Documento Metodológico

Ámbito 5

Gobierno y Privacidad de la Información

 Estrategia de Seguridad y Privacidad de la
Información de la Alcaldía de Bogotá

Alcalde de Bogotá
Enrique Peñalosa Londoño

Secretario General
Raúl Buitrago Arias

Alto Consejero Distrital del TIC

Sergio Martínez Medina

Profesional Especializado en Seguridad de la Información

María del Pilar Niño Campos

Diciembre 2018
4 5

ÍNDICE DE FIGURAS PÁG.
Figura 1. Metodología ámbito 5- Gobierno y privacidad de la información 13
Figura 2. Roles protección de datos personales
Figura 3. Ciclo de gestión interna o ciclo de vida los datos personales
14
15
ÍNDICE DE TABLAS
Tabla 1. Información base de datos 16
Tabla 2. Información del encargado del tratamiento 16
Tabla 3. Canales de atención 17
Tabla 4. Política de tratamiento y protección de datos 17
Tabla 5. Forma de tratamiento de la información 18
Tabla 6. Información contenida la base de datos categorías 1 y 2 18
Tabla 7. Información contenida la base de datos categorías 3 y 4 19
Tabla 8. Información contenida la base de datos categorías 5 y 6 19
Tabla 9. Seguridad de la información personal 21
Tabla 10. Sistema de gestión de seguridad de la información personal 21
Tabla 11. Seguridad de la información personal entorno al recurso humano 21
Tabla 12. Control de acceso a la información personal 21
Tabla 13. Procesamiento de información personal 22
Tabla 14. Seguridad en los sistemas de información personal 22
Tabla 15. Gestión de incidentes de seguridad de la información personal 22
Tabla 16. Auditoría de seguridad de la información personal 22
Tabla 17. Autorización del titular 23
Tabla 18. Transferencia internacional de datos 23
Tabla 19. Cesión de la base de datos 23
1
INTRODUCCIÓN
Todas las personas tienen derecho a conocer, actualizar y rectificar toda las
informaciones que se hayan recogido sobre ellas y que se almacenen o se recopile en las
bases de datos o archivos administrados por empresas privadas o entidades públicas.
Este derecho está contemplado en el primer Artículo de la Ley 1581 de 2012, conocida
como el Régimen General de Protección de Datos Personales, en el que, además, se
señalan los principios (Artículo 4) y deberes (Artículos 17 y 18) que tienen todos aquellos
que realicen el tratamiento de datos personales, para garantizar la protección del
derecho fundamental de habeas data.
Para facilitar la comprensión y el cumplimiento de dicha ley, ADALID CORP. pone a
disposición de las Entidades Distritales, el Documento de Metodología denominado
Ámbito 5 – Gobierno y Privacidad de la Información, para contribuir con el cumplimiento
de obligaciones establecidas en la Ley 1581 de 2012 y sus decretos reglamentarios2
por parte de los responsables y encargados del tratamiento de datos personales en el
Distrito y licenciamiento de software.
De acuerdo con el principio de “Responsabilidad demostrada” (Accountability en
inglés), “Los Responsables del Tratamiento de datos personales deben ser capaces de
demostrar, a petición de la SIC, que han implementado medidas apropiadas y efectivas
para cumplir con las obligaciones establecidas en la Ley 1581 de 2012…” 4
Así mismo, como señala la Organización para la Cooperación y el Desarrollo Económicos
-OCDE- “una entidad que recoge y hace tratamiento de datos personales debe ser
responsable del cumplimiento efectivo de las medidas que implementen los principios
de privacidad y protección de datos” 5.
2
Hoy compilados en el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo - Decreto 1074 de 2015.
4
Capítulo 25, Sección 6, Artículo 2.2.2.25.6.1. Demostración - Decreto 1074 de 2015.
5
La Superintendencia de Industria y Comercio -SIC- citando la OCDE en (SIC, 2015, p. 5).
7
2 DEFINICIÓN
Como señala la guía del modelo de
seguridad y privacidad de la información
del Ministerio de TIC en su capítulo 10:
3 OBJETIVO
GENERAL
Analizar el riesgo para la privacidad de la información y hacer evaluaciones de impacto
en la entidad. Contribuir al cumplimiento normativo, incluida la adopción de normas
inventario de bases de datos personales corporativas 9.
tratadas en el país, su finalidad, los canales
que se han dispuesto para atender las

4
“Uno de los objetivos del modelo de peticiones de los ciudadanos, las políticas
seguridad y privacidad de la Información de tratamiento de datos personales
es el de garantizar un adecuado adoptadas, el tipo de datos que contienen

5
manejo de la información... En esa y las transferencias y transmisiones de
línea el aseguramiento de los procesos información que se realizan cuando aplica OBJETIVOS
ESPECÍFICOS ALCANCE
relacionados con los sistemas de 7
.
información debe complementarse con
un enfoque de privacidad para garantizar Una base de datos personales es un
tanto la protección de los derechos a la conjunto organizado de datos personales Orientar a los responsables y Este documento desarrolla la metodología
intimidad y el buen nombre o la salvaguarda que sea objeto de tratamiento (Articulo encargados del tratamiento de datos para realizar el levantamiento del
de secretos profesionales, industriales o de 3, Ley 1581), bien sea en medio físico personales sobre el cumplimiento de inventarios de las bases de datos
información privilegiada de particulares en (p. ej.: papel) o en medio electrónico obligaciones específicas frente al manejo personales tratadas en el Distrito, que
poder de la administración como el acceso (archivos en cualquier formato como hojas de información personal. permita efectuar el reporte en el Registro
a la información pública cuando esta electrónicas, tratamiento de texto, con el Contribuir con el levantamiento de Nacional de Bases de Datos que lleva la
no se encuentre sometida a reserva…” uso o no de motores de bases de datos, inventarios de bases de datos personales, SIC, solicitado por Ley 158. Además de la
(Ministerio de TIC, 2015). etc.), sin importar la cantidad de datos identificando y clasificando los activos recopilación de buenas prácticas para el
personales. Por lo general y sin limitación de información contentiva de datos manejo del licenciamiento de software.
El Registro Nacional de Bases de Datos alguna, las empresas tienen las siguientes personales que tenga la Entidad, alineado
– RNBD- es el directorio público de las bases de datos: de empleados, clientes y con el Registro Nacional de Base de Datos Se toma como marco de trabajo lo
bases de datos con información personal, proveedores 8. (RNBD). establecido en la citada Ley 1581 de 2012,
sujetas a tratamiento que operan en el país Brindar una serie de buenas el Decreto 090 de 2018 - que modificó el
(Art. 25, Ley 1581), el cual es administrado prácticas para conseguir una óptima Decreto 1074 de 2015- y el capítulo 10
por la SIC y de libre consulta. Lo anterior gestión en el manejo del licenciamiento de del documento maestro del Modelo de
no implica que en dicho registro esté software y el uso de recursos informáticos. Seguridad y Privacidad de la Información
depositado el contenido de las bases – MSPI-, establecido por el Ministerio de las
de datos, ya que solamente incorpora el TIC.

7
www.sic.gov.co/registro-nacional-de-bases-de-datos
8 9
www.sic.gov.co/preguntas-frecuentes-rnbd Anexo técnico del concurso de méritos SGA-CM-07-2018 realizado por la Alta Consejería de TIC.

