UN AÑO DE LA LEY DE DATOS PERSONALES, RETOS, PREGUNTAS Y APLICACIÓN

Transcripción

1 UN AÑO DE LA LEY DE DATOS PERSONALES, RETOS, PREGUNTAS Y APLICACIÓN

2 Germán Realpe Delgado Ceo CLOUD SEGURO, Auditor Norma ISO 27001, Consultor Lider Gesdatos Columnista Revista Enter, Asesor entidades públicas y ceo@cloudseguro.co

3

4

5

6

7 CLOUD SEGURO

8

9

10

11

12

13 SE APLICA LA LEY 1581 DE 2012, TENEMOS UNA PROTECCIÓN DE LOS DATOS PERSONALES Y SENSIBLES?

14

15

16

17

18

19

20 CLOUD SEGURO

21 CLOUD SEGURO

22

23

24

25

26 LEY DE DATOS OBLIGACIÓN LEGAL, CULTURAL Y EMPRESARIAL

27

28 Constitución Nacional, Artículo 15 HABEAS DATA Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley.

29

30 SENTENCIA FACEBOOK, Sentencia T-260/12 En la jurisprudencia constitucional, el derecho al habeas data fue primero interpretado como una garantía del derecho a la intimidad, de allí que se hablara de la protección de los datos que pertenecen a la vida privada y familiar, entendida como la esfera individual impenetrable, en la que cada cual puede realizar su proyecto de vida y en la que ni el Estado ni otros particulares pueden interferir. [ También surgió al interior de la Corte una segunda línea interpretativa que consideraba el habeas data una manifestación del libre desarrollo de la personalidad. Según esta línea, el habeas data tiene su fundamento último ( ) en el ámbito de autodeterminación y libertad que el ordenamiento jurídico reconoce al sujeto como condición indispensable para el libre desarrollo de la personalidad y en homenaje justiciero a su dignidad

31

32 CLOUD SEGURO SENTENCIA AVIANCA, Sentencia T-260/12 1. CIUDADANO NO CONFORME AVIANCA 2. AVIANCA UNA LISTA DE PASAJEROS QUE SE ABSTIENE DE TRANSPORTARLO POR UN PERIDO DE UN AÑO (26 DE MARZO DE 2012) 3. CIUDADANO TUTELA 4. DERECHO A LA INTIMIDAD Y BUENO NOMBRE, DEBIDO PROCESO, LISTA NEGRA 5. AVIANCA DICE, QUE LA INFORMACIÓN DEL PASAJERO ES DEL VIAJERO FRECUENTE, ACTOS INDEBIDOS CONTRA LA SEGURIDAD

33 CLOUD SEGURO

34 PROTECCIÓN DE DATOS HABEAS DATA, Ley 1266 de 2008 DERECHO A LA INFORMACIÓN, Derecho Fundamental DERECHO A LA INTIMIDAD, VIOLACIÓN DE DATOS PERSONALES, Delito Penal, Ley 1273 de 2009 Políticas de Seguridad o Manual de Políticas de Datos Personales LEY 1581 DE 2012, DECRETO 1377, NORMA DE DATOS PERSONALES

35 NUEVA NORMA DE PROTECCIÓN DE DATOS Protección de todas las bases de datos Control Superintendencia de Industria y Comercio Consentimiento del titular para estar en una base de datos Prueba de la autorización Mecanismos de seguridad y confidencialidad Registrar políticas de seguridad en la SUPER Multas de carácter personal e institucional, hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes

36 NUEVA NORMA DE PROTECCIÓN DE DATOS AUTORIZACIÓN DEL TITULAR Artículo 9. Autorización del titular. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.

37 LEY DE DELITOS INFORMÁTICOS LEY 1273 DE POR MEDIO DE LA CUAL SE MODIFICA EL CÓDIGO PENAL, SE CREA UN NUEVO BIEN JURÍDICO TUTELADO - DENOMINADO "DE LA PROTECCIÓN DE LA INFORMACIÓN Y DE LOS DATOS" Y SE PRESERVAN INTEGRALMENTE LOS SISTEMAS QUE UTILICEN LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES, ENTRE OTRAS DISPOSICIONES".

