~L

••••~•wa••G•u••~w•••••~a••"•~••·
FÉLIX PINO FIGUEROA
SECRETARIO DEL CONSEJO PE MINISTROS

<Decreto de Urqencia
Nº 007 -2020

DECRETO DE URGENCIA QUE APRUEBA EL MARCO DE CONFIANZA DIGITAL Y

DISPONE MEDIDAS PARA SU FORTALECIMIENTO

EL PRESIDENTE DE LA REPÚBLICA

CONSIDERANDO:

Que, de conformidad con el artículo 135 de la Constitución Política del Perú,

durante el interregno parlamentario, el Poder Ejecutivo legisla mediante decretos de
urgencia de los que da cuenta a la Comisión Permanente para que los examine y los
eleve al Congreso, una vez que éste se instale;

Que, mediante Decreto Supremo Nº 165-2019-PCM, Decreto Supremo que

disuelve el Congreso de la República y convoca a elecciones para un nuevo
Congreso, se revocó el mandato parlamentario de los congresistas, manteniéndose en
funciones la Comisión Permanente;

Que, mediante Decreto Legislativo Nº 1412, Decreto Legislativo que aprueba la

Ley de Gobierno Digital, se establece un marco de gobernanza del gobierno digital
para la adecuada gestión de la identidad digital, servicios digitales, arquitectura digital,
interoperabilidad, seguridad digital y datos, así como el régimen jurídico aplicable al
uso transversal de tecnologías digitales en la digitalización de procesos y prestación
de servicios digitales por parte de las entidades de la Administración Pública en los
tres niveles.de gobierno;

Que, el artículo 30 del precitado Decreto Legislativo define la Seguridad Digital

como el estado de confianza en el entorno digital que resulta de la gestión y aplicación
de un conjunto de medidas proactivas y reactivas frente a los riesgos que afectan la
seguridad de las personas, la prosperidad económica y social, la seguridad nacional y
los objetivos nacionales en dicho entorno. Se sustenta en la articulación con actores
, del sector público, sector privado y otros quienes apoyan en la implementación de
controles, acciones y medidas;

Que, asimismo, el artículo 33 del referido Decreto Legislativo, establece que la

Seguridad de la Información se enfoca en la información, de manera independiente de
su formato y soporte. La seguridad digital se ocupa de las medidas de la seguridad de
la información procesada, transmitida, almacenada o contenida en el entorno digital,
procurando generar confianza, gestionando los riesgos que afecten la seguridad de las
personas y la prosperidad económica y social en dicho entorno;

Que, mediante Decreto Supremo Nº 237-2019-EF, se aprueba el Plan Nacional

de Competitividad y Productividad, el cual presenta un conjunto de medidas
· consensuadas entre el sector público y privado con miras a establecer un entorno
 )"~¿;rAL
...•. ;iit"""""''"'""'.,"''"'..," .••••••••.•••••• ca'111-,a1.•~•••
r-tux PINO FIGUEROA
· ".' ,;'J ~EL CONSEJO DE MINISTROS

favorable y competitivo que permita gene;ar bienestar para todos los peruanos sobre
la base de un crecimiento económico sostenible con enfoque territorial;

Que, del precitado Plan Nacional se entiende que las tecnologías digitales_
tienen un valor estratégico para reducir brechas, impulsar la innovación y apoyar en el
crecimiento del país; más aún, señala que los cambios tecnológicos por los cuales
atraviesa el mundo actual serían mucho más fáciles de adoptar si es que realizamos
una transformación digital a lo largo del país;

