Ley Estatutaria de Protección de datos personales

Anuncio
Lidera:
PROTECCION DE DATOS PERSONALES
Apoyan:
Apoyan:
Lidera:
LEY ESTATUTARIA DE PROTECCIÓN DE DATOS PERSONALES
Antoni Bosch Pujol
Director General del Institute of Audit & IT-Governance
Director del Máster en Auditoría, Seguridad, Gobierno y Derecho de las TIC
de la Universidad Autónoma de Madrid (MASGDTIC)
Apoyan:
Lidera:
¡Pizzería Google, buenas
noches!
Pizzería Google, señor. ¿Cuál es su
pedido?
Era, sí señor, pero Google
compró la pizzería, y ahora el
servicio es más completo.
Apoyan:
¿Pizzería
qué?
Pero este ... ¿no era el teléfono
de la Pizzería Washington?
Lidera:
Sí. ¿El señor desea lo de
siempre?
Tenemos un identificador de
llamadas y, de acuerdo a su
teléfono, sabemos que las últimas
53 veces que llamó pidió pizza
cuatro quesos y jamón.
Apoyan:
¿Lo de siempre? ¿Usted me
conoce?
¡Vaya, no me había dado cuenta!
Quiero eso mismo ...
Lidera:
Señor, ¿puedo hacerle una
sugerencia?
No, señor. Nuestro menú es muy
completo, pero me gustaría sugerirle
la de ricotta y la de rúgula.
Pero, señor, es bueno para su
salud. Además, su colesterol no
anda bien ...
Por supuesto. ¿Tiene una
pizza nueva en el menú?
¿Ricotta? ¿Rúgula? ¿Está loco?
Odio estas cosas.
¿Cómo lo sabe?
Apoyan:
Lidera:
Nuestra empresa tiene la mayor base de datos del planeta
y entrecruzamos bases de datos con Facebook.
Tenemos información del laboratorio donde usted se hace
sus exámenes, también.
Cruzamos el número de teléfono con su nombre y vemos
los resultados de sus pruebas de colesterol y acorde con el
Facebook de su esposa, sabemos que últimamente esta
Ud. muy irritable con la economía y la política.
Apoyan:
Lidera:
Señor, lo siento, pero creo que
usted no ha tomado su medicina
últimamente.
No quiero la nueva pizza que me ofrece o
ensalada.
Para eso tomo mi medicamento para el
colesterol y como lo que quiero ...
¿Cómo lo sabe?
¿Usted me está mirando todo el tiempo?
Apoyan:
Lidera:
Tenemos una base de datos de las farmacias
de la ciudad (y en el Facebook Ud. escribió
cuál es su sucursal preferida).
La última vez que compró su medicamento
para el colesterol fue hace 3 meses.
Y la caja tiene 30 comprimidos.
¡Maldita sea! Es cierto.
¿Cómo usted sabe esto?
Apoyan:
Lidera:
Por su tarjeta de
crédito…
¿¿¿QUÉ???
Apoyan:
Lidera:
Acorde con lo que Ud. cuenta en el Facebook y nuestros
propios seguimientos de sus actividades en el Google,
usted tiene el hábito de comprar sus medicamentos en una
farmacia que le ofrece descuentos si paga con tarjeta de
crédito del Banco BANK.
Tenemos una base de datos de sus gastos con la tarjeta… hace
3 meses no ha comprado nada allí, pero sí la utiliza en otros
comercios, lo cual nos indica que no la ha extraviado.
Apoyan:
Lidera:
No debería haber pagado en efectivo,
usted le paga 200.000 pesos semanales
a su empleada doméstica
y el resto de sus gastos los realiza con
tarjeta de débito o de crédito.
Usted le paga el seguro...
¿Y no puedo pagar en
efectivo en la farmacia? A
ver qué me dice...
¿Cómo sabe lo que gana mi
empleada?
Apoyan:
Lidera:
Sí, señor, lo siento, pero todo está en mi
pantalla.
Tengo el deber de ayudarlo.
Creo que usted debe volver a programar la
consulta a la que faltó con su médico y llevarle
los resultados de los exámenes que se hizo el
mes pasado para que le ajuste la medicación.
Apoyan:
¡¡Caramba, lo sabe todo!!
Lidera:
Estoy harto de INTERNET, el
ORDENADOR, el SIGLO XXI, la FALTA
DE PRIVACIDAD, las BASES DE DATOS
y ...
Pero, señor…
Entiendo...
¡Cállese! ME VOY A MUDAR BIEN LEJOS.
A las Islas Fiji o a alguna parte que no tenga
Internet, computadoras, teléfono y gente
vigilándome todo el tiempo ....
Apoyan:
Lidera:
Perfectamente…
Perfectamente. Se cancela.
Una cosa más señor…
VOY A USAR MI TARJETA DE
CRÉDITO POR ÚLTIMA VEZ
para comprar un billete de avión
e irme bien lejos.
¡¡PUEDE CANCELAR MI
PIZZA!!
¿¿Y AHORA
QUÉ??
Apoyan:
Lidera:
Su pasaporte está
vencido.
