Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Bases de datos

Ley de Protección de Datos Personales Enfoque práctico

Anuncio 
Ley de Protección de Datos
Personales
Enfoque práctico de adecuación
Enterprise Risk Services, 2015
©2015 Deloitte
Contenido
1
Introducción a la Privacidad y
normativa en Colombia
2
Principales conceptos y
definiciones
3 Bases de datos y el RNBD
4 Autorización de los titulares
5 Medidas de protección
6 Sanciones
7 El proyecto de adaptación
8 Fuentes de interés
1
Introducción a la
Privacidad y la
normativa en
Colombia
2
Introducción a la Privacidad y a la normativa
Definición de Privacidad
“The right to be left alone”
UK Calcutt Committee
“Ability of an individual or
group to seclude themselves
or information about
themselves and thereby reveal
themselves selectively”
1997
2013
1890
Samuel Warren y Louis
Brandeis, Tribunal Superior
de Justicia, “The Right to
“The right of the individual to be
protected against intrusion into his
personal life or affairs, or those of his
family, by direct physical means or
by publication of information”
Wikipedia
Privacy”
3
©2015 Deloitte
Introducción a la Privacidad y a la normativa
Clases de privacidad
4
Información
Corporal
Territorial
Comunicaciones
©2015 Deloitte
Introducción a la Privacidad y a la normativa
Mapa legislativo mundial
Emiratos árabes
Ley Protección Datos
Dubai
Canada Federal/provincial
PIPEDA, FOIPPA, PIPA
Corea Sur
Acto de Promoción del
Uso de Información y
Redes de Comunicación,
y Protección de Datos
Japón
Acto de Protección de
Información Personal
Unión Europea
Directiva Protección Datos EU
y Leyes de los Estados
Miembros
US Federal
GLBA, HIPAA, COPPA, Do
Not Call, Safe Harbor
España
Ley Orgánica de
Protección de Datos
Personales
Hong Kong
Ordenación
Privacidad Datos
Personales
Leyes estatales
Notificación Brechas 45 estados
SSN Use
India
Registro Nacional
Do Not Call
Perú
Ley N° 29733 de
Protección de Datos
Personales
5
Sur África
Acto de Comunicaciones
y Transacciones
Electrónicas
Nota: no pretende ser un listado exhaustivo
Australia
Enmienda Federal de
Privacidad, email spam
y regulaciones de
privacidad
Taiwan
Ley de Protección de
Datos Personales
computarizados
Nueva Zelanda
Acto de Privacidad
©2015 Deloitte
Introducción a la Privacidad y a la normativa
Cronograma de la legislación Colombiana
Ley Estatutaria
N° 1581
Decreto N° 1377
de 2013
17 octubre
2012
27 junio
2013
Decreto N° 886
de 2014
13 mayo
2014
Guía para la
Implementación
del Principio de
Accountability
6
2015
©2015 Deloitte
Principales conceptos
y definiciones
7
Introducción a la Privacidad y a la normativa
Definiciones
Datos de Carácter
Personal
“Cualquier información vinculada o que pueda asociarse a una o varias
personas naturales determinadas o determinables”
 Toda información numérica, alfabética, gráfica, fotográfica, acústica o de
cualquier tipo referida a personas físicas identificadas o identificables.
 En caso que estos datos estén disociados, es decir, que no se puedan relacionar
con ninguna persona física, no resultará de aplicación la normativa de protección
de datos.
©2015 Deloitte
Introducción a la Privacidad y a la normativa
Definiciones
Datos Sensibles
“Datos personales que afectan la intimidad del Titular o cuyo uso indebido
pueda generar su discriminación”
 Datos de la esfera más íntima de la persona.
 Datos biométricos; origen racial y étnico; ingresos económicos, opiniones o
convicciones políticas, religiosas, filosóficas o morales; afiliación sindical;
características físicas, morales o emocionales; familiar; e información relacionada
a la salud o a la vida sexual
©2015 Deloitte
Introducción a la Privacidad y a la normativa
Definiciones
Tratamiento de Datos
Personales
“Cualquier operación o conjunto de operaciones sobre datos personales, tales
como la recolección, almacenamiento, uso, circulación o supresión”
 Automatizado o no
 Extracción, consulta, registro, organización, almacenamiento, modificación,
bloqueo, suspensión, difusión o cualquier otra forma de procesamiento de datos
personales.
©2015 Deloitte
Introducción a la Privacidad y a la normativa
Definiciones
Base de Datos
Personales
“Conjunto de datos personales que sea objeto de Tratamiento”
 Conjunto organizado de datos personales
 Automatizado o no, independientemente del soporte, sea este físico, magnético,
digital, óptico u otros que se cree, cualquiera que fuere la forma o modalidad de
su creación, formación, almacenamiento, organización y acceso.
©2015 Deloitte
Introducción a la Privacidad y a la normativa
Definiciones
Titular
“Persona natural cuyos datos personales sean objeto de Tratamiento”
 Es responsable de sus propios datos personales, debe conocer sus derechos y
obligaciones
Persona Natural
©2015 Deloitte
Roles y funciones
13
Roles y funciones
Roles externos
Titular
• Persona natural a la que
corresponden los datos
personales (propietario).
Responsable
Tratamiento
• Decide sobre la base de
datos y/o el tratamiento de
Datos
Encargado Tratamiento
• Realiza el tratamiento por
cuenta de del Responsable
del Tratamiento
©2015 Deloitte
Roles y funciones
Roles externos
Caso 2
Caso 1
Responsable
tratamiento
Encargado
tratamiento
Responsable
tratamiento
Encargado
tratamiento
Encargado
tratamiento
Encargado
tratamiento
Titular
Titular
15
©2015 Deloitte
Roles y funciones
Roles externos
Encargado del
Tratamiento





