133 Chalico Privacidad

@carloschalico @CarlosChalicoT #LatinCACS 133

Definiendo la Estrategia de

Privacidad

Carlos Chalico, LI, CISA, CISSP, CGEIT, CRISC, PbDA, ISO27000LA Director Eastern Region, Ouest Business Solutions Inc.

@carloschalico @CarlosChalicoT #LatinCACS

Objetivos

• Definir el concepto de privacidad y protección de datos personales.

• Conocer la estimación del estado de madurez de la privacidad y la protección de datos personales en el mundo.

• Reconocer los requerimientos regulatorios en materia de protección de datos personales que podrían ser enfrentados en América.

• Definir un modelo corporativo de cumplimiento con las regulaciones en la materia.


Agenda

• ¿Cómo llegamos hasta aquí? • Conceptos • ¿Cómo anda el mundo? • ¿Qué está buscando Latinoamérica? • Definiendo un modelo de cumplimiento • Conclusiones


¿Cómo llegamos hasta aquí?


El Derecho a ser Dejado Solo

• La búsqueda de la privacidad inició hace mucho tiempo

• “The Right to Privacy”, Diciembre 15 de 1890, Harvard Law Review, Harvard Law School

• Samuel Warren y Louis Brandeis • Uno de los ensayos más influyentes en la

historia de las leyes norteamericanas • Sigue siendo usado ampliamente como

referencia en diversos textos y foros


La preocupación en Europa

• Los eventos acontecidos en Europa entre 1933 y 1945 dejaron una marca importante en lo referente a la protección de datos

Fuente:http://ancienthebrewlearningcenter.blogspot.ca/2015/01/ibm-nazi-holocaust-and-veterans.html

http://ancienthebrewlearningcenter.blogspot.ca/2015/01/ibm-nazi-holocaust-and-veterans.html


Consecuencias de la guerra• La comunidad japonesa en los Estados

Unidos es reinstalada después del ataque a Pearl Harbor en 1943

Fuentes: http://www.digitalhistory.uh.edu/active_learning/explorations/japanese_internment/internment_menu.cfm http://www.archives.gov/education/lessons/japanese-relocation/ http://www.bookmice.net/darkchilde/japan/camp.html https://en.wikipedia.org/wiki/Anti-Japanese_sentiment_in_the_United_States

http://www.digitalhistory.uh.edu/active_learning/explorations/japanese_internment/internment_menu.cfm

http://www.archives.gov/education/lessons/japanese-relocation/

http://www.bookmice.net/darkchilde/japan/camp.html

https://en.wikipedia.org/wiki/Anti-Japanese_sentiment_in_the_United_States


Comunidades marginadas

Fuente: http://latinocalifornia.com/home/2012/02/denuncian-abusos-de-autoridades-a-indigenas-panamenos/ http://ayotzinapasomostodos.com/medio/ayotzinapa-las-huellas-de-los-militares/

http://latinocalifornia.com/home/2012/02/denuncian-abusos-de-autoridades-a-indigenas-panamenos/

http://ayotzinapasomostodos.com/medio/ayotzinapa-las-huellas-de-los-militares/


El gran hermano

Fuentes: http://www.i4u.com/2015/07/92967/hacking-team-hack-exposes-400gb-data http://www.marxist.com/the-case-of-chelsea-manning.htm http://www.wired.com/2014/08/edward-snowden/ http://waca.net.au/defending-julian-assange-is-defending-democracy/

http://www.i4u.com/2015/07/92967/hacking-team-hack-exposes-400gb-data

http://www.marxist.com/the-case-of-chelsea-manning.htm

http://www.wired.com/2014/08/edward-snowden/

http://waca.net.au/defending-julian-assange-is-defending-democracy/


Carnaval de datos

10

20

30

40

50

Billones

de

Ent

idad

es

2010 2015 2020

6.8 7.2 7.6

Punto de Inflexión

12.5

25

50 Billones de “cosas” conectadas

Adopción 5 veces más acelerada que la de

Electricidad y TelefoníaFuente: CISCO, 2011

Para 2013 había más dispositivos conectados a internet que personas sobre la Tierra

Facebook tiene más de 1 billón de usuarios

NYSE produce 1 Tb/día de datos transacciones

Cada 2 días creamos tantos datos como los que se crearon en toda la historia de la humanidad hasta 2003

Los datos almacenados en el mundo se duplican cada 18 meses

@carloschalico @CarlosChalicoT #LatinCACS La Privacidad

¿Ha muerto?

