RIESGO LEGAL EN TEMAS

VINCULADOS A LA

TECNOLOGÍA

RIESGO

“Es la posibilidad de que sucedaalgún evento que tendrá unimpacto sobre los objetivosinstitucionales o del proceso. Seexpresa en términos deprobabilidad y consecuencias.”

Guía para la administración del riesgoDepartamento Administrativo de la Función Pública (DAFP)

RIESGOS NORMATIVOS

“Son aquellos que se relacionantanto con los daños generadospor la violación de unaprescripción u obligación legal,incumplimientos a políticasinternas.”

NTD-SIG 001:2011NORMA TÉCNICA DISTRITAL DEL SISTEMA INTEGRADO DE GESTIÓN PARA LAS ENTIDADES YORGANISMOS DISTRITALES

Marco LegalLey 87 de por le cual se establecen normas para le ejercicio de control interno en la entidades y

organismo del Estado

Proteger los recursos dela organización,buscando su adecuadaadministración anteposibles riesgos que loafecten.

Definir y aplicar medidaspara prevenir los riesgos,detectar y corregir lasdesviaciones que sepresenten en la organizacióny que puedan afectar ellogro de sus objetivos.

Literal A – Articulo 2° – Ley 87 de 1993 Literal F – Articulo 2° – Ley 87 de 1993

RIESGOS LEGALES PROTECCION DE DATOS PERSONALES

Dato personal: Cualquier información vinculada o que pueda

asociarse a una o varias personas naturales determinadas o

determinables. ( literal C, Art 3° Ley 1581 de 2012)

Ámbito de Aplicación

Los principios y disposiciones contenidas en laley 1581 de 2012 serán aplicables a los datospersonales registrados en cualquier base dedatos que los haga susceptibles de tratamientopor entidades de naturaleza pública oprivada.

(Articulo 2°, Ley 1581 de 2012)

Derecho Fundamental

Todas las personas tienen derecho a suintimidad personal y familiar y a su buennombre, y el Estado debe respetarlos y hacerlosrespetar. De igual modo, tienen derecho aconocer, actualizar y rectificar las informacionesque se hayan recogido sobre ellas en bancos dedatos y en archivos de entidades públicas yprivadas.

(Articulo 15° de la Constitución Política)

NORMATIVIDAD DE PROTECCION DE DATOS PERSONALES

CONSTITUCION POLITICA ART 15°

LEY 1266 DE 2008 LEY 1581 DE 2012

Decreto 1377 de 2013Decreto 886 de 2014

Circular 01 de 2016Circular 01 de 2017

Decreto 1115 de 29 de Junio de 2017

SancionesLa Superintendencia de Industria y Comercio podrá imponer a losResponsables del Tratamiento y Encargados del Tratamiento lassiguientes sanciones:

• Multas de carácter personal e institucional hasta por el equivalente dedos mil (2.000) salarios mínimos mensuales legales vigentes almomento de la imposición de la sanción.

• Suspensión de las actividades relacionadas con el Tratamiento hastapor un término de seis (6) meses. En el acto de suspensión se indicaránlos correctivos que se deberán adoptar;

• Cierre temporal de las operaciones relacionadas con el Tratamiento unavez transcurrido el término de suspensión sin que se hubieren adoptadolos correctivos ordenados por la Superintendencia de Industria yComercio;

• Cierre inmediato y definitivo de la operación que involucre elTratamiento de datos sensibles.

Las sanciones indicadas anteriormente sóloaplican para las personas de naturaleza privada.En el evento en el cual la Superintendencia deIndustria y Comercio advierta un presuntoincumplimiento de una autoridad pública alas disposiciones de la presente ley, remitirá laactuación a la Procuraduría General de la Naciónpara que adelante la investigación respectiva.

Ley 734 de 2002 – Código Disciplinario Único

Parágrafo del Articulo 23° Ley 1581 de 2012.

ENTIDAD VALOR MULTA

GROUPON COLOMBIA S.A.S 6.160.000

ADMINISTRADORA DE FONDOS DE PENSIONES Y CESANTIAS PROTECCIÓN S.A 21.560.000

ALMACENES ÉXITO S.A 36.960.608

JOSÉ FRANCISCO GARCIA CALUME 18.480.000

RECORD DE COLOMBIA S.A- BANCO NACIONAL DE CELULAR MADRE 123.200.000

MERCADO LIBRE COLOMBIA LTDA 15.400.00

CASA EDITORIAL EL TIEMPO S.A 30.800.000

TELEEXPRESS INTER S.A.S 30.800.00

COMPAÑIA NACIONAL DE CHOCOLATES S.A.S 96.652.500

EMPRESA DE TELECOMUNICACIONES DE BUCARAMANGA S.A E.SP TELEBUCARAMANGA 322.175.000

DIRECTV COLOMBIA LTDA 32.217.500

COLOMBIA TELECOMUNICACIONES S.A E.S.P 6.443.500

HOTEL SAN JUAN S.A.S 25.774.000

GESTIÓN COMPETITIVA S.A.S 32.217.500

SUPERGIROS S.A.S 241.309.250

SERGIO GUZMÁN MUÑOZ 10.341.825

ICETEX E INTERAUDIT S.A.S 68.945.500

IBI COMPANY S.A.S 10.341.825

COLMEDICA 1.034.182.500

SANCIONES IMPUESTAS A LA FECHA

No tramitar solicitudes de supresión de datos personales 1

No informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los

Titulares.

No garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data

No adecuar los procedimientos de recolección de datos a los definido en la ley

No adecuar un manual interno de políticas y procedimientos para el tratamiento de los datos personales

No informar al Titular sobre la finalidad de la recolección y los derechos que le asisten

No Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento

No Tramitar las consultas y reclamos formulados

No solicitar ni conservar copia de la autorización

1

2

2

3

7

8

9

11

PRINCIPALES VIOLACIONES QUE GENERAN SANCION

RIESGO LEGAL – DELITOS INFORMATICOS

Ley 1273 de 2009(Protección de la Información y de los Datos)

Acceso Abusivo a un sistema Informático

Daños Informáticos

Obstaculización Ilegitima de Sistemas Informáticos o Red de Telecomunicaciones

Suplantación de Sitios Web para capturar datos

personales

Uso de Software Malicioso

Violación de Datos Personales

Interceptación Ilegitima de datos

Informáticos

Acceso Abusivo

Se Aprovecha la vulnerabilidad en los sistemas informáticos para acceder sin estar autorizado

Obstaculización Ilegitima de Sistema Informático o Red de Telecomunicación

Bloquear de Manera Ilegal un Sistema o Impide el ingreso al sistema de información

DAÑO INFORMATICOCuando sin estar autorizado se modifica, daña altera, borra,destruye o suprime datos

SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES

RIESGOS LEGAL – DERECHOS DE AUTOR

Programa de Ordenador (software) Expresión deun conjunto de instrucciones mediante palabras,códigos, planes o en cualquier otra forma que, alser incorporadas en un dispositivo de lecturaautomatizada, es capaz de hacer que unordenador -un aparato electrónico o similar capazde elaborar informaciones-, ejecute determinadatarea u obtenga determinado resultado.(Articulo 3° Decisión 351 de Cartagena)

“Instruir a las personas encargadas en cada entidad de laadquisición de software para que los programas decomputador que se adquieran estén respaldados por losdocumentos de licenciamiento o transferencia depropiedad respectivos”.

(Numeral 1 – Directiva Presidencial 002 de 2002)

“El programa se distribuye bajo el sistema pruebe antes decomprar. Esto significa que cualquiera puede usar elprograma durante un período de prueba máximo de 40 díassin coste alguno. Al finalizar este período de prueba, elusuario DEBE comprar una licencia para continuarusando el programa.”

Tomado de la Licencia en(https://www.winrar.es/comprar/licencia )

RESOLUCIÓN 305 DE 2008Por la cual se expiden políticas públicas para las entidades,organismos y órganos de control del Distrito Capital, enmateria de Tecnologías de la Información y Comunicacionesrespecto a la planeación, seguridad…”

ARTÍCULO 11. MARCO LEGAL. Las entidades, organismos y órganos de controldel Distrito Capital disponen de un marco de referencia de las mejores prácticaspara el desarrollo e implementación del Sistema de Gestión de Seguridad de laInformación, basados en las recomendaciones de las normas internacionales: NTC-ISO/IEC 27001 que establece los requisitos del Sistema de Gestión de Seguridadde la Información y la norma NTC/ISO IEC 17799 con su equivalente NTC-ISO/IEC27002 que establece las mejores prácticas para laimplementación del Sistema de Gestión de Seguridad dela Información y demás normas concordantes, las cualesson de obligatoria observancia por parte de los entespúblicos distritales.

A.18.1 Cumplimiento de los requisitos legales

A.18 CUMPLIMIENTO

A.18.1.1 Identificación de la Legislación aplicable

DEPENDE DE CADA ENTIDAD

A.18.1.2

A.18.1.3

A.18.1.4

A.18.1.5

Derechos de Propiedad Intelectual

Protección de los registros de la Organización

Protección de los datos y privacidad de la información personal

Prevención del uso inadecuado de los servicios de procesamiento de información

Decisión 351(Acuerdo de Cartagena)

Ley de 1273 de 2009(Ley de Delitos Informáticos)

Ley 1581 de 2012Decreto 1733 de 2013

Artículo 15 de la CP

Ley de 1273 de 2009

ANEXO A – ISO 27001: 2013

GRACIAS POR SU ATENCION