Tratamiento Responsable de los Datos Personales Pablo Alberto Malagón Torres [email protected]

Julio de 2013

Temas Centrales

1. Ciclo de vida del dato 2. Tratamiento del dato personal y sus riesgos 3. Sistema Integrado de Supervisión Inteligente 4. Preparándonos para el Registro Nacional de Base de Datos

Temas Centrales

1. Ciclo de vida del dato

2. Tratamiento del dato personal y sus riesgos 3. Sistema Integrado de Supervisión Inteligente 4. Preparándonos para el Registro Nacional de Base de Datos

1. Ciclo de vida del dato

La Gestión de la Información, es un conjunto de procesos por los cuales se controla el “ciclo de vida del dato”. Los procesos también comprenden la extracción, combinación, depuración y distribución de la información a los interesados. El objetivo de la Gestión de la Información es garantizar su integridad, disponibilidad y confidencialidad.

1. Ciclo de vida del dato Las organizaciones que trabajan con datos como materia prima, no sólo del tipo personal, adoptan un enfoque de “ciclo de vida del dato”, significa reconocer cómo se produce el flujo de información en sus procesos y actividades. • Identificar los procesos de obtención (por creación o captura). • Transformar, usar, almacenar, transferir (circular, compartir). • Eliminar o archivar (disposición final de los datos).

1. Ciclo de vida del dato Recolección • En qué parte del procedimiento o actividad se recogen los datos. • Es necesaria la recolección. • Qué información se debe recolectar. • Cómo se debe recolectar la información. • Se asegura la calidad de los datos a la hora de la captura de los mismos. • Los datos recogidos presentan sensibilidad o trazabilidad. • Se necesitan autorizaciones legales para la recolección.

1. Ciclo de vida del dato Mantenimiento y uso • Qué áreas o personas utilizan los datos y tiene accesos a información acorde con sus funciones. • En qué procedimientos o actividades internas se procesan los datos y si alguno de ellos requiere de la transferencia de los mismos. • Depurar datos. • Consolidar e integrar los datos. • Generar valor agregado a partir de los datos. • Medidas de seguridad o políticas de acceso. • Manipular, actualizar y respaldar los datos. • Asegurar la calidad de los datos.

1. Ciclo de vida del dato Supresión • Cuánto tiempo se conservan los datos en la organización y cuáles son los medios para su eliminación.

• Circunstancias y momento en que se debe eliminar la información o la Base de Datos. • Procedimientos de archivo documental con medidas de seguridad. • Se eliminan datos que se requiere mantener por otras Leyes o normas. • Se deben almacenar los datos eliminados con el fin de tomar medidas de prevención de solicitudes posteriores.

Temas Centrales

1. Ciclo de vida del dato 2. Tratamiento del dato personal y sus riesgos 3. Sistema Integrado de Supervisión Inteligente 4. Preparándonos para el Registro Nacional de Base de Datos

2. Tratamiento del dato personal Estadísticas Quejas presentadas por violación a las normas de protección de datos 2500

2.296 1.987

2000

1.432

1500 1.215

1000 654

500

0 2009

2010

2011

*: Cifras a 31 de mayo de 2013 Fuente: Delegatura para la Protección de Datos Personales. SIC.

2012

2013*

2. Tratamiento del dato personal AÑO 2010 2011 2012 2013* TOTAL

Estadísticas

VALOR $ 633.450.150 $ 2.300.402.400 $ 1.408.110.660 $ 604.827.000 $ 4.946.790.210

Valor sanciones por año protección de datos $ 2.500.000.000

$ 2.300.402.400

$ 2.000.000.000

$ 1.408.110.660

$ 1.500.000.000

$ 1.000.000.000 $ 633.450.150

$ 604.827.000

$ 500.000.000

$0 2010

2011

2012

*: Cifras a 31 de mayo de 2013 Fuente: Delegatura para la Protección de Datos Personales. SIC.

2013*

2. Tratamiento del dato personal Estadísticas MOTIVOS DE SANCIÓN CONCEPTO

PORCENTAJE

Veracidad

53%

Resolver los reclamos y peticiones del titular

22%

Comunicación previa

11%

Autorización

7%

Cumplir con las instrucciones que imparta la autoridad de control

2%

Informar al operador que determinada información se encuentra en por parte de su titular

discusión

2%

Acceso a la información por parte de los usuarios

1%

Garantizar al titular la posibilidad de conocer la información que sobre él reposa.

