©2015 Deloitte

Ley de Protección de Datos

Personales

Enterprise Risk Services, 2015

Enfoque práctico de adecuación

Contenido

1

1Introducción a la Privacidad y

normativa en Colombia

2Principales conceptos y

definiciones

3 Bases de datos y el RNBD

4 Autorización de los titulares

5 Medidas de protección

6 Sanciones

7 El proyecto de adaptación

8 Fuentes de interés

2

Introducción a la

Privacidad y la

normativa en

Colombia

©2015 Deloitte3

Introducción a la Privacidad y a la normativaDefinición de Privacidad

“The right to be left alone”

“Ability of an individual or

group to seclude themselves

or information about

themselves and thereby reveal

themselves selectively”

“The right of the individual to be

protected against intrusion into his

personal life or affairs, or those of his

family, by direct physical means or

by publication of information”

UK Calcutt Committee

1997

1890

Samuel Warren y Louis

Brandeis, Tribunal Superior

de Justicia, “The Right to

Privacy”

2013

Wikipedia

©2015 Deloitte4

Introducción a la Privacidad y a la normativaClases de privacidad

Información Corporal

Territorial Comunicaciones

Información Corporal

ComunicacionesTerritorial

©2015 Deloitte

Perú

Ley N° 29733 de

Protección de Datos

Personales

5

Introducción a la Privacidad y a la normativaMapa legislativo mundial

Canada Federal/provincial

PIPEDA, FOIPPA, PIPA

US Federal

GLBA, HIPAA, COPPA, Do

Not Call, Safe Harbor

Leyes estatales

Notificación Brechas 45 estados

SSN Use

Unión Europea

Directiva Protección Datos EU

y Leyes de los Estados

Miembros

España

Ley Orgánica de

Protección de Datos

Personales

Emiratos árabes

Ley Protección Datos

Dubai

Corea Sur

Acto de Promoción del

Uso de Información y

Redes de Comunicación,

y Protección de Datos

Japón

Acto de Protección de

Información Personal

Hong Kong

Ordenación

Privacidad Datos

Personales

Taiwan

Ley de Protección de

Datos Personales

computarizados

Australia

Enmienda Federal de

Privacidad, email spam

y regulaciones de

privacidad

Nueva Zelanda

Acto de Privacidad

India

Registro Nacional

Do Not Call

Sur África

Acto de Comunicaciones

y Transacciones

Electrónicas

Nota: no pretende ser un listado exhaustivo

©2015 Deloitte

Introducción a la Privacidad y a la normativaCronograma de la legislación Colombiana

6

Ley Estatutaria N° 1581

Decreto N° 1377 de 2013

Decreto N° 886 de 2014

Guía para la Implementación del Principio de Accountability

17 octubre

2012

27 junio

2013

13 mayo

2014

2015

7

Principales conceptos

y definiciones

©2015 Deloitte

“Cualquier información vinculada o que pueda asociarse a una o varias

personas naturales determinadas o determinables”

Toda información numérica, alfabética, gráfica, fotográfica, acústica o de

cualquier tipo referida a personas físicas identificadas o identificables.

En caso que estos datos estén disociados, es decir, que no se puedan relacionar

con ninguna persona física, no resultará de aplicación la normativa de protección

de datos.

Datos de Carácter

Personal

Introducción a la Privacidad y a la normativaDefiniciones

©2015 Deloitte

“Datos personales que afectan la intimidad del Titular o cuyo uso indebido

pueda generar su discriminación”

Datos de la esfera más íntima de la persona.

Datos biométricos; origen racial y étnico; ingresos económicos, opiniones o

convicciones políticas, religiosas, filosóficas o morales; afiliación sindical;

características físicas, morales o emocionales; familiar; e información relacionada

a la salud o a la vida sexual

Datos Sensibles

Introducción a la Privacidad y a la normativaDefiniciones

©2015 Deloitte

“Cualquier operación o conjunto de operaciones sobre datos personales, tales

como la recolección, almacenamiento, uso, circulación o supresión”

Automatizado o no

Extracción, consulta, registro, organización, almacenamiento, modificación,

bloqueo, suspensión, difusión o cualquier otra forma de procesamiento de datos

personales.

Tratamiento de Datos

Personales

Introducción a la Privacidad y a la normativaDefiniciones

©2015 Deloitte

“Conjunto de datos personales que sea objeto de Tratamiento”

Conjunto organizado de datos personales

Automatizado o no, independientemente del soporte, sea este físico, magnético,

digital, óptico u otros que se cree, cualquiera que fuere la forma o modalidad de

su creación, formación, almacenamiento, organización y acceso.

