presentacion webinar "implementación de la ley 1581 de 2012"
TRANSCRIPT
Ing. Gilber Corrales Rubiano Consultor Independiente
@gilbercorrales
Junio 8 de 2016
Implementación de la Ley 1581 de 2012
AGENDA
1. Marco normativo de protección de datos personales en Colombia (Juan Manuel Pinzón Cáceres)
2. Principio de “Responsabilidad demostrada”
3. Instrumento Diagnóstico Programa de Protección de Datos Personales
Marco normativo de protección de datos personales en Colombia
Art. 15 Constitución Política
Sentencia Corte C-1011
Ley Estatutaria 1266
Ley 1273
Decreto 1727
Decreto 2952
Sentencia Corte C-748
Decreto 4886
Ley Estatutaria 1581
Resolución Nº 76434
Decreto 1377
Decreto 886
Decreto 1074
Circular SIC E-2
Hoy (Junio 2016)
Incripción RNBD (08/11/2016)
1990 1995 2000 2005 2010 2015
Fuente: elaboración propia (Gilber Corrales Rubiano)
“Los Responsables del Tratamiento de datos personales
deben ser capaces de demostrar, a petición de la
Superintendencia de Industria y Comercio, que han
implementado medidas apropiadas y efectivas para
cumplir con las obligaciones establecidas en la Ley
1581 de 2012” y el Capítulo 25 del Decreto 1074 de
2015.
Fuente: Artículo 2.2.2.25.6.1. Demostración Decreto 1074 de 2015.
Principio de “Responsabilidad demostrada” (Accountability en inglés)
“una entidad que recoge y hace tratamiento de datos
personales debe ser responsable del cumplimiento
efectivo de las medidas que implementen los principios
de privacidad y protección de datos” (OCDE*, 2013
pág. 5).
Principios asociados
Accountability • Privacidad • Protección
Datos Personales
* Organización para la Cooperación y el Desarrollo Económicos (OCDE)
1. La naturaleza jurídica del responsable y, cuando sea del
caso, su tamaño empresarial, teniendo en cuenta si se trata
una micro, pequeña, mediana o gran empresa, de acuerdo
con la normativa vigente.
2. La naturaleza de los datos personales objeto del tratamiento.
3. Tipo de tratamiento.
4. Los riesgos potenciales que referido tratamiento podrían
causar sobre los derechos de los titulares.
Fuente: Artículo 2.2.2.25.6.1. Demostración Decreto 1074 de 2015.
Cumplir de manera proporcional a:
Programa Integral de Gestión de Datos Personales
“…los Responsables del Tratamiento deben contar con
un Programa Integral de Gestión de Datos Personales y
estar preparados para demostrar la implementación
efectiva de esas medidas en la organización.” (OCDE,
2013 pág. 5).
Accountability Programa de Gestión de
Datos Personales
Guía para la implementación del Principio de Responsabilidad Demostrada (Accountability)
“Este documento responde al
llamado de la industria que ha
solicitado mayor orientación en el
camino de construir un Programa
Integral de Gestión de Datos
Personales y se dirige a quienes
estén sometidos al cumplimiento
del régimen general de Protección
de Datos Personales y sean
vigilados por la Superintendencia
de Industria y Comercio”
Mayo 28 de 2015
Fuente: http://www.sic.gov.co/drupal/noticias/guia-para-la-implementacion-del-principio-de-responsabilidad-demostrada
Guía para la implementación del Principio de Responsabilidad Demostrada (Accountability)
Fuente: http://www.sic.gov.co/drupal/noticias/guia-para-la-implementacion-del-principio-de-responsabilidad-demostrada
1. La responsabilidad demostrada o "Accountability"
2. El rol del oficial de protección de datos
3. El Programa integral de gestión de datos
personales
4. El sistema de administración de riesgos asociados
al tratamiento de datos personales
5. Un plan de supervisión y revisión
¿Qué pasos seguir?
1. Realice un diagnóstico apoyado en la Guía de la SIC 2. Elabore un inventario de las bases de datos 3. Identificar:
• Recolección: ¿qué recolecto y por qué canales? • Almacenamiento: nube o servidores propios • Acceso: ¿cómo accedo? • Uso:
¿Quiénes están usando la información? ¿Es para los fines previstos? En caso contrario hay que ajustar los fines en el aviso de privacidad para que coincidan.
• Circulación: ¿Quiénes dentro y quiénes fuera? ¿Existe transferencia internacional de datos?
Reflexión 2: ¿…Qué pasos seguir?
4. Asigne: un responsable del manejo de la información 5. Adopte medidas de seguridad adecuadas evitando:
• Adulteración de información (Integridad) • Pérdida de información (Disponibilidad) • Consultas o accesos no autorizados
(Confidencialidad) 6. Elabore: su política de tratamiento y su Aviso de
Privacidad 7. Registre: sus bases de Datos en el Registro Nacional
Fuente: adaptado Conferencia “Ley de Protección de Datos” Santiago Peláez Galmarini (Junio, 2015)
Instrumento Diagnóstico Programa de Protección de Datos Personales
0%
20%
40%
60%
80%
100%
III) Fundamentos básicos del programa de protección de datos
IV) Evaluación y revisión continua V) Demostración de cumplimiento
Diagnóstico Programa de Protección de Datos en Emcali
Porcentaje de …
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
1.1 Desde la dirección
1.2 Oficial de protección de datos
1.3 Presentación de informes
2.1 Procedimientos operacionales
2.2 Inventario de las bases de datos con información personal
2.3 Políticas
2.4 Sistema de administración de los riesgos asociados al tratamiento de datos personales
2.5. Requisitos de formación y educación2.6 Protocolos de respuesta de violación y
manejo de incidentes
2.7 Gestión de los Encargados del Tratamiento en las transmisiones internacionales de datos
personales
2.8 Comunicación Externa
A.1 Plan de supervisión y revisión
B.1 Monitoreo
B.2 Revisión continua
V.1 Implementación del Programa Integral de Gestión de Datos Personales
Porcentaje de Cumplimiento Controles-Actividades Programa de Protección de Datos
Porcentaje de Cumplimiento
Reflexión : “La norma se debe incorporar a la gestión operativa de la Entidad”
• Las políticas de protección de datos personales se
deben materializar en procedimientos, protocolos
y acciones, que entre otras cosas permitan
mantener un inventario de bases de datos
actualizado donde se identifiquen los datos
sensibles que son tratados.
FIN Muchas Gracias!