugares destinados al descanso o esparcimiento de los trabajadores, como vestuarios, servicios higiénicos, comedores o análogos.

7.16 La grabación videovigilada con sonido en el lugar de trabajo sólo se admitirá cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y siempre respetando el principio de proporcionalidad y finalidad.

Prohibición de uso de las imágenes para fines comerciales o publicitarios.

7.17 Las imágenes captadas a través de los sistemas de videovigilancia laboral no pueden ser utilizadas con fines comerciales o publicitarios, salvo que se cuente con el consentimiento de los trabajadores.

Cancelación de imágenes y/o voces

7.18 Las imágenes y/o voces grabadas se almacenan por un plazo de treinta (30) días y hasta un plazo máximo de sesenta (60) días, salvo disposición distinta en las normas laborales. Durante ese plazo, el titular del banco de datos o encargado del tratamiento debe cuidar que la información sea accesible sólo ante las personas que tengan legítimo derecho a su conocimiento y manteniendo así la reserva necesaria respecto a las imágenes y/o voces.

7.19 Transcurrido el plazo señalado en numeral anterior y no habiendo requerimiento de alguna autoridad competente para entregar o visualizar el contenido de la grabación, se deben eliminar los archivos en el plazo máximo de dos (02) días hábiles, salvo disposición distinta en norma sectorial.

7.20 El plazo máximo previsto para la eliminación de la información, no será aplicable cuando exista alguna finalidad o interés legítimo que justifique su conservación, así como la concurrencia de alguna contingencia de orden técnico que justifique razonablemente el aplazamiento de la eliminación de la misma por un período determinado o determinable.

7.21 Las imágenes y/o voces sin editar que den cuenta de la comisión de presuntas infracciones laborales y/o accidentes de trabajo deben ser conservadas por el plazo de ciento veinte (120) días, contados a partir de su conocimiento, salvo la existencia de alguna finalidad que justifique su conservación o de interés legítimo, tiempo dentro del cual el empleador podrá iniciar las acciones legales pertinentes.

7.22 El trabajador podrá solicitar el acceso a las grabaciones o a una copia digital de las mismas que contengan información sobre una inconducta o incumplimiento laboral que se le haya imputado, pudiendo utilizar esta grabación como medio de prueba. El empleador deberá resguardar el derecho de terceros que, sin estar involucrados con la inconducta o incumplimiento, de manera directa o indirecta, puedan aparecer en registros captados; ello se hará adoptando las medidas técnicas necesarias para difuminar su imagen e impedir su identificación.

7.23 En el caso de que el empleador, en base a lo captado por los sistemas de videovigilancia, decida imputar una falta grave a un trabajador, deberá proceder de conformidad con lo establecido en las normas laborales. Asimismo, el empleador deberá proceder a resguardar el derecho de terceros que puedan aparecer en los registros captados, de la forma establecida en el párrafo anterior.

Tutela Directa de los trabajadores

7.24 Los trabajadores deben estar informados por los medios establecidos en la directiva sobre el procedimiento implementado por el empleador para ejercer sus derechos de acceso, cancelación y oposición.

Transferencia de datos personales

7.25 Si el empleador debe transferir los datos personales de sus trabajadores captados mediante videovigilancia a un tercero por motivos no laborales, debe informar de ello a los trabajadores, conforme la LPDP y su reglamento. De igual modo, cuando corresponda, debe solicitar su consentimiento.

Tratamiento con fines científicos o de investigación

7.26 En el caso de tratamiento de datos personales con fines científicos o de investigación se deberá cumplir con los principios y reglas establecidas en la LPDP, su reglamento y la presente directiva, en particular los principios de consentimiento, proporcionalidad y finalidad, así como las medidas técnicas y organizativas para garantizar la seguridad de la información de los datos personales, hasta donde resulte aplicable razonablemente.

TRATAMIENTO DE DATOS CON OTRAS TECNOLOGÍAS

Cámaras conectadas a internet

Deberes adicionales del titular del banco de datos personales o encargado del tratamiento.

7.27 Revisar si las funciones de identificación y autenticación se encuentran activadas con el fin de evitar accesos de terceros a las imágenes y de garantizar que sólo acceden los usuarios autorizados.

7.28 Garantizar la seguridad en el acceso a través de redes públicas de comunicaciones.

Mediante drones

Especialidad en el manejo de los drones con fines de videovigilancia

7.29 Las personas que, con fines de seguridad privada, por razón de sus funciones, tengan a su cargo el sistema de videovigilancia a través de drones, deben contar con formación especializada en el manejo de estos equipos, garantizando reserva, confidencialidad y cumpliendo las demás obligaciones dispuestas en esta directiva para los sistemas de videovigilancia, así como la normativa especial o sectorial de la materia

Responsabilidad del titular y/o encargado del tratamiento

7.30 El titular del banco de datos personales, responsable o el encargado del tratamiento debe informar de acuerdo a lo señalado en el punto 6.8 de esta directiva a las personas que serán controladas mediante los sistemas de videovigilancia a través de drones. Este deber alcanza también a aquellas personas o entidades que brinden el servicio de videovigilancia a través de drones de forma complementaria a la que preste el servicio principal. Dicha información debe entregarse en formato físico o electrónico, al momento de suscribir el contrato de videovigilancia con la entidad o persona que brinde este servicio a través de drones o de forma singularizada en el documento de contratación; además, debe estar a disposición de quien lo requiera.

7.31 Debe utilizarse los sistemas de carteles o folletos cuando sea factible. En caso de utilizar el cartel o el folleto se debe indicar gráficamente (dibujo) el medio utilizado (Anexo 3), aplicándose, en lo que resulte pertinente, de forma mínima lo establecido en el punto 6.11 de esta directiva.