Apoyan:
Lidera:
•Artículo 15, Constitución
•Ley Estatutaria 1581 Del 17 de Octubre de 2012
LEY DE TRATAMIENTO DE DATOS PERSONALES
•Normatividad Superintendencia Protección Datos
•Ley 1266/2008 (Ley de Habeas Data)
•Datos de Solvencia Financiera
•Datos de Información Periodística
•Sector Telecomunicaciones
•e-Salud
•Inteligencia-Contrainteligencia
•Ley 1273/2009 (Reforma Código Penal)
Apoyan:
Lidera:
Artículo 15 de la Constitución
Todas las personas tienen derecho a su intimidad personal y familiar y a su buen
nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen
derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido
sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.
En la recolección, tratamiento y circulación de datos se respetarán la libertad y
demás garantías consagradas en la Constitución.
La correspondencia y demás formas de comunicación privada son inviolables. Sólo
pueden ser interceptadas o registradas mediante orden judicial, en los casos y con
las formalidades que establezca la ley.
Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e
intervención del Estado podrá exigirse la presentación de libros de contabilidad y
demás documentos privados, en los términos que señale la ley.
Apoyan:
Lidera:
Ley Estatutaria 1581
del 17 de Octubre de 2012
LEY DE TRATAMIENTO DE DATOS
PERSONALES
“Por la cual se dictan disposiciones generales
para la protección de datos personales”
Apoyan:
Lidera:
ARTICULO 1º. OBJETO
La presente ley tiene por objeto desarrollar el
derecho constitucional que tienen todas las personas
a conocer, actualizar y rectificar las informaciones que
se hayan recogido sobre ellas en bases de datos o
archivos, y los demás derechos, libertades y garantías
constitucionales a que se refiere el artículo 15 de la
Constitución Política; así como el derecho a la
información consagrado en el artículo 20 de la misma.
Apoyan:
Lidera:
ARTICULO 2°. Ámbito de aplicación.
Los principios y disposiciones contenidas en la presente ley
serán aplicables a los datos personales registrados en cualquier
base de datos que los haga susceptibles de tratamiento por
entidades de naturaleza pública o privada.
La presente ley aplicará al Tratamiento de datos personales
efectuado en territorio colombiano o cuando al Responsable
del Tratamiento o Encargado del Tratamiento no establecido en
territorio nacional le sea aplicable la legislación colombiana en
virtud de normas y tratados internacionales.
Apoyan:
Lidera:
Tratamientos excluidos:
Datos de ámbito exclusivamente personal o doméstico.
Cuando estas bases de datos o archivos vayan a ser
suministrados a terceros se deberá, de manera previa,
informar al Titular y solicitar su autorización.
En este caso los Responsables y Encargados de las bases de
datos y archivos quedarán sujetos a las disposiciones
contenidas en la presente ley.
Apoyan:
Lidera:
Tratamientos excluidos:
Bases de datos y archivos que tengan por finalidad la seguridad y
defensa nacional, así como la prevención, detección, monitoreo y
control del lavado de activos y el financiamiento del terrorismo.
Datos de Inteligencia y Contrainteligencia
Datos de información periodística
Datos regulados por la Ley 1266/ 2008
Datos regulados por la Ley 79/1993
Vivienda)
Apoyan:
(Censos de Población y
Lidera:
TÍTULO II
PRINCIPIOS RECTORES
Apoyan:
Lidera:
Principio de legalidad:
el tratamiento es una actividad reglada que debe sujetarse a lo establecido
en ella y en las demás disposiciones que la desarrollen.
Principio de finalidad:
el tratamiento debe obedecer a una finalidad legítima de acuerdo con la
Constitución y la ley, la cual debe ser informada al titular.
Apoyan:
Lidera:
Principio de libertad:
el tratamiento sólo puede ejercerse con el consentimiento, previo, expreso
e informado del titular. Los datos personales no podrán ser obtenidos o
divulgados sin previa autorización, o en ausencia de mandato legal o judicial
que releve el consentimiento.
Principio de veracidad o calidad:
la información sujeta a tratamiento debe ser veraz, completa, exacta,
actualizada, comprobable y comprensible. Se prohíbe el tratamiento de
datos parciales, incompletos, fraccionados o que induzcan a error.
Apoyan:
Lidera:
Principio de transparencia:
en el tratamiento debe garantizarse el derecho del titular a obtener del
responsable del tratamiento o del encargado del tratamiento, en cualquier
momento y sin restricciones, información acerca de la existencia de datos
que le conciernan.
Principio de acceso y circulación restringida:
el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o
por las personas previstas en la presente ley.
Los datos personales, salvo la información pública, no podrán estar
disponibles en internet u otros medios de divulgación o comunicación
masiva, salvo que el acceso sea técnicamente controlable para brindar un
conocimiento restringido sólo a los titulares o terceros autorizados
conforme a la presente ley.
Apoyan:
Lidera:
Principio de seguridad:
la información sujeta a tratamiento por el responsable del tratamiento o encargado del
tratamiento a que se refiere la presente ley, se deberá manejar con las medidas
técnicas, humanas y administrativas
que sean necesarias para otorgar seguridad a los registros evitando su adulteración,
pérdida, consulta, uso o acceso no autorizado o fraudulento.
