ModeloEstructuradoCumplimientoPrivacidad

© 2017 ISACA. All Rights Reserved
PRIVACIDAD: MODELO ESTRUCTURADO
DE CUMPLIMIENTO
(GDPR Y OTRAS CONSIDERACIONES)
Edgar Enciso y Carlos Chalico
Agosto 23 de 2017

WELCOME
• Audio is streamed over your computer
• Dial in numbers and codes are on the left
To receive your CPE credit:
1. Complete 3 checkpoints
- or -
2. Watch the recorded version from the
beginning to the very end
• Don’t forget to take the survey!
Use the Papers tab to find the following:
• PDF Copy of today’s presentation
• CPE job aid
• Have a question for the speaker? Access
the Q&A tab
• Technical issues? Access the Help tab
• Questions or suggestions?
Visit https://support.isaca.org
2

PRESENTADORES
3
Carlos Chalico
ISACA Toronto
Edgar Enciso
Scotiabank

AGENDA
1. El ambiente de cumplimiento
2. Privacidad - ¿Por qué es importante?
3. Privacidad - ¿Cómo alinearse con los programas corporativos de cumplimiento?
4. ¿Qué está pasando en el mundo?
5. ¿Qué es el GDPR?
6. ¿Qué pasa si mi organización debe cumplir con el GDPR y no lo hace?
7. ¿Cómo cumplir con el GDPR?
8. ¿Por qué es esto relevante para la región latinoamericana?
9. ¿Cómo puede ayudar la comunidad de ISACA a definir un programa de
privacidad?
4
1?

ANTECEDENTES
5

• ¿Qué es cumplimiento?
- Relacionado con resultados
- El Diccionario de la Real Academia Española dice:
1. Acción y efecto de cumplir o cumplirse
2. Perfección en el modo de obrar o de hacer algo.
3. Abasto o provisión de algo
EL AMBIENTE DE CUMPLIMIENTO
6
ü

• Las organizaciones necesitan poner atención a los diferentes elementos de
cumplimiento que les rodean:
- Leyes y regulaciones.
- Políticas y procedimientos internos.
- Estándares.
• Debido cuidado y debida diligencia son necesarios si se busca definir un
modelo de gobierno o gobernanza efectivo, una adecuada administración de
riesgos y cumplimiento puntual.
• El ambiente de cumplimiento no es sencillo.
7

8
Dodd-Frank
AML
Laboral
PRIVACIDAD
PROTECCIÓN DE
DATOS PERSONALES

PRIVACIDAD
9
2?

PRIVACIDAD - ¿POR QUÉ ES IMPORTANTE?
10
• Artículo 12:
“Nadie será objeto de injerencias arbitrarias en su
vida privada, su familia, su domicilio o su
correspondencia, ni de ataques a su honra o a su
reputación. Toda persona tiene derecho a la
protección de la ley contra tales injerencias o
ataques"
Fuente: http://www.un.org/es/universal-declaration-human-rights/

11

12
BillonesdeEntidades
Billones de “cosas”
conectadas
La adopción está
siendo 5 veces más
rápida de lo que lo
fue con la
electricidad o el
teléfono
Fuente: CISCO, 2011

13

14
En 1997, el Comité de Calcula del Reino Unido definió
privacidad como:
“El derecho del individuo a ser protegido contra la
intrusion en su vida o asuntos personales o
aquellos de su familia, directamente por medios
físicos o por la publicación de información”

Fuentes de Principios:
• OCDE
• APEC
• GAPP
• Resolución de Madrid
• Estándares de protección de
datos personales para los estados
iberoamericanos
• Normas ISO
• Privacy by Design
• Diversas regulaciones de
diferentes jurisdicciones
15
Source: Nymity Research™

16
1. Choice and consent
2. Legitimate purpose specification and use limitation
3. Personal information and sensitive information
lifecycle
4. Accuracy and quality
5. Openness, transparency and notice
6. Individual participation
7. Accountability
8. Security safeguards
9. Monitoring, measuring and reporting
10. Preventing harm
11. Third party/vendor management
12. Breach management
13. Security and privacy by design
14. Free flow of information and legitimate restriction

• El reto no es sencillo.
• El cumplimiento con regulaciones de privacidad require ser atendido de
forma estructurada.
• La integración del programa de privacidad en el modelo de cumplimiento
corporativo es de gran relevancia.
• Recordemos las lecciones aprendidas en los grandes eventos de
transformación o cumplimiento que han mantenido ocupado al mundo
corporativo: Y2K, SOx.
PRIVACIDAD – PROGRAMAS DE CUMPLIMIENTO
17

¿QUÉ PASA EN EL MUNDO?
18

¿QUÉ ESTÁ PASANDO EN EL MUNDO?
19
3?

