conferencias acdecc&bpo protección de datos y pci dss · rÉgimen legal de la ... base de...
TRANSCRIPT
RÉGIMEN LEGAL DE LA PROTECCIÓN DE DATOS PERSONALES
ASOCIACIÓN DE CONTACT CENTERS Y BPO (ACDECC)
BOGOTÁ D.C., 30 DE AGOSTO DE 2017
DEFINICIONES
AUTORIZACIÓN
•Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales
BASE DE DATOS
•Conjunto organizado de datos personales que sea objeto de Tratamiento
DATO PERSONAL
•Cualquier información vinculada o que pueda asociarse a personas naturales
TITULAR
• Persona natural cuyos datos personales sean objeto de Tratamiento
DEFINICIONES
TRATAMIENTO
•Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
ENCARGADO DEL TRATAMIENTO
•Persona que realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
RESPONSABLE DEL TRATAMIENTO
•Persona quedecide sobre labase de datosy/o elTratamiento delos datos.
DATOS SENSIBLES
• Datos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación
• Ejemplos: origen racial o étnico, orientación política, religión, salud.
• Todos los Datos de niños, niñas y adolescentes.
DERECHOS DE LOS TITULARES
DERECHOS DE LOS
TITULARES
Conocer, actualizar y rectificar sus datos personales.
Solicitar prueba de la autorización
otorgada.
Ser informado del uso que le ha dado
a sus datos personales.
Presentar ante la SIC quejas por infracciones.
Revocar la autorización y/o
solicitar la supresión del dato personal.
Acceder en forma gratuita a sus datos
personales que hayan sido objeto de Tratamiento.
AUTORIZACIÓN DEL TITULAR
• Para el Tratamiento es obligatorio obtener la autorización previa einformada del Titular.
• Al momento de solicitar al Titular la autorización, se deberá informarde manera clara y expresa lo siguiente:
✓ El Tratamiento al cual serán sometidos los datos personales y lafinalidad del mismo;
✓ El carácter facultativo de responder sobre datos sensibles o sobrelos datos de las niñas, niños y adolescentes;
✓ Los derechos que tiene el Titular;✓ La identificación, dirección física o electrónica y teléfono del
Responsable del Tratamiento.
: Es obligatorio conservar prueba de la autorización y entregar copiacuando el Titular la solicite.
CASOS QUE NO REQUIEREN AUTORIZACIÓN DEL TITULAR
Información requerida por una entidad pública o
administrativa en ejercicio de sus funciones legales o
por orden judicial.
Datos de naturaleza pública.
Casos de urgencia médica o sanitaria.
Información autorizada por la ley para fines
históricos, estadísticos o científicos.
Datos relacionados con el Registro Civil de las
Personas.
¿A QUIÉN SE LE PUEDE SUMINISTRAR INFORMACIÓN?
A los Titulares, sus herederos o sus representantes legales.
A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
A los terceros autorizados por el Titular o por la ley.
DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO
DEBERES
Garantizar al Titular el pleno y efectivo ejercicio del derecho de hábeas data.
Solicitar y conservar, la autorización otorgada por el
Titular.
Informar al Titular sobre la finalidad
de la recolección y los derechos que
tiene.
Actualizar la información y comunicar al ET, todas las novedades respecto de los datos que previamente le
haya dado.
Garantizar que la información que se suministre al ET sea
veraz, completa, exacta, actualizada,
comprobable y comprensible.
Conservar la información bajo las condiciones de seguridadnecesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO
DEBERES
Rectificar la información cuando
sea incorrecta y comunicar al ET.
Tramitar las consultas y reclamos
formulados.
Informar al ET cuando determinada información se encuentra en discusión por parte del Titular.
Adoptar un manual interno
de políticas y procedimientos.
Suministrar al ET, únicamente
datos cuyo Tratamiento esté
previamente autorizado.
Exigir al ET el respeto a las condiciones de seguridad y privacidad de la información.
DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO
DEBERESInformar a solicitud del Titular sobre el uso dado a sus datos.
Informar a la SIC cuando se presenten violaciones
a los códigos de seguridad y existan
riesgos en la administración de la
información.
Cumplir las instrucciones y requerimientos que imparta la
SIC.
DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO
DEBERES
Tramitar las consultas y los reclamos formulados por los Titulares .
Conservar la información bajo las condiciones de seguridad necesarias
para impedir su adulteración, pérdida,
consulta, uso o acceso no autorizado o fraudulento
Realizar oportunamente la
actualización, rectificación o
supresión de los datos personales
Actualizar la información
reportada por los Responsables del
Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
Adoptar un manual interno
de políticas y procedimientos.
Garantizar al Titular el pleno y efectivo ejercicio del derecho de hábeas data.
DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO
DEBERES
Registrar en la base de datos las leyenda
"reclamo en trámite”.
Insertar en la base de datos la
leyenda "información en
discusión judicial”.
Abstenerse de circular información
que esté siendo controvertida por el
Titular y cuyo bloqueo haya sido
ordenado por la SIC.
