Ley de Protección de Datos Personales Enfoque práctico de adecuación

Transcripción

1 Ley de Protección de Datos Personales Enfoque práctico de adecuación Enterprise Risk Services, 2015

2 Contenido 1 2 Introducción a la Privacidad y normativa en Colombia Principales conceptos y definiciones 3 Bases de datos y el RNBD 4 Autorización de los titulares 5 Medidas de protección 6 Sanciones 7 El proyecto de adaptación 8 Fuentes de interés 1

3 Introducción a la Privacidad y la normativa en Colombia 2

4 Introducción a la Privacidad y a la normativa Definición de Privacidad The right to be left alone 1890 Samuel Warren y Louis Brandeis, Tribunal Superior de Justicia, The Right to Privacy UK Calcutt Committee 1997 The right of the individual to be protected against intrusion into his personal life or affairs, or those of his family, by direct physical means or by publication of information Ability of an individual or group to seclude themselves or information about themselves and thereby reveal themselves selectively 2013 Wikipedia 3

5 Introducción a la Privacidad y a la normativa Clases de privacidad Información Corporal Territorial Comunicaciones 4

6 Introducción a la Privacidad y a la normativa Mapa legislativo mundial Canada Federal/provincial PIPEDA, FOIPPA, PIPA Emiratos árabes Ley Protección Datos Dubai Unión Europea Directiva Protección Datos EU y Leyes de los Estados Miembros Corea Sur Acto de Promoción del Uso de Información y Redes de Comunicación, y Protección de Datos Japón Acto de Protección de Información Personal US Federal GLBA, HIPAA, COPPA, Do Not Call, Safe Harbor Leyes estatales Notificación Brechas 45 estados SSN Use España Ley Orgánica de Protección de Datos Personales India Registro Nacional Do Not Call Hong Kong Ordenación Privacidad Datos Personales Taiwan Ley de Protección de Datos Personales computarizados 5 Perú Ley N de Protección de Datos Personales Sur África Acto de Comunicaciones y Transacciones Electrónicas Nota: no pretende ser un listado exhaustivo Australia Enmienda Federal de Privacidad, spam y regulaciones de privacidad Nueva Zelanda Acto de Privacidad

7 Introducción a la Privacidad y a la normativa Cronograma de la legislación Colombiana Ley Estatutaria N octubre 2012 Decreto N 1377 de junio 2013 Guía para la Implementación del Principio de Accountability Decreto N 886 de mayo

8 Principales conceptos y definiciones 7

9 Introducción a la Privacidad y a la normativa Definiciones Datos de Carácter Personal Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables Toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier tipo referida a personas físicas identificadas o identificables. En caso que estos datos estén disociados, es decir, que no se puedan relacionar con ninguna persona física, no resultará de aplicación la normativa de protección de datos.

10 Introducción a la Privacidad y a la normativa Definiciones Datos Sensibles Datos personales que afectan la intimidad del Titular o cuyo uso indebido pueda generar su discriminación Datos de la esfera más íntima de la persona. Datos biométricos; origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; características físicas, morales o emocionales; familiar; e información relacionada a la salud o a la vida sexual

11 Introducción a la Privacidad y a la normativa Definiciones Tratamiento de Datos Personales Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión Automatizado o no Extracción, consulta, registro, organización, almacenamiento, modificación, bloqueo, suspensión, difusión o cualquier otra forma de procesamiento de datos personales.

12 Introducción a la Privacidad y a la normativa Definiciones Base de Datos Personales Conjunto de datos personales que sea objeto de Tratamiento Conjunto organizado de datos personales Automatizado o no, independientemente del soporte, sea este físico, magnético, digital, óptico u otros que se cree, cualquiera que fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.

