gestión de evidencias de consentimiento de tratamiento de ... · implementación de controles...

Antonio Hernández Jaimes

Gestión de evidencias de consentimiento

de tratamiento de datos personales

• Privacidad, seguridad y habeas data.

• Estructura de las leyes de habeas data.

• Cumplimiento normativa habeas data.

• Gestión de evidencias de consentimiento para el

tratamiento de datos personales.

• Conclusiones.

ÍNDICE

PRIVACIDAD, SEGURIDAD Y HABEAS

DATAEn noviembre de 2014, un grupo de hackers rusos

accede a cerca de 73.000 cámaras digitales.

http://www.networkworld.com/article/2844283/microsoft-

subnet/peeping-into-73-000-unsecured-security-cameras-thanks-to-

default-passwords.html

EEUU: 4.591

Francia: 2.059

Holanda: 1.576

Foscam

Linksys

Panasonic

PRIVACIDAD, SEGURIDAD Y HABEAS

DATAEn 2014, se robaron 348 millones de identidades:

- Nombres: 69%

- SSN: 45%

- Direcciones: 43%

- Información financiera: 36%

- Fechas de nacimiento: 35%

Fuente: Internet Security Threat Report 2015 de la firma Symantec,

disponible en:

http://www.symantec.com/security_response/publications/threatreport.jsp

El robo de identidad es la base de los

siguientes esquemas de crimen:

• Subasta fraude.

• Fraude con tarjetas de crédito.

• Eliminación de deuda.

• Oportunidades de negocio o empleo.

• Fraude de servicios de custodia.

• Extorsión.

• Phishing/Spoofing.

• Pirámides.

• Lavado de activos.

• Trata de personas.

• Pornografía infantil.

PRIVACIDAD, SEGURIDAD Y HABEAS

DATA

ESTRUCTURA DE LAS LEYES DE HABEAS

DATA

“Que la persona tenga plena protección en su ser y en su propiedad

es un principio tan antiguo como el derecho común, pero se ha

encontrado necesario de vez en cuando definir de nuevo la

naturaleza exacta y el alcance de dicha protección. Políticas,

desarrollos sociales, y los cambios económicos implican el

reconocimiento de nuevos derechos, y el derecho común, en su

eterna juventud, crece para satisfacer las nuevas demandas de la

sociedad”.

(The Right to Privacy, Warren y Brandeis 1890)

Algunos elementos comunes:

• Derecho fundamental consagrado en la Constitución.

• Principios que deben respetarse (Seguridad, legalidad, finalidad, etc.).

• Consentimiento o autorización de tratamiento.

• Canales para ejercer derechos.

• Derechos: Consulta, actualización, eliminación, revocación de

autorización.

• Medidas de seguridad o incidentes relacionados con datos personales.

ESTRUCTURA DE LAS LEYES DE HABEAS

DATA

El cumplimiento de la normativa de habeas data es un reto para las

organizaciones y la implementación de los programas de protección

depende de la complejidad, tamaño y funciones del negocio. Algunos

factores que influyen en la complejidad de este cumplimiento son:

• Tamaño de la organización.

• Naturaleza jurídica de la organización.

• Naturaleza de los datos tratados.

• Tipo de tratamiento al que se someterá la información.

• Riesgos que implican para los titulares la recolección y posterior uso

o circulación de estos datos.

CUMPLIMIENTO NORMATIVA HABEAS DATA

El consentimiento o autorización de tratamiento por parte del titular:

• Pieza o elemento que legitimiza el tratamiento de sus datos

personales .

• Previo, expreso e informado.

• Objeto de consulta posterior, por lo que debe dejarse evidencia del

mismo.

• Puede darse en múltiples y diversas fuentes: encuestas, formularios

web, formatos físicos, llamadas telefónicas, etc.

• Se requiere diseñar e implementar una estrategia para mantener y

gestionar estos registros.

CUMPLIMIENTO NORMATIVA HABEAS DATA

1. Definición de políticas, procedimientos y funciones para

el cumplimiento de la normativa de habeas data,

incluyendo la creación del rol de Oficial de Protección

de Datos Personales y del Comité de Protección de

Datos Personales.

