SlideShare una empresa de Scribd logo

Protección de Datos Personales en Entornos Corporativos

Mariano M. del Río
Mariano M. del Río

Presentación que aborda los requerimientos de ciberseguridad de los bancos de datos personles y sensibles. Recomendaciones y Referencias.

Tecnología
1 de 35
Descargar para leer sin conexión
Protección de Datos Personales en Entornos Corporativos #Ley25326 - #Privacidad 11/06/2015 1 FORUM – Congreso de Seguridad de la Información
11/06/2015 2 FORUM – Congreso de Seguridad de la Información
11/06/2015 3 El Origen Noticias de la Realidad Disposiciones de la DNPDP Bancos de Datos #Ciberseguridad #GuíasDeSeguridad Preguntas FORUM – Congreso de Seguridad de la Información
11/06/2015 4 FORUM – Congreso de Seguridad de la Información Advertencia Referencias: http://www.urgente24.com/sites/default/files/notas/2014/11/15/abogados.jpg
11/06/2015 5 FORUM – Congreso de Seguridad de la Información El Origen Allá lejos y hace tiempo Referencias Internacionales • Ley Orgánica Protección de Datos (LOPD). • Agencia Española de Protección de Datos (AEPD). Decreto 1558/2001 • Reglamenta Ley 25326 (hace 14 años). • Creación Dirección Nacional de Protección de Datos Personales. Ley 25326 • Órgano de Control DNPDP • Derechos y Obligaciones. • Registro de Bancos de Datos Personales • Disposiciones Complementarias Referencias: http://www.jus.gob.ar/media/33382/Decreto_1558_2001.pdf http://www.agpd.es
11/06/2015 6 FORUM – Congreso de Seguridad de la Información Archivo, registro, base o banco de datos • Indistintamente, designan al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no (puede ser en papel), cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso (art. 2 de la Ley Nº 25.326). Datos Informatizados • Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado Referencias: http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx El Origen (Cont.) Definiciones
11/06/2015 7 FORUM – Congreso de Seguridad de la Información El Origen (Cont.) Definiciones Datos Personales • Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables (art. 2 de la Ley Nº 25.326) Datos Sensibles • Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual (art. 2 de la Ley Nº 25.326). Consentimiento del interesado • Toda manifestación de voluntad, libre, expresa e informada, mediante la cual el titular autorice el tratamiento de sus datos personales (art. 5 de la Ley Nº 25.326). Referencias: http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx
11/06/2015 8 FORUM – Congreso de Seguridad de la Información El Origen (Cont.) Algunos Derechos Derecho de Acceso • Permite al titular del dato saber si se encuentra o no incluido en un banco de datos; todos los datos relativos a su persona incluidos en ese banco de datos; la finalidad del tratamiento y los eventuales cesionarios de la información. • Respuesta 10 días corridos. Derecho al Olvido • Derecho del titular del dato personal a que se suprima información personal que se considera obsoleta por el transcurso del tiempo o que, de alguna manera, afecta el libre desarrollo de alguno de sus derechos fundamentales. Derecho de rectificación, actualización y supresión • Permiten corregir la información falsa, errónea, incompleta o incorrecta existente en una base de datos Referencias: http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx
11/06/2015 9 FORUM – Congreso de Seguridad de la Información El Origen (Cont.) Algunos Roles y Responsabilidades Tratamiento de Datos • Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y en general, el procesamiento de datos personales así como también, su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias (art. 2 de la Ley Nº 25.326). Consentimiento del interesado • Toda manifestación de voluntad, libre, expresa e informada, mediante la cual el titular autorice el tratamiento de sus datos personales (art. 5 de la Ley Nº 25.326). Responsable de archivo, registro, base o banco de datos • Persona física o de existencia ideal pública o privada, que es titular de un archivo, registro, base o banco de datos (art. 2 de la Ley Nº 25.326). Referencias: http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx
11/06/2015 10 FORUM – Congreso de Seguridad de la Información Noticias de la Realidad Riesgos de Terceras Partes Falta de Preparación para Responder a Incidentes Configuraciones Inseguras Intercambio Inseguro de Información
11/06/2015 11 FORUM – Congreso de Seguridad de la Información Disposiciones DNPDP ¿Qué hay que saber? La Dirección Nacional de Protección de Datos Personales establece Disposiciones Complementarias que establecen requisitos de cumplimiento a los distintos artículos de la Ley 25326. • Disposición 10/08 Leyendas Derecho de Acceso • Disposición 12/08 ISOLOGO • Disposición 07/08 Política de Privacidad • Disposición 04/09 Derecho de Acceso Comunicación Fines Publicitarios • Disposición 07/08 Acuerdo de Confidencialidad • Disposición 11/06 Medidas de Seguridad • Disposición 09/15 Sanciones
11/06/2015 12 FORUM – Congreso de Seguridad de la Información Disposiciones DNPDP ¿Qué impacto tienen? Deben estar disponibles, según el caso, en todo tipo de comunicación con el titular de los datos. • Sitio Web • IVR • Atención al Cliente • Comunicaciones Electrónicas • Correo Postal • Etc. Deben contar con procedimientos implementados para su cumplimiento • Derecho de Acceso • Sanciones/Punitorios/Quejas • Respuesta a Incidentes Establecen Requisitos Técnicos y Administrativos • Se deben establecer controles de seguridad que garanticen su Confidencialidad, Disponibilidad e Integridad. Empresa Responsable de Custodia Cesión a Terceros Tratamiento Transferencia Internacional Uso en base a Finalidad declarada El dueño de los datos es el titular.
11/06/2015 13 FORUM – Congreso de Seguridad de la Información Bancos de Datos ¿Qué bancos de datos solemos tener? • Según el tipo de dato podrían ser sensibles. Por ej: exámenes médicos, afiliación sindical, etc.RRHH • Según el tipo de dato podrían ser sensibles. Por ej: exámenes médicos, afiliación sindical, etc.Clientes • Suelen ser datos personalesProveedores • Suelen ser datos personales • Nueva Disposición 10/15Videovigilancia • Según el tipo de diálogo que se mantenga podrían ser datos sensibles. Es poco frecuente. • Relación con PCI-DSS. Llamadas de Voz
11/06/2015 14 FORUM – Congreso de Seguridad de la Información Bancos de Datos Requisitos Básicos Registro del Banco de Datos Formulario Asociado Finalidad de los Datos Descripción del Motivo por el cual se solicitan los datos Responsables del Banco de Datos Persona de Contacto Principal para el Ejercicio de Derechos Medidas de Seguridad Disposición 11/2006 •Nivel Básico •Nivel Medio •Nivel Crítico
11/06/2015 15 FORUM – Congreso de Seguridad de la Información #Ciberseguridad ¿Cómo cumplimos el marco legal vigente?
11/06/2015 16 FORUM – Congreso de Seguridad de la Información #Ciberseguridad ¿Cómo cumplimos el marco legal vigente? (Cont.)
11/06/2015 17 FORUM – Congreso de Seguridad de la Información #Ciberseguridad ¿Cómo cumplimos el marco legal vigente? (Cont.) • Involucramiento de todas las áreas • Adecuación Procesos • Medir • Ajustar • Mantener en el Tiempo • Alcance • Fases • Cambio Cultural • Sponsor • Recursos • Compromiso Decisión Política Proyecto Todos Mejora Continua
11/06/2015 18 FORUM – Congreso de Seguridad de la Información #Ciberseguridad ¿Cómo cumplimos el marco legal vigente? (Cont.) Framework de Referencia – ISO 27001 (SGSI – PDCA) Alcance Procesos Enfoque Basado En Riesgos Inventario Activos Requisitos de Seguridad
11/06/2015 19 FORUM – Congreso de Seguridad de la Información #Ciberseguridad ¿Cómo cumplimos el marco legal vigente? (Cont.) Framework de Referencia – ISO 27001 (SGSI – PDCA) / ISO 27005 Saber Qué Tenemos Saber Cuánto Vale Saber Dónde Está Saber Qué Debe Cumplir Saber Qué le puede pasar