Que, mediante Decreto Supremo Nº 086-2015-PCM se declara de interés

nacional las acciones, actividades e iniciativas desarrolladas en el marco del proceso
de vinculación del Perú con la Organización para la Cooperación y el Desarrollo
Económicos (OCDE) e implementación del Programa País, en esa línea, cobra
relevancia las Recomendaciones para la Gestión de Riesgos de Seguridad Digital
realizadas por la OCDE, entre las cuales se señala la importancia del establecimiento
de Equipos de Respuestas a Incidentes de Seguridad Digital a nivel de los Estados;
Que, en el documento Gobierno Digital en el Perú "Trabajando con los
ciudadanos" la OCDE señala como recomendación que el Estado Peruano debe
"considerar establecer un Centro Nacional de Seguridad Digital" que busque articular
acciones con los actores relevantes para gestionar incidentes de seguridad digital y
fortalecer la confianza;
Que, la confianza digital es un estado que emerge como resultado de cuan
veraz, predecible, seguro y confiable son las interacciones digitales que se generan
entre personas, empresas, entidades públicas o cosas en el entorno digital. La
confianza digital es un componente de la Transformación Digital y tiene como ámbitos
la protección de datos, transparencia, seguridad digital y protección del consumidor en
el entorno digital;

Que, ante ello como parte de nuestro proceso de vinculación, resulta necesario
dictar medidas en materia de confianza y seguridad digital, estableciendo los
mecanismos de colaboración. y articulación con actores públicos, privados y sociedad
civil en el. entorno digital, a través de un enfoque sistémico e integral que asegure el
fortalecimiento de la confianza en los servicios digitales por las personas, entidades y
sociedad en general;

~.Lll En uso de las facultades conferidas por el artículo 135 de la Constitución

~ .,f.:t~, Política del Perú;
G9'0,¡t-~!,.~

Con el voto aprobatorio del Consejo de Ministros; y,

Con cargo a dar cuenta a la Comisión Permanente para que lo examine y lo

eleve al Congreso, una vez que éste se instale:

DECRETA:
CAPÍTULO 1
DISPOSICIONES GENERALES

Artículo 1. Objeto
El presente Decreto de Urgencia tiene por objeto establecer las medidas que
resultan necesarias para garantizar la confianza de las personas en su interacción con
los servicios digitales prestados por entidades públicas y organizaciones del sector
privado en el territorio nacional.
 ~l-U~ Gfm,1TJAL

----------$·---~-------~~ª~-~--·
FÉLIX PINO FIGUEROA
SECRETARIO DEL CONSEJO DE MINISTROS

<Decreto cíe Vrgencia

Artículo 2. Alcance
Las normas y procedimientos que rigen la materia de Confianza Digital son
aplicables a las entidades establecidas en el artículo I del Título Preliminar del Texto
Único Ordenado de la Ley Nº 27444, Ley del Procedimiento Administrativo General,
aprobado mediante Decreto Supremo N° 004-2019-JUS, y, a las organizaciones de la
sociedad civil, ciudadanos, empresas y academia.

Artículo 3. Definiciones
Para la aplicación del presente Decreto de Urgencia se establece las siguientes
definiciones:

a) Confianza Digital.- Es el estado que emerge como resultado de cuán veraces,

predecibles, éticas, proactivas, transparentes, seguras, inclusivas y confiables
son las interacciones digitales que se generan entre personas, empresas,
entidades públicas o cosas en el entorno digital, con el propósito de impulsar el
desarrollo de la economía digital y la transformación digital. Es un componente
de la transformación digital y tiene como ámbitos la protección de datos
personales, la ética, la transparencia, la seguridad digital y la protección del
consumidor en el entorno digital.
b) Economía digital.- Es la innovación y la transformación de la economía
basada en el uso estratégico y disruptivo de las tecnologías digitales.
Desarrolla la capacidad de incrementar la eficiencia, productividad,
transparencia, seguridad y eficacia de los procesos y actividades económicas y
sociales, sustentada en el uso intensivo de tecnologías digitales, redes de
· datos o comunicación y plataformas digitales. Conlleva a la generación de
beneficios económicos y sociales, prosperidad y bienestar para.la.sociedad.
c) Entorno Digital.- Es el dominio o ámbito habilitado por las tecnologías y
dispositivos digitales, generalmente interconectados a través de redes e
infraestructuras de datos o comunicación, incluyendo el Internet, que soportan
los procesos, servicios, plataformas que sirven como base para la interacción
entre personas, empresas, entidades públicas o dispositivos.
d) Actividad crítica.- Es la actividad económica y/o social cuya interrupción tiene
graves consecuencias en la salud y seguridad de los ciudadanos, en el ·
funcionamiento efectivo de los servicios esenciales que mantienen la
economía, sociedad y el gobierno, o afectan la prosperidad económica y social
en general.
e) Incidente de seguridad digital.- Evento o serie de eventos que pueden
comprometer la confianza, la prosperidad económica, la protección de las
personas y sus datos personales, la información, entre otros activos de la
organización, a través de tecnologías digitales.
f) Gestión de incidentes de seguridad digital.- Proceso formal que tiene por
finalidad planificar, preparar, identificar, analizar, contener, investigar incidentes
de seguridad digital, así como la recuperación y la determinación de acciones
correctivas para prevenir incidentes similares.
 [~
· vU
i;.;--,·,-r. ,--1E1
~,-J
_,_ -·1r
Cl. 1 ;~'AL
..