Principio de confidencialidad:
todas las personas que intervengan en el tratamiento de datos personales que no
tengan la naturaleza de públicos están obligadas a garantizar la reserva de la
información, inclusive después de finalizada su relación con alguna de las labores que
comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos
personales cuando ello corresponda al desarrollo de las actividades autorizadas en la
presente ley y en los términos de la misma.
Apoyan:
Lidera:
TÍTULO III
CATEGORÍAS ESPECIALES DE DATOS
Apoyan:
Lidera:
Artículo 5°. Datos sensibles
aquellos que afectan la intimidad del Titular o cuyo uso indebido puede
generar su discriminación, tales como aquellos que revelen el:
•
•
•
•
•
•
•
•
•
origen racial o étnico,
la orientación política,
las convicciones religiosas o filosóficas,
la pertenencia a sindicatos, organizaciones sociales, de derechos
humanos
que promueva intereses de cualquier partido político
que garanticen los derechos y garantías de partidos políticos de
oposición,
datos relativos a la salud,
a la vida sexual
datos biométricos.
Apoyan:
Lidera:
Artículo 7°. Derechos de los niños,
niñas y adolescentes.
En el Tratamiento se asegurará el respeto a los derechos
prevalentes de los niños, niñas y adolescentes.
Queda proscrito el Tratamiento de datos personales de niños,
niñas y adolescentes, salvo aquellos datos que sean de
naturaleza pública.
Apoyan:
Lidera:
TÍTULO IV
DERECHOS Y CONDICIONES DE LEGALIDAD
PARA EL TRATAMIENTO DE DATOS
Apoyan:
Lidera:
Artículo 8°. Derechos de los titulares.
Derechos ARCO
Apoyan:
Lidera:
TÍTULO VII
DE LOS MECANISMOS DE
VIGILANCIA Y SANCIÓN
CAPÍTULO I
DE LA AUTORIDAD DE PROTECCIÓN DE
DATOS
Apoyan:
Lidera:
DATOS DE INFORMACIÓN PERIODÍSTICA
Apoyan:
Lidera:
Artículo 20 de la Constitución
Se garantiza a toda persona la libertad de expresar y difundir su
pensamiento y opiniones, la de informar y recibir información
veraz e imparcial, y la de fundar medios masivos de
comunicación.
Estos son libres y tienen responsabilidad social.
Se garantiza el derecho a la rectificación en condiciones de
equidad. No habrá censura.
Artículo 73 de la Constitución
La actividad periodística gozará de protección para garantizar su
libertad e independencia profesional.
Apoyan:
Lidera:
LEY 51 DE 1975
“Por el cual se reglamenta el ejercicio
del periodismo y se dictan otras disposiciones”.
Apoyan:
Lidera:
LEY 918 DE 2004
LEY 1016 DE 2006
Por la cual se adoptan normas legales, con meros
propósitos declarativos, para la protección laboral y
social de la actividad periodística y de comunicación a
fin de garantizar su libertad e independencia
profesional.
Apoyan:
Lidera:
DATOS INFORMACIÓN FINANCIERA
Apoyan:
Lidera:
Ley 1266/2008 (Ley de Habeas Data)
POR LA CUAL SE DICTAN LAS DISPOSICIONES GENERALES DEL
HABEAS DATA Y SE REGULA EL MANEJO DE LA INFORMACIÓN
CONTENIDA EN BASES DE DATOS PERSONALES, EN ESPECIAL LA
FINANCIERA, CREDITICIA, COMERCIAL, DE SERVICIOS Y LA
PROVENIENTE DE TERCEROS PAÍSES Y SE DICTAN OTRAS
DISPOSICIONES"
Apoyan:
Lidera:
DECRETO 1727 DE 2009
Por el cual se determina la forma en la cual
los operadores de los bancos de datos de
información financiera, crediticia, comercial,
de servicios y la proveniente de terceros
países, deben presentar la información de los
titulares de la información.
Apoyan:
Lidera:
DECRETO 2952 DE 2010
Por el cual se reglamentan los artículos 12 y 13
de la Ley 1266 de 2008
Apoyan:
Lidera:
ARTICULO 1°. Incumplimiento de las obligaciones por fuerza
mayor.
En el evento en que el incumplimiento de la(s) obligación(es) dineraria(s) a
cargo de un titular de información se origine en una situación de fuerza
mayor causada por el secuestro, la desaparición forzada o el desplazamiento
forzado de dicho titular, éste tendrá derecho a que el incumplimiento no se
refleje como información negativa en su reporte.
Apoyan:
Lidera:
ARTICULO 2°. Reporte de Información Negativa
En desarrollo de lo dispuesto en el inciso segundo del artículo 12 de
la Ley 1266 de 2008, el reporte de información negativa sobre
incumplimiento de obligaciones sólo procederá previa comunicación
al titular de la información, la cual podrá incluirse en los extractos
periódicos que las fuentes de información envíen a sus clientes,
siempre y cuando se incluya de manera clara y legible.
ARTICULO 3°. Permanencia de la Información Negativa:
En caso de mora inferior a dos (2) años, el término de permanencia
de la información negativa no podrá exceder el doble de la mora.