8 9
6 MARCO TEÓRICO
Y JURÍDICO
La Constitución Política de Colombia establece en su artículo 15 derechos y garantías
para quienes poseen la titularidad de información, tales derechos corresponden a la
protección a la intimidad personal y familiar, al buen nombre, y a conocer, actualizar y
rectificar la información que sobre ellos se haya recolectado, almacenado o haya sido
objeto de uso, circulación o supresión en bases de datos y archivos, tanto en entidades
públicas y como privadas.
El capítulo 25 del Decreto 1074 de 2015 reglamenta parcialmente la Ley 1581 y en el
capítulo 26 se reglamenta la información mínima que debe contener el Registro Nacional
de Bases de Datos, sus términos y condiciones.
Atendiendo un llamado de la industria que solicitó mayor orientación en el camino de
construir un Programa Integral de Gestión de Datos Personales, la Superintendencia de
Industria y Comercio publicó en el año 2015 la “Guía para la Implementación del Principio
de Responsabilidad Demostrada (Accountability)”10 .
A través de la circular externa número 1 del 11 de enero de 2017, se modificaron los
numerales 2.2, 2.3, 2.6 y 2.7 del capítulo segundo del título V de la circular única de la
SIC, relacionados con el procedimiento de inscripción en el Registro Nacional de Bases
de Datos (RNBD) y la información contenida en este, teniendo en cuenta la modificación
del plazo para inscribir las bases de datos, efectuada mediante el Decreto 1759 de 2016.
La SIC, en su circular externa 005 del 10 de agosto de 2017, fijó los estándares de un nivel
adecuado de protección en el país receptor de la información personal y las condiciones
para obtener una declaración de conformidad para realizar transferencia internacional
de datos personales.
Mediante Decreto 090 del 18 de enero de 2018, el Gobierno Nacional modificó el ámbito
de aplicación del Registro Nacional de Bases de Datos y planteó nuevos plazos para
que los sujetos que resulten obligados realicen la inscripción de sus bases de datos. Así
10
http://ticbogota.gov.co/sites/default/files/documentos/Guia-principio-de-responsabilidad-demostrada.pdf
10
mismo, el 11 de julio de 2018 se genera el Manual de Usuario del (RNBD) Versión 6.1.
De otra parte, la Dirección Nacional de Derecho de Colombia, establece que las
entidades u organismos públicos del orden nacional y territorial que tienen la obligación
6
de hacer la debida verificación al cumplimiento de las normas en materia de Derecho de
Autor que se aplican al software.
La Ley 603 del 2000 establece la obligatoriedad de las sociedades comerciales
de presentar Informes de gestión que contengan el estado de cumplimiento de las
normas sobre propiedad intelectual y derechos de autor; por esta razón, las directivas
1 y 2 de 1999 y 2002 respectivamente, dan instrucciones a los encargados de cada
entidad u organismos públicos de la adquisición de software, para que los programas
de computador adquiridos estén respaldados por los respectivos documentos de
licenciamiento o transferencia de propiedad.11
Dentro de las actividades realizadas en la consultoría adelantada por ADALID Corp., se
busca mediante este documento metodológico contribuir al cumplimiento normativo de
las entidades de la Alcaldía Mayor de Bogotá D.C. a través de instrumentos, que permitan
el tratamiento de datos personales bajo las directrices de la SIC y el cumplimiento
legislativo y normativo sobre el manejo del licenciamiento de software.
Para más información remítase al anexo técnico “Buenas Prácticas y Marco Normativo
de la Seguridad Digital” que complementa las guías.
11
http://derechodeautor.gov.co/las-entidades-publicas-mantienen-paso-firme-en-el-uso-de-software-legal
11
7
DESARROLLO DE LA
METODOLOGÍA
Este documento metodológico se soporta en la idea de avanzar en la creación de un
programa integral de gestión de datos personales, conforme al Artículo 2.2.2.25.6.1
del Decreto 1074 (equivalente al Artículo 26 del Decreto 1377 de 2013), en el cual el
regulador introduce en el sistema colombiano de protección de datos el criterio de la
responsabilidad demostrada como una obligación en cabeza de los responsables del
tratamiento. Igualmente el regulador dispuso que los responsables deben ser capaces
de demostrar, a petición de la SIC, que han implementado medidas apropiadas y
efectivas para cumplir con las obligaciones establecidas en la Ley 1571 de 2012.
Se toma igualmente como referencia la “Guía metodológica para el inventario y registro
de bases de datos personales ante a Superintendencia de Industria Comercio -SIC- de
Colombia” de Gilber Corrales Rubiano - Grupo de Investigación en “Teoría y gestión de
tecnologías de la información” de la Universidad Nacional de Colombia Sede Manizales.12.
7.1 Levantamiento de inventarios de bases de datos personales
A continuación, en la Figura 1. se muestran las cinco (5) etapas para desarrollar la
metodología de gestión de este ámbito y así poder orientar a los responsables y
encargados del tratamiento de datos personales, facilitando el levantamiento de
inventarios de bases de datos personales y obtener buenas prácticas para cumplir con
el registro nacional de bases de datos (RNDB) ante la SIC. La cual se complementa con
la optimización en el manejo del licenciamiento de software.
12
http://ticbogota.gov.co/sites/default/files/documentos/Guia-principio-de-responsabilidad-demostrada.pdf
12
Figura 1. Metodología ámbito 5- Gobierno y privacidad de la información
Inventario
Base datos RNDB
Personal
Fuente: ADALID CORP
Etapa 1. Gobierno
En esta etapa se hace alusión a la formulación de políticas y procedimientos para el
tratamiento, que reflejen una cultura respecto a la protección de los datos personales en
la Entidad. Además de un esquema de gobierno para su desarrollo
!
!
ADALID CORP considera un nuevo rol dentro de las entidades distritales: El Oficial
de Protección de Datos Personales - que por el momento lo puede suplir el Oficial de
Seguridad de la Información - quién es el funcionario responsable dentro de entidad de
coordinar y conocer todo lo relativo al tratamiento de datos personales.
Entre las funciones principales se resaltan las siguientes:
Impulsar la cultura de protección de datos de dentro de la Entidad.
Coordinar la definición e implementación de los controles del Programa Integral de
Gestión de Datos Personales, así como las acciones tendientes para su sostenibilidad.
Inscribir las bases de datos de la organización en el Registro Nación de Bases de
Datos y, actualizar la información según las instrucciones que en el futuro imparta la
Superintendencia de Industria y Comercio
13
 Acompañar y asistir a la Entidad en la atención de las visitas y los requerimientos que En este punto es importante presentar el ciclo de gestión interna o ciclo de vida de los
la realice la SIC. datos personales, conforme los posibles tratamientos señalados en el último numeral del
Artículo 3 de la Ley 158, como se ilustra en la figura 3.
Tener el control y la responsabilidad de la implementación transversal del Sistema
Integral de Gestión de Datos Personales. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos
personales, tales como la recolección, almacenamiento, uso, circulación o
Antes de avanzar, es importante resaltar los tres roles principales presentes en la gestión supresión
de datos personales: titular de los datos personales, el responsable (autorizado) de
tratarlos y el encargado por este último para tratarlos, como se ilustra en la figura 2. Figura 3. Ciclo de gestión interna o ciclo de vida los datos personales
El rol de encargo puede existir o no en una entidad. Por lo general se configura por la
tercerización de servicios por parte del responsable. Por ejemplo: cuando este contrata
un tercero para digitar o almacenar información que contiene datos personales.

