marco peres -tendencias internacionales en materia de privacidad y protección de datos personales

Esta presentación incluye imagenes protegidas por el derecho de autor -‐

Prohibida su reproducción 1 19/11/13

7, 8, 14 y 15 de noviembre de 2013

19/11/13 Esta presentación incluye imagenes protegidas por el derecho de autor -‐

Prohibida su reproducción 2

Tendencias internacionales en materia de privacidad y protección

de datos personales

Noviembre 15 de 2013



19/11/13

•  Tendencias •  Proyecto de Reglamento Europeo de

Protección de Datos Personales



Plan de trabajo

19/11/13

Tendencias



19/11/13

Tendencias

19/11/13 Esta presentación incluye imagenes protegidas por el derecho de autor -‐


ü  Crecimiento de servicios ü  en línea. ü  Mayor exposición en redes

Sociales. ü  Más datos personales expuestos

(dirección IP, fotos, geolocalización, sensores, etc) .

ü  Datos abiertos versus protección de datos personales.

ü  Legitimidad en el recaudo y tratamiento de los datos personales.

ü  Legitimidad en cascada. ü  Afectación de otros derechos

( Libertad de expresión, Libertad de reunión, libertad de circulación, etc).



Tendencias

19/11/13

Primer factor : algo que usted conoce (password o clave) Segundo Factor: algo que usted es ( huella digital y voz) Tercer Factor: algo que usted posee ( Token o clave privada) Cuarto Factor: El lugar donde estoy

Ley 527 de 1999- Artículo 7 Decreto 2364 de 2012 Esta presentación incluye imagenes

protegidas por el derecho de autor -‐ Prohibida su reproducción

Tendencias

8 19/11/13

9


Prohibida su reproducción

Tendencias

Canecas Inteligentes

Gafas Inteligentes

19/11/13



Tendencias

19/11/13

Proyecto de Reglamento Europeo de Protección de Datos Personales



19/11/13

Principio de rendición de cuentas

Accountability



19/11/13

ü  Responsabilidad de las compañías en la implantación de mecanismos que garanticen el cumplimiento de los principios y obligaciones en materia de protección de datos, así como a los métodos de validación que garanticen su fiabilidad.

ü  Empresas pequeñas y grandes. ü  Se concreta en políticas y métodos

de control en las empresas, mediante el establecimiento de mecanismos internos y externos para evaluar su f iabi l idad y demostrar su efectividad cuando se solicite por las autoridades de control.



Accountability

19/11/13

Principio de Transparencia



19/11/13

ü  Eliminación de la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad de control.

ü  C o n s e r v a c i ó n d e l a documentación de todas las operaciones de tratamiento de d a t o s e f e c t u a d a s b a j o s u r e s p o n s a b i l i d a d . L a responsabilidad de conservar la documentación, a partir de la entrada en vigor del nuevo Reglamento, recae tanto en el R e s p o n s a b l e c o m o e n e l Encargado del tratamiento.



Transparencia

Ley 1581 de 2012. Artículos 4, 17 y 18 Decreto 1377 de 2013. Artículo 8

19/11/13

ü  Establecimiento de mecanismos sencillos para el ejercicio de los derechos. Un ejemplo de ello, es la pos ib i l idad de e je rc i ta r lo s derechos vía electrónica (tanto para envío como para respuesta), y la obligación de informar a los solicitantes de la posibilidad de presentar una reclamación ante la autoridad de control.

ü  Asimismo, la Comisión Europea podrá establecer formularios y procedimientos normalizados para l a s c o m u n i c a c i o n e s a l o s interesados, incluido el formato electrónico, adoptando medidas e s p e c í f i c a s p a r a l a s microempresas, las pequeñas y medianas empresas.



Transparencia

Decreto 1377 de 2013. Artículo 21 19/11/13

ü  Cooperación con autoridades de control. Con el cambio normativo los responsables y encargados del tratamiento no sólo deberán colaborar con su autoridad de control nacional, sino que ahora también entrará en juego "rendir cuentas" ante la Comisión y el Consejo Europeo de Protección de Datos. Si bien esto dota de transparencia a las actividades que impliquen tratamiento de datos personales, también genera un estricto deber de cumplimiento para dichos agentes.



Transparencia

19/11/13

Tratamiento de datos de menores



19/11/13

ü  Se fija la edad de los menores en menos de 13 años, en relación a la oferta directa de servicios de la sociedad de la información. Además, añade el borrador, que el tratamiento de los datos de estos menores solamente será lícito si el padre o tutor del menor ha prestado su consentimiento previo.



