Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ámbito 5
Alcalde de Bogotá
Enrique Peñalosa Londoño
Secretario General
Raúl Buitrago Arias
Diciembre 2018
4 5
1
ÍNDICE DE FIGURAS PÁG.
Figura 1. Metodología ámbito 5- Gobierno y privacidad de la información 13
Figura 2. Roles protección de datos personales
Figura 3. Ciclo de gestión interna o ciclo de vida los datos personales
14
15
INTRODUCCIÓN
ÍNDICE DE TABLAS Todas las personas tienen derecho a conocer, actualizar y rectificar toda las
informaciones que se hayan recogido sobre ellas y que se almacenen o se recopile en las
Tabla 1. Información base de datos 16 bases de datos o archivos administrados por empresas privadas o entidades públicas.
Este derecho está contemplado en el primer Artículo de la Ley 1581 de 2012, conocida
Tabla 2. Información del encargado del tratamiento 16 como el Régimen General de Protección de Datos Personales, en el que, además, se
señalan los principios (Artículo 4) y deberes (Artículos 17 y 18) que tienen todos aquellos
Tabla 3. Canales de atención 17 que realicen el tratamiento de datos personales, para garantizar la protección del
Tabla 4. Política de tratamiento y protección de datos 17 derecho fundamental de habeas data.
Tabla 5. Forma de tratamiento de la información 18 Para facilitar la comprensión y el cumplimiento de dicha ley, ADALID CORP. pone a
disposición de las Entidades Distritales, el Documento de Metodología denominado
Tabla 6. Información contenida la base de datos categorías 1 y 2 18 Ámbito 5 – Gobierno y Privacidad de la Información, para contribuir con el cumplimiento
de obligaciones establecidas en la Ley 1581 de 2012 y sus decretos reglamentarios2
Tabla 7. Información contenida la base de datos categorías 3 y 4 19 por parte de los responsables y encargados del tratamiento de datos personales en el
Distrito y licenciamiento de software.
Tabla 8. Información contenida la base de datos categorías 5 y 6 19 De acuerdo con el principio de “Responsabilidad demostrada” (Accountability en
Tabla 9. Seguridad de la información personal 21 inglés), “Los Responsables del Tratamiento de datos personales deben ser capaces de
demostrar, a petición de la SIC, que han implementado medidas apropiadas y efectivas
Tabla 10. Sistema de gestión de seguridad de la información personal 21 para cumplir con las obligaciones establecidas en la Ley 1581 de 2012…” 4
Tabla 11. Seguridad de la información personal entorno al recurso humano 21 Así mismo, como señala la Organización para la Cooperación y el Desarrollo Económicos
-OCDE- “una entidad que recoge y hace tratamiento de datos personales debe ser
Tabla 12. Control de acceso a la información personal 21 responsable del cumplimiento efectivo de las medidas que implementen los principios
de privacidad y protección de datos” 5.
Tabla 13. Procesamiento de información personal 22
Tabla 14. Seguridad en los sistemas de información personal 22
Tabla 15. Gestión de incidentes de seguridad de la información personal 22
Tabla 16. Auditoría de seguridad de la información personal 22
Tabla 17. Autorización del titular 23
Tabla 18. Transferencia internacional de datos 23 2
Hoy compilados en el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo - Decreto 1074 de 2015.
4
Tabla 19. Cesión de la base de datos 23 Capítulo 25, Sección 6, Artículo 2.2.2.25.6.1. Demostración - Decreto 1074 de 2015.
5
La Superintendencia de Industria y Comercio -SIC- citando la OCDE en (SIC, 2015, p. 5).
7
2 DEFINICIÓN 3 OBJETIVO
GENERAL
Analizar el riesgo para la privacidad de la información y hacer evaluaciones de impacto
en la entidad. Contribuir al cumplimiento normativo, incluida la adopción de normas
Como señala la guía del modelo de inventario de bases de datos personales corporativas 9.
seguridad y privacidad de la información tratadas en el país, su finalidad, los canales
del Ministerio de TIC en su capítulo 10: que se han dispuesto para atender las
4
“Uno de los objetivos del modelo de peticiones de los ciudadanos, las políticas
seguridad y privacidad de la Información de tratamiento de datos personales
es el de garantizar un adecuado adoptadas, el tipo de datos que contienen
5
manejo de la información... En esa y las transferencias y transmisiones de
línea el aseguramiento de los procesos información que se realizan cuando aplica OBJETIVOS
ESPECÍFICOS ALCANCE
relacionados con los sistemas de 7
.