11/06/2015 20 FORUM – Congreso de Seguridad de la Información #Ciberseguridad ¿Cómo cumplimos el marco legal vigente? (Cont.) Framework de Referencia – ISO 27001 (SGSI – PDCA) ISO 27001 PCI DSS / Sarbanes Oxley BCRA 4609 BCRA 5374 Disposición N°11/2006 DNPDP Leyes y Regulaciones Clientes y/o Mercado Requerimientos Propios
11/06/2015 21 FORUM – Congreso de Seguridad de la Información #Ciberseguridad ¿Cómo cumplimos el marco legal vigente? (Cont.) Framework de Referencia – ISO 27001 (SGSI – PDCA) Políticas Normas Procedimientos Instructivos Guías
11/06/2015 22 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Controles de Seguridad – Requerimiento Artículo 9 • El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. • Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.
11/06/2015 23 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Controles de Seguridad – Disposición N° 11/2006 DNPDP Nivel Básico Nivel Medio Nivel Crítico
11/06/2015 24 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Controles de Seguridad – Descripción Nivel Básico Nivel Básico •Los archivos, registros, bases y bancos de datos que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de Nivel Básico.
11/06/2015 25 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Controles de Seguridad – Descripción Nivel Medio Nivel Medio •Los archivos, registros, bases y bancos de datos de las empresas privadas que desarrollen actividades de prestación de servicios públicos, así como los archivos, registros, bases y bancos de datos pertenecientes a entidades que cumplan una función pública y/o privada que, más allá de lo dispuesto por el artículo 10 de la Ley N° 25.326, deban guardar secreto de la información personal por expresa disposición legal (v.g.: secreto bancario). Suma Medidas de Nivel Básico
11/06/2015 26 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Controles de Seguridad – Descripción Nivel Crítico Nivel Crítico •Los archivos, registros, bases y bancos de datos que contengan datos personales, definidos como "datos sensibles” Suma Medidas de Nivel Medio
11/06/2015 27 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Controles de Seguridad – Mapeo Disp. N°11/2006 DNPDP vs ISO 27002 Ejemplos Nivel de las Medidas de Seguridad Requisito Control de Seguridad ISO 27002 Básico Funciones y obligaciones del personal. 8.1.1 Funciones y Responsabilidades Básico Descripción de los archivos con datos de carácter personal y los sistemas de información que los tratan. 7.1.1 Inventario de Activos Básico Descripción de los archivos con datos de carácter personal y los sistemas de información que los tratan. 7.2.1 Directrices de Clasificación Medio El Instructivo de seguridad deberá identificar al Responsable (u órgano específico) de Seguridad. 6.1.3 Asignación de Responsabilidades de Seguridad de la Información Medio Realización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad para datos personales. 15.3 Consideraciones de Auditorias de Sistemas Medio Realización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad para datos personales. 15.2.2 Verificación de la Compatibilidad Técnica Medio Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. 11.2.3 Gestión de Contraseñas del Usuario
11/06/2015 28 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Controles de Seguridad – Mapeo Disp. N°11/2006 DNPDP vs ISO 27002 Ejemplos Crítico Distribución de soportes: cuando se distribuyan soportes que contengan archivos con datos de carácter personal —incluidas las copias de respaldo—, se deberán cifrar dichos datos (o utilizar cualquier otro mecanismo) a fin de garantizar que no puedan ser leídos o manipulados durante su transporte. 12.3.1 Política de Utilización de Controles Criptográficos Crítico Registro de accesos: se deberá disponer de un registro de accesos con información que identifique al usuario que accedió, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificación, etc.). Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el término de un TRES (3) años. 10.10.1 Registro de Auditoria Crítico Registro de accesos: se deberá disponer de un registro de accesos con información que identifique al usuario que accedió, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificación, etc.). Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el término de un TRES (3) años. 10.10.4 Sincronización de Relojes Crítico Copias de respaldo: además de las que se mantengan en la localización donde residan los datos deberán implementarse copias de resguardo externas, situadas fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja de seguridad bancaria, cualquiera de ellas situadas a prudencial distancia de la aludida localización. Deberá disponerse de un procedimiento de recuperación de esa información y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales. 10.8.3 Seguridad de los Medios en Tránsito Referencias: Controles de Seguridad para Bases de Datos Personales https://drive.google.com/open?id=0B-dOuFrfxS0SbE1pRWs5enA0Um8&authuser=0
11/06/2015 29 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Mapeo PCI-DSS vs BCRA 4609 vs BCRA 5374 vs Disp. N°11/2006 DNPDP vs ISO 27002 PCI-DSS •Monitoree y analice las alertas y la información de seguridad y comuníquelas al personal correspondiente. •Establezca, documente y distribuya los procedimientos de escalamiento y respuesta ante incidentes de seguridad para garantizar un manejo oportuno y efectivo de todas las situaciones. BCRA 4609 •Los incidentes y debilidades en materia de seguridad deben registrarse y comunicarse inmediatamente a través de adecuados canales de información, con el objeto de analizar sus causas e implementar mejoras en los controles informáticos a fin de evitar su futura ocurrencia. BCRA 5374 •Gestión de Incidentes. Complementariamente a lo indicado en el punto 6.2.5., las entidades deben arbitrar los esfuerzos necesarios para contar en sus organizaciones o a través de terceros bajo coordinación y control propio, con equipos de trabajo especializado en la atención, diagnóstico, análisis, contención, resolución, escalamiento e informe de los incidentes de seguridad. Disp. N°11/2006 DNPDP •Notificación, gestión y respuesta ante los incidentes de seguridad. ISO 27002 •Garantizar que los eventos de seguridad de la información y las debilidades asociadas a los sistemas de información se comuniquen de forma tal que se apliquen las acciones correctivas en el tiempo correcto.
11/06/2015 30 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Resumen de Controles •Roles y Responsabilidades •Clasificación de Activos •Configuraciones Seguras •Monitoreo •Respuesta a Incidentes •Concientización •Resguardo y Recupero •Cifrado •Control de Cambios •Separación de Ambientes •Segregación de Funciones •Derechos de Acceso, Rectificación, Supresión •Etc.
11/06/2015 31 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Recomendaciones Finales • Recursos • Compromiso Obtener Apoyo • Qué datos se utilizan • Donde y Cómo Conocer el Entorno • Por qué? Por qué? Por qué? Por qué? Por qué? Desafiar Todo
11/06/2015 32 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Recomendaciones Finales (Cont.) • Definirlo Adecuadamente • Aislarlo Alcance • Borrar es mejor que cifrar • Respetar “Necesidad de Conocer” Datos Personales • Garantizar durante todo el ciclo de vida. • Medir y Mejorar #Ciberseguridad
11/06/2015 33 FORUM – Congreso de Seguridad de la Información #GuíasDeSeguridad
11/06/2015 34 FORUM – Congreso de Seguridad de la Información
11/06/2015 35 FORUM – Congreso de Seguridad de la Información

