SEGURIDAD DE LOS DATOS PERSONALES

Transcripción

1 SEGURIDAD DE LOS DATOS PERSONALES Aída Lucía Hurtado Bejarano INSTITUTO FEDERAL DE ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE DATOS - IFAI México, diciembre de 2013

2 SISI - Proceso de Supervisión del RPDP Fuentes de Información: PERFILES DE USUARIOS: Sujeto Obligado Titular REGISTRO NACIONAL DE BASES DE DATOS (RNBD) Reportes Periódicos de Operadores Servidor de Bases de Datos de la SIC BD del SISI Monitoreo Recopilar información Terceros (Entidades Oficiales) Funcionario Profesional Funcionario Directivo Mesa de ayuda Intercambio de datos con Terceros Intercambio de Información con el sistema de Trámites (Quejas, Denuncias, Actos Administrativos) Inspección Priorización Técnico (DBA y desarrolladores) Administrador funcional Resultados del Procedimiento de Inspección (Investigaciones) Diagnósticos de sectores Actos administrativos 2

3 Identificación de los riesgos asociados al tratamiento de datos personales y las variables para medirlo Identificar cada proceso de la organización donde se traten datos personales. Identificar el ciclo del dato, etapas. identificar tipos y flujo de los datos personales en cada proceso de la organización (inventario) Identificar riesgos, activos que interactúan

4 Proyección de datos a incorporar durante el proceso del RNBD Variables de riesgo a. Volumen (Personas registradas en la base de datos) b. Finalidad d. Tipo de Dato - Criticidad e. Trazabilidad (posibilidad de identificar y ubicar al titular) c. Quejas registradas d. Novedad o Alerta

5 Proyección de datos a incorporar durante el proceso del RNBD Tipo de Dato, Sistema de Tratamiento y controles a. Datos Públicos 1. Nombre 2. Cédula 3. Estado Civil 4. Otros Datos b. Datos semiprivados 1. Dato financiero 2. Dato Crediticio 3. Dato de actividad comercial 4. Otros Datos c. Datos privados 1. Celular 2. Dirección 3. Correo electrónico 4. Otros d. Datos sensibles 1. Salud 2. Orientación sexual 3. Filiación Política 4. Étnicos / Origen Racial 5. Convicción religiosa e. Otros Datos sensibles 1. Imágenes 2. Biométricos 3. Otros Datos f. Sistema de tratamiento: 1. Sistematizado 2. Manual

6 Proyección de datos a incorporar durante el proceso del RNBD Tipo de Dato, Sistema de Tratamiento y controles 2 DATOS DE IDENTIFICACIÓN Clasificación CRITICIDAD TRAZABILIDAD 2005 Datos biométricos de la persona para reconocimiento datos biométricos de la persona para verificación datos biométricos de la persona para identificación 4 3 3

7 Tipo de Dato, Sistema de Tratamiento y controles 3 DATOS DE UBICACIÓN Clasificación CRITICIDAD TRAZABILIDAD 3001 Datos de ubicación relacionados con actividad comercial o profesional de las personas como dirección teléfono o correo electrónico, entre otros Datos de ubicación personal relacionados con actividad 3002 privada de las personas como dirección teléfono o correo electrónico, entre otros. 4 DATOS SENSIBLES Datos generales relacionados con la salud de la persona, mas no con su estado de salud, como afiliación a EPS, IPS, ARL, fechas de ingreso/retiro, entre otros Datos relacionados con la salud de la persona en cuanto a medicamentos o pruebas complementarias como laboratorio, imagen, endoscópicas, patológicas, estudios, etc. Datos relacionados con la salud de la persona, que no incluye diagnósticos médicos especializados, psicológicos o psiquiátricos y/o tratamientos de algún tipo

8 Criterios de clasificación del nivel de seguridad VOLUMEN Pesos (Personas registradas) V1 (Bajo) Menos de V2 (Medio) V3 (Grande) Más de y hasta Más de y hasta V4 (Muy grande) Más de TRAZABILIDAD (posibilidad de identificar y ubicar al titular) Pesos T1 Mínima 13 T2 Moderada 28 T3 Alta 46 T4 Muy Alta 126 CRITICIDAD DEL DATO Pesos A Minima 16 B Moderada 19 C Critica 69 D Muy critica 124 FINALIDAD Pesos F1 Leve 10 F2 Normal 20 F3 Relevante 75 F4 Muy Relevante 90

9 Combinación de variables para clasificación del nivel de seguridad Combinaciones Ti V Tz F Suma Nivel 1 Bajo Primer cuartil 132 Nivel 2 Medio Segundo Cuartil 177 Nivel 3 Alto Tercer Cuartil 236 Cantidad de combinaciones 256 Valor minimo 49 Valor mxm 380

10 Proyección de datos a incorporar durante el proceso del RNBD V. CONTROLES Ha implementado o posee controles sobre los siguientes aspectos?: NIVEL 1. Cuenta con un Documento de seguridad aprobado SI NO B 2. GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SI NO B 2.1 Documentación de procesos SI NO M 2.2 Asignación de responsabilidades y autorizaciones SI NO M 2.3 Responsable de información SI NO M 2.4 Clasificación de la información SI NO M 2.5 Acuerdos de confidencialidad SI NO B 2.6 Tercerización de servicios SI NO B 3. ACTIVOS DE INFORMACIÓN SI NO B 3.1 Identificación SI NO M 3.2 Uso SI NO M 4. RECURSO HUMANO SI NO B 4.1 Durante el proceso de contratación SI NO B 4.2 Durante la ejecución de la labor de tratamiento SI NO B 4.3 Finalizado el contrato SI NO B

11 Estrategias a implementar que faciliten el cumplimiento del responsable en materia de seguridad de los datos personales Iniciar con empresas estructuradas que manejen conceptos de calidad y enfoque en procesos Capacitación a pequeños empresarios en materia de procesos Irradiar con los encargados

12 Cómo establecer el mínimo a cumplir por un responsable en el tema de seguridad de los datos personales, y la relación con su capacidad organizacional. P H A V

13 Planear: Políticas y procedimientos Hacer: cotidianidad, planes corto plazo y para implementar medidas de seguridad faltantes. Verificar: Revisiones - auditoría, respecto a la política, alcance y objetivos. Actuaciones frente a incidentes de seguridad. Actuar: Mejora continua y entrenamiento o capacitación del personal, acciones correctivas y preventivas y actualización permanente del sistema de gestión.

14 La capacidad de cumplimiento del Responsable en el tema de seguridad de los datos personales, se debe medir, no por la estructura organizacional, sino por el derecho del titular para la protección de sus datos personales 09/12/

15 Gracias 09/12/