información debe complementarse con
un enfoque de privacidad para garantizar Una base de datos personales es un
tanto la protección de los derechos a la conjunto organizado de datos personales Orientar a los responsables y Este documento desarrolla la metodología
intimidad y el buen nombre o la salvaguarda que sea objeto de tratamiento (Articulo encargados del tratamiento de datos para realizar el levantamiento del
de secretos profesionales, industriales o de 3, Ley 1581), bien sea en medio físico personales sobre el cumplimiento de inventarios de las bases de datos
información privilegiada de particulares en (p. ej.: papel) o en medio electrónico obligaciones específicas frente al manejo personales tratadas en el Distrito, que
poder de la administración como el acceso (archivos en cualquier formato como hojas de información personal. permita efectuar el reporte en el Registro
a la información pública cuando esta electrónicas, tratamiento de texto, con el Contribuir con el levantamiento de Nacional de Bases de Datos que lleva la
no se encuentre sometida a reserva…” uso o no de motores de bases de datos, inventarios de bases de datos personales, SIC, solicitado por Ley 158. Además de la
(Ministerio de TIC, 2015). etc.), sin importar la cantidad de datos identificando y clasificando los activos recopilación de buenas prácticas para el
personales. Por lo general y sin limitación de información contentiva de datos manejo del licenciamiento de software.
El Registro Nacional de Bases de Datos alguna, las empresas tienen las siguientes personales que tenga la Entidad, alineado
– RNBD- es el directorio público de las bases de datos: de empleados, clientes y con el Registro Nacional de Base de Datos Se toma como marco de trabajo lo
bases de datos con información personal, proveedores 8. (RNBD). establecido en la citada Ley 1581 de 2012,
sujetas a tratamiento que operan en el país Brindar una serie de buenas el Decreto 090 de 2018 - que modificó el
(Art. 25, Ley 1581), el cual es administrado prácticas para conseguir una óptima Decreto 1074 de 2015- y el capítulo 10
por la SIC y de libre consulta. Lo anterior gestión en el manejo del licenciamiento de del documento maestro del Modelo de
no implica que en dicho registro esté software y el uso de recursos informáticos. Seguridad y Privacidad de la Información
depositado el contenido de las bases – MSPI-, establecido por el Ministerio de las
de datos, ya que solamente incorpora el TIC.
7
www.sic.gov.co/registro-nacional-de-bases-de-datos
8 9
www.sic.gov.co/preguntas-frecuentes-rnbd Anexo técnico del concurso de méritos SGA-CM-07-2018 realizado por la Alta Consejería de TIC.
8 9
6 MARCO TEÓRICO
Y JURÍDICO
La Constitución Política de Colombia establece en su artículo 15 derechos y garantías mismo, el 11 de julio de 2018 se genera el Manual de Usuario del (RNBD) Versión 6.1.
para quienes poseen la titularidad de información, tales derechos corresponden a la De otra parte, la Dirección Nacional de Derecho de Colombia, establece que las
protección a la intimidad personal y familiar, al buen nombre, y a conocer, actualizar y entidades u organismos públicos del orden nacional y territorial que tienen la obligación
6
rectificar la información que sobre ellos se haya recolectado, almacenado o haya sido de hacer la debida verificación al cumplimiento de las normas en materia de Derecho de
objeto de uso, circulación o supresión en bases de datos y archivos, tanto en entidades Autor que se aplican al software.
públicas y como privadas.
La Ley 603 del 2000 establece la obligatoriedad de las sociedades comerciales
El capítulo 25 del Decreto 1074 de 2015 reglamenta parcialmente la Ley 1581 y en el de presentar Informes de gestión que contengan el estado de cumplimiento de las
capítulo 26 se reglamenta la información mínima que debe contener el Registro Nacional normas sobre propiedad intelectual y derechos de autor; por esta razón, las directivas
de Bases de Datos, sus términos y condiciones. 1 y 2 de 1999 y 2002 respectivamente, dan instrucciones a los encargados de cada
entidad u organismos públicos de la adquisición de software, para que los programas
Atendiendo un llamado de la industria que solicitó mayor orientación en el camino de de computador adquiridos estén respaldados por los respectivos documentos de
construir un Programa Integral de Gestión de Datos Personales, la Superintendencia de licenciamiento o transferencia de propiedad.11
Industria y Comercio publicó en el año 2015 la “Guía para la Implementación del Principio
de Responsabilidad Demostrada (Accountability)”10 . Dentro de las actividades realizadas en la consultoría adelantada por ADALID Corp., se
busca mediante este documento metodológico contribuir al cumplimiento normativo de
A través de la circular externa número 1 del 11 de enero de 2017, se modificaron los las entidades de la Alcaldía Mayor de Bogotá D.C. a través de instrumentos, que permitan
numerales 2.2, 2.3, 2.6 y 2.7 del capítulo segundo del título V de la circular única de la el tratamiento de datos personales bajo las directrices de la SIC y el cumplimiento
SIC, relacionados con el procedimiento de inscripción en el Registro Nacional de Bases legislativo y normativo sobre el manejo del licenciamiento de software.
