Antonio Hernández Jaimes
Gestión de evidencias de consentimiento
de tratamiento de datos personales
• Privacidad, seguridad y habeas data.
• Estructura de las leyes de habeas data.
• Cumplimiento normativa habeas data.
• Gestión de evidencias de consentimiento para el
tratamiento de datos personales.
• Conclusiones.
ÍNDICE
PRIVACIDAD, SEGURIDAD Y HABEAS
DATAEn noviembre de 2014, un grupo de hackers rusos
accede a cerca de 73.000 cámaras digitales.
http://www.networkworld.com/article/2844283/microsoft-
subnet/peeping-into-73-000-unsecured-security-cameras-thanks-to-
default-passwords.html
EEUU: 4.591
Francia: 2.059
Holanda: 1.576
Foscam
Linksys
Panasonic
PRIVACIDAD, SEGURIDAD Y HABEAS
DATAEn 2014, se robaron 348 millones de identidades:
- Nombres: 69%
- SSN: 45%
- Direcciones: 43%
- Información financiera: 36%
- Fechas de nacimiento: 35%
Fuente: Internet Security Threat Report 2015 de la firma Symantec,
disponible en:
http://www.symantec.com/security_response/publications/threatreport.jsp
El robo de identidad es la base de los
siguientes esquemas de crimen:
• Subasta fraude.
• Fraude con tarjetas de crédito.
• Eliminación de deuda.
• Oportunidades de negocio o empleo.
• Fraude de servicios de custodia.
• Extorsión.
• Phishing/Spoofing.
• Pirámides.
• Lavado de activos.
• Trata de personas.
• Pornografía infantil.
PRIVACIDAD, SEGURIDAD Y HABEAS
DATA
ESTRUCTURA DE LAS LEYES DE HABEAS
DATA
“Que la persona tenga plena protección en su ser y en su propiedad
es un principio tan antiguo como el derecho común, pero se ha
encontrado necesario de vez en cuando definir de nuevo la
naturaleza exacta y el alcance de dicha protección. Políticas,
desarrollos sociales, y los cambios económicos implican el
reconocimiento de nuevos derechos, y el derecho común, en su
eterna juventud, crece para satisfacer las nuevas demandas de la
sociedad”.
(The Right to Privacy, Warren y Brandeis 1890)
Algunos elementos comunes:
• Derecho fundamental consagrado en la Constitución.
• Principios que deben respetarse (Seguridad, legalidad, finalidad, etc.).
• Consentimiento o autorización de tratamiento.
• Canales para ejercer derechos.
• Derechos: Consulta, actualización, eliminación, revocación de
autorización.
• Medidas de seguridad o incidentes relacionados con datos personales.
ESTRUCTURA DE LAS LEYES DE HABEAS
DATA
El cumplimiento de la normativa de habeas data es un reto para las
organizaciones y la implementación de los programas de protección
depende de la complejidad, tamaño y funciones del negocio. Algunos
factores que influyen en la complejidad de este cumplimiento son:
• Tamaño de la organización.
• Naturaleza jurídica de la organización.
• Naturaleza de los datos tratados.
• Tipo de tratamiento al que se someterá la información.
• Riesgos que implican para los titulares la recolección y posterior uso
o circulación de estos datos.
CUMPLIMIENTO NORMATIVA HABEAS DATA
El consentimiento o autorización de tratamiento por parte del titular:
• Pieza o elemento que legitimiza el tratamiento de sus datos
personales .
• Previo, expreso e informado.
• Objeto de consulta posterior, por lo que debe dejarse evidencia del
mismo.
• Puede darse en múltiples y diversas fuentes: encuestas, formularios
web, formatos físicos, llamadas telefónicas, etc.
• Se requiere diseñar e implementar una estrategia para mantener y
gestionar estos registros.
CUMPLIMIENTO NORMATIVA HABEAS DATA
1. Definición de políticas, procedimientos y funciones para
el cumplimiento de la normativa de habeas data,
incluyendo la creación del rol de Oficial de Protección
de Datos Personales y del Comité de Protección de
Datos Personales.
