2. @carloschalico
@CarlosChalicoT
#LatinCACS
Objetivos
• Definir el concepto de privacidad y
protección de datos personales.
• Conocer la estimación del estado de
madurez de la privacidad y la protección de
datos personales en el mundo.
• Reconocer los requerimientos regulatorios
en materia de protección de datos
personales que podrían ser enfrentados en
América.
• Definir un modelo corporativo de
cumplimiento con las regulaciones en la
materia.
5. @carloschalico
@CarlosChalicoT
#LatinCACS
El Derecho a ser Dejado Solo
• La búsqueda de la privacidad inició hace
mucho tiempo
• “The Right to Privacy”, Diciembre 15 de
1890, Harvard Law Review, Harvard Law
School
• Samuel Warren y Louis Brandeis
• Uno de los ensayos más influyentes en la
historia de las leyes norteamericanas
• Sigue siendo usado ampliamente como
referencia en diversos textos y foros
6. @carloschalico
@CarlosChalicoT
#LatinCACS
La preocupación en Europa
• Los eventos acontecidos en Europa
entre 1933 y 1945 dejaron una marca
importante en lo referente a la
protección de datos
Fuente:http://ancienthebrewlearningcenter.blogspot.ca/2015/01/ibm-nazi-holocaust-
and-veterans.html
7. @carloschalico
@CarlosChalicoT
#LatinCACS
Consecuencias de la guerra
• La comunidad japonesa en los Estados
Unidos es reinstalada después del
ataque a Pearl Harbor en 1943
Fuentes: http://www.digitalhistory.uh.edu/active_learning/explorations/japanese_internment/internment_menu.cfm
http://www.archives.gov/education/lessons/japanese-relocation/
http://www.bookmice.net/darkchilde/japan/camp.html
https://en.wikipedia.org/wiki/Anti-Japanese_sentiment_in_the_United_States
9. @carloschalico
@CarlosChalicoT
#LatinCACS
El gran hermano
Fuentes: http://www.i4u.com/2015/07/92967/hacking-team-hack-exposes-400gb-data
http://www.marxist.com/the-case-of-chelsea-manning.htm
http://www.wired.com/2014/08/edward-snowden/
http://waca.net.au/defending-julian-assange-is-defending-democracy/
10. @carloschalico
@CarlosChalicoT
#LatinCACS
Carnaval de datos
10
20
30
40
50
BillonesdeEntidades
2010 2015 2020
6.8 7.2 7.6
Punto de
Inflexión
12.5
25
50
Billones de
“cosas” conectadas
Adopción 5 veces más
acelerada que la de
Electricidad y Telefonía
Fuente: CISCO, 2011
Para 2013 había más
dispositivos conectados
a internet que personas
sobre la Tierra
Facebook tiene más de
1 billón de usuarios
NYSE produce 1 Tb/día
de datos transacciones
Cada 2 días creamos
tantos datos como los
que se crearon en toda
la historia de la
humanidad hasta 2003
Los datos almacenados
en el mundo se
duplican cada 18 meses
14. @carloschalico
@CarlosChalicoT
#LatinCACS
Lo íntimo, lo privado y lo público
• Ernesto Garzón Valdés escribe un
interesante texto al respecto
- Íntimo. “Ámbito de los pensamientos propios,
de la formación de decisiones, de las dudas, de
lo reprimido, de lo aún no expresado”
- Público. “Está caracterizado por la libre
accesibilidad de los comportamientos y
decisiones de las personas en sociedad”
- Privado. “Ámbito reservado a un tipo de
situaciones o relaciones interpersonales en
donde la selección de los participantes depende
de la libre decisión de cada individuo”
Fuente: http://inicio.ifai.org.mx/Publicaciones/cuadernillo6.pdf
15. @carloschalico
@CarlosChalicoT
#LatinCACS
Privacidad
“La privacidad es el ámbito donde
pueden imperar exclusivamente los
deseos y preferencias individuales. Es
condición necesaria del ejercicio de la
libertad individual”
Fuente: http://inicio.ifai.org.mx/Publicaciones/cuadernillo6.pdf
Ernesto Garzón Valdés
16. @carloschalico
@CarlosChalicoT
#LatinCACS
Datos Personales
Relativos al individuo, que lo identifican
o lo hacen identificable. Le dan
identidad, lo describen, precisan su
origen, edad, lugar de resdencia,
trayectoria académica, laboral o
pofesional. Además, también describen
aspectos más sensibles como puede ser
su forma de pensar, su estado de salud,
sus características físicas, ideología o
vida sexual, entre otros
Fuente: La Protección de Datos Personales en México; José Luis Piñar Mañas, Lina Ornelas (Coordinadores)
27. @carloschalico
@CarlosChalicoT
#LatinCACS
Conociendo el estado actual
• Patrocinio
• Políticas
• Procesos
• Estrategia de control interno
• Seguridad de la Información
• ¿Se trabaja desde el diseño?
