Lidera: PROTECCION DE DATOS PERSONALES Apoyan: Apoyan: Lidera: LEY ESTATUTARIA DE PROTECCIÓN DE DATOS PERSONALES Antoni Bosch Pujol Director General del Institute of Audit & IT-Governance Director del Máster en Auditoría, Seguridad, Gobierno y Derecho de las TIC de la Universidad Autónoma de Madrid (MASGDTIC) Apoyan: Lidera: ¡Pizzería Google, buenas noches! Pizzería Google, señor. ¿Cuál es su pedido? Era, sí señor, pero Google compró la pizzería, y ahora el servicio es más completo. Apoyan: ¿Pizzería qué? Pero este ... ¿no era el teléfono de la Pizzería Washington? Lidera: Sí. ¿El señor desea lo de siempre? Tenemos un identificador de llamadas y, de acuerdo a su teléfono, sabemos que las últimas 53 veces que llamó pidió pizza cuatro quesos y jamón. Apoyan: ¿Lo de siempre? ¿Usted me conoce? ¡Vaya, no me había dado cuenta! Quiero eso mismo ... Lidera: Señor, ¿puedo hacerle una sugerencia? No, señor. Nuestro menú es muy completo, pero me gustaría sugerirle la de ricotta y la de rúgula. Pero, señor, es bueno para su salud. Además, su colesterol no anda bien ... Por supuesto. ¿Tiene una pizza nueva en el menú? ¿Ricotta? ¿Rúgula? ¿Está loco? Odio estas cosas. ¿Cómo lo sabe? Apoyan: Lidera: Nuestra empresa tiene la mayor base de datos del planeta y entrecruzamos bases de datos con Facebook. Tenemos información del laboratorio donde usted se hace sus exámenes, también. Cruzamos el número de teléfono con su nombre y vemos los resultados de sus pruebas de colesterol y acorde con el Facebook de su esposa, sabemos que últimamente esta Ud. muy irritable con la economía y la política. Apoyan: Lidera: Señor, lo siento, pero creo que usted no ha tomado su medicina últimamente. No quiero la nueva pizza que me ofrece o ensalada. Para eso tomo mi medicamento para el colesterol y como lo que quiero ... ¿Cómo lo sabe? ¿Usted me está mirando todo el tiempo? Apoyan: Lidera: Tenemos una base de datos de las farmacias de la ciudad (y en el Facebook Ud. escribió cuál es su sucursal preferida). La última vez que compró su medicamento para el colesterol fue hace 3 meses. Y la caja tiene 30 comprimidos. ¡Maldita sea! Es cierto. ¿Cómo usted sabe esto? Apoyan: Lidera: Por su tarjeta de crédito… ¿¿¿QUÉ??? Apoyan: Lidera: Acorde con lo que Ud. cuenta en el Facebook y nuestros propios seguimientos de sus actividades en el Google, usted tiene el hábito de comprar sus medicamentos en una farmacia que le ofrece descuentos si paga con tarjeta de crédito del Banco BANK. Tenemos una base de datos de sus gastos con la tarjeta… hace 3 meses no ha comprado nada allí, pero sí la utiliza en otros comercios, lo cual nos indica que no la ha extraviado. Apoyan: Lidera: No debería haber pagado en efectivo, usted le paga 200.000 pesos semanales a su empleada doméstica y el resto de sus gastos los realiza con tarjeta de débito o de crédito. Usted le paga el seguro... ¿Y no puedo pagar en efectivo en la farmacia? A ver qué me dice... ¿Cómo sabe lo que gana mi empleada? Apoyan: Lidera: Sí, señor, lo siento, pero todo está en mi pantalla. Tengo el deber de ayudarlo. Creo que usted debe volver a programar la consulta a la que faltó con su médico y llevarle los resultados de los exámenes que se hizo el mes pasado para que le ajuste la medicación. Apoyan: ¡¡Caramba, lo sabe todo!! Lidera: Estoy harto de INTERNET, el ORDENADOR, el SIGLO XXI, la FALTA DE PRIVACIDAD, las BASES DE DATOS y ... Pero, señor… Entiendo... ¡Cállese! ME VOY A MUDAR BIEN LEJOS. A las Islas Fiji o a alguna parte que no tenga Internet, computadoras, teléfono y gente vigilándome todo el tiempo .... Apoyan: Lidera: Perfectamente… Perfectamente. Se cancela. Una cosa más señor… VOY A USAR MI TARJETA DE CRÉDITO POR ÚLTIMA VEZ para comprar un billete de avión e irme bien lejos. ¡¡PUEDE CANCELAR MI PIZZA!! ¿¿Y AHORA QUÉ?? Apoyan: Lidera: Su pasaporte está vencido. Apoyan: Lidera: •Artículo 15, Constitución •Ley Estatutaria 1581 Del 17 de Octubre de 2012 LEY DE TRATAMIENTO DE DATOS PERSONALES •Normatividad Superintendencia Protección Datos •Ley 1266/2008 (Ley de Habeas Data) •Datos de Solvencia Financiera •Datos de Información Periodística •Sector Telecomunicaciones •e-Salud •Inteligencia-Contrainteligencia •Ley 1273/2009 (Reforma Código Penal) Apoyan: Lidera: Artículo 15 de la Constitución Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley. Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley. Apoyan: Lidera: Ley Estatutaria 1581 del 17 de Octubre de 2012 LEY DE TRATAMIENTO DE DATOS PERSONALES “Por la cual se dictan disposiciones generales para la protección de datos personales” Apoyan: Lidera: ARTICULO 1º. OBJETO La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma. Apoyan: Lidera: ARTICULO 2°. Ámbito de aplicación. Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada. La presente ley aplicará al Tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales. Apoyan: Lidera: Tratamientos excluidos: Datos de ámbito exclusivamente personal o doméstico. Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar al Titular y solicitar su autorización. En este caso los Responsables y Encargados de las bases de datos y archivos quedarán sujetos a las disposiciones contenidas en la presente ley. Apoyan: Lidera: Tratamientos excluidos: Bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo. Datos de Inteligencia y Contrainteligencia Datos de información periodística Datos regulados por la Ley 1266/ 2008 Datos regulados por la Ley 79/1993 Vivienda) Apoyan: (Censos de Población y Lidera: TÍTULO II PRINCIPIOS RECTORES Apoyan: Lidera: Principio de legalidad: el tratamiento es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen. Principio de finalidad: el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular. Apoyan: Lidera: Principio de libertad: el tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. Principio de veracidad o calidad: la información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. Apoyan: Lidera: Principio de transparencia: en el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan. Principio de acceso y circulación restringida: el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la presente ley. Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la presente ley. Apoyan: Lidera: Principio de seguridad: la información sujeta a tratamiento por el responsable del tratamiento o encargado del tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Principio de confidencialidad: todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma. Apoyan: Lidera: TÍTULO III CATEGORÍAS ESPECIALES DE DATOS Apoyan: Lidera: Artículo 5°. Datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el: • • • • • • • • • origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos que promueva intereses de cualquier partido político que garanticen los derechos y garantías de partidos políticos de oposición, datos relativos a la salud, a la vida sexual datos biométricos. Apoyan: Lidera: Artículo 7°. Derechos de los niños, niñas y adolescentes. En el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes. Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública. Apoyan: Lidera: TÍTULO IV DERECHOS Y CONDICIONES DE LEGALIDAD PARA EL TRATAMIENTO DE DATOS Apoyan: Lidera: Artículo 8°. Derechos de los titulares. Derechos ARCO Apoyan: Lidera: TÍTULO VII DE LOS MECANISMOS DE VIGILANCIA Y SANCIÓN CAPÍTULO I DE LA AUTORIDAD DE PROTECCIÓN DE DATOS Apoyan: Lidera: DATOS DE INFORMACIÓN PERIODÍSTICA Apoyan: Lidera: Artículo 20 de la Constitución Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios masivos de comunicación. Estos son libres y tienen responsabilidad social. Se garantiza el derecho a la rectificación en condiciones de equidad. No habrá censura. Artículo 73 de la Constitución La actividad periodística gozará de protección para