1. INTRODUCCION
1.1. Mas del 50% de los ataques impactantes son causados por código malicioso o malware y por atacantes internos. Se deben tener en cuenta dos condiciones claves en el radar organizacional. Una que nos interroga sobre nuestra capacidad de prevenir y enfrentar las fallas técnicas propias de las plataformas de las aplicaciones que tenemos en la actualidad, y otra sobre las tendencias e inquietudes humanas frente a las necesidades, juicio sobre los valores y cultura organizacional. Toda vez que cualquier atentado contra la organización vulnere alguno de sus principios, como la confidencialidad, integridad o disponibilidad, sera objeto de sanciones o multas que pueden impactar de manera negativa la reputación y/o posición estratégica de la compañía. Por lo tanto es importante en su gestión dentro de las organizaciones que no solamente se preocupa por su calidad, seguridad y conservación, sino que incorpora una condición legal de corte constitucional, que demande el cumplimiento de un derecho fundamental, denominado en el ordenamiento jurídico internacional como Hábeas Data contemplado en la Ley estatutaria de protección de datos personales en Colombia.
2. ROLES FRENTE A LA PROTECCIÓN DE LOS DATOS
2.1. El desconocimiento de roles conlleva a la empresa a circunstancias inestables, para dar cumplimiento las condiciones que la normatividad interna o externa le impone frente a los datos. Los roles mas conocidos son los de creador o dueño, usuario y custodio de los datos. Al comprenderlos y ejecutarlos es menos probable que tengamos situaciones inesperadas o amenazas de fuga que no tengan claramente Identificados a los responsables y sus roles asociados.
2.2. EL CREADOR DE LOS DATOS
2.2.1. Es el individuo que establece las condiciones de uso de la misma y detalla los permisos de acceso y/o actualización, requeridos para mantener la integridad del registro.
2.3. EL USUARIO
2.3.1. Es el que acoje y cumple las condiciones que el creador ha impuesto sobre los datos generados. Teniendo en cuenta que todo atentado contra las reglas establecidas por el creador serán objeto de sanciones o cierre de acceso, sin perjuicio de acciones disciplinarias, penales o administrativas que se pueden derivar de la gravedad de las acciones del posible atacante.
2.4. EL CUSTODIO
2.4.1. Es la entidad o individuoque atiende con claridad las condiciones de conservacón y acceso que ha estableci
2.5. Reconocer y aplicar estos roles frente a los datos determina con claridad lo compromisos que cada individuo tiene, y los impactos que se pueden derivar del incumplimiento de los mismos, lo que necesariamente nos habla del régimen sancionatorio, que deben existir siempre y cuando los datos se encuentren claramente clasificados según su importancia corporativa o su nivel de confidencialidad.
3. PRINCIPIOS DE PROTECCIÓN DE DATOS Y DERECHOS
3.1. De acuerdo con el reglamento de la La Ley Orgánica de Protección de Datos Personales (LOPD) declara los principios fundamentales de la protección de la información personal, recojen aspectos asociados a la solicitud, el uso o almacenamiento de datos personales. • Calidad de los datos . • Consentimiento para el tratamiento de los datos y deber de ser informado. • Responsabilidad y encargado del tratamiento.
3.2. La norma citada entiende la calidad de los datos de la siguiente forma:
3.2.1. Se considera indispensable que el interesado conozca el fin para el cual se recogen sus datos y por lo tanto que estos serán sometidos a tratamiento. En el caso de finalización del tratamiento para el cual fueron recabados deberán ser cancelados y, por lo tanto, finalizar su utilización.
3.3. El interesado debe ser informado:
3.3.1. cuando sea solicitado un dato, deberá expresarse previamente y de forma clara el motivo de dicha solicitud y el tratamiento o finalidad para el cual será utilizado.
3.4. Seguidamente la LOPD establece que es el consentimiento del interesado:
3.4.1. Toda manifestación de la voluntad libre, inequívoca, especifica e informada mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Cualquier empresa que utilice datos sin que su dueño haya dado su consentimiento, se encontrara cometiendo una infracción y por lo tanto sujeta a sanción por parte de la agencia española de protección de datos AGPD.
3.5. El encargado del tratamiento , la norma lo define como:
3.5.1. La persona física o jurídica, autoridad publica, servicio o cualquier otro organismo que solo o conjuntamente con otros trata datos personales por cuenta del responsable del tratamiento.
3.6. Lo anteriormente mencionado fusiona las necesidades propias del estado para proteger la privacidad de la información personal, con las condiciones necesarias, requeridas para su acceso.
4. DETALLANDO UN PROGRAMA DE PRIVACIDAD DE DATOS
4.1. Se requiere especificar un programa concreto y sistemático que permita incorporar dentro del ADN corporativo la función de privacidad de los datos, no solo como un requisito de cumplimiento, sino como aquel reconocimiento constitucional de la privacidad, principio fundamental para el buen uso de la información de terceros. Un programa de privacidad de los datos es la base esencial de la incorporación de una distinción extendida de la seguridad de la información. Desarrollar un ejercicio de este tipo representa para una empresa la disposición de recursos, tiempo y esfuerzo, y es necesario definir una serie de etapas entregables que permitan avanzar en la formulación de la estrategia, para hacer de la protección de datos personales una real consideración corporativa para aumentar la confianza de los terceros frente a la forma en la cual una organización materializa la promesa de valor de su negocio.
4.2. Etapas y Entregables propuestas por el CIO Executive Board son:
4.2.1. 1. Establezca una estructura de gobierno. 2. Determine Leyes y regulaciones aplicables. 3. Desarrolle una valoración de datos. 4. Cree y distribuya políticas y procedimientos. 5. Despliegue el programa de entrenamiento y concientización. 6. Verifique los protocolos de seguridad de la información. 7. Desarrolle protocoles para transferencia de datos. 8. Asegure el cumplimiento de sus prácticas con los terceros involucrados. 9. Desarrolle un plan para atención de los incidentes de seguridad de los datos. 10. Monitoree y audite el desempeño del programa