Tratamiento Responsable de los Datos Personales. Pablo Alberto Malagón Torres

Transcripción

1 Tratamiento Responsable de los Datos Personales Pablo Alberto Malagón Torres Julio de 2013

2 Temas Centrales 1. Ciclo de vida del dato 2. Tratamiento del dato personal y sus riesgos 3. Sistema Integrado de Supervisión Inteligente 4. Preparándonos para el Registro Nacional de Base de Datos

3 Temas Centrales 1. Ciclo de vida del dato 2. Tratamiento del dato personal y sus riesgos 3. Sistema Integrado de Supervisión Inteligente 4. Preparándonos para el Registro Nacional de Base de Datos

4 1. Ciclo de vida del dato La Gestión de la Información, es un conjunto de procesos por los cuales se controla el ciclo de vida del dato. Los procesos también comprenden la extracción, combinación, depuración y distribución de la información a los interesados. El objetivo de la Gestión de la Información es garantizar su integridad, disponibilidad y confidencialidad.

5 1. Ciclo de vida del dato Las organizaciones que trabajan con datos como materia prima, no sólo del tipo personal, adoptan un enfoque de ciclo de vida del dato, significa reconocer cómo se produce el flujo de información en sus procesos y actividades. Identificar los procesos de obtención (por creación o captura). Transformar, usar, almacenar, transferir (circular, compartir). Eliminar o archivar (disposición final de los datos).

6 1. Ciclo de vida del dato Recolección En qué parte del procedimiento o actividad se recogen los datos. Es necesaria la recolección. Qué información se debe recolectar. Cómo se debe recolectar la información. Se asegura la calidad de los datos a la hora de la captura de los mismos. Los datos recogidos presentan sensibilidad o trazabilidad. Se necesitan autorizaciones legales para la recolección.

7 Asegurar la calidad de los datos. 1. Ciclo de vida del dato Mantenimiento y uso Qué áreas o personas utilizan los datos y tiene accesos a información acorde con sus funciones. En qué procedimientos o actividades internas se procesan los datos y si alguno de ellos requiere de la transferencia de los mismos. Depurar datos. Consolidar e integrar los datos. Generar valor agregado a partir de los datos. Medidas de seguridad o políticas de acceso. Manipular, actualizar y respaldar los datos.

8 1. Ciclo de vida del dato Supresión Cuánto tiempo se conservan los datos en la organización y cuáles son los medios para su eliminación. Circunstancias y momento en que se debe eliminar la información o la Base de Datos. Procedimientos de archivo documental medidas de seguridad. con Se eliminan datos que se requiere mantener por otras Leyes o normas. Se deben almacenar los datos eliminados con el fin de tomar medidas de prevención de solicitudes posteriores.

9 Temas Centrales 1. Ciclo de vida del dato 2. Tratamiento del dato personal y sus riesgos 3. Sistema Integrado de Supervisión Inteligente 4. Preparándonos para el Registro Nacional de Base de Datos

10 2. Tratamiento del dato personal Estadísticas Quejas presentadas por violación a las normas de protección de datos * *: Cifras a 31 de mayo de 2013 Fuente: Delegatura para la Protección de Datos Personales. SIC.

11 2. Tratamiento del dato personal Estadísticas AÑO VALOR 2010 $ $ $ * $ TOTAL $ Valor sanciones por año protección de datos $ $ $ $ $ $ $ $ $ $ * *: Cifras a 31 de mayo de 2013 Fuente: Delegatura para la Protección de Datos Personales. SIC.

12 2. Tratamiento del dato personal Estadísticas MOTIVOS DE SANCIÓN CONCEPTO PORCENTAJE Veracidad 53% Resolver los reclamos y peticiones del titular 22% Comunicación previa 11% Autorización 7% Cumplir con las instrucciones que imparta la autoridad de control 2% Informar al operador que determinada información se encuentra en por parte de su titular discusión 2% Acceso a la información por parte de los usuarios 1% Garantizar al titular la posibilidad de conocer la información que sobre él reposa. 2% Solicitar la certificación a la fuente de la existencia de la autorización otorgada por el titula 0% Realizar periódica y oportunamente la actualización y rectificación de los datos, cada vez que le reporten novedades las fuentes 0% TOTAL 100% Fuente: Delegatura para la Protección de Datos Personales. SIC.

