Transcription of EN EL TRATAMIENTO DE DATOS PERSONALES - SIC
1 2020 DELEGATURA para LA PROTECCI N DE DATOS PERSONALESSUPERINTENDENCIA DE INDUSTRIA Y COMERCIOEN EL TRATAMIENTO DE DATOS PERSONALESINCIDENTES DE SEGURIDADGU A para LA GESTI N DEGU A para LA GESTI N DEINCIDENTES DE SEGURIDADEN EL TRATAMIENTO DE DATOS PERSONALES3 BOGOT - COLOMBIA 2020 ANDR S BARRETO GONZ LEZS uperintendente de Industria y ComercioNELSON REMOLINA ANGARITAS uperintendente Delegado para la Protecci n de DATOS PERSONALES ANG LICA MAR A ACU A PORRASS ecretaria GeneralANG LICA ASPRILLA Jefe Oficina de Servicios al Consumidor y Apoyo empresarial OSCAELUIS ALBERTO MONTEZUMA CATERINE G MEZ CARDONACARLOS ENRIQUE SALAZARA DA LUC A HURTADO BEJARANOA utores primera edici nDIANA MARI O L PEZE dici nYENNY PAOLA CASTIBLANCO GARC ADiagramaci n4GU A para LA GESTI N DE INCIDINTES DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALESC ontenido1.
2 Introducci n 62. Objetivos y precisiones 83. Marco normativo para el reporte de incidentes de seguridad .. 94. Reporte de incidentes de seguridad cuando se acude a encargados del TRATAMIENTO .. 105. Conservaci n de registros internos 116.
3 Protocolo de respuesta en el manejo de incidentes de seguridad .. 12 Detecci n, identificaci n y clasificaci n de los incidentes de seguridad 12 Cu les son los tipos de incidentes de seguridad? 12 Cu les son las causas que generan un incidente de seguridad? 13 Cu les son las medidas preventivas dentro de una organizaci n para hacer frente a un incidente de seguridad?
4 13 Qu es un protocolo de respuesta en el manejo de incidentes de seguridad? 13 Qu deber a incluir el protocolo? 14 Por qu es necesario contar con un equipo de respuesta ante incidentes de seguridad? 15 Qui nes conforman el equipo de respuesta ante incidentes de seguridad?
5 1557. Pasos para responder a un incidente de seguridad 161. Contener el incidente de seguridad y hacer una evaluaci n preliminar 172. Evaluar los riesgos e impactos asociados con el incidente de seguridad 17En los Titulares de la informaci n 18En los DATOS PERSONALES 18En la organizaci n
6 183. Identificar los da os para las personas, organizaciones y p blico en general 194. Notificar a la Superintendencia de Industria y Comercio 195. Comunicar a los Titulares de la informaci n 196. Prevenir futuros incidentes de seguridad en DATOS PERSONALES 208. Incremente y mantenga la confianza de los titulares de DATOS PERSONALES 21 9.
7 Referencias 226GU A para LA GESTI N DE INCIDINTES DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALESSin seguridad no hay debido TRATAMIENTO de DATOS PERSONALES Por eso, la Ley 1581 de 2012 establece lo siguiente: La informaci n sujeta a TRATAMIENTO por el Responsable del TRATAMIENTO o Encargado del TRATAMIENTO a que se refiere la presente ley, se deber manejar con las medidas t cnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteraci n, p rdida, consulta, uso o acceso no autorizado o fraudulento;(.)
8 1En desarrollo de lo anterior, la Ley impone a los Responsables y Encargados del TRATAMIENTO los siguientes deberes: Conservar la informaci n bajo las condiciones de seguridad necesarias para impedir su adulteraci n, p rdida, consulta, uso o acceso no autorizado o fraudulento; (..) 2 Informar a la autoridad de protecci n de DATOS cuando se presenten violaciones a los c digos de seguridad y existan riesgos en la administraci n de la informaci n de los Titulares 3 1 Cfr Literal g) del art culo 4 de la Ley 1581 de 20122 Cfr Literales d) y b) de los art culos 17 y 18 de la Ley 1581 de 2012 3 Cfr Literales n) y k)
9 De los art culos 17 y 18 de la Ley 1581 de 2012 El Cap tulo II, T tulo V de la Circular nica de la Superintendencia de Industria y Comercio describe la violaci n a los c digos de seguridad y la existencia de riesgos en la administraci n de la informaci n de los Titulares como cualquier violaci n de los c digos de seguridad o la p rdida, robo y/o acceso no autorizado de informaci n de una base [sic] de DATOS [sic ]f sica o automatizada administrada por el Responsable del TRATAMIENTO o por su Encargado 1. Introducci nConservar la informaci n bajo CONDICIONES DE SEGURIDAD para impedir su uso o acceso no autorizado o A LA AUTORIDAD ENCARGADA cuando se presenten violaciones oexistan riesgos enla administraci nde la informaci n de los TRATAMIENTO DE DATOSDEBERES DE LOSR esponsables y Encargados67El principio y el deber de seguridad tienen un criterio eminentemente preventivo.
10 Lo cual obliga a los Responsables o Encargados del TRATAMIENTO a adoptar las medidas necesarias para evitar posibles afectaciones a la seguridad de los DATOS Pero si las medidas de seguridad fallan, las organizaciones deben estar preparadas para mitigar los riesgos y da os que se pueden causar a los derechos y libertades fundamentales de los Titulares y a las organizaciones Estos riesgos y da os pueden ser de gravedad y probabilidad variables, materiales o inmateriales, en particular, si esos incidentes generan situaciones de discriminaci n; divulgaci n de informaci n o aspectos ntimos de los Titulares o da os a su dignidad, buen nombre o reputaci n.