Apoyan:
Lidera:
SECTOR TELECOMUNICACIONES
Apoyan:
Lidera:
DECRETO 2870 DE 2007
El presente Decreto tiene por objeto establecer un marco
reglamentario que permita la convergencia en los servicios públicos
de telecomunicaciones y en las redes de telecomunicaciones del
Estado, asegurar el acceso y uso de las redes y servicios a todos los
habitantes del territorio, así como promover la competencia entre los
diferentes operadores.
Apoyan:
Lidera:
RESOLUCIÓN 2578 DE 2007
"POR LA CUAL SE REGLAMENTA EL ARTÍCULO 11 DEL DECRETO
DE 2870 DE 2007 Y SE DICTAN OTRAS DISPOSICIONES
ENTRE OTRAS SE GARANTIZA LA
INVIOLABILIDAD DE LAS TELECOMUNICACIONES".
Apoyan:
Lidera:
Fuente: MINTIC-SIUST
Apoyan:
Lidera:
Apoyan:
Lidera:
Apoyan:
Lidera:
e-Salud
Apoyan:
Lidera:
Apoyan:
Lidera:
Apoyan:
Lidera:
eSalud
Aplicaciones
asistenciales
Aplicaciones
eAdministración
Formación
Solución global de implantación de la eSalud
Apoyan:
Lidera:
INTELIGENCIACONTRAINTELIGENCIA
Apoyan:
Lidera:
DECRETO 4179 DE 2011
"Por el cual se crea un Departamento Administrativo y se establece
su objetivo, funciones y estructura.".
Apoyan:
Lidera:
ARTÍCULO 1º. CREACIÓN.
Créase un Departamento Administrativo que se denominará Dirección Nacional de
Inteligencia, como un organismo civil de seguridad, que desarrolla actividades de
inteligencia estratégica y contrainteligencia.
ARTICULO 2º. OBJETO
La Dirección Nacional de Inteligencia tendrá como objeto desarrollar actividades de
inteligencia estratégica y contrainteligencia para proteger los derechos y libertades de
los ciudadanos y de las personas residentes en Colombia, prevenir y contrarrestar
amenazas internas o externas contra la vigencia del régimen democrático, el orden
constitucional y legal, la seguridad y la defensa nacional, así como cumplir con los
requerimientos que en materia de inteligencia le hagan el
Presidente de la República y el Alto Gobierno para el logro de los fines esenciales del
Estado, de conformidad con la ley.
Apoyan:
Lidera:
ARTÍCULO 14. CENTRO DE PROTECCIÓN DE DATOS.
Son funciones del Centro de Protección de Datos las siguientes:
Recomendar a la Dirección General las políticas y procedimientos de
manipulación, transporte y custodia de documentos de acuerdo con la
normatividad vigente y el objeto de la entidad.
Controlar el ingreso y la salida de información a las bases de datos y archivos de inteligencia
estratégica y contrainteligencia de la entidad, garantizando su reserva constitucional y legal, de
acuerdo con la normatividad vigente.
Implementar los mecanismos de control para que la información de las bases de datos de
inteligencia estratégica y contrainteligencia, sean actualizados y depurados de acuerdo con lo
establecido en la ley.
Implementar los mecanismos para controlar que la información no sea almacenada en las bases de
datos de la Dirección Nacional de Inteligencia por las razones contempladas en el artículo 3º del
presente decreto.
Apoyan:
Lidera:
ARTÍCULO 14. CENTRO DE PROTECCIÓN DE DATOS. (cont)
Controlar que los procesos de manipulación, transporte y custodia de la información se adelanten de
acuerdo con los procedimientos establecidos e informar al Director General de cualquier hallazgo o
irregularidad encontrada en estos, en concordancia con el marco legal vigente.
Recomendar a la Dirección General políticas y procedimientos en materia de protección de la
información y la seguridad informática en la Dirección Nacional de Inteligencia, con el fin de evitar la
fuga o manipulación indebida de información, de acuerdo con el marco legal vigente.
Difundir al interior de la organización las políticas de seguridad de la información.
Apoyar el desarrollo y sostenimiento del Sistema Integrado de Gestión Institucional y la observancia de
sus recomendaciones en el ámbito de su competencia.
Ejercer las demás funciones que le sean asignadas y que correspondan a la naturaleza de la
dependencia.
Apoyan:
Lidera:
CÓDIGO PENAL
Apoyan:
Lidera:
LEY 1273-2009
"POR MEDIO DE LA CUAL SE MODIFICA EL CÓDIGO PENAL, SE CREA UN NUEVO
BIEN JURÍDICO TUTELADO - DENOMINADO
"DE LA PROTECCIÓN DE LA INFORMACIÓN Y DE LOS DATOS"·
Y SE PRESERVAN INTEGRALMENTE LOS SISTEMAS QUE UTILICEN LAS
TECNOLOGIAS DE LA INFORMACIÓN Y LAS COMUNICACIONES, ENTRE OTRAS
DISPOSICIONES".
Apoyan:
Lidera:
CAPITULO PRIMERO
De los atentados contra
la confidencialidad, la integridad y la disponibilidad
de los datos y de los sistemas informáticos
Apoyan:
Lidera:
ARTICULO 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO.