¿QUÉ ESTÁ PASANDO EN EL MUNDO?
20
GDPR

¿QUÉ ES EL GDPR?
21
4?

• General Data Protection Regulation
• Unión Europea
• Identificada como 2016/679
• Reemplaza las reglas europeas de privacidad existentes
definidas en 1995 y las leyes basadas en ellas (definidas
entre los 1990s y los 2000s)
• Empareja el campo de juego al interior de la Unión Europea
• Hace más estrictas las reglas de transferencia de datos de
ciudadanos europeos fuera de la Unión Europea
• Da más responsabilidad a los controladores
• Fortalece a los titulares
• Empodera a las autoridades
• Establece un nuevo estándar
¿QUÉ ES EL GDPR?
22
201520162018
El Parlamento y el
Consejo Europeo
acuerdan la
publicación del GDPR.
Mayo. El GDPR entra
en efecto.
Mayo. Cumplimiento
es obligatorio (no
prorrogas).

• Seis principios
• Énfasis en legalidad, justicia y transparencia
• Limitación de propósito: Específico, explícito y legítimo
• Minimización de datos
• Seguridad de datos
ELEMENTOS CLAVE EN EL GDPR
23
Procesamiento de Datos Tipos de Datos
Cualquier actividad ejecutada
con los datos (recolección,
almacenamiento, edición,
archive, borrado, entre otros)
• Personales
• Personales sensibles

• Organizaciones públicas y privadas en la Unión Europea
• Organizaciones públicas y privadas que ofrezcan bienes y/o servicios en uno o
varios estados miembro de la Unión Europea
• Excepciones:
• Instituciones de la Unión Europea y organismos legislativos y de procuración
de justicia (cuentan con su propia regulación)
• Organizaciones del sector de servicios de comunicación electronica
(cubiertos por la regulación ePrivacy que está en vías de ser actualizada)
¿QUIÉN DEBE CUMPLIR CON EL GDPR?
24

• Consideraciones legales
• Consentimiento
• Toma de decisiones automatizadas
• Interés vital del individuo
• Interés público de la organización
• Interés legítimo del controlador/responsable
• Requerimientos de transparencia (aviso)
• ¿Cuál es el propósito del procesamiento?
• ¿Quién es el controlador/responsable?
• ¿A dónde van los datos?
• ¿Por cuánto tiempo se almacenan los datos?
• Derecho al olvido
• Privacidad por diseño
CONSIDERACIONES CLAVE
25
Condiciones para el consentimiento:
• Basado en información clara y
entendible
• Otorgado libremente
• No ambiguo
El interés legítimo require una prueba de
balance entre el interés económico de la
organización y los derechos y libertades del
titular
Retención de datos:
• No más de lo necesario
• Tan específico como sea posible
• Si no se es específico, proveer de
criterios objetivos para decider cuando
es conveniente borrar datos

Registro de actividades de procesamiento*
• El registro debe entregarse a la autoridad cuando lo requiera
• Debe contener
• Detalles de la organización, CPO y terceros involucrados
• Propósito del procesamiento
• Descripción de las categorías de titulares y datos procesados
• Especificación de quién recibe los datos
• Si aplica, especificación de transferencias de datos a estados ajenos de la
Unión Europea
• Periodos de retención
• Medidas de seguridad técnicas y organizacionales
26
* Solo para organizaciones con más de 250 empleados o en caso de operaciones de
procesamiento de alto riesgo o que incluyan datos personales sensibles

