©2015 Deloitte
Ley de Protección de Datos
Personales
Enterprise Risk Services, 2015
Enfoque práctico de adecuación
Contenido
1
1Introducción a la Privacidad y
normativa en Colombia
2Principales conceptos y
definiciones
3 Bases de datos y el RNBD
4 Autorización de los titulares
5 Medidas de protección
6 Sanciones
7 El proyecto de adaptación
8 Fuentes de interés
2
Introducción a la
Privacidad y la
normativa en
Colombia
©2015 Deloitte3
Introducción a la Privacidad y a la normativaDefinición de Privacidad
“The right to be left alone”
“Ability of an individual or
group to seclude themselves
or information about
themselves and thereby reveal
themselves selectively”
“The right of the individual to be
protected against intrusion into his
personal life or affairs, or those of his
family, by direct physical means or
by publication of information”
UK Calcutt Committee
1997
1890
Samuel Warren y Louis
Brandeis, Tribunal Superior
de Justicia, “The Right to
Privacy”
2013
Wikipedia
©2015 Deloitte4
Introducción a la Privacidad y a la normativaClases de privacidad
Información Corporal
Territorial Comunicaciones
Información Corporal
ComunicacionesTerritorial
©2015 Deloitte
Perú
Ley N° 29733 de
Protección de Datos
Personales
5
Introducción a la Privacidad y a la normativaMapa legislativo mundial
Canada Federal/provincial
PIPEDA, FOIPPA, PIPA
US Federal
GLBA, HIPAA, COPPA, Do
Not Call, Safe Harbor
Leyes estatales
Notificación Brechas 45 estados
SSN Use
Unión Europea
Directiva Protección Datos EU
y Leyes de los Estados
Miembros
España
Ley Orgánica de
Protección de Datos
Personales
Emiratos árabes
Ley Protección Datos
Dubai
Corea Sur
Acto de Promoción del
Uso de Información y
Redes de Comunicación,
y Protección de Datos
Japón
Acto de Protección de
Información Personal
Hong Kong
Ordenación
Privacidad Datos
Personales
Taiwan
Ley de Protección de
Datos Personales
computarizados
Australia
Enmienda Federal de
Privacidad, email spam
y regulaciones de
privacidad
Nueva Zelanda
Acto de Privacidad
India
Registro Nacional
Do Not Call
Sur África
Acto de Comunicaciones
y Transacciones
Electrónicas
Nota: no pretende ser un listado exhaustivo
©2015 Deloitte
Introducción a la Privacidad y a la normativaCronograma de la legislación Colombiana
6
Ley Estatutaria N° 1581
Decreto N° 1377 de 2013
Decreto N° 886 de 2014
Guía para la Implementación del Principio de Accountability
17 octubre
2012
27 junio
2013
13 mayo
2014
2015
7
Principales conceptos
y definiciones
©2015 Deloitte
“Cualquier información vinculada o que pueda asociarse a una o varias
personas naturales determinadas o determinables”
Toda información numérica, alfabética, gráfica, fotográfica, acústica o de
cualquier tipo referida a personas físicas identificadas o identificables.
En caso que estos datos estén disociados, es decir, que no se puedan relacionar
con ninguna persona física, no resultará de aplicación la normativa de protección
de datos.
Datos de Carácter
Personal
Introducción a la Privacidad y a la normativaDefiniciones
©2015 Deloitte
“Datos personales que afectan la intimidad del Titular o cuyo uso indebido
pueda generar su discriminación”
Datos de la esfera más íntima de la persona.
Datos biométricos; origen racial y étnico; ingresos económicos, opiniones o
convicciones políticas, religiosas, filosóficas o morales; afiliación sindical;
características físicas, morales o emocionales; familiar; e información relacionada
a la salud o a la vida sexual
Datos Sensibles
Introducción a la Privacidad y a la normativaDefiniciones
©2015 Deloitte
“Cualquier operación o conjunto de operaciones sobre datos personales, tales
como la recolección, almacenamiento, uso, circulación o supresión”
Automatizado o no
Extracción, consulta, registro, organización, almacenamiento, modificación,
bloqueo, suspensión, difusión o cualquier otra forma de procesamiento de datos
personales.
Tratamiento de Datos
Personales
Introducción a la Privacidad y a la normativaDefiniciones
©2015 Deloitte
“Conjunto de datos personales que sea objeto de Tratamiento”
Conjunto organizado de datos personales
Automatizado o no, independientemente del soporte, sea este físico, magnético,
digital, óptico u otros que se cree, cualquiera que fuere la forma o modalidad de
su creación, formación, almacenamiento, organización y acceso.