El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un
sistema informático protegido o no con una medida de seguridad, o se mantenga
dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a
excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96)
meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
ARTICULO 269B: OBSTACULIZACIÓN ILEGITIMA DE SISTEMA INFORMÁTICO O RED DE
TELECOMUNICACIÓN.
El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso
normal a un sistema informático, a los datos informáticos allí contenidos, o a una red
de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa
y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales
vigentes, siempre que la conducta no constituya delito sancionado con una pena
mayor.
Apoyan:
Lidera:
ARTICULO 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS.
El que, sin orden judicial previa intercepte datos informáticos en su origen,
destino o en el interior de un sistema informático, o las emisiones
electromagnéticas provenientes de un sistema informático que los trasporte
incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.
ARTICULO 269D: DAÑO INFORMÁTICO.
El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o
suprima datos informáticos, o un sistema de tratamiento de información o sus
partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho
(48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos
legales mensuales vigentes.
Apoyan:
Lidera:
ARTICULO 269E: USO DE SOFTWARE MALICIOSO.
El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda,
envíe, introduzca o extraiga del territorio nacional software malicioso u otros
programas de computación de efectos dañinos, incurrirá en pena de prisión de
cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios
mínimos legales mensuales vigentes.
ARTICULO 269F: VIOLACIÓN DE DATOS PERSONALES.
El que, sin estar facultado para ello, con provecho propio o de un tercero,
obtenga, compile, sustraiga, ofrezca, venda, intercambie, envie, compre,
intercepte, divulgue, modifique o emplee códigos personales, datos
personales contenidos en ficheros, archivos, bases de datos o medios
semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a
noventa y seis (96) meses y en multa de 100 a 1000 salarios
mínimos legales mensuales vigentes.
Apoyan:
Lidera:
ARTICULO 269G:
SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES.
El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique,
venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas
emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96)
meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre
que la conducta no constituya delito sancionado con pena más grave.
En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de
dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de
que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta
no constituya delito sancionado con pena más grave.
La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la
mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito..
Apoyan:
Lidera:
ARTICULO 269H: CIRCUNSTANCIAS DE AGRAVACIÓN PUNITIVA:
las penas imponible de acuerdo con los artículos descritos en este título, se aumentarán de la mitad
a las tres cuartas partes si la conducta se cometiere:
1.Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero,
nacionales o extranjeros.
2. Por servidor público en ejercicio de sus funciones
3. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo
contractual con este.
4. Revelando o dando a conocer el contenido de la información en perjuicio de otro.
5. Obteniendo provecho para si o para un tercero.
6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional.
7. Utilizando como instrumento a un tercero de buena fe.
8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha
información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de
profesión relacionada con sistemas de información procesada con equipos computacionales.
Apoyan:
Lidera:
CAPITULO SEGUNDO
De las atentados informáticos y otras infracciones
Apoyan:
Lidera:
ARTICULO 269I: HURTO POR MEDIOS INFORMÁTICOS y SEMEJANTES.
El que, superando medidas de seguridad informáticas, realice la conducta
señalada en el artículo 239 manipulando un sistema informático, una red de sistema
electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los
sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas
en el artículo 240 de este Código.
ARTICULO 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS.
El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio
semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un
tercero, siempre que la conducta no constituya delito sancionado con pena más grave,
incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en
multa de 200 a 1500 salarios mínimos legales mensuales vigentes.
la misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa
de computador destinado a la comisión del delito descrito en el inciso anterior, o de una
estafa.
Si la conducta descrita en los dos incisos anteriores tuviere una cuantía superior a 200
salarios mínimos legales mensuales, la sanción allí señalada se incrementará en la mitad.
Apoyan:
Lidera:
Articulo 58 CIRCUSTANCIAS DE MAYOR PUNIBILlDAD.
Son circunstancias de mayor punibilidad, siempre que no
hayan sido previstas de otra manera:
( ...)
17. Cuando para la realización de las conductas
punibles se utilicen medios
informáticos, electrónicos ó telemáticos.
Apoyan:
Lidera:
¿QUIÉN SE ENCARGA?
Apoyan:
Lidera:
Ley Estatutaria 1581
TÍTULO VI
DEBERES DE LOS RESPONSABLES DEL
TRATAMIENTO Y ENCARGADOS DEL
TRATAMIENTO
Apoyan:
Lidera:
Artículo 17. Deberes de los Responsables del
Tratamiento
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho
de hábeas data.
b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de
la respectiva autorización otorgada por el Titular.
c) Informar debidamente al Titular sobre la finalidad de la recolección y los
derechos que le asisten por virtud de la autorización otorgada.
d) Conservar la información bajo las condiciones de seguridad necesarias para
impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o
fraudulento.
Apoyan:
Lidera:
Artículo 17. Deberes de los Responsables
del Tratamiento (cont)
e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz,
completa, exacta, actualizada, comprobable y comprensible.
f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento,
todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las
demás medidas necesarias para que la información suministrada a este se mantenga
actualizada.
g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del
Tratamiento.
h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo
Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.
i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de
seguridad y privacidad de la información del Titular.