13 2. Tratamiento del dato personal Tratamiento Para la ley 1266/2008 El ciclo comprende: recolección, tratamiento y Circulación. Dato personal: pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Para la ley 1581/2012 El ciclo (Tratamiento) es: recolección, almacenamiento, uso, circulación o supresión. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

14 2. Tratamiento del dato personal Recolección Tipos de datos personales 1266/2008: público, semiprivados y privado. 1581/2012: Sensibles. Datos trazables: Aquella combinación de datos de carácter personal que puedan llevar a la ubicación de un individuo, aumentando su exposición. Autorización previa e informada del Titular 1266/2008: Autorización y principio de finalidad. 1581/2012: Autorización del Titular y principio de finalidad. Debe existir prueba de la autorización y en un medio para posterior consulta. Temporalidad razonable y necesaria.

15 2. Tratamiento del dato personal Mantenimiento y Uso Actualización de la autorización. Políticas y herramientas de seguridad. Clasificación de la información. Transferencia. Procedimiento para realizar oportunamente la actualización, rectificación o supresión de los datos erróneos. Gestión de incidentes. Supresión Procedimientos para atender la solicitud de revocar la autorización y/o solicitud de la supresión del dato. La solicitud no se realiza cuando el titular tenga un deber legal o contractual de permanencia en la base de datos. Supresión de identidad de los Titulares.

16 Comunicación y Consulta 2. Tratamiento del dato personal Monitoreo y Revisión Análisis de Riesgos Establecer el contexto Identificar los Riesgos Analizar los Riesgos Evaluar los Riesgos Tratar el Riesgo Riesgo Inherente Mitigado por Controles de Riesgos Riesgo Neto

17 Sensible POSIBILIDAD 2. Tratamiento del dato personal Ejemplo de Matriz de Riesgos Muy Alto Alto Medio Bajo Bajo Medio Alto IMPACTO Muy Alto Trazable

18 Temas Centrales 1. Ciclo de vida del dato 2. Tratamiento del dato personal y sus riesgos 3. Sistema Integrado de Supervisión Inteligente 4. Preparándonos para el Registro Nacional de Base de Datos

19 3. Sistema Integral de Supervisión Inteligente (SISI) Elementos conceptuales Supervisión por riesgos: Es un proceso estructurado, dirigido a evaluar los riesgos a que está expuesta una organización y su sistema de gestión de riesgos, para desarrollar un perfil de riesgo, y con base en éste asignar los recursos escasos de supervisión y tomar las medidas correctivas necesarias. La supervisión por riesgos comprende: Una serie de subprocesos y actividades, que pueden ser no secuenciales, y que tienen por objetivo evaluar de manera permanente la gestión de los sujetos obligados. Una Metodología para evaluar los riesgos y controles de los sujetos obligados. Monitoreo Inspección Recopilar información Priorización Actos administrativos Proceso de Supervisión del Riesgo de Protección de Datos Personales - RPDP

20 3. Sistema Integral de Supervisión Inteligente (SISI) Recopilar información Monitoreo Priorización Inspección Actos administrativos

21 3. Sistema Integral de Supervisión Inteligente (SISI) Recopilar información Monitoreo Priorización El monitoreo presupone que se conoce el universo de vigilados y por ende, se puede realizar un análisis sobre las bases de datos registradas para conocer el ciclo de vida del dato en el vigilado. No obstante, el conocimiento de esté universo en el contexto del riesgo de protección de datos personales es una tarea muy laboriosa. Inspección Actos administrativos Por lo tanto, es clave en el monitoreo a los sujetos obligados expandir la capacidad de supervisión sobre el universo conocido y en especial en el desconocido o sujetos obligados que no se registran.

22 3. Sistema Integral de Supervisión Inteligente (SISI) Recopilar información Monitoreo Priorización Inspección Actos administrativos

23 3. Sistema Integral de Supervisión Inteligente (SISI) Recopilar información Monitoreo Priorización Inspección Actos administrativos

24 3. Sistema Integral de Supervisión Inteligente (SISI) El Riesgo Inherente es el riesgo intrínseco o propio de cada sujeto dado el impacto y posibilidad de materialización del riesgo de protección de datos personales. Recopilar información Monitoreo Priorización Inspección Actos administrativos

25 3. Sistema Integral de Supervisión Inteligente (SISI) Recopilar información Monitoreo Priorización Inspección Actos administrativos

26 3. Sistema Integral de Supervisión Inteligente (SISI) El Riesgo Neto o Residual, resulta de la relación entre el grado de materialización del Riesgo inherente y la gestión en los Controles establecidos para la mitigación del riesgo. Al final, para cada sujeto obligado se obtiene una matriz de riesgo que ilustra el nivel de Riesgo Inherente evaluado, el Control aplicado, y el Riesgo Neto de protección de datos personales. Monitoreo Recopilar información Priorización Inspección Actos administrativos

