1) El documento discute la importancia de la seguridad de los datos personales y las obligaciones de notificar violaciones.
2) Se explican los principios de seguridad que requieren que los responsables adopten medidas técnicas, humanas y administrativas para proteger los datos.
3) También se describen los pasos para tratar incidentes de seguridad, incluida la notificación a las autoridades y posiblemente a los titulares de datos.
3. El Principio de Seguridad en el
Tratamiento de Datos Personales
Por: Arean Hernando Velasco Melo Master en
Informática y Derecho
4.
5. Valoración de usuarios de Social Media
La división de los usuarios activos de la
empresa por su capitalización de mercado o
valoración de recaudación de fondos, nos
muestra que Facebook considera cada usuario
de WhatsApp en un valor alrededor de los
US$ 42 .
No sólo es muy similar al valor implícito de 22
millones de usuarios activos de Instagram al
momento en que Facebook anunció su
adquisición por mil millones dólares, el año
pasado, sino que es mucho menor que el
valor asociado a cada usuario de Snapchat,
Twitter o Pinterest.
Cada uno de los 1,1 millones de usuarios
activos de Facebook (que fue dejado fuera de
la tabla para que los otros pudieran ser mejor
visualizados) se está valorado en cerca de
US$ 150.
6.
7. El principio de SEGURIDAD propende por el cumplimiento del
Derecho Fundamental a la Protección de Datos Personales
8. La información sujeta a Tratamiento por
el Responsable del Tratamiento o
Encargado del Tratamiento a que se
refiere la presente ley, se deberá manejar
con las medidas técnicas, humanas y
administrativas que sean necesarias
para otorgar seguridad a los registros,
evitando su adulteración, pérdida,
consulta, uso o acceso no autorizado o
fraudulento.
Principio de seguridad
9. (Parte 1)
El artículo 30 obliga al responsable y al
encargado del tratamiento a adoptar las
medidas oportunas para garantizar la
seguridad del tratamiento, basándose en
el artículo 17, apartado 1, de la Directiva
95/46/CE, extiende la obligación a los
encargados, independientemente del
contrato suscrito con el responsable del
tratamiento.
Seguridad de los
datos
10. Prevención de Incidentes
de Seguridad de la
Información
Tratamiento de un
Incidente de Seguridad
de la Información
11. Ocurrencia en un determinado
sistema, servicio o red estatal, que
indica una posible violación de la
política de seguridad de la
información o la falta de garantías, o
de una situación desconocida que
puede ser pertinente a la Seguridad
de la Información.
Evento de seguridad de la información
12. Serie de eventos de Seguridad de la
Información no deseados o inesperados
que tengan una probabilidad significativa
de comprometer las operaciones del
negocio y amenazar la seguridad de la
información
INCIDENTE DE SEGURIDAD
13.
14.
15. (Parte 2)
Los artículos 31 y 32 introducen la obligación
de notificar las violaciones de los datos
personales, basándose en la notificación
de la violación de los datos personales que
figura en el artículo 4, apartado 3, de la
Directiva 2002/58/CE sobre la privacidad y las
comunicaciones electrónicas.
Seguridad de los
datos
16.
17. “ARTICULO 269F: VIOLACIÓN DE
DATOS PERSONALES.
El que, sin estar facultado para ello, con
provecho propio o de un tercero,
obtenga, compile, sustraiga, ofrezca,
venda, intercambie, envíe, compre,
intercepte, divulgue, modifique p emplee
códigos personales, datos personales
contenidos en ficheros, archivos, bases
de datos o medios semejantes, incurrirá
en pena de prisión de cuarenta y ocho
(48) a noventa y seis (96) meses y en
multa de 100 a 1000 salarios mínimos
legales mensuales vigentes.”
Violación de datos
personales
PROPUESTA DE REGLAMENTO EUROPEO
SOBRE PRIVACIDAD.
Toda violación de la seguridad que ocasione
la destrucción accidental o ilícita, la perdida,
alteración, comunicación no autorizada o el
acceso a datos personales trasmitidos,
conservados o tratados de otra forma.
18. Ley. 1581/2012. Artículo 17.y 18, Literal N y K..
Informar a la autoridad de protección de datos cuando se
presenten violaciones a los códigos de seguridad y existan
riesgos en la administración de la información de los
Titulares.
19. 1. El encargado informará
al responsable, una vez
haya constatado una
violación de datos
personales
2. Notificación por el
Responsable a la autoridad
sin demora injustificada
Término máximo de 24
horas para la notificación a
la autoridad
Notificación posterior a
las 24 horas exige una
justificación motivada
20. Contenido de
Notificación a
la Autoridad
de Vigilancia
Descripción de la naturaleza del Incidente,
afectados y registros o datos comprometidos
Notificar los datos del funcionario responsable de
la privacidad en la organización
Recomendar medidas tendientes a atenuar los
efectos negativos
Describir las consecuencias de la violación de datos
personales
Describir las medidas propuestas o adoptadas para
superar la violación de datos personales
21. Contenido de
Comunicación de
violación de datos
personales al
Interesado o Titular
Si existe riesgo de afectación negativa para el Titular en relación
con la protección o la intimidad, el Responsable sin demora
injustificada comunicará el riesgo.
Se comunicará la naturaleza de la violación , las consecuencias de
la violación y las medidas de protección adoptadas.
No existe obligatoriedad de comunicar al Titular, si el Responsable
demuestra a la Autoridad que implemento medidas tecnológicas apropiadas
y que estas se han aplicado sobre los datos comprometidos.
Si la autoridad considera que existen efectos negativos ordenará
al Responsable que proceda con la Comunicación al Titular.
Deberán precisarse los requisitos y criterios para establecer que
se ha de entender por efectos negativos.
22. Cuando una acción de seguimiento contra
una persona, después de un incidente en la
seguridad, involucra una acción legal se
debe recolectar, mantener y presentar
evidencia, cumpliendo con las reglas de la
evidencia en cada jurisdicción.
Cyber Crime
Recolección de evidencia en
Incidentes de Seguridad.
23. El tratamiento de datos personales está al servicio
del hombre (…) los principios y normas relativos a
la protección de las personas en lo que respecta al
tratamiento de sus datos de carácter personal
deben, (…) respetar las libertades y derechos
fundamentales, en particular el derecho a la
protección de los datos de carácter personal.
Debe contribuir a la plena realización de un espacio
de libertad, seguridad y justicia y de una unión
económica, al progreso económico y social, al
refuerzo y la convergencia de las economías dentro
del mercado interior, así como al bienestar de los
individuos.
CONCLUSIONES
“Cualquier sociedad que renuncie a un poco de
libertad para ganar un poco de seguridad, no
merecen ninguna de las dos cosas.”
-Benjamin Franklin