~~•~o~•n~•DNWa•~m•m•~n•aun~~~~-·

FÉUX PINO FIGUEROA

SECPEíARIO DEL CONSE,10 DE MINISTROS

g) Riesgo de seguridad digital.- Efecto de la incertidumbre relacionada con el

uso, desarrollo y gestión de las tecnologías digitales y datos, en el curso de
cualquier actividad. Resulta de la combinación de amenazas y vulnerabilidades
en el entorno digital y es de naturaleza dinámica. Puede socavar el logro de los
objetivos económicos y sociales al alterar la confidencialidad, integridad y
disponibilidad de las actividades o el entorno, así como poner en riesgo la
protección de la vida privada de las personas. Incluye aspectos relacionados
con los entornos físicos y digitales, las actividades críticas, las personas y
organizaciones involucradas en la actividad y los procesos organizacionales
que la respaldan.
h) Ciberseguridad.- Capacidad tecnológica de preservar el adecuado
funcionamiento de las redes, activos y sistemas informáticos y protegerlos ante
amenazas y vulnerabilidades en el entorno digital. Comprende la perspectiva
técnica de la Seguridad Digital y es un ámbito del Marco de Seguridad Digital
del país.
i) Servicio digital.- Es aquel servicio provisto de forma total o parcial a través de
Internet u otras redes equivalentes, que se caracteriza por ser parcial o
totalmente automatizado y utilizar de manera intensiva las tecnologías digitales
y datos, permitiendo, al menos una de las siguientes prestaciones: i) Adquirir
un bien, servicio, información o contenido, ii) Buscar, compartir, usar y acceder
a datos, contenido o información sobre productos, servicios o personas, iii)
Pagar un servicio o bien (tangible o intangible) y, iv) El relacionamiento entre
personas.
j) Proveedor de servicios digitales.- Comprende a cualquier entidad pública u
organización del sector privado, independientemente de su localización
geográfica, que sea responsable por el diseño, prestación y/o acceso a
servicios digitales en el territorio nacional.

CAPÍTULO 11
MARCO DE CONFIANZA DIGITAL
Artículo 4. Marco de Confianza Digital
4.1 El Marco de Confianza Digital se constituye en el conjunto de principios,
modelos, políticas, normas, procesos, roles, personas, empresas, entidades públicas,
tecnologías y estándares mínimos que permiten asegurar y mantener la confianza en
el entorno digital.

4.2 El Marco de Confianza Digital tiene los siguientes ámbitos:

a) Protección de datos personales y transparencia.- El Ministerio de
Justicia y Derechos Humanos (MINJUSDH), quien ejerce las
autoridades nacionales de Transparencia, Acceso a la información
Pública y Protección de Datos Personales, en el marco de sus funciones
y competencias, norma, dirige, supervisa y evalúa la materia '\de
transparencia y protección de datos personales. ·
b) Protección del consumidor.- El Instituto Nacional de Defensa de la
Competencia y de la Protección de la Propiedad Intelectual
(INDECOPI), en el marco de sus funciones y competencias, norma,
dirige, supervisa y evalúa la materia de protección al consumidor.
c) Seguridad Digital.- La Presidencia del Consejo de Ministros (PCM), a
través de la Secretaría de Gobierno Digital, en su calidad de ente rector
de seguridad digital en el país, norma, dirige, supervisa y evalúa la
materia de seguridad digital.

