Una Política de Seguridad en la Información permite establecer las reglas, medidas y responsabilidades necesarias para resguardar los datos corporativos y personales, evitando riesgos como filtraciones, pérdidas o accesos indebidos.
Contar con una política sólida no solo garantiza el cumplimiento normativo, sino que también fortalece la confianza de colaboradores, clientes y aliados estratégicos.
¿Qué es la política de protección de datos personales?
La política de protección de datos personales es el documento que establece las medidas, procedimientos y responsabilidades que una organización aplica para garantizar el tratamiento adecuado de la información personal de colaboradores, clientes, proveedores y terceros. Su objetivo es regular cómo se recopilan, almacenan, utilizan, comparten y protegen los datos personales dentro de la empresa.
En Perú, toda organización que trate datos personales está obligada a cumplir la Ley N.° 29733, Ley de Protección de Datos Personales, y las disposiciones actualizadas del Decreto Supremo N.° 016-2024-JUS. Estas normas exigen implementar mecanismos de seguridad y control que aseguren la privacidad y los derechos de los titulares de los datos.
Aunque suelen confundirse, la seguridad de la información y la protección de datos personales no son exactamente lo mismo. La seguridad de la información tiene un alcance más amplio e incluye la protección de información corporativa, financiera, técnica, digital y física frente a riesgos o accesos no autorizados. En cambio, la protección de datos personales se enfoca específicamente en resguardar la privacidad y el uso correcto de la información vinculada a personas naturales.
En la práctica, ambas áreas están estrechamente relacionadas. Por ejemplo, plataformas de gestión de personas como Buk administran información sensible vinculada a planillas, contratos, evaluaciones de desempeño, documentación laboral y datos personales de colaboradores. Por ello, contar con políticas claras de protección y seguridad de la información es clave para garantizar el cumplimiento normativo y reducir riesgos operativos y reputacionales.
¿Cuáles son los 4 pilares de la seguridad de la información?
|
Pilar |
Nombre en inglés |
¿Qué protege? |
Ejemplo en RR. HH. |
|
Confidencialidad |
Confidentiality |
Evita que personas no autorizadas accedan a información sensible. |
Restringir el acceso a planillas, contratos o evaluaciones de desempeño. |
|
Integridad |
Integrity |
Garantiza que los datos no sean alterados de forma indebida. |
Evitar modificaciones no autorizadas en sueldos o datos laborales. |
|
Disponibilidad |
Availability |
Asegura que la información esté disponible cuando se necesite. |
Mantener operativo el sistema de remuneraciones y asistencia. |
|
Autenticidad o No Repudio |
Authenticity / Non-Repudiation |
Verifica la identidad de los usuarios y la trazabilidad de acciones. |
Validar aprobaciones, firmas electrónicas y accesos a documentos laborales. |
Estos cuatro pilares de la seguridad de la información permiten proteger datos corporativos y personales frente a riesgos operativos, tecnológicos y legales. En Perú, su implementación resulta clave para cumplir la Ley N.° 29733 y fortalecer la gestión segura de información sensible dentro de las organizaciones.
¿Cuáles son los tres tipos de políticas de seguridad de TI?
Las políticas de seguridad de TI permiten establecer reglas, controles y responsabilidades para proteger la información de una organización. En la práctica, las empresas suelen implementar tres tipos principales de políticas: organizacionales, específicas por problema y específicas por sistema. Cada una cumple una función distinta dentro de la estrategia de seguridad y protección de datos.
|
Tipo de política |
Definición |
Ejemplo práctico en Perú |
|
Política organizacional(Organizational Security Policy) |
Es el marco general de seguridad que aplica a toda la empresa. Define principios, responsables, alcance y lineamientos para el tratamiento de la información. En Perú, este enfoque se relaciona directamente con el “documento de seguridad” exigido por el DS 016-2024-JUS. |
“Política corporativa de protección de datos de Empresa X — Perú, 2026”. |
|
Política específica por problema(Issue-Specific Security Policy) |
Establece reglas para situaciones o riesgos concretos, como uso de contraseñas, acceso remoto, dispositivos personales (BYOD) o manejo de correos corporativos. |
Política para el envío de información de planilla mediante correo corporativo o restricción de descarga de archivos con datos personales. |
|
Política específica por sistema(System-Specific Security Policy) |
Define controles técnicos aplicados a una plataforma, sistema o base de datos determinada. Regula permisos, autenticación, auditoría y niveles de acceso. |
Política de acceso al sistema de nómina: quién puede visualizar sueldos, quién puede modificarlos y cómo se registran los accesos o cambios realizados. |
En las empresas peruanas que gestionan datos personales de colaboradores, clientes o proveedores, estos tres tipos de políticas deben funcionar de forma integrada. No basta con contar únicamente con un documento general: también es necesario implementar controles específicos y mecanismos técnicos que permitan aplicar la política en la operación diaria.