Recomendados

Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...
Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...
Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...
Emisor Digital
 
BigPrivacy - Privacidad y BigData en Estadísticas Oficiales
BigPrivacy - Privacidad y BigData en Estadísticas OficialesBigPrivacy - Privacidad y BigData en Estadísticas Oficiales
BigPrivacy - Privacidad y BigData en Estadísticas Oficiales
AVPD - Agencia Vasca de Protección de Datos
 
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2Avpd upv-etsii - el nuevo rgpd para ingenieros - x2
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2
AVPD - DBEB
 
AVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenierosAVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenieros
AVPD - DBEB
 
Errores comunes en la identificación y declaración de BBDD en el RNBD
Errores comunes en la identificación y declaración de BBDD en el RNBD Errores comunes en la identificación y declaración de BBDD en el RNBD
Errores comunes en la identificación y declaración de BBDD en el RNBD
YTK ERT
 
RGPD - Responsabilidad ProActiva y Gestión de Riesgos
RGPD - Responsabilidad ProActiva y Gestión de RiesgosRGPD - Responsabilidad ProActiva y Gestión de Riesgos
RGPD - Responsabilidad ProActiva y Gestión de Riesgos
AVPD - Agencia Vasca de Protección de Datos
 
Protección de Datos: Casos reales de sanciones por incumplimiento de la ley
Protección de Datos: Casos reales de sanciones por incumplimiento de la leyProtección de Datos: Casos reales de sanciones por incumplimiento de la ley
Protección de Datos: Casos reales de sanciones por incumplimiento de la ley
YTK ERT
 
Cómo afrontar el reto de la información personal en las compañías
Cómo afrontar el reto de la información personal en las compañíasCómo afrontar el reto de la información personal en las compañías
Cómo afrontar el reto de la información personal en las compañías
Cámara de Comercio, Industria y Servicios de Madrid
 

Recomendados

Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...
Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...
Presentación del abogado Andrés Pumarino en Websense Data Protection Roadshow...
Emisor Digital
 
BigPrivacy - Privacidad y BigData en Estadísticas Oficiales
BigPrivacy - Privacidad y BigData en Estadísticas OficialesBigPrivacy - Privacidad y BigData en Estadísticas Oficiales
BigPrivacy - Privacidad y BigData en Estadísticas Oficiales
AVPD - Agencia Vasca de Protección de Datos
 
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2Avpd upv-etsii - el nuevo rgpd para ingenieros - x2
Avpd upv-etsii - el nuevo rgpd para ingenieros - x2
AVPD - DBEB
 
AVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenierosAVPD - El nuevo RGPD, para ingenieros
AVPD - El nuevo RGPD, para ingenieros
AVPD - DBEB
 
Errores comunes en la identificación y declaración de BBDD en el RNBD
Errores comunes en la identificación y declaración de BBDD en el RNBD Errores comunes en la identificación y declaración de BBDD en el RNBD
Errores comunes en la identificación y declaración de BBDD en el RNBD
YTK ERT
 
RGPD - Responsabilidad ProActiva y Gestión de Riesgos
RGPD - Responsabilidad ProActiva y Gestión de RiesgosRGPD - Responsabilidad ProActiva y Gestión de Riesgos
RGPD - Responsabilidad ProActiva y Gestión de Riesgos
AVPD - Agencia Vasca de Protección de Datos
 
Protección de Datos: Casos reales de sanciones por incumplimiento de la ley
Protección de Datos: Casos reales de sanciones por incumplimiento de la leyProtección de Datos: Casos reales de sanciones por incumplimiento de la ley
Protección de Datos: Casos reales de sanciones por incumplimiento de la ley
YTK ERT
 
Cómo afrontar el reto de la información personal en las compañías
Cómo afrontar el reto de la información personal en las compañíasCómo afrontar el reto de la información personal en las compañías
Cómo afrontar el reto de la información personal en las compañías
Cámara de Comercio, Industria y Servicios de Madrid
 
paGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad Digital
paGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad DigitalpaGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad Digital
paGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad Digital
AVPD - Agencia Vasca de Protección de Datos
 
Habeas Data, más que una ley: la Seguridad TIC en la protección de datos
Habeas Data, más que una ley: la Seguridad TIC en la protección de datosHabeas Data, más que una ley: la Seguridad TIC en la protección de datos
Habeas Data, más que una ley: la Seguridad TIC en la protección de datos
YTK ERT
 
Presentación paGonzalez en Euskal SecuriTIConference
Presentación paGonzalez en Euskal SecuriTIConferencePresentación paGonzalez en Euskal SecuriTIConference
Presentación paGonzalez en Euskal SecuriTIConference
AVPD - Agencia Vasca de Protección de Datos
 
Privacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - PresentaciónPrivacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - Presentación
AVPD - Agencia Vasca de Protección de Datos
 
Ley de Protección de Datos LOPD
Ley de Protección de Datos LOPDLey de Protección de Datos LOPD
Ley de Protección de Datos LOPD
EuQuality
 