Transferencia de
Datos Personales

Realiza el tratamiento de los datos personales por cuenta del responsable.
En ningún caso se convierte en Responsable de Tratamiento, por lo que el
intercambio de datos se realiza por medio de transmisión.
Debe existir un contrato
Existen obligaciones en la gestión de encargados, así como obligaciones por parte de
los encargados
Tercero que recibe datos personales y se convierte a su vez en Responsable de
Tratamiento
No pueden realizarse a países que no cumplan los estándares de protección de datos
personales, y debe existir autorización para la transferencia internacional
Transmisión
Transferencia
©2015 Deloitte
Roles y funciones
Roles internos
Comité LPDP
Oficial de
Protección de
Datos
Responsables de
Bases de Datos
17
Unidad ARCO
©2015 Deloitte
Bases de Datos y el
Registro Nacional de
Bases de Datos
18
Bases de Datos y el RNBD
El Inventario de Bases de Datos
Finalidad
Soporte
Operaciones
Finalidad
Tipo Titular
19
©2015 Deloitte
Bases de Datos y el RNBD
Ejemplo 1
20
Declaración en España de
los ficheros de una
Entidad Bancaria, un total
de 19.
©2015 Deloitte
Bases de Datos y el RNBD
Ejemplo 2
21
Declaración en España de
los ficheros de una
empresa aseguradora, un
total de 14.
©2015 Deloitte
Bases de Datos y el RNBD
Ejemplo 3
Declaración en Perú de los
Bancos de una empresa
Retail, un total de 11.
22
©2015 Deloitte
Autorización de los
Titulares
23
Autorización de los titulares
Características del consentimiento
Obtención del
Consentimiento del
Titular de Datos
Personales
24








Principio de finalidad de uso
Debe obtenerse consentimiento para todas las finalidades de uso
Previo, expreso, inequívoco, informado
En el caso de los datos sensibles, el tratamiento está prohibido
Debe existir prueba de la autorización, consultable
El titular puede revocarlo en cualquier momento
No se requiere sobre las fuentes accesibles al público
Regularización stock
©2015 Deloitte
Autorización de los titulares
Métodos y canales
Métodos
Obtención del
Consentimiento
Canales
25
©2015 Deloitte
Autorización de los titulares
Algunas consideraciones
Proveedores
Clientes
• Clientes actuales y prospectos.
• Debe incluirse en contratos, ordenes de
compra, compromisos u otros para
personas naturales y/o con negocio.
• Política de Tratamiento: las finalidades, canales
consulta / reclamos, derechos
• Analizar condición del proveedor: encargo ,
transferencia, acceso.
• Debe incluirse cláusula en contratos u otros
documentos: reparto a domicilio, términos y
condiciones via web, etc.
• Asume responsabilidad por consentimiento
de titulares de datos proporcionados o
transferidos.
Colaboradores
• Debe obtenerse tanto de postulante a colaborador como de colaborador.
• Debe incluirse en formatos o documentos de postulación y/o en contratos,.
• Posibles finalidades: relación laboral, documentos y material institucional , contacto,
transferencia empresa grupo, beneficios.
• Datos de familiares : justificados / principio de finalidad.
26
©2015 Deloitte
Autorización de los titulares
Algunas consideraciones
Política
Tratamiento
Video- Vigilancia
Web, cookies
Accionistas
27
Aviso de
privacidad
Difiere según la Base de Datos
Control Acceso
Comunicación
Externa
Políticas y Privacidad
©2015 Deloitte
Programa Integral de
Gestión de Datos
Personales (PIGDP)
28
PIGDP
Adaptado a la
organización
Elementos del plan
Lineamientos
Conservación y eliminación
Medidas de protección
Consultas y reclamos
Mejora contínua
Auditoría
1
23
Políticas
efectivas
Responsabilidad
y cultura
Compromiso, roles y funciones,
reporte
Inventario Bases de
Datos
Políticas .
4 56
Procedimientos
operativos
Administración
Riesgos
78
10 9
Protocolo violaciones
e incidentes.
Autorización, principio de finalidad,
calidad
Identificación, medición, control,
monitoreo
Formación y
educación.
Gestión encargados
Mejora contínua
Comunicación
externa
©2015 Deloitte
PIGDP
Procedimientos de consulta y reclamo
©2015 Deloitte
PIGDP
Algunos ejemplos de riesgos
©2015 Deloitte
PIGDP
Controles técnicos - Automatizados

Control de Accesos
Identificación de usuarios (usuario-contraseña, uso de certificados digitales,
tokens, entre otros).
Gestión de los privilegios
Revisiones periódicas de permisos
Procedimientos documentados, que definen los aspectos anteriores.



