Tratamiento Responsable

de los Datos Personales

Pablo Alberto Malagón Torrespamalagont@gmail.com

Julio de 2013

1. Ciclo de vida del dato

2. Tratamiento del dato personal y

sus riesgos

3. Sistema Integrado de Supervisión

Inteligente

4. Preparándonos para el Registro

Nacional de Base de Datos

Temas Centrales

1. Ciclo de vida del dato

2. Tratamiento del dato personal y

sus riesgos

3. Sistema Integrado de Supervisión

Inteligente

4. Preparándonos para el Registro

Nacional de Base de Datos

Temas Centrales

La Gestión de la Información, es un conjuntode procesos por los cuales se controla el“ciclo de vida del dato”.

Los procesos también comprenden laextracción, combinación, depuración ydistribución de la información a losinteresados. El objetivo de la Gestión de laInformación es garantizar su integridad,disponibilidad y confidencialidad.

1. Ciclo de vida del dato

Las organizaciones que trabajan

con datos como materia prima, no

sólo del tipo personal, adoptan un

enfoque de “ciclo de vida del

dato”, significa reconocer cómo

se produce el flujo de

información en sus procesos y

actividades.

• Identificar los procesos de

obtención (por creación o

captura).

• Transformar, usar, almacenar,

transferir (circular, compartir).

• Eliminar o archivar (disposición

final de los datos).

1. Ciclo de vida del dato

• En qué parte del procedimiento o actividad se recogen los datos.

• Es necesaria la recolección.

• Qué información se debe recolectar.

• Cómo se debe recolectar la información.

• Se asegura la calidad de los datos a la hora de la captura de los mismos.

• Los datos recogidos presentan sensibilidad o trazabilidad.

• Se necesitan autorizaciones legales para la recolección.

Recolección

1. Ciclo de vida del dato

• Qué áreas o personas utilizan los datos ytiene accesos a información acorde con susfunciones.

• En qué procedimientos o actividades internasse procesan los datos y si alguno de ellosrequiere de la transferencia de los mismos.

• Depurar datos.

• Consolidar e integrar los datos.

• Generar valor agregado a partir de los datos.

• Medidas de seguridad o políticas de acceso.

• Manipular, actualizar y respaldar los datos.

• Asegurar la calidad de los datos.

Mantenimiento y uso

1. Ciclo de vida del dato

• Cuánto tiempo se conservan los datos en laorganización y cuáles son los medios para sueliminación.

• Circunstancias y momento en que se debeeliminar la información o la Base de Datos.

• Procedimientos de archivo documental conmedidas de seguridad.

• Se eliminan datos que se requiere mantenerpor otras Leyes o normas.

• Se deben almacenar los datos eliminadoscon el fin de tomar medidas de prevenciónde solicitudes posteriores.

Supresión

1. Ciclo de vida del dato

1. Ciclo de vida del dato

2. Tratamiento del dato personal y

sus riesgos

3. Sistema Integrado de Supervisión

Inteligente

4. Preparándonos para el Registro

Nacional de Base de Datos

Temas Centrales

2. Tratamiento del dato personal

Quejas presentadas por violación a las normas de protección de datos

654

1.215

1.987

2.296

1.432

0

500

1000

1500

2000

2500

2009 2010 2011 2012 2013*

*: Cifras a 31 de mayo de 2013Fuente: Delegatura para la Protección de Datos Personales. SIC.

Estadísticas

2. Tratamiento del dato personal

*: Cifras a 31 de mayo de 2013Fuente: Delegatura para la Protección de Datos Personales. SIC.

AÑO VALOR

2010 $ 633.450.150

2011 $ 2.300.402.400

2012 $ 1.408.110.660

2013* $ 604.827.000

TOTAL $ 4.946.790.210

$ 633.450.150

$ 2.300.402.400

$ 1.408.110.660

$ 604.827.000

$ 0

$ 500.000.000

$ 1.000.000.000

$ 1.500.000.000

$ 2.000.000.000

$ 2.500.000.000

2010 2011 2012 2013*

Valor sanciones por año protección de datos

Estadísticas

2. Tratamiento del dato personal

Fuente: Delegatura para la Protección de Datos Personales. SIC.

MOTIVOS DE SANCIÓN

CONCEPTO PORCENTAJE

Veracidad 53%

Resolver los reclamos y peticiones del titular 22%

Comunicación previa 11%

Autorización 7%

Cumplir con las instrucciones que imparta la autoridad de control 2%

Informar al operador que determinada información se encuentra en discusión

por parte de su titular2%

Acceso a la información por parte de los usuarios 1%

Garantizar al titular la posibilidad de conocer la información que sobre él reposa. 2%

Solicitar la certificación a la fuente de la existencia de la autorización otorgada por el

titula0%

Realizar periódica y oportunamente la actualización y rectificación de los datos, cada

vez que le reporten novedades las fuentes0%

TOTAL 100%

Estadísticas

Para la ley 1266/2008

• El “ciclo” comprende: recolección, tratamiento y Circulación.

