Gobierno y Privacidad de la Información

Documento MetodológicoÁmbito 5

Alcalde de BogotáEnrique Peñalosa Londoño

Secretario General Raúl Buitrago Arias

Alto Consejero Distrital del TICSergio Martínez Medina

Profesional Especializado en Seguridad de la InformaciónMaría del Pilar Niño Campos

Estrategia de Seguridad y Privacidad de la Información de la Alcaldía de Bogotá

Diciembre 2018

4 5

7

Figura 1. Metodología ámbito 5- Gobierno y privacidad de la información

Figura 2. Roles protección de datos personales

Figura 3. Ciclo de gestión interna o ciclo de vida los datos personales

Tabla 1. Información base de datos

Tabla 2. Información del encargado del tratamiento

Tabla 3. Canales de atención

Tabla 4. Política de tratamiento y protección de datos

Tabla 5. Forma de tratamiento de la información

Tabla 6. Información contenida la base de datos categorías 1 y 2

Tabla 7. Información contenida la base de datos categorías 3 y 4

Tabla 8. Información contenida la base de datos categorías 5 y 6

Tabla 9. Seguridad de la información personal

Tabla 10. Sistema de gestión de seguridad de la información personal

Tabla 11. Seguridad de la información personal entorno al recurso humano

Tabla 12. Control de acceso a la información personal

Tabla 13. Procesamiento de información personal

Tabla 14. Seguridad en los sistemas de información personal

Tabla 15. Gestión de incidentes de seguridad de la información personal

Tabla 16. Auditoría de seguridad de la información personal

Tabla 17. Autorización del titular

Tabla 18. Transferencia internacional de datos

Tabla 19. Cesión de la base de datos

16

16

17

17

18

18

19

19

21

21

21

21

22

22

22

22

23

23

23

13

14

15

ÍNDICE DE TABLAS

ÍNDICE DE FIGURAS PÁG. 1Todas las personas tienen derecho a conocer, actualizar y rectificar toda las informaciones que se hayan recogido sobre ellas y que se almacenen o se recopile en las bases de datos o archivos administrados por empresas privadas o entidades públicas. Este derecho está contemplado en el primer Artículo de la Ley 1581 de 2012, conocida como el Régimen General de Protección de Datos Personales, en el que, además, se señalan los principios (Artículo 4) y deberes (Artículos 17 y 18) que tienen todos aquellos que realicen el tratamiento de datos personales, para garantizar la protección del derecho fundamental de habeas data.

Para facilitar la comprensión y el cumplimiento de dicha ley, ADALID CORP. pone a disposición de las Entidades Distritales, el Documento de Metodología denominado Ámbito 5 – Gobierno y Privacidad de la Información, para contribuir con el cumplimiento de obligaciones establecidas en la Ley 1581 de 2012 y sus decretos reglamentarios2 por parte de los responsables y encargados del tratamiento de datos personales en el Distrito y licenciamiento de software. De acuerdo con el principio de “Responsabilidad demostrada” (Accountability en inglés), “Los Responsables del Tratamiento de datos personales deben ser capaces de demostrar, a petición de la SIC, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012…” 4

Así mismo, como señala la Organización para la Cooperación y el Desarrollo Económicos -OCDE- “una entidad que recoge y hace tratamiento de datos personales debe ser responsable del cumplimiento efectivo de las medidas que implementen los principios de privacidad y protección de datos” 5.

2Hoy compilados en el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo - Decreto 1074 de 2015.

4Capítulo 25, Sección 6, Artículo 2.2.2.25.6.1. Demostración - Decreto 1074 de 2015.

5La Superintendencia de Industria y Comercio -SIC- citando la OCDE en (SIC, 2015, p. 5).

INTRODUCCIÓN

8 9

2Como señala la guía del modelo de seguridad y privacidad de la información del Ministerio de TIC en su capítulo 10: “Uno de los objetivos del modelo de seguridad y privacidad de la Información es e l de garant izar un adecuado manejo de la información... En esa línea el aseguramiento de los procesos relacionados con los sistemas de información debe complementarse con un enfoque de privacidad para garantizar tanto la protección de los derechos a la intimidad y el buen nombre o la salvaguarda de secretos profesionales, industriales o de información privilegiada de particulares en poder de la administración como el acceso a la información pública cuando esta no se encuentre sometida a reserva…” (Ministerio de TIC, 2015).