Apoyan:
Lidera:
Artículo 17. Deberes de los Responsables del Tratamiento (cont)
j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.
k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado
cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos.
l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en
discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el
trámite respectivo.
m) Informar a solicitud del Titular sobre el uso dado a sus datos.
n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de
seguridad y existan riesgos en la administración de la información de los Titulares.
o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y
Comercio.
Apoyan:
Lidera:
Artículo 18. Deberes de los Encargados del Tratamiento.
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los
términos de la presente ley.
d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco
(5) días hábiles, contados a partir de su recibo.
e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados
en la presente ley.
Apoyan:
Lidera:
Artículo 18. Deberes de los Encargados del
Tratamiento (cont).
f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado
cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos
por parte de los Titulares.
g) Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se
regula en la presente ley.
h) Insertar en la base de datos la leyenda “información en discusión judicial” una vez
notificado por parte de la autoridad competente sobre procesos judiciales relacionados
con la calidad del dato personal.
i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo
bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
Apoyan:
Lidera:
Artículo 18. Deberes de los Encargados
del Tratamiento (cont).
j) Permitir el acceso a la información únicamente a las personas que pueden tener
acceso a ella.
k) Informar a la Superintendencia de Industria y Comercio cuando se presenten
violaciones a los códigos de seguridad y existan riesgos en la administración de la
información de los Titulares.
l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de
Industria y Comercio.
Parágrafo. En el evento en que concurran las calidades de Responsable del
Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el
cumplimiento de los deberes previstos para cada uno.
Apoyan:
Lidera:
Artículo 18 (resumen)
Deberes de los Encargados del Tratamiento.
b) Conservar la información bajo las condiciones de seguridad necesarias para impedir
su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
f) Adoptar un manual interno de políticas y procedimientos para garantizar el
adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas
y reclamos por parte de los Titulares.
j) Permitir el acceso a la información únicamente a las personas que pueden tener
acceso a ella.
k) Informar a la Superintendencia de Industria y Comercio cuando se presenten
violaciones a los códigos de seguridad y existan riesgos en la administración de la
información de los Titulares.
Apoyan:
Lidera:
ECPD
EXPERTO CERTIFICADO
EN PROTECCIÓN DE DATOS PERSONALES
Apoyan:
Lidera:
La complejidad de la sencillez :
1º clase de matemática aplicada
Cualquier futuro ingeniero aprende la notación
matemática según la cual la suma de dos números
reales, como por ejemplo
11  2
puede ser escrita de manera tan simple. Sin embargo esta forma es
errónea debido a su banalidad y demuestra una falta total de estilo.
Apoyan:
Lidera:
El gran problema del consejo de
administración
• ¿Por qué el firewall no bloqueó la entrada no
autorizada?
• Porque el atacante era muy listo y tenía muchos
medios.
Apoyan:
Lidera:
(NIST SP 800-30)
Apoyan:
Lidera:
• ¿Por qué el firewall no bloqueó la entrada no
autorizada?
• Porque no habíamos implantado un sistema de análisis
de riesgos.
Apoyan:
Lidera:
Risk IT. ISACA
Apoyan:
Lidera:
NIST SP 800-30
Apoyan:
Lidera:
• ¿Por qué el firewall no bloqueó la entrada no
autorizada?
• Porque nos faltaba la gestión de riesgos.
Apoyan:
Lidera:
Risk IT. ISACA
Apoyan:
Lidera:
• ¿Por qué el firewall no bloqueó la entrada no autorizada?
• Porque no teníamos un sistema de gestión de seguridad.
Apoyan:
Lidera:
IT Baseline Protection Manual
Apoyan:
Lidera:
IT Baseline Protection Manual
Apoyan:
Lidera:
• ¿Por qué el firewall no bloqueó la entrada no
autorizada?
• Porque no teníamos un sistema de gestión de
seguridad de la información certificado.
Apoyan:
Lidera:
ISO 27000
1-POLÍTICA DE SEGURIDAD
2-ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD
3-CLASIFICACIÓN Y CONTROL DE ACTIVOS
4-SEGURIDAD
EN EL PERSONAL
5-SEGURIDAD
FÍSICA
Y DEL
ENTORNO
6-GESTIÓN DE
COMUNICACIONES
Y OPERACIONES
7-CONTROL DE ACCESOS
9-GESTIÓN DE INCIDENCIAS
10-GESTIÓN DE CONTINUIDAD DEL NEGOCIO
11-CUMPLIMIENTO
Apoyan:
8-DESARROLLO Y
MANTENIMIENTO
DE SISTEMAS
Lidera:
• ¿Por qué el firewall no bloqueó la entrada no autorizada?
• Porque no habíamos implantado un sistema de gestión de
servicios TI.
Apoyan:
Lidera:
ISO 20000
Gestión de la Responsabilidad, Documentación
Requerimientos, Competencias , Salvaguardas& Formación
Sistemas de Gestión
Planificación Implementación
Planificación nuevos servicio
Planificación, Implementación, Monitorización, Mejora
(Plan,
Do,
Check,
Act)
Planificación y Implementación de nuevos o servicios
modificados
Proceso de la provisión de servicio
Gestión de la capacidad
Continuidad del servicio
Gestión de la disponibilidad
Gestión de Niveles de servicio
Informes del servicio
Seguridad de la seguridad
De la información
Presupuestos Contabilidad
Del servicio
Procesos de Control
Gestión de la configuración
Gestión del Cambio
Procesos de Entrega
Gestión de Entrega
Procesos de Resolución
Gestión de Incidentes
Gestión de Problemas
Apoyan:
Procesos Relacionales
Gestión de las relaciones con
el negocio
Gestión de Suministradores
Lidera:
• ¿Por qué el firewall no bloqueó la entrada no autorizada?
