servicios nyce protección de datos personales
TRANSCRIPT
Servicios PDP
Por qué la protección de datos personales
€
£
฿¥
$
¿Cuánto valen los datos personales?
Pasaportes reales
escaneados
1 a 2 US
Cuentas de juegos en Internet12 a 3,500 US
Tarjetas de crédito
robadas
50 centavos- 20 US
1,000 cuentas de correos electrónicos
10 US
1,000 seguidores2 a 12 US
Enviar spam
70 a 150 US
Género2.9 US
Nombre3.9 US
Localización GPS16 US
No. Teléfono5.9 US
Historial de compra
20 US
Historial de crédito
30 US
Passwords76 US
Fuente:Ponemon Institute, Privacy and Security in a Connected Life, Marzo 2015 http://goo.gl/C5pj89
¿Cuánto cuestan los datos robados y servicios de ataque en el mercado clandestino?Symantec http://goo.gl/e41bec
¿ Tu organización que datos personales trata ?
NombreEdadFecha de nacimientoEstado civilHábitosTeléfonoTrayectoria académicaFotografíaNacionalidadE-mailReligión
NombreE-mailUbicaciónNo. tarjetaCVVCelular
NombreDomicilioE-mailTeléfonoEstado de saludNo. tarjetaCVV
NombreE-mailUbicaciónFrecuencia cardiaca
NombreE-mailUbicación
NombreE-mailNo. tarjetaCVV
NombreE-mailNo. tarjetaCVV
Primer organismo en México
La LFPDPPP
“Artículo 1.- La presente Ley es de orden público y de observancia general
en toda la República y tiene por objeto la protección de los datos
personales en posesión de los particulares, con la finalidad de
regular su tratamiento legítimo, controlado e informado, a
efecto de garantizar la privacidad y el derecho a la
autodeterminación informativa de las personas.”
De la
Ley
Marco legal y normativo datos personales
Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Ley)
Reglamento de la LFPDPPP (Reglamento)
Lineamientos del aviso de privacidad (lineamientos)
Recomendaciones de Seguridad
(recomendaciones)
Recomendaciones para la designación de
la persona o Departamento de Datos Personales
Guía para implementar un
SGSDP
Parámetros de autorregulación en
materia de protección de datos personales
Guía para cumplir con los principios y deberes de la
LFPDPPP
Aviso de privacidad
Procedimientos para atención
de derechos ARCODesignación
de responsable
o departamento
al interior
Políticas de Seguridad y
protección de datos
Convenios de confidencialidad
y contratos
Inventario de
Datos personales y
sistemas de tratamiento
Identificación de personas que tratan los datos, privilegios, roles
y responsabilidades
Análisis de riesgos
Análisis de brecha
Datos
Identificar
Finalidades
¿Para qué?
Tratamientos
¿Qué voy a hacer con ellos?
Consentimiento
Tácito - Expreso
Evidencia
Privilegios de
Acceso y transferencias
Internos Externos
Capacitar al
personal
involucrado
Acciones y procedimientos
en caso de vulneración
Medidas de seguridad Administrativas Medidas de seguridad Físicas Medidas de seguridad Técnicas
Lo mínimo ….
