www.isaca.org.uy seguridad, información digital y el problema de los datos personales en la nube....

www.isaca.org.uy

Dra. Flavia Meleras BekermanEmail: flavia.meleras@gdait.com.uy

www.isaca.org.uy

2. Cloud Computing: Protección de Datos y sus desafíos

legales.

AGENDA:

1. Ley de Protección de Datos Personales…4 años después.

www.isaca.org.uy

Aplicación de la Ley de Protección de Datos Personales,

…4 años después.

www.isaca.org.uy

• La consultora Kroll en sociedad con The Economist Intelligence Unit, destacó que el 75% de las empresas registraron algún tipo de violación de Seguridad en el año 2011.

• Un 70% de los entrevistados (1275 ejecutivos de todo el mundo) identificaron que las violaciones vinieron de un funcionario interno o proveedor.

• El 23% de las violaciones

correspondieron a fugas de datos personales de la empresa o de los clientes.

Su empresa ya cumplió con la Ley de Protección de Datos Personales ?

www.isaca.org.uy

Cuales son las OBLIGACIONES que las empresas debían cumplir ....

www.isaca.org.uy

PRINCIPIOS y OBLIGACIONES CORRELATIVAS DE LAS EMPRESAS:

www.isaca.org.uy

Cuales son las SANCIONES por incumplimiento de la Ley ....

www.isaca.org.uy

Unidad Reguladora y de Control de Datos Personales (URCDP) podrá aplicar las siguientes sanciones a los RESPONSABLES y a los ENCARGADOS de TRATAMIENTO:

A)Realizar las inspecciones incluso a terceros

B) Solicitar ante la justicia competente las medidas pertinentes, cuando exista riesgo de pérdida de la prueba.

C) Comunicar las actuaciones al responsable de la base de

datos o encargado de tratamiento a efectos de otorgarle vista (10 días)

www.isaca.org.uy

Artículo 32.- Multas. El monto tope de las multas hasta 500.000 UI (Unidades Indexadas).

Artículo 33.- Suspensión de la base de datos hasta por 6 días hábiles.

www.isaca.org.uy

Resolución URCDP sobre cómo graduar las sanciones administrativas (acorde cambios Ley 18.719 de Presupuesto Nacional 2010 - 2014 ):

GRADUACIÓN: LEVE, GRAVE o MUY GRAVE.

Enumeración no taxativa de las eventuales conductas infractoras y su correlativa sanción a imponer.

Se atenderá a la gravedad, reiteración o reincidencia.

www.isaca.org.uy

Que sucedió hasta ahora....

www.isaca.org.uy

SE ACTUALIZARON BASE DE DATOS YA INSCRIPTAS

(Resolución 1647/2010)

DENUNCIAS ON LINE O PRESENCIAL

PUBLICADA LISTA de RESPONSABLES BASE

DE DATOS YA INSCRIPTAS

LISTA PUBLICADA PAISES CON NIVEL DE PROTECCIÓN

ADECUADO

Decreto 424/09 NUEVAS BASES DE DATOS

INSCRIBIRSE HASTA 90 DÍAS DESP. CREACIÓN

URCDP

www.isaca.org.uy

DICTAMEN URCDP 6/2011Compatibilidad facultades inspección URCDP y deber confidencialidad empresa de sus clientes por secreto profesional

SENTENCIA TCA 353/2011Destitución funcionario BROU por brindar información personal a terceras personas: CULPA GRAVE

SENTENCIA TCA 340/2011Suspensión funcionario OSE por utilizar sistema de OSE para descargar videos y fines personales. Sin goce sueldo.

SENTENCIA CIVIL 2 TURNO 41 / año 2009Condenada empresa por D y P por incluir a persona en BD de Deudores cuando ya no lo era.

www.isaca.org.uy

1

MULTAMULTA

CONSULTASCONSULTAS

ESTADISTICAS 2011 – URCDPFuente: MemoriaURCDP 2011

42 Patentes

OBSERVACIONESOBSERVACIONES

8

DENUNCIASDENUNCIAS

106

SUSPENSIÓN DE BASES DE DATOS DE

OFICIO

SUSPENSIÓN DE BASES DE DATOS DE

OFICIO

www.isaca.org.uy

VIDEOVIGILANCIA sin aviso

SPAM

Comunicación de datos sin permiso

106 Denuncias: PRINCIPALES MOTIVOS:

Inclusión en base de datos en instituciones crediticias

Derecho al olvido debido a la inclusión en un sitio web oficial de una sanción que ya caducó

www.isaca.org.uy

DELITOS PENALES relacionados :

www.isaca.org.uy

Cloud Computing

CLOUD COMPUTING

Protección de DatosDesafíos Legales

www.isaca.org.uy

www.isaca.org.uy

La evolución tecnológica y la de los

negocios no puede estar disociada de la

evolución y la seguridad jurídica.