27 3. Sistema Integral de Supervisión Inteligente (SISI) Después de la Evaluación de Riesgo Neto es posible encontrar un número amplio de sujetos en el rango de riesgo Muy Alto. En este escenario, es posible afinar el interés de supervisión involucrando en el análisis algunas variables que pueden ser indicativas de problemas en la gestión del riesgo de protección de datos personales en las vigiladas. Monitoreo Recopilar información De esta manera, se obtiene un subgrupo de altísimo nivel de interés de supervisión. Priorización Extracción BD Monitoreo Inspección BD de Riesgo Neto o Residual Matriz de Riesgo Actos administrativos BD de Altísimo nivel de supervisión

28 3. Sistema Integral de Supervisión Inteligente (SISI) Recopilar información Monitoreo Priorización Inspección Actos administrativos

29 3. Sistema Integral de Supervisión Inteligente (SISI) Las medidas de supervisión son los diversos tipos de decisiones y mecanismos de adopción, que se generan por parte de la Delegatura de Protección de Datos Personales, como resultado del proceso de supervisión, con el propósito de solucionar o mitigar las situaciones de alerta detectadas previamente en un sujeto obligado, a las cuales se requiere hacer seguimiento. Monitoreo Recopilar información Los actos administrativos expresan o manifiestan la voluntad de la administración para crear, modificar o extinguir situaciones jurídicas de interés particular o general. Priorización Inspección Actos administrativos

30 Temas Centrales 1. Ciclo de vida del dato 2. Tratamiento del dato personal y sus riesgos 3. Sistema Integrado de Supervisión Inteligente 4. Preparándonos para el Registro Nacional de Base de Datos

31 4.Preparándonos para el R.N.B.D Registro Nacional de Base de Datos Directorio público de las bases de datos sujetas a tratamiento que operan en el país. Busca ser el instrumento de libre consulta al ciudadano. Control institucional de las bases de datos personales en manos de personas jurídicas y naturales. Difunde y dar publicidad a la existencia de bases de datos de carácter personal. Herramienta principal de verificación y control de la protección. Conocer: nombre de la BD, responsable del tratamiento, finalidad, flujo. tipo de información que se maneja y datos de contacto. Condiciones de seguridad con las que se realiza el tratamiento. La obligación de registrar la BD recae sobre el responsable.

32 4.Preparándonos para el R.N.B.D Recopilar información Monitoreo Priorización Inspección Actos administrativos

33 4.Preparándonos para el R.N.B.D Propuesta de datos a incorporar 1. Datos del responsable de la Base de datos 2. Canales para ejercer los derechos de: Conocer, Actualizar, Rectificar Suprimir y Revocar Datos de la oficina de contacto y trámite. Datos del Encargado del tratamiento. 3. Identificación y Finalidad de la Base de Datos Nombre de la BD. Descripción de la finalidad o finalidades. Vigencia de la BD. Registro de Incidentes de seguridad. Volumen.

34 4.Preparándonos para el R.N.B.D Propuesta de datos a incorporar 4. Tipo de dato y tratamiento Publico, Semiprivado o Privado. Sensibles, tales como: Salud, Orientación sexual, Filiación política, Étnicos / origen racial, Convicción religiosa, Datos de Menores y adolescentes, Biométricos. Trazables, tales como: documentos de identificación, registros de transacciones, localización, fotos y videos, dirección de correo, teléfono, dirección IP. Clase de base datos Sistematizada. Manual. Política de protección de datos

35 4.Preparándonos para el R.N.B.D Propuesta de datos a incorporar 4. Medidas de seguridad Niveles básico, medio y alto. Ubicación de la Base de Datos Bases de datos automatizadas y físicas. 5. Procedencia del dato Autorización del titular (Medio en que se obtuvo y causales de exoneración, en caso que aplique). 6. Transferencia de Datos Local Internacional

36 4.Preparándonos para el R.N.B.D Propuesta de datos a incorporar Controles implementados Determinar si los controles existentes son: Suficientes, efectivos y oportunos. Manuales, automáticos. Discrecionales, obligatorios. Preventivos, detectivos o correctivos. Registro de incidentes Causa del incidente. Tipo de información expuesta. Cantidad de registros. Fecha del incidente. Fecha de descubrimiento. Descripción.

37 Muchas Gracias Pablo Alberto Malagón Torres