garantizar su libertad e independencia profesional. Apoyan: Lidera: LEY 51 DE 1975 “Por el cual se reglamenta el ejercicio del periodismo y se dictan otras disposiciones”. Apoyan: Lidera: LEY 918 DE 2004 LEY 1016 DE 2006 Por la cual se adoptan normas legales, con meros propósitos declarativos, para la protección laboral y social de la actividad periodística y de comunicación a fin de garantizar su libertad e independencia profesional. Apoyan: Lidera: DATOS INFORMACIÓN FINANCIERA Apoyan: Lidera: Ley 1266/2008 (Ley de Habeas Data) POR LA CUAL SE DICTAN LAS DISPOSICIONES GENERALES DEL HABEAS DATA Y SE REGULA EL MANEJO DE LA INFORMACIÓN CONTENIDA EN BASES DE DATOS PERSONALES, EN ESPECIAL LA FINANCIERA, CREDITICIA, COMERCIAL, DE SERVICIOS Y LA PROVENIENTE DE TERCEROS PAÍSES Y SE DICTAN OTRAS DISPOSICIONES" Apoyan: Lidera: DECRETO 1727 DE 2009 Por el cual se determina la forma en la cual los operadores de los bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, deben presentar la información de los titulares de la información. Apoyan: Lidera: DECRETO 2952 DE 2010 Por el cual se reglamentan los artículos 12 y 13 de la Ley 1266 de 2008 Apoyan: Lidera: ARTICULO 1°. Incumplimiento de las obligaciones por fuerza mayor. En el evento en que el incumplimiento de la(s) obligación(es) dineraria(s) a cargo de un titular de información se origine en una situación de fuerza mayor causada por el secuestro, la desaparición forzada o el desplazamiento forzado de dicho titular, éste tendrá derecho a que el incumplimiento no se refleje como información negativa en su reporte. Apoyan: Lidera: ARTICULO 2°. Reporte de Información Negativa En desarrollo de lo dispuesto en el inciso segundo del artículo 12 de la Ley 1266 de 2008, el reporte de información negativa sobre incumplimiento de obligaciones sólo procederá previa comunicación al titular de la información, la cual podrá incluirse en los extractos periódicos que las fuentes de información envíen a sus clientes, siempre y cuando se incluya de manera clara y legible. ARTICULO 3°. Permanencia de la Información Negativa: En caso de mora inferior a dos (2) años, el término de permanencia de la información negativa no podrá exceder el doble de la mora. Apoyan: Lidera: SECTOR TELECOMUNICACIONES Apoyan: Lidera: DECRETO 2870 DE 2007 El presente Decreto tiene por objeto establecer un marco reglamentario que permita la convergencia en los servicios públicos de telecomunicaciones y en las redes de telecomunicaciones del Estado, asegurar el acceso y uso de las redes y servicios a todos los habitantes del territorio, así como promover la competencia entre los diferentes operadores. Apoyan: Lidera: RESOLUCIÓN 2578 DE 2007 "POR LA CUAL SE REGLAMENTA EL ARTÍCULO 11 DEL DECRETO DE 2870 DE 2007 Y SE DICTAN OTRAS DISPOSICIONES ENTRE OTRAS SE GARANTIZA LA INVIOLABILIDAD DE LAS TELECOMUNICACIONES". Apoyan: Lidera: Fuente: MINTIC-SIUST Apoyan: Lidera: Apoyan: Lidera: Apoyan: Lidera: e-Salud Apoyan: Lidera: Apoyan: Lidera: Apoyan: Lidera: eSalud Aplicaciones asistenciales Aplicaciones eAdministración Formación Solución global de implantación de la eSalud Apoyan: Lidera: INTELIGENCIACONTRAINTELIGENCIA Apoyan: Lidera: DECRETO 4179 DE 2011 "Por el cual se crea un Departamento Administrativo y se establece su objetivo, funciones y estructura.". Apoyan: Lidera: ARTÍCULO 1º. CREACIÓN. Créase un Departamento Administrativo que se denominará Dirección Nacional de Inteligencia, como un organismo civil de seguridad, que desarrolla actividades de inteligencia estratégica y contrainteligencia. ARTICULO 2º. OBJETO La Dirección Nacional de Inteligencia tendrá como objeto desarrollar actividades de inteligencia estratégica y contrainteligencia para proteger los derechos y libertades de los ciudadanos y de las personas residentes en Colombia, prevenir y contrarrestar amenazas internas o externas contra la vigencia del régimen democrático, el