Base de Datos

Personales

Introducción a la Privacidad y a la normativaDefiniciones

©2015 Deloitte

Persona Natural

“Persona natural cuyos datos personales sean objeto de Tratamiento”

Es responsable de sus propios datos personales, debe conocer sus derechos y

obligacionesTitular

Introducción a la Privacidad y a la normativaDefiniciones

13

Roles y funciones

©2015 Deloitte

Roles y funcionesRoles externos

Titular

• Persona natural a la que corresponden los datos personales (propietario).

Responsable Tratamiento

• Decide sobre la base de datos y/o el tratamiento de Datos

Encargado Tratamiento

• Realiza el tratamiento por cuenta de del Responsable del Tratamiento

©2015 Deloitte15

Titular

Responsable

tratamiento

Encargado

tratamiento

Encargado

tratamiento

Encargado

tratamiento

Encargado

tratamiento

Responsable

tratamiento

Caso 1

Caso 2

Titular

Roles y funcionesRoles externos

©2015 Deloitte

Realiza el tratamiento de los datos personales por cuenta del responsable.

En ningún caso se convierte en Responsable de Tratamiento, por lo que el

intercambio de datos se realiza por medio de transmisión.

Debe existir un contrato

Existen obligaciones en la gestión de encargados, así como obligaciones por parte de

los encargados

Encargado del

Tratamiento

Tercero que recibe datos personales y se convierte a su vez en Responsable de

Tratamiento

No pueden realizarse a países que no cumplan los estándares de protección de datos

personales, y debe existir autorización para la transferencia internacional

Transferencia de

Datos Personales

Roles y funcionesRoles externos

Transmisión

Transferencia

©2015 Deloitte17

Roles y funcionesRoles internos

Comité LPDP

Oficial de Protección de

Datos

Responsables de Bases de Datos

Unidad ARCO

18

Bases de Datos y el

Registro Nacional de

Bases de Datos

©2015 Deloitte19

Bases de Datos y el RNBDEl Inventario de Bases de Datos

Finalidad Soporte

Tipo Titular

Finalidad

Operaciones

©2015 Deloitte20

Bases de Datos y el RNBDEjemplo 1

Declaración en España de

los ficheros de una

Entidad Bancaria, un total

de 19.

©2015 Deloitte21

Bases de Datos y el RNBDEjemplo 2

Declaración en España de

los ficheros de una

empresa aseguradora, un

total de 14.

©2015 Deloitte22

Bases de Datos y el RNBDEjemplo 3

Declaración en Perú de los

Bancos de una empresa

Retail, un total de 11.

23

Autorización de los

Titulares

©2015 Deloitte24

Autorización de los titularesCaracterísticas del consentimiento

Principio de finalidad de uso

Debe obtenerse consentimiento para todas las finalidades de uso

Previo, expreso, inequívoco, informado

En el caso de los datos sensibles, el tratamiento está prohibido

Debe existir prueba de la autorización, consultable

El titular puede revocarlo en cualquier momento

No se requiere sobre las fuentes accesibles al público

Regularización stock

Obtención del

Consentimiento del

Titular de Datos

Personales

©2015 Deloitte25

Obtención del

Consentimiento

Canales

Métodos

Autorización de los titularesMétodos y canales

©2015 Deloitte26

Autorización de los titularesAlgunas consideraciones

Clientes

• Clientes actuales y prospectos.

• Política de Tratamiento: las finalidades, canales consulta / reclamos, derechos

• Debe incluirse cláusula en contratos u otros documentos: reparto a domicilio, términos y condiciones via web, etc.

Proveedores

• Debe incluirse en contratos, ordenes de compra, compromisos u otros para personas naturales y/o con negocio.

• Analizar condición del proveedor: encargo , transferencia, acceso.

• Asume responsabilidad por consentimiento de titulares de datos proporcionados o transferidos.

Colaboradores

• Debe obtenerse tanto de postulante a colaborador como de colaborador.

• Debe incluirse en formatos o documentos de postulación y/o en contratos,.

• Posibles finalidades: relación laboral, documentos y material institucional , contacto, transferencia empresa grupo, beneficios.

• Datos de familiares : justificados / principio de finalidad.

©2015 Deloitte27

Autorización de los titularesAlgunas consideraciones

Política

TratamientoDifiere según la Base de DatosVideo- Vigilancia

Aviso de

privacidadWeb, cookies Control Acceso

Comunicación

ExternaPolíticas y PrivacidadAccionistas

28

Programa Integral de

Gestión de Datos

Personales (PIGDP)

©2015 Deloitte

PIGDPElementos del plan

12354

786

910

Compromiso, roles y funciones, reporte

Procedimientosoperativos

AdministraciónRiesgos

Formación y educación.