s
 <Decreto de Urqencia
Artículo 5. Ente rector del Marco de Confianza Digital
La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno
Digital, es el ente rector en materia de Confianza Digital y responsable de la
articulación de cada uno de sus ámbitos.
Artículo 6. Atribuciones del Ente rector
la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno
Digital, en su calidad de ente rector de la Confianza Digital, tiene las siguientes
funciones:

a) Formular, articular y dirigir la estrategia de Confianza Digital a nivel

nacional, y supervisar su cumplimiento.
b) Emitir lineamientos, estándares, especificaciones, guías, directivas, normas
técnicas y estándares en materia de Confianza digital, sin que ello afecte el
equilibrio económico financiero de los proyectos digitales.
c) Evaluar las necesidades de las entidades públicas, organizaciones privadas
y personas en materia de Confianza Digital.
d) Articular acciones y medidas para la implementación de la estrategia de
Confianza Digital a nivel nacional con actores del sector público, sector
privado, sociedad civil, academia y otros interesados, así como promover
reconocimientos.
e) Mantener informado al Presidente del Consejo de Ministros sobre los
resultados y avances de la Confianza Digital en el país y los incidentes de
seguridad digital notificados en el Centro Nacional de Seguridad Digital
cuando corresponda.

Dichas funciones se ejercen sin afectar las autonomías y atribuciones de cada

sector en el marco de sus competencias.

Artículo 7. Centro Nacional de Seguridad Digital

7.1 Créase el Centro Nacional de Seguridad Digital como una plataforma digital
que gestiona, dirige, articula y supervisa la operación, educación, promoción,
colaboración y cooperación de la Seguridad Digital a nivel nacional como componente
integrante de la seguridad nacional, a fin de fortalecer la confianza digital. Asimismo,
es responsable de identificar, proteger, detectar, responder, recuperar y recopilar
información sobre incidentes de seguridad digital en el ámbito nacional para
gestionarlos.

7.2 El Centro Nacional de Seguridad Digital se encuentra a cargo de la

Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, y
es el único punto de contacto nacional en las comunicaciones y coordinaciones con
otros organismos, centros o equipos nacionales e internacionales de similar
naturaleza.

(o
 E)C~~ l~iGi:~AL
;.~<'><OIP •>>I> ••• r.'> l't"' ..,.,. ""~""'~""""""'B •• <Mnu.., ••'\..,.~ •••• ,
f!~UX PINO F:GUEROA
: [CREll,RiO Dt:L CONSEJO [JE ~;INISTROS

7.3 El Centro Nacional de Seguridac! Digital constituye el mecanismo de

intercambio de información y articulación de acciones con los responsables de los
ámbitos del Marco de Seguridad Digital del Estado Peruano, de conformidad con el
artículo 32 del Decreto Legislativo Nº 1412, Decreto Legislativo que aprueba la Ley de
Gobierno Digital.

7.4 El Centro Nacional de Seguridad Digital incorpora al Equipo de Respuesta

a Incidentes de Seguridad Digital Nacional responsable de: i) Gestionar la respuesta
y/o recuperación ante incidentes de seguridad digital en el ámbito nacional y, ii)
Coordinar y articular acciones con otros equipos de similar naturaleza nacionales e
internacionales para atender los incidentes de seguridad digital

7.5 La Secretaría de Gobierno Digital establece los protocolos de escalamiento,

coordinación, intercambio y activación ante incidentes de seguridad digital en el país y
emite los lineamientos y las directivas correspondientes.

CAPÍTULO 111
MEDIDAS PARA FORTALECER LA CONFIANZA DIGITAL

Artículo 8. Registro Nacional de Incidentes de Seguridad Digital

8.1 Créase el Registro Nacional de Incidentes de Seguridad Digital que tiene
por objetivo recibir, consolidar y mantener datos e información sobre los incidentes de
seguridad digital reportados por los proveedores de servicios digitales en el ámbito
nacional que puedan servir de evidencia o insumo para su análisis, investigación y
solución.

8.2 El Registro Nacional de Incidentes de Seguridad Digital y la información

contenida en el mismo tiene carácter confidencial, se soporta en una plataforma digital
administrada por la Secretaría de Gobierno Digital, quien es responsable de. su
disponibilidad, confidencialidad e integridad.