Dato personal: pieza de información vinculada a una o varias personas

determinadas o determinables o que puedan asociarse con una persona

natural o jurídica.

Para la ley 1581/2012

• El “ciclo” (Tratamiento) es: recolección, almacenamiento, uso, circulación

o supresión.

Dato personal: Cualquier información vinculada o que pueda asociarse a

una o varias personas naturales determinadas o determinables.

Tratamiento

2. Tratamiento del dato personal

Recolección

Tipos de datos personales

• 1266/2008: público, semiprivados y privado.

• 1581/2012: Sensibles.

Datos trazables: Aquella combinación de datos de carácter personal que

puedan llevar a la ubicación de un individuo, aumentando su exposición.

Autorización previa e informada del Titular

• 1266/2008: Autorización y principio de finalidad.

• 1581/2012: Autorización del Titular y principio de finalidad. Debe existir prueba de la autorización y en un medio para posterior consulta.

Temporalidad razonable y necesaria.

2. Tratamiento del dato personal

Mantenimiento y Uso

• Actualización de la autorización.

• Políticas y herramientas de seguridad.

• Clasificación de la información.

• Transferencia.

• Procedimiento para realizar oportunamente la actualización,

rectificación o supresión de los datos erróneos.

• Gestión de incidentes.

Supresión

• Procedimientos para atender la solicitud de revocar la

autorización y/o solicitud de la supresión del dato.

• La solicitud no se realiza cuando el titular tenga un deber legal

o contractual de permanencia en la base de datos.

• Supresión de identidad de los Titulares.

2. Tratamiento del dato personal

Co

mu

nic

ac

ión

y C

on

su

lta Establecer el contexto

Tratar el Riesgo

Evaluar los Riesgos

Analizar los Riesgos

Identificar los Riesgos

Mo

nit

ore

o y

Re

vis

ión

Análisis de Riesgos

Riesgo Inherente

Mitigado porControles de

RiesgosRiesgo Neto

2. Tratamiento del dato personal

PO

SIB

ILID

AD

Muy

Alto

Alto

Medio

Bajo

Bajo Medio AltoMuy

Alto

IMPACTO

Ejemplo de Matriz de Riesgos

2. Tratamiento del dato personal

Sen

sib

le

Trazable

1. Ciclo de vida del dato

2. Tratamiento del dato personal y

sus riesgos

3. Sistema Integrado de Supervisión

Inteligente

4. Preparándonos para el Registro

Nacional de Base de Datos

Temas Centrales

3. Sistema Integral de Supervisión Inteligente (SISI)

• Supervisión por riesgos:

Es un proceso estructurado, dirigido a evaluar losriesgos a que está expuesta una organización y susistema de gestión de riesgos, para desarrollar unperfil de riesgo, y con base en éste asignar losrecursos escasos de supervisión y tomar lasmedidas correctivas necesarias.

• La supervisión por riesgos comprende:

Una serie de subprocesos y actividades, quepueden ser no secuenciales, y que tienen porobjetivo evaluar de manera permanente la gestiónde los sujetos obligados.

Una Metodología para evaluar los riesgos ycontroles de los sujetos obligados.

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

•Pro

ce

so

de

Su

perv

isió

n d

el R

ies

go

de

Pro

tec

ció

n d

e D

ato

s

Pe

rso

nale

s -

RP

DP

Elementos conceptuales

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

3. Sistema Integral de Supervisión Inteligente (SISI)

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

• El monitoreo presupone que se conoce el universo de vigiladosy por ende, se puede realizar un análisis sobre las bases dedatos registradas para conocer el ciclo de vida del dato en elvigilado. No obstante, el conocimiento de esté universo en elcontexto del riesgo de protección de datos personales es unatarea muy laboriosa.

• Por lo tanto, es clave en el monitoreo a los sujetos obligadosexpandir la capacidad de supervisión sobre el universo“conocido” y en especial en el “desconocido” o sujetosobligados que no se registran.

3. Sistema Integral de Supervisión Inteligente (SISI)

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

3. Sistema Integral de Supervisión Inteligente (SISI)

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

3. Sistema Integral de Supervisión Inteligente (SISI)

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

• El Riesgo Inherente es el riesgo intrínseco o propio de cadasujeto dado el impacto y posibilidad de materialización delriesgo de protección de datos personales.

3. Sistema Integral de Supervisión Inteligente (SISI)

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

3. Sistema Integral de Supervisión Inteligente (SISI)

• El Riesgo Neto o Residual, resulta de la relación entre el gradode materialización del Riesgo inherente y la gestión en losControles establecidos para la mitigación del riesgo.