• Porque nos faltaban más estándares que seguir.
Apoyan:
Lidera:
JTC 1/SC 27
IT Security techniques
ISO/IEC 7064:2003
Information technology -- Security techniques -- Check character systems
ISO/IEC 97962:2002
ISO/IEC 97963:2000
ISO/IEC 97971:1999
ISO/IEC 97972:2002
ISO/IEC 97981:1997
ISO/IEC 97982:1999
ISO/IEC 97982:1999/Cor 1:2004
Information technology -- Security techniques -- Digital signature schemes giving message
recovery -- Part 2: Integer factorization based mechanisms
Information technology -- Security techniques -- Digital signature schemes giving message
recovery -- Part 3: Discrete logarithm based mechanisms
Information technology -- Security techniques -- Message Authentication Codes (MACs) -Part 1: Mechanisms using a block cipher
Information technology -- Security techniques -- Message Authentication Codes (MACs) -Part 2: Mechanisms using a dedicated hash-function
Information technology -- Security techniques -- Entity authentication -- Part 1: General
ISO/IEC 97983:1998
ISO/IEC 97984:1999
ISO/IEC 97985:2004
ISO/IEC 97986:2005
Information technology -- Security techniques -- Entity authentication -- Part 3: Mechanisms
using digital signature techniques
Information technology -- Security techniques -- Entity authentication -- Part 4: Mechanisms
using a cryptographic check function
Information technology -- Security techniques -- Entity authentication -- Part 5: Mechanisms
using zero-knowledge techniques
Information technology -- Security techniques -- Entity authentication -- Part 6: Mechanisms
using manual data transfer
Information technology -- Security techniques -- Entity authentication -- Part 2: Mechanisms
using symmetric encipherment algorithms
Apoyan:
Lidera:
JTC 1/SC 27
IT Security techniques
ISO/IEC 9979:1999
Information technology -- Security techniques -- Procedures for the registration of
cryptographic algorithms
ISO/IEC 10116:1997
Information technology -- Security techniques -- Modes of operation for an n-bit block
cipher
Information technology -- Security techniques -- Hash-functions -- Part 1: General
ISO/IEC 10118-1:2000
ISO/IEC 10118-2:2000
Information technology -- Security techniques -- Hash-functions -- Part 2: Hash-functions
using an n-bit block cipher
ISO/IEC 10118-3:2004
Information technology -- Security techniques -- Hash-functions -- Part 3: Dedicated hashfunctions
Information technology -- Security techniques -- Hash-functions -- Part 4: Hash-functions
using modular arithmetic
ISO/IEC 10118-4:1998
ISO/IEC 11770-1:1996
Information technology -- Security techniques -- Key management -- Part 1: Framework
ISO/IEC 11770-2:1996
Information technology -- Security techniques -- Key management -- Part 2: Mechanisms
using symmetric techniques
ISO/IEC 11770-2:1996/Cor
1:2005
ISO/IEC 11770-3:1999
Information technology -- Security techniques -- Key management -- Part 3: Mechanisms
using asymmetric techniques
Apoyan:
Lidera:
JTC 1/SC 27
IT Security techniques
ISO/IEC 13335-1:2004
Information technology -- Security techniques -- Management of information and communications technology
security -- Part 1: Concepts and models for information and communications technology security management
ISO/IEC TR 13335-3:1998
Information technology -- Guidelines for the management of IT Security -- Part 3: Techniques for the
management of IT Security
ISO/IEC TR 13335-4:2000
Information technology -- Guidelines for the management of IT Security -- Part 4: Selection of safeguards
ISO/IEC TR 13335-5:2001
Information technology -- Guidelines for the management of IT Security -- Part 5: Management guidance on
network security
ISO/IEC 13888-1:2004
IT security techniques -- Non-repudiation -- Part 1: General
ISO/IEC 13888-2:1998
Information technology -- Security techniques -- Non-repudiation -- Part 2: Mechanisms using symmetric
techniques
ISO/IEC 13888-3:1997
Information technology -- Security techniques -- Non-repudiation -- Part 3: Mechanisms using asymmetric
techniques
ISO/IEC TR 14516:2002
Information technology -- Security techniques -- Guidelines for the use and management of Trusted Third Party
services
ISO/IEC 14888-1:1998
Information technology -- Security techniques -- Digital signatures with appendix -- Part 1: General
ISO/IEC 14888-2:1999
Information technology -- Security techniques -- Digital signatures with appendix -- Part 2: Identity-based
mechanisms
ISO/IEC 14888-3:1998
Information technology -- Security techniques -- Digital signatures with appendix -- Part 3: Certificate-based
mechanisms
ISO/IEC 148883:1998/Cor 1:2001
Apoyan:
Lidera:
JTC 1/SC 27
IT Security techniques
ISO/IEC 15292:2001
Information technology - Security techniques - Protection Profile registration procedures
ISO/IEC 154081:2005
Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general
model
ISO/IEC 154082:2005
Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 2: Security functional
requirements
ISO/IEC 154083:2005
Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 3: Security assurance
requirements
ISO/IEC TR 154431:2005
Information technology -- Security techniques -- A framework for IT security assurance -- Part 1: Overview and
framework
ISO/IEC TR 154432:2005
Information technology -- Security techniques -- A framework for IT security assurance -- Part 2: Assurance methods
ISO/IEC TR
15446:2004
Information technology -- Security techniques -- Guide for the production of Protection Profiles and Security Targets
ISO/IEC 15816:2002
Information technology -- Security techniques -- Security information objects for access control
ISO/IEC 15945:2002
Information technology -- Security techniques -- Specification of TTP services to support the application of digital
signatures
ISO/IEC 159461:2002
Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 1: General
ISO/IEC 159462:2002
Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 2: Digital
signatures
ISO/IEC 159463:2002
Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 3: Key
establishment
ISO/IEC 159464:2004
Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 4: Digital
signatures giving message recovery
Apoyan:
Lidera:
JTC 1/SC 27
IT Security techniques
ISO/IEC TR
15947:2002
Information technology -- Security techniques -- IT intrusion detection framework
ISO/IEC
17799:2005
Information technology -- Security techniques -- Code of practice for information security
management
ISO/IEC 180141:2002
Information technology -- Security techniques -- Time-stamping services -- Part 1: Framework
ISO/IEC 180142:2002
Information technology -- Security techniques -- Time-stamping services -- Part 2: Mechanisms
producing independent tokens
ISO/IEC 180143:2004
Information technology -- Security techniques -- Time-stamping services -- Part 3: Mechanisms
producing linked tokens
ISO/IEC 180283:2005
Information technology -- Security techniques -- IT network security -- Part 3: Securing
communications between networks using security gateways
ISO/IEC 180284:2005
Information technology -- Security techniques -- IT network security -- Part 4: Securing remote
access
Apoyan:
Lidera:
JTC 1/SC 27
IT Security techniques
ISO/IEC 18031:2005
Information technology -- Security techniques -- Random bit generation
ISO/IEC 18032:2005
Information technology -- Security techniques -- Prime number generation
ISO/IEC 180331:2005
Information technology -- Security techniques -- Encryption algorithms -- Part 1: General
ISO/IEC 180333:2005
Information technology -- Security techniques -- Encryption algorithms -- Part 3: Block ciphers
ISO/IEC 180334:2005
Information technology -- Security techniques -- Encryption algorithms -- Part 4: Stream
ciphers
ISO/IEC TR
18044:2004
Information technology -- Security techniques -- Information security incident management
ISO/IEC 18045:2005
Information technology -- Security techniques -- Methodology for IT security evaluation
ISO/IEC 21827:2002
Information technology -- Systems Security Engineering -- Capability Maturity Model (SSECMM®)
ISO/IEC 27001:2005
Information technology -- Security techniques -- Information security management systems -Requirements
Apoyan:
Lidera:
Después de mil explicaciones
Apoyan:
Lidera:
El teorema del punto y de la recta:
Apoyan:
Lidera:
Teorema del punto gordo
y la recta astuta
Apoyan:
Lidera:
Apoyan:
Lidera:
La cruda realidad
Apoyan:
Lidera:
LOS POR QUÉs
•
•
•
•
•
•
•
•
•
•
•
•
¿Por qué el firewall no bloqueo la entrada no autorizada?
Porque el atacante tenía el password
¿Por qué el atacante tenía el password?
Porque se lo dió un empleado
¿Por qué se lo dió un empleado?
Porque no era consciente del peligro.
¿Por qué no era consciente del peligro?
Porque nadie se lo explicó
¿Por qué nadie se lo explicó?
Porque nadie lo formó en PROTECCIÓN DE DATOS
Y porque la formación no es importante y
muy compleja, y muy costosa y muy …….
Apoyan:
Lidera:
¿Qué podemos hacer?
Apoyan:
Lidera:
GOBERNAR
TOMAR DECISIONES
Apoyan:
Lidera:
ECPD
EXPERTO CERTIFICADO EN PROTECCIÓN DE DATOS
• ¿Qué decisiones se han de tomar?
• ¿Quién las ha de tomar?
• ¿Quién provee la información?
• ¿Cómo se han de tomar?
• ¿Cuándo se han de tomar?
• ¿Cómo se han de monitorizar y controlar?
Apoyan:
Lidera:
Apoyan:
Lidera:
SEGURIDAD TOTAL
COSTE INFINITO
Apoyan:
Lidera:
MUCHAS GRACIAS
Antoni Bosch i Pujol,
CGEIT, CISA, CISM, ECPD
Director General Institute of Audit & IT-Governance
(IAITG)
Director del programa de Experto Certificado en
Protección de Datos (ECPD)
Director Máster en Auditoría, Seguridad, Gobierno y
Derecho de las TIC (UAM)
Director Data Privacy Institute (DPI-ISMS)
Presidente Fundador ISACA-Barcelona
antoni.bosch@iaitg.eu
Apoyan:
Descargar