4. @carloschalico
Agenda
25/10/2015 4
• ¿Cómo llegamos hasta aquí?
• Conceptos
• ¿Cómo anda el mundo?
• ¿Qué está buscando Latinoamérica?
• Definiendo un modelo de cumplimiento
• Conclusiones
6. @carloschalico
El Derecho a ser Dejado Solo
25/10/2015 6
• La búsqueda de la privacidad inició hace mucho
tiempo
• “The Right to Privacy”, Diciembre 15 de 1890,
Harvard Law Review, Harvard Law School
• Samuel Warren y Louis Brandeis
• Uno de los ensayos más influyentes en la historia
de las leyes norteamericanas
• Sigue siendo usado ampliamente como referencia
en diversos textos y foros
7. @carloschalico
La preocupación en Europa
25/10/2015 7
• Los eventos acontecidos en Europa entre 1933 y
1945 dejaron una marca importante en lo
referente a protección de datos personales
Fuente:http://ancienthebrewlearningcenter.blogspot.ca/2015/01/ibm-nazi-holocaust-and-veterans.html
8. @carloschalico
¡Guerra!
25/10/2015 8
• La comunidad japonesa en los Estados Unidos es
reinstalada después del ataque a Pearl Harbor en
1943
Fuentes: http://www.digitalhistory.uh.edu/active_learning/explorations/japanese_internment/internment_menu.cfm
http://www.archives.gov/education/lessons/japanese-relocation/
http://www.bookmice.net/darkchilde/japan/camp.html
https://en.wikipedia.org/wiki/Anti-Japanese_sentiment_in_the_United_States
12. Internet de las Cosas
25/10/2015 12
Cosa
Identidad Comunicación
Sentidos Control
Nativos
Habilitados @carloschalico
13. @carloschalico
¿Cómo ha sido posible?
25/10/2015 13
• Evolución de la tecnología
• Reducción de costos
• Mejora de estructura del protocolo IP
- IPv4 (32 bits) Vs. IPv6 (128 bits)
Fuentes: http://www.analysysmason.com/About-Us/News/Insight/Insight-big-data-May2012/
Courtesy of IBM Archives, 2012
http://www.businessinsider.com/picture-of-ibm-hard-drive-on-airplane-2014-1
14. @carloschalico
Carnaval de Datos
25/10/2015 14
Para 2013 había más
dispositivos conectados
a internet que personas
sobre la Tierra
Facebook tiene más de
1 billón de usuarios
NYSE produce 1 Tb/día
de datos transacciones
Cada 2 días creamos
tantos datos como los
que se crearon en toda
la historia de la
humanidad hasta 2003
Los datos almacenados
en el mundo se
duplican cada 18 meses
10
20
30
40
50
BillonesdeEntidades
2010 2015 2020
6.8 7.2 7.6
Punto de
Inflexión
12.5
25
50
Billones de
“cosas” conectadas
Adopción 5 veces más acelerada que la de
Electricidad y Telefonía
20. @carloschalico
Intimo, público, privado
25/10/2015 20
• Ernesto Garzón Valdés escribe un interesante texto
al respecto
- Íntimo. “Ámbito de los pensamientos propios, de la
formación de decisiones, de las dudas, de lo reprimido, de lo
aún no expresado”
- Público. “Está caracterizado por la libre accesibilidad de los
comportamientos y decisiones de las personas en sociedad”
- Privado. “Ámbito reservado a un tipo de situaciones o
relaciones interpersonales en donde la selección de los
participantes depende de la libre decisión de cada
individuo”
Fuente: http://inicio.ifai.org.mx/Publicaciones/cuadernillo6.pdf
21. @carloschalico
Privacidad
25/10/2015 21
“La privacidad es el ámbito donde
pueden imperar exclusivamente los
deseos y preferencias individuales. Es
condición necesaria del ejercicio de la
libertad individual”
Ernesto Garzón Valdés
Fuente: http://inicio.ifai.org.mx/Publicaciones/cuadernillo6.pdf
22. @carloschalico
Datos Personales
25/10/2015 22
Relativos al individuo, que lo identifican o lo
hacen identificable. Le dan identidad, lo
describen, precisan su origen, edad, lugar de
residencia, trayectoria académica, laboral o
profesional. Además, también describen aspectos
más sensibles como puede ser su forma de
pensar, su estado de salud, sus características
físicas, ideología o vida sexual, entre otros
Fuente: Protección de Datos Personales: Compendio de lecturas y legislación, México
31. @carloschalico
Panorama Latinoamericano
25/10/2015 31
•Derechos humanos
•Homologación y madurez regulatoria
•Credibilidad institucional
•Control migratorio
•Manejo de datos
•Homologación de criterios público y
privado
•Educación
24 de marzo de 2015
Consejo de Derechos Humanos
Resolución A/HRC/28/L.27
Individuo Responsable de:
Monitorear, investigar y reportar
violaciones a la privacidad en el mundo
33. @carloschalico
Conociendo el Estado Actual
25/10/2015 33
• Patrocinio
• Políticas
• Procesos
• Inventario
• Estrategia de control
interno
• Seguridad de la
Información
• ¿Se trabaja desde el
diseño?