orden constitucional y legal, la seguridad y la defensa nacional, así como cumplir con los requerimientos que en materia de inteligencia le hagan el Presidente de la República y el Alto Gobierno para el logro de los fines esenciales del Estado, de conformidad con la ley. Apoyan: Lidera: ARTÍCULO 14. CENTRO DE PROTECCIÓN DE DATOS. Son funciones del Centro de Protección de Datos las siguientes: Recomendar a la Dirección General las políticas y procedimientos de manipulación, transporte y custodia de documentos de acuerdo con la normatividad vigente y el objeto de la entidad. Controlar el ingreso y la salida de información a las bases de datos y archivos de inteligencia estratégica y contrainteligencia de la entidad, garantizando su reserva constitucional y legal, de acuerdo con la normatividad vigente. Implementar los mecanismos de control para que la información de las bases de datos de inteligencia estratégica y contrainteligencia, sean actualizados y depurados de acuerdo con lo establecido en la ley. Implementar los mecanismos para controlar que la información no sea almacenada en las bases de datos de la Dirección Nacional de Inteligencia por las razones contempladas en el artículo 3º del presente decreto. Apoyan: Lidera: ARTÍCULO 14. CENTRO DE PROTECCIÓN DE DATOS. (cont) Controlar que los procesos de manipulación, transporte y custodia de la información se adelanten de acuerdo con los procedimientos establecidos e informar al Director General de cualquier hallazgo o irregularidad encontrada en estos, en concordancia con el marco legal vigente. Recomendar a la Dirección General políticas y procedimientos en materia de protección de la información y la seguridad informática en la Dirección Nacional de Inteligencia, con el fin de evitar la fuga o manipulación indebida de información, de acuerdo con el marco legal vigente. Difundir al interior de la organización las políticas de seguridad de la información. Apoyar el desarrollo y sostenimiento del Sistema Integrado de Gestión Institucional y la observancia de sus recomendaciones en el ámbito de su competencia. Ejercer las demás funciones que le sean asignadas y que correspondan a la naturaleza de la dependencia. Apoyan: Lidera: CÓDIGO PENAL Apoyan: Lidera: LEY 1273-2009 "POR MEDIO DE LA CUAL SE MODIFICA EL CÓDIGO PENAL, SE CREA UN NUEVO BIEN JURÍDICO TUTELADO - DENOMINADO "DE LA PROTECCIÓN DE LA INFORMACIÓN Y DE LOS DATOS"· Y SE PRESERVAN INTEGRALMENTE LOS SISTEMAS QUE UTILICEN LAS TECNOLOGIAS DE LA INFORMACIÓN Y LAS COMUNICACIONES, ENTRE OTRAS DISPOSICIONES". Apoyan: Lidera: CAPITULO PRIMERO De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos Apoyan: Lidera: ARTICULO 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. ARTICULO 269B: OBSTACULIZACIÓN ILEGITIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor. Apoyan: Lidera: ARTICULO 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los trasporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses. ARTICULO 269D: DAÑO INFORMÁTICO. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. Apoyan: Lidera: ARTICULO 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. ARTICULO 269F: VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envie, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. Apoyan: Lidera: ARTICULO 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave. En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave. La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito.. Apoyan: Lidera: ARTICULO 269H: CIRCUNSTANCIAS DE AGRAVACIÓN PUNITIVA: las penas imponible de acuerdo con los artículos descritos en este título, se aumentarán de la mitad a las tres cuartas partes si la conducta se cometiere: 1.Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros. 2. Por servidor público en ejercicio de sus funciones 3. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con este. 4. Revelando o dando a conocer el contenido de la información en perjuicio de otro. 5. Obteniendo provecho para si o para un tercero. 6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional. 7. Utilizando como instrumento a un tercero de buena fe. 8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales. Apoyan: Lidera: CAPITULO SEGUNDO De las atentados informáticos y otras infracciones Apoyan: Lidera: ARTICULO 269I: HURTO POR MEDIOS INFORMÁTICOS y SEMEJANTES. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 de este Código. ARTICULO 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes. la misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisión del delito descrito en el inciso anterior, o de una estafa. Si la conducta descrita en los dos incisos anteriores tuviere una cuantía superior a 200 salarios mínimos legales mensuales, la sanción allí señalada se incrementará en la mitad. Apoyan: Lidera: Articulo 58 CIRCUSTANCIAS DE MAYOR PUNIBILlDAD. Son circunstancias de mayor punibilidad, siempre que no hayan sido previstas de otra manera: ( ...) 17. Cuando para la realización de las conductas punibles se utilicen medios informáticos, electrónicos ó telemáticos. Apoyan: Lidera: ¿QUIÉN SE ENCARGA? Apoyan: Lidera: Ley Estatutaria 1581 TÍTULO VI DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO Y ENCARGADOS DEL TRATAMIENTO Apoyan: Lidera: Artículo 17. Deberes de los Responsables del Tratamiento a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular. c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Apoyan: Lidera: Artículo 17. Deberes de los Responsables del Tratamiento (cont) e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada. g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento. h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley. i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular. Apoyan: Lidera: Artículo 17. Deberes de los Responsables del Tratamiento (cont) j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley. k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos. l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo. m) Informar a solicitud del Titular sobre el uso dado a sus datos. n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. Apoyan: Lidera: Artículo 18. Deberes de los Encargados del Tratamiento. a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley. d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles, contados a partir de su recibo. e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley. Apoyan: Lidera: Artículo 18. Deberes de los Encargados del Tratamiento (cont). f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares. g) Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la presente ley. h) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal. i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio. Apoyan: Lidera: Artículo 18. Deberes de los Encargados del Tratamiento (cont). j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella. k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. Parágrafo. En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno. Apoyan: Lidera: Artículo 18 (resumen) Deberes de los Encargados del Tratamiento. b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares. j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella. k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. Apoyan: Lidera: ECPD EXPERTO CERTIFICADO EN PROTECCIÓN DE DATOS PERSONALES Apoyan: Lidera: La complejidad de la sencillez : 1º clase de matemática aplicada Cualquier futuro ingeniero aprende la notación matemática según la cual la suma de dos números reales, como por ejemplo 11 2 puede ser escrita de manera tan simple. Sin embargo esta forma es errónea debido a su banalidad y demuestra una falta total de estilo. Apoyan: Lidera: El gran problema del consejo de administración • ¿Por qué el firewall no bloqueó la entrada no autorizada? • Porque