Lopd
LopdLopd
Lopd
Luis Modesto Gonzalez
 
Obligaciones de las empresa en el nuevo RGPD
Obligaciones de las empresa en el nuevo RGPDObligaciones de las empresa en el nuevo RGPD
Obligaciones de las empresa en el nuevo RGPD
Adigital
 
Ley de protección datos: Un enfoque Práctico
Ley de protección datos: Un enfoque PrácticoLey de protección datos: Un enfoque Práctico
Ley de protección datos: Un enfoque Práctico
Carlos Luis Sánchez Bocanegra
 
¿Qué es la protección de datos? Leyes y mejores prácticas para empresas
¿Qué es la protección de datos? Leyes y mejores prácticas para empresas¿Qué es la protección de datos? Leyes y mejores prácticas para empresas
¿Qué es la protección de datos? Leyes y mejores prácticas para empresas
MasterBase®
 
Conceptos Básicos LOPD
Conceptos Básicos LOPDConceptos Básicos LOPD
Conceptos Básicos LOPD
ruthherrero
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Internet Security Auditors
 
PEC_4: Protección datos personales. Carolina Gómez, Marcela Londoño, Juan Dav...
PEC_4: Protección datos personales. Carolina Gómez, Marcela Londoño, Juan Dav...PEC_4: Protección datos personales. Carolina Gómez, Marcela Londoño, Juan Dav...
PEC_4: Protección datos personales. Carolina Gómez, Marcela Londoño, Juan Dav...
Boris Eduardo Vesga Angarita
 
Presentacion sedsabio j_guerra
Presentacion sedsabio j_guerraPresentacion sedsabio j_guerra
Presentacion sedsabio j_guerra
Jorge A. Guerra
 
Reglamento Ley que Regula el Repositorio Nacional de Ciencia, Tecnología e In...
Reglamento Ley que Regula el Repositorio Nacional de Ciencia, Tecnología e In...Reglamento Ley que Regula el Repositorio Nacional de Ciencia, Tecnología e In...
Reglamento Ley que Regula el Repositorio Nacional de Ciencia, Tecnología e In...
Concytec Perú
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Internet Security Auditors
 
Sancion por Habeas Data a Colmedica en Colombia
Sancion por Habeas Data a Colmedica en ColombiaSancion por Habeas Data a Colmedica en Colombia
Sancion por Habeas Data a Colmedica en Colombia
Marrugo Rivera & Asociados
 
Curso de Verano "Datos y Gobierno Abierto" José Félix Muñoz
Curso de Verano "Datos y Gobierno Abierto" José Félix MuñozCurso de Verano "Datos y Gobierno Abierto" José Félix Muñoz
Curso de Verano "Datos y Gobierno Abierto" José Félix Muñoz
Aragón Open Data
 
Nd p buenas prácticas para el diagnóstico de la ciberseguridaden entornos i...
Nd p buenas prácticas para el diagnóstico de la ciberseguridaden entornos i...Nd p buenas prácticas para el diagnóstico de la ciberseguridaden entornos i...
Nd p buenas prácticas para el diagnóstico de la ciberseguridaden entornos i...
Ricardo Cañizares Sales
 
EULEN Seguridad - V Congreso Internacional de Ciberseguridad Industrial
EULEN Seguridad - V Congreso Internacional de Ciberseguridad IndustrialEULEN Seguridad - V Congreso Internacional de Ciberseguridad Industrial
EULEN Seguridad - V Congreso Internacional de Ciberseguridad Industrial
Ricardo Cañizares Sales
 
La Seguridad Informática en la actualidad
La Seguridad Informática en la actualidadLa Seguridad Informática en la actualidad
La Seguridad Informática en la actualidad
Diego Ramos
 
Analítica en Redes Sociales (conferencia) #CRS13
Analítica en Redes Sociales (conferencia) #CRS13Analítica en Redes Sociales (conferencia) #CRS13
Analítica en Redes Sociales (conferencia) #CRS13
Clara Ávila Cantos
 
Hardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar GonzalezHardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar Gonzalez
Oscar Gonzalez
 

Más contenido relacionado

La actualidad más candente

Presentación paGonzalez en Euskal SecuriTIConference
Presentación paGonzalez en Euskal SecuriTIConferencePresentación paGonzalez en Euskal SecuriTIConference
Presentación paGonzalez en Euskal SecuriTIConference
AVPD - Agencia Vasca de Protección de Datos
 
Ley de Protección de Datos LOPD
Ley de Protección de Datos LOPDLey de Protección de Datos LOPD
Ley de Protección de Datos LOPD
EuQuality
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Internet Security Auditors
 
Presentacion sedsabio j_guerra
Presentacion sedsabio j_guerraPresentacion sedsabio j_guerra
Presentacion sedsabio j_guerra
Jorge A. Guerra
 

La actualidad más candente (17)

paGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad Digital
paGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad DigitalpaGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad Digital
paGonzalez en #deusto125 - Redes Sociales, Privacidad e Identidad Digital
 
Habeas Data, más que una ley: la Seguridad TIC en la protección de datos
Habeas Data, más que una ley: la Seguridad TIC en la protección de datosHabeas Data, más que una ley: la Seguridad TIC en la protección de datos
Habeas Data, más que una ley: la Seguridad TIC en la protección de datos
 
Presentación paGonzalez en Euskal SecuriTIConference
Presentación paGonzalez en Euskal SecuriTIConferencePresentación paGonzalez en Euskal SecuriTIConference
Presentación paGonzalez en Euskal SecuriTIConference
 
Privacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - PresentaciónPrivacidad en la Internet de las Cosas - Presentación
Privacidad en la Internet de las Cosas - Presentación
 
Ley de Protección de Datos LOPD
Ley de Protección de Datos LOPDLey de Protección de Datos LOPD
Ley de Protección de Datos LOPD
 
Lopd
LopdLopd
Lopd
 
Obligaciones de las empresa en el nuevo RGPD
Obligaciones de las empresa en el nuevo RGPDObligaciones de las empresa en el nuevo RGPD
Obligaciones de las empresa en el nuevo RGPD
 
Ley de protección datos: Un enfoque Práctico
Ley de protección datos: Un enfoque PrácticoLey de protección datos: Un enfoque Práctico
Ley de protección datos: Un enfoque Práctico
 
¿Qué es la protección de datos? Leyes y mejores prácticas para empresas
¿Qué es la protección de datos? Leyes y mejores prácticas para empresas¿Qué es la protección de datos? Leyes y mejores prácticas para empresas
¿Qué es la protección de datos? Leyes y mejores prácticas para empresas
 
Conceptos Básicos LOPD
Conceptos Básicos LOPDConceptos Básicos LOPD
Conceptos Básicos LOPD
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
PEC_4: Protección datos personales. Carolina Gómez, Marcela Londoño, Juan Dav...
PEC_4: Protección datos personales. Carolina Gómez, Marcela Londoño, Juan Dav...PEC_4: Protección datos personales. Carolina Gómez, Marcela Londoño, Juan Dav...
PEC_4: Protección datos personales. Carolina Gómez, Marcela Londoño, Juan Dav...
 