• Alcances geográficos
• Ambiente regulatorio
• Estructura organizacional
• Modelo de negocio
• Valores
28. @carloschalico
@CarlosChalicoT
#LatinCACS
Conociendo el estado actual
• Hay dos elementos maduros y valiosos,
definidos por Michael Porter que pueden
considerarse a este respecto:
- El análisis de las cinco fuerzas
- El análisis de La cadena de valor
Fuente: Michael Porter, “Competitive Strategy”, 1980
29. @carloschalico
@CarlosChalicoT
#LatinCACS
Valores
• ¿Por qué debo actuar con ética?
• Es importante reconocer la integración
de lo tecnológico y lo filosófico
• Debemos reconocer que somos
organizaciones tecnosociales
Fuente: http://www.ioew.de/uploads/tx_ukioewdb/future-IOEW_CSR-Study_Summary.pdf
Patrocinado por: German Federal Ministry of Environment, Nature Conservation and Nuclear Safety
• Los datos
personales
deberían
protegerse
porque eso es
lo correcto, no
porque se nos
obligue
30. @carloschalico
@CarlosChalicoT
#LatinCACS
Definiendo la política General de Privacidad
• La organización fija su posición frente al
tema
• Muestra su compromiso de cumplimiento
• Crea vínculos con otras normativas
• Establece su punto de origen (diseño)
• Confirma su relevancia
• Cumple expectativas
• Lo hace de forma:
- Simple
- Clara
Fuente: La Protección de Datos Personales en México; José Luis Piñar Mañas, Lina Ornelas (Coordinadores)
31. @carloschalico
@CarlosChalicoT
#LatinCACS
Interactuando con los interesados
• El consentimiento es un gran actor en las
regulaciones de privacidad y se hace
presente en la comunidad
latinoamericana, su obtención es crítica
• Dependiendo de como se interactúe con
los titulares, el consentimiento debe
conseguirse de la forma correcta
• El vínculo con el aviso de privacidad es
indiscutible
• El uso de herramientas electrónicas
puede ser de gran valor
Fuente: La Protección de Datos Personales en México; José Luis Piñar Mañas, Lina Ornelas (Coordinadores)
32. @carloschalico
@CarlosChalicoT
#LatinCACS
Interactuando con los interesados
• Facilitar el ejercicio de derechos ARCO
• La comunicación de solicitudes de
titulares debe facilitarse
• La infraestructura de sucursales o puntos
de acceso electrónicos deben facilitar
esta interacción específica
• Los canales de interacción con clientes
deben soportar este ejercicio también,
sin perder de vista la necesidad de
autenticación
Fuente: La Protección de Datos Personales en México; José Luis Piñar Mañas, Lina Ornelas (Coordinadores)
33. @carloschalico
@CarlosChalicoT
#LatinCACS
Manejando el proceso interno
• Las respuestas deben generarse
• En el tiempo que se exige
• De la forma en que se espera
• La especificación del derecho que quiera
ejercerse puede influir en la definición
de las acciones a ejecutar
• El uso de un inventario de datos
personales es altamente recomendable
• La afectación a plazos de conservación o
al cumplimiento de otras regulaciones es
relevante
• Listados de exclusión
Fuente: La Protección de Datos Personales en México; José Luis Piñar Mañas, Lina Ornelas (Coordinadores)
34. @carloschalico
@CarlosChalicoT
#LatinCACS
Interactuando con las autoridades
• No solamente los titulares pueden hacer
requerimientos
• Hay que ser especialmente cuidadosos
con los requerimientos de las
autoridades y actuar con agilidad
• Las sanciones por incumplimiento
pueden ser significativas
• Ya se han aplicado varias
• México parece llevar la cabecera en este
ámbito y el INAI, aunque ha sido
conciliador, también ha mostrado que
puede ser exigente
Fuente: La Protección de Datos Personales en México; José Luis Piñar Mañas, Lina Ornelas (Coordinadores)
35. @carloschalico
@CarlosChalicoT
#LatinCACS
La normatividad interna
• ¿Qué más existe en la organización?
- SOX
- Basilea
- Otras
• Los marcos referenciales
- COBIT
- ISO27000
- ISO31000
- ISO38500
- ISO9000
- ITIL
- COSO
- NYMITY
Fuente: La Protección de Datos Personales en México; José Luis Piñar Mañas, Lina Ornelas (Coordinadores)
36. @carloschalico
@CarlosChalicoT
#LatinCACS
Manejando los datos personales
• ¿Cómo proteger lo que no se conoce?