el atacante era muy listo y tenía muchos medios. Apoyan: Lidera: (NIST SP 800-30) Apoyan: Lidera: • ¿Por qué el firewall no bloqueó la entrada no autorizada? • Porque no habíamos implantado un sistema de análisis de riesgos. Apoyan: Lidera: Risk IT. ISACA Apoyan: Lidera: NIST SP 800-30 Apoyan: Lidera: • ¿Por qué el firewall no bloqueó la entrada no autorizada? • Porque nos faltaba la gestión de riesgos. Apoyan: Lidera: Risk IT. ISACA Apoyan: Lidera: • ¿Por qué el firewall no bloqueó la entrada no autorizada? • Porque no teníamos un sistema de gestión de seguridad. Apoyan: Lidera: IT Baseline Protection Manual Apoyan: Lidera: IT Baseline Protection Manual Apoyan: Lidera: • ¿Por qué el firewall no bloqueó la entrada no autorizada? • Porque no teníamos un sistema de gestión de seguridad de la información certificado. Apoyan: Lidera: ISO 27000 1-POLÍTICA DE SEGURIDAD 2-ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD 3-CLASIFICACIÓN Y CONTROL DE ACTIVOS 4-SEGURIDAD EN EL PERSONAL 5-SEGURIDAD FÍSICA Y DEL ENTORNO 6-GESTIÓN DE COMUNICACIONES Y OPERACIONES 7-CONTROL DE ACCESOS 9-GESTIÓN DE INCIDENCIAS 10-GESTIÓN DE CONTINUIDAD DEL NEGOCIO 11-CUMPLIMIENTO Apoyan: 8-DESARROLLO Y MANTENIMIENTO DE SISTEMAS Lidera: • ¿Por qué el firewall no bloqueó la entrada no autorizada? • Porque no habíamos implantado un sistema de gestión de servicios TI. Apoyan: Lidera: ISO 20000 Gestión de la Responsabilidad, Documentación Requerimientos, Competencias , Salvaguardas& Formación Sistemas de Gestión Planificación Implementación Planificación nuevos servicio Planificación, Implementación, Monitorización, Mejora (Plan, Do, Check, Act) Planificación y Implementación de nuevos o servicios modificados Proceso de la provisión de servicio Gestión de la capacidad Continuidad del servicio Gestión de la disponibilidad Gestión de Niveles de servicio Informes del servicio Seguridad de la seguridad De la información Presupuestos Contabilidad Del servicio Procesos de Control Gestión de la configuración Gestión del Cambio Procesos de Entrega Gestión de Entrega Procesos de Resolución Gestión de Incidentes Gestión de Problemas Apoyan: Procesos Relacionales Gestión de las relaciones con el negocio Gestión de Suministradores Lidera: • ¿Por qué el firewall no bloqueó la entrada no autorizada? • Porque nos faltaban más estándares que seguir. Apoyan: Lidera: JTC 1/SC 27 IT Security techniques ISO/IEC 7064:2003 Information technology -- Security techniques -- Check character systems ISO/IEC 97962:2002 ISO/IEC 97963:2000 ISO/IEC 97971:1999 ISO/IEC 97972:2002 ISO/IEC 97981:1997 ISO/IEC 97982:1999 ISO/IEC 97982:1999/Cor 1:2004 Information technology -- Security techniques -- Digital signature schemes giving message recovery -- Part 2: Integer factorization based mechanisms Information technology -- Security techniques -- Digital signature schemes giving message recovery -- Part 3: Discrete logarithm based mechanisms Information technology -- Security techniques -- Message Authentication Codes (MACs) -Part 1: Mechanisms using a block cipher Information technology -- Security techniques -- Message Authentication Codes (MACs) -Part 2: Mechanisms using a dedicated hash-function Information technology -- Security techniques -- Entity authentication -- Part 1: General ISO/IEC 97983:1998 ISO/IEC 97984:1999 ISO/IEC 97985:2004 ISO/IEC 97986:2005 Information technology -- Security techniques -- Entity authentication -- Part 3: Mechanisms using digital signature techniques Information technology -- Security techniques -- Entity authentication -- Part 4: Mechanisms using a cryptographic check function Information technology -- Security techniques -- Entity authentication -- Part 5: Mechanisms using zero-knowledge techniques Information technology -- Security techniques -- Entity authentication -- Part 6: Mechanisms using manual data transfer Information technology -- Security