Accountability & compliance en el tratamiento de datos personales Nelson Remolina Angarita
conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”
“Todas las personas tienen derecho a (…)
“En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución (15)
Nelson Remolina Angarita
2
36%
*Consulta realizada sistema de trรกmites a 25 de enero de 2019
* 31 diciembre de 2018
Ă“rdenes
1772
Sanciones
737
TOTAL
2509
*Consulta realizada sistema * 31 de Diciembre de 2018de trĂĄmites a 25 de enero de 2019
AĂ‘O
???
$$$
2010
28
$669.500.000
2011
200
$2.350.748.200
2012
144
$1.431.484.200
2013
60
$3.217.448.000
2014
46
$1.892.968.000
2015
67
$4.442.793.250
2016
57
$5.564.590.785
2017
60
$5.399.688.542
2018
75
$5.723.806.408
TOTAL
737
$30.693.027.385
*Consulta realizada sistema de trĂĄmites a 31 de diciembre de 2018
AĂąo
1266
1581
2014
$1.512.280.000
$380.688.000
2015
$3.862.878.250
$579.915.000
2016
$2.827.454.435
$2.737.136.350
2017
$4.141.143.340
$1.258.545.202
2018
$2.713.690.982
$3.010.115.426
* 31 de diciembre de 2018
* 31 de diciembre de 2018
* 31 de diciembre de 2018
*Consulta realizada sistema de trรกmites a 31 de diciembre de 2018
Ley 222 de 1995
Los administradores deben: • Obrar con la diligencia de un buen hombre de negocios • “Velar por el estricto cumplimiento” de la ley (22)
Se presume su responsabilidad en casos de violación de la ley Responden solidaria e ilimitadamente (24)
http://www.worldcomplianceassociation.com/que-es-compliance.php
Identificaciรณn Control Monitoreo Mediciรณn
Sistema de administraciรณn de los riesgos asociados al tratamiento de datos personales
TecnologĂa Negocio Procesos
InformaciĂłn Marco legal
Accountability & Compliance
14
Compliance es un término que hace referencia a la gestión de las organizaciones conforme a las obligaciones que le vienen impuestas (requisitos regulatorios) o que se ha autoimpuesto (éticas)” . “
Cfr. Bonatti, Francisco. Va siendo hora que se hable
correctamente de compliance (III). Entrevista del 5 de noviembre de 2018 publicada en Canal Compliance
“la autorregulación sólo redundará en beneficio real de las personas en la medida que sea bien concebida, aplicada y cuente
con mecanismos que garanticen su cumplimiento de manera
no se constituyan en meras declaraciones que
simbólicas de buenas intenciones sin que produzcan efectos concretos en la persona cuyos derechos y libertades pueden ser lesionados o amenazados por el tratamiento indebido de sus datos personales” Red Iberoamericana de Protección de Datos (RIPD), 2006
ya no vale solo intentar cumplir” la ley sino que las organizaciones “deben asegurarse que se cumple y deben “
generar evidencias de sus esfuerzos por cumplir y hacer cumplir a sus miembros, bajo la amenaza de sanciones si no son capaces de ello. Esta exigencia de sistemas más eficaces impone la creación de funciones específicas y metodologías de compliance”. Cfr. Bonatti, Francisco. Va siendo hora que se hable correctamente
compliance (III). Entrevista del 5 de noviembre de 2018 publicada en Canal Compliance
de
Año 2006
Énfasis Valor agregado + mecanismos para medir el nivel de eficacia del cumplimiento de la ley y el grado de protección de los datos personales
2009
Medidas necesarias para cumplir la ley y evidenciar dicho cumplimiento
2013
Programa gestión de privacidad
2016
Asegurar y demostrar cumplimiento + verificar eficacia de la medidas adoptadas
2017
2013
Mecanismos necesarios para acreditar el cumplimiento + revisar y evaluar con el objeto de medir su nivel de eficacia Demostración (26):Capacidad de demostrar medidas apropiadas y efectiva de manera proporcional a ciertos factores PIE (27): Medidas consistentes con instrucciones SIC
Conferencia Internacional de APDP
PROGRAMA INTEGRAL DE GESTION DE DATOS PERSONALES
I.
COMPROMISO DE LA ORGANIZACIÓN
II.
Desde la alta gerencia o Designar responsable de la TDP: persona o área o Aprobar y monitorear el programa de GDP o Informar periódicamente sobre su ejecución o Destinar recursos Oficial de protección de datos Presentación de informes a directivos, accionistas.. o seguimiento y ejecución o Auditoría interna para verificar cumplimiento
CONTROLES DEL PROGRAMA
Procesos Inventario de bases de datos Políticas. Principios TDP Administracion de riesgos asociados al TDP
III.
Identificación de riesgos Medición: posibilidad de ocurrencia e impacto Control: suficientes, eficientes y oportunos Monitoreo: permanente para velar que las medidas son efectivas
Formación y educación Protocolos respuesta incidentes de seguridad Gestión de encargados en las TID Comunicación externa
EVALUACIÓN Y REVISIÓN PERMANENTE
IV. DEMOSTRAR CUMPLIMIENTO
proactivo, va Del ingl. proactive, creado por oposiciĂłn a reactive 'reactivo'. 1. adj. Psicol. Que toma activamente el control y decide quĂŠ hacer en cada momento, anticipĂĄndose a los acontecimientos. Persona, empresa proactiva. Apl. a pers., u. t. c. s. http://dle.rae.es/?id=UDj79Cj
proactivo 1.adjetivo 2.[persona] Que tiene iniciativa y capacidad para anticiparse a problemas o necesidades futuras. 3."de los directivos y gerentes se espera que sean proactivos "
La mejor forma de proteger derechos humanos es evitar su vulneraciรณn. Hacia un enfoque proactivo, no reactivo. Preventivo, no correctivo. Por una protecciรณn real/efectiva y no simbรณlica/formal
El problema no es sólo tecnológico o legal, estamos en una etapa de transición donde aún existe mucho desconocimiento y desconfianza sobre los negocios electrónicos o virtuales. (…) el precio no es el elemento esencial que impulsará los negocios a través de medios electrónicos sino la
confianza que se genere en los mismos.
(Reichel & Shefter. Harvard Business Review. Jul-Ago, 2000)