ley 1581 swat

54
La nueva regulación de la La nueva regulación de la Protección de Datos en Protección de Datos en Colombia Ley 1581 de 2012 Colombia Ley 1581 de 2012 © Ing. Sigifredo Hernández @d7n0 @d7n0 El Mundo de Dinosaurio http://world-of-dino.blogspot.co m/ JHON JAIRO HERNÁNDEZ JHON JAIRO HERNÁNDEZ [email protected] Dinosaurio – Dino Dinosaurio – Dino

Upload: jhon-jairo-hernandez

Post on 13-Jun-2015

1.010 views

Category:

Technology


2 download

DESCRIPTION

Mediante la cual se dictan disposiciones generales para la protección de datos personales, en ella se regula el derecho fundamental de hábeas data y se señala la importancia en el tratamiento del mismo tal como lo corrobora la Sentencia de la Corte Constitucional C – 748 de 2011 donde se estableció el control de constitucionalidad de la Ley en mención. La nueva ley busca proteger los datos personales registrados en cualquier base de datos que permite realizar operaciones, tales como la recolección, almacenamiento, uso, circulación o supresión (en adelante Tratamiento) por parte de entidades de naturaleza pública y privada. En la siguiente presentación, establecemos la visión del lado del Ingeniero, no solo Jurídico, puesto que la Ley nos dice que debemos hacer, mas no como hacerlo, de esta forma brindamos un Plan de Acción para la aplicabilidad de la Ley alineado a las buenas practicas que garanticen la seguridad, calidad y cumplimiento de la Legislación Colombiana.

TRANSCRIPT

Page 1: Ley 1581 swat

La nueva regulación de la La nueva regulación de la Protección de Datos en Colombia Protección de Datos en Colombia

Ley 1581 de 2012Ley 1581 de 2012© Ing. Sigifredo Hernández

@d7n0@d7n0

El Mundo de Dinosauriohttp://world-of-dino.blogspot.com/

JHON JAIRO HERNÁNDEZJHON JAIRO HERNÁNDEZ

[email protected]

Dinosaurio – DinoDinosaurio – Dino

Page 2: Ley 1581 swat

Información GeneralInformación General

w w w .s w a t s e c u r i t y i t . c o m© Ing. Sigifredo Hernández

Page 3: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

ContextualizaciónContextualización

© Ing. Sigifredo Hernández

Page 4: Ley 1581 swat

La Privacidad en el entorno globalLa Privacidad en el entorno global

“Ser víctimas de la fuga de información, es un tema que preocupa tanto a los usuarios como a las empresas y es debido a ello que suelen tomar recaudos para proteger su información. Para los usuarios la fuga de información es un tema muy importante, y el 67,7% de los el 67,7% de los usuarios esta preocupado acerca de la posibilidad de que sus datos usuarios esta preocupado acerca de la posibilidad de que sus datos sean expuestos sin su consentimientosean expuestos sin su consentimiento. Cuando una empresa que ofrece un servicio y se ve afectada por el robo de información, esto impacta de manera directa en la confianza de sus clientes. Según los resultados de la encuesta, ante un caso de robo de información, el el 62,9% de los usuarios dejaría de utilizar el servicio, es decir que la 62,9% de los usuarios dejaría de utilizar el servicio, es decir que la empresa perdería a 6 de cada 10 clientes por no proteger bien su empresa perdería a 6 de cada 10 clientes por no proteger bien su informacióninformación.” (Fuente ESET CA. http://blogs.eset-la.com/laboratorio/2011/07/08/fuga-de-informacion-realidad-preocupante/

w w w .s w a t s e c u r i t y i t . c o m© Ing. Sigifredo Hernández

Page 5: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Google debe pagar 22,5 millones de dólares por rastrear sin permiso a usuarios de Safari“Jon Leibowitz, cabeza del organismo federal, dijo en un comunicado que “la penalidad récord impuesta esta vez envía “la penalidad récord impuesta esta vez envía un mensaje a todas las compañías investigadas por la FTC: Sin un mensaje a todas las compañías investigadas por la FTC: Sin importar qué tan grandes o pequeñas sean, todas las importar qué tan grandes o pequeñas sean, todas las compañías deben ceñirse a las ordenanzas del FTC contra ellas compañías deben ceñirse a las ordenanzas del FTC contra ellas y deben mantener sus promesas de privacidad a los y deben mantener sus promesas de privacidad a los consumidoresconsumidores, o terminarán pagando muchas veces más que lo que les habría costado obedecer en primer lugar.” Fuente: Enter.co http://www.enter.co/seguridad/google-debe-pagar-225-millones-de-dolares-por-rastrear-sin-permiso-a-usuarios-de-safari