8.3 El Centro Nacional de Seguridad Digital brinda información sobre los

registros de incidentes de seguridad digital, a los responsables de los ámbitos del
e,'dN~c - Marco de Seguridad Digital, de conformidad con el artículo 32 del Decreto Legislativo
0
~ o Nº 1412, y del Marco de Confianza Digital debiendo observar para tal efecto la
~normatividad
z
vigente en materia de protección de datos personales.
~ . (.?
'.7~_¡;
~-<:P'~o Artículo 9. Obligaciones del Proveedor de servicios digitales
9.1 Las entidades de la administración pública, los proveedores de servicios
digitales del sector financiero, servicios básicos (energía eléctrica, agua y gas), salud y
transporte de personas, proveedores de servicios de internet, proveedores · de
actividades críticas y de servicios educativos, deben:
::.,,
a) Notificar al Centro Nacional de Seguridad Digital todo incidente ·d"~
seguridad digital.
b) Implementar medidas de seguridad física, técnica, organizativa y legal que
permitan garantizar la confidencialidad del mensaje, contenido e
información que se transmiten a través de sus servicios de comunicaciones.
c) Gestionar los riesgos de seguridad digital en su organización con fines de
establecer controles que permitan proteger la confidencialidad, integridad y
disponibilidad de la información.
 l,t;~~~-,2f ~:,°Ríon
••w•••~•••m••~••••••n•••~-~-~~-·
FÉLIX PINO FIGUEROA
S<::CRETARIO DEL CONSEJO DE MINISTROS

Decreto de Urqencia
d) Establecer mecanismos para verificar la identidad de las personas que
acceden a un servicio digital, conforme al nivel de riesgo del mismo y de
acuerdo a la normatividad vigente en materia de protección de datos
personales.
e) Reportar y colaborar con la autoridad de la protección de datos personales
cuando verifiquen un incidente de seguridad digital que involucre datos
personales.
f) Mantener una infraestructura segura, escalable e interoperable.

9.2 Las organizaciones privadas toman como referencia las normas emitidas
por la Secretaría de Gobierno Digital en cuanto les aplique y les genere valor e
implementan de forma obligatoria aquellas que prevengan afectación a los derechos
de las personas.

9.3 Las entidades de la administración pública deben implementar un Sistema

de Gestión de Seguridad de la Información (SGSI), un Equipo de Respuestas ante
Incidentes de Seguridad Digital cuando corresponda y cumplir con la regulación
emitida por la Secretaría de Gobierno Digital.

9.4 Toda actividad crítica debe estar soportada en una infraestructura segura,
disponible, escalable e interoperable .

. Artículo 1 O. Articulación internacional

La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros
coordina con el Ministerio de Relaciones Exteriores las acciones vinculadas a la
política exterior que contribuyan a fortalecer la confianza en el entomo.díqttal cuando
corresponda y en el marco de s_us competencias.

Artículo 11. Articulación en Materia de Comunicaciones

La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros
coordina con el Ministerio de Transportes y Comunicaciones las acciones vinculadas a
, la materia de comunicaciones en el marco de sus competencias.

CAPÍTULO IV
USO ÉTICO DE LAS TECNOLOGIAS DIGITALES Y DE LOS DATOS

Artículo 12. Datos como activos estratégicos

12.1 Las entidades públicas y las organizaciones del sector privado administran
los datos, en especial los datos personales, biométricos y espaciales, como activos
estratégicos, garantizando que estos se generen, compartan, procesen, accesen,
publiquen, almacenen, conserven y pongan a disposición durante el tiempo que sea
necesario y cuando sea apropiado, considerando las necesidades de información, uso
ético, transparencia, riesgos y el estricto cumplimiento de la normatividad en materia
de protección de datos personales, gobierno digital y seguridad digital.
 12.2 Las entidades públicas y las organizaciones del sector privado prómueven
y aseguran el uso ético de tecnologías digitales, el uso intensivo de datos, como
internet de las cosas, inteligencia artificial, ciencia de datos, analítica y procesamiento
de grandes volúmenes de datos.