Presentacion sedsabio j_guerra
Presentacion sedsabio j_guerraPresentacion sedsabio j_guerra
Presentacion sedsabio j_guerra
 
Reglamento Ley que Regula el Repositorio Nacional de Ciencia, Tecnología e In...
Reglamento Ley que Regula el Repositorio Nacional de Ciencia, Tecnología e In...Reglamento Ley que Regula el Repositorio Nacional de Ciencia, Tecnología e In...
Reglamento Ley que Regula el Repositorio Nacional de Ciencia, Tecnología e In...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Sancion por Habeas Data a Colmedica en Colombia
Sancion por Habeas Data a Colmedica en ColombiaSancion por Habeas Data a Colmedica en Colombia
Sancion por Habeas Data a Colmedica en Colombia
 
Curso de Verano "Datos y Gobierno Abierto" José Félix Muñoz
Curso de Verano "Datos y Gobierno Abierto" José Félix MuñozCurso de Verano "Datos y Gobierno Abierto" José Félix Muñoz
Curso de Verano "Datos y Gobierno Abierto" José Félix Muñoz
 

Destacado

Nd p buenas prácticas para el diagnóstico de la ciberseguridaden entornos i...
Nd p buenas prácticas para el diagnóstico de la ciberseguridaden entornos i...Nd p buenas prácticas para el diagnóstico de la ciberseguridaden entornos i...
Nd p buenas prácticas para el diagnóstico de la ciberseguridaden entornos i...
Ricardo Cañizares Sales
 
Segurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidadSegurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidad
Gabriel Marcos
 

Destacado (13)

Nd p buenas prácticas para el diagnóstico de la ciberseguridaden entornos i...
Nd p buenas prácticas para el diagnóstico de la ciberseguridaden entornos i...Nd p buenas prácticas para el diagnóstico de la ciberseguridaden entornos i...
Nd p buenas prácticas para el diagnóstico de la ciberseguridaden entornos i...
 
EULEN Seguridad - V Congreso Internacional de Ciberseguridad Industrial
EULEN Seguridad - V Congreso Internacional de Ciberseguridad IndustrialEULEN Seguridad - V Congreso Internacional de Ciberseguridad Industrial
EULEN Seguridad - V Congreso Internacional de Ciberseguridad Industrial
 
La Seguridad Informática en la actualidad
La Seguridad Informática en la actualidadLa Seguridad Informática en la actualidad
La Seguridad Informática en la actualidad
 
Analítica en Redes Sociales (conferencia) #CRS13
Analítica en Redes Sociales (conferencia) #CRS13Analítica en Redes Sociales (conferencia) #CRS13
Analítica en Redes Sociales (conferencia) #CRS13
 
Hardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar GonzalezHardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar Gonzalez
 
Desarrollo del Profesional de Ciberseguridad: ¿Y ahora a donde voy?
Desarrollo del Profesional de Ciberseguridad: ¿Y ahora a donde voy?Desarrollo del Profesional de Ciberseguridad: ¿Y ahora a donde voy?
Desarrollo del Profesional de Ciberseguridad: ¿Y ahora a donde voy?
 
ARQUITECTURA TCP/IP
ARQUITECTURA TCP/IPARQUITECTURA TCP/IP
ARQUITECTURA TCP/IP
 
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel TolabaSeguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
 
Segurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidadSegurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidad
 
Miguel Rego. Nuevos escenarios y tendencias en Ciberseguridad. Semanainformat...
Miguel Rego. Nuevos escenarios y tendencias en Ciberseguridad. Semanainformat...Miguel Rego. Nuevos escenarios y tendencias en Ciberseguridad. Semanainformat...
Miguel Rego. Nuevos escenarios y tendencias en Ciberseguridad. Semanainformat...
 
Seguridad de redes (congreso)
Seguridad de redes (congreso)Seguridad de redes (congreso)
Seguridad de redes (congreso)
 
Mejores Estrategias para Impulsar un Blog de Éxito
Mejores Estrategias para Impulsar un Blog de ÉxitoMejores Estrategias para Impulsar un Blog de Éxito
Mejores Estrategias para Impulsar un Blog de Éxito
 
250 Conectores textuales
250 Conectores textuales250 Conectores textuales
250 Conectores textuales
 

Similar a Protección de Datos Personales en Entornos Corporativos

Protección de Datos en Costa Rica: Situación actual y retos / Nathalie Artavi...
Protección de Datos en Costa Rica: Situación actual y retos / Nathalie Artavi...Protección de Datos en Costa Rica: Situación actual y retos / Nathalie Artavi...
Protección de Datos en Costa Rica: Situación actual y retos / Nathalie Artavi...
EUROsociAL II
 
Implicaciones de la Ley de Datos Personales en el Sector Privado
Implicaciones de la Ley de Datos Personales en el Sector PrivadoImplicaciones de la Ley de Datos Personales en el Sector Privado
Implicaciones de la Ley de Datos Personales en el Sector Privado
Grupo Megamedia
 
Taller Cómo prepararse para una inspección de Habeas Data
Taller Cómo prepararse para una inspección de Habeas DataTaller Cómo prepararse para una inspección de Habeas Data
Taller Cómo prepararse para una inspección de Habeas Data
amdia
 

Similar a Protección de Datos Personales en Entornos Corporativos (20)

Cgs taller informativo lpdp salud v7
Cgs taller informativo lpdp salud v7Cgs taller informativo lpdp salud v7
Cgs taller informativo lpdp salud v7
 
Ley orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácterLey orgánica de protección de datos de carácter
Ley orgánica de protección de datos de carácter
 
Decodificando el Registro Nacional de Bases de Datos en Colombia
Decodificando el Registro Nacional de Bases de Datos en ColombiaDecodificando el Registro Nacional de Bases de Datos en Colombia
Decodificando el Registro Nacional de Bases de Datos en Colombia
 
Educacion lopd andatic_II
Educacion lopd andatic_IIEducacion lopd andatic_II
Educacion lopd andatic_II
 
Ley N° 29733 – Ley de Protección de datos personales y su Reglamento
Ley N° 29733 – Ley de Protección de datos personales y su ReglamentoLey N° 29733 – Ley de Protección de datos personales y su Reglamento
Ley N° 29733 – Ley de Protección de datos personales y su Reglamento
 
Protección de Datos en Costa Rica: Situación actual y retos / Nathalie Artavi...
Protección de Datos en Costa Rica: Situación actual y retos / Nathalie Artavi...Protección de Datos en Costa Rica: Situación actual y retos / Nathalie Artavi...
Protección de Datos en Costa Rica: Situación actual y retos / Nathalie Artavi...
 