Menores

Ley 1581 de 2012. Artículo 7 Decreto 1377 de 2013. Artículo 12

19/11/13

Nuevos derechos de los ciudadanos



19/11/13

ü  Este derecho consiste en la supresión de datos bien porque ya no son necesarios conforme a la finalidad para la que fueron recabados ya sea porque el in te resado ha revocado su c o n s e n t i m i e n t o p a r a e l tratamiento; porque ha expirado el plazo para el tratamiento legal de los datos; porque el interesado ha e j e r c i t a d o s u d e r e c h o d e oposición, o bien porque el tratamiento de los datos no se está r e a l i z a n d o c o n f o r m e a l Reglamento.



Derecho al olvido

Ley 1581 de 2012. Artículos 8 y 15 Decreto 1377 de 2013. Artículo 9, 18,22

19/11/13

ü  E l Reglamento obl iga a los responsables de los datos que han difundido la información a terceros a comunicarles la obligación de suprimir cualquier enlace a los datos publicados, así como a eliminar cualquier copia o réplica de dichos datos.

ü  Consiste en conseguir eliminar de la red y de los buscadores cualquier rastro que haya de los datos de la persona que quiere ser "olvidada" de manera definitiva.



Derecho al olvido

Ley 1581 de 2012. Artículos 8 y 15 Decreto 1377 de 2013. Artículo 9, 18,22

19/11/13

ü  Oponerse a la "Creación de Perfiles", que consistan en evaluar, d e m a n e r a a u t o m a t i z a d a , determinados aspectos personales propios del titular de los datos o a analizar o predecir en particular su rend im ien to p ro fes iona l , su s i t u a c i ó n e c o n ó m i c a , s u localización, su estado de salud, sus preferencias personales, su fiabilidad o su comportamiento.



Creación de perfiles

19/11/13

ü  C o n s i s t e e n o b t e n e r d e l responsable del tratamiento una copia de los datos objeto de t ra tamiento en un fo r mato e l e c t r ó n i c o e s t r u c t u r a d o y comúnmente utilizado que le permita seguir utilizándolos.

ü  Le permite al titular de los datos c a m b i a r d e o p e r a d o r d e telecomunicaciones, pudiendo realizar tal portabilidad, de una manera ágil y sencilla para el usuario final.



Portabilidad de los Datos

Ley 1245 de 2008

19/11/13

Brechas de seguridad



19/11/13

El proyecto de reglamento no hace un desglose de las medidas de seguridad ni establece diversos niveles de seguridad en función del tipo de datos personales que se trate.

Le impone al responsable y al encargado que implementen las medidas de seguridad asegurando un nivel de protección adecuado atendiendo a tres criterios: los riesgos que se presenten, la naturaleza de los datos y los costes de implementación.



Seguridad de los datos

Ley 1581 de 2012. Artículos 4, 17, 18 Decreto 1377 de 2013. Artículos 19, 25

19/11/13

El Reglamento otorga a la Comisión la facultad de elaborar actos normativos para establecer medidas de seguridad de carácter técnico y organizativo, teniendo en cuenta para ello, tanto el desarrollo de la tecnología, como las soluciones ofrecidas por la Privacy by Design y Privacy by Default. En cuanto a la obligación de comunicar las brechas de segur idad, e l borrador diferencia entre notificar a la autoridad de control la incidencia detallada de lo que ha sucedido realmente en un plazo no superior a 24 horas y notificarlo al interesado cuando éste se haya visto afectado, por la vulneración de las medidas de seguridad.



Seguridad de los datos

Ley 1581 de 2012. Artículos 17 y 18

19/11/13

Delegado de Protección de Datos



19/11/13

El Reglamento establece la obligatoriedad de contar con un "Data Protection Officer" (DPO), tanto en organismos públicos, como en empresas con al menos 250 empleados. Se permite contar con un solo DPO en los casos de grupos de empresas. El DPO supervisará la implementación y aplicación de las políticas internas, la formación del personal, las auditorías, la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos, velar por la conservación de la documentación, supervisar la realización de la evaluación de impacto y actuar como punto de contacto para la autoridad de control, entre otras.



Delegado de Protección de Datos

Ley 1581 de 2012. Artículo Decreto 1377 de 2013. Artículo 23 19/11/13

Evaluación de Impacto



19/11/13

ü  Realizar una evaluación de riesgos por parte del responsable o el encargado del tratamiento, con carácter previo al tratamiento, permitirá que las medidas que se adopten tengan como finalidad evitar la pérdida de datos, los accesos y cesiones no autorizados.

ü  La evaluación hará en los casos en los que el tratamiento entrañe riesgos específ icos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines. En particular, cuando el tratamiento sirva para la creación de perfiles de los interesados, en el tratamiento de datos sensibles, datos genéticos o biométricos, en los casos de video-vigilancia y en el tratamiento de datos de menores.

ü  En todos estos casos será necesario realizar un "Informe de Impacto de Privacidad".



Evaluación de Impacto

19/11/13

Gracias por su atención

[email protected]

@MarcoPeresU


Prohibida su reproducción

19/11/13 33

marco peres -tendencias internacionales en materia de privacidad y protección de datos personales

Documents