Base de Datos
Personales
Introducción a la Privacidad y a la normativaDefiniciones
©2015 Deloitte
Persona Natural
“Persona natural cuyos datos personales sean objeto de Tratamiento”
Es responsable de sus propios datos personales, debe conocer sus derechos y
obligacionesTitular
Introducción a la Privacidad y a la normativaDefiniciones
13
Roles y funciones
©2015 Deloitte
Roles y funcionesRoles externos
Titular
• Persona natural a la que corresponden los datos personales (propietario).
Responsable Tratamiento
• Decide sobre la base de datos y/o el tratamiento de Datos
Encargado Tratamiento
• Realiza el tratamiento por cuenta de del Responsable del Tratamiento
©2015 Deloitte15
Titular
Responsable
tratamiento
Encargado
tratamiento
Encargado
tratamiento
Encargado
tratamiento
Encargado
tratamiento
Responsable
tratamiento
Caso 1
Caso 2
Titular
Roles y funcionesRoles externos
©2015 Deloitte
Realiza el tratamiento de los datos personales por cuenta del responsable.
En ningún caso se convierte en Responsable de Tratamiento, por lo que el
intercambio de datos se realiza por medio de transmisión.
Debe existir un contrato
Existen obligaciones en la gestión de encargados, así como obligaciones por parte de
los encargados
Encargado del
Tratamiento
Tercero que recibe datos personales y se convierte a su vez en Responsable de
Tratamiento
No pueden realizarse a países que no cumplan los estándares de protección de datos
personales, y debe existir autorización para la transferencia internacional
Transferencia de
Datos Personales
Roles y funcionesRoles externos
Transmisión
Transferencia
©2015 Deloitte17
Roles y funcionesRoles internos
Comité LPDP
Oficial de Protección de
Datos
Responsables de Bases de Datos
Unidad ARCO
18
Bases de Datos y el
Registro Nacional de
Bases de Datos
©2015 Deloitte19
Bases de Datos y el RNBDEl Inventario de Bases de Datos
Finalidad Soporte
Tipo Titular
Finalidad
Operaciones
©2015 Deloitte20
Bases de Datos y el RNBDEjemplo 1
Declaración en España de
los ficheros de una
Entidad Bancaria, un total
de 19.
©2015 Deloitte21
Bases de Datos y el RNBDEjemplo 2
Declaración en España de
los ficheros de una
empresa aseguradora, un
total de 14.
©2015 Deloitte22
Bases de Datos y el RNBDEjemplo 3
Declaración en Perú de los
Bancos de una empresa
Retail, un total de 11.
23
Autorización de los
Titulares
©2015 Deloitte24
Autorización de los titularesCaracterísticas del consentimiento
Principio de finalidad de uso
Debe obtenerse consentimiento para todas las finalidades de uso
Previo, expreso, inequívoco, informado
En el caso de los datos sensibles, el tratamiento está prohibido
Debe existir prueba de la autorización, consultable
El titular puede revocarlo en cualquier momento
No se requiere sobre las fuentes accesibles al público
Regularización stock
Obtención del
Consentimiento del
Titular de Datos
Personales
©2015 Deloitte25
Obtención del
Consentimiento
Canales
Métodos
Autorización de los titularesMétodos y canales
©2015 Deloitte26
Autorización de los titularesAlgunas consideraciones
Clientes
• Clientes actuales y prospectos.
• Política de Tratamiento: las finalidades, canales consulta / reclamos, derechos
• Debe incluirse cláusula en contratos u otros documentos: reparto a domicilio, términos y condiciones via web, etc.
Proveedores
• Debe incluirse en contratos, ordenes de compra, compromisos u otros para personas naturales y/o con negocio.
• Analizar condición del proveedor: encargo , transferencia, acceso.
• Asume responsabilidad por consentimiento de titulares de datos proporcionados o transferidos.
Colaboradores
• Debe obtenerse tanto de postulante a colaborador como de colaborador.
• Debe incluirse en formatos o documentos de postulación y/o en contratos,.
• Posibles finalidades: relación laboral, documentos y material institucional , contacto, transferencia empresa grupo, beneficios.
• Datos de familiares : justificados / principio de finalidad.
©2015 Deloitte27
Autorización de los titularesAlgunas consideraciones
Política
TratamientoDifiere según la Base de DatosVideo- Vigilancia
Aviso de
privacidadWeb, cookies Control Acceso
Comunicación
ExternaPolíticas y PrivacidadAccionistas
28
Programa Integral de
Gestión de Datos
Personales (PIGDP)
©2015 Deloitte
PIGDPElementos del plan
12354
786
910
Compromiso, roles y funciones, reporte
Procedimientosoperativos
AdministraciónRiesgos
Formación y educación.