Lopd
LopdLopd
Lopd
 
Pl 01-manual-interno-de-politicas-y-procedimientos-1
Pl 01-manual-interno-de-politicas-y-procedimientos-1Pl 01-manual-interno-de-politicas-y-procedimientos-1
Pl 01-manual-interno-de-politicas-y-procedimientos-1
 
AGM Abogados - Ley de proteccion de datos LOPD
AGM Abogados - Ley de proteccion de datos LOPDAGM Abogados - Ley de proteccion de datos LOPD
AGM Abogados - Ley de proteccion de datos LOPD
 
1ª sesión 2ª parte
1ª sesión 2ª parte1ª sesión 2ª parte
1ª sesión 2ª parte
 
Implicaciones de la Ley de Datos Personales en el Sector Privado
Implicaciones de la Ley de Datos Personales en el Sector PrivadoImplicaciones de la Ley de Datos Personales en el Sector Privado
Implicaciones de la Ley de Datos Personales en el Sector Privado
 
Taller Cómo prepararse para una inspección de Habeas Data
Taller Cómo prepararse para una inspección de Habeas DataTaller Cómo prepararse para una inspección de Habeas Data
Taller Cómo prepararse para una inspección de Habeas Data
 
Ley 1581 de 2012
Ley 1581 de 2012Ley 1581 de 2012
Ley 1581 de 2012
 
07-02-2018-Delegatura-para-la-Proteccion-de-Datos-Personales.pdf
07-02-2018-Delegatura-para-la-Proteccion-de-Datos-Personales.pdf07-02-2018-Delegatura-para-la-Proteccion-de-Datos-Personales.pdf
07-02-2018-Delegatura-para-la-Proteccion-de-Datos-Personales.pdf
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datos
 
Seguridad de Información -ArCert
Seguridad de Información -ArCertSeguridad de Información -ArCert
Seguridad de Información -ArCert
 
201011 tema 02 01 introducción
201011 tema 02 01 introducción201011 tema 02 01 introducción
201011 tema 02 01 introducción
 
Presentación Lopd Cct 2009
Presentación Lopd Cct 2009Presentación Lopd Cct 2009
Presentación Lopd Cct 2009
 
Ley de Protección de Datos Personales 29733 y su Reglamento (Segunda Edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (Segunda Edición)Ley de Protección de Datos Personales 29733 y su Reglamento (Segunda Edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (Segunda Edición)
 
090930 Presentacion Impulsem
090930 Presentacion Impulsem090930 Presentacion Impulsem
090930 Presentacion Impulsem
 

Más de Mariano M. del Río

Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715
Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715
Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715
Mariano M. del Río
 

Más de Mariano M. del Río (6)

#SayaCybersecurity The Attorney and CISO conversation.
#SayaCybersecurity The Attorney and CISO conversation.#SayaCybersecurity The Attorney and CISO conversation.
#SayaCybersecurity The Attorney and CISO conversation.
 
Desafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad IndustrialDesafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad Industrial
 
Investigaciones en Entornos Corporativos - SecureTech/ICIACORP
Investigaciones en Entornos Corporativos - SecureTech/ICIACORPInvestigaciones en Entornos Corporativos - SecureTech/ICIACORP
Investigaciones en Entornos Corporativos - SecureTech/ICIACORP
 
Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715
Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715
Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715
 
#UBA_#Ciberseguridad_#Cibercrimen_#Privacidad
#UBA_#Ciberseguridad_#Cibercrimen_#Privacidad#UBA_#Ciberseguridad_#Cibercrimen_#Privacidad
#UBA_#Ciberseguridad_#Cibercrimen_#Privacidad
 
Y ahora nos preocupamos por la privacidad gracias #snowden
Y ahora nos preocupamos por la privacidad gracias #snowdenY ahora nos preocupamos por la privacidad gracias #snowden
Y ahora nos preocupamos por la privacidad gracias #snowden
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 

Último (10)