13 Introducción a la Privacidad y a la normativa Definiciones Titular Persona natural cuyos datos personales sean objeto de Tratamiento Es responsable de sus propios datos personales, debe conocer sus derechos y obligaciones Persona Natural

14 Roles y funciones 13

15 Roles y funciones Roles externos Titular Persona natural a la que corresponden los datos personales (propietario). Responsable Tratamiento Decide sobre la base de datos y/o el tratamiento de Datos Encargado Tratamiento Realiza el tratamiento por cuenta de del Responsable del Tratamiento

16 Roles y funciones Roles externos Caso 2 Caso 1 Responsable tratamiento Encargado tratamiento Responsable tratamiento Encargado tratamiento Encargado tratamiento Encargado tratamiento Titular Titular 15

17 Roles y funciones Roles externos Encargado del Tratamiento Realiza el tratamiento de los datos personales por cuenta del responsable. En ningún caso se convierte en Responsable de Tratamiento, por lo que el intercambio de datos se realiza por medio de transmisión. Debe existir un contrato Existen obligaciones en la gestión de encargados, así como obligaciones por parte de los encargados Transferencia de Datos Personales Tercero que recibe datos personales y se convierte a su vez en Responsable de Tratamiento No pueden realizarse a países que no cumplan los estándares de protección de datos personales, y debe existir autorización para la transferencia internacional Transmisión Transferencia

18 Roles y funciones Roles internos Comité LPDP Oficial de Protección de Datos Responsables de Bases de Datos Unidad ARCO 17

19 Bases de Datos y el Registro Nacional de Bases de Datos 18

20 Bases de Datos y el RNBD El Inventario de Bases de Datos Finalidad Soporte Operaciones Finalidad Tipo Titular 19

21 Bases de Datos y el RNBD Ejemplo 1 Declaración en España de los ficheros de una Entidad Bancaria, un total de

22 Bases de Datos y el RNBD Ejemplo 2 Declaración en España de los ficheros de una empresa aseguradora, un total de

23 Bases de Datos y el RNBD Ejemplo 3 Declaración en Perú de los Bancos de una empresa Retail, un total de

24 Autorización de los Titulares 23

25 Autorización de los titulares Características del consentimiento Obtención del Consentimiento del Titular de Datos Personales Principio de finalidad de uso Debe obtenerse consentimiento para todas las finalidades de uso Previo, expreso, inequívoco, informado En el caso de los datos sensibles, el tratamiento está prohibido Debe existir prueba de la autorización, consultable El titular puede revocarlo en cualquier momento No se requiere sobre las fuentes accesibles al público Regularización stock 24

26 Autorización de los titulares Métodos y canales Métodos Obtención del Consentimiento Canales 25

27 Autorización de los titulares Algunas consideraciones Clientes Clientes actuales y prospectos. Política de Tratamiento: las finalidades, canales consulta / reclamos, derechos Debe incluirse cláusula en contratos u otros documentos: reparto a domicilio, términos y condiciones via web, etc. Proveedores Debe incluirse en contratos, ordenes de compra, compromisos u otros para personas naturales y/o con negocio. Analizar condición del proveedor: encargo, transferencia, acceso. Asume responsabilidad por consentimiento de titulares de datos proporcionados o transferidos. 26 Colaboradores Debe obtenerse tanto de postulante a colaborador como de colaborador. Debe incluirse en formatos o documentos de postulación y/o en contratos,. Posibles finalidades: relación laboral, documentos y material institucional, contacto, transferencia empresa grupo, beneficios. Datos de familiares : justificados / principio de finalidad.