La Privacidad en el entorno globalLa Privacidad en el entorno global

© Ing. Sigifredo Hernández

Page 6: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Regulación Regulación de la Privacidad en Colombiade la Privacidad en Colombia

La Corte Constitucional le ordenó a las empresas de transporte aéreo suprimir las denominadas “listas de viajeros no conformes”, al concluir que se viola el derecho al hábeas data, por no contar con el consentimiento del titular de los datos y porque no persiguen un fin constitucionalmente identificable, desconociendo así el artículo 4º de la Ley 1581 del 2012.

© Ing. Sigifredo Hernández

Page 7: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Regulación de la Privacidad en Colombia

TIGO VIOLA NORMAS DE HÁBEAS DATA. Por haber consultado en la base de datos de DataCrédito con un fin diferente al del cálculo de riesgo crediticio y no informar cuál fue el uso de los datos obtenidos, la SIC impuso a la operadora dos sanciones.Dentro de las investigaciones adelantadas, la SIC pudo concluir que se estaban consultando datos personales de manera indiscriminada, toda vez que el proveedor de servicio de comunicaciones, averiguó la historia crediticia de un ciudadano que adquirió una línea en la modalidad prepago, a sabiendas de que en este tipo de contratos no se genera ningún riesgo económico o posible incumplimiento por parte del suscriptor.La Superintendencia de Industria y Comercio (SIC) fue clara en advertir a la empresa sancionada que en este tipo de situaciones, cuando el ciudadano no contrae la obligación de pagar sumas periódicas o cargos adicionales (como sucede con las cláusulas de permanencia mínima), sólo puede consultarse la información reportada en las centrales de riesgo cuando se haya dado una autorización específica para ello.Asimismo, la Dirección de Investigación de Protección de Datos Personales fue clara en señalar que no es suficiente justificar la consulta de la historia crediticia de un titular indicando que éste solicitó un servicio, sino que es necesario acreditar la intención que tuvo el ciudadano de adquirir el producto o servicio que genera el riesgo crediticio.Cada una de las sanciones le costará a la operadora de telefonía móvil $11'334.000.

© Ing. Sigifredo Hernández

Page 8: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m© Ing. Sigifredo Hernándezhttp://habeasdatacolombia.uniandes.edu.co/?p=980

Page 9: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m© Ing. Sigifredo Hernándezhttp://oiprodat.com/2013/05/08/sanciones-por-violacion-del-habeas-data-en-colombia/

Page 10: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

ChileLey 19628 de 1999 Ley de

protección de la Vida Privada o Datos de carácter personal.

ArgentinaLey 25.326 de Octubre 4 de 2000 de Protección de los

Datos Personales.

UruguayLey 18331 de 2008 de Protección de Datos

Personales y Acción de Habeas Data.

Costa RicaLey 8968 de julio 11 de 2011

Ley de Protección de la Persona frente al tratamiento

de sus datos personales.

MéxicoLey Federal de Protección de

Datos Personales –DOF: 05/07/10

ColombiaLey 1266 de 2008 de

Protección de Datos y Habeas Data financiero.

PerúLey 29.733 de 3 de julio de 2011 Ley de Protección de

Datos Personales.

ColombiaLey 1581 de 2012

Protección de Datos Personales

© Ing. Sigifredo Hernández

Page 11: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m© Ing. Sigifredo Hernández

Page 12: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Constitución Política Constitución Política Articulo 15Articulo 15

“Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas” .En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.”

© Ing. Sigifredo Hernández

Page 13: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Ley 1266 de 2008 Ley 1266 de 2008 Protección de Datos y Habeas Data Protección de Datos y Habeas Data

financierofinanciero

© Ing. Sigifredo Hernández

Page 14: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Ley 1581 Datos Ley 1581 Datos PersonalesPersonales

© Ing. Sigifredo Hernández© Ing. Sigifredo Hernández

Page 15: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Ley 1581 de 2012Ley 1581 de 2012Protección de Datos PersonalesProtección de Datos Personales

Objeto“…. desarrollar el derecho constitucional que tiene todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 artículo 15 de la Constitución PolíticaConstitución Política; así como el derecho a la información consagrado en el artículo 20 artículo 20 de la misma”.

