El documento describe la gestión del riesgo de datos (data risk) en el contexto de la revolución de los datos. Explica que la explosión de datos se debe al aumento del volumen, velocidad y número de productores de datos, así como la diseminación de datos de nuevas tecnologías. También destaca la necesidad de proteger la privacidad y los datos personales, y la revolución de los datos como un nuevo activo y fuente de valor para los negocios. Finalmente, resalta los desafíos de implementar políticas de privacidad robustas sin cost
1. Gestión del riesgo de los datos
(Data Risk) en el medio de la
Revolución de los Datos
EXPLOSION RESPECTO A:
-volumen y velocidad en que los datos son
producidos;
-el número de productores de datos;
-la diseminación de datos y el grado de cosas
en donde hay datos (de nuevas tecnologías
móviles inteligentes, IoT, y otras fuentes
como data cualitativa , datos generados por
ciudadanos e impresiones y percepciones de
los datos “perfiles”).
2. Contexto bajo el cual se debe
hacer la gestión del Data Risk
Desprotección de la Privacidad y datos personales.
Internet = Libertad de Expresión +
Snowden vs Ciber seguridad +
Nueva Ciudadanía Digital. Autodeterminación informática
Revolución de los Datos
3. Gestión del Data Risk
A considerar:
Nueva generación de usuarios y empoderamiento
ciudadano a través de derechos con alcance
indefinidos y dependiente del tipo de dato que se
trate.
4. Gestión del Data Risk
Muchos tipos de Data
Open data: Contenido político
y de nueva forma de
participación ciudadana
moderna en la gestión de la
cosa pública dentro de una
concepción de una
democracia más participativa.
Big Data e IoT: Nuevo activo y
actividad. Revolución de la
información. Importancia de
los datos para fijar valor en
nuevos modelos de negocios
basados en la base de clientes
existentes.
Data Breach y Data Security:
Obligación de reportes y
medidas de seguridad ante
ataque a las redes con
impacto sobre el control de
datos personales de terceros.
Personal Data: Garantía
constitucional en el ámbito
digital. Vinculada a la
privacidad.
.
5. Gestión del Data Risk
Insumo de muchos negocios bajo la
economía digital
DATOS PUBLICOS
De titularidad de la ciudadanía pero en
poder del Estado.
PRINCIPIO DE MAXIMA APERTURA. NECESIDAD DE MARCO LEGAL
EXIGIENDOLO.
ES LA PUERTA DE ACCESO PARA EL EJERCICIO DE OTROS DERECHOS
CIUDADANOS.
NUEVA FORMA DE PARTICIPACION POLITICA. DEMOCRACIA
PARTICIPATIVA ANTE CRISIS DE REPRESENTATIVIDAD POLITICA.
NO HAY MARCO LEGAL EN LA ARGENTINA
DATOS PRIVADOS
Protección constitucional que representa el derecho de privacidad en
esta era digital.
PRINCIPIOS OPUESTOS A LOS APLICABLES A LOS DATOS PUBLICOS.
CONFIDENCIALIDAD.
CRITERIO RESTRICTIVO DE APERTURA O CESION.
NECESIDAD DE CONSENTIMIENTO COMPLETO.
HAY MARCO LEGAL EN LA ARGENTINA. LEY DE PROTECCION DE
DATOS PERSONALES. LEY 25.326.
6. Gestión del Data Risk
Protección de los datos personales en Internet
incluye:
a) Principio de Legalidad: Recepción en textos legales de las obligaciones de los que recogen y
procesan datos de carácter personal así como los derechos de los titulares de los datos
personales en juego.
b) Obligaciones de los colectores de datos:
- Recopilación, uso, divulgación y conservación de los datos personales de acuerdo a
política de privacidad transparente que permita controlar a sus titulares sobre el uso que se le da a
los mismos.
- Obtención del consentimiento informado del titular con respecto al contenido, efectos,
ubicación de almacenamiento, la duración y los mecanismos para el acceso, recuperación y
corrección de los datos.
- Efectivizar el cumplimiento del derecho del titular de los datos a acceder, recuperar y
eliminar los datos personales recogidos sobre ellos.
7. Gestión del Data Risk
c) Normas mínimas a cumplir para el uso de datos personales:
Minimización de la cantidad de datos y tiempo.
Los recolectores de datos tienen la obligación de solicitar el
consentimiento activo y notificar a las personas si su
información ha sido transmitida a terceros, perdida, robada o
mal utilizada.
Adopción de medidas de seguridad adecuadas para la protección
de datos personales almacenados en ficheros automatizados contra
la destrucción accidental o no autorizada o la pérdida accidental,
así como contra el acceso no autorizado, alteración o difusión de
estos datos.