38 LEY DE DELITOS INFORMÁTICOS VIOLACIÓN DE DATOS PERSONALES El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes

39 SANCIONADOS VIOLACIÓN DATOS PERSONALES Según datos estadísticos del INPEC (Instituto Nacional Penitenciario y Carcelario) 58 personas han sido condenadas por el delito de violación de datos personales. De otra parte, desde el 1 de marzo de 2010 hasta el 22 de marzo de 2013, la Superintendencia de Industria y Comercio (SIC) ha impuesto 544 multas por $4.719,129,675 (US$2,556,408 aprox)

40 MANEJO DE DATOS PERSONALES INFORMACIÓN EMPRESARIAL DATOS PERSONALES Y SENSIBLES BASES DE DATOS MANEJO DIARIO DE INFORMACIÓN PERSONAL INFORMACIÓN PERSONAL NO PROTEGIDA

41 1. LAS EMPRESAS CUENTAN CON POLÍTICAS DE PROTECCIÓN DE DATOS, 2. CUENTA CON LA AUTORIZACIÓN DEL TITULAR, (EXPRESA E INFORMADA) 3. CLASIFICA Y TIENE UN INVENTARIO DE LAS BASES DE DATOS, 4. CONTROLA LA INFORMACIÓN DE SUS EMPLEADOS, 5. TIENE MECANISMOS DE SEGURIDAD PARA LA PROTECCIÓN DE DATOS 6. TIENE UN RESPONSABLE DE LA PROTECCIÓN DE DATOS 7. HA GENERADO CULTURA

42

43 NUEVA NORMA DE PROTECCIÓN DE DATOS DEBERES Artículo 17 DE LA NUEVA LEY: Los Responsables del Tratamiento deberán cumplir los siguientes deberes Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.

44 Aviso de privacidad: Documento físico, electrónico o en cualquier otro formato, generado por el Responsable, que es puesto a disposición del Titular para el Tratamiento de sus datos personales, el cual comunica al Titular la información relativa a la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del Tratamiento que se pretende dar a los datos personales.

45 POR QUÉ TENER CULTURA DE PROTECCIÓN DE DATOS EVITAR SANCIONES GENERAR BUENAS PRACTICAS PRODUCTIVIDAD, DESEMPEÑO Y SEGURIDAD OBLIGACIÓN GESTIÓN DOCUMENTAL, DECRETOS DEL AGN OBLIGACIÓN LEGAL, CULTURAL Y EMPRESARIAL LA INFORMACIÓN ES UN ACTIVO Y LA PROTECCIÓN DE DATOS ES UN CICLO EMPRESARIAL Y PERSONAL LO QUE HACEMOS CON LOS DATOS AFECTA ALGUNA PERSONA EN SU INTIMIDAD Y PRIVACIDAD

46 LEY 1581-DECRETO 1377 Establecer bases de datos personales existentes en la empresa, sector, normas especiales, normas vinculantes, y sistemas de información Políticas de seguridad de la información en la nube Información que sale de Colombia y país donde se resguarda Seguridad en la Nube Contratos de trasferencia Avisos de Privacidad Establecer Riesgos

47 DECRETO 1377 Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable. Notificar políticas-avisos de prensa-mensajes-correo electrónico

48 PREGUNTAS, RETOS Y OPORTUNIDADES DE LA LEY DE DATOS

49 RETOS Y PREGUNTAS PENDIENTE UN REGISTRO NACIONAL DE BASE DE DATOS MEDIDAS DE SEGURIDAD POR PARTE DE LA SIC DERECHO DE ACCESO, GARANTIZAR LA RECTIFICACIÓN, ACCESO, ELIMINACIÓN, ACTUALIZACIÓN DE LOS DATOS PERSONALES? SANCIONES PARA GENERAR CULTURA RETOS Y OPORTUNIDADES PARA LAS EMPRESAS,

50 QUE VIENE CULTURA DE PROTECCIÓN DE LA INFORMACIÓN Y MANEJO DE DATOS FIGURA DEL Chief Data Officer para las empresas cloud RESPONSABILIDADES CON LA LEY DE DATOS DE MANERA PERIÓDICA CUMPLIMIENTO DEL DECRETO REGLAMENTARIO REGISTRO NACIONAL BASE DE DATOS, SISI DE LA SIC NORMAS ESPECIALES POR SECTOR

51 RETOS Y PREGUNTAS PENDIENTE UN REGISTRO NACIONAL DE BASE DE DATOS MEDIDAS DE SEGURIDAD POR PARTE DE LA SIC DERECHO DE ACCESO, GARANTIZAR LA RECTIFICACIÓN, ACCESO, ELIMINACIÓN, ACTUALIZACIÓN DE LOS DATOS PERSONALES? SANCIONES PARA GENERAR CULTURA RETOS Y OPORTUNIDADES PARA LAS EMPRESAS,

52

53 @germread