Fuente: www.baseballhq.com

http://www.baseballhq.com


Regulación creciente

Fuente: http://dlapiperdataprotection.com

http://dlapiperdataprotection.com/



Conceptos


Lo íntimo, lo privado y lo público

• Ernesto Garzón Valdés escribe un interesante texto al respecto - Íntimo. “Ámbito de los pensamientos propios,

de la formación de decisiones, de las dudas, de lo reprimido, de lo aún no expresado”

- Público. “Está caracterizado por la libre accesibilidad de los comportamientos y decisiones de las personas en sociedad”

- Privado. “Ámbito reservado a un tipo de situaciones o relaciones interpersonales en donde la selección de los participantes depende de la libre decisión de cada individuo”

Fuente: http://inicio.ifai.org.mx/Publicaciones/cuadernillo6.pdf

http://inicio.ifai.org.mx/Publicaciones/cuadernillo6.pdf


Privacidad

“La privacidad es el ámbito donde pueden imperar exclusivamente los

deseos y preferencias individuales. Es condición necesaria del ejercicio de la

libertad individual”

Fuente: http://inicio.ifai.org.mx/Publicaciones/cuadernillo6.pdf

Ernesto Garzón Valdés

http://inicio.ifai.org.mx/Publicaciones/cuadernillo6.pdf


Datos Personales

Relativos al individuo, que lo identifican o lo hacen identificable. Le dan identidad, lo describen, precisan su origen, edad, lugar de resdencia, trayectoria académica, laboral o pofesional. Además, también describen aspectos más sensibles como puede ser su forma de pensar, su estado de salud, sus características físicas, ideología o vida sexual, entre otros

Fuente: La Protección de Datos Personales en México; José Luis Piñar Mañas, Lina Ornelas (Coordinadores)


Los Datos Personales ¿Deben Protegerse?


Principios - Resolución de Madrid

• Lealtad y legalidad • Finalidad • Proporcionalidad • Calidad • Transparencia • Responsabilidad • Legitimación


¿Cómo anda el mundo?


Fuente: Ernst & Young México

La regulación en el mundo


Fuente: http://dlapiperdataprotection.com





Source: https://www.nymity.com/


https://www.nymity.com/

https://www.nymity.com/


Fuente: https://privacyassociation.org/


https://privacyassociation.org/

https://privacyassociation.org/


¿Qué está buscando Latinoamérica?


Panorama Latinoamericano


Definiendo un modelo de cumplimiento


Conociendo el estado actual

• Patrocinio • Políticas • Procesos • Estrategia de control interno • Seguridad de la Información • ¿Se trabaja desde el diseño? • Alcances geográficos • Ambiente regulatorio • Estructura organizacional • Modelo de negocio • Valores


Conociendo el estado actual

• Hay dos elementos maduros y valiosos, definidos por Michael Porter que pueden considerarse a este respecto: - El análisis de las cinco fuerzas - El análisis de La cadena de valor

Fuente: Michael Porter, “Competitive Strategy”, 1980


Valores• ¿Por qué debo actuar con ética? • Es importante reconocer la integración

de lo tecnológico y lo filosófico • Debemos reconocer que somos

organizaciones tecnosociales

Fuente: http://www.ioew.de/uploads/tx_ukioewdb/future-IOEW_CSR-Study_Summary.pdf

Patrocinado por: German Federal Ministry of Environment, Nature Conservation and Nuclear Safety

• Los datos personales deberían protegerse porque eso es lo correcto, no porque se nos obligue


Definiendo la política General de Privacidad

• La organización fija su posición frente al tema

• Muestra su compromiso de cumplimiento • Crea vínculos con otras normativas • Establece su punto de origen (diseño) • Confirma su relevancia • Cumple expectativas • Lo hace de forma:

- Simple - Clara



Interactuando con los interesados

• El consentimiento es un gran actor en las regulaciones de privacidad y se hace presente en la comunidad latinoamericana, su obtención es crítica

• Dependiendo de como se interactúe con los titulares, el consentimiento debe conseguirse de la forma correcta

• El vínculo con el aviso de privacidad es indiscutible

• El uso de herramientas electrónicas puede ser de gran valor



Interactuando con los interesados

• Facilitar el ejercicio de derechos ARCO • La comunicación de solicitudes de

titulares debe facilitarse • La infraestructura de sucursales o puntos

de acceso electrónicos deben facilitar esta interacción específica

• Los canales de interacción con clientes deben soportar este ejercicio también, sin perder de vista la necesidad de autenticación



Manejando el proceso interno

• Las respuestas deben generarse • En el tiempo que se exige • De la forma en que se espera • La especificación del derecho que quiera

ejercerse puede influir en la definición de las acciones a ejecutar

• El uso de un inventario de datos personales es altamente recomendable

• La afectación a plazos de conservación o al cumplimiento de otras regulaciones es relevante

• Listados de exclusiónFuente: La Protección de Datos Personales en México; José Luis Piñar Mañas, Lina Ornelas (Coordinadores)


Interactuando con las autoridades

• No solamente los titulares pueden hacer requerimientos

• Hay que ser especialmente cuidadosos con los requerimientos de las autoridades y actuar con agilidad

• Las sanciones por incumplimiento pueden ser significativas

• Ya se han aplicado varias • México parece llevar la cabecera en este

ámbito y el INAI, aunque ha sido conciliador, también ha mostrado que puede ser exigente



La normatividad interna

• ¿Qué más existe en la organización? - SOX - Basilea - Otras

• Los marcos referenciales - COBIT - ISO27000 - ISO31000 - ISO38500 - ISO9000 - ITIL - COSO - NYMITY



Manejando los datos personales

• ¿Cómo proteger lo que no se conoce? • Un modelo de gobierno de datos será de

mucha utilidad • La oficina de protección de datos

custodiará el inventario • Conocimiento de procesos • La preparación es responsabilidad de

todos • El mantenimiento también



Las relaciones con terceros

• Históricamente, este es un punto débil en las organizaciones

• Ejercicio de transferencia de riesgos • La oficina de protección de datos no

podrá identificar terceros sin ayuda de los dueños de proceso

• Las protecciones contractuales son relevantes

• Certificaciones o revisiones independientes: ISO, ISAE

• Involucramiento de auditoría interna • ISACA y CSA, fuentes valiosas



Respetando requerimientos

• Los consentimientos deben ser claros • Las cancelaciones respetadas • Las oposiciones obedecidas • Los listados de exclusión dan soporte a

estos eventos • Alimentarlos, mantenerlos actualizados y

usarlos es una responsabilidad de la organización manejada por la oficina de protección de datos personales

• Política de conservación y relaciones con otras regulaciones



Reaccionando ante emergencias

• Continuidad de la operación, respuesta a incidentes = planes existentes, probados y vigentes

• Casi el 50% de las regulaciones sobre privacidad en América Latina requieren que se comuniquen vulneraciones e impactos

• La tendencia es que esto se generalice • Ashley Madison, Target, Home Depot, son

algunos de los ejemplos recientes de este tipo de incidentes



Dando continuidad al proceso

• De nada servirán políticas, procedimientos, guías y actividades que no se mantengan vigentes

• La revisión frecuente es relevante • El papel de Auditoría Interna es crucial • Es recomendable definir también un

programa de revisiones externas • Entender el ambiente, el sector, las

necesidades de la gente y las tendencias generales, será de valor

• La actualización no parará



Nuestra gente y la creación de conciencia

• El elemento más débil de la cadena es la gente, aunque también es el que le a sentido

• La educación es importante

• La cultura indispensable

• Las comunidades vulnerables nuestro foco

Fuentes: La Protección de Datos Personales en México; José Luis Piñar Mañas, Lina Ornelas (Coordinadores) Wired



www.pantallasamigas.net

http://www.pantallasamigas.net


www.microsoft.com/es-xl/responsabilidadsocial/navegaprotegidomexico/default.aspx


http://www.microsoft.com/es-xl/responsabilidadsocial/navegaprotegidomexico/default.aspx


Otros procedimientos

• ¿Qué más debe hacerse • ¿Qué otros procesos son necesarios? • ¿Hay exigencias particulares en mis áreas

geográficas de alcance? • ¿Hay exigencias específicas para mi

sector? • ¿Varían los requerimientos en mis

interacciones con gobierno e iniciativa privada?

• ¿He actualizado mis avisos de privacidad?



Certificaciones y herramientas

• Personales • CISA • CISM • CISSP • CIPP • NYCE

• Corporativas • ISO27000 • BS10012 • NYCE


Conclusiones


Conclusiones

• La privacidad es un asunto de competencia organizacional

• Indisolublemente vinculado con otras áreas de control interno

• Incrustar la definición en el diseño

• Reconocer este como un proceso contínuo

• Entender nuestra responsabilidad

• ¿Ha muerto la privacidad?


BibliografíaCanadian Privacy Bla Bla Bla

Privacy and Big Data Francis daCosta

La Protección de Datos Personales en México José Luis Piñar Mañas Lina Ornelas

IBM and the Holocaust Edwin Black

ISACA - www.isaca.org

Privacy by Design - www.privacybydesign.ca

Operationalizing Privacy by Design - www.privacybydesign.ca/index.php/paper/operationalizing-privacy-by-design-a-guide-to-implementing-strong-privacy-practices/

http://www.isaca.org

http://www.privacybydesign.ca

http://www.privacybydesign.ca/index.php/paper/operationalizing-privacy-by-design-a-guide-to-implementing-strong-privacy-practices/


¿Preguntas?

Carlos Chalico LI, CISA, CISSP, CISM, CGEIT, CRISC, PbDLA, ISO27000LA

Director Eastern Region Ouest Business Solutions Inc.

+1(647)6388062 [email protected]

mailto:[email protected]


Carlos Chalico, LI, CISA, CISSP, CGEIT, CRISC, PbDA, ISO27000LA Director Eastern Region, Ouest Business Solutions Inc.

133 Definiendo la Estrategia de

Privacidad

Documents

133 Chalico Privacidad