Infracciones y sancionesIn
cum
plir
so
licit
ud
es A
RC
O
100-160mil DSMGVDF• Negligencia o dolo en trámites
ARCO• Declarar dolosamente
inexistencia• Incumplimiento de principios
de Ley• Omisiones en aviso de
privacidad• Datos inexactos• Incumplimiento de
apercibimiento
ApercibimientoR
ein
cid
enci
a
Las sanciones pueden duplicarse en caso de
Datos Sensibles
Delitos:
• 3 meses a 3 años de prisión – con ánimo de lucro, vulnerar seguridad a bases de datos
• 6 meses a 5 años de prisión – con ánimo de lucro indebido, tratar datos personales mediante engaño o error
200-320mil DSMGVDF• Incumplimiento de deber de
confidencialidad• Uso desapegado a la finalidad marcada
en Aviso• Transferir datos sin comunicar aviso de
privacidad• Vulneración a la seguridad• Transferir sin consentimiento del titular• Obstruir verificación de autoridad• Transferencia o cesión en contra de Ley• Recabar datos en forma engañosa o
fraudulenta• Uso ilegítimo de datos en caso de
solicitud de cese• Impedir ejercicio derechos ARCO• No justificar tratamiento de datos
sensibles
El INAI considerará:Naturaleza del dato (sensibles, financieros y patrimoniales)Negativa injustificada del Responsable a solicitudes del TitularIntencionalidad en la infracciónCapacidad económicaReincidencia
LFPD
PP
P C
apítu
lo X
y XI A
rtículo
63
al 69
Importe de multas por sector
Fuente: Elaboración propia con información de Informe de labores 2014,INAI
$7,566,862.00
$2,617,661.25
$36,456,817.00
$10,021,400.00
2013
Industria comercio y servicios
Salud
Financiero
Educación
Telecomunicaciones
Camaras y asociaciones
$28,945,911.84
$809,500.00
$12,770,810.00
2014
Industria comercio y servicios
Salud
Financiero
Educación
Telecomunicaciones
Camaras y asociaciones
Servicios disponibles
Inicial Intermedio Avanzado
Tipos de certificación
Personas Producto Empresas (esquemas)
Capacitación
Protección de datos personales
Capacitación
Fundamentos
Implementación SGDP
Avanzado
Conocimientos
Generales
Curso 8 horas
-Consultores
-Auditores
-Responsable al interior
Curso 16 horas
-Consultores
-Auditores
-Responsable al interior
Curso 40 horas
Certificación Personas
Profesionales el protección de datos personales
Criterios de calificación
Educación
Formación
Experiencia
Laboral Protección DP
JuniorMenor a 5 años
SeniorMayor a 5 años
Examen conocimientos
Caso práctico
Beneficios
Ventaja competitiva
Prestigio
Pertenecer red de profesionales DP (networking)
Actualización constante
Certificación profesional en protección de datos personales
Evaluación de atributos
Acreditado ante ema
Proceso de certificación profesionales
Examen de conocimientos
Adecuado
Aprobado 1 oportunidad
Caso práctico
Aprobado
Formato de aplicación y evidencias
Decisión sobre la Certificación Comisión Técnica de Certificación
Informe de
evaluación
Certificado(Vigencia 3 años)
Auditorias de vigilancia
(una vez al año)
Renovación de la certificación
NO
SI
SI
Aprobado
SI
SI
Notificación al candidato NO
NONotificación al
candidato
NO
1 oportunidad
Informe de mantenimiento de la
competencia(una vez al año)
Fin del proceso
Evaluación de atributos
Análisis de brecha y riesgos
Evaluación inicial responsables/encargados
¿A quién debo involucrar en mi organización?
RHOperacionesFinanzasSistemasMKTLegal
Se identifican las áreas de la organización que tratan datos personales
Entrevistas con cada área. Inventario datos personales. Tratamiento de los datos personales.
(Formatos, contratos, sistemas de información otras fuentes).
Identificación de posibles riesgos. Medidas implementadas para la
protección de los datos personales.
Formato sesiones
Uso
Divulgación
Bloqueo
Cancelación/Supresión
Ciclo de vida de los datos personales
AccesoMonitoreoProcesamiento
Transferencia
Destrucción
¿Cómo?
Políticas del SGSDP
Estructura Org. De la seguridad
Clasificación y acceso a activos
Seguridad del personal
Seguridad física y ambiental
Gestión de comunicaciones y
operaciones
Desarrollo y mantenimiento de
sistemas
Cumplimiento legalVulneraciones de Seguridad
Control de acceso
Medidas de seguridad DP
día día día
DIAS EN SITIO
Me
s
DÍA OFICINAS NYCE
día
Forma de trabajo
Informe AB y AR
Aviso de privacidad
Política de datos personales
Responsable
Inventario de sistemas de tratamiento
Finalidades
Terceros
Análisis y escenarios de
riesgos
Medidas de seguridad
Vulneraciones de seguridad
Plan de capacitación
Análisis de brecha cumplimiento y
PAV
ConclusionesPlan de trabajo
general
Certificación Responsables / Encargados
Esquemas de Autorregulación Vinculante (Empresas)
Esquemas combinados ( ISO 27001+ DP)
Esquemas de Autorregulación Vinculante (Empresas)
Marco legal EAV
RLFPDPPP
21 Diciembre 2011
Artículos 47, 79-86
LFPDPPP
5 Julio 2010
Artículo 44
Parámetros de Autorregulación en Materia de Datos Personales
29 Mayo 2014
Artículos 13-37
Esquema de autorregulación vinculante o esquema (EAV):Conjunto de principios, normas y procedimientos, de adopción voluntaria ycumplimiento vinculante, que tiene como finalidad regular el comportamiento de losresponsables y encargados respecto a los tratamientos de datos personales que lleven acabo.