7
Figura 2. Roles protección de datos personales
Autoriza
Responsable de
tratar los datos
personales

Encarga
Titular de Encargado de
los datos tratar los datos
personales personales

Datos personales Datos personales

Fuente: ADALID CORP

De cara al registro de las bases de datos en RNBD, se revisa la articulación de los

siguientes roles de usuarios en el aplicativo de la SIC (ver Planilla No.1 - Matriz de Dado que los tratamientos de los datos personales se pueden realizar en diferentes áreas
levantamiento de inventarios de base de datos personales) o dependencias de la entidad, se recomienda que a través de la Planilla No.1 - Matriz de
levantamiento de inventarios de base de datos personales Hoja “Categorías”, se realice
Usuario Responsable del Tratamiento un cruce de información de los procesos de la entidad versus el ciclo de vida de los datos
Usuario Administrador y personales.
Usuario Operativo
Lo anterior permitirá identificar los procesos y áreas responsables de los diferentes
Los tres roles son parte del equipo de trabajo del responsable del tratamiento de los tratamientos. Esta actividad requiere una reunión con los responsables de los procesos,
datos personales. En el caso del Distrito, el rol de Usuario Operativo es asignado a cada en la cual se puede proyectar la citada hoja para ubicar la base de datos en las diferentes
una de las entidades que lo conforman. casillas del formato. También se puede utilizar un papelógrafo y usar post-it con el nombre
de la base de datos para identificar los tratamientos y los procesos correspondientes.

14 15
7
A continuación, se indican los pasos a seguir en la Etapa 1: Paso 2. Describir información de los canales de atención para la gestión de tratamiento
de base de datos personales.
Paso 0. Describir información de las bases de datos personales.
A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos
A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos personales Hoja “Base de Datos” registre la siguiente información identificando:
personales Hoja “Base de Datos” registre la siguiente información identificando:
Tabla 3. Canales de atención
Tabla 1. Información base de datos

Click para ver información

Fuente: ADALID CORP

Paso 1. Consignar la información del encargado del tratamiento de base de datos

personales - en los casos en que exista esta figura - para la base de datos a reportar. Fuente: ADALID CORP

A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos

personales Hoja “Base de Datos” registre la siguiente información identificando: Paso 3. Registrar la política de tratamiento y protección de datos personales.

Tabla 2. Información del encargado del tratamiento A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos
personales Hoja “Base de Datos” registre la siguiente información identificando:

Tabla 4. Política de tratamiento y protección de datos

Fuente: ADALID CORP Fuente: ADALID CORP

16 17
 Tabla 7. Información contenida la base de datos categorías 3 y 4
Paso 4. Registrar la forma de tratamiento de la información.

