Ing. Gilber Corrales Rubiano Consultor Independiente

@gilbercorrales

Junio 8 de 2016

Implementación de la Ley 1581 de 2012

AGENDA

1. Marco normativo de protección de datos personales en Colombia (Juan Manuel Pinzón Cáceres)

2. Principio de “Responsabilidad demostrada”

3. Instrumento Diagnóstico Programa de Protección de Datos Personales

Marco normativo de protección de datos personales en Colombia

Art. 15 Constitución Política

Sentencia Corte C-1011

Ley Estatutaria 1266

Ley 1273

Decreto 1727

Decreto 2952

Sentencia Corte C-748

Decreto 4886

Ley Estatutaria 1581

Resolución Nº 76434

Decreto 1377

Decreto 886

Decreto 1074

Circular SIC E-2

Hoy (Junio 2016)

Incripción RNBD (08/11/2016)

1990 1995 2000 2005 2010 2015

Fuente: elaboración propia (Gilber Corrales Rubiano)

“Los Responsables del Tratamiento de datos personales

deben ser capaces de demostrar, a petición de la

Superintendencia de Industria y Comercio, que han

implementado medidas apropiadas y efectivas para

cumplir con las obligaciones establecidas en la Ley

1581 de 2012” y el Capítulo 25 del Decreto 1074 de

2015.

Fuente: Artículo 2.2.2.25.6.1. Demostración Decreto 1074 de 2015.

Principio de “Responsabilidad demostrada” (Accountability en inglés)

“una entidad que recoge y hace tratamiento de datos

personales debe ser responsable del cumplimiento

efectivo de las medidas que implementen los principios

de privacidad y protección de datos” (OCDE*, 2013

pág. 5).

Principios asociados

Accountability • Privacidad • Protección

Datos Personales

* Organización para la Cooperación y el Desarrollo Económicos (OCDE)

1. La naturaleza jurídica del responsable y, cuando sea del

caso, su tamaño empresarial, teniendo en cuenta si se trata

una micro, pequeña, mediana o gran empresa, de acuerdo

con la normativa vigente.

2. La naturaleza de los datos personales objeto del tratamiento.

3. Tipo de tratamiento.

4. Los riesgos potenciales que referido tratamiento podrían

causar sobre los derechos de los titulares.

Fuente: Artículo 2.2.2.25.6.1. Demostración Decreto 1074 de 2015.

Cumplir de manera proporcional a:

Programa Integral de Gestión de Datos Personales

“…los Responsables del Tratamiento deben contar con

un Programa Integral de Gestión de Datos Personales y

estar preparados para demostrar la implementación

efectiva de esas medidas en la organización.” (OCDE,

2013 pág. 5).

Accountability Programa de Gestión de

Datos Personales

Guía para la implementación del Principio de Responsabilidad Demostrada (Accountability)

“Este documento responde al

llamado de la industria que ha

solicitado mayor orientación en el

camino de construir un Programa

Integral de Gestión de Datos

Personales y se dirige a quienes

estén sometidos al cumplimiento

del régimen general de Protección

de Datos Personales y sean

vigilados por la Superintendencia

de Industria y Comercio”

Mayo 28 de 2015

Fuente: http://www.sic.gov.co/drupal/noticias/guia-para-la-implementacion-del-principio-de-responsabilidad-demostrada

Guía para la implementación del Principio de Responsabilidad Demostrada (Accountability)

Fuente: http://www.sic.gov.co/drupal/noticias/guia-para-la-implementacion-del-principio-de-responsabilidad-demostrada

1. La responsabilidad demostrada o "Accountability"

2. El rol del oficial de protección de datos

3. El Programa integral de gestión de datos

personales

4. El sistema de administración de riesgos asociados

al tratamiento de datos personales

5. Un plan de supervisión y revisión

¿Qué pasos seguir?

1. Realice un diagnóstico apoyado en la Guía de la SIC 2. Elabore un inventario de las bases de datos 3. Identificar:

• Recolección: ¿qué recolecto y por qué canales? • Almacenamiento: nube o servidores propios • Acceso: ¿cómo accedo? • Uso:

¿Quiénes están usando la información? ¿Es para los fines previstos? En caso contrario hay que ajustar los fines en el aviso de privacidad para que coincidan.

• Circulación: ¿Quiénes dentro y quiénes fuera? ¿Existe transferencia internacional de datos?

Reflexión 2: ¿…Qué pasos seguir?

4. Asigne: un responsable del manejo de la información 5. Adopte medidas de seguridad adecuadas evitando:

• Adulteración de información (Integridad) • Pérdida de información (Disponibilidad) • Consultas o accesos no autorizados

(Confidencialidad) 6. Elabore: su política de tratamiento y su Aviso de

Privacidad 7. Registre: sus bases de Datos en el Registro Nacional

Fuente: adaptado Conferencia “Ley de Protección de Datos” Santiago Peláez Galmarini (Junio, 2015)

Instrumento Diagnóstico Programa de Protección de Datos Personales

0%

20%

40%

60%

80%

100%

III) Fundamentos básicos del programa de protección de datos

IV) Evaluación y revisión continua V) Demostración de cumplimiento

Diagnóstico Programa de Protección de Datos en Emcali

Porcentaje de …

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

1.1 Desde la dirección

1.2 Oficial de protección de datos

1.3 Presentación de informes

2.1 Procedimientos operacionales

2.2 Inventario de las bases de datos con información personal

2.3 Políticas

2.4 Sistema de administración de los riesgos asociados al tratamiento de datos personales

2.5. Requisitos de formación y educación2.6 Protocolos de respuesta de violación y

manejo de incidentes

2.7 Gestión de los Encargados del Tratamiento en las transmisiones internacionales de datos

personales

2.8 Comunicación Externa

A.1 Plan de supervisión y revisión

B.1 Monitoreo

B.2 Revisión continua

V.1 Implementación del Programa Integral de Gestión de Datos Personales

Porcentaje de Cumplimiento Controles-Actividades Programa de Protección de Datos

Porcentaje de Cumplimiento

Reflexión : “La norma se debe incorporar a la gestión operativa de la Entidad”

• Las políticas de protección de datos personales se

deben materializar en procedimientos, protocolos

y acciones, que entre otras cosas permitan

mantener un inventario de bases de datos

actualizado donde se identifiquen los datos

sensibles que son tratados.

FIN Muchas Gracias!