Actores involucrados
Autoridad INAI
Autorregulación
REGISTRADA ANTE EL INAIAutorregulación mediante políticas y procedimientos
internos
ACREDITADA ANTE ENTIDAD COMPETENTE
Autorregulación certificada por un tercero
Acreditadorema
CertificadorNYCE
Responsable Responsable Responsable Responsables o encargados
Certificados por NYCE
Registro de Esquemas de Autorregulación Vinculante
Registro INAI
LFPDPPPRLFPDPPPLineamientos Aviso de PrivacidadMedidas compensatorias
Parámetros de AutorregulaciónArtículos 14-37 (SGDP)
Requisitos para certificación
14. Para que un esquema sea validado por el Instituto o cuente con una certificación reconocida por el Instituto deberá :
Desarrollar e implementar un Sistema de Gestión de Datos Personales
Parámetros de Autorregulación en Materia de Datos Personales
Etapas de un SGDP
Documentos de referencia
Construcción del EAV
• LFPDPPP• RLFPDPPP• Lineamientos AP• Medidas seguridad
• GSGSDP- Fases de SGSDP- Controles
• Manual para MIPYMES- Controles
ema
EAV reconocimientos
Certificación Esquema de Autorregulación Vinculante
EAV
Responsables o encargados adheridos
Esquemas combinados ( ISO 27001+ DP)
ISO 27001 + DP
ISO 27001 (SGSI)
Datos personales
(SGSDP)
Certificado ISO 27001
Certificado EAV registro
INAI
Auditoria en paralelo
80% 20%Cumplimiento
CERTIFICADO
(VIGENCIA DE 2 AÑOS)
SOLICITUD DE CERTIFICACIÓN
ACCIONES
CORRECTIVAS
SON
ADECUADAS?
EVALUACIÓN, ACUERDOS Y DECISIÓN
SOBRE LA CERTIFICACIÓN
ANÁLISIS DE LOS RESULTADOS DE LA AUDITORÍA
COMISIÓN TÉCNICA DE CERTIFICACIÓN
REVISIÓN
DOCUMENTAL
NO
NOSI
RENOVACIÓN DE LACERTIFICACIÓN
AUDITORIAS DE VIGILANCIA
REVISIÓN EN SITIO
INFORME
AUDITORIA DE CERTIFICACIÓN
NO
CONFORMIDADES
SI
INFORME
Proceso de certificación
Para todos los tamaños
Grandes Empresas
Medianas Empresas
Pequeñas empresas
Micro Empresas
Fin
anci
ero
Salu
d
Edu
caci
ón
Ind
ust
ria
Co
me
rcio
y s
erv
icio
s
Tele
com
un
icac
ion
es
Cám
aras
y
aso
ciac
ion
es
Call centers y contact centers
Agencias de viajes
Tiendas departamentales
Clubes deportivos
Entretenimiento
Hospitales
Clínicas
Cadenas de farmacias
Laboratorios
Servicios funerarios
Bancos
Seguros
Afores
Casas de bolsa
Escuelas
Universidades
Centros de capacitación
Centros de Idiomas
ISP
Telefonía
Servicios de suscripción
Para todos los sectores
Confianza de parte de los consumidores de productos o servicios
Prestigio al ostentar una certificación reconocida por el Gobierno Mexicano
Apego a estándares y normas internacionales
Adopción voluntaria del esquema
Atenuación de sanciones
Demostración de cumplimiento ante la autoridad
Registro REA
Beneficios
M.A. Miriam PADILLA ESPINOSASubgerente de Certificación de Protección de Datos
PersonalesNormalización y Certificación Electrónica S.C.
1204 5191 ext. 417
Katia MORALES LUQUEAnalista de Certificación de Protección de Datos
PersonalesNormalización y Certificación Electrónica S.C.
1204 5191 ext. 418
@Ing_Mili
GRACIAS