GESTIÓN DE EVIDENCIAS DE
CONSENTIMIENTO
2. Definición y estandarización de los tipos de evidencias de
autorización de acuerdo con los mecanismos de recolección
de datos personales:
• Físicos
• Formularios web o encuestas que recolectan datos personales.
• Correos electrónicos con autorización y consentimiento expreso del
tratamiento por parte de los titulares.
• Llamadas telefónicas de autorización.
GESTIÓN DE EVIDENCIAS DE
CONSENTIMIENTO
3. Implementación de controles técnicos para asegurar la
recolección de datos personales (Por ejemplo, https en
formularios web, cadenas de custodia en formatos físicos,
etc.).
4. Definición de procedimientos de reclamación y
revocación de consentimiento.
GESTIÓN DE EVIDENCIAS DE
CONSENTIMIENTO
5. Diseño e implementación de una estructura de datos
para registrar las evidencias y que permita ubicarlas
rápidamente en el evento de una reclamación por parte
del titular. Una estructura sugerida es la siguiente:
• Nombres (Alfanumérico)
• Apellidos (Alfanumérico)
• ID: Documento de identificación del titular. (Numérico)
• TimeStamp: DDMMAAA HH:MM:SS de la evidencia de
autorización.
• Fuente: (Alfanumérico) Posibles valores: Formulario web,
Formato físico
• Nombre del evento o del formulario: (Alfanumérico).
GESTIÓN DE EVIDENCIAS DE
CONSENTIMIENTO
5. Diseño e implementación de una estructura de datos
para registrar las evidencias y que permita ubicarlas
rápidamente en el evento de una reclamación por parte
del titular. Una estructura sugerida es la siguiente:
• DirIP: Dirección IP. Estructura: XXX.XXX.XXX.XXX. Aplica para
la fuente formulario web.
• ¿Digitalizado?: Posibles valores: Sí o No.
• Ruta/Ubicación: (Alfanumérico) Ruta UNC o repositorio de la
evidencia digitalizada.
• User: (Alfanumérico) Usuario que realiza el registro de la
evidencia.
GESTIÓN DE EVIDENCIAS DE
CONSENTIMIENTO
6. Controles en el CRM: El CRM (Customer Relationship
Management) es el sistema más importante en la estrategia
definida dado que ha sido adaptado para la gestión de
solicitudes de supresión/eliminación de información
personal, reclamaciones en curso y referencia a evidencias
de autorización. Cada registro de persona cuenta con un
indicador de su autorización o consentimiento de
tratamiento en el cual se referencia la ubicación de la
evidencia correspondiente.
GESTIÓN DE EVIDENCIAS DE
CONSENTIMIENTO
GESTIÓN DE EVIDENCIAS DE
CONSENTIMIENTO
Ejemplo atención solicitudes HD - Documento de Diseño CRM – Proyecto
Centralización de Bases de Datos de Contacto, Universidad del Norte,
Barranquilla, Colombia, 2015
7. Implementación de controles en el MDM (Master Data
Management) que permiten integrar los sistemas de
información que manejan datos personales con el CRM.
GESTIÓN DE EVIDENCIAS DE
CONSENTIMIENTO
GESTIÓN DE EVIDENCIAS DE
CONSENTIMIENTO
Ejemplo implementación ETL’s - Documento de Diseño MDM – Proyecto
Centralización de Bases de Datos de Contacto, Universidad del Norte,
Barranquilla, Colombia, 2015
8. Implementación al interior de la organización de
campañas de concienciación, capacitación y divulgación
sobre el tratamiento de datos personales y las políticas
definidas.
GESTIÓN DE EVIDENCIAS DE
CONSENTIMIENTO
- Las leyes de habeas data como iniciativas para la
proteger al ciudadano y combatir los delitos que
preocupan a la humanidad.
- Consentimiento expreso como acción que legitimiza el
tratamiento de datos personales y la gestión de las
evidencias.
- Controles técnicos y cadenas de custodia en el flujo de
información personal.
- Políticas, procedimientos y roles trasversales en la
organización.
- Fortalecer la conciencia de los usuarios.
CONCLUSIONES
Antonio Hernández Jaimes
Universidad del Norte, Barranquilla,
Colombia
@antoniohdezj
GRACIAS!