Automatizados

Trazabilidad
Mantenimiento de registros: usuario, hora de inicio y cierre de sesión, y acciones
relevantes
Gestión de las trazas: disponibilidad oportuna, almacenamiento, destrucción,
transferencia.


Gestión de respaldos y
conservación
Transmisión de datos



Ambientes en los que se procese, almacene o transmita la información,
considerar las recomendaciones de seguridad física y ambiental
recomendadas en la “NTP ISO/IEC 17799 EDI”
Realización de respaldo y pruebas de recuperación.
Autorización del titular al envío al exterior de las instalaciones físicas.
Uso del mecanismo de protección aprobado por él (cifrado, checksum, etc.)
©2015 Deloitte
PIGDP
No Automatizados
Controles técnicos – No Automatizados
Almacenamiento



Los armarios / archivadores deberán encontrarse en áreas de acceso restringido.
Se deben mantener cerradas.
Si no fuera posible por las características del local, consultar con la Dirección
General de Protección de Datos Personales (DGPDP)
Copias de
Documentos


Las copias sólo podrán realizarse bajo el control del personal autorizado.
Destrucción de las copias desechadas.
Acceso a Documentos
Traslado de
documentos



Sólo por el personal autorizado
Registro de acceso en el caso de más de un usuario
El acceso de otros debe quedar registrado según las indicaciones de la
DGPDP.

Medidas para impedir el acceso o manipulación indebidos

Prestación de servicios

Sólo el personal que lo requiere para el desempeño de sus funciones debe
acceder a los datos de carácter personal.
En el caso de personal ajeno, el contrato recogerá la prohibición de acceder a
los datos personales y la obligación de secreto.
©2015 Deloitte
Sanciones
34
Sanciones
Sanciones en Colombia
Sanciones en Perú
©2015 Deloitte
Sanciones
Sanciones en España
©2015 Deloitte
Sanciones
Sanciones en España
©2015 Deloitte
El proyecto
¿Por donde empezar?
38
El proyecto de adaptación
Equipo tipo del proyecto
Equipo de trabajo
Áreas involucradas
Áreas de negocio
Procesos
Legal
Áreas de backoffice
Seguridad
Información
Sistemas de Información
Tecnología
Auditoría Interna
39
©2015 Deloitte
El proyecto de adaptación
Visión global del proceso
Fases para la adaptación
I. Análisis de
ciclo de vida del
dato
III. Análisis de
brecha
IV. Definición del
plan de
adaptación
V.
Implementación
• La metodología que se presenta es fruto de una amplia experiencia en apoyar a nuestros clientes
a adaptarse con éxito a los requisitos legislativos
• El enfoque en fases permite abordar de forma gradual y comprensible un proyecto de esta
envergadura.
• Una de las fases clave para realizar una adaptación adecuada y razonable es la I, que trata de
conocer el ciclo de vida del dato.
• La ley tiene impactos a nivel organizativo, legal y técnico, por lo que se requiere un equipo
multidisciplinar para el despliegue del proyecto.
• Este proceso requiere la involucración de múltiples áreas de la compañía: negocio, áreas de
administración, sistemas de información, legal, etc., por lo que es necesario que el sponsor sea el
adecuado.
40
©2015 Deloitte
Deloitte se refiere a Deloitte Touche Tohmatsu, una asociación suiza, o a una o más integrantes de su
red de firmas miembros, cada una de las cuales constituye una entidad separada e independiente
desde el punto de vista legal. Una descripción detallada de la estructura legal de Deloitte Touche
Tohmatsu y sus firmas miembros puede verse en el sitio web www.deloitte.com/pe
41
©2015 Deloitte
Documentos relacionados
Alberto Terol En la actualidad: Consejero Independiente de OHL, y
Alberto Terol En la actualidad: Consejero Independiente de OHL, y
Deloitte México Nuestra firma Oferta de servicios Principales
Deloitte México Nuestra firma Oferta de servicios Principales
D. Carlos González Fernández Nacido en Navia de Suarna (Lugo
D. Carlos González Fernández Nacido en Navia de Suarna (Lugo
¿Dónde estarás dentro de cinco años? Depende de dónde
¿Dónde estarás dentro de cinco años? Depende de dónde
INFORMACIÓN AL ESTUDIANTE Título: Deloitte Business Game
INFORMACIÓN AL ESTUDIANTE Título: Deloitte Business Game
OFERTA DE EMPLEO Responsable Departamento Sistemas
OFERTA DE EMPLEO Responsable Departamento Sistemas
El pequeño tamaño CR
El pequeño tamaño CR
Descargar
Anuncio
Anuncio