Gestión encargados

Comunicaciónexterna

Mejora contínua

Protocolo violacionese incidentes.

Políticas .

Inventario Bases de Datos

Autorización, principio de finalidad, calidad

LineamientosConservación y eliminación

Medidas de protecciónConsultas y reclamos

Mejora contínuaAuditoría

Identificación, medición, control, monitoreo

Adaptado a la

organizaciónPolíticas

efectivas

Responsabilidad

y cultura

©2015 Deloitte

PIGDPProcedimientos de consulta y reclamo

©2015 Deloitte

PIGDPAlgunos ejemplos de riesgos

©2015 Deloitte

Control de Accesos

Identificación de usuarios (usuario-contraseña, uso de certificados digitales,

tokens, entre otros).

Gestión de los privilegios

Revisiones periódicas de permisos

Procedimientos documentados, que definen los aspectos anteriores.

Mantenimiento de registros: usuario, hora de inicio y cierre de sesión, y acciones

relevantes

Gestión de las trazas: disponibilidad oportuna, almacenamiento, destrucción,

transferencia.

Trazabilidad

Gestión de respaldos y

conservación

Ambientes en los que se procese, almacene o transmita la información,

considerar las recomendaciones de seguridad física y ambiental

recomendadas en la “NTP ISO/IEC 17799 EDI”

Realización de respaldo y pruebas de recuperación.

Transmisión de datos Autorización del titular al envío al exterior de las instalaciones físicas.

Uso del mecanismo de protección aprobado por él (cifrado, checksum, etc.)

Au

tom

ati

zad

os

PIGDPControles técnicos - Automatizados

©2015 Deloitte

Almacenamiento

Los armarios / archivadores deberán encontrarse en áreas de acceso restringido.

Se deben mantener cerradas.

Si no fuera posible por las características del local, consultar con la Dirección

General de Protección de Datos Personales (DGPDP)

Las copias sólo podrán realizarse bajo el control del personal autorizado.

Destrucción de las copias desechadas.

Sólo por el personal autorizado

Registro de acceso en el caso de más de un usuario

El acceso de otros debe quedar registrado según las indicaciones de la

DGPDP.

Medidas para impedir el acceso o manipulación indebidos

No

Au

tom

ati

zad

os Copias de

Documentos

Acceso a Documentos

Traslado de

documentos

Prestación de servicios

Sólo el personal que lo requiere para el desempeño de sus funciones debe

acceder a los datos de carácter personal.

En el caso de personal ajeno, el contrato recogerá la prohibición de acceder a

los datos personales y la obligación de secreto.

PIGDPControles técnicos – No Automatizados

34

Sanciones

©2015 Deloitte

Sanciones

Sanciones en Colombia Sanciones en Perú

©2015 Deloitte

Sanciones en España

Sanciones

©2015 Deloitte

Sanciones

Sanciones en España

38

El proyecto

¿Por donde empezar?

©2015 Deloitte39

El proyecto de adaptaciónEquipo tipo del proyecto

Legal

Seguridad Información

Tecnología

Procesos

Equipo de trabajo Áreas involucradas

Áreas de negocio

Áreas de backoffice

Sistemas de Información

Auditoría Interna

©2015 Deloitte40

Fases para la adaptación

El proyecto de adaptaciónVisión global del proceso

I. Análisis de ciclo de vida del

dato

III. Análisis de brecha

IV. Definición del plan de

adaptación

V. Implementación

• La metodología que se presenta es fruto de una amplia experiencia en apoyar a nuestros clientes

a adaptarse con éxito a los requisitos legislativos

• El enfoque en fases permite abordar de forma gradual y comprensible un proyecto de esta

envergadura.

• Una de las fases clave para realizar una adaptación adecuada y razonable es la I, que trata de

conocer el ciclo de vida del dato.

• La ley tiene impactos a nivel organizativo, legal y técnico, por lo que se requiere un equipo

multidisciplinar para el despliegue del proyecto.

• Este proceso requiere la involucración de múltiples áreas de la compañía: negocio, áreas de

administración, sistemas de información, legal, etc., por lo que es necesario que el sponsor sea el

adecuado.

©2015 Deloitte41

Deloitte se refiere a Deloitte Touche Tohmatsu, una asociación suiza, o a una o más integrantes de su

red de firmas miembros, cada una de las cuales constituye una entidad separada e independiente

desde el punto de vista legal. Una descripción detallada de la estructura legal de Deloitte Touche

Tohmatsu y sus firmas miembros puede verse en el sitio web www.deloitte.com/pe