Análisis de Impacto a la Protección de Datos
• Obligatorio para casos de procesamientos de alto riesgo para los titulares
(perfilamientos, proceso de grandes volúmenes de datos sensibles, monitoreo
de áreas públicas, combinación de arcihvos de datos, entre otros)
• Un DPIA puede hacerse al mismo tiempo para multiples operaciones de
procesamiento similares
• Busca identificar y limitar riesgos en el procesamiento de datos para los
individuos
Derechos de titulares
• Información (Transparencia)
• Acceso
• Corrección, borrado y restricción de procesamiento
• Portabilidad de datos
27

Acuerdos de procesamiento
• Un procesador es una persona u organización que procesa datos a nombre del
controlador o responsable (por ejemplo un proveedor de servicios en la nube o
un procesador de nómina)
• El procesador siempre sigue órdenes del controlador y respeta su guía en el
procesamiento de datos. La relación debe documentarse en un acuerdo de
procesamiento que debe incluir:
• Detalles del controlador, el procesador y otros sub-procesadores (si los hay)
• Medidas de seguridad
• Mecanismos de borrado de datos al concluir la relación
• Mecanismos de cooperación entre el controlador y el procesador al
enfrentar requerimientos de titulares o autoridades
28

Notificaciones de violaciones a la seguridad (data breaches)
• Una violación a la seguridad debe ser notificada, a más tardar, dentro de las 72
horas siguientes al momento en que el controlador identifica el evento
• Si los derechos y libertades de los titulares enfrentan un riesgo alto como
consecuencia de la violación a la seguridad, el incidente debe ser reportado
también a los titulares afectados, a menos que los datos estén cifrados o se
hubieran tomado medidas inmediatas para reducer de manera significativa la
posibilidad de que el riesgo se materialice
29

Responsabilidad Demostrada (Accountability)
• El controlador o responsable debe poder demostrar cumplimiento.
• Tomando en cuenta la naturaleza, alcance, contexto y propósito del
procesamiento así como los riesgos derivados de la diversidad y severidad
de los derechos y libertades de los titulares, el controlador o responsable
debe implementar medidas técnicas y organizacionales apropiadas para
asegurar y poder demostrar que el procesamiento se ejecuta de acuerdo
con lo dispuesto en el GDPR.
• Tales medidas deben ser revisadas y actualizadas cuando sea necesario.
• La autoridad o los titulares pueden requerir información.
30

Transferencias Internacionales de datos
• No hay restricciones en las transferencias de datos entre estados miembro
de la Unión Europea
• Existen algunos países fuera de la Unión Europea que se considera ofrecen
un nivel de protección de datos personales adecuado:
31
• Islas Faeroe
• Isla del hombre
• Israel
• Jersey
• Uruguay
• Suiza
• Andorra
• Argentina
• Canadá (sector privado - PIPEDA)
• Estados Unidos (bajo el Privacy Shield)
• Guernsey

• Las autoridades de protección de datos personales determinarán en qué
casos existe una falta de cumplimiento y cómo debe sancionarse
• Cada caso se analizará en lo individual, la gravedad, negligencia, medidas
de seguridad establecidas, mecanismos de monitoreo instalados, el
involucramiento de terceros, la sofisticación del proceso de datos, los tipos
de datos involucrados y la forma en la que la autoridad se enteró del hecho,
entre otros, son factores que influirán en la determinación de la penalización
a ser aplicada:
• €10,000,000 o 2% del ingreso global del ejercicio anterior (el mayor)
• €20,000,000 o 4% del ingreso global del ejercicio anterior (el mayor)
¿Y SI DEBO Y NO CUMPLO CON EL GDPR?
32

• Usando un modelo estructurado de cumplimiento.
• Comprendiendo el estado actual de la organización en materia de
privacidad.
• Identificando controles existentes y verificando su efectividad.
• Comparando controles existentes contra requerimientos del GDPR.
• Identificando la brecha existente.
• Definiendo el plan para cerrar la brecha.
• Ejecutando el plan.
• Monitoreando constantemente.
• Mejorando en el tiempo.
¿CÓMO CUMPLIR CON EL GDPR?
33
https://www.nymity.com/gdpr-toolkit.aspx
5?