techniques -- Entity authentication -- Part 2: Mechanisms using symmetric encipherment algorithms Apoyan: Lidera: JTC 1/SC 27 IT Security techniques ISO/IEC 9979:1999 Information technology -- Security techniques -- Procedures for the registration of cryptographic algorithms ISO/IEC 10116:1997 Information technology -- Security techniques -- Modes of operation for an n-bit block cipher Information technology -- Security techniques -- Hash-functions -- Part 1: General ISO/IEC 10118-1:2000 ISO/IEC 10118-2:2000 Information technology -- Security techniques -- Hash-functions -- Part 2: Hash-functions using an n-bit block cipher ISO/IEC 10118-3:2004 Information technology -- Security techniques -- Hash-functions -- Part 3: Dedicated hashfunctions Information technology -- Security techniques -- Hash-functions -- Part 4: Hash-functions using modular arithmetic ISO/IEC 10118-4:1998 ISO/IEC 11770-1:1996 Information technology -- Security techniques -- Key management -- Part 1: Framework ISO/IEC 11770-2:1996 Information technology -- Security techniques -- Key management -- Part 2: Mechanisms using symmetric techniques ISO/IEC 11770-2:1996/Cor 1:2005 ISO/IEC 11770-3:1999 Information technology -- Security techniques -- Key management -- Part 3: Mechanisms using asymmetric techniques Apoyan: Lidera: JTC 1/SC 27 IT Security techniques ISO/IEC 13335-1:2004 Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management ISO/IEC TR 13335-3:1998 Information technology -- Guidelines for the management of IT Security -- Part 3: Techniques for the management of IT Security ISO/IEC TR 13335-4:2000 Information technology -- Guidelines for the management of IT Security -- Part 4: Selection of safeguards ISO/IEC TR 13335-5:2001 Information technology -- Guidelines for the management of IT Security -- Part 5: Management guidance on network security ISO/IEC 13888-1:2004 IT security techniques -- Non-repudiation -- Part 1: General ISO/IEC 13888-2:1998 Information technology -- Security techniques -- Non-repudiation -- Part 2: Mechanisms using symmetric techniques ISO/IEC 13888-3:1997 Information technology -- Security techniques -- Non-repudiation -- Part 3: Mechanisms using asymmetric techniques ISO/IEC TR 14516:2002 Information technology -- Security techniques -- Guidelines for the use and management of Trusted Third Party services ISO/IEC 14888-1:1998 Information technology -- Security techniques -- Digital signatures with appendix -- Part 1: General ISO/IEC 14888-2:1999 Information technology -- Security techniques -- Digital signatures with appendix -- Part 2: Identity-based mechanisms ISO/IEC 14888-3:1998 Information technology -- Security techniques -- Digital signatures with appendix -- Part 3: Certificate-based mechanisms ISO/IEC 148883:1998/Cor 1:2001 Apoyan: Lidera: JTC 1/SC 27 IT Security techniques ISO/IEC 15292:2001 Information technology - Security techniques - Protection Profile registration procedures ISO/IEC 154081:2005 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model ISO/IEC 154082:2005 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 2: Security functional requirements ISO/IEC 154083:2005 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 3: Security assurance requirements ISO/IEC TR 154431:2005 Information technology -- Security techniques -- A framework for IT security assurance -- Part 1: Overview and framework ISO/IEC TR 154432:2005 Information technology -- Security techniques -- A framework for IT security assurance -- Part 2: Assurance methods ISO/IEC TR 15446:2004 Information technology -- Security techniques -- Guide for the production of Protection Profiles and Security Targets ISO/IEC 15816:2002 Information technology -- Security techniques -- Security information objects for access control ISO/IEC 15945:2002 Information technology -- Security techniques -- Specification of TTP services to support