En este contexto, soluciones HR como Buk ayudan a fortalecer la seguridad de la información mediante herramientas como Gestión Documental, Firma Electrónica y controles de acceso por roles, facilitando la administración segura de información sensible vinculada a planillas, contratos y documentación laboral.
Marco legal peruano: Ley 29733 y el nuevo DS 016-2024-JUS
El marco legal de protección de datos personales en Perú está compuesto por dos niveles normativos. El primero es la Ley N.° 29733, Ley de Protección de Datos Personales, vigente desde 2011 y que establece los principios generales para el tratamiento de información personal. El segundo corresponde a su reglamento, cuya versión más reciente es el Decreto Supremo N.° 016-2024-JUS, vigente desde el 31 de marzo de 2025.
Este nuevo reglamento derogó oficialmente al anterior Decreto Supremo N.° 003-2013-JUS, por lo que cualquier política o procedimiento basado únicamente en esa normativa quedó desactualizado. La actualización introduce nuevas exigencias orientadas a fortalecer la gestión de riesgos, la trazabilidad y la protección efectiva de los datos personales dentro de las organizaciones.
Entre las principales obligaciones incorporadas por el DS 016-2024-JUS destacan las siguientes:
- Designar un Oficial de Datos Personales (ODP): obligatorio para grandes empresas desde el 30 de noviembre de 2025. Este responsable supervisa el cumplimiento de la normativa y la gestión interna de protección de datos.
- Notificar incidentes de seguridad: las empresas deberán comunicar a la Autoridad Nacional de Protección de Datos Personales (ANPDP) cualquier incidente de seguridad que comprometa datos personales en un plazo máximo de 48 horas desde su detección.
- Contar con un documento de seguridad formal: las organizaciones deben implementar y mantener un documento que detalle las medidas técnicas, organizativas y de control aplicadas para proteger la información personal.
- Implementar procedimientos de portabilidad de datos: los titulares de datos personales podrán solicitar la transferencia de su información, y las empresas deberán contar con mecanismos para atender este derecho.
La Autoridad Nacional de Protección de Datos Personales (ANPDP), adscrita al Ministerio de Justicia y Derechos Humanos, es el organismo encargado de supervisar y fiscalizar el cumplimiento de estas disposiciones en Perú.
Para áreas de gestión humana y empresas que administran información sensible —como planillas, contratos, evaluaciones o documentación laboral— este nuevo marco regulatorio exige reforzar los controles de seguridad, trazabilidad y acceso a la información.
Multas por incumplimiento: cuánto puede costarle a tu empresa en Perú
El incumplimiento de la Ley N.° 29733 y del nuevo DS 016-2024-JUS puede generar sanciones económicas importantes para las empresas que manejan datos personales en Perú. Las multas son determinadas por la Autoridad Nacional de Protección de Datos Personales (ANPDP) según la gravedad de la infracción y el nivel de riesgo generado para los titulares de los datos.
|
Tipo de infracción |
Ejemplos de incumplimiento |
Rango (UIT) |
Monto aproximado en soles* |
|
Leve |
No inscribir el banco de datos personales o no atender solicitudes de rectificación de información. |
0.5 – 5 UIT |
S/ 2,675 – S/ 26,750 |
|
Grave |
No atender derechos ARCO, tratar datos sin consentimiento o no designar al Oficial de Datos Personales (ODP) dentro del plazo establecido. |
5 – 50 UIT |
S/ 26,750 – S/ 267,500 |
|
Muy grave |
No implementar medidas de seguridad adecuadas y exponer datos sensibles de colaboradores o clientes. |
50 – 100 UIT |
S/ 267,500 – S/ 535,000 |
*Montos referenciales calculados sobre la UIT vigente.
Más allá de la sanción económica, una filtración o mal manejo de datos personales puede generar daños reputacionales, pérdida de confianza y riesgos legales para la organización. Esto resulta especialmente crítico en áreas de recursos humanos, donde se administra información sensible como remuneraciones, contratos, evaluaciones y documentación laboral.