2%

Solicitar la certificación a la fuente de la existencia de la autorización otorgada por el titula Realizar periódica y oportunamente la actualización y rectificación de los datos, cada vez que le reporten novedades las fuentes TOTAL

Fuente: Delegatura para la Protección de Datos Personales. SIC.

0% 0% 100%

2. Tratamiento del dato personal Tratamiento Para la ley 1266/2008 • El “ciclo” comprende: recolección, tratamiento y Circulación. Dato personal: pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica.

Para la ley 1581/2012 • El “ciclo” (Tratamiento) es: recolección, almacenamiento, uso, circulación o supresión. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

2. Tratamiento del dato personal Recolección Tipos de datos personales • •

1266/2008: público, semiprivados y privado. 1581/2012: Sensibles.

Datos trazables: Aquella combinación de datos de carácter personal que puedan llevar a la ubicación de un individuo, aumentando su exposición.

Autorización previa e informada del Titular • •

1266/2008: Autorización y principio de finalidad. 1581/2012: Autorización del Titular y principio de finalidad.  

Debe existir prueba de la autorización y en un medio para posterior consulta. Temporalidad razonable y necesaria.

2. Tratamiento del dato personal Mantenimiento y Uso • • • • • •

Actualización de la autorización. Políticas y herramientas de seguridad. Clasificación de la información. Transferencia. Procedimiento para realizar oportunamente la actualización, rectificación o supresión de los datos erróneos. Gestión de incidentes.

Supresión •

• •

Procedimientos para atender la solicitud de revocar la autorización y/o solicitud de la supresión del dato. La solicitud no se realiza cuando el titular tenga un deber legal o contractual de permanencia en la base de datos. Supresión de identidad de los Titulares.

2. Tratamiento del dato personal

Riesgo Inherente

Establecer el contexto Identificar los Riesgos Analizar los Riesgos Evaluar los Riesgos

Monitoreo y Revisión

Comunicación y Consulta

Análisis de Riesgos

Tratar el Riesgo

Mitigado por

Controles de Riesgos

Riesgo Neto

2. Tratamiento del dato personal

POSIBILIDAD

Sensible

Ejemplo de Matriz de Riesgos Muy Alto Alto Medio Bajo Bajo

Medio IMPACTO

Trazable

Alto

Muy Alto

Temas Centrales

1. Ciclo de vida del dato 2. Tratamiento del dato personal y sus riesgos 3. Sistema Integrado de Supervisión Inteligente 4. Preparándonos para el Registro Nacional de Base de Datos

3. Sistema Integral de Supervisión Inteligente (SISI) Elementos conceptuales Supervisión por riesgos: Es un proceso estructurado, dirigido a evaluar los riesgos a que está expuesta una organización y su sistema de gestión de riesgos, para desarrollar un perfil de riesgo, y con base en éste asignar los recursos escasos de supervisión y tomar las medidas correctivas necesarias.

•

La supervisión por riesgos comprende: Una serie de subprocesos y actividades, que pueden ser no secuenciales, y que tienen por objetivo evaluar de manera permanente la gestión de los sujetos obligados.

Recopilar información

Monitoreo

Priorización

Inspección

Una Metodología para evaluar los riesgos y controles de los sujetos obligados. Actos administrativos

•Proceso de Supervisión del Riesgo de Protección de Datos Personales - RPDP

•

3. Sistema Integral de Supervisión Inteligente (SISI)

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

3. Sistema Integral de Supervisión Inteligente (SISI)

Recopilar información

Monitoreo

Priorización

•

•

El monitoreo presupone que se conoce el universo de vigilados y por ende, se puede realizar un análisis sobre las bases de datos registradas para conocer el ciclo de vida del dato en el vigilado. No obstante, el conocimiento de esté universo en el contexto del riesgo de protección de datos personales es una tarea muy laboriosa. Por lo tanto, es clave en el monitoreo a los sujetos obligados expandir la capacidad de supervisión sobre el universo “conocido” y en especial en el “desconocido” o sujetos obligados que no se registran.

Inspección

Actos administrativos

3. Sistema Integral de Supervisión Inteligente (SISI)

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

3. Sistema Integral de Supervisión Inteligente (SISI)

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

3. Sistema Integral de Supervisión Inteligente (SISI) •

El Riesgo Inherente es el riesgo intrínseco o propio de cada sujeto dado el impacto y posibilidad de materialización del riesgo de protección de datos personales.

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

3. Sistema Integral de Supervisión Inteligente (SISI)

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

3. Sistema Integral de Supervisión Inteligente (SISI) • •

El Riesgo Neto o Residual, resulta de la relación entre el grado de materialización del Riesgo inherente y la gestión en los Controles establecidos para la mitigación del riesgo. Al final, para cada sujeto obligado se obtiene una “matriz de riesgo” que ilustra el nivel de Riesgo Inherente evaluado, el Control aplicado, y el Riesgo Neto de protección de datos personales.