GESTIÓN DE EVIDENCIAS DE

CONSENTIMIENTO

2. Definición y estandarización de los tipos de evidencias de

autorización de acuerdo con los mecanismos de recolección

de datos personales:

• Físicos

• Formularios web o encuestas que recolectan datos personales.

• Correos electrónicos con autorización y consentimiento expreso del

tratamiento por parte de los titulares.

• Llamadas telefónicas de autorización.

GESTIÓN DE EVIDENCIAS DE

CONSENTIMIENTO

3. Implementación de controles técnicos para asegurar la

recolección de datos personales (Por ejemplo, https en

formularios web, cadenas de custodia en formatos físicos,

etc.).

4. Definición de procedimientos de reclamación y

revocación de consentimiento.

GESTIÓN DE EVIDENCIAS DE

CONSENTIMIENTO

5. Diseño e implementación de una estructura de datos

para registrar las evidencias y que permita ubicarlas

rápidamente en el evento de una reclamación por parte

del titular. Una estructura sugerida es la siguiente:

• Nombres (Alfanumérico)

• Apellidos (Alfanumérico)

• ID: Documento de identificación del titular. (Numérico)

• TimeStamp: DDMMAAA HH:MM:SS de la evidencia de

autorización.

• Fuente: (Alfanumérico) Posibles valores: Formulario web,

Formato físico

• Nombre del evento o del formulario: (Alfanumérico).

GESTIÓN DE EVIDENCIAS DE

CONSENTIMIENTO

5. Diseño e implementación de una estructura de datos

para registrar las evidencias y que permita ubicarlas

rápidamente en el evento de una reclamación por parte

del titular. Una estructura sugerida es la siguiente:

• DirIP: Dirección IP. Estructura: XXX.XXX.XXX.XXX. Aplica para

la fuente formulario web.

• ¿Digitalizado?: Posibles valores: Sí o No.

• Ruta/Ubicación: (Alfanumérico) Ruta UNC o repositorio de la

evidencia digitalizada.

• User: (Alfanumérico) Usuario que realiza el registro de la

evidencia.

GESTIÓN DE EVIDENCIAS DE

CONSENTIMIENTO

6. Controles en el CRM: El CRM (Customer Relationship

Management) es el sistema más importante en la estrategia

definida dado que ha sido adaptado para la gestión de

solicitudes de supresión/eliminación de información

personal, reclamaciones en curso y referencia a evidencias

de autorización. Cada registro de persona cuenta con un

indicador de su autorización o consentimiento de

tratamiento en el cual se referencia la ubicación de la

evidencia correspondiente.

GESTIÓN DE EVIDENCIAS DE

CONSENTIMIENTO

GESTIÓN DE EVIDENCIAS DE

CONSENTIMIENTO

Ejemplo atención solicitudes HD - Documento de Diseño CRM – Proyecto

Centralización de Bases de Datos de Contacto, Universidad del Norte,

Barranquilla, Colombia, 2015

7. Implementación de controles en el MDM (Master Data

Management) que permiten integrar los sistemas de

información que manejan datos personales con el CRM.

GESTIÓN DE EVIDENCIAS DE

CONSENTIMIENTO

GESTIÓN DE EVIDENCIAS DE

CONSENTIMIENTO

Ejemplo implementación ETL’s - Documento de Diseño MDM – Proyecto

Centralización de Bases de Datos de Contacto, Universidad del Norte,

Barranquilla, Colombia, 2015

8. Implementación al interior de la organización de

campañas de concienciación, capacitación y divulgación

sobre el tratamiento de datos personales y las políticas

definidas.

GESTIÓN DE EVIDENCIAS DE

CONSENTIMIENTO

- Las leyes de habeas data como iniciativas para la

proteger al ciudadano y combatir los delitos que

preocupan a la humanidad.

- Consentimiento expreso como acción que legitimiza el

tratamiento de datos personales y la gestión de las

evidencias.

- Controles técnicos y cadenas de custodia en el flujo de

información personal.

- Políticas, procedimientos y roles trasversales en la

organización.

- Fortalecer la conciencia de los usuarios.

CONCLUSIONES

Antonio Hernández Jaimes

Universidad del Norte, Barranquilla,

Colombia

ahernand@uninorte.edu.co

@antoniohdezj

GRACIAS!