de Datos (RNBD) y la información contenida en este, teniendo en cuenta la modificación
del plazo para inscribir las bases de datos, efectuada mediante el Decreto 1759 de 2016. Para más información remítase al anexo técnico “Buenas Prácticas y Marco Normativo
de la Seguridad Digital” que complementa las guías.
La SIC, en su circular externa 005 del 10 de agosto de 2017, fijó los estándares de un nivel
adecuado de protección en el país receptor de la información personal y las condiciones
para obtener una declaración de conformidad para realizar transferencia internacional
de datos personales.
Mediante Decreto 090 del 18 de enero de 2018, el Gobierno Nacional modificó el ámbito
de aplicación del Registro Nacional de Bases de Datos y planteó nuevos plazos para
que los sujetos que resulten obligados realicen la inscripción de sus bases de datos. Así
10 11
http://ticbogota.gov.co/sites/default/files/documentos/Guia-principio-de-responsabilidad-demostrada.pdf http://derechodeautor.gov.co/las-entidades-publicas-mantienen-paso-firme-en-el-uso-de-software-legal
10 11
7
Figura 1. Metodología ámbito 5- Gobierno y privacidad de la información
DESARROLLO DE LA
METODOLOGÍA Inventario
Base datos RNDB
Personal
Este documento metodológico se soporta en la idea de avanzar en la creación de un
programa integral de gestión de datos personales, conforme al Artículo 2.2.2.25.6.1 Fuente: ADALID CORP
del Decreto 1074 (equivalente al Artículo 26 del Decreto 1377 de 2013), en el cual el
regulador introduce en el sistema colombiano de protección de datos el criterio de la
responsabilidad demostrada como una obligación en cabeza de los responsables del Etapa 1. Gobierno
tratamiento. Igualmente el regulador dispuso que los responsables deben ser capaces
de demostrar, a petición de la SIC, que han implementado medidas apropiadas y En esta etapa se hace alusión a la formulación de políticas y procedimientos para el
efectivas para cumplir con las obligaciones establecidas en la Ley 1571 de 2012. tratamiento, que reflejen una cultura respecto a la protección de los datos personales en
la Entidad. Además de un esquema de gobierno para su desarrollo
Se toma igualmente como referencia la “Guía metodológica para el inventario y registro
de bases de datos personales ante a Superintendencia de Industria Comercio -SIC- de
!
Colombia” de Gilber Corrales Rubiano - Grupo de Investigación en “Teoría y gestión de
tecnologías de la información” de la Universidad Nacional de Colombia Sede Manizales.12.
12
http://ticbogota.gov.co/sites/default/files/documentos/Guia-principio-de-responsabilidad-demostrada.pdf
12 13
Acompañar y asistir a la Entidad en la atención de las visitas y los requerimientos que En este punto es importante presentar el ciclo de gestión interna o ciclo de vida de los
la realice la SIC. datos personales, conforme los posibles tratamientos señalados en el último numeral del
Artículo 3 de la Ley 158, como se ilustra en la figura 3.
Tener el control y la responsabilidad de la implementación transversal del Sistema
Integral de Gestión de Datos Personales. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos
personales, tales como la recolección, almacenamiento, uso, circulación o
Antes de avanzar, es importante resaltar los tres roles principales presentes en la gestión supresión
de datos personales: titular de los datos personales, el responsable (autorizado) de
tratarlos y el encargado por este último para tratarlos, como se ilustra en la figura 2. Figura 3. Ciclo de gestión interna o ciclo de vida los datos personales
El rol de encargo puede existir o no en una entidad. Por lo general se configura por la
tercerización de servicios por parte del responsable. Por ejemplo: cuando este contrata
un tercero para digitar o almacenar información que contiene datos personales.