• Un modelo de gobierno de datos será de
mucha utilidad
• La oficina de protección de datos
custodiará el inventario
• Conocimiento de procesos
• La preparación es responsabilidad de
todos
• El mantenimiento también
Fuente: La Protección de Datos Personales en México; José Luis Piñar Mañas, Lina Ornelas (Coordinadores)
37. @carloschalico
@CarlosChalicoT
#LatinCACS
Las relaciones con terceros
• Históricamente, este es un punto débil
en las organizaciones
• Ejercicio de transferencia de riesgos
• La oficina de protección de datos no
podrá identificar terceros sin ayuda de
los dueños de proceso
• Las protecciones contractuales son
relevantes
• Certificaciones o revisiones
independientes: ISO, ISAE
• Involucramiento de auditoría interna
• ISACA y CSA, fuentes valiosas
Fuente: La Protección de Datos Personales en México; José Luis Piñar Mañas, Lina Ornelas (Coordinadores)
38. @carloschalico
@CarlosChalicoT
#LatinCACS
Respetando requerimientos
• Los consentimientos deben ser claros
• Las cancelaciones respetadas
• Las oposiciones obedecidas
• Los listados de exclusión dan soporte a
estos eventos
• Alimentarlos, mantenerlos actualizados y
usarlos es una responsabilidad de la
organización manejada por la oficina de
protección de datos personales
• Política de conservación y relaciones con
otras regulaciones
Fuente: La Protección de Datos Personales en México; José Luis Piñar Mañas, Lina Ornelas (Coordinadores)
39. @carloschalico
@CarlosChalicoT
#LatinCACS
Reaccionando ante emergencias
• Continuidad de la operación, respuesta a
incidentes = planes existentes, probados
y vigentes
• Casi el 50% de las regulaciones sobre
privacidad en América Latina requieren
que se comuniquen vulneraciones e
impactos
• La tendencia es que esto se generalice
• Ashley Madison, Target, Home Depot, son
algunos de los ejemplos recientes de
este tipo de incidentes
Fuente: La Protección de Datos Personales en México; José Luis Piñar Mañas, Lina Ornelas (Coordinadores)
40. @carloschalico
@CarlosChalicoT
#LatinCACS
Dando continuidad al proceso
• De nada servirán políticas,
procedimientos, guías y actividades que
no se mantengan vigentes
• La revisión frecuente es relevante
• El papel de Auditoría Interna es crucial
• Es recomendable definir también un
programa de revisiones externas
• Entender el ambiente, el sector, las
necesidades de la gente y las tendencias
generales, será de valor
• La actualización no parará
Fuente: La Protección de Datos Personales en México; José Luis Piñar Mañas, Lina Ornelas (Coordinadores)
41. @carloschalico
@CarlosChalicoT
#LatinCACS
Nuestra gente y la creación de conciencia
• El elemento más
débil de la cadena
es la gente, aunque
también es el que le
a sentido
• La educación es
importante
• La cultura
indispensable
• Las comunidades
vulnerables nuestro
foco
Fuentes: La Protección de Datos Personales en México; José Luis Piñar Mañas, Lina Ornelas (Coordinadores)
Wired
44. @carloschalico
@CarlosChalicoT
#LatinCACS
Otros procedimientos
• ¿Qué más debe hacerse
• ¿Qué otros procesos son necesarios?
• ¿Hay exigencias particulares en mis áreas
geográficas de alcance?
• ¿Hay exigencias específicas para mi
sector?
• ¿Varían los requerimientos en mis
interacciones con gobierno e iniciativa
privada?
• ¿He actualizado mis avisos de privacidad?
Fuente: La Protección de Datos Personales en México; José Luis Piñar Mañas, Lina Ornelas (Coordinadores)
47. @carloschalico
@CarlosChalicoT
#LatinCACS
Conclusiones
• La privacidad es un asunto de
competencia organizacional
• Indisolublemente vinculado con
otras áreas de control interno
• Incrustar la definición en el
diseño
• Reconocer este como un
proceso contínuo
• Entender nuestra
responsabilidad
• ¿Ha muerto la privacidad?
48. @carloschalico
@CarlosChalicoT
#LatinCACS
Bibliografía
Canadian Privacy
Bla Bla Bla
Privacy and Big Data
Francis daCosta
La Protección de Datos Personales en México
José Luis Piñar Mañas Lina Ornelas
IBM and the Holocaust
Edwin Black
ISACA - www.isaca.org
Privacy by Design - www.privacybydesign.ca
Operationalizing Privacy by Design - www.privacybydesign.ca/
index.php/paper/operationalizing-privacy-by-design-a-guide-to-
implementing-strong-privacy-practices/