8. Gestión del Data Risk
POLITICA CORPORATIVA
INSTITUCIONAL. TONE FROM THE
TOP. Políticas y prácticas a ser
implementadas para la debida
protección de datos personales de
propios y extraños. Empatía con
nuevos usuarios . Diferenciación en
le mercado
RISK ASSESMENT
Analizar el impacto sobre
negocios, compliance y
contingencias legales. Forma en
que se deberán analizar los datos
para actividades de marketing,
prevención de fraude y respuestas
a los litigios e investigaciones que
se puedan derivar de este insumo
valioso.
AUDITORIA,
CUMPLIMIENTO Y
CONTROL SOBRE DATA
COMO ACTIVO
Due Diligence acerca de la
legitiimidad de los datos
procesados. Verificando la
existencia de la debida
legalidad de los datos
procesados.
9. Gestión del Data Risk
TONE FROM THE TOP. MENSAJE INTERNO Y A LOS USUARIOS
Claras políticas de privacidad. Las cuales deberán ser públicas y prever las
características propias de los datos en relación a su titularidad y uso por terceros
y las consecuencias legales que se deriven. Ejemplo, responsabilidad por la
falsedad de los datos, o por un quiebre en la seguridad de las redes y
responsabilidad por terceros proveedores (Cloud Computing).
Complementado con diferentes protocolos específicos para procedimientos de
situaciones puntuales:
Manejo de data en investigaciones y auditorías internas (preservación vs derecho
de privacidad de los empleados),
Procedimientos para resguardo de Evidencia o Prueba Digital en futuros juicios.
Supuestos de Fraude Corporativo Digital.
10. Gestión de Data Risk
NUEVO CAPITULO EN COMPLIANCE Y AUDITORIA DE
DATOS
Resguardar activo valioso que tenga título perfecto para
su uso y transferencia.
Impacto por actividades que realicen terceros (cloud
computing, cibersecurity proveedores).
11. Gestión del Data Risk
EVOLUCION DE OBLIGACIONES REGULATORIAS
Impacto por contingencias sancionatorias y judiciales futuras.
Análisis de los marcos legales por los cuales se encuentran
alcanzadas las actividades desarrolladas.
Privacy by Design, Big Data, involucramiento con IoT, etc.
Data Breach: Adopción de medidas para garantizar la
seguridad y confidencialidad de los datos personales y que
permitan detectar desviaciones, intencionales o no, de
información, ya sea que los riesgos provengan de la acción
humana o del medio técnico utilizado.
12. Gestión del Data Risk
Dificultades de implementación de políticas de
privacidad robustas y coherente sin significativos costos.
Obligación legal de ciberseguridad si se custodian datos
de terceros.
Medidas de mitigación ante nueva contingencia de
litigios judiciales y riesgo de sanciones por
investigaciones bajo marcos legales en continuo cambio
y evolución.
13. Gestión del Data Risk
Ciclo de los datos en una organización:
RECOLECTAR ALMACENAR
USAR Y
PROCESAR
COMPARTIR ARCHIVAR DESTRUIR
14. Gestión del Data Risk
Políticas Corporativas de Protección de Datos
Personales o de Data Risk Assesment como
presupuesto mínimo. Ante el cúmulo de datos se debe
determinar el ciclo de vida de los datos dentro de una
empresa.
Pauta de Orientación Local: Disposición DNPDP Nro 7/08
pero para el sector público.
15. Gestión del Data Risk
Consideraciones al implementar Política de Protección
de Datos de una compañía
Flexibilidad de la política y sujeta a revisión y
adaptación continua.
Preservar la privacidad de los datos es responsabilidad
de todas las áreas de la compañía.
Contar con plan actual y testeado ante un incidente de
pérdida de datos.
16. Elementos de un Data Management
Program
GOVERNANCE
RISK
ASSESMENT
CONTROL &
PROCCESSES
SECURITY
TRAINNING
VENDOR
MANAGEMENT
MONITORING
INCIDENT
RESPONSE
17. Gestión del Data Risk
Elementos indispensables de una Política
de Datos de una Organización
Políticas de BYOD y de administración de dispositivos.
Clasificación de Datos (tipos, críticos y sensibles, titularidad,
ubicación y forma de control, etc.).
Otorgamiento de criterios específicos de accesos para datos
sensibles.
Inventario de sistemas de acceso y credenciales. (proveedores de
hosting y cloud, empleados).
Establecimiento de controles y exigencias a cumplimentar por
terceros.
Digital Right Management (controlar y limitar acceso a datos
propios o sujeta a copyright).