• Alcances geográficos
• Ambiente regulatorio
• Estructura organizacional
• Titular de la función
• Modelo de negocio
• Valores
Ley 1581
Registro Nacional de Bases de Datos
SIC
Decreto 886
34. @carloschalico25/10/2015 34
• Hay dos elementos maduros y valiosos, definidos
por Michael Porter que pueden considerarse a este
respecto:
- El análisis de las cinco fuerzas
- El análisis de La cadena de valor
Conociendo el Estado Actual
35. @carloschalico
Valores
25/10/2015 35
• ¿Por qué debo actuar con ética?
• Es importante reconocer la integración
de lo tecnológico y lo filosófico
• Debemos reconocer que somos
organizaciones tecnosociales
• Los datos personales
deberían protegerse porque
eso es lo correcto, no
porque se nos obligue
Fuente: http://www.ioew.de/uploads/tx_ukioewdb/future-IOEW_CSR-Study_Summary.pdf
36. @carloschalico
La Política General
25/10/2015 36
• La organización fija su posición frente al tema
• Muestra su compromiso de cumplimiento
• Crea vínculos con otras normativas
• Define al responsable de la función
• Establece su punto de origen (diseño)
• Confirma su relevancia
• Cumple expectativas
• Lo hace de forma:
- Simple
- Clara
No hay exigencia en creación deOficial de PrivacidadProcesadores y Controladoresde datos obligados aofrecer seguridad y procesos internos
37. @carloschalico
Interactuar con los interesados
25/10/2015 37
• El consentimiento es un gran actor en las
regulaciones de privacidad y se hace presente en la
comunidad latinoamericana, su obtención es crítica
• Dependiendo de como se interactúe con los
titulares, el consentimiento debe conseguirse de la
forma correcta
• El vínculo con el aviso de privacidad es indiscutible
• El uso de herramientas electrónicas puede ser de
gran valor
38. @carloschalico25/10/2015 38
Interactuar con los interesados
• Facilitar el ejercicio de derechos ARCO (Habeas
Data)
• La comunicación de solicitudes de titulares debe
facilitarse
• La infraestructura de sucursales o puntos de acceso
electrónicos deben facilitar esta interacción
específica
• Los canales de interacción con clientes deben
soportar este ejercicio también, sin perder de vista
la necesidad de autenticación
39. @carloschalico25/10/2015 39
Manejando el proceso interno
• Las respuestas deben generarse en el tiempo que se
exige
• De la forma en que se espera
• La especificación del derecho que quiera ejercerse
puede influir en la definición de las acciones a ejecutar
• El uso de un inventario de datos personales es altamente
recomendable
• La afectación a plazos de conservación o al
cumplimiento de otras regulaciones es relevante
• Listados de exclusión
El mercadeo directo
está regulado por la Ley 527/99
consentimiento opt/in
40. @carloschalico25/10/2015 40
Interactuar con las autoridades
• No solamente los titulares pueden hacer
requerimientos
• Hay que ser especialmente cuidadosos con los
requerimientos de las autoridades y actuar con agilidad
• Las sanciones por incumplimiento pueden ser
significativas
• Ya se han aplicado varias
• México parece llevar la cabecera en este ámbito y el
INAI, aunque ha sido conciliador, también ha mostrado
que puede ser exigente
41. @carloschalico25/10/2015 41
Interactuar con las autoridades
• No solamente los titulares pueden hacer
requerimientos
• Hay que ser especialmente cuidadosos con los
requerimientos de las autoridades y actuar con agilidad
• Las sanciones por incumplimiento pueden ser
significativas
• Ya se han aplicado varias
• México parece llevar la cabecera en este ámbito y el
INAI, aunque ha sido conciliador, también ha mostrado
que puede ser exigente
SIC
SFC
Multas por incumplimiento a leyes
1266/08 y 1581 pueden alcanzar:
2,000 Salarios Mínimos Mensuales
Equivalentes a 670,000 USD
Ley 1581 aplica a individuos
Ley 1273 tipifica los delitos relacionados
con protección de datos e información
y puede sancionar con cárcel de
48 a 96 meses
Los titulares podrían iniciar “Acción de Tutela”
42. @carloschalico25/10/2015 42
La normatividad interna
• ¿Qué más existe en la
organización?
- SOX
- Basilea
- Otras
• Los marcos
referenciales
- COBIT
- ISO27000
- ISO31000
- ISO38500
- ISO9000
- ITIL
- COSO
- NYMITY
43. @carloschalico25/10/2015 43
Manejando datos personales
• ¿Cómo proteger lo que no se conoce o clasifica?
