DIPLOMADO: GERENCIA EN REGISTRO NACIONAL DE BASE DE DATOS PERSONALES DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES DIPLOMADO: GERENCIA EN REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Escuela empresarial Latina para Pymes Facilitador: Ivan Dario Marrugo J. Bogotá. Abril 28 de 2016 La presentación incluye material protegido por Derechos de autor. Todos los derechos reservados.

DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Contenidos Modulo 3. Sesión 3. Reclamos e Incidentes en el manejo de las Bases de datos. La figura del Oficial de Privacidad. Algunas recomendaciones.

DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Los reclamos en el RNBD Una vez finalizada la inscripción de una base de datos es posible informar las novedades previstas en el RNBD.

Procedimiento del reporte de reclamos DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Procedimiento del reporte de reclamos Para informar los reclamos presentados por los Titulares debe seleccionar la Opción Modificar Datos de la base de datos registrada (Modulo: RNBD, Menú: Inscribir Base de datos). Luego debe ingresar a Reclamos Presentados por los Titulares, en donde el sistema le permitirá registrar el (los) reclamo (s) ingresando los datos de año, periodo a reportar, tipo y detalle del reclamo, y cantidad de reclamos

DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES TIPO DE RECLAMO / DETALLE* CONTRA EL RESPONSABLE – RESPECTO DE LA ACTUALIZACION DE INFORMACION No actualizó oportunamente la información de la BD No cuenta con medidas necesarias para mantener la información actualizada CONTRA EL RESPONSABLE – RESPECTO DE LA RECTIFICACION DE LA INFORMACION No rectifico inmediatamente la información correcta No le comunico al encargado la rectificación de la información. CONTRA EL RESPONSABLE – RESPECTO DE LA ATENCION DE CONSULTAS Y RECLAMOS No atendió integralmente y de fondo el derecho de petición. No suministro una respuesta congruente con lo solicitado. No suministro una respuesta oportuna a la petición. CONTRA EL RESPONSABLE – RESPECTO DE LOS MEDIOS PARA EL EJERCICIO DE DERECHOS No designó a un responsable o área que dé tramite a las solicitudes de los titulares. CONTRA EL ENCARGADO – RESPECTO DEL EJERCICIO DEL DERECHO DE HB No garantizó el pleno y efectivo ejercicio del derecho de Habeas Data * Tomado del manual del usuario RNBD – SIC 2015

DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Y cual es la finalidad??? Información para el proceso de “priorización” en el Sistema Integrado de Supervisión Inteligente – SISI. De donde se alimenta? Auto declaración en el RNBD y el sistema de quejas de la web de la SIC.

DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Y los incidentes…

Tengo un procedimiento de gestión de incidentes? DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Tengo un procedimiento de gestión de incidentes?

EL OFICIAL DE PRIVACIDAD EN COLOMBIA.

Disposiciones legales sobre la figura DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Disposiciones legales sobre la figura Art. 23 del Decreto 1377 de 2013 (Hoy DU 1074 de 2015): Todo responsable y encargado deberá designar a una persona o área que asuma la función de protección de datos personales, que dará tramite a las solicitudes de los titulares, para el ejercicio de los derechos a los que se refiere la Ley 1581 de 2012 y el Decreto. Art. 27 del Decreto 1377 de 2013 (Hoy DU 1074 de 2015): La existencia de una estructura administrativa proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas consistentes con la Ley 1581 de 2012.

Pueden surgir algunas inquietudes iniciales… DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Pueden surgir algunas inquietudes iniciales… Que perfil debe tener esta persona? Ubicación, Profesión, A que nivel? Que responsabilidades debe asumir? Que pasa si en mi organización aun no se tiene esto formalizado?

Roles corporativos en Protección de Datos DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Roles corporativos en Protección de Datos Ley 1581. Art. 4: Principio de Seguridad: El responsable y encargado deberá realizar el tratamiento con medidas técnicas, humanas y administrativas asegurando la adulteración, perdida, consulta o acceso no autorizado o fraudulento.

DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Más inquietudes… Es deber del responsable proteger la información y el medio por el que viaja? Como se prueba el cumplimiento¡? Como se mide el incumplimiento, su impacto y el daño causado?

Entonces donde debe ubicarse? DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Entonces donde debe ubicarse? Jurídico? Sistemas o TI.? Riesgos?

DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Y a que nivel… Estratégico – Gerencial. Operativo – Jefatura. Procedimental – Analista.

A nivel internacional viene manejándose así: DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES A nivel internacional viene manejándose así: Legal. Cumplimiento. Seguridad de la Información. Privacidad Gestión de Riesgos.

Algunas de sus funciones (Adicionales a las de la Guía de RD) DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Algunas de sus funciones (Adicionales a las de la Guía de RD) Informar a la organización sobre las obligaciones normativas y documentar las actividades. Participar la implementación del Programa de Gestión de PDP. Participar y supervisar los procedimientos para la atención de los titulares y documentar su gestión. Metricas, indicadores, etc. Informar a la SIC cuando se presenten violaciones a los códigos de seguridad. Coordinar y ejecutar la inscripción ante el #RNBD.

Algunas de sus funciones (Adicionales a las de la Guía de RD) DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Algunas de sus funciones (Adicionales a las de la Guía de RD) Supervisar la documentación y realización de evaluaciones periódicas al programa. Auditorias permanentes. Dirigir y atender cualquier visita o solicitud de información de parte de la autoridad de datos personales. Servir como puente entre las áreas para la adecuada coordinación en materia de PDP.

Y en cuestión de habilidades? DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Y en cuestión de habilidades? Capacidad para exigir estándares éticos a toda la organización. Habilidad en la comprensión de requisitos normativos y contractuales. Organización y capacidad demostrada con habilidad a la facilitación y comunicación corporativa. Comprensión en la operación del core de negocio así como entendimiento funcional de las áreas de TI y proyectos. Habilidades y reconocimiento de nuevas tendencias como BI, Analítica de datos, BigData, etc.

5 puntos clave de un Programa de Gestion en PDP - aeiou DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES 5 puntos clave de un Programa de Gestion en PDP - aeiou A. IDENTIFICACION Y REGISTRO DE BASES DE DATOS E. INFORMACION Y AUTORIZACION I. ACCESO A DATOS POR CUENTA DE TERCEROS O. MEDIDAS DE SEGURIDAD U. FORMACION

DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES A. IDENTIFICACION Y REGISTRO DE BASES DE DATOS IDENTIFICACION Y REGISTRO DE BASES DE DATOS Identificar las bases de datos conteniendo datos de carácter personal afectados por la Ley. Identificación de las bases de datos, finalidad y usos previstos. Identificación responsable las bases de datos y encargado tratamiento. Origen de los datos, procedimiento recogida datos. Estructura básica las bases de datos y categorías de datos. Comunicaciones de datos previstas, destinatarios. Nivel de seguridad: básico, medio o alto (público, privado, sensible) Automatizado, no automatizado o mixto. Transferencias internacionales de datos previstas. Realizar el registro de bases de datos, debiendo los interesados aportar a la Delegatura de Protección de Datos las políticas de tratamiento de la información e inscribirlas en el Registro nacional de Bases de Datos.

INFORMACION Y AUTORIZACION DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES INFORMACION Y AUTORIZACION Existencia de las bases de datos o tratamiento de datos personales. Finalidad de la recogida de éstos y destinatarios de la información (cesiones). Posibilidad de ejercitar Derechos que le asisten (conocer, actualizar, rectificar, suprimir) Identidad , dirección y teléfono del Responsable. DEBER DE INFORMACIÓN: (art.12) Cuando se recojan datos de interesados (instancias, formularios, impresos), se les debe informar de:

DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES INFORMACION Y AUTORIZACION AUTORIZACION: (art.9) Los datos sólo pueden ser objeto de tratamiento o cesión si el interesado ha prestado previamente su consentimiento. EXPRESA, PREVIA e INFORMADA Casos en que no es necesaria: Requerimiento por entidad pública para ejercicio de sus funciones u orden judicial. Casos de urgencia médica o sanitaria. Tratamiento autorizado por ley (fines estadísticos, históricos o científicos). Datos relacionados con Registro Civil.

DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES ACCESO A DATOS POR CUENTA DE TERCEROS ACCESO A DATOS POR TERCEROS PARA SU TRATAMIENTO Encargado del Tratamiento. Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trata datos personales por cuenta del responsable de la BBDD, como consecuencia de una relación jurídica para prestar un servicio. Ejemplos: asesoría laboral, fiscal, contable, mantenimiento informático, alojamiento web, mensajería, imprenta… Regulación OBLIGATORIA por contrato. El contrato debe estipular las medidas de seguridad que el encargado está obligado a implementar. Confidencialidad. Únicamente tratará los datos conforme a las instrucciones del responsable. Nunca con otra finalidad. Los datos no se comunicarán a otras personas, salvo permiso expreso. Una vez concluida la prestación, destruir o devolver los datos, soportes y documentos.

TERCEROS CON ACCESO POTENCIAL A DATOS DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES ACCESO A DATOS POR CUENTA DE TERCEROS TERCEROS CON ACCESO POTENCIAL A DATOS Detectar y declarar entidades que prestan servicios, o a las que prestar servicios, que tienen un acceso potencial a los datos pero no requieren de un tratamiento de los mismos.

DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES O. MEDIDAS DE SEGURIDAD SEGURIDAD DE LOS DATOS: Los responsables y encargados de las bases de datos deben adoptar las medidas técnicas y organizativas necesarias que garanticen la seguridad de los datos personales y eviten su alteración, pérdida, tratamiento o acceso no autorizado. (art.17 lit. d Ley), (art.18 lit. b Ley) (art.19 Decreto) Medidas de seguridad. La Superintendencia de Industria y Comercio impartirá las instrucciones relacionadas con las medidas de seguridad en el Tratamiento de datos personales. (art.19 Decreto)

DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES O. MEDIDAS DE SEGURIDAD El Decálogo de las medidas de seguridad 1.Disponer de un Documento de Seguridad,…y aplicarlo!!! 2.Designar un Responsable de Seguridad 3.Efectuar Auditorías y Controles periódicos 4.Definir y documentar las funciones y obligaciones del personal 5.Prever y gestionar las incidencias de seguridad 6.Disponer de controles y registros de accesos 7.Identificar y autenticar a los usuarios 8.Gestionar los accesos a través de la redes de comunicaciones 9.Gestionar los soportes y documentos donde se almacena la información 10.Procedimentarlas copias de respaldo y recuperación

DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES U. FORMACION La Entidad debe formar al personal (usuarios) para que cumplan las políticas y medidas de seguridad establecidas. Definición de funciones y obligaciones a los usuarios que tratan datos de carácter personal. Formación a responsables de seguridad. Formación a usuarios. Formación a usuarios de atención de derechos. Formación al personal informático. Art.27 Reglamento: Políticas internas efectivas 2º. Adopción de mecanismos internos para poner en práctica estas políticas incluyendo herramientas de implementación, entrenamiento y programas de educación.

DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Fuente: Top 25 de Actividades implementadas (Investigación de Nymity Benchmarks)

DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES Algunas conclusiones Cumplir no es costoso…. Incumplir me puede salir muy caro!! Es necesario hacer mas que solo definir políticas y establecer formatos. La responsabilidad demostrada me impone una serie de deberes que van mas allá del cumplimiento formal y declarativo: Debo probar que cumplo. Cuales deben ser unos pasos lógicos en este momento: Auditoria + Consultoría + Sistema Informático de gestión + Formación a toda la compañía.

DIPLOMADO: GERENCIA REGISTRO NACIONAL DE BASE DE DATOS PERSONALES ¿Preguntas? Gracias por su atención Ivan Dario Marrugo Jimenez Socio de Marrugo Rivera & Asociados www.marrugorivera.com - Twitter: @imarrugoj Bogotá D.C. Abril 28 de 2016