Documente Academic
Documente Profesional
Documente Cultură
Personales
Enfoque práctico de adecuación
Enterprise Risk Services, 2015
©2015 Deloitte
Contenido
Introducción a la Privacidad y
1
normativa en Colombia
Principales conceptos y
2
definiciones
3 Bases de datos y el RNBD
4 Autorización de los titulares
5 Medidas de protección
6 Sanciones
7 El proyecto de adaptación
8 Fuentes de interés
1
Introducción a la
Privacidad y la
normativa en
Colombia
2
Introducción a la Privacidad y a la normativa
Definición de Privacidad
“Ability of an individual or
group to seclude themselves
“The right to be left alone” or information about
themselves and thereby reveal
UK Calcutt Committee themselves selectively”
1997
1890 2013
“The right of the individual to be
Samuel Warren y Louis Wikipedia
protected against intrusion into his
personal life or affairs, or those of his
Brandeis, Tribunal Superior family, by direct physical means or
de Justicia, “The Right to by publication of information”
Privacy”
3 ©2015 Deloitte
Introducción a la Privacidad y a la normativa
Clases de privacidad
Información Corporal
Territorial Comunicaciones
4 ©2015 Deloitte
Introducción a la Privacidad y a la normativa
Mapa legislativo mundial Emiratos árabes Corea Sur
Ley Protección Datos Acto de Promoción del
Japón
Dubai Uso de Información y
Acto de Protección de
Redes de Comunicación,
Canada Federal/provincial Información Personal
y Protección de Datos
PIPEDA, FOIPPA, PIPA
Unión Europea
Directiva Protección Datos EU
y Leyes de los Estados
Miembros
US Federal España
GLBA, HIPAA, COPPA, Do Ley Orgánica de Hong Kong
Not Call, Safe Harbor Protección de Datos Ordenación
Personales Privacidad Datos
Personales
Leyes estatales
Notificación Brechas 45 estados
SSN Use
Taiwan
Ley de Protección de
India Datos Personales
Registro Nacional computarizados
Do Not Call
Ley Estatutaria
N° 1581 17 octubre
2012
Decreto N° 1377
de 2013
27 junio
2013
Decreto N° 886
de 2014
13 mayo
2014
Guía para la
Implementación
del Principio de
Accountability
2015
6 ©2015 Deloitte
Principales conceptos
y definiciones
7
Introducción a la Privacidad y a la normativa
Definiciones
©2015 Deloitte
Introducción a la Privacidad y a la normativa
Definiciones
“Datos personales que afectan la intimidad del Titular o cuyo uso indebido
Datos Sensibles pueda generar su discriminación”
Datos de la esfera más íntima de la persona.
Datos biométricos; origen racial y étnico; ingresos económicos, opiniones o
convicciones políticas, religiosas, filosóficas o morales; afiliación sindical;
características físicas, morales o emocionales; familiar; e información relacionada
a la salud o a la vida sexual
©2015 Deloitte
Introducción a la Privacidad y a la normativa
Definiciones
©2015 Deloitte
Introducción a la Privacidad y a la normativa
Definiciones
©2015 Deloitte
Introducción a la Privacidad y a la normativa
Definiciones
Persona Natural
©2015 Deloitte
Roles y funciones
13
Roles y funciones
Roles externos
Responsable
Titular Tratamiento Encargado Tratamiento
• Persona natural a la que • Decide sobre la base de • Realiza el tratamiento por
corresponden los datos datos y/o el tratamiento de cuenta de del Responsable
personales (propietario). Datos del Tratamiento
©2015 Deloitte
Roles y funciones
Roles externos
Caso 2
Caso 1 Responsable
tratamiento
Encargado
tratamiento
Responsable
tratamiento Encargado
tratamiento
Encargado Encargado
tratamiento tratamiento
Titular
Titular
15 ©2015 Deloitte
Roles y funciones
Roles externos
Transmisión
Transferencia
©2015 Deloitte
Roles y funciones
Roles internos
Comité LPDP
Oficial de
Protección de
Datos
17 ©2015 Deloitte
Bases de Datos y el
Registro Nacional de
Bases de Datos
18
Bases de Datos y el RNBD
El Inventario de Bases de Datos
Finalidad Soporte
Operaciones
Finalidad
Tipo Titular
19 ©2015 Deloitte
Bases de Datos y el RNBD
Ejemplo 1 Declaración en España de
los ficheros de una
Entidad Bancaria, un total
de 19.
20 ©2015 Deloitte
Bases de Datos y el RNBD
Ejemplo 2 Declaración en España de
los ficheros de una
empresa aseguradora, un
total de 14.
21 ©2015 Deloitte
Bases de Datos y el RNBD
Ejemplo 3
Declaración en Perú de los
Bancos de una empresa
Retail, un total de 11.
