Tratamiento Responsable de los Datos Personales · interés de supervisión involucrando en el...
Transcript of Tratamiento Responsable de los Datos Personales · interés de supervisión involucrando en el...
Tratamiento Responsable
de los Datos Personales
Pablo Alberto Malagón [email protected]
Julio de 2013
1. Ciclo de vida del dato
2. Tratamiento del dato personal y
sus riesgos
3. Sistema Integrado de Supervisión
Inteligente
4. Preparándonos para el Registro
Nacional de Base de Datos
Temas Centrales
1. Ciclo de vida del dato
2. Tratamiento del dato personal y
sus riesgos
3. Sistema Integrado de Supervisión
Inteligente
4. Preparándonos para el Registro
Nacional de Base de Datos
Temas Centrales
La Gestión de la Información, es un conjuntode procesos por los cuales se controla el“ciclo de vida del dato”.
Los procesos también comprenden laextracción, combinación, depuración ydistribución de la información a losinteresados. El objetivo de la Gestión de laInformación es garantizar su integridad,disponibilidad y confidencialidad.
1. Ciclo de vida del dato
Las organizaciones que trabajan
con datos como materia prima, no
sólo del tipo personal, adoptan un
enfoque de “ciclo de vida del
dato”, significa reconocer cómo
se produce el flujo de
información en sus procesos y
actividades.
• Identificar los procesos de
obtención (por creación o
captura).
• Transformar, usar, almacenar,
transferir (circular, compartir).
• Eliminar o archivar (disposición
final de los datos).
1. Ciclo de vida del dato
• En qué parte del procedimiento o actividad se recogen los datos.
• Es necesaria la recolección.
• Qué información se debe recolectar.
• Cómo se debe recolectar la información.
• Se asegura la calidad de los datos a la hora de la captura de los mismos.
• Los datos recogidos presentan sensibilidad o trazabilidad.
• Se necesitan autorizaciones legales para la recolección.
Recolección
1. Ciclo de vida del dato
• Qué áreas o personas utilizan los datos ytiene accesos a información acorde con susfunciones.
• En qué procedimientos o actividades internasse procesan los datos y si alguno de ellosrequiere de la transferencia de los mismos.
• Depurar datos.
• Consolidar e integrar los datos.
• Generar valor agregado a partir de los datos.
• Medidas de seguridad o políticas de acceso.
• Manipular, actualizar y respaldar los datos.
• Asegurar la calidad de los datos.
Mantenimiento y uso
1. Ciclo de vida del dato
• Cuánto tiempo se conservan los datos en laorganización y cuáles son los medios para sueliminación.
• Circunstancias y momento en que se debeeliminar la información o la Base de Datos.
• Procedimientos de archivo documental conmedidas de seguridad.
• Se eliminan datos que se requiere mantenerpor otras Leyes o normas.
• Se deben almacenar los datos eliminadoscon el fin de tomar medidas de prevenciónde solicitudes posteriores.
Supresión
1. Ciclo de vida del dato
1. Ciclo de vida del dato
2. Tratamiento del dato personal y
sus riesgos
3. Sistema Integrado de Supervisión
Inteligente
4. Preparándonos para el Registro
Nacional de Base de Datos
Temas Centrales
2. Tratamiento del dato personal
Quejas presentadas por violación a las normas de protección de datos
654
1.215
1.987
2.296
1.432
0
500
1000
1500
2000
2500
2009 2010 2011 2012 2013*
*: Cifras a 31 de mayo de 2013Fuente: Delegatura para la Protección de Datos Personales. SIC.
Estadísticas
2. Tratamiento del dato personal
*: Cifras a 31 de mayo de 2013Fuente: Delegatura para la Protección de Datos Personales. SIC.
AÑO VALOR
2010 $ 633.450.150
2011 $ 2.300.402.400
2012 $ 1.408.110.660
2013* $ 604.827.000
TOTAL $ 4.946.790.210
$ 633.450.150
$ 2.300.402.400
$ 1.408.110.660
$ 604.827.000
$ 0
$ 500.000.000
$ 1.000.000.000
$ 1.500.000.000
$ 2.000.000.000
$ 2.500.000.000
2010 2011 2012 2013*
Valor sanciones por año protección de datos
Estadísticas
2. Tratamiento del dato personal
Fuente: Delegatura para la Protección de Datos Personales. SIC.
MOTIVOS DE SANCIÓN
CONCEPTO PORCENTAJE
Veracidad 53%
Resolver los reclamos y peticiones del titular 22%
Comunicación previa 11%
Autorización 7%
Cumplir con las instrucciones que imparta la autoridad de control 2%
Informar al operador que determinada información se encuentra en discusión
por parte de su titular2%
Acceso a la información por parte de los usuarios 1%
Garantizar al titular la posibilidad de conocer la información que sobre él reposa. 2%
Solicitar la certificación a la fuente de la existencia de la autorización otorgada por el
titula0%
Realizar periódica y oportunamente la actualización y rectificación de los datos, cada
vez que le reporten novedades las fuentes0%
TOTAL 100%
Estadísticas
Para la ley 1266/2008
• El “ciclo” comprende: recolección, tratamiento y Circulación.
