Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
RIESGO LEGAL EN TEMAS
VINCULADOS A LA
TECNOLOGÍA
RIESGO
“Es la posibilidad de que sucedaalgún evento que tendrá unimpacto sobre los objetivosinstitucionales o del proceso. Seexpresa en términos deprobabilidad y consecuencias.”
Guía para la administración del riesgoDepartamento Administrativo de la Función Pública (DAFP)
RIESGOS NORMATIVOS
“Son aquellos que se relacionantanto con los daños generadospor la violación de unaprescripción u obligación legal,incumplimientos a políticasinternas.”
NTD-SIG 001:2011NORMA TÉCNICA DISTRITAL DEL SISTEMA INTEGRADO DE GESTIÓN PARA LAS ENTIDADES YORGANISMOS DISTRITALES
Marco LegalLey 87 de por le cual se establecen normas para le ejercicio de control interno en la entidades y
organismo del Estado
Proteger los recursos dela organización,buscando su adecuadaadministración anteposibles riesgos que loafecten.
Definir y aplicar medidaspara prevenir los riesgos,detectar y corregir lasdesviaciones que sepresenten en la organizacióny que puedan afectar ellogro de sus objetivos.
Literal A – Articulo 2° – Ley 87 de 1993 Literal F – Articulo 2° – Ley 87 de 1993
RIESGOS LEGALES PROTECCION DE DATOS PERSONALES
Dato personal: Cualquier información vinculada o que pueda
asociarse a una o varias personas naturales determinadas o
determinables. ( literal C, Art 3° Ley 1581 de 2012)
Ámbito de Aplicación
Los principios y disposiciones contenidas en laley 1581 de 2012 serán aplicables a los datospersonales registrados en cualquier base dedatos que los haga susceptibles de tratamientopor entidades de naturaleza pública oprivada.
(Articulo 2°, Ley 1581 de 2012)
Derecho Fundamental
Todas las personas tienen derecho a suintimidad personal y familiar y a su buennombre, y el Estado debe respetarlos y hacerlosrespetar. De igual modo, tienen derecho aconocer, actualizar y rectificar las informacionesque se hayan recogido sobre ellas en bancos dedatos y en archivos de entidades públicas yprivadas.
(Articulo 15° de la Constitución Política)
NORMATIVIDAD DE PROTECCION DE DATOS PERSONALES
CONSTITUCION POLITICA ART 15°
LEY 1266 DE 2008 LEY 1581 DE 2012
Decreto 1377 de 2013Decreto 886 de 2014
Circular 01 de 2016Circular 01 de 2017
Decreto 1115 de 29 de Junio de 2017
SancionesLa Superintendencia de Industria y Comercio podrá imponer a losResponsables del Tratamiento y Encargados del Tratamiento lassiguientes sanciones:
• Multas de carácter personal e institucional hasta por el equivalente dedos mil (2.000) salarios mínimos mensuales legales vigentes almomento de la imposición de la sanción.
• Suspensión de las actividades relacionadas con el Tratamiento hastapor un término de seis (6) meses. En el acto de suspensión se indicaránlos correctivos que se deberán adoptar;
• Cierre temporal de las operaciones relacionadas con el Tratamiento unavez transcurrido el término de suspensión sin que se hubieren adoptadolos correctivos ordenados por la Superintendencia de Industria yComercio;
• Cierre inmediato y definitivo de la operación que involucre elTratamiento de datos sensibles.
Las sanciones indicadas anteriormente sóloaplican para las personas de naturaleza privada.En el evento en el cual la Superintendencia deIndustria y Comercio advierta un presuntoincumplimiento de una autoridad pública alas disposiciones de la presente ley, remitirá laactuación a la Procuraduría General de la Naciónpara que adelante la investigación respectiva.
Ley 734 de 2002 – Código Disciplinario Único
Parágrafo del Articulo 23° Ley 1581 de 2012.
ENTIDAD VALOR MULTA
GROUPON COLOMBIA S.A.S 6.160.000
ADMINISTRADORA DE FONDOS DE PENSIONES Y CESANTIAS PROTECCIÓN S.A 21.560.000
ALMACENES ÉXITO S.A 36.960.608
JOSÉ FRANCISCO GARCIA CALUME 18.480.000
RECORD DE COLOMBIA S.A- BANCO NACIONAL DE CELULAR MADRE 123.200.000
MERCADO LIBRE COLOMBIA LTDA 15.400.00
CASA EDITORIAL EL TIEMPO S.A 30.800.000
TELEEXPRESS INTER S.A.S 30.800.00
COMPAÑIA NACIONAL DE CHOCOLATES S.A.S 96.652.500
EMPRESA DE TELECOMUNICACIONES DE BUCARAMANGA S.A E.SP TELEBUCARAMANGA 322.175.000
DIRECTV COLOMBIA LTDA 32.217.500
COLOMBIA TELECOMUNICACIONES S.A E.S.P 6.443.500
HOTEL SAN JUAN S.A.S 25.774.000
GESTIÓN COMPETITIVA S.A.S 32.217.500
SUPERGIROS S.A.S 241.309.250
SERGIO GUZMÁN MUÑOZ 10.341.825
ICETEX E INTERAUDIT S.A.S 68.945.500
IBI COMPANY S.A.S 10.341.825
COLMEDICA 1.034.182.500
SANCIONES IMPUESTAS A LA FECHA
No tramitar solicitudes de supresión de datos personales 1
No informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los
Titulares.
No garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data
No adecuar los procedimientos de recolección de datos a los definido en la ley
No adecuar un manual interno de políticas y procedimientos para el tratamiento de los datos personales
No informar al Titular sobre la finalidad de la recolección y los derechos que le asisten
No Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento
No Tramitar las consultas y reclamos formulados
No solicitar ni conservar copia de la autorización
1
2
2
3
7
8
9
11
PRINCIPALES VIOLACIONES QUE GENERAN SANCION
RIESGO LEGAL – DELITOS INFORMATICOS
Ley 1273 de 2009(Protección de la Información y de los Datos)
Acceso Abusivo a un sistema Informático
Daños Informáticos
Obstaculización Ilegitima de Sistemas Informáticos o Red de Telecomunicaciones
Suplantación de Sitios Web para capturar datos
personales
Uso de Software Malicioso
Violación de Datos Personales
Interceptación Ilegitima de datos
Informáticos
Acceso Abusivo
Se Aprovecha la vulnerabilidad en los sistemas informáticos para acceder sin estar autorizado
Obstaculización Ilegitima de Sistema Informático o Red de Telecomunicación
Bloquear de Manera Ilegal un Sistema o Impide el ingreso al sistema de información
DAÑO INFORMATICOCuando sin estar autorizado se modifica, daña altera, borra,destruye o suprime datos
SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES
RIESGOS LEGAL – DERECHOS DE AUTOR
Programa de Ordenador (software) Expresión deun conjunto de instrucciones mediante palabras,códigos, planes o en cualquier otra forma que, alser incorporadas en un dispositivo de lecturaautomatizada, es capaz de hacer que unordenador -un aparato electrónico o similar capazde elaborar informaciones-, ejecute determinadatarea u obtenga determinado resultado.(Articulo 3° Decisión 351 de Cartagena)
“Instruir a las personas encargadas en cada entidad de laadquisición de software para que los programas decomputador que se adquieran estén respaldados por losdocumentos de licenciamiento o transferencia depropiedad respectivos”.
(Numeral 1 – Directiva Presidencial 002 de 2002)
“El programa se distribuye bajo el sistema pruebe antes decomprar. Esto significa que cualquiera puede usar elprograma durante un período de prueba máximo de 40 díassin coste alguno. Al finalizar este período de prueba, elusuario DEBE comprar una licencia para continuarusando el programa.”
Tomado de la Licencia en(https://www.winrar.es/comprar/licencia )
RESOLUCIÓN 305 DE 2008Por la cual se expiden políticas públicas para las entidades,organismos y órganos de control del Distrito Capital, enmateria de Tecnologías de la Información y Comunicacionesrespecto a la planeación, seguridad…”
ARTÍCULO 11. MARCO LEGAL. Las entidades, organismos y órganos de controldel Distrito Capital disponen de un marco de referencia de las mejores prácticaspara el desarrollo e implementación del Sistema de Gestión de Seguridad de laInformación, basados en las recomendaciones de las normas internacionales: NTC-ISO/IEC 27001 que establece los requisitos del Sistema de Gestión de Seguridadde la Información y la norma NTC/ISO IEC 17799 con su equivalente NTC-ISO/IEC27002 que establece las mejores prácticas para laimplementación del Sistema de Gestión de Seguridad dela Información y demás normas concordantes, las cualesson de obligatoria observancia por parte de los entespúblicos distritales.
A.18.1 Cumplimiento de los requisitos legales
A.18 CUMPLIMIENTO
A.18.1.1 Identificación de la Legislación aplicable
DEPENDE DE CADA ENTIDAD
A.18.1.2
A.18.1.3
A.18.1.4
A.18.1.5
Derechos de Propiedad Intelectual
Protección de los registros de la Organización
Protección de los datos y privacidad de la información personal
Prevención del uso inadecuado de los servicios de procesamiento de información
Decisión 351(Acuerdo de Cartagena)
Ley de 1273 de 2009(Ley de Delitos Informáticos)
Ley 1581 de 2012Decreto 1733 de 2013
Artículo 15 de la CP
Ley de 1273 de 2009
ANEXO A – ISO 27001: 2013
GRACIAS POR SU ATENCION