22 ©2015 Deloitte
Autorización de los
Titulares
23
Autorización de los titulares
Características del consentimiento
Principio de finalidad de uso
Obtención del
Debe obtenerse consentimiento para todas las finalidades de uso
Consentimiento del
Titular de Datos Previo, expreso, inequívoco, informado
Personales En el caso de los datos sensibles, el tratamiento está prohibido
Debe existir prueba de la autorización, consultable
El titular puede revocarlo en cualquier momento
No se requiere sobre las fuentes accesibles al público
Regularización stock
24 ©2015 Deloitte
Autorización de los titulares
Métodos y canales Métodos
Obtención del
Consentimiento
Canales
25 ©2015 Deloitte
Autorización de los titulares
Algunas consideraciones
Proveedores
Clientes
• Debe incluirse en contratos, ordenes de
compra, compromisos u otros para
• Clientes actuales y prospectos. personas naturales y/o con negocio.
• Política de Tratamiento: las finalidades, canales • Analizar condición del proveedor: encargo ,
consulta / reclamos, derechos transferencia, acceso.
• Debe incluirse cláusula en contratos u otros • Asume responsabilidad por consentimiento
documentos: reparto a domicilio, términos y de titulares de datos proporcionados o
condiciones via web, etc. transferidos.
Colaboradores
• Debe obtenerse tanto de postulante a colaborador como de colaborador.
• Debe incluirse en formatos o documentos de postulación y/o en contratos,.
• Posibles finalidades: relación laboral, documentos y material institucional , contacto,
transferencia empresa grupo, beneficios.
• Datos de familiares : justificados / principio de finalidad.
26 ©2015 Deloitte
Autorización de los titulares
Algunas consideraciones
Política
Video- Vigilancia Difiere según la Base de Datos
Tratamiento
Aviso de
Web, cookies Control Acceso
privacidad
Comunicación
Accionistas Políticas y Privacidad
Externa
27 ©2015 Deloitte
Programa Integral de
Gestión de Datos
Personales (PIGDP)
28
PIGDP Adaptado a la Políticas Responsabilidad
Elementos del plan organización efectivas y cultura
1
23
Compromiso, roles y funciones,
reporte
Lineamientos
Inventario Bases de Autorización, principio de finalidad,
Conservación y eliminación Datos
4 56
Medidas de protección Procedimientos calidad
Consultas y reclamos operativos
Mejora contínua Políticas .
Auditoría Administración
Riesgos
Identificación, medición, control,
78
monitoreo
Formación y
Protocolo violaciones educación.
e incidentes.
10 9
Gestión encargados
Comunicación
externa
Mejora contínua
©2015 Deloitte
PIGDP
Procedimientos de consulta y reclamo
©2015 Deloitte
PIGDP
Algunos ejemplos de riesgos
©2015 Deloitte
PIGDP
Controles técnicos - Automatizados
Trazabilidad
Gestión de las trazas: disponibilidad oportuna, almacenamiento, destrucción,
transferencia.
©2015 Deloitte
PIGDP
Controles técnicos – No Automatizados
Copias de Las copias sólo podrán realizarse bajo el control del personal autorizado.
No Automatizados
©2015 Deloitte
Sanciones
34
Sanciones
©2015 Deloitte
Sanciones
Sanciones en España
©2015 Deloitte
Sanciones
Sanciones en España
©2015 Deloitte
El proyecto
38
El proyecto de adaptación
Equipo tipo del proyecto
Áreas de negocio
Sistemas de Información
Seguridad
Tecnología
Información
Auditoría Interna
39 ©2015 Deloitte
El proyecto de adaptación
Visión global del proceso
• La metodología que se presenta es fruto de una amplia experiencia en apoyar a nuestros clientes
a adaptarse con éxito a los requisitos legislativos
• El enfoque en fases permite abordar de forma gradual y comprensible un proyecto de esta
envergadura.
• Una de las fases clave para realizar una adaptación adecuada y razonable es la I, que trata de
conocer el ciclo de vida del dato.
• La ley tiene impactos a nivel organizativo, legal y técnico, por lo que se requiere un equipo
multidisciplinar para el despliegue del proyecto.
• Este proceso requiere la involucración de múltiples áreas de la compañía: negocio, áreas de
administración, sistemas de información, legal, etc., por lo que es necesario que el sponsor sea el
adecuado.
40 ©2015 Deloitte
Deloitte se refiere a Deloitte Touche Tohmatsu, una asociación suiza, o a una o más integrantes de su
red de firmas miembros, cada una de las cuales constituye una entidad separada e independiente
desde el punto de vista legal. Una descripción detallada de la estructura legal de Deloitte Touche
Tohmatsu y sus firmas miembros puede verse en el sitio web www.deloitte.com/pe
41 ©2015 Deloitte