Dato personal: pieza de información vinculada a una o varias personas
determinadas o determinables o que puedan asociarse con una persona
natural o jurídica.
Para la ley 1581/2012
• El “ciclo” (Tratamiento) es: recolección, almacenamiento, uso, circulación
o supresión.
Dato personal: Cualquier información vinculada o que pueda asociarse a
una o varias personas naturales determinadas o determinables.
Tratamiento
2. Tratamiento del dato personal
Recolección
Tipos de datos personales
• 1266/2008: público, semiprivados y privado.
• 1581/2012: Sensibles.
Datos trazables: Aquella combinación de datos de carácter personal que
puedan llevar a la ubicación de un individuo, aumentando su exposición.
Autorización previa e informada del Titular
• 1266/2008: Autorización y principio de finalidad.
• 1581/2012: Autorización del Titular y principio de finalidad. Debe existir prueba de la autorización y en un medio para posterior consulta.
Temporalidad razonable y necesaria.
2. Tratamiento del dato personal
Mantenimiento y Uso
• Actualización de la autorización.
• Políticas y herramientas de seguridad.
• Clasificación de la información.
• Transferencia.
• Procedimiento para realizar oportunamente la actualización,
rectificación o supresión de los datos erróneos.
• Gestión de incidentes.
Supresión
• Procedimientos para atender la solicitud de revocar la
autorización y/o solicitud de la supresión del dato.
• La solicitud no se realiza cuando el titular tenga un deber legal
o contractual de permanencia en la base de datos.
• Supresión de identidad de los Titulares.
2. Tratamiento del dato personal
Co
mu
nic
ac
ión
y C
on
su
lta Establecer el contexto
Tratar el Riesgo
Evaluar los Riesgos
Analizar los Riesgos
Identificar los Riesgos
Mo
nit
ore
o y
Re
vis
ión
Análisis de Riesgos
Riesgo Inherente
Mitigado porControles de
RiesgosRiesgo Neto
2. Tratamiento del dato personal
PO
SIB
ILID
AD
Muy
Alto
Alto
Medio
Bajo
Bajo Medio AltoMuy
Alto
IMPACTO
Ejemplo de Matriz de Riesgos
2. Tratamiento del dato personal
Sen
sib
le
Trazable
1. Ciclo de vida del dato
2. Tratamiento del dato personal y
sus riesgos
3. Sistema Integrado de Supervisión
Inteligente
4. Preparándonos para el Registro
Nacional de Base de Datos
Temas Centrales
3. Sistema Integral de Supervisión Inteligente (SISI)
• Supervisión por riesgos:
Es un proceso estructurado, dirigido a evaluar losriesgos a que está expuesta una organización y susistema de gestión de riesgos, para desarrollar unperfil de riesgo, y con base en éste asignar losrecursos escasos de supervisión y tomar lasmedidas correctivas necesarias.
• La supervisión por riesgos comprende:
Una serie de subprocesos y actividades, quepueden ser no secuenciales, y que tienen porobjetivo evaluar de manera permanente la gestiónde los sujetos obligados.
Una Metodología para evaluar los riesgos ycontroles de los sujetos obligados.
Recopilar información
Monitoreo
Priorización
Inspección
Actos administrativos
•Pro
ce
so
de
Su
perv
isió
n d
el R
ies
go
de
Pro
tec
ció
n d
e D
ato
s
Pe
rso
nale
s -
RP
DP
Elementos conceptuales
Recopilar información
Monitoreo
Priorización
Inspección
Actos administrativos
3. Sistema Integral de Supervisión Inteligente (SISI)
Recopilar información
Monitoreo
Priorización
Inspección
Actos administrativos
• El monitoreo presupone que se conoce el universo de vigiladosy por ende, se puede realizar un análisis sobre las bases dedatos registradas para conocer el ciclo de vida del dato en elvigilado. No obstante, el conocimiento de esté universo en elcontexto del riesgo de protección de datos personales es unatarea muy laboriosa.
• Por lo tanto, es clave en el monitoreo a los sujetos obligadosexpandir la capacidad de supervisión sobre el universo“conocido” y en especial en el “desconocido” o sujetosobligados que no se registran.
3. Sistema Integral de Supervisión Inteligente (SISI)
Recopilar información
Monitoreo
Priorización
Inspección
Actos administrativos
3. Sistema Integral de Supervisión Inteligente (SISI)
Recopilar información
Monitoreo
Priorización
Inspección
Actos administrativos
3. Sistema Integral de Supervisión Inteligente (SISI)
Recopilar información
Monitoreo
Priorización
Inspección
Actos administrativos
• El Riesgo Inherente es el riesgo intrínseco o propio de cadasujeto dado el impacto y posibilidad de materialización delriesgo de protección de datos personales.
3. Sistema Integral de Supervisión Inteligente (SISI)
Recopilar información
Monitoreo
Priorización
Inspección
Actos administrativos
3. Sistema Integral de Supervisión Inteligente (SISI)
• El Riesgo Neto o Residual, resulta de la relación entre el gradode materialización del Riesgo inherente y la gestión en losControles establecidos para la mitigación del riesgo.