12.3 El tratamiento de datos personales debe cumplir la legislación de la

materia emitida por la Autoridad Nacional de Protección de Datos Personales.

Artículo 13. Centro Nacional de Datos

13.1 Créase el Centro Nacional de Datos como una plataforma digital que
gestiona, dirige, articula y supervisa la operación, educación, promoción, colaboración
y cooperación de datos a nivel nacional, a fin de fortalecer la confianza y bienestar de
las personas en el entorno digital en el marco de la presente norma.

13.2 El Centro Nacional de Datos se encuentra a cargo de la Presidencia del

Consejo de Ministros, a través de la Secretaría de Gobierno Digital y es el único punto
de contacto nacional en las comunicaciones y coordinaciones con otros organismos,
centros o equipos nacionales e internacionales de similar naturaleza.

13.3 El Centro Nacional de Datos intercambia información y articula acciones

con las entidades públicas, academia, sociedad civil y sector privado y con las
entidades responsables de los ámbitos del Marco de Confianza Digital para la
gobernanza de datos.

13.4 La Secretaría de Gobierno Digital, en su calidad de ente rector en

gobernanza de datos, establece los protocolos y mecanismos en materia de gobierno
de datos y emite los lineamientos y las directivas correspondientes.

Artículo 14. Financiamiento

, c,'()'N~~ La implementación de lo establecido en el presente Decreto de Urgencia se
~ ,,p,,- 1~~ financia con cargo al presupuesto institucional de las entidades involucradas, sin
! demandar recursos adicionales al Tesoro Público.
;J
'-0 Artículo 15. Refrendo
El presente Decreto de Urgencia es refrendado por el Presidente del Consejo
de Ministros y la Ministra de Justicia y Derechos Humanos.

DISPOSICIONES COMPLEMENTARIAS FINALES

PRIMERA. Reglamentación
El Poder Ejeéutivo, dentro de los noventa (90) días hábiles siguientes a la
entrada en vigencia de la presente norma, aprueba su reglamento mediante Decreto
Supremo refrendado por el Presidente del Consejo de Ministros.

SEGUNDA. Registro Nacional de Incidentes de Seguridad Digital

En un plazo no mayor a noventa (90) días hábiles, posterior a la publicación del
presente Decreto de Urgencia, la Presidencia del Consejo de Ministros implementa el
Registro Nacional de Incidentes de Seguridad Digital y dicta normas, lineamientos y
directivas para su correcto funcionamiento.
 l:·~U~DiO
e••~-"•••~~»•••••••~--~w•~-1~•·
FÉLIX PINO FIGUEROA
SCGRETi\~IO DEL CONSEJO DE MINISTROS

<Decreto de Urqencia
TERCERA. Gestión e Impulso de la Red Nacional de Estado Peruano
(REDNACE) y la Red Nacional de Investigación y Educación (RNIE)
La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno
Digital, se encarga de la gestión e impulso de la Red Nacional de Estado Peruano
(REDNACE) y la Red Nacional de Investigación y Educación (RNIE) a las que se
refiere la Ley Nº 29904 a fin de coadyuvar al logro de las políticas nacionales, el
fortalecimiento de una sociedad digital y la transformación digital del Estado. La
contratación de los servicios para la conectividad de la REDNACE es realizada por
cada entidad de la Administración Pública, de conformidad con lo dispuesto en el
artículo 19 de dicha Ley.

CUARTA. Aplicación de la Norma

La presente norma se aplica a los proyectos de asociación público privada,
contratos de concesión, proyectos incorporados al proceso de promoción de la
inversión privada u otros proyectos y plataformas sobre transformación digital que se
diseñen, inicien o gestionen a partir de la entrada en vigencia de la misma.

Dado en la Casa de Gobierno, en Lima, a los ocho días del mes de enero
del año dos mil veinte.

. .
ANA TERESA JlEVILLA VERGARA
Ministra de Juslléia\- Derechos Humanos

. . . ., i
Mf.\ffi"!N ALF!ER ~ Vl!Ci~RR.l\ CGRNEJ(
.
Preside e de la República