Por ello, las empresas no solo deben contar con una política de protección de datos personales, sino también implementar controles técnicos, trazabilidad y gestión segura de accesos. En este contexto, plataformas como Buk ayudan a fortalecer la seguridad de la información mediante permisos por roles, gestión documental y firma electrónica, facilitando el cumplimiento normativo y la protección de datos sensibles.
Cómo implementar tu política de seguridad de la información: pasos clave
Implementar una política de seguridad de la información no consiste únicamente en redactar un documento. Implica establecer procesos, controles y responsabilidades que permitan proteger los datos personales y corporativos de manera continua. En Perú, además, el nuevo DS 016-2024-JUS exige medidas concretas para garantizar el cumplimiento de la Ley N.° 29733.
1. Realiza un diagnóstico de riesgos
El primer paso es identificar qué información maneja la empresa, dónde se almacena, quién tiene acceso y cuáles son las vulnerabilidades existentes.
Esto incluye datos de colaboradores, contratos, planillas, evaluaciones, documentos financieros o bases de clientes. También es importante mapear riesgos asociados a accesos indebidos, pérdida de información, uso de dispositivos personales o filtraciones por correo electrónico.
Un diagnóstico adecuado permite definir qué medidas de seguridad son prioritarias según el nivel de exposición de la organización.
2. Define roles y responsabilidades
Toda política de seguridad debe establecer claramente quiénes son responsables de implementar, supervisar y cumplir las medidas definidas.
Con la entrada en vigencia del DS 016-2024-JUS, las grandes empresas en Perú deberán designar un Oficial de Datos Personales (ODP), encargado de supervisar el cumplimiento de la normativa y actuar como punto de contacto frente a incidentes o fiscalizaciones.
Además del ODP, áreas como TI, Legal y Recursos Humanos cumplen un rol clave en la gestión y protección de datos personales.
3. Redacta el documento de seguridad formal
El nuevo reglamento peruano exige contar con un documento de seguridad que detalle las medidas técnicas, organizativas y administrativas implementadas por la empresa.
Este documento debe incluir, como mínimo:
- Tipos de datos tratados.
- Responsables de acceso y gestión.
- Controles de seguridad implementados.
- Protocolos frente a incidentes.
- Procedimientos de respaldo y recuperación.
- Gestión de permisos y autenticación.
- Mecanismos de actualización y revisión.
Más que un requisito formal, este documento funciona como la base operativa de la estrategia de seguridad de la información.
4. Implementa controles de acceso por niveles de autorización
No todas las personas dentro de una organización deben acceder al mismo tipo de información. Por ello, es fundamental definir permisos según cargos, funciones y niveles de responsabilidad.
Esto resulta especialmente importante en áreas de RR. HH., donde se administran datos sensibles como remuneraciones, contratos y evaluaciones de desempeño.
Las empresas también deben mantener registros de auditoría que permitan identificar quién accedió, modificó o descargó determinada información y en qué momento ocurrió.
5. Establece un protocolo de gestión de incidentes
Toda organización debe contar con un procedimiento claro para responder ante filtraciones, accesos indebidos o incidentes de seguridad.
El protocolo debe contemplar:
- Detección y contención del incidente.
- Evaluación del impacto.
- Comunicación interna.
- Medidas de mitigación.
- Registro de evidencias.
- Notificación a la ANPDP en un plazo máximo de 48 horas, cuando corresponda.
Contar con un plan de respuesta permite reducir riesgos legales, operativos y reputacionales.
6. Capacita al personal de manera continua
La seguridad de la información no depende únicamente de herramientas tecnológicas. Una gran parte de los incidentes ocurre por errores humanos, malas prácticas o desconocimiento interno.
Por ello, las empresas deben capacitar periódicamente a sus colaboradores sobre:
- Manejo de datos personales.
- Uso seguro de contraseñas.
- Phishing y fraudes digitales.
- Acceso remoto.
- Gestión documental y confidencialidad.
En este proceso, el área de Recursos Humanos cumple un rol estratégico. Soluciones como Buk LMS permiten centralizar capacitaciones, asignar cursos y mantener trazabilidad sobre el cumplimiento interno de estas políticas.
7. Revisa y actualiza la política periódicamente
La seguridad de la información es un proceso continuo. Las amenazas cambian, las tecnologías evolucionan y las normativas se actualizan constantemente.