Gestión encargados
Comunicaciónexterna
Mejora contínua
Protocolo violacionese incidentes.
Políticas .
Inventario Bases de Datos
Autorización, principio de finalidad, calidad
LineamientosConservación y eliminación
Medidas de protecciónConsultas y reclamos
Mejora contínuaAuditoría
Identificación, medición, control, monitoreo
Adaptado a la
organizaciónPolíticas
efectivas
Responsabilidad
y cultura
©2015 Deloitte
PIGDPProcedimientos de consulta y reclamo
©2015 Deloitte
PIGDPAlgunos ejemplos de riesgos
©2015 Deloitte
Control de Accesos
Identificación de usuarios (usuario-contraseña, uso de certificados digitales,
tokens, entre otros).
Gestión de los privilegios
Revisiones periódicas de permisos
Procedimientos documentados, que definen los aspectos anteriores.
Mantenimiento de registros: usuario, hora de inicio y cierre de sesión, y acciones
relevantes
Gestión de las trazas: disponibilidad oportuna, almacenamiento, destrucción,
transferencia.
Trazabilidad
Gestión de respaldos y
conservación
Ambientes en los que se procese, almacene o transmita la información,
considerar las recomendaciones de seguridad física y ambiental
recomendadas en la “NTP ISO/IEC 17799 EDI”
Realización de respaldo y pruebas de recuperación.
Transmisión de datos Autorización del titular al envío al exterior de las instalaciones físicas.
Uso del mecanismo de protección aprobado por él (cifrado, checksum, etc.)
Au
tom
ati
zad
os
PIGDPControles técnicos - Automatizados
©2015 Deloitte
Almacenamiento
Los armarios / archivadores deberán encontrarse en áreas de acceso restringido.
Se deben mantener cerradas.
Si no fuera posible por las características del local, consultar con la Dirección
General de Protección de Datos Personales (DGPDP)
Las copias sólo podrán realizarse bajo el control del personal autorizado.
Destrucción de las copias desechadas.
Sólo por el personal autorizado
Registro de acceso en el caso de más de un usuario
El acceso de otros debe quedar registrado según las indicaciones de la
DGPDP.
Medidas para impedir el acceso o manipulación indebidos
No
Au
tom
ati
zad
os Copias de
Documentos
Acceso a Documentos
Traslado de
documentos
Prestación de servicios
Sólo el personal que lo requiere para el desempeño de sus funciones debe
acceder a los datos de carácter personal.
En el caso de personal ajeno, el contrato recogerá la prohibición de acceder a
los datos personales y la obligación de secreto.
PIGDPControles técnicos – No Automatizados
34
Sanciones
©2015 Deloitte
Sanciones
Sanciones en Colombia Sanciones en Perú
©2015 Deloitte
Sanciones en España
Sanciones
©2015 Deloitte
Sanciones
Sanciones en España
38
El proyecto
¿Por donde empezar?
©2015 Deloitte39
El proyecto de adaptaciónEquipo tipo del proyecto
Legal
Seguridad Información
Tecnología
Procesos
Equipo de trabajo Áreas involucradas
Áreas de negocio
Áreas de backoffice
Sistemas de Información
Auditoría Interna
©2015 Deloitte40
Fases para la adaptación
El proyecto de adaptaciónVisión global del proceso
I. Análisis de ciclo de vida del
dato
III. Análisis de brecha
IV. Definición del plan de
adaptación
V. Implementación
• La metodología que se presenta es fruto de una amplia experiencia en apoyar a nuestros clientes
a adaptarse con éxito a los requisitos legislativos
• El enfoque en fases permite abordar de forma gradual y comprensible un proyecto de esta
envergadura.
• Una de las fases clave para realizar una adaptación adecuada y razonable es la I, que trata de
conocer el ciclo de vida del dato.
• La ley tiene impactos a nivel organizativo, legal y técnico, por lo que se requiere un equipo
multidisciplinar para el despliegue del proyecto.
• Este proceso requiere la involucración de múltiples áreas de la compañía: negocio, áreas de
administración, sistemas de información, legal, etc., por lo que es necesario que el sponsor sea el
adecuado.
©2015 Deloitte41
Deloitte se refiere a Deloitte Touche Tohmatsu, una asociación suiza, o a una o más integrantes de su
red de firmas miembros, cada una de las cuales constituye una entidad separada e independiente
desde el punto de vista legal. Una descripción detallada de la estructura legal de Deloitte Touche
Tohmatsu y sus firmas miembros puede verse en el sitio web www.deloitte.com/pe