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

3. Sistema Integral de Supervisión Inteligente (SISI) •

•

Después de la Evaluación de Riesgo Neto es posible encontrar un número amplio de sujetos en el rango de riesgo “Muy Alto”. En este escenario, es posible “afinar” el interés de supervisión involucrando en el análisis algunas variables que pueden ser indicativas de problemas en la gestión del riesgo de protección de datos personales en las vigiladas. De esta manera, se obtiene un subgrupo de “altísimo nivel de interés de supervisión”.

Extracción

BD de Riesgo Neto o Residual

BD de Altísimo nivel de supervisión

Recopilar información

Monitoreo

Priorización

Inspección

•BD Monitoreo

•Matriz de Riesgo

Actos administrativos

3. Sistema Integral de Supervisión Inteligente (SISI)

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

3. Sistema Integral de Supervisión Inteligente (SISI) •

•

Las medidas de supervisión son los diversos tipos de decisiones y mecanismos de adopción, que se generan por parte de la Delegatura de Protección de Datos Personales, como resultado del proceso de supervisión, con el propósito de solucionar o mitigar las situaciones de alerta detectadas previamente en un sujeto obligado, a las cuales se requiere hacer seguimiento. Los actos administrativos expresan o manifiestan la voluntad de la administración para crear, modificar o extinguir situaciones jurídicas de interés particular o general.

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

Temas Centrales

1. Ciclo de vida del dato 2. Tratamiento del dato personal y sus riesgos 3. Sistema Integrado de Supervisión Inteligente 4. Preparándonos para el Registro Nacional de Base de Datos

4.Preparándonos para el R.N.B.D Registro Nacional de Base de Datos • Directorio público de las bases de datos sujetas a tratamiento que operan en el país. Busca ser el instrumento de libre consulta al ciudadano. • Control institucional de las bases de datos personales en manos de personas jurídicas y naturales. • Difunde y dar publicidad a la existencia de bases de datos de carácter personal. • Herramienta principal de verificación y control de la protección. • Conocer: nombre de la BD, responsable del tratamiento, finalidad, flujo. tipo de información que se maneja y datos de contacto. • Condiciones de seguridad con las que se realiza el tratamiento. • La obligación de registrar la BD recae sobre el responsable.

4.Preparándonos para el R.N.B.D

Recopilar información

Monitoreo

Priorización

Inspección

Actos administrativos

4.Preparándonos para el R.N.B.D Propuesta de datos a incorporar 1. Datos del responsable de la Base de datos 2. Canales para ejercer los derechos de: Conocer, Actualizar, Rectificar Suprimir y Revocar • Datos de la oficina de contacto y trámite. • Datos del Encargado del tratamiento. 3. Identificación y Finalidad de la Base de Datos • Nombre de la BD. • Descripción de la finalidad o finalidades. • Vigencia de la BD. • Registro de Incidentes de seguridad. • Volumen.

4.Preparándonos para el R.N.B.D Propuesta de datos a incorporar 4. Tipo de dato y tratamiento • Publico, Semiprivado o Privado. • Sensibles, tales como: Salud, Orientación sexual, Filiación política, Étnicos / origen racial, Convicción religiosa, Datos de Menores y adolescentes, Biométricos. • Trazables, tales como: documentos de identificación, registros de transacciones, localización, fotos y videos, dirección de correo, teléfono, dirección IP. Clase de base datos • Sistematizada. • Manual. Política de protección de datos

4.Preparándonos para el R.N.B.D Propuesta de datos a incorporar 4. Medidas de seguridad • Niveles básico, medio y alto. Ubicación de la Base de Datos • Bases de datos automatizadas y físicas.

5. Procedencia del dato • Autorización del titular (Medio en que se obtuvo y causales de exoneración, en caso que aplique).

6. Transferencia de Datos • Local • Internacional

4.Preparándonos para el R.N.B.D Propuesta de datos a incorporar Controles implementados Determinar si los controles existentes son: • Suficientes, efectivos y oportunos. • Manuales, automáticos. • Discrecionales, obligatorios. • Preventivos, detectivos o correctivos.

Registro de incidentes • • • • • •

Causa del incidente. Tipo de información expuesta. Cantidad de registros. Fecha del incidente. Fecha de descubrimiento. Descripción.

Muchas Gracias Pablo Alberto Malagón Torres [email protected]