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 16: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Ámbito de AplicaciónÁmbito de Aplicación

La ley se aplica al tratamiento de datos personales efectuado por entidades públicas o privadas, dentro del país o cuando el Responsable o Encargado no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 17: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

ExclusionesExclusiones

• Bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico

• Bases de datos que tienen por finalidad la seguridad y defensa nacional y la prevención y control del lavado de activos y financiamiento del terrorismo.

• Bases de datos de inteligencia y contrainteligencia.• Bases de datos y archivos periodísticos y otros

contenidos editoriales.• Bases de datos reguladas por la ley 1266 de 2008

(datos financieros – crediticios).• Bases de datos del DANE (Ley 79 de 1993).

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 18: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

DefinicionesDefiniciones

• Dato personal. Cualquier información vinculada o que pueda asociarse a una o varias personas determinadas o determinable (dato público, dato semi-privado, dato privado y dato privado sensible)

• Responsable del tratamiento. Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

• Encargado del tratamiento. Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realicé el tratamiento de datos personales por cuenta del responsable del tratamiento.

• Titular. Persona natural cuyos datos personales sean objeto de tratamiento.

• Tratamiento. Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 19: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Categorías Categorías Especiales de DatosEspeciales de Datos

• Datos sensibles. Aquellos que afectan la intimidad de la personas o cuyo uso indebido puede generar discriminación. (Origen racial o étnico, orientación política, convicciones filosóficas o religiosas, pertenencia a sindicatos u organizaciones sociales o de derechos humanos, datos de salud, vida sexual y biométricos). Se prohíbe el tratamiento de datos sensibles salvo las excepciones del artículo 6 de la ley.

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 20: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Categorías Categorías Especiales de DatosEspeciales de Datos

• Datos personales de menores. Se proscribe el tratamiento de datos personales de menores de edad salvo aquellos datos que sean de naturaleza pública.La Corte Constitucional precisó que tal prohibición debe interpretarse en el sentido de que los datos personales de los menores de 18 años, pueden ser tratados, siempre y cuando el fin que se persiga con dicho tratamiento responda al interés superior de los menores y se asegure el respeto de sus derechos prevalentes.

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

Page 21: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Derechos Derechos de los titularesde los titulares

• Conocer, actualizar y rectificar sus datos personales frente a Responsables y Encargados

• Solicitar prueba de la autorización al Responsable• Ser informado respecto del uso de los datos• Presentar quejas ante la SIC• Revocar la autorización y/o solicitar la supresión del

dato (no sólo por intermedio de la SIC), y• Acceder en forma gratuita a sus datos personales

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

Page 22: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Autorización Autorización del titulardel titular

• Debe ser previa e informada (no tácita)• Puede ser obtenida por cualquier medio que permita

su consulta posterior• No es necesaria en los siguientes casos:

– Cuando la información sea requerida por entidad pública en ejercicio de sus funciones

– Se trate de datos de naturaleza pública – En casos de urgencia médica o sanitaria (si no es

urgencia, debe obtenerse la autorización) – Para fines históricos, estadísticos o científicos – Datos relacionados con el Registro Civil

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 23: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Deberes de los Responsables del Tratamiento

• Autorización del titular. Debe solicitarla y conservarla e informar al titular la finalidad de la recolección y los derechos que le asisten.

• Calidad de la información. Debe garantizar que la información sea veraz, completa, exacta, actualizada, comprobable y comprensible, actualizar la información comunicando al encargado las novedades y adoptar medidas para que la misma se mantenga actualizada. Adicionalmente debe rectificar la información incorrecta y comunicar al encargado e indicarle cuando la información este en discusión por parte de su titular.

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 24: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Deberes de los Responsables del Tratamiento

• Seguridad de la información. Debe impedir la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, exigir al encargado el respeto a las condiciones de seguridad y privacidad, adoptar un manual interno de políticas y procedimientos e informar a la autoridad cuando se presenten violaciones a los códigos de seguridad que generen riesgos en la administración de la información.