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 

Protección de Datos Personales en Entornos Corporativos

  • 1. Protección de Datos Personales en Entornos Corporativos #Ley25326 - #Privacidad 11/06/2015 1 FORUM – Congreso de Seguridad de la Información
  • 2. 11/06/2015 2 FORUM – Congreso de Seguridad de la Información
  • 3. 11/06/2015 3 El Origen Noticias de la Realidad Disposiciones de la DNPDP Bancos de Datos #Ciberseguridad #GuíasDeSeguridad Preguntas FORUM – Congreso de Seguridad de la Información
  • 4. 11/06/2015 4 FORUM – Congreso de Seguridad de la Información Advertencia Referencias: http://www.urgente24.com/sites/default/files/notas/2014/11/15/abogados.jpg
  • 5. 11/06/2015 5 FORUM – Congreso de Seguridad de la Información El Origen Allá lejos y hace tiempo Referencias Internacionales • Ley Orgánica Protección de Datos (LOPD). • Agencia Española de Protección de Datos (AEPD). Decreto 1558/2001 • Reglamenta Ley 25326 (hace 14 años). • Creación Dirección Nacional de Protección de Datos Personales. Ley 25326 • Órgano de Control DNPDP • Derechos y Obligaciones. • Registro de Bancos de Datos Personales • Disposiciones Complementarias Referencias: http://www.jus.gob.ar/media/33382/Decreto_1558_2001.pdf http://www.agpd.es
  • 6. 11/06/2015 6 FORUM – Congreso de Seguridad de la Información Archivo, registro, base o banco de datos • Indistintamente, designan al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no (puede ser en papel), cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso (art. 2 de la Ley Nº 25.326). Datos Informatizados • Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado Referencias: http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx El Origen (Cont.) Definiciones
  • 7. 11/06/2015 7 FORUM – Congreso de Seguridad de la Información El Origen (Cont.) Definiciones Datos Personales • Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables (art. 2 de la Ley Nº 25.326) Datos Sensibles • Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual (art. 2 de la Ley Nº 25.326). Consentimiento del interesado • Toda manifestación de voluntad, libre, expresa e informada, mediante la cual el titular autorice el tratamiento de sus datos personales (art. 5 de la Ley Nº 25.326). Referencias: http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx
  • 8. 11/06/2015 8 FORUM – Congreso de Seguridad de la Información El Origen (Cont.) Algunos Derechos Derecho de Acceso • Permite al titular del dato saber si se encuentra o no incluido en un banco de datos; todos los datos relativos a su persona incluidos en ese banco de datos; la finalidad del tratamiento y los eventuales cesionarios de la información. • Respuesta 10 días corridos. Derecho al Olvido • Derecho del titular del dato personal a que se suprima información personal que se considera obsoleta por el transcurso del tiempo o que, de alguna manera, afecta el libre desarrollo de alguno de sus derechos fundamentales. Derecho de rectificación, actualización y supresión • Permiten corregir la información falsa, errónea, incompleta o incorrecta existente en una base de datos Referencias: http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx
  • 9. 11/06/2015 9 FORUM – Congreso de Seguridad de la Información El Origen (Cont.) Algunos Roles y Responsabilidades Tratamiento de Datos • Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y en general, el procesamiento de datos personales así como también, su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias (art. 2 de la Ley Nº 25.326). Consentimiento del interesado • Toda manifestación de voluntad, libre, expresa e informada, mediante la cual el titular autorice el tratamiento de sus datos personales (art. 5 de la Ley Nº 25.326). Responsable de archivo, registro, base o banco de datos • Persona física o de existencia ideal pública o privada, que es titular de un archivo, registro, base o banco de datos (art. 2 de la Ley Nº 25.326). Referencias: http://www.jus.gob.ar/datos-personales/documentacion-y-capacitacion/glosario.aspx
  • 10. 11/06/2015 10 FORUM – Congreso de Seguridad de la Información Noticias de la Realidad Riesgos de Terceras Partes Falta de Preparación para Responder a Incidentes Configuraciones Inseguras Intercambio Inseguro de Información
  • 11. 11/06/2015 11 FORUM – Congreso de Seguridad de la Información Disposiciones DNPDP ¿Qué hay que saber? La Dirección Nacional de Protección de Datos Personales establece Disposiciones Complementarias que establecen requisitos de cumplimiento a los distintos artículos de la Ley 25326. • Disposición 10/08 Leyendas Derecho de Acceso • Disposición 12/08 ISOLOGO • Disposición 07/08 Política de Privacidad • Disposición 04/09 Derecho de Acceso Comunicación Fines Publicitarios • Disposición 07/08 Acuerdo de Confidencialidad • Disposición 11/06 Medidas de Seguridad • Disposición 09/15 Sanciones
  • 12. 11/06/2015 12 FORUM – Congreso de Seguridad de la Información Disposiciones DNPDP ¿Qué impacto tienen? Deben estar disponibles, según el caso, en todo tipo de comunicación con el titular de los datos. • Sitio Web • IVR • Atención al Cliente • Comunicaciones Electrónicas • Correo Postal • Etc. Deben contar con procedimientos implementados para su cumplimiento • Derecho de Acceso • Sanciones/Punitorios/Quejas • Respuesta a Incidentes Establecen Requisitos Técnicos y Administrativos • Se deben establecer controles de seguridad que garanticen su Confidencialidad, Disponibilidad e Integridad. Empresa Responsable de Custodia Cesión a Terceros Tratamiento Transferencia Internacional Uso en base a Finalidad declarada El dueño de los datos es el titular.
  • 13. 11/06/2015 13 FORUM – Congreso de Seguridad de la Información Bancos de Datos ¿Qué bancos de datos solemos tener? • Según el tipo de dato podrían ser sensibles. Por ej: exámenes médicos, afiliación sindical, etc.RRHH • Según el tipo de dato podrían ser sensibles. Por ej: exámenes médicos, afiliación sindical, etc.Clientes • Suelen ser datos personalesProveedores • Suelen ser datos personales • Nueva Disposición 10/15Videovigilancia • Según el tipo de diálogo que se mantenga podrían ser datos sensibles. Es poco frecuente. • Relación con PCI-DSS. Llamadas de Voz
  • 14. 11/06/2015 14 FORUM – Congreso de Seguridad de la Información Bancos de Datos Requisitos Básicos Registro del Banco de Datos Formulario Asociado Finalidad de los Datos Descripción del Motivo por el cual se solicitan los datos Responsables del Banco de Datos Persona de Contacto Principal para el Ejercicio de Derechos Medidas de Seguridad Disposición 11/2006 •Nivel Básico •Nivel Medio •Nivel Crítico
  • 15. 11/06/2015 15 FORUM – Congreso de Seguridad de la Información #Ciberseguridad ¿Cómo cumplimos el marco legal vigente?
  • 16. 11/06/2015 16 FORUM – Congreso de Seguridad de la Información #Ciberseguridad ¿Cómo cumplimos el marco legal vigente? (Cont.)
  • 17. 11/06/2015 17 FORUM – Congreso de Seguridad de la Información #Ciberseguridad ¿Cómo cumplimos el marco legal vigente? (Cont.) • Involucramiento de todas las áreas • Adecuación Procesos • Medir • Ajustar • Mantener en el Tiempo • Alcance • Fases • Cambio Cultural • Sponsor • Recursos • Compromiso Decisión Política Proyecto Todos Mejora Continua
  • 18. 11/06/2015 18 FORUM – Congreso de Seguridad de la Información #Ciberseguridad ¿Cómo cumplimos el marco legal vigente? (Cont.) Framework de Referencia – ISO 27001 (SGSI – PDCA) Alcance Procesos Enfoque Basado En Riesgos Inventario Activos Requisitos de Seguridad
  • 19. 11/06/2015 19 FORUM – Congreso de Seguridad de la Información #Ciberseguridad ¿Cómo cumplimos el marco legal vigente? (Cont.) Framework de Referencia – ISO 27001 (SGSI – PDCA) / ISO 27005 Saber Qué Tenemos Saber Cuánto Vale Saber Dónde Está Saber Qué Debe Cumplir Saber Qué le puede pasar