7.32 Los titulares de bancos de datos personales, responsables o encargados de tratamiento, en caso cuenten con una página web, deben publicar información que permita conocer los diferentes tipos de operaciones realizadas o las que se proponen realizar en el futuro cercano con los datos captados.

VIII. DISPOSICIONES COMPLEMENTARIAS FINALES

8.1 Difusión de la normativa

La Autoridad Nacional de Protección de Datos Personales ejercida por el Ministerio de Justicia y Derechos Humanos a través de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, es la encargada de las actividades de difusión de la normativa aplicable al tratamiento de datos mediante sistemas de videovigilancia, así como de la promoción para su progresiva implementación en el ámbito privado y público, brindando servicios de información y orientación.

8.2 Vigencia

La presente Directiva entrará en vigencia a los sesenta (60) días calendario siguientes de la publicación de la Resolución que la aprueba en el Diario Oficial «El Peruano».

ANEXO I

ZONA VIDEOVIGILADA

LEY DE PROTECCIÓN DE DATOS PERSONALES. LEY Nº 29733

PUEDE EJERCITAR SUS DERECHOS ANTE:

TITULAR DEL BANCO DE DATOS Y DIRECCIÓN

LUGAR DÓNDE PUEDE OBTENER LA INFORMACIÓN CONTENIDA EN EL ARTÍCULO 18 DE LA LPDP

ANEXO 2

Hoja Informativa sobre el tratamiento de datos personales

1. IDENTIDAD Y DOMICILIO DEL TITULAR DEL BANCO DE DATOS PERSONALES O ENCARGADO DEL TRATAMIENTO:

El titular del presente banco de datos en el que se almacenarán los datos personales facilitados mediante sistema de videovigilancia es ……………………………….con domicilio en ………….……

La existencia de este banco de datos personales ha sido declarada a la Autoridad Nacional de Protección de Datos Personales, mediante su inscripción en el Registro Nacional de Protección de Datos Personales con la denominación……………………………y el código: RNPDP Nº………………….

Se informa al usuario que, cualquier tratamiento de datos personales, se ajusta a lo establecido por la legislación vigente en PERÚ en la materia (Ley n° 29733 y su reglamento).

2. FINALIDAD

El titular del Banco de datos……………………………tratará sus datos con la finalidad de………………………………..

3. TRANSFERENCIAS Y DESTINATARIOS: Cuando los datos personales recabados vayan a ser enviados a otras empresas (incluso cuando éstas pertenezcan al mismo grupo empresarial) deberá informarse de manera detallada al usuario, de tal forma que éste pueda conocer explícitamente las finalidades determinadas a las que se destinarán los datos. De la siguiente forma:

Los datos personales se transferirán a nivel nacional a: (detalle de las empresas destinatarias de los datos) con la finalidad de (finalidad de la transferencia).

La ENTIDAD contrata los servicios en la nube (computación en la nube) a través de………………………………………………………(detalle el nombre de la empresa y ubicación geográfica del servidor en el que se puedan almacenar los datos personales).

Si no realiza transferencia de datos personales, esta información se debe de indicar de la siguiente manera:

Los datos personales no se transmitirán a terceros, salvo obligación legal.

4. PLAZO DURANTE EL CUAL SE CONSERVARÁN LOS DATOS PERSONALES: Los datos personales proporcionados se conservaran (durante un plazo de … días).

5. EJERCICIO DE LOS DERECHOS DE INFORMACION, ACCESO, CANCELACIÓN Y OPOSICIÓN DE LOS DATOS:

Como titular de sus datos personales el usuario tiene el derecho de acceder a sus datos en posesión de ……………………………………………………………(indicar al titular del banco de datos personales); conocer las características de su tratamiento; solicitar sean suprimidos o cancelados al considerarlos innecesarios para las finalidades previamente expuestas o bien oponerse a su tratamiento de ser el caso.

El usuario podrá dirigir su solicitud de ejercicio de los derechos a la siguiente dirección:…………………………………………………………………………………………………………………………..         o a la siguiente dirección de correo electrónico:………………………………………………………………..

A fin de ejercer los derechos antes mencionados, el usuario deberá presentar en el domicilio especificado previamente, la solicitud respectiva en los términos que establece el Reglamento de la Ley n° 29733 (incluyendo: nombre del titular del dato personal y domicilio u otro medio para recibir respuesta; documentos que acrediten su identidad o la representación legal; descripción clara y precisa de los datos respecto de los que busca ejercer sus derechos y otros elementos o documentos que faciliten la localización de los datos).

De considerar el usuario que no ha sido atendido en el ejercicio de sus derechos puede presentar una reclamación ante la Autoridad Nacional de Protección de Datos Personales, dirigiéndose a la Mesa de Partes del Ministerio de Justicia y Derechos Humanos: Calle Scipion Llona 350, Miraflores, Lima, Perú.

(Indicar al titular del banco de datos personales)………………………………………………………………… será responsable del banco de datos personales ……………………………………………………(reiterar denominación del banco de datos, señalado en el numeral 1) y de los datos personales contenidos en éste. Con el objeto de evitar la pérdida, mal uso, alteración, acceso no autorizado y robo de los datos personales o información confidencial facilitados por titulares de datos personales, (Indicar al titular del banco de datos personales)…………………………………. ha adoptado los niveles de seguridad y de protección de datos personales legalmente requeridos, y ha instalado todos los medios y medidas técnicas a su alcance.