• Tratamiento. Debe suministrar al encargado únicamente datos cuyo tratamiento esté previamente autorizado e informar, a solicitud del titular, sobre el uso dado a su información.

• Adicionalmente debe garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio de su derecho de hábeas data y tramitar las consultas y reclamos presentados, en los términos señalados en la ley.

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 25: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Deberes de los Encargados del Tratamiento

• Seguridad de la información. Debe impedir la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, adoptar un manual interno de políticas y procedimientos e informar a la autoridad cuando se presenten violaciones a los códigos de seguridad que generen riesgos en la administración de la información.

• Calidad de la información. Debe realizar oportunamente la actualización, rectificación o supresión de los datos erróneos, actualizar la información reportada por los responsables dentro de los 5 días hábiles contados a partir de su recibo, registrar en la base las leyendas de «reclamo en trámite» e «información en discusión judicial» y abstenerse de circular información controvertida y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 26: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Deberes Deberes de los Encargados del Tratamientode los Encargados del Tratamiento

• Debe permitir el acceso a la información únicamente a las personas que puedan tener acceso a ella, en los términos señalados en la ley.

• Debe garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio de su derecho de hábeas data y tramitar las consultas y reclamos presentados, en los términos señalados en la ley.

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 27: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

ProcedimientosProcedimientos

• Se establecen los mismos procedimientos previstos en la Ley 1266 de 2008: Consultas y reclamos.

• Se permite definir términos inferiores para las consultas en leyes o reglamentos, atendiendo la naturaleza del dato.

• Se conserva el requisito de procedibilidad para elevar queja ante la SIC.

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 28: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

SancionesSanciones

• Multas de carácter personal e institucional hasta por 2000 SMLMV.

• Suspensión de actividades relacionadas con el tratamiento hasta por 6 meses. En acto de cierre se indicarán los correctivos.

• Cierre temporal de las operaciones si no se adoptan los correctivos.

• Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos sensibles.

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 29: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Registro Nacional Registro Nacional de Bases de Datosde Bases de Datos

• Directorio público de las bases de datos sujetas a Tratamiento que operan en el país

• Permitirá conocer:– Realidad de las bases de datos del país– Flujo y tipo de datos– Quién o quiénes adelantan su tratamiento – Finalidad y – Políticas de tratamiento

• Sujeto a reglamentaciónFuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 30: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Transferencia de datos Transferencia de datos a terceros paísesa terceros países

• Se prohíbe la transferencia a países que no proporcionen niveles de seguridad adecuados de protección

• La SIC fijará los estándares para definir cuándo un país ofrece un nivel adecuado de protección, acorde con la ley

• Exclusiones:– Titular haya otorgado autorización expresa e inequívoca – Intercambio de datos médicos por razones de salud e

higiene pública – Transferencias bancarias o bursátiles

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 31: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Transferencia de datos a terceros países

Exclusiones: •Transferencias acordadas en el marco de tratados internacionales, bajo el principio de reciprocidad •Transferencias necesarias para la ejecución de un contrato entre el Titular y el responsable o para la ejecución de medidas precontractuales, previa autorización del Titular •Transferencias legalmente exigidas para la salvaguardia del interés público o el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 32: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Normas corporativas vinculantes

Exclusiones: •Corresponde al Gobierno Nacional expedir la reglamentación sobre Normas Corporativas Vinculantes para la certificación de buenas practicas en protección de datos personales y su transferencia a terceros países•Se prevé la posibilidad de que existan entes certificadores de buenas prácticas acreditados ante el Organismo Nacional de Acreditación (ONAC) y que serían controlados por la Superintendencia de Industria y Comercio

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 33: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Régimen de Régimen de transicióntransición

Se prevé un plazo de 6 meses para adecuar su funcionamiento a las disposiciones contempladas en la ley

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 34: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Funciones de la SICFunciones de la SICLey 1581 de 2012:Adelantar investigaciones de oficio o a petición de parte, impartir órdenes de acceso, rectificación, actualización y/o supresión de datos.•Disponer el bloqueo temporal de datos por riesgo de violación de derechos fundamentales.•Promover y divulgar derechos de los titulares.•Impartir instrucciones.•Proferir declaraciones de conformidad sobre transferencias internacionales.•Administrar el RNBD.•Requerir colaboración de entidades internacionales.