28 Autorización de los titulares Algunas consideraciones Video- Vigilancia Política Tratamiento Difiere según la Base de Datos Web, cookies Aviso de privacidad Control Acceso Accionistas Comunicación Externa Políticas y Privacidad 27

29 Programa Integral de Gestión de Datos Personales (PIGDP) 28

30 PIGDP Elementos del plan Adaptado a la organización Políticas efectivas Responsabilidad y cultura Lineamientos Conservación y eliminación Medidas de protección Consultas y reclamos Mejora contínua Auditoría Inventario Bases de Datos Políticas. Protocolo violaciones e incidentes. 1Compromiso, roles y funciones, reporte Procedimientos operativos Administración Riesgos Formación y educación. Autorización, principio de finalidad, calidad Identificación, medición, control, monitoreo 10 Mejora contínua 9Gestión encargados Comunicación externa

31 PIGDP Procedimientos de consulta y reclamo

32 PIGDP Algunos ejemplos de riesgos

33 Automatizados PIGDP Controles técnicos - Automatizados Control de Accesos Identificación de usuarios (usuario-contraseña, uso de certificados digitales, tokens, entre otros). Gestión de los privilegios Revisiones periódicas de permisos Procedimientos documentados, que definen los aspectos anteriores. Trazabilidad Mantenimiento de registros: usuario, hora de inicio y cierre de sesión, y acciones relevantes Gestión de las trazas: disponibilidad oportuna, almacenamiento, destrucción, transferencia. Gestión de respaldos y conservación Ambientes en los que se procese, almacene o transmita la información, considerar las recomendaciones de seguridad física y ambiental recomendadas en la NTP ISO/IEC EDI Realización de respaldo y pruebas de recuperación. Transmisión de datos Autorización del titular al envío al exterior de las instalaciones físicas. Uso del mecanismo de protección aprobado por él (cifrado, checksum, etc.)

34 No Automatizados PIGDP Controles técnicos No Automatizados Almacenamiento Los armarios / archivadores deberán encontrarse en áreas de acceso restringido. Se deben mantener cerradas. Si no fuera posible por las características del local, consultar con la Dirección General de Protección de Datos Personales (DGPDP) Copias de Documentos Las copias sólo podrán realizarse bajo el control del personal autorizado. Destrucción de las copias desechadas. Acceso a Documentos Traslado de documentos Prestación de servicios Sólo por el personal autorizado Registro de acceso en el caso de más de un usuario El acceso de otros debe quedar registrado según las indicaciones de la DGPDP. Medidas para impedir el acceso o manipulación indebidos Sólo el personal que lo requiere para el desempeño de sus funciones debe acceder a los datos de carácter personal. En el caso de personal ajeno, el contrato recogerá la prohibición de acceder a los datos personales y la obligación de secreto.

35 Sanciones 34

36 Sanciones Sanciones en Colombia Sanciones en Perú

37 Sanciones Sanciones en España

38 Sanciones Sanciones en España

39 El proyecto Por donde empezar? 38

40 El proyecto de adaptación Equipo tipo del proyecto Equipo de trabajo Áreas involucradas Áreas de negocio Procesos Legal Áreas de backoffice Tecnología Seguridad Información Sistemas de Información Auditoría Interna 39

41 El proyecto de adaptación Visión global del proceso Fases para la adaptación I. Análisis de ciclo de vida del dato III. Análisis de brecha IV. Definición del plan de adaptación V. Implementación La metodología que se presenta es fruto de una amplia experiencia en apoyar a nuestros clientes a adaptarse con éxito a los requisitos legislativos El enfoque en fases permite abordar de forma gradual y comprensible un proyecto de esta envergadura. Una de las fases clave para realizar una adaptación adecuada y razonable es la I, que trata de conocer el ciclo de vida del dato. La ley tiene impactos a nivel organizativo, legal y técnico, por lo que se requiere un equipo multidisciplinar para el despliegue del proyecto. Este proceso requiere la involucración de múltiples áreas de la compañía: negocio, áreas de administración, sistemas de información, legal, etc., por lo que es necesario que el sponsor sea el adecuado. 40

42 Deloitte se refiere a Deloitte Touche Tohmatsu, una asociación suiza, o a una o más integrantes de su red de firmas miembros, cada una de las cuales constituye una entidad separada e independiente desde el punto de vista legal. Una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus firmas miembros puede verse en el sitio web 41