A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos

personales Hoja “Base de Datos” registre la siguiente información identificando:

Tabla 5. Forma de tratamiento de la información

Click para ver información

Fuente: ADALID CORP

Fuente: ADALID CORP
Etapa 2. Levantamiento del inventario de bases de datos personales

En esta etapa se realizan entrevistas para identificar el estado de los procesos y de la Tabla 8. Información contenida la base de datos categorías 5 y 6
documentación relacionada con bases de datos y de archivos que contienen datos
personales.

Paso 5. Categorizar las bases de datos personales.

A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos

personales Hoja “Base de Datos” y caracterice la siguiente información identificando:
Tabla 6. Información contenida la base de datos categorías 1 y 2

Fuente: ADALID CORP

Fuente: ADALID CORP

18 19
 Tabla 9. Seguridad de la información personal

Etapa 3. Medidas de Seguridad

En esta etapa, se revisa y analiza la documentación e información recaudada

para conocer el contexto estratégico y normativo de la entidad, y así determinar el
cumplimiento de las exigencias legales de protección de Datos Personales en la entidad.

Fuente: ADALID CORP

También se valida el nivel de cumplimiento de los requisitos normativos de la Ley de
Protección de Datos Personales (Ley 1581 de 2012), los Decretos Reglamentarios y
demás normatividad vigente, así como los requisitos de seguridad de la información Tabla 10. Sistema de gestión de seguridad de la información personal
determinados por la Superintendencia de Industria y Comercio.

Paso 6. Adoptar medidas de seguridad

A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos Fuente: ADALID CORP
personales Hoja “Base de Datos”, se adoptan medidas de seguridad (controles)
adecuadas evitando los siguientes riesgos: Tabla 11. Seguridad de la información personal entorno al recurso humano

Adulteración de información (Integridad)

Pérdida de información (Disponibilidad)
Consultas o accesos no autorizados (Confidencialidad)

Aquí es importante acudir a los tratamientos identificados a través de la Planilla No.1 -

Matriz de levantamiento de inventarios de base de datos personales Hoja “Categorías”.
Para cada tratamiento identificado, se debe abordar medidas de seguridad (controles)
adecuadas siguiendo la metodología de tratamiento de riesgos de la entidad. Esto en los Fuente: ADALID CORP
casos de que no existieran dichos controles. Tabla 12. Control de acceso a la información personal

Fuente: ADALID CORP

20 21
 Tabla 13. Procesamiento de información personal Tabla 17. Autorización del titular

Fuente: ADALID CORP Fuente: ADALID CORP

Tabla 18. Transferencia internacional de datos

Tabla 14. Seguridad en los sistemas de información personal

Fuente: ADALID CORP Fuente: ADALID CORP

Tabla 15. Gestión de incidentes de seguridad de la información personal Tabla 19. Cesión de la base de datos

Fuente: ADALID CORP

Tabla 16. Auditoría de seguridad de la información personal Fuente: ADALID CORP

Fuente: ADALID CORP

22 23

7.2 Validar el Registro Nacional de Bases de Datos (RNDB)
Etapa 4. Efectuar el Registro Nacional de Bases de Datos (RNBD).
A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos
personales Hoja “Resultados”, se generan los reportes gráficos del cumplimiento de los
requisitos y antes de registrar las bases de datos es preciso realizar el inventario de las
bases de datos con información personal que tenga la entidad, bien sea en medio físico
(papel) o electrónico (listas o archivos en cualquier formato, bases de datos relacionales,
etc.).
!
!
ADALID CORP propone que una vez se finaliza el trámite del registro de cada base de
datos, la SIC envía el correo electrónico a través de la cuenta soporteRNBD@sic.gov.co a
más tardar 48 horas después de la finalización.
Puede suceder qué al ser un correo desconocido para la cuenta del usuario, llegue a la
bandeja de correo no deseado o spam.
Para evitar esto, agregue el correo de la SIC a su lista de contactos y en caso de que
lo borre accidentalmente, con el número de radicado que aparece en la consulta del
RNBD, en la opción “Inscribir bases de datos”, puede consultar la comunicación en la
página web de esta entidad (www.sic.gov.co).
Por la opción “Consulte aquí el estado de su trámite”, podrá obtener una copia de la
comunicación con el número de radicado del trámite adelantado, en la lupa que aparece
al final de la consulta.

Al efectuar este inventario se debe obtener la siguiente información:

Cantidad de bases de datos con información personal.

Cantidad de titulares por cada base de datos.
Información detallada de los canales o medios que se tienen previstos para atender
las peticiones y reclamos de los titulares.
Tipos de datos personales contenidos en cada base de datos a los que se realiza
Tratamiento, como: datos de identificación, ubicación, socioeconómicos, sensibles u
otros.
Ubicación de las bases de datos (servidor, PC, archivos físicos propios o externos,
etc.)
Los datos de identificación y ubicación de los Encargados del tratamiento.
Medidas de seguridad y/o controles implementados en la base de datos para
minimizar los riesgos de un uso no adecuado de los datos personales tratados.
Conocer si se cuenta con la autorización de los titulares de los datos contenidos en
las bases de datos.
Forma de obtención de los datos (directamente del titular o mediante terceros).

24 25
Etapa 5. Mejoramiento continuo 7.3 Buenas prácticas para licenciamiento de software

A continuación, se describen los siguientes pasos:

Paso 1. Identificar el software usado por la entidad bajo la modalidad de licenciamiento,

excluyendo todo aquel programa informático que, por disposición legal, la entidad sea
propietaria del mismo. Para ello, se debe realizar una lista que contenga lo siguiente:

Nombre del software

Versión del software
Propietario del software
Modo de adquisición del software

En esta etapa la gestión de modificación y actualización de las bases de datos se realiza
por la opción www.sic.gov.co. de “Modificar Datos” que aparece una vez finalizada cada
base de datos.
Esta opción solo aparece cuando no se ha iniciado la modificación de una base de datos
finalizada, una vez se ingrese por esa opción solo aparecerá “continuar registro” hasta
su nueva finalización, momento en el cual aparecerá nuevamente la opción “Modificar
datos” y así sucesivamente.
Figura 1. Opción “Modificar datos”
7
Tiempo de uso del software
Tamaño de almacenamiento en disco duro o en servidor
Número de usuarios que usan el software
Tipo(s) de Código(s) bajo el(los) cual(es) fue escrito el software
Seguridad que contiene el código del software (muy baja, baja, media, alta o muy
alta)
Vulnerabilidades conocidas del software dadas a conocer por el programador o por
el mercado.
Número de registro ante la Dirección Nacional de Derechos de Autor
Paso 2. Categorizar el software según su utilidad, dentro del que se debe tener en cuenta
la siguiente clasificación para definir de manera clara y concisa la función de este:

Función principal del software.

Funciones Secundarias (si aplica)
Procesos de la entidad asociados a la función principal del software
Nivel de importancia del software frente al proceso de la entidad asociado a este
(Muy baja, baja, media, alta o muy alta)
Nivel de seguridad del software
Fuente: www.sic.gov.co

Cada vez que se ingresa a modificar el registro, después de efectuar los cambios
correspondientes, es necesario hacer clic en el botón “Finalizar” para que se genere un
radicado consecutivo y así, llevar el histórico de modificaciones o actualizaciones de las
bases de datos registradas.

26 27
7
8
Paso 3. Revisar contractualmente el licenciamiento del(los) software(s) para este
proceso es importante que la entidad revise de forma cuidadosa y clasificar las licencias
de los programas informáticos de la siguiente manera: PLANTILLAS DOCUMENTALES
a.
Contrato mediante el cual fue adquirido el software:
Objeto del contrato
b. Valor
DE APOYO
c. Duración del contrato
d. Periodos de renovación a los que hay lugar (anual, semestral, trimestral o mensual)
e. Obligaciones generales
f. Obligaciones específicas
g. Condiciones especiales de uso (si las hay) De acuerdo con la adopción de normas corporativas vinculantes: Ley 1581 y el Registro
h. Efectos técnicos y jurídicos de la finalización del contrato (qué sucede en caso de nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio –
la terminación del contrato de licenciamiento del software bajo cualquier circunstancia y SIC, en donde se identifican los aspectos por trabajar en el levantamiento de inventarios
qué efectos tendría ello para la entidad). de bases de datos personales.

Se escogen las plantillas documentales adjuntas del presente documento metodológico

Revisión de acuerdo de licencia con el usuario final o EULA por sus siglas en inglés
End-Users License Agreement, propio del software en donde del mismo se obtenga y se
clasifiquen:
a. Derechos conferidos por el EULA
b. Restricciones indicadas por el EULA
c. Jurisdicción aplicable al software bajo el EULA
d. Usos correctos bajo el EULA
Paso 4. Recomendaciones de buenas prácticas para la gestión del licenciamiento
de software al interior de la entidad, en donde esta, siguiendo los pasos de los puntos
anteriores, se debe otorgar recomendaciones de mejora sí y solo sí:
a) La finalidad del software no se acopla a los estándares mínimos de seguridad de la
información proveídos en la plantilla documental de apoyo No. 5 de este mismo ámbito –
“Checklist para controlar el manejo del licenciamiento de software”.
b) El código de escritura del software no es del todo idóneo para la finalidad bajo el
cual trabaja.
c) El código de escritura del software no es seguro
d) EL software es demasiado vulnerable para los procesos de la entidad.
e) El contrato no cumple con los requerimientos contractuales necesarios para una
ejecución correcta y adecuada del software licenciado.
f) Existe riesgo alto de no continuidad de uno o varios procesos frente al uso del
software.
Todo lo anterior, de conformidad con el otorgamiento de las mejores recomendaciones
para que ello no suceda y que todo lo planteado corresponda a un manejo correcto de
las licencias sobre software.
y se utiliza para su diligenciamiento y personalización de acuerdo con las actividades
que desarrolla la entidad en su proceso de gobierno y privacidad de la información.
Para este ámbito se tiene previsto generar las plantillas documentales de apoyo, según el
anexo técnico, así:
8.1 Matriz de inventario de bases de datos personales
Mediante el inventario de bases de datos personales se específica y se reconoce cuáles
son los bases de datos personales de la Entidad. De esta forma se le da el tratamiento que
se requiere para una protección adecuada, cumplimiento con la legislación establecida
para ello.
Anexo 1: “Plantilla 1 - Matriz Bases Datos Personales.xlsx”.
8.2 Política de protección de datos personales de la entidad
La política establecida en el presente documento es aplicable en la Entidad Distrital
y debe utilizarse para todos los registros de datos personales que posee la Entidad
creados en el desarrollo de su objeto misional.
La Entidad se encarga directamente del tratamiento de los datos personales, atendiendo
e implementando los lineamientos y procedimientos idóneos para la protección de los
datos personales y la estricta confidencialidad de estos.
Anexo 2: “Plantilla 2 - Política de Protección de Datos.docx”

28 29

8.3 Autorización para el tratamiento de datos personales
El aviso de privacidad para el tratamiento de datos personales es una de las opciones de
comunicación verbal o escrita que brinda la ley para darle a conocer a los titulares de la
información.
Anexo 3: “Plantilla 3 - Formato de Privacidad y Autorización.docx”.
8.4 Formato de reclamación tratamiento de datos personales
El presente formato para su validez y atención debe ser firmado y presentado de forma
original en las instalaciones de la Entidad Distrital, quien como responsable de los
datos personales dará el trámite correspondiente al reclamo dentro de los términos
establecidos por la ley contados a partir del día siguiente a la fecha de su recibo.
Anexo 4: “Plantilla 4 - Formato Reclamación Tratamiento de Datos.docx”.
8.5 Documentos para controlar el uso de los recursos informáticos
El presente documento contiene una serie de directrices que han de ser conocidas y
aplicadas por los empleados y terceros en el uso de los sistemas informáticos, redes de
comunicaciones, telefonía y reprografía de la Entidad.
Anexo 5: “Plantilla 5 - Documentos Legales para Controlar el Uso de Recursos
Informáticos.docx”.
Así las cosas, se hace entrega formal del plan de trabajo del proyecto de la consultoría
mencionada.
30
9
GLOSARIO
A continuación, algunos de los términos más importantes sobre el Documento
Metodológico del Ámbito 5 Gobierno y Privacidad de la Información por orden alfabético 13
Amenaza informática. La aparición de una situación potencial o actual donde un agente
tiene la capacidad de generar una agresión cibernética contra la población, el territorio y
la Sociedad política del Estado. (Ministerio de Defensa de Colombia).
Autorización. Consentimiento previo, expreso e informado del Titular, para llevar a cabo
el tratamiento de datos personales.
Aviso de privacidad: comunicación verbal o escrita generada por el responsable,
dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le
informa acerca de la existencia de las políticas de tratamiento de información que le
serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que
se pretende dar a los datos personales.
Base de datos. Conjunto organizado de datos personales que sea objeto de
tratamiento.
13
https://www.itbusiness-solutions.com.mx/glosario-ciberseguridad
http://blog.cerounosoftware.com.mx/t%C3%A9rminos-de-seguridad-inform%C3%A1tica-glosario
31

Datos abiertos. Datos primarios o sin procesar. Que son puestos a
disposición de cualquier ciudadano. Con el fin de que terceros puedan
reutilizarlos y crear servicios derivados de los mismos.
Dato personal. Cualquier información perteneciente a una persona natural.
Datos biométricos. Parámetros físicos y/o rasgos físicos únicos o de
conducta de un individuo, que permiten «verificar» su identidad (huella digital,
iris, perfil o voz, entre otros).
Datos privados. Datos que por su naturaleza íntima o reservada solo son
relevantes para el titular.
Datos públicos. Datos contenidos en documentos públicos. Que no estén
sometidos a reserva y los relativos al estado civil de las personas.
Datos semiprivados. Datos que no tienen una naturaleza íntima. Reservada.
Ni pública y cuyo conocimiento o divulgación puede interesar no solo a su
titular. Sino a un grupo de personas o a la sociedad en general.
Datos sensibles. Datos que afectan la intimidad del titular o cuyo uso
indebido puede generar su discriminación.
Encargado del tratamiento. Persona natural o jurídica. Pública o privada.
Que por sí misma o en asocio con otros, realice el Tratamiento de datos
personales por cuenta del Responsable del Tratamiento.
Habeas data. Derecho a acceder a la información personal que se encuentre
en archivos o bases de datos; implica la posibilidad de ser informado acerca
de los datos registrados sobre sí mismo y la facultad de corregirlos.
Información. Se refiere a un conjunto organizado de datos contenido en
cualquier documento que los responsables y/o encargados del tratamiento
generen, obtengan, adquieran, transformen o controlen.
32
Información pública. Es toda información que el responsable y/o encargado
del tratamiento, genere, obtenga, adquiera, o controle en su calidad de tal.
Información pública clasificada. Es aquella información que estando en
poder de un sujeto responsable en su calidad de tal, pertenece al ámbito
propio, particular y privado o semiprivado de una persona natural o jurídica,
por lo que su acceso podrá ser negado o exceptuado, siempre que se trate
de las circunstancias legítimas y necesarias y los derechos particulares o
privados consagrados en la ley.
Información pública reservada. Es aquella información que estando en
poder de un sujeto responsable en su calidad de tal, es exceptuada de
acceso a la ciudadanía por daño a intereses públicos.
Mensajes de datos. Información generada. Enviada. Recibida. Almacenada
o comunicada por medios electrónicos ópticos o similares. Entre otros. El
Intercambio Electrónico de Datos (EDI por sus siglas en inglés, Electronic
Data Interchange). Internet. Correo electrónico. Telegrama. Télex o telefax.
Responsable del tratamiento. Persona natural o jurídica. Pública o privada.
Que por sí misma o en asocio con otros. Decida sobre la base de datos y/o el
Tratamiento de los datos.
Riesgo Informático. Posibilidad de que una amenaza concreta pueda
explotar una vulnerabilidad para causar una pérdida o daño en un activo de
información. (ISO Guía 73:2002).
Titular. Persona natural cuyos datos personales sean objeto de tratamiento.
Tratamiento. Consiste en la recolección, almacenamiento, uso, circulación o
supresión de datos personales.
 
33
 BIBLIOGRAFÍA 10
1. Colombia, Congreso de la República (2012). Ley 1581 de 2012, Por la cual se dictan disposiciones generales para la protección

de datos personales. Bogotá: En Diario Oficial, núm. 48.587, 18 de octubre de 2012.

2. Manual de Usuario del Registro Nacional de Bases de Datos – RNBD. (2016).

3. Ministerio de Tecnologías de la Información y las Comunicaciones. (2015). Modelo de Seguridad y Privacidad de la Información.

Bogotá D.C. Recuperado a partir de https://www.mintic.gov.co/gestionti/615/articles-5482_Modelo_de_Seguridad_Privacidad.pdf

4. Modelo, F., El, P., Obligaciones, C. D. E., & Reglamentarios, Y. S. U. S. D. (2012). Formatos modelo para el cumplimiento de

obligaciones establecidas en la ley 1581 de 2012 y sus decretos reglamentarios.

5. Felipe, P., Del, R., David, J., & Botero, D. (n.d.). Impresión: ASECUM.

6 Manual de Usuario del Registro Nacional de Bases de Datos – RNBD. (2016).

7. Superintendencia de industria y comercio -SIC-. (2015). Guía para la implementación del principio de responsabilidad demostrada.

Recuperado a partir de http://www.sic.gov.co/sites/default/files/files/Publicaciones/Guia-Accountability.pdf

34
 Elaborado por:
Documento Metodológico
Ámbito 5

36