6. SISTEMA DE GESTIÓN EN PROTECCIÓN DE DATOS PERSONALES_SIC

Anuncio
Régimen de protección de datos personales
en Colombia
Título
Delegatura para la Protección de Datos Personales
2015
MARCO CONSTITUCIONAL
Artículo 15 de la Constitución Política:
“Todas las personas tienen derecho a su intimidad personal y familiar y a
su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De
igual modo, tienen derecho a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bancos de
datos y en archivos de entidades públicas y privadas” .
En la recolección, tratamiento y circulación de datos se respetarán
la libertad y demás garantías consagradas en la Constitución.”
Regulación en
materia de hábeas data
D.R. 2952 de 2010
D.R. 1727 de 2009
D.R. 1377 de 2013 Reglamenta
parcialmente Ley 1581
D.R 886 de 2014 Reglamenta
Registro Nacional Bases de Datos
Principios
Ley 1581 de 2012
Legalidad
Finalidad
Libertad
Veracidad o calidad
Transparencia
Acceso y circulación restringida
Seguridad
Confidencialidad
4
Categorías especiales de datos
Datos sensibles
Aquellos que afectan la intimidad de la personas o cuyo
uso indebido puede generar discriminación. (Origen
racial o étnico, orientación política, convicciones
filosóficas o religiosas, pertenencia a sindicatos u
organizaciones sociales o de derechos humanos, datos
de salud, vida sexual y biométricos).
5
Tratamiento de Datos Sensibles
Está prohibido su tratamiento, a excepción de estos
casos:
 Autorización explicita del titular
 Salvaguarda de interés vital del titular
 Actividades
legítimas
por fundaciones,
ONG,
asociación u organismo sin ánimo de lucro
 Reconocimiento, ejercicio o defensa de un derecho en
un proceso judicial
 Finalidad histórica, estadística o científica (anonimizar)
6
Autorización tratamiento de Datos Sensibles
Informar al
titular cuáles de
los datos
recogidos son
sensibles y la
finalidad
No obligación de
autorizar
tratamiento
No puede
condicionarse
una prestación a
la autorización
7
Ciclo de vida del dato
La Gestión de la Información, es un conjunto
de procesos por los cuales se controla el
“ciclo de vida del dato”.
Los procesos también comprenden la
extracción, combinación, depuración y
distribución de la información a los
interesados. El objetivo de la Gestión de la
Información es propender por la seguridad
de la información, garantizando su
integridad, disponibilidad y confidencialidad.
Recolección (1)
• ¿En qué parte del procedimiento o actividad
se obtienen los datos (por creación o captura,
manual o sistematizados)?
• ¿Es necesaria la recolección?
• Qué información se debe recolectar.
• Cómo se debe recolectar la información.
• ¿Se asegura la calidad de los datos a la hora
de la captura de los mismos?
• ¿Los datos recogidos presentan sensibilidad o
trazabilidad?
Recolección (2)
• Se requiere la Autorización del Titular y se esta
informando la finalidad.
• Se deja prueba de la autorización
• Se puede consultar posteriormente
• El consentimiento es expreso
• El procedimiento esta documentado
• Aviso Privacidad
• Políticas de tratamiento
• Acceso a las políticas y finalidad
• Se valida cuando se recolectan datos sensible que
se informe al titular la no obligatoriedad de
autorizar.
Mantenimiento y uso (1)
• Qué áreas o personas utilizan los datos.
• ¿Los autorizados tienen acceso a
información acorde con sus funciones?
la
• En qué procedimientos o actividades internas
se procesan los datos y cuales de ellos
requieren ser transferidos.
• Se depuran, consolidan e integran los datos.
• Medidas de seguridad o políticas de acceso.
• Manipulan, actualizan y respaldan los datos.
• Aseguran la calidad.
Mantenimiento y uso (2)
• Qué datos, personas o áreas intervienen en la
transferencia y/o transmisión de información.
• Se tienen terceros contratados que
encarguen de la información personal.
se
• Los datos personales están clasificados.
• Procedimiento para realizar oportunamente la
actualización y rectificación de los datos.
• Procedimiento para uso y circulación, como
también para la actualización.
• Procedimiento para comunicar los cambios en
el tratamiento y la finalidad.
Supresión o Disposición Final (1)
• Cuánto tiempo se conservan los datos en la
organización y cuáles son los medios para su
eliminación.
• Circunstancias y momento en que se debe
eliminar la información o la Base de Datos.
• Procedimientos de archivo documental con
medidas de seguridad.
• Se eliminan datos que se requiere mantener
por otras Leyes o normas.
• Se deben almacenar los datos eliminados
con el fin de tomar medidas de prevención
de solicitudes posteriores.
Supresión o Disposición Final (2)
• Procedimientos para atender la solicitud
de revocar la autorización y/o solicitud
de la supresión del dato.
• Supresión de identidad de los Titulares.
• Soportes y constancias de la eliminación
de los datos personales.
• Gestión de incidentes documentada.
Qué pasos seguir?
•
•
•
•
•
Inventario: identifique sus bases de datos
 Cuáles son
 Información que contienen
 Manejan o no datos sensibles
Elabore e implemente su política de tratamiento y aviso de privacidad
Elabore e implemente su manual de procedimientos:
 Recolección
 Mantenimiento y uso
 Supresión o disposición
 Consultas o accesos no autorizados
Asigne un responsable del manejo de la información
Adopte medidas de seguridad adecuadas evitando:
 Adulteración de información
 Pérdida de información
 Consultas o accesos no autorizados
15
En relación con el manejo de la información
• Diseñe protocolos de recolección, almacenamiento, uso y
circulación de la información
• Inscriba sus bases de Datos en el Registro Nacional
16
ACCOUNTABILITY (RESPONSABILIDAD DEMOSTRADA) (Art. 26):
Los responsables deben ser capaces de demostrar que han
implementado medidas apropiadas y efectivas para cumplir con sus
deberes legales, de manera que sea proporcional con:
•
La naturaleza jurídica del responsable y su tamaño empresarial.
•
La naturaleza de los datos personales objeto del tratamiento.
•
El tipo de tratamiento.
•
Los riesgos potenciales que puede causar el tratamiento.
En caso de ser requeridos, las organizaciones deben describir los
procedimientos usados para la recolección de los datos, las finalidades
de uso y la relevancia de los datos para ese tratamiento
POLÍTICAS INTERNAS EFECTIVAS
(DECRETO 1377 DE 2013)
Las políticas implementadas por los responsables deben garantizar:
•
La existencia de una estructura administrativa proporcional a la
estructura y tamaño empresarial del responsable para la adopción
e implementación de políticas consistentes con la Ley 1581.
•
La adopción de mecanismos internos para poner en prácticas
estas políticas incluyendo herramientas de implementación,
entrenamiento y programas de educación.
•
La adopción de procesos para la atención y respuesta a
consultas, peticiones y reclamos.
La verificación por parte de la SIC de la existencia de medidas y
políticas específicas para el manejo adecuado de datos personales
que administra un responsable será tenida en cuenta al momento de
evaluar la imposición de sanciones
Para consultas o solicitudes
pueden dirigirse a:
[email protected]
19
Gracias
20
Descargar