• Al final, para cada sujeto obligado se obtiene una “matriz deriesgo” que ilustra el nivel de Riesgo Inherente evaluado, elControl aplicado, y el Riesgo Neto de protección de datospersonales.
Recopilar información
Monitoreo
Priorización
Inspección
Actos administrativos
3. Sistema Integral de Supervisión Inteligente (SISI)
Recopilar información
Monitoreo
Priorización
Inspección
Actos administrativos
• Después de la Evaluación de Riesgo Neto es posibleencontrar un número amplio de sujetos en el rango deriesgo “Muy Alto”. En este escenario, es posible “afinar” elinterés de supervisión involucrando en el análisis algunasvariables que pueden ser indicativas de problemas en lagestión del riesgo de protección de datos personales en lasvigiladas.
• De esta manera, se obtiene un subgrupo de “altísimo nivelde interés de supervisión”.
Extracción
BD de Riesgo Neto o
Residual •Matriz de
Riesgo
•BD
Monitoreo
BD de Altísimo nivel de
supervisión
3. Sistema Integral de Supervisión Inteligente (SISI)
Recopilar información
Monitoreo
Priorización
Inspección
Actos administrativos
3. Sistema Integral de Supervisión Inteligente (SISI)
Recopilar información
Monitoreo
Priorización
Inspección
Actos administrativos
• Las medidas de supervisión son los diversos tipos dedecisiones y mecanismos de adopción, que se generan porparte de la Delegatura de Protección de Datos Personales,como resultado del proceso de supervisión, con el propósito desolucionar o mitigar las situaciones de alerta detectadaspreviamente en un sujeto obligado, a las cuales se requierehacer seguimiento.
• Los actos administrativos expresan o manifiestan la voluntadde la administración para crear, modificar o extinguirsituaciones jurídicas de interés particular o general.
3. Sistema Integral de Supervisión Inteligente (SISI)
1. Ciclo de vida del dato
2. Tratamiento del dato personal y
sus riesgos
3. Sistema Integrado de Supervisión
Inteligente
4. Preparándonos para el Registro
Nacional de Base de Datos
Temas Centrales
Registro Nacional de Base de Datos
• Directorio público de las bases de datos sujetas a tratamiento que
operan en el país. Busca ser el instrumento de libre consulta al
ciudadano.
• Control institucional de las bases de datos personales en manos de
personas jurídicas y naturales.
• Difunde y dar publicidad a la existencia de bases de datos de carácter
personal.
• Herramienta principal de verificación y control de la protección.
• Conocer: nombre de la BD, responsable del tratamiento, finalidad, flujo.
tipo de información que se maneja y datos de contacto.
• Condiciones de seguridad con las que se realiza el tratamiento.
• La obligación de registrar la BD recae sobre el responsable.
4.Preparándonos para el R.N.B.D
Recopilar información
Monitoreo
Priorización
Inspección
Actos administrativos
4.Preparándonos para el R.N.B.D
4.Preparándonos para el R.N.B.D
Propuesta de datos a incorporar
1. Datos del responsable de la Base de datos
2. Canales para ejercer los derechos de: Conocer, Actualizar, Rectificar
Suprimir y Revocar
• Datos de la oficina de contacto y trámite.
• Datos del Encargado del tratamiento.
3. Identificación y Finalidad de la Base de Datos
• Nombre de la BD.
• Descripción de la finalidad o finalidades.
• Vigencia de la BD.
• Registro de Incidentes de seguridad.
• Volumen.
4.Preparándonos para el R.N.B.D
4. Tipo de dato y tratamiento
• Publico, Semiprivado o Privado.
• Sensibles, tales como: Salud, Orientación sexual, Filiación política,
Étnicos / origen racial, Convicción religiosa, Datos de Menores y
adolescentes, Biométricos.
• Trazables, tales como: documentos de identificación, registros de
transacciones, localización, fotos y videos, dirección de correo, teléfono,
dirección IP.
Clase de base datos
• Sistematizada.
• Manual.
Política de protección de datos
Propuesta de datos a incorporar
4.Preparándonos para el R.N.B.D
4. Medidas de seguridad
• Niveles básico, medio y alto.
Ubicación de la Base de Datos
• Bases de datos automatizadas y físicas.
5. Procedencia del dato
• Autorización del titular (Medio en que se obtuvo y causales de
exoneración, en caso que aplique).
6. Transferencia de Datos
• Local
• Internacional
Propuesta de datos a incorporar
Controles implementados
Determinar si los controles existentes son:
• Suficientes, efectivos y oportunos.
• Manuales, automáticos.
• Discrecionales, obligatorios.
• Preventivos, detectivos o correctivos.
Registro de incidentes
• Causa del incidente.
• Tipo de información expuesta.
• Cantidad de registros.
• Fecha del incidente.
• Fecha de descubrimiento.
• Descripción.
Propuesta de datos a incorporar
4.Preparándonos para el R.N.B.D