Estándares internacionales como ISO 27001:2022 recomiendan aplicar un enfoque de mejora continua y revisar las políticas de seguridad de manera periódica.
Como buena práctica, las empresas deberían actualizar sus políticas al menos una vez al año o cada vez que exista un cambio relevante en procesos, sistemas, riesgos o regulación aplicable.
Mejores prácticas de la política de seguridad de TI
Implementar una política de seguridad de TI efectiva requiere mucho más que cumplir un requisito legal. Las organizaciones necesitan aplicar controles, procesos y buenas prácticas que permitan proteger la información de forma continua y reducir riesgos operativos, legales y reputacionales.
1. Versionar y fechar el documento de seguridad
Toda política de seguridad debe contar con número de versión, fecha de aprobación y registro de última actualización. El DS 016-2024-JUS exige que el documento de seguridad permanezca vigente y actualizado frente a cambios normativos, tecnológicos u operativos.
Esto también facilita auditorías internas y trazabilidad documental.
2. Clasificar la información según su nivel de sensibilidad
No toda la información requiere el mismo nivel de protección. Por ello, es recomendable clasificar los datos según categorías como:
- Pública
- Interna
- Confidencial
- Secreta
Esta segmentación permite aplicar controles diferenciados según el nivel de riesgo y sensibilidad de la información, especialmente en áreas como RR. HH. y finanzas.
3. Implementar control de acceso basado en roles (RBAC)
El principio de mínimo privilegio establece que cada persona debe acceder únicamente a la información necesaria para realizar su trabajo.
En sistemas de planilla y gestión de personas, esto implica definir permisos específicos para visualizar, editar o aprobar información sensible como remuneraciones, contratos o datos bancarios.
Los controles de acceso por roles también permiten mantener trazabilidad y reducir riesgos de filtración interna.
4. Capacitar a todo el equipo, no solo al área de TI
El error humano continúa siendo una de las principales causas de incidentes de seguridad. Por ello, la capacitación debe involucrar a toda la organización y no limitarse únicamente al equipo técnico.
Las empresas deberían formar a sus colaboradores en temas como:
- Protección de datos personales.
- Uso seguro de contraseñas.
- Detección de phishing.
- Manejo de información confidencial.
- Buenas prácticas digitales.
En este proceso, Recursos Humanos cumple un rol estratégico en la difusión y seguimiento de estas políticas internas.
5. Revisar y revocar accesos durante el offboarding
Cuando un colaborador deja la empresa, sus accesos deben deshabilitarse inmediatamente para evitar riesgos de uso indebido de la información.
Esto incluye correo corporativo, plataformas internas, sistemas de nómina, almacenamiento en la nube y herramientas de gestión documental.
Soluciones como Buk permiten automatizar parte de este proceso mediante flujos de offboarding y gestión centralizada de permisos.
6. Cifrar datos sensibles en tránsito y en reposo
El cifrado es una de las medidas más importantes para proteger información crítica frente a accesos no autorizados o filtraciones.
Las organizaciones deberían cifrar especialmente:
- Datos de planilla.
- Información bancaria.
- Contratos laborales.
- Datos médicos o de salud ocupacional.
- Documentación confidencial de colaboradores.
El cifrado debe aplicarse tanto durante la transmisión de datos como en su almacenamiento.
7. Establecer un plan de respuesta a incidentes documentado
Las empresas no deben esperar a sufrir un incidente para definir cómo actuar. Toda política de seguridad debería incluir un protocolo formal de respuesta ante incidentes.
Este plan debe contemplar:
- Identificación del incidente.
- Contención y mitigación.
- Comunicación interna.
- Registro de evidencias.
- Recuperación operativa.
- Notificación a la ANPDP dentro del plazo de 48 horas establecido por el DS 016-2024-JUS.
8. Auditar periódicamente el cumplimiento de la política
La seguridad de la información requiere revisión constante. Auditorías periódicas permiten detectar vulnerabilidades, incumplimientos y oportunidades de mejora.
Como buena práctica, las empresas deberían realizar auditorías al menos una vez al año o frente a cambios relevantes en sistemas, procesos o normativa.
Además, estándares internacionales como ISO 27001:2022 exigen controles de revisión continua para mantener una gestión de seguridad efectiva y sostenible en el tiempo.
.webp?width=300&name=Indicadores-de-Recursos-Humanos-con-IA-en-tiempo%20(1).webp)
¡Déjanos tu comentario!