jueves, 16 de agosto de 2018

La protección de Datos personales clave en la definición del MSPI

La definición de políticas y controles para el correcto manejo de la información personal de clientes, empleados y demás actores dentro de las actividades que desarrolla la entidad es una pieza clave en el MSPI.






Dentro de la metodología para la correcta definición del Modelo de Seguridad y Privacidad de la Información (MSPI), se hace énfasis en controles que se deben aplicar a la información de datos personales que la entidad maneja, lo anterior va en concordancia con la ley 1266 del 2008.

Un paso adicional y recomendado es reportar las bases de datos donde almacena esta información a la Superintendencia de industria y comercio (SIC), (Ley 1581 de 2012) entidad encargada por el Gobierno Nacional para proveer los mecanismos de control sobre estas bases de datos.

Para definir y catalogar las bases de datos que se deben reportar se aconseja seguir los lineamientos definidos por la SIC:
  • Finalidad de la Base de datos. 
  • Tipo de Norma que obliga su tratamiento. 
  • Ubicación física de la información. 
  • Tipos de datos personales almacenados.
  • Controles de seguridad sobre los datos.


Finalidad de la base de datos.

Identifique que procesos de la empresa están soportando estos datos personales, por cuanto tiempo mínimo los requiere almacenar y si son suficientes o esta almacenando más datos de los que requiere, algunos ejemplos de finalidades son: 
  • Actividades asociativas, culturales, recreativas, deportivas y sociales - Asistencia social 
  • Educación y cultura - Enseñanza Informal 
  • Finalidades varias - Procedimientos administrativos 
  • Gestión contable, fiscal y administrativa - Gestión de facturación 
  • Hacienda pública y gestión económico-financiera - Gestión tributaria y de recaudación 
  • Prestación de Servicios - Prestación de servicios de comunicaciones 
  • Recursos humanos - Gestión de personal 
  • Seguridad pública y defensa - Protección civil 
  • Servicios económico-financieros y seguros - Gestión de patrimonios 
  • Trabajo y bienestar social - Pensiones, subsidios y otras prestaciones económicas 
  • Finalidades varias – Custodia y gestión de información y bases de datos 
  • Gestión contable, fiscal y administrativa – Verificación de requisitos jurídicos, técnicos y/o financieros 
  • Gestión Técnica y Administrativa – Envío de comunicaciones 
  • Servicios de salud – Gestión de órdenes médicas y medicamentos 


Tipo de norma que obliga el tratamiento.

El tratamiento de datos personales sensibles o privados generalmente están sugestos a una norma o ley emitida por el entes gubernamentales.


Ubicación física de la información.

Aunque las bases de datos con datos personales pueden estar almacenados en forma física (carpetas, hojas impresas, cajas de cartón, etc.), o en medios magnéticos (computadores, USB, DVDs, etc.), es necesario conocer exactamente en que país están almacenados y, garantizar que el país exija los controles necesarios para la protección de estos datos personales.

NOTA: tenga en cuenta la definición del responsable y del encargado de los datos personales ya que dependiendo del rol también dependerá las responsabilidades que tenga ante una posible queja en la SIC.


Tipos de datos almacenados.

Es muy importante que identifique y tenga clara los diferentes tipos de datos personales definidos por la ley, entre mayor sea su sensibilidad; mayores controles debe garantizar para asegurar sus seguridad y evitar multas o sanciones que puede generar la SIC.
Controles de seguridad sobre los datos:

Es muy importante que identifique dentro de su empresa los riesgos a los que pueden estar expuestos los datos personales que administra, riesgos que pueden ocasionar el mal uso, la pérdida o el robo de los mismos para que así pueda definir políticas y controles tendientes a garantizar su correcta seguridad.

Estos controles pueden definirse dependiendo entre otros factores: el tipo de base de datos, la forma en que se tiene acceso a esta información, las personas autorizadas para manipularla, el tiempo que se requiere esta información, los fines para los que se usan, etc.



Fuentes: