Ley de Protección de Datos

Personales
Enfoque práctico de adecuación
Enterprise Risk Services, 2015

©2015 Deloitte
 Contenido
Introducción a la Privacidad y
1
normativa en Colombia
Principales conceptos y
2
definiciones
3 Bases de datos y el RNBD
4 Autorización de los titulares
5 Medidas de protección
6 Sanciones
7 El proyecto de adaptación
8 Fuentes de interés

1
Introducción a la
Privacidad y la
normativa en
Colombia

2
 Introducción a la Privacidad y a la normativa
Definición de Privacidad

“Ability of an individual or
group to seclude themselves
“The right to be left alone” or information about
themselves and thereby reveal
UK Calcutt Committee themselves selectively”

1997

1890 2013
“The right of the individual to be
Samuel Warren y Louis Wikipedia
protected against intrusion into his
personal life or affairs, or those of his
Brandeis, Tribunal Superior family, by direct physical means or
de Justicia, “The Right to by publication of information”

Privacy”

3 ©2015 Deloitte
 Introducción a la Privacidad y a la normativa
Clases de privacidad

Información Corporal

Territorial Comunicaciones

4 ©2015 Deloitte
 Introducción a la Privacidad y a la normativa
Mapa legislativo mundial Emiratos árabes Corea Sur
Ley Protección Datos Acto de Promoción del
Japón
Dubai Uso de Información y
Acto de Protección de
Redes de Comunicación,
Canada Federal/provincial Información Personal
y Protección de Datos
PIPEDA, FOIPPA, PIPA
Unión Europea
Directiva Protección Datos EU
y Leyes de los Estados
Miembros

US Federal España
GLBA, HIPAA, COPPA, Do Ley Orgánica de Hong Kong
Not Call, Safe Harbor Protección de Datos Ordenación
Personales Privacidad Datos
Personales
Leyes estatales
Notificación Brechas 45 estados
SSN Use
Taiwan
Ley de Protección de
India Datos Personales
Registro Nacional computarizados
Do Not Call

Perú Nueva Zelanda

Ley N° 29733 de Acto de Privacidad
Protección de Datos Australia
Personales Sur África Enmienda Federal de
Acto de Comunicaciones Privacidad, email spam
y Transacciones y regulaciones de
Electrónicas privacidad
©2015 Deloitte
5 Nota: no pretende ser un listado exhaustivo
Introducción a la Privacidad y a la normativa
Cronograma de la legislación Colombiana

Ley Estatutaria
N° 1581 17 octubre
2012

Decreto N° 1377
de 2013
27 junio
2013

Decreto N° 886
de 2014
13 mayo
2014
Guía para la
Implementación
del Principio de
Accountability
2015

6 ©2015 Deloitte
Principales conceptos
y definiciones

7
Introducción a la Privacidad y a la normativa
Definiciones

“Cualquier información vinculada o que pueda asociarse a una o varias

personas naturales determinadas o determinables”
 Toda información numérica, alfabética, gráfica, fotográfica, acústica o de
Datos de Carácter cualquier tipo referida a personas físicas identificadas o identificables.
Personal  En caso que estos datos estén disociados, es decir, que no se puedan relacionar
con ninguna persona física, no resultará de aplicación la normativa de protección
de datos.

©2015 Deloitte
Introducción a la Privacidad y a la normativa
Definiciones

“Datos personales que afectan la intimidad del Titular o cuyo uso indebido
Datos Sensibles pueda generar su discriminación”
 Datos de la esfera más íntima de la persona.
 Datos biométricos; origen racial y étnico; ingresos económicos, opiniones o
convicciones políticas, religiosas, filosóficas o morales; afiliación sindical;
características físicas, morales o emocionales; familiar; e información relacionada
a la salud o a la vida sexual

©2015 Deloitte
Introducción a la Privacidad y a la normativa
Definiciones

“Cualquier operación o conjunto de operaciones sobre datos personales, tales

como la recolección, almacenamiento, uso, circulación o supresión”
Tratamiento de Datos  Automatizado o no
Personales  Extracción, consulta, registro, organización, almacenamiento, modificación,
bloqueo, suspensión, difusión o cualquier otra forma de procesamiento de datos
personales.

©2015 Deloitte
Introducción a la Privacidad y a la normativa
Definiciones

“Conjunto de datos personales que sea objeto de Tratamiento”

Base de Datos  Conjunto organizado de datos personales
Personales  Automatizado o no, independientemente del soporte, sea este físico, magnético,
digital, óptico u otros que se cree, cualquiera que fuere la forma o modalidad de
su creación, formación, almacenamiento, organización y acceso.

©2015 Deloitte
Introducción a la Privacidad y a la normativa
Definiciones

“Persona natural cuyos datos personales sean objeto de Tratamiento”

Titular  Es responsable de sus propios datos personales, debe conocer sus derechos y
obligaciones

Persona Natural

©2015 Deloitte
Roles y funciones

13
 Roles y funciones
Roles externos

Responsable
Titular Tratamiento
• Persona natural a la que • Decide sobre la base de
corresponden los datos datos y/o el tratamiento de
personales (propietario). Datos
Encargado Tratamiento
• Realiza el tratamiento por
cuenta de del Responsable
del Tratamiento

©2015 Deloitte
 Roles y funciones
Roles externos

Caso 2

Caso 1 Responsable
tratamiento
Encargado
tratamiento

Responsable
tratamiento Encargado
tratamiento
Encargado Encargado
tratamiento tratamiento

Titular

Titular

15 ©2015 Deloitte
Roles y funciones
Roles externos

 Realiza el tratamiento de los datos personales por cuenta del responsable.

 En ningún caso se convierte en Responsable de Tratamiento, por lo que el
Encargado del
Tratamiento intercambio de datos se realiza por medio de transmisión.
 Debe existir un contrato
 Existen obligaciones en la gestión de encargados, así como obligaciones por parte de
los encargados

 Tercero que recibe datos personales y se convierte a su vez en Responsable de

Transferencia de Tratamiento
Datos Personales  No pueden realizarse a países que no cumplan los estándares de protección de datos
personales, y debe existir autorización para la transferencia internacional

Transmisión

Transferencia

©2015 Deloitte
 Roles y funciones
Roles internos

Comité LPDP

Oficial de
Protección de
Datos

Responsables de Unidad ARCO

Bases de Datos

17 ©2015 Deloitte
Bases de Datos y el
Registro Nacional de
Bases de Datos

18
 Bases de Datos y el RNBD
El Inventario de Bases de Datos

Finalidad Soporte

Operaciones

Finalidad

Tipo Titular

19 ©2015 Deloitte
 Bases de Datos y el RNBD
Ejemplo 1 Declaración en España de
los ficheros de una
Entidad Bancaria, un total
de 19.

20 ©2015 Deloitte
 Bases de Datos y el RNBD
Ejemplo 2 Declaración en España de
los ficheros de una
empresa aseguradora, un
total de 14.

21 ©2015 Deloitte
 Bases de Datos y el RNBD
Ejemplo 3
Declaración en Perú de los
Bancos de una empresa
Retail, un total de 11.

22 ©2015 Deloitte
Autorización de los
Titulares

23
Autorización de los titulares
Características del consentimiento
 Principio de finalidad de uso
Obtención del
 Debe obtenerse consentimiento para todas las finalidades de uso
Consentimiento del
Titular de Datos  Previo, expreso, inequívoco, informado
Personales  En el caso de los datos sensibles, el tratamiento está prohibido
 Debe existir prueba de la autorización, consultable
 El titular puede revocarlo en cualquier momento
 No se requiere sobre las fuentes accesibles al público
 Regularización stock

24 ©2015 Deloitte
 Autorización de los titulares
Métodos y canales Métodos

Obtención del
Consentimiento

Canales

25 ©2015 Deloitte
 Autorización de los titulares
Algunas consideraciones

Clientes
• Clientes actuales y prospectos.
• Política de Tratamiento: las finalidades, canales
consulta / reclamos, derechos
• Debe incluirse cláusula en contratos u otros
documentos: reparto a domicilio, términos y
condiciones via web, etc.
Proveedores
• Debe incluirse en contratos, ordenes de
compra, compromisos u otros para
personas naturales y/o con negocio.
• Analizar condición del proveedor: encargo ,
transferencia, acceso.
• Asume responsabilidad por consentimiento
de titulares de datos proporcionados o
transferidos.

Colaboradores
• Debe obtenerse tanto de postulante a colaborador como de colaborador.
• Debe incluirse en formatos o documentos de postulación y/o en contratos,.
• Posibles finalidades: relación laboral, documentos y material institucional , contacto,
transferencia empresa grupo, beneficios.
• Datos de familiares : justificados / principio de finalidad.
26 ©2015 Deloitte
 Autorización de los titulares
Algunas consideraciones

Política
Video- Vigilancia Difiere según la Base de Datos
Tratamiento

Aviso de
Web, cookies Control Acceso
privacidad

Comunicación
Accionistas Políticas y Privacidad
Externa

27 ©2015 Deloitte
Programa Integral de
Gestión de Datos
Personales (PIGDP)

28
PIGDP Adaptado a la Políticas Responsabilidad
Elementos del plan organización efectivas y cultura

1
23
Compromiso, roles y funciones,
reporte
Lineamientos
Inventario Bases de Autorización, principio de finalidad,
Conservación y eliminación Datos

4 56
Medidas de protección Procedimientos calidad
Consultas y reclamos operativos
Mejora contínua Políticas .
Auditoría Administración
Riesgos
Identificación, medición, control,

78
monitoreo
Formación y
Protocolo violaciones educación.
e incidentes.

10 9
Gestión encargados

Comunicación
externa
Mejora contínua

©2015 Deloitte
PIGDP
Procedimientos de consulta y reclamo

©2015 Deloitte
PIGDP
Algunos ejemplos de riesgos

©2015 Deloitte
PIGDP
Controles técnicos - Automatizados

 Identificación de usuarios (usuario-contraseña, uso de certificados digitales,

tokens, entre otros).
Control de Accesos  Gestión de los privilegios
 Revisiones periódicas de permisos
 Procedimientos documentados, que definen los aspectos anteriores.

 Mantenimiento de registros: usuario, hora de inicio y cierre de sesión, y acciones

relevantes
Automatizados

Trazabilidad
 Gestión de las trazas: disponibilidad oportuna, almacenamiento, destrucción,
transferencia.

 Ambientes en los que se procese, almacene o transmita la información,

Gestión de respaldos y considerar las recomendaciones de seguridad física y ambiental
conservación recomendadas en la “NTP ISO/IEC 17799 EDI”
 Realización de respaldo y pruebas de recuperación.

 Autorización del titular al envío al exterior de las instalaciones físicas.

Transmisión de datos  Uso del mecanismo de protección aprobado por él (cifrado, checksum, etc.)

©2015 Deloitte
PIGDP
Controles técnicos – No Automatizados

 Los armarios / archivadores deberán encontrarse en áreas de acceso restringido.

 Se deben mantener cerradas.
Almacenamiento  Si no fuera posible por las características del local, consultar con la Dirección
General de Protección de Datos Personales (DGPDP)

Copias de  Las copias sólo podrán realizarse bajo el control del personal autorizado.
No Automatizados

Documentos  Destrucción de las copias desechadas.

 Sólo por el personal autorizado

 Registro de acceso en el caso de más de un usuario
Acceso a Documentos  El acceso de otros debe quedar registrado según las indicaciones de la
DGPDP.

 Medidas para impedir el acceso o manipulación indebidos

Traslado de
documentos

 Sólo el personal que lo requiere para el desempeño de sus funciones debe

acceder a los datos de carácter personal.
Prestación de servicios  En el caso de personal ajeno, el contrato recogerá la prohibición de acceder a
los datos personales y la obligación de secreto.

©2015 Deloitte
Sanciones

34
Sanciones

Sanciones en Colombia Sanciones en Perú

©2015 Deloitte
Sanciones

Sanciones en España

©2015 Deloitte
Sanciones

Sanciones en España

©2015 Deloitte
El proyecto

¿Por donde empezar?

38
 El proyecto de adaptación
Equipo tipo del proyecto

Equipo de trabajo Áreas involucradas

Áreas de negocio

Procesos Legal Áreas de backoffice

Sistemas de Información
Seguridad
Tecnología
Información

Auditoría Interna

39 ©2015 Deloitte
 El proyecto de adaptación
Visión global del proceso

Fases para la adaptación

I. Análisis de IV. Definición del

III. Análisis de V.
ciclo de vida del plan de
brecha Implementación
dato adaptación

• La metodología que se presenta es fruto de una amplia experiencia en apoyar a nuestros clientes
a adaptarse con éxito a los requisitos legislativos
• El enfoque en fases permite abordar de forma gradual y comprensible un proyecto de esta
envergadura.
• Una de las fases clave para realizar una adaptación adecuada y razonable es la I, que trata de
conocer el ciclo de vida del dato.
• La ley tiene impactos a nivel organizativo, legal y técnico, por lo que se requiere un equipo
multidisciplinar para el despliegue del proyecto.
• Este proceso requiere la involucración de múltiples áreas de la compañía: negocio, áreas de
administración, sistemas de información, legal, etc., por lo que es necesario que el sponsor sea el
adecuado.

40 ©2015 Deloitte
 Deloitte se refiere a Deloitte Touche Tohmatsu, una asociación suiza, o a una o más integrantes de su
red de firmas miembros, cada una de las cuales constituye una entidad separada e independiente
desde el punto de vista legal. Una descripción detallada de la estructura legal de Deloitte Touche
Tohmatsu y sus firmas miembros puede verse en el sitio web www.deloitte.com/pe

41 ©2015 Deloitte