• Al final, para cada sujeto obligado se obtiene una “matriz deriesgo” que ilustra el nivel de Riesgo Inherente evaluado, elControl aplicado, y el Riesgo Neto de protección de datospersonales.

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

3. Sistema Integral de Supervisión Inteligente (SISI)

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

• Después de la Evaluación de Riesgo Neto es posibleencontrar un número amplio de sujetos en el rango deriesgo “Muy Alto”. En este escenario, es posible “afinar” elinterés de supervisión involucrando en el análisis algunasvariables que pueden ser indicativas de problemas en lagestión del riesgo de protección de datos personales en lasvigiladas.

• De esta manera, se obtiene un subgrupo de “altísimo nivelde interés de supervisión”.

Extracción

BD de Riesgo Neto o

Residual •Matriz de

Riesgo

•BD

Monitoreo

BD de Altísimo nivel de

supervisión

3. Sistema Integral de Supervisión Inteligente (SISI)

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

3. Sistema Integral de Supervisión Inteligente (SISI)

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

• Las medidas de supervisión son los diversos tipos dedecisiones y mecanismos de adopción, que se generan porparte de la Delegatura de Protección de Datos Personales,como resultado del proceso de supervisión, con el propósito desolucionar o mitigar las situaciones de alerta detectadaspreviamente en un sujeto obligado, a las cuales se requierehacer seguimiento.

• Los actos administrativos expresan o manifiestan la voluntadde la administración para crear, modificar o extinguirsituaciones jurídicas de interés particular o general.

3. Sistema Integral de Supervisión Inteligente (SISI)

1. Ciclo de vida del dato

2. Tratamiento del dato personal y

sus riesgos

3. Sistema Integrado de Supervisión

Inteligente

4. Preparándonos para el Registro

Nacional de Base de Datos

Temas Centrales

Registro Nacional de Base de Datos

• Directorio público de las bases de datos sujetas a tratamiento que

operan en el país. Busca ser el instrumento de libre consulta al

ciudadano.

• Control institucional de las bases de datos personales en manos de

personas jurídicas y naturales.

• Difunde y dar publicidad a la existencia de bases de datos de carácter

personal.

• Herramienta principal de verificación y control de la protección.

• Conocer: nombre de la BD, responsable del tratamiento, finalidad, flujo.

tipo de información que se maneja y datos de contacto.

• Condiciones de seguridad con las que se realiza el tratamiento.

• La obligación de registrar la BD recae sobre el responsable.

4.Preparándonos para el R.N.B.D

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

4.Preparándonos para el R.N.B.D

4.Preparándonos para el R.N.B.D

Propuesta de datos a incorporar

1. Datos del responsable de la Base de datos

2. Canales para ejercer los derechos de: Conocer, Actualizar, Rectificar

Suprimir y Revocar

• Datos de la oficina de contacto y trámite.

• Datos del Encargado del tratamiento.

3. Identificación y Finalidad de la Base de Datos

• Nombre de la BD.

• Descripción de la finalidad o finalidades.

• Vigencia de la BD.

• Registro de Incidentes de seguridad.

• Volumen.

4.Preparándonos para el R.N.B.D

4. Tipo de dato y tratamiento

• Publico, Semiprivado o Privado.

• Sensibles, tales como: Salud, Orientación sexual, Filiación política,

Étnicos / origen racial, Convicción religiosa, Datos de Menores y

adolescentes, Biométricos.

• Trazables, tales como: documentos de identificación, registros de

transacciones, localización, fotos y videos, dirección de correo, teléfono,

dirección IP.

Clase de base datos

• Sistematizada.

• Manual.

Política de protección de datos

Propuesta de datos a incorporar

4.Preparándonos para el R.N.B.D

4. Medidas de seguridad

• Niveles básico, medio y alto.

Ubicación de la Base de Datos

• Bases de datos automatizadas y físicas.

5. Procedencia del dato

• Autorización del titular (Medio en que se obtuvo y causales de

exoneración, en caso que aplique).

6. Transferencia de Datos

• Local

• Internacional

Propuesta de datos a incorporar

Controles implementados

Determinar si los controles existentes son:

• Suficientes, efectivos y oportunos.

• Manuales, automáticos.

• Discrecionales, obligatorios.

• Preventivos, detectivos o correctivos.

Registro de incidentes

• Causa del incidente.

• Tipo de información expuesta.

• Cantidad de registros.

• Fecha del incidente.

• Fecha de descubrimiento.

• Descripción.

Propuesta de datos a incorporar

4.Preparándonos para el R.N.B.D

Muchas Gracias

Pablo Alberto Malagón Torrespamalagont@gmail.com