the application of digital signatures ISO/IEC 159461:2002 Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 1: General ISO/IEC 159462:2002 Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 2: Digital signatures ISO/IEC 159463:2002 Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 3: Key establishment ISO/IEC 159464:2004 Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 4: Digital signatures giving message recovery Apoyan: Lidera: JTC 1/SC 27 IT Security techniques ISO/IEC TR 15947:2002 Information technology -- Security techniques -- IT intrusion detection framework ISO/IEC 17799:2005 Information technology -- Security techniques -- Code of practice for information security management ISO/IEC 180141:2002 Information technology -- Security techniques -- Time-stamping services -- Part 1: Framework ISO/IEC 180142:2002 Information technology -- Security techniques -- Time-stamping services -- Part 2: Mechanisms producing independent tokens ISO/IEC 180143:2004 Information technology -- Security techniques -- Time-stamping services -- Part 3: Mechanisms producing linked tokens ISO/IEC 180283:2005 Information technology -- Security techniques -- IT network security -- Part 3: Securing communications between networks using security gateways ISO/IEC 180284:2005 Information technology -- Security techniques -- IT network security -- Part 4: Securing remote access Apoyan: Lidera: JTC 1/SC 27 IT Security techniques ISO/IEC 18031:2005 Information technology -- Security techniques -- Random bit generation ISO/IEC 18032:2005 Information technology -- Security techniques -- Prime number generation ISO/IEC 180331:2005 Information technology -- Security techniques -- Encryption algorithms -- Part 1: General ISO/IEC 180333:2005 Information technology -- Security techniques -- Encryption algorithms -- Part 3: Block ciphers ISO/IEC 180334:2005 Information technology -- Security techniques -- Encryption algorithms -- Part 4: Stream ciphers ISO/IEC TR 18044:2004 Information technology -- Security techniques -- Information security incident management ISO/IEC 18045:2005 Information technology -- Security techniques -- Methodology for IT security evaluation ISO/IEC 21827:2002 Information technology -- Systems Security Engineering -- Capability Maturity Model (SSECMM®) ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security management systems -Requirements Apoyan: Lidera: Después de mil explicaciones Apoyan: Lidera: El teorema del punto y de la recta: Apoyan: Lidera: Teorema del punto gordo y la recta astuta Apoyan: Lidera: Apoyan: Lidera: La cruda realidad Apoyan: Lidera: LOS POR QUÉs • • • • • • • • • • • • ¿Por qué el firewall no bloqueo la entrada no autorizada? Porque el atacante tenía el password ¿Por qué el atacante tenía el password? Porque se lo dió un empleado ¿Por qué se lo dió un empleado? Porque no era consciente del peligro. ¿Por qué no era consciente del peligro? Porque nadie se lo explicó ¿Por qué nadie se lo explicó? Porque nadie lo formó en PROTECCIÓN DE DATOS Y porque la formación no es importante y muy compleja, y muy costosa y muy ……. Apoyan: Lidera: ¿Qué podemos hacer? Apoyan: Lidera: GOBERNAR TOMAR DECISIONES Apoyan: Lidera: ECPD EXPERTO CERTIFICADO EN PROTECCIÓN DE DATOS • ¿Qué decisiones se han de tomar? • ¿Quién las ha de tomar? • ¿Quién provee la información? • ¿Cómo se han de tomar? • ¿Cuándo se han de tomar? • ¿Cómo se han de monitorizar y controlar? Apoyan: Lidera: Apoyan: Lidera: SEGURIDAD TOTAL COSTE INFINITO Apoyan: Lidera: MUCHAS GRACIAS Antoni Bosch i Pujol, CGEIT, CISA, CISM, ECPD Director General Institute of Audit & IT-Governance (IAITG) Director del programa de Experto Certificado en Protección de Datos (ECPD) Director Máster en Auditoría, Seguridad, Gobierno y Derecho de las TIC (UAM) Director Data Privacy Institute (DPI-ISMS) Presidente Fundador ISACA-Barcelona [email protected] Apoyan: