Transcript Slide 1
Seguridad, Información Digital y el problema de los Datos Personales en la Nube. Dra. Flavia Meleras Bekerman Email: [email protected] www.isaca.org.uy AGENDA: 1. Ley de Protección de Datos Personales…4 años después. 2. Cloud Computing: Protección de Datos y sus desafíos legales. www.isaca.org.uy Aplicación de la Ley de Protección de Datos Personales, …4 años después. www.isaca.org.uy Su empresa ya cumplió con la Ley de Protección de Datos Personales ? • La consultora Kroll en sociedad con The Economist Intelligence Unit, destacó que el 75% de las empresas registraron algún tipo de violación de Seguridad en el año 2011. • Un 70% de los entrevistados (1275 ejecutivos de todo el mundo) identificaron que las violaciones vinieron de un funcionario interno o proveedor. • El 23% de las violaciones correspondieron a fugas de datos personales de la empresa o de los clientes. www.isaca.org.uy www.isaca.org.uy PRINCIPIOS y OBLIGACIONES CORRELATIVAS DE LAS EMPRESAS: Legalidad Veracidad Responsabilidad Reserva Seguridad www.isaca.org.uy Finalidad Previo Consentimiento Informado www.isaca.org.uy Unidad Reguladora y de Control de Datos Personales (URCDP) podrá aplicar las siguientes sanciones a los RESPONSABLES y a los ENCARGADOS de TRATAMIENTO: A)Realizar las inspecciones incluso a terceros B) Solicitar ante la justicia competente las medidas pertinentes, cuando exista riesgo de pérdida de la prueba. C) Comunicar las actuaciones al responsable de la base de datos o encargado de tratamiento a efectos de otorgarle vista (10 días) www.isaca.org.uy Artículo 32.- Multas. El monto tope de las multas hasta 500.000 UI (Unidades Indexadas). Artículo 33.- Suspensión de la base de datos hasta por 6 días hábiles. www.isaca.org.uy Resolución URCDP sobre cómo graduar las sanciones administrativas (acorde cambios Ley 18.719 de Presupuesto Nacional 2010 - 2014 ): GRADUACIÓN: LEVE, GRAVE o MUY GRAVE. Enumeración no taxativa de las eventuales conductas infractoras y su correlativa sanción a imponer. Se atenderá a la gravedad, reiteración o reincidencia. www.isaca.org.uy www.isaca.org.uy SE ACTUALIZARON BASE DE DATOS YA INSCRIPTAS (Resolución 1647/2010) Decreto 424/09 NUEVAS BASES DE DATOS INSCRIBIRSE HASTA 90 DÍAS DESP. CREACIÓN URCDP DENUNCIAS ON LINE O PRESENCIAL PUBLICADA LISTA de RESPONSABLES BASE DE DATOS YA INSCRIPTAS LISTA PUBLICADA PAISES CON NIVEL DE PROTECCIÓN ADECUADO www.isaca.org.uy DICTAMEN URCDP 6/2011 Compatibilidad facultades inspección URCDP y deber confidencialidad empresa de sus clientes por secreto profesional SENTENCIA TCA 353/2011 Destitución funcionario BROU por brindar información personal a terceras personas: CULPA GRAVE SENTENCIA TCA 340/2011 Suspensión funcionario OSE por utilizar sistema de OSE para descargar videos y fines personales. Sin goce sueldo. SENTENCIA CIVIL 2 TURNO 41 / año 2009 Condenada empresa por D y P por incluir a persona en BD de Deudores cuando ya no lo era. www.isaca.org.uy ESTADISTICAS 2011 – URCDP Fuente: MemoriaURCDP 2011 OBSERVACIONES CONSULTAS 42 8 SUSPENSIÓN DE BASES DE DATOS DE Patentes OFICIO DENUNCIAS MULTA 106 1 www.isaca.org.uy 106 Denuncias: PRINCIPALES MOTIVOS: SPAM VIDEOVIGILANCIA sin aviso Inclusión en base de datos en instituciones crediticias Comunicación de datos sin permiso Derecho al olvido debido a la inclusión en un sitio web oficial de una sanción que ya caducó www.isaca.org.uy DELITOS PENALES relacionados : Robo Identidad Delito de Revelación de Secretos www.isaca.org.uy Hurto especialmente agravado por copia video de Seguridad Daños y Perjuicios por Difamación Cloud Computing www.isaca.org.uy www.isaca.org.uy La evolución tecnológica y la de los negocios no puede estar disociada de la evolución y la seguridad jurídica. www.isaca.org.uy ¿Qué es el Cloud Computing? Modelo de prestación de servicios tecnológicos que permite el acceso bajo demanda y a través de la red a un conjunto de servicios: correo electrónico, almacenamiento de documentos, aplicaciones varias de contabilidad, bases de datos, compartir documentación e información con clientes sin necesidad de disponer de servidores o software ya que los datos se encuentran en algún lugar de Internet. www.isaca.org.uy www.isaca.org.uy www.isaca.org.uy www.isaca.org.uy UBICACIÓN DE LOS DATOS PERSONALES… riesgos en cuanto a su proteccióN Datos almacenados “en la nube” se encuentren físicamente en un momento en un servidor ubicado en cualquier punto del planeta y rápidamente en otro. Ventajas: En materia de seguridad a quien quiera violarla se le dificulta seguir esos datos que mudan permanentemente de servidor. Desventajas: DIFICULTAD en el caso de que los servidores se encuentren en terceros países en los que no exista un nivel de protección de datos equivalente al Europeo o al Convenio de Porto Seguro. www.isaca.org.uy •SI DATOS PERSONALES se transmiten y tratan fuera de Uruguay •Responsable establecido en Uruguay •hay TRANSFERENCIA INTERNACIONAL DE DATOS y hay casos que se debe solicitar autorización de URCDP. No se considera comunicación o cesión de datos el acceso por parte de un Encargado de tratamiento, que resulte necesario para la prestación de un servicio al responsable, salvo que este acceso implique la existencia de un nuevo vínculo entre el encargado del tratamiento y el titular. www.isaca.org.uy Ranking de los 3 países hacia donde se realiza la mayor cantidad de transferencias internacionales de datos desde Uruguay como país de origen: www.isaca.org.uy ENCARGADO DE TRATAMIENTO Prestación de servicios informatizados de datos personales. Artículo 30. Cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aún para su conservación. Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa ….en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años. www.isaca.org.uy MEDIDAS DE SEGURIDAD. El Responsable de la base de datos (RP)deberá establecer exactamente las MEDIDAS TECNICAS y ORGANIZATIVAS que el Encargado de Tratamiento (ET) deberá adoptar: www.isaca.org.uy • NIVEL DE SEGURIDAD ACORDE AL TIPO DE DATOS PERSONALES TRATADOS • ET REALIZAR COPIAS DE SEGURIDAD PERIÓDICAS (SEGURIDAD FÍSICA Y LÓGICA) • ET ESTABLECER MECANISMOS SEGUROS DE AUTENTICACION PARA EMPRESA Y SUS CLIENTES •CIFRAR LOS DATOS • PROCEDIMIENTOS DE RECUPERACIÓN, MIGRACIÓN Y BORRADO DE DATOS AL FINALIZAR RELACIÓN CONTRACTUAL • POSIBILIDAD TERCERO INDEPENDIENTE AUDITE MEDIDAS DE SEGURIDAD DEL ET • ET INFORMAR VULNERACIONES DE SEGURIDAD Y CORREGIRLAS www.isaca.org.uy www.isaca.org.uy Garantías y cláusulas INFALTABLES en un contrato ENTRE EMPRESA con el prestador de CLOUD ( o sea entre RD y ET): • Disponibilidad permanente del servicio por el ET, • Portabilidad de la información: entrega final con opción para guardar empresa o trasladar a otro proveedor, • Jurisdicción aplicable en función de la territorialidad, • ET asumir su responsabilidad como Encargado de Tratamiento frente a eventuales sanciones • ET mantener indemne al RD, • Gestión de contrataciones para el tratamiento de la información por el Responsable no por el ET. www.isaca.org.uy •Seguridad de los datos respecto a los empleados del prestador del servicio de Cloud. DELITO, •Revelación de Secretos. ACTUALIZAR CONTRATOS DE SERVICIOS SI ESTOS YA EXISTIERAN. www.isaca.org.uy ¿Qué legislación es aplicable al contrato entre su empresa y el Proveedor de Cloud respecto a Protección de Datos Personales? La contratación de un servicio Cloud Computing por una empresa URUGUAYA, que trate datos según art 3 del Decreto 414/09, debe observar el cumplimiento de todos los requerimientos establecidos en la LPDP. www.isaca.org.uy JURISDICCION APLICABLE ??? PROVEEDOR CLOUD COMPUTING www.isaca.org.uy EMPRESA URUGUAYA CONCLUSIONES www.isaca.org.uy Como empresa tenemos que proteger nuestros datos personales y los que los depositaron en nuestra confianza (CLIENTES), porque el ladrón digital va detrás de esa riqueza .... www.isaca.org.uy ¿Preguntas? Muchas Gracias Dra. Flavia Meleras Bekerman [email protected] www.isaca.org.uy