34
• 139 Actividades de Gestión
• 13 Categorías

35

36
• 13 Categorías de Privacidad
• 37 Procesos COBIT®
• Liga privacidad a:
• Procesos de gobierno de información
• Procesos de administración de TI
• Objetivos de TI
• Objetivos de negocio
• Necesidades de los interesados de negocio

37

• Cada vez se utilizan más modelos de negocio basados en el uso y
explotación de datos.
• El GDPR está sentando las bases para la creación de un nuevo estándar.
• La region latinoamericana debe prever la unión a este tipo de modelos.
• En Junio de 2017 la Red Iberoamericana de Protección de Datos publicó los
nuevos “Estándares de Protección de Datos Personales para los Estados
Iberoamericanos”.
¿POR QUÉ ES ESTO RELEVANTE?
38

¿CÓMO PUEDE AYUDAR LA
COMUNIDAD ISACA?
39

• Compartiendo experiencia.
• Integrando disciplinas.
• Ofreciendo el conocimiento organizacional.
• Siendo parte activa del esfuerzo.
• Asistiendo como especialistas en COBIT y vinculándolo con otros marcos
referenciales.
¿CÓMO PUEDE AYUDAR LA COMUNIDAD ISACA?
40

CONCLUSIONES
41
6?

• Cada organización necesita reconocer los retos de cumplimiento que tiene
en materia de privacidad.
• El reto no es simple.
• Cumplimiento requiere integrarse al modelo corporativo.
• El uso de un programa de cumplimento estructurado puede ser muy
efectivo.
• El uso de un marco referencial en privacidad puede ser de mucho valor.
• COBIT puede ayudar a integrar con el resto de la organización.
REFLEXIONES FINALES
42

• GDPR:
• http://www.eugdpr.org/
• Nymity:
• https://www.nymity.com/gdpr-toolkit.aspx
• https://www.nymity.com/workshops-and-webinars/gdpr-webinar-series.aspx
• ISACA:
• http://www.isaca.org/Knowledge-Center/Research/Pages/Privacy.aspx
• IAPP
• https://iapp.org/
• Red Iberoamericana de Protección de Datos
• http://www.redipd.org
• http://www.redipd.org/noticias_todas/2017/novedades/common/Estandares_d
e_proteccion_de_datos_personalesmparalos_estados_iberoamericanos.pdf
REFERENCIAS
43

Questions?
44

THIS TRAINING CONTENT (“CONTENT”) IS PROVIDED TO YOU WITHOUT WARRANTY, “AS IS” AND “WITH ALL
FAULTS.” ISACA MAKES NO REPRESENTATIONS OR WARRANTIES EXPRESS OR IMPLIED, INCLUDING
THOSE OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE OR PERFORMANCE, AND NON-
INFRINGEMENT, ALL OF WHICH ARE HEREBY EXPRESSLY DISCLAIMED.
YOU ASSUME THE ENTIRE RISK FOR USE OF THE CONTENT AND ACKNOWLEDGE THAT: ISACA HAS
DESIGNED THE CONTENT PRIMARILY AS AN EDUCATIONAL RESOURCE FOR IT PROFESSIONALS AND
THEREFORE THE CONTENT SHOULD NOT BE DEEMED EITHER TO SET FORTH ALL APPROPRIATE
PROCEDURES, TESTS, OR CONTROLS OR TO SUGGEST THAT OTHER PROCEDURES, TESTS, OR
CONTROLS THAT ARE NOT INCLUDED MAY NOT BE APPROPRIATE; ISACA DOES NOT CLAIM THAT USE OF
THE CONTENT WILL ASSURE A SUCCESSFUL OUTCOME AND YOU ARE RESPONSIBLE FOR APPLYING
PROFESSIONAL JUDGMENT TO THE SPECIFIC CIRCUMSTANCES PRESENTED TO DETERMINING THE
APPROPRIATE PROCEDURES, TESTS, OR CONTROLS.
Copyright © 2017 by the Information Systems Audit and Control Association, Inc. (ISACA). All rights reserved. This
webinar may not be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or
transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise).
45

THANK YOU
FOR ATTENDING THIS
WEBINAR

ModeloEstructuradoCumplimientoPrivacidad

Recomendados

Recomendados

Más contenido relacionado

Similar a ModeloEstructuradoCumplimientoPrivacidad

Similar a ModeloEstructuradoCumplimientoPrivacidad (20)

Más de Carlos Chalico

Más de Carlos Chalico (18)

Último

Último (20)

ModeloEstructuradoCumplimientoPrivacidad