7
Figura 2. Roles protección de datos personales
Autoriza
Responsable de
tratar los datos
personales
Encarga
Titular de Encargado de
los datos tratar los datos
personales personales
14 15
7
A continuación, se indican los pasos a seguir en la Etapa 1: Paso 2. Describir información de los canales de atención para la gestión de tratamiento
de base de datos personales.
Paso 0. Describir información de las bases de datos personales.
A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos
A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos personales Hoja “Base de Datos” registre la siguiente información identificando:
personales Hoja “Base de Datos” registre la siguiente información identificando:
Tabla 3. Canales de atención
Tabla 1. Información base de datos
Tabla 2. Información del encargado del tratamiento A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos
personales Hoja “Base de Datos” registre la siguiente información identificando:
16 17
Tabla 7. Información contenida la base de datos categorías 3 y 4
Paso 4. Registrar la forma de tratamiento de la información.
En esta etapa se realizan entrevistas para identificar el estado de los procesos y de la Tabla 8. Información contenida la base de datos categorías 5 y 6
documentación relacionada con bases de datos y de archivos que contienen datos
personales.
18 19
Tabla 9. Seguridad de la información personal
A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos Fuente: ADALID CORP
personales Hoja “Base de Datos”, se adoptan medidas de seguridad (controles)
adecuadas evitando los siguientes riesgos: Tabla 11. Seguridad de la información personal entorno al recurso humano
20 21
Tabla 13. Procesamiento de información personal Tabla 17. Autorización del titular
Tabla 15. Gestión de incidentes de seguridad de la información personal Tabla 19. Cesión de la base de datos
22 23
!
7.2 Validar el Registro Nacional de Bases de Datos (RNDB)
!
ADALID CORP propone que una vez se finaliza el trámite del registro de cada base de
datos, la SIC envía el correo electrónico a través de la cuenta soporteRNBD@sic.gov.co a
más tardar 48 horas después de la finalización.
Etapa 4. Efectuar el Registro Nacional de Bases de Datos (RNBD).
Puede suceder qué al ser un correo desconocido para la cuenta del usuario, llegue a la
A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos bandeja de correo no deseado o spam.
personales Hoja “Resultados”, se generan los reportes gráficos del cumplimiento de los
requisitos y antes de registrar las bases de datos es preciso realizar el inventario de las Para evitar esto, agregue el correo de la SIC a su lista de contactos y en caso de que
bases de datos con información personal que tenga la entidad, bien sea en medio físico lo borre accidentalmente, con el número de radicado que aparece en la consulta del
(papel) o electrónico (listas o archivos en cualquier formato, bases de datos relacionales, RNBD, en la opción “Inscribir bases de datos”, puede consultar la comunicación en la
etc.). página web de esta entidad (www.sic.gov.co).
Por la opción “Consulte aquí el estado de su trámite”, podrá obtener una copia de la
comunicación con el número de radicado del trámite adelantado, en la lupa que aparece
al final de la consulta.
24 25
Etapa 5. Mejoramiento continuo 7.3 Buenas prácticas para licenciamiento de software
7
En esta etapa la gestión de modificación y actualización de las bases de datos se realiza Tiempo de uso del software
por la opción www.sic.gov.co. de “Modificar Datos” que aparece una vez finalizada cada Tamaño de almacenamiento en disco duro o en servidor
base de datos. Número de usuarios que usan el software
Tipo(s) de Código(s) bajo el(los) cual(es) fue escrito el software
Esta opción solo aparece cuando no se ha iniciado la modificación de una base de datos Seguridad que contiene el código del software (muy baja, baja, media, alta o muy
finalizada, una vez se ingrese por esa opción solo aparecerá “continuar registro” hasta alta)
su nueva finalización, momento en el cual aparecerá nuevamente la opción “Modificar Vulnerabilidades conocidas del software dadas a conocer por el programador o por
datos” y así sucesivamente. el mercado.
Número de registro ante la Dirección Nacional de Derechos de Autor
Figura 1. Opción “Modificar datos”
Paso 2. Categorizar el software según su utilidad, dentro del que se debe tener en cuenta
la siguiente clasificación para definir de manera clara y concisa la función de este:
Cada vez que se ingresa a modificar el registro, después de efectuar los cambios
correspondientes, es necesario hacer clic en el botón “Finalizar” para que se genere un
radicado consecutivo y así, llevar el histórico de modificaciones o actualizaciones de las
bases de datos registradas.