18. Gestión del Data Risk
Elementos indispensables de una Política
de Datos de una Organización
Implementación de Tecnología de Prevención de Pérdidas de
Datos.
Minimización de datos y De-identificación.
Políticas de destrucción de datos.
Protocolos para manejo de data en investigaciones y
auditorías internas preservando derecho de privacidad de los
empleados.
Procedimientos para resguardo de Evidencia o Prueba Digital
en futuros juicios.
19. Gestión del Data Risk
Elementos indispensables de una Política
de Datos de una Organización
Políticas de administración de passwords y de acceso de los
usuarios.
Prácticas de pruebas de penetración y desarrollo de un plan de
respuesta ante un ataque. Proceso de reporte y escalación.
Creación de equipos de respuesta ante incidentes. Cumplimiento
de obligaciones de notificación.
Training a los empleados.
Adecuada asignación de presupuesto.
Adopción de seguros que cubran incidentes de ciberseguridad.
Criterios de comunicación institucional y de adopción de criterios
efectivos de respuesta.
20. Elementos indispensables de una
Política de Datos de una Organización
Data Due Process: Nuevas exigencias procedimentales para administrar estos recursos. Particularidades en caso de utilizarlos como evidencia
en procesos judiciales o administrativos.
TENER MUY EN CUENTA PARA LA DOCUMENTACION A APORTAR EN PROCESOS PENALES DE FRAUDE CORPORATIVO DIGITAL.
PRUEBAS ELECTRONICAS
Forensic: Auxiliar necesario en caso de litigio para acreditar con herramientas y técnicas específicas potencial contenido o actividad relevante
del usuario on line.
Necesidad de inspecciones amplias sobre nuestros archivos y asegurar evidencia importante.
Diferencias etapas:
1) Preservar las fuentes de datos. Debida manipulación para no solo evitar perder el contenido del dato sino también la metadata.
2) Análisis. Protocolo de análisis acordado con la otra parte para definir el alcance del estudio.
3) Producción. Los resultados relevantes del análisis traerá aparejado la adopción de ciertas acciones. Identificación de documentos
relevantes, recuperación de fragmentos de datos borrados, etc.
21. Gestión del Data Risk
If your company isn´t focused on keeping their
information safe you should stop collecting it.
Queda prohibido registrar datos personales en archivos,
registros o bancos que no reúnan condiciones técnicas
de integridad y seguridad.(Art. 9 Ley 25.326)
22. Data Risk Management
INCIDENTES DE DATA BREACH Y TEMOR AL ATAQUES DE OTRAS NACIONES.
Sony, Home Depot, Bank of America. Todas víctimas de ataques.
Multa de FTC a AT&T de U$S 25 M por data breach de sus clientes en
redes del exterior de EEUU.
¿Ataque chino a EEUU? Renuncia de Office of Personal Management
(OPM).
Target. Acuerdo con Visa por pérdida de datos de sus clientes.
Ashley Madison (datos muy sensibles 30 millones de parejas infieles en
juego).
Declaración de Naciones Unidas de Julio 22, 2015 sobre ICT en el campo
de seguridad internacional (Reporte del grupo de expertos
gubernamentales)
23. Gestión de Data Risk
INCIDENTES DE DATA BREACH
MAS VALE PREVENIR QUE CURAR
24. Gestión del Data Risk
INCIDENTES DE DATA BREACH
Estimación del costo promedio de cada data breach en
EEUU es de:
U$S 3,5 millones.
Incluye investigación, notificación a los afectados y
acciones a adoptar frente a un incidente.
Fuente: 2014 Cost of Data Breach Study Global Analysis de Ponemon
Institute
25. Gestión de Data Risk
OBLIGACION LEGAL DE ADOPTAR MEDIDAS DE SEGURIDAD
Y CONFIDENCIALIDAD DE LOS DATOS
En Argentina hay obligación legal de adoptar medidas
técnicas y organizativas necesarias para garantizar la
seguridad y confidencialidad de los datos personales.
26. Gestión de Data Risk
OBLIGACION LEGAL DE ADOPTAR MEDIDAS DE SEGURIDAD Y
CONFIDENCIALIDAD DE LOS DATOS (Art.9 LPDP).
¿En qué consisten?
Evitar adulteración, pérdida, consulta o tratamiento no autorizado
de datos personales, y que permitan detectar desviaciones
intencionales o no de información, ya sea que provengan de acción
humana o del medio técnico utilizado.
¿A cargo de quién?
Responsable o usuario de los datos personales.
Queda prohibido registrar datos personales en archivos, registros
o bancos que no reúnan condiciones técnicas de integridad y
seguridad.(Art. 9 LPDP).
27. Gestión del Data Risk
INCIDENTES DE DATA BREACH
Parámetros recomendados de debida diligencia en ciberseguridad
para que una empresa no sea considerada responsable
EEUU: NIST (National Institute of Standards and Technology) para infraestructura crítica.
IDENTIFICAR sistemas críticos del negocio,
PROTEGER (medidas para garantizar la provisión de servicios críticos),
DETECTAR (cuando un evento de ciberseguridad ocurre),
RESPONDER (acciones para terminar o mitigar la amenaza),
RECUPERAR (restablecer funciones o servicios que fueron afectados por los
eventos).
28. Gestión del Data Risk
INCIDENTES DE DATA BREACH
Parámetros recomendados de debida diligencia en ciberseguridad para que una empresa no sea considerada
responsable
Estados Unidos
En 8/15 la justicia (caso Wyndham) le ha reconocido a la FTC la autoridad de cuestionar las prácticas
de ciberseguridad como injustas bajo su competencia para regular prácticas injustas que afecten el
comercio.
En 2008 y 2009 este hotel padeció 3 ataques informáticos en sus redes que ocasionó la pérdida de
información de tarjetas de crédito de 600.000 clientes y pérdidas deU$S 10 millones por fraude.
Las compañías que manejan datos de sus clientes deben establecer prácticas de privacidad y seguridad
de datos razonables, que deberán ser revisadas en forma regular y corregidas sus deficiencias.
29. Gestión del Data Risk
INCIDENTES DE DATA BREACH
Parámetros recomendados de debida diligencia en
ciberseguridad para que una empresa no sea
considerada responsable
Canadá: Criterio de Comisionado de DP. Numerosas
medidas de prevención en funcionamiento al momento
del incidente: (i) uso de firewalls, (ii) encriptamiento
de información sensible, (iii) guarda separada de llaves
de encriptamiento, (iv) múltiples sistema de detección
de intrusión (detectó el ataque).
30. Gestión del Data Risk
Marcos legales díspares: Estados Unidos (leyes
estaduales 47 diferentes) sobre obligaciones de reporte
de data breach sin ley federal. Varios países con leyes
similares recientes (Canadá PIPEDA, Alemania, Hungría,
Australia (proyecto)).
Nueva directiva de la Unión Europea sobre protección
de datos personales con requisitos exigentes.
Extensión de la jurisdicción de la futura directiva
europea de protección de datos personales a datos
pertenecientes a ciudadanos europeos por más que
estén fuera de la Unión Europea.
31. Gestión del Data Risk
Impacto de inminente Directiva de la Unión Europea spbre Protección de Datos Personales:
Ambito territorial: Amplio por aplicarse a datos de ciudadanos europeos por más que estén fuera de la UE.
Formas de otorgamiento de consentimiento: Se otorga en forma explícita, totalmente informado a todo aquel que
procese datos personales (incluyendo la actividad de análisis) y teniendo la facultad de retirar el consentimiento así
como lo otorgaron.
Creación de Perfiles: Posibles nuevas restricciones en profiling, otorgando un derecho a objetar.
Derecho a compensación: Por el daños originado por un procesamiento de datos personales ilegítimo.
Obligaciones regulatorias: Compañias grandes tener un diagnóstico sobre el riesgo del manejo de los datos y
designación de un oficial de cumplimiento de protección de datos personales. Obligaciones de reporte a todos los
intervinientes en la cadena de cloud computing.
Sanciones severas: Multas por no cumplimiento pueden alcanzar los 100 millones de euros of 5% de los ingresos
mundiales, lo que sea mayor.
32. Gestión del Data Risk
Impacto del Nuevo Código Civil y Comercial de
Argentina sobre la actividad.
El nuevo Código Civil y Comercial tiene el artículo 52 que
dice: “La persona humana afectada en su intimidad
personal o familiar, honra o reputación, imagen o
identidad, o reclamar la prevención y reparación de los
daños que de cualquier modo sufridos, conforme a lo
dispuesto en el Libro Tercero, Título V.”
33. Gestión del Data Risk
Impacto del Nuevo Código Civil y Comercial de
Argentina sobre la actividad.
Nuevos criterios de responsabilidad aplicables.
Implicancia de los contratos de adhesión y contratos
conexos.
Posibilidad de requerir prevención de daños.
34. Gestión del Data Risk
Regulación sobre normas de seguridad:
Disposición DNPDP Nro 11/06 y 9/08. (Medida de nivel básico, de
nivel medio y de nivel crítico). Medidas de seguridad para el
tratamiento y la conservación de los datos personales. Aprueba
Documento de Seguridad.
Regulación sectorial incipiente para datos personales:
Publicidad: Obligación de opt out. Disposición DNPDP Nro 4/09.
Software: Disposición DNPDP Nro 18/15. Aplicación del criterio
de Privacy by Design.
Drones: Disposición DNPDP Nro 20/15.
Video Vigilancia: Disposición DNPDP Nro 10/15.
35. Gestión del Data Risk
Nuevas cuestiones legales a ser consideradas:
o Todos los sistemas basados en la nube tendrán sus propias complicaciones, y cada
uno de los eslabones de la cadena del cloud será directamente responsable y
auditable sobre la privacidad de los datos.
o Determinar momentos de reportes al regulador para morigerar cualquier
responsabilidad legal por penalidades.
o Costos adicionales surgirán si se le exigen criterios objetivos de responsabilidad y
de prestación del servicio con niveles de garantías altos.
o Nuevas cuestiones laborales surgidas del manejo de los datos.
36. Gestión del Data Risk
Nuevas cuestiones legales a ser consideradas:
o Para integrar datos propios con los de terceras partes, mecanismos
que faciliten el acceso a datos de terceros ya sea a través de la
venta, compartimiento o la adopción de algún incentivo
(regulatorio) para el acceso.
o El acceso a datos externos debe estar facilitado a través de un
marco tecnológico adecuado consistente en la estandarización de los
formatos de los datos, implementación de alimentación de datos,
etc.
o La creación de sistemas de clasificación de datos genera
preocupación porque dichos procesos distan de ser neutrales,
automáticos y sin intervención humana dado que a la larga reflejan
los valores implícitos o explícitos de los diseñadores de dichos
sistemas.
o Grado de responsabilidad a ser asignado a los miembros del
Directorio como consecuencia del no cumplimiento de las diligencias
propias del buen hombre de negocios en la protección de los datos
personales bajo su custodia. Criterio de responsabilidad residual.
38. Gestión del Data Risk
SURGE LA GRAN DUDA
ANTE ESTE ESCENARIO CON TANTAS VARIABLES EN
JUEGO
¿No es aconsejable implementar un oficial de
cumplimiento de protección de los datos personales como
posición autónoma y dedicada dentro de la empresa?
NO SOMOS NADA ORIGINALES EN LA PREGUNTA ES el
criterio a aplicar a las grandes empresas bajo el proyecto
de nueva directiva de protección de datos personales de la
UE.
39. Gestión del Data Risk
SURGE LA GRAN DUDA
ANTE ESTE ESCENARIO CON TANTAS VARIABLES EN JUEGO
No lo recomendamos.
No puede haber una sola persona encargada de esta difícil misión
sino que
debe haber concientización de todos los sectores respecto a la
protección de los datos personales en todo el ciclo de nuestro
negocio,
por tratarse tanto de una garantía constitucional individual como
de un insumo muy valioso sobre el cual se estructuran muchos
planes de negocio bajo la nueva economía digital.
40. Gestión del Data Risk
SURGE LA GRAN DUDA
ANTE ESTE ESCENARIO CON TANTAS VARIABLES EN
JUEGO
SE VISLUMBRA POSIBLE SIGNIFICATIVA CONTINGENCIA
REGULATORIA Y LEGAL CON ALCANCES INDEFINIDOS.
CONTAR CON POLITICA COMPLETA DE PRIVACIDAD Y NO
BASTA CON PLAN DE PREVENCION Y MITIGACION COMO
SOLUCION TEMPORARIA
41. Gestión del Data Risk
SURGE LA GRAN DUDA
ANTE ESTE ESCENARIO CON TANTAS VARIABLES EN JUEGO
CONTAR CON POLITICA COMPLETA DE PRIVACIDAD
Y NO ALCANZA CON EFECTUAR UNA TRADUCCION DE LA POLITICA DE CASA MATRIZ
SIN CONSIDERAR LAS PARTICULARIDADES LOCALES
QUE EN ALGUNOS CASOS PUEDE SER BENEFICIOSA EN ASPECTOS SIGNIFICATIVOS COMO LA
TRANSFERENCIA INTERNACIONAL DE DATOS A LA UNION EUROPEA
A DIFERENCIA DE LO QUE SUCEDE CON LAS EMPRESAS ESTADOUNIDENSES QUE NO SON
CONSIDERADAS BAJO UN REGIMEN LEGAL DE PROTECCION DE DATOS ADECUADO (Caso
Schrems)
NUESTRO REGIMEN de PROTECCION DE DATOS PERSONALES POR AHORA ES CONSIDERADO
COMO ADECUADO.