La evolución tecnológica y la de los

negocios no puede estar disociada de la

evolución y la seguridad jurídica.

www.isaca.org.uy

¿Qué es el Cloud Computing?

Modelo de prestación de servicios tecnológicos que permite el acceso bajo demanda y a través de la red a un conjunto de servicios:

correo electrónico, almacenamiento de documentos, aplicaciones varias de contabilidad, bases de datos, compartir documentación e información con clientes sin necesidad de disponer de servidores o software ya que los datos se encuentran en algún lugar de Internet.

www.isaca.org.uy

www.isaca.org.uy

www.isaca.org.uy

www.isaca.org.uy

UBICACIÓN DE LOS DATOS PERSONALES… riesgos en cuanto a su proteccióN

Datos almacenados “en la nube” se encuentren físicamente en un momento en un servidor ubicado en cualquier punto del planeta y rápidamente en otro.

Ventajas: En materia de seguridad a quien quiera violarla se le dificulta seguir esos datos que mudan permanentemente de servidor.

Desventajas: DIFICULTAD en el caso de que los servidores se encuentren en terceros países en los que no exista un nivel de protección de datos equivalente al Europeo o al Convenio de Porto Seguro.

www.isaca.org.uy

No se considera comunicación o cesión de datos el acceso por parte de un Encargado de tratamiento, que resulte necesario para la prestación de un servicio al responsable, salvo que este acceso implique la existencia de un nuevo vínculo entre el encargado del tratamiento y el titular.

•SI DATOS PERSONALES se transmiten y tratan fuera de Uruguay •Responsable establecido en Uruguay•hay TRANSFERENCIA INTERNACIONAL DE DATOS y hay casos que se debe solicitar autorización de URCDP.

www.isaca.org.uy

Ranking de los 3 países hacia donde se realiza la mayor cantidad de transferencias internacionales de datos desde Uruguay como país de origen:

www.isaca.org.uy

ENCARGADO DE TRATAMIENTO

Prestación de servicios informatizados de datos personales. Artículo 30.

Cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aún para su conservación.

Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa ….en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años.

www.isaca.org.uy

MEDIDAS DE SEGURIDAD. El Responsable de la base de datos (RP)deberá establecer exactamente las MEDIDAS

TECNICAS y ORGANIZATIVAS que el Encargado de Tratamiento

(ET) deberá adoptar:

www.isaca.org.uy

www.isaca.org.uy

www.isaca.org.uy

Garantías y cláusulas INFALTABLES en un contrato ENTRE EMPRESA con el prestador de CLOUD ( o sea

entre RD y ET):

• Disponibilidad permanente del servicio por el ET,

• Portabilidad de la información: entrega final con opción para guardar empresa o trasladar a otro proveedor, • Jurisdicción aplicable en función de la territorialidad,

• ET asumir su responsabilidad como Encargado de Tratamiento frente a eventuales sanciones

• ET mantener indemne al RD,

• Gestión de contrataciones para el tratamiento de la información por el Responsable no por el ET.

www.isaca.org.uy

•Seguridad de los datos respecto a los empleados del prestador del servicio de Cloud. DELITO,

•Revelación de Secretos.

ACTUALIZAR CONTRATOS DE SERVICIOS SI ESTOS YA EXISTIERAN.

www.isaca.org.uy

¿Qué legislación es aplicable al contrato entre su empresa y el Proveedor de Cloud respecto a Protección de Datos Personales?

La contratación de un servicio Cloud Computing por una empresa URUGUAYA, que trate datos según art 3 del Decreto 414/09, debe observar el cumplimiento de todos los requerimientos establecidosen la LPDP.

www.isaca.org.uy

JURISDICCION APLICABLE ???

EMPRESA URUGUAYAPROVEEDOR CLOUD COMPUTING

www.isaca.org.uy

CONCLUSIONES

www.isaca.org.uy

Como empresa tenemos que proteger nuestros datos personales y los que los depositaron en nuestra confianza (CLIENTES), porque el ladrón digital va detrás de esa riqueza ....

www.isaca.org.uy

¿Preguntas?

Muchas Gracias

Dra. Flavia Meleras Bekerman

flavia.meleras@gdait.com.uy