26 27
7
8
Paso 3. Revisar contractualmente el licenciamiento del(los) software(s) para este
proceso es importante que la entidad revise de forma cuidadosa y clasificar las licencias
de los programas informáticos de la siguiente manera: PLANTILLAS DOCUMENTALES
a.
Contrato mediante el cual fue adquirido el software:
Objeto del contrato
b. Valor
DE APOYO
c. Duración del contrato
d. Periodos de renovación a los que hay lugar (anual, semestral, trimestral o mensual)
e. Obligaciones generales
f. Obligaciones específicas
g. Condiciones especiales de uso (si las hay) De acuerdo con la adopción de normas corporativas vinculantes: Ley 1581 y el Registro
h. Efectos técnicos y jurídicos de la finalización del contrato (qué sucede en caso de nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio –
la terminación del contrato de licenciamiento del software bajo cualquier circunstancia y SIC, en donde se identifican los aspectos por trabajar en el levantamiento de inventarios
qué efectos tendría ello para la entidad). de bases de datos personales.
28 29
9
8.3 Autorización para el tratamiento de datos personales
El presente formato para su validez y atención debe ser firmado y presentado de forma
original en las instalaciones de la Entidad Distrital, quien como responsable de los
datos personales dará el trámite correspondiente al reclamo dentro de los términos
establecidos por la ley contados a partir del día siguiente a la fecha de su recibo.
13
https://www.itbusiness-solutions.com.mx/glosario-ciberseguridad
http://blog.cerounosoftware.com.mx/t%C3%A9rminos-de-seguridad-inform%C3%A1tica-glosario
30 31
Información pública. Es toda información que el responsable y/o encargado
Datos abiertos. Datos primarios o sin procesar. Que son puestos a del tratamiento, genere, obtenga, adquiera, o controle en su calidad de tal.
disposición de cualquier ciudadano. Con el fin de que terceros puedan
reutilizarlos y crear servicios derivados de los mismos. Información pública clasificada. Es aquella información que estando en
poder de un sujeto responsable en su calidad de tal, pertenece al ámbito
Dato personal. Cualquier información perteneciente a una persona natural. propio, particular y privado o semiprivado de una persona natural o jurídica,
por lo que su acceso podrá ser negado o exceptuado, siempre que se trate
Datos biométricos. Parámetros físicos y/o rasgos físicos únicos o de de las circunstancias legítimas y necesarias y los derechos particulares o
conducta de un individuo, que permiten «verificar» su identidad (huella digital, privados consagrados en la ley.
iris, perfil o voz, entre otros).
Información pública reservada. Es aquella información que estando en
Datos privados. Datos que por su naturaleza íntima o reservada solo son poder de un sujeto responsable en su calidad de tal, es exceptuada de
relevantes para el titular. acceso a la ciudadanía por daño a intereses públicos.
Datos sensibles. Datos que afectan la intimidad del titular o cuyo uso Responsable del tratamiento. Persona natural o jurídica. Pública o privada.
indebido puede generar su discriminación. Que por sí misma o en asocio con otros. Decida sobre la base de datos y/o el
Tratamiento de los datos.
Habeas data. Derecho a acceder a la información personal que se encuentre Tratamiento. Consiste en la recolección, almacenamiento, uso, circulación o
en archivos o bases de datos; implica la posibilidad de ser informado acerca supresión de datos personales.
de los datos registrados sobre sí mismo y la facultad de corregirlos.
32 33
BIBLIOGRAFÍA 10
1. Colombia, Congreso de la República (2012). Ley 1581 de 2012, Por la cual se dictan disposiciones generales para la protección
3. Ministerio de Tecnologías de la Información y las Comunicaciones. (2015). Modelo de Seguridad y Privacidad de la Información.
4. Modelo, F., El, P., Obligaciones, C. D. E., & Reglamentarios, Y. S. U. S. D. (2012). Formatos modelo para el cumplimiento de
5. Felipe, P., Del, R., David, J., & Botero, D. (n.d.). Impresión: ASECUM.
7. Superintendencia de industria y comercio -SIC-. (2015). Guía para la implementación del principio de responsabilidad demostrada.
34
Elaborado por:
Documento Metodológico
Ámbito 5
36