• Un modelo de gobierno de datos será de mucha
utilidad
• La oficina de protección de datos custodiará el
inventario
• Conocimiento de procesos
• La preparación es responsabilidad de todos
• El mantenimiento también
44. @carloschalico25/10/2015 44
Relaciones con terceros
• Históricamente, este es un punto débil en las
organizaciones
• Ejercicio de transferencia de riesgos
• La oficina de protección de datos no podrá identificar
terceros sin ayuda de los dueños de proceso
• Las protecciones contractuales son relevantes
• Certificaciones o revisiones independientes: ISO, ISAE
• Involucramiento de auditoría interna
• ISACA y CSA, fuentes valiosas Ley 1266/08 Decreto 1377Transferencia transfronterizay consentimiento
Ley 1581 Ley 1266/08
Datos pueden transferirse fuera del país
solamente si el país de destino
tiene regulaciones de privacidad
similares a las colombianas
45. @carloschalico25/10/2015 45
Respetando requerimientos
• Los consentimientos deben ser claros
• Las cancelaciones respetadas
• Las oposiciones obedecidas
• Los listados de exclusión dan soporte a estos eventos
• Alimentarlos, mantenerlos actualizados y usarlos es
una responsabilidad de la organización manejada
por la oficina de protección de datos personales
• Política de conservación y relaciones con otras
regulaciones
46. @carloschalico25/10/2015 46
Reaccionando ante emergencias
• Continuidad de la operación, respuesta a
incidentes = planes existentes, probados y vigentes
• Casi el 50% de las regulaciones sobre privacidad en
América Latina requieren que se comuniquen
vulneraciones e impactos
• La tendencia es que esto se generalice
• Ashley Madison, Target, Home Depot, son algunos
de los ejemplos recientes de este tipo de
incidentes
47. @carloschalico25/10/2015 47
Reaccionando ante emergencias
• Continuidad de la operación, respuesta a
incidentes = planes existentes, probados y vigentes
• Casi el 50% de las regulaciones sobre privacidad en
América Latina requieren que se comuniquen
vulneraciones e impactos
• La tendencia es que esto se generalice
• Ashley Madison, Target, Home Depot, son algunos
de los ejemplos recientes de este tipo de
incidentes
Ley 1266/08
Procesadores de datos DEBEN
implantar sistemas de
SEGURIDAD con medidas
técnicas
Ley 1581 y Decreto 1377
Requieren Medidas Físicas,
Técnicas y Administrativas para los
mismos fines
Protección
Exactitud
Prevenir
Daño
Pérdida
Uso o Acceso
No Autorizado
Art. 17
Ley 1581
requiere ciertas
notificaciones
48. @carloschalico25/10/2015 48
Dando continuidad al proceso
• De nada servirán políticas, procedimientos, guías y
actividades que no se mantengan vigentes
• La revisión frecuente es relevante (métricas)
• El papel de Auditoría Interna es crucial
• Es recomendable definir también un programa de
revisiones externas
• Entender el ambiente, el sector, las necesidades de
la gente y las tendencias generales, será de valor
• La actualización no parará
49. @carloschalico25/10/2015 49
Gente, conciencia
• El elemento más débil de
la cadena es la gente,
aunque también es el que
le a sentido
• La educación es
importante
• La cultura indispensable
• Las comunidades
vulnerables nuestro foco
52. @carloschalico25/10/2015 52
Otros procedimientos
• ¿Qué más debe hacerse
• ¿Qué otros procesos son necesarios?
• ¿Hay exigencias particulares en mis áreas
geográficas de alcance?
• ¿Hay exigencias específicas para mi sector?
• ¿Varían los requerimientos en mis interacciones
con gobierno e iniciativa privada?
• ¿He actualizado mis avisos de privacidad?
55. @carloschalico25/10/2015 55
Conclusiones
• La privacidad es un asunto de
competencia organizacional
• Indisolublemente vinculado con
otras áreas de control interno
• Incrustar la definición en el diseño
• Reconocer este como un proceso
contínuo
• Entender nuestra responsabilidad
• ¿Ha muerto la privacidad?
56. @carloschalico25/10/2015 56
Bibliografía
• Canadian Privacy: Data Protection
Law and Policy for the Practitioner
Kris Klein
• Building a Privacy Program
Kirk M. Herath
• Privacy Law in Latin America &
the Caribbean
Bloomberg
• Privacy and Big Data
Francis daCosta
• La Protección de Datos Personales
en México
José Luis Piñar Mañas Lina Ornelas
• IBM and the Holocaust
Edwin Black
• ISACA - www.isaca.org
• Privacy by Design - www.privacybydesign.ca
• Operationalizing Privacy by Design -
www.privacybydesign.ca/index.php/paper/
operationalizing-privacy-by-design-a-guide-to-
implementing-strong-privacy-practices/
• DLA PIPER - Fuente:
dlapiperdataprotection.com