Cumplir las instrucciones y requerimientos que imparta la
SIC.
Informar a la SIC cuando se presenten
violaciones a los códigos de
seguridad y existan riesgos en la
administración de la información.
Permitir el acceso a la información
únicamente a las personas que pueden
tener acceso a ella.
CONSULTAS Y RECLAMOS
CONSULTA
Se debe habilitar un mediopara que los Titulares o susherederos hagan laconsulta sobre los DatosPersonales.
Término máximo pararesponder: 10 días hábiles,prorrogables por 5 díashábiles más.
RECLAMO
Cuando la información contenida en una base de datos debe ser
objeto de corrección, actualizacióno supresión.
Término máximo para responder: 15, días hábiles prorrogables por 08 días
hábiles.
SANCIONES
SANCIONES
Multas hasta por 2.000
smmlv.
Suspensión de las actividades relacionadas con el Tratamiento hasta por 6 meses.
Cierre temporal de las
operaciones relacionadas con el Tratamiento.
Cierre inmediato y definitivo de la operación que
involucre el Tratamiento de datos sensibles.
DEL REGISTRO NACIONAL DE BASES DE DATOS
✓ El Registro Nacional de Bases de Datos es el directorio público de las basesde datos sujetas a Tratamiento que operan en el país.
✓ El RNBD es administrado por la SIC.
✓ Se deben aportar las políticas de tratamiento de la información, las cualesobligarán a los Responsables y Encargados.
✓ La obligación de inscribir las bases de datos en el RNBD es delResponsable, indicando explícitamente quienes son los Encargados.
✓ Se deben inscribir las base de datos en el RNBD a través de Internet,ingresando a SIC www.sic.gov.co en la sección de “Protección de Datos
✓ Personales” – Subsección “Sobre la protección de datos personales”, alacceder al link del RNBD.
DEL REGISTRO NACIONAL DE BASES DE DATOS
• Término para inscribir las bases de datos en el RNBD: 31 deenero de 2018 para quine estén inscritos en las cámaras decomercio y 31 de enero de 2019 para quienes no estén inscritosen las cámaras de comercio.
• Información mínima que debe tener el RNBD:
1. Datos de identificación, ubicación y contacto del Responsabledel Tratamiento de la base de datos.2. Datos de identificación, ubicación y contacto del o de losEncargados del Tratamiento de la base de datos.3. Canales para que los titulares ejerzan sus derechos.4. Nombre y finalidad de la base de datos.5. Forma de Tratamiento de la base de datos (manual y/oautomatizada), y6. Política de Tratamiento de la información.
METODOLOGÍA PARA IMPLEMENTAR LPD
Revisar procesos
Revisar políticas y
procedimientos
Determinar brechas
Organizar inventarios
Eliminar datos no requeridos
Recolectar autorizaciones
Ajustar contratos
Definir e implementar
controles
Registrar bases de datos
Mantener cumplimiento
ANÁLISIS DE CASOS
Ficha del Caso
• Fecha: Mayo 2017• Sector de la Empresa: Actividades de centros de
llamadas (Call center)• Importe de la Sanción: 66 slmmv ($48.689.322)• Origen del Proceso: Denuncia• Tipos de incumplimientos: Técnicos, Jurídicos,
Procedimentales
ANÁLISIS DE CASOS
Conclusiones
• El ciudadano puede elegir si su información personalpuede ser utilizada o no en bases de datos.
• La información ya registrada en un usuario no puedepasar a otro organismo para que la utilice con finesdistintos, sin la autorización previa, expresa y libre deltitular.
• Ninguna entidad puede tener en sus bases de datosinformación personal privada o semiprivada de unapersona si no cuenta con las debidas autorizaciones.
• No es legitimo utilizar los datos personales y luegopretender obtener una autorización de manejo.
ANÁLISIS DE CASOS
Ficha del Caso
• Fecha: Junio 2016• Sector de la Empresa: Salud• Importe de la Sanción: 1.500 slmmv
($1.034.182.500)• Origen del Proceso: Denuncia Cliente• Tipos de incumplimientos: Técnicos,
Procedimentales
ANÁLISIS DE CASOS
Conclusiones:
La sanción castiga en especial el hecho de considerar que con un plazo de 20 meses durante los cuales los datos eran accesibles libremente queda patente que no se siguió la diligencia debida en cuanto a la validación de las medidas de seguridad presuntamente implementadas.
Esto se multiplica por el hecho que las Bases de Datos contienen datos sensibles (salud y menores).
La SIC es especialmente enfática con el hecho que la sancionada no comunicara del incidente. Esto puede sentar un precedente a notificar cualquier incidente en su interpretación más “amplia” a la SIC, sin interpretaciones.
www.summa-consultores.com www.isecauditors.com
PBX: 4813869 PBX: 6386888
Cra. 13a N° 89-38, Of. 628 Calle 90 No. 12-28
Bogotá D.C. Bogotá D.C.
[email protected] [email protected]
GRACIAS