  • 20. 11/06/2015 20 FORUM – Congreso de Seguridad de la Información #Ciberseguridad ¿Cómo cumplimos el marco legal vigente? (Cont.) Framework de Referencia – ISO 27001 (SGSI – PDCA) ISO 27001 PCI DSS / Sarbanes Oxley BCRA 4609 BCRA 5374 Disposición N°11/2006 DNPDP Leyes y Regulaciones Clientes y/o Mercado Requerimientos Propios
  • 21. 11/06/2015 21 FORUM – Congreso de Seguridad de la Información #Ciberseguridad ¿Cómo cumplimos el marco legal vigente? (Cont.) Framework de Referencia – ISO 27001 (SGSI – PDCA) Políticas Normas Procedimientos Instructivos Guías
  • 22. 11/06/2015 22 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Controles de Seguridad – Requerimiento Artículo 9 • El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. • Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.
  • 23. 11/06/2015 23 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Controles de Seguridad – Disposición N° 11/2006 DNPDP Nivel Básico Nivel Medio Nivel Crítico
  • 24. 11/06/2015 24 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Controles de Seguridad – Descripción Nivel Básico Nivel Básico •Los archivos, registros, bases y bancos de datos que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de Nivel Básico.
  • 25. 11/06/2015 25 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Controles de Seguridad – Descripción Nivel Medio Nivel Medio •Los archivos, registros, bases y bancos de datos de las empresas privadas que desarrollen actividades de prestación de servicios públicos, así como los archivos, registros, bases y bancos de datos pertenecientes a entidades que cumplan una función pública y/o privada que, más allá de lo dispuesto por el artículo 10 de la Ley N° 25.326, deban guardar secreto de la información personal por expresa disposición legal (v.g.: secreto bancario). Suma Medidas de Nivel Básico
  • 26. 11/06/2015 26 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Controles de Seguridad – Descripción Nivel Crítico Nivel Crítico •Los archivos, registros, bases y bancos de datos que contengan datos personales, definidos como "datos sensibles” Suma Medidas de Nivel Medio
  • 27. 11/06/2015 27 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Controles de Seguridad – Mapeo Disp. N°11/2006 DNPDP vs ISO 27002 Ejemplos Nivel de las Medidas de Seguridad Requisito Control de Seguridad ISO 27002 Básico Funciones y obligaciones del personal. 8.1.1 Funciones y Responsabilidades Básico Descripción de los archivos con datos de carácter personal y los sistemas de información que los tratan. 7.1.1 Inventario de Activos Básico Descripción de los archivos con datos de carácter personal y los sistemas de información que los tratan. 7.2.1 Directrices de Clasificación Medio El Instructivo de seguridad deberá identificar al Responsable (u órgano específico) de Seguridad. 6.1.3 Asignación de Responsabilidades de Seguridad de la Información Medio Realización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad para datos personales. 15.3 Consideraciones de Auditorias de Sistemas Medio Realización de auditorías (internas o externas) que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad para datos personales. 15.2.2 Verificación de la Compatibilidad Técnica Medio Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. 11.2.3 Gestión de Contraseñas del Usuario
  • 28. 11/06/2015 28 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Controles de Seguridad – Mapeo Disp. N°11/2006 DNPDP vs ISO 27002 Ejemplos Crítico Distribución de soportes: cuando se distribuyan soportes que contengan archivos con datos de carácter personal —incluidas las copias de respaldo—, se deberán cifrar dichos datos (o utilizar cualquier otro mecanismo) a fin de garantizar que no puedan ser leídos o manipulados durante su transporte. 12.3.1 Política de Utilización de Controles Criptográficos Crítico Registro de accesos: se deberá disponer de un registro de accesos con información que identifique al usuario que accedió, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificación, etc.). Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el término de un TRES (3) años. 10.10.1 Registro de Auditoria Crítico Registro de accesos: se deberá disponer de un registro de accesos con información que identifique al usuario que accedió, cuando lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar el dato accedido y el tratamiento que se le dio al mismo (baja, rectificación, etc.). Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser conservado como minino por el término de un TRES (3) años. 10.10.4 Sincronización de Relojes Crítico Copias de respaldo: además de las que se mantengan en la localización donde residan los datos deberán implementarse copias de resguardo externas, situadas fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja de seguridad bancaria, cualquiera de ellas situadas a prudencial distancia de la aludida localización. Deberá disponerse de un procedimiento de recuperación de esa información y de tratamiento de la misma en caso de contingencias que pongan no operativo el/los equipos de procesamiento habituales. 10.8.3 Seguridad de los Medios en Tránsito Referencias: Controles de Seguridad para Bases de Datos Personales https://drive.google.com/open?id=0B-dOuFrfxS0SbE1pRWs5enA0Um8&authuser=0
  • 29. 11/06/2015 29 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Mapeo PCI-DSS vs BCRA 4609 vs BCRA 5374 vs Disp. N°11/2006 DNPDP vs ISO 27002 PCI-DSS •Monitoree y analice las alertas y la información de seguridad y comuníquelas al personal correspondiente. •Establezca, documente y distribuya los procedimientos de escalamiento y respuesta ante incidentes de seguridad para garantizar un manejo oportuno y efectivo de todas las situaciones. BCRA 4609 •Los incidentes y debilidades en materia de seguridad deben registrarse y comunicarse inmediatamente a través de adecuados canales de información, con el objeto de analizar sus causas e implementar mejoras en los controles informáticos a fin de evitar su futura ocurrencia. BCRA 5374 •Gestión de Incidentes. Complementariamente a lo indicado en el punto 6.2.5., las entidades deben arbitrar los esfuerzos necesarios para contar en sus organizaciones o a través de terceros bajo coordinación y control propio, con equipos de trabajo especializado en la atención, diagnóstico, análisis, contención, resolución, escalamiento e informe de los incidentes de seguridad. Disp. N°11/2006 DNPDP •Notificación, gestión y respuesta ante los incidentes de seguridad. ISO 27002 •Garantizar que los eventos de seguridad de la información y las debilidades asociadas a los sistemas de información se comuniquen de forma tal que se apliquen las acciones correctivas en el tiempo correcto.
  • 30. 11/06/2015 30 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Resumen de Controles •Roles y Responsabilidades •Clasificación de Activos •Configuraciones Seguras •Monitoreo •Respuesta a Incidentes •Concientización •Resguardo y Recupero •Cifrado •Control de Cambios •Separación de Ambientes •Segregación de Funciones •Derechos de Acceso, Rectificación, Supresión •Etc.
  • 31. 11/06/2015 31 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Recomendaciones Finales • Recursos • Compromiso Obtener Apoyo • Qué datos se utilizan • Donde y Cómo Conocer el Entorno • Por qué? Por qué? Por qué? Por qué? Por qué? Desafiar Todo
  • 32. 11/06/2015 32 FORUM – Congreso de Seguridad de la Información #Ciberseguridad Recomendaciones Finales (Cont.) • Definirlo Adecuadamente • Aislarlo Alcance • Borrar es mejor que cifrar • Respetar “Necesidad de Conocer” Datos Personales • Garantizar durante todo el ciclo de vida. • Medir y Mejorar #Ciberseguridad
  • 33. 11/06/2015 33 FORUM – Congreso de Seguridad de la Información #GuíasDeSeguridad
  • 34. 11/06/2015 34 FORUM – Congreso de Seguridad de la Información
  • 35. 11/06/2015 35 FORUM – Congreso de Seguridad de la Información