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© Ing. Sigifredo Hernández

Page 35: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Plan de AcciónPlan de Acción

© Ing. Sigifredo Hernández

Page 36: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Decreto Reglamentario

Page 37: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Derechos del TitularDerechos del Titular

Page 38: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

ObligacionesObligaciones

© Ing. Sigifredo Hernández

Page 39: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Ley 1273 de 2009

• Ley de Delitos Informáticos. El bien jurídico tutelado es protección de la información y de los datos

© Ing. Sigifredo Hernández

Page 40: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Ley 1273 de 2009

© Ing. Sigifredo Hernández

Page 41: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Artículo 269 F• Violación de datos personales. El que, sin estar

facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

© Ing. Sigifredo Hernández

Page 42: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

RiesgosRiesgos

Pérdida de imagen

Pérdidas financierasFuga

de

Info

rmac

ión

© Ing. Sigifredo Hernández

Page 43: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Riesgos FinancierosRiesgos Financieros

Pérdidas financierasFuga

de In

form

ación

© Ing. Sigifredo Hernández

Page 44: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Transferencia Transferencia InternacionalInternacional

Pérdidas financierasFuga

de In

form

ación

© Ing. Sigifredo Hernández

Page 45: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Buenas Prácticas Buenas Prácticas

Fuente: CIO EXECUTIVE BOARD (2010) CEB Guidance: Key components of a data privacy program. Legal and compliance practice. Compliance and ethics leadership council. (Requiere derechos suscripción).

© Ing. Sigifredo Hernández

Page 46: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Plan de AcciónPlan de Acción

© Ing. Sigifredo Hernández

Page 47: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Documentar Documentar e Informare Informar

© Ing. Sigifredo Hernández

Page 48: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Modelo de GestiónModelo de Gestión

© Ing. Sigifredo Hernández

Page 49: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Modelo de GestiónModelo de Gestión

© Ing. Sigifredo Hernández

Page 50: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

Producto / Servicio Costo

EstimadoClasificación de Datos $###.###.###Ethical Hacking $###.###.###Ingeniería Social $###.###.###Análisis de Brecha $###.###.###Plan Estratégico de Seguridad de la Información para el tratamiento de Datos Personales

$###.###.###

ROADMAPROADMAP

© Ing. Sigifredo Hernández

Page 51: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

RetosRetos- Sensibilización y compromiso del Comité de Seguridad y Gerencia,

claridad en el mensaje a la comunidad de usuarios.

- Sinergia con los interesados Infraestructura de TI, Sistemas de Información, Gestión de Riesgos, Auditoria, Proyectos, Comité de Seguridad, Comité de Gerencia, entre otros.

- Influenciar los productos y servicios con el objetivo de ser eficientes operativamente en un ambiente razonablemente asegurado.

- Acciones ejecutadas estén alineadas con el decreto reglamentario.

- Establecer métricas que respondan a los beneficios del negocio

- Pasar de un rol operativo a un rol estratégico.

- Buenos aliados estratégicos.

© Ing. Sigifredo Hernández

Page 52: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

ResumenResumen• La estrategia para el tratamiento de Datos Personales debe tener como

base un Sistema de Gestión de Seguridad de la Información (SGSI).• La adopción de un SGSI debería ser una decisión estratégica para una

organización.• El diseño e implementación de un SGSI de una organización están

influenciados por las necesidades y objetivos, los requisitos de seguridad, los procesos empleados y el tamaño y estructura de la organización.

• Se espera que la implementación de un SGSI se ajuste de acuerdo con las necesidades de la organización, por ejemplo, una situación simple requiere una solución de SGSI simple.

• La organización debe asegurar que todo el personal apropiado tiene conciencia de la pertinencia e importancia de sus actividades de seguridad de la información y como ellas contribuyen al logro de los objetivos del SGSI.

© Ing. Sigifredo Hernández

Page 53: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m

LEY ESTATUTARIA 1581 DE 2012 LEY ESTATUTARIA 1581 DE 2012

© Ing. Sigifredo Hernández

Page 54: Ley 1581 swat

w w w .s w a t s e c u r i t y i t . c o m© Ing. Sigifredo Hernández