El Registro Nacional de Bases de Datos – RNBD- es el directorio público de las bases de datos con información personal, sujetas a tratamiento que operan en el país (Art. 25, Ley 1581), el cual es administrado por la SIC y de libre consulta. Lo anterior no implica que en dicho registro esté depositado el contenido de las bases de datos, ya que solamente incorpora el

inventario de bases de datos personales tratadas en el país, su finalidad, los canales que se han dispuesto para atender las peticiones de los ciudadanos, las políticas de tratamiento de datos personales adoptadas, el tipo de datos que contienen y las transferencias y transmisiones de información que se realizan cuando aplica 7.

Una base de datos personales es un conjunto organizado de datos personales que sea objeto de tratamiento (Articulo 3, Ley 1581), bien sea en medio físico (p. ej.: papel) o en medio electrónico (archivos en cualquier formato como hojas electrónicas, tratamiento de texto, con el uso o no de motores de bases de datos, etc.), sin importar la cantidad de datos personales. Por lo general y sin limitación alguna, las empresas tienen las siguientes bases de datos: de empleados, clientes y proveedores 8.

DEFINICIÓN

7 www.sic.gov.co/registro-nacional-de-bases-de-datos

8 www.sic.gov.co/preguntas-frecuentes-rnbd

34

5

Analizar el riesgo para la privacidad de la información y hacer evaluaciones de impacto en la entidad. Contribuir al cumplimiento normativo, incluida la adopción de normas corporativas 9.

Orientar a los responsables y encargados del tratamiento de datos personales sobre el cumplimiento de obligaciones específicas frente al manejo de información personal. Contribuir con el levantamiento de inventarios de bases de datos personales, identificando y clasificando los activos de información contentiva de datos personales que tenga la Entidad, alineado con el Registro Nacional de Base de Datos (RNBD). Brindar una serie de buenas prácticas para conseguir una óptima gestión en el manejo del licenciamiento de software y el uso de recursos informáticos.

Este documento desarrolla la metodología para real izar el levantamiento del inventarios de las bases de datos personales tratadas en el Distrito, que permita efectuar el reporte en el Registro Nacional de Bases de Datos que lleva la SIC, solicitado por Ley 158. Además de la recopilación de buenas prácticas para el manejo del licenciamiento de software.

Se toma como marco de trabajo lo establecido en la citada Ley 1581 de 2012, el Decreto 090 de 2018 - que modificó el Decreto 1074 de 2015- y el capítulo 10 del documento maestro del Modelo de Seguridad y Privacidad de la Información – MSPI-, establecido por el Ministerio de las TIC.

OBJETIVOGENERAL

OBJETIVOSESPECÍFICOS ALCANCE

9 Anexo técnico del concurso de méritos SGA-CM-07-2018 realizado por la Alta Consejería de TIC.

10 11

6La Constitución Política de Colombia establece en su artículo 15 derechos y garantías para quienes poseen la titularidad de información, tales derechos corresponden a la protección a la intimidad personal y familiar, al buen nombre, y a conocer, actualizar y rectificar la información que sobre ellos se haya recolectado, almacenado o haya sido objeto de uso, circulación o supresión en bases de datos y archivos, tanto en entidades públicas y como privadas.

El capítulo 25 del Decreto 1074 de 2015 reglamenta parcialmente la Ley 1581 y en el capítulo 26 se reglamenta la información mínima que debe contener el Registro Nacional de Bases de Datos, sus términos y condiciones.

Atendiendo un llamado de la industria que solicitó mayor orientación en el camino de construir un Programa Integral de Gestión de Datos Personales, la Superintendencia de Industria y Comercio publicó en el año 2015 la “Guía para la Implementación del Principio de Responsabilidad Demostrada (Accountability)”10 .

A través de la circular externa número 1 del 11 de enero de 2017, se modificaron los numerales 2.2, 2.3, 2.6 y 2.7 del capítulo segundo del título V de la circular única de la SIC, relacionados con el procedimiento de inscripción en el Registro Nacional de Bases de Datos (RNBD) y la información contenida en este, teniendo en cuenta la modificación del plazo para inscribir las bases de datos, efectuada mediante el Decreto 1759 de 2016.

La SIC, en su circular externa 005 del 10 de agosto de 2017, fijó los estándares de un nivel adecuado de protección en el país receptor de la información personal y las condiciones para obtener una declaración de conformidad para realizar transferencia internacional de datos personales.

Mediante Decreto 090 del 18 de enero de 2018, el Gobierno Nacional modificó el ámbito de aplicación del Registro Nacional de Bases de Datos y planteó nuevos plazos para que los sujetos que resulten obligados realicen la inscripción de sus bases de datos. Así

10 http://ticbogota.gov.co/sites/default/files/documentos/Guia-principio-de-responsabilidad-demostrada.pdf

MARCO TEÓRICOY JURÍDICO

6611http://derechodeautor.gov.co/las-entidades-publicas-mantienen-paso-firme-en-el-uso-de-software-legal

mismo, el 11 de julio de 2018 se genera el Manual de Usuario del (RNBD) Versión 6.1.De otra parte, la Dirección Nacional de Derecho de Colombia, establece que las entidades u organismos públicos del orden nacional y territorial que tienen la obligación de hacer la debida verificación al cumplimiento de las normas en materia de Derecho de Autor que se aplican al software.

La Ley 603 del 2000 establece la obligatoriedad de las sociedades comerciales de presentar Informes de gestión que contengan el estado de cumplimiento de las normas sobre propiedad intelectual y derechos de autor; por esta razón, las directivas 1 y 2 de 1999 y 2002 respectivamente, dan instrucciones a los encargados de cada entidad u organismos públicos de la adquisición de software, para que los programas de computador adquiridos estén respaldados por los respectivos documentos de licenciamiento o transferencia de propiedad.11

Dentro de las actividades realizadas en la consultoría adelantada por ADALID Corp., se busca mediante este documento metodológico contribuir al cumplimiento normativo de las entidades de la Alcaldía Mayor de Bogotá D.C. a través de instrumentos, que permitan el tratamiento de datos personales bajo las directrices de la SIC y el cumplimiento legislativo y normativo sobre el manejo del licenciamiento de software.

Para más información remítase al anexo técnico “Buenas Prácticas y Marco Normativo de la Seguridad Digital” que complementa las guías.

12 13

12.

7Este documento metodológico se soporta en la idea de avanzar en la creación de un programa integral de gestión de datos personales, conforme al Artículo 2.2.2.25.6.1 del Decreto 1074 (equivalente al Artículo 26 del Decreto 1377 de 2013), en el cual el regulador introduce en el sistema colombiano de protección de datos el criterio de la responsabilidad demostrada como una obligación en cabeza de los responsables del tratamiento. Igualmente el regulador dispuso que los responsables deben ser capaces de demostrar, a petición de la SIC, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1571 de 2012.

Se toma igualmente como referencia la “Guía metodológica para el inventario y registro de bases de datos personales ante a Superintendencia de Industria Comercio -SIC- de Colombia” de Gilber Corrales Rubiano - Grupo de Investigación en “Teoría y gestión de tecnologías de la información” de la Universidad Nacional de Colombia Sede Manizales.

A continuación, en la Figura 1. se muestran las cinco (5) etapas para desarrollar la metodología de gestión de este ámbito y así poder orientar a los responsables y encargados del tratamiento de datos personales, facilitando el levantamiento de inventarios de bases de datos personales y obtener buenas prácticas para cumplir con el registro nacional de bases de datos (RNDB) ante la SIC. La cual se complementa con la optimización en el manejo del licenciamiento de software.

DESARROLLO DE LAMETODOLOGÍA

7.1 Levantamiento de inventarios de bases de datos personales

12 http://ticbogota.gov.co/sites/default/files/documentos/Guia-principio-de-responsabilidad-demostrada.pdf

!!

En esta etapa se hace alusión a la formulación de políticas y procedimientos para el tratamiento, que reflejen una cultura respecto a la protección de los datos personales en la Entidad. Además de un esquema de gobierno para su desarrollo

ADALID CORP considera un nuevo rol dentro de las entidades distritales: El Oficial de Protección de Datos Personales - que por el momento lo puede suplir el Oficial de Seguridad de la Información - quién es el funcionario responsable dentro de entidad de coordinar y conocer todo lo relativo al tratamiento de datos personales.

Impulsar la cultura de protección de datos de dentro de la Entidad.

Coordinar la definición e implementación de los controles del Programa Integral de Gestión de Datos Personales, así como las acciones tendientes para su sostenibilidad.

Inscribir las bases de datos de la organización en el Registro Nación de Bases de Datos y, actualizar la información según las instrucciones que en el futuro imparta la Superintendencia de Industria y Comercio

Entre las funciones principales se resaltan las siguientes:

Etapa 1. Gobierno

Figura 1. Metodología ámbito 5- Gobierno y privacidad de la información

Fuente: ADALID CORP

InventarioBase datos

PersonalRNDB

14 15

Acompañar y asistir a la Entidad en la atención de las visitas y los requerimientos que la realice la SIC.

Tener el control y la responsabilidad de la implementación transversal del Sistema Integral de Gestión de Datos Personales.

Antes de avanzar, es importante resaltar los tres roles principales presentes en la gestión de datos personales: titular de los datos personales, el responsable (autorizado) de tratarlos y el encargado por este último para tratarlos, como se ilustra en la figura 2. El rol de encargo puede existir o no en una entidad. Por lo general se configura por la tercerización de servicios por parte del responsable. Por ejemplo: cuando este contrata un tercero para digitar o almacenar información que contiene datos personales.

De cara al registro de las bases de datos en RNBD, se revisa la articulación de los siguientes roles de usuarios en el aplicativo de la SIC (ver Planilla No.1 - Matriz de levantamiento de inventarios de base de datos personales)

Usuario Responsable del Tratamiento Usuario Administrador y Usuario Operativo

Los tres roles son parte del equipo de trabajo del responsable del tratamiento de los datos personales. En el caso del Distrito, el rol de Usuario Operativo es asignado a cada una de las entidades que lo conforman.

Figura 2. Roles protección de datos personales

Titular delos datos

personales

Responsable detratar los datos

personales

Encargado de tratar los datos

personales

Autoriza

Encarga

Datos personalesDatos personales

Fuente: ADALID CORP

Figura 3. Ciclo de gestión interna o ciclo de vida los datos personales

En este punto es importante presentar el ciclo de gestión interna o ciclo de vida de los datos personales, conforme los posibles tratamientos señalados en el último numeral del Artículo 3 de la Ley 158, como se ilustra en la figura 3.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión

777Dado que los tratamientos de los datos personales se pueden realizar en diferentes áreas o dependencias de la entidad, se recomienda que a través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos personales Hoja “Categorías”, se realice un cruce de información de los procesos de la entidad versus el ciclo de vida de los datos personales.

Lo anterior permitirá identificar los procesos y áreas responsables de los diferentes tratamientos. Esta actividad requiere una reunión con los responsables de los procesos, en la cual se puede proyectar la citada hoja para ubicar la base de datos en las diferentes casillas del formato. También se puede utilizar un papelógrafo y usar post-it con el nombre de la base de datos para identificar los tratamientos y los procesos correspondientes.

16 17

777A continuación, se indican los pasos a seguir en la Etapa 1:

Paso 0. Describir información de las bases de datos personales.

A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos personales Hoja “Base de Datos” registre la siguiente información identificando:

Paso 1. Consignar la información del encargado del tratamiento de base de datos personales - en los casos en que exista esta figura - para la base de datos a reportar.

A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos personales Hoja “Base de Datos” registre la siguiente información identificando:

Fuente: ADALID CORP

Fuente: ADALID CORP

Tabla 1. Información base de datos

Tabla 2. Información del encargado del tratamiento

Paso 2. Describir información de los canales de atención para la gestión de tratamiento de base de datos personales.

A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos personales Hoja “Base de Datos” registre la siguiente información identificando:

Paso 3. Registrar la política de tratamiento y protección de datos personales.

A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos personales Hoja “Base de Datos” registre la siguiente información identificando:

Fuente: ADALID CORP

Fuente: ADALID CORP

Tabla 3. Canales de atención

Tabla 4. Política de tratamiento y protección de datos

Click para ver información

18 19

Paso 4. Registrar la forma de tratamiento de la información.

A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos personales Hoja “Base de Datos” registre la siguiente información identificando:

Paso 5. Categorizar las bases de datos personales.

A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos personales Hoja “Base de Datos” y caracterice la siguiente información identificando:

En esta etapa se realizan entrevistas para identificar el estado de los procesos y de la documentación relacionada con bases de datos y de archivos que contienen datos personales.

Tabla 5. Forma de tratamiento de la información

Tabla 6. Información contenida la base de datos categorías 1 y 2

Fuente: ADALID CORP

Fuente: ADALID CORP

Etapa 2. Levantamiento del inventario de bases de datos personales

777

Tabla 7. Información contenida la base de datos categorías 3 y 4

Tabla 8. Información contenida la base de datos categorías 5 y 6

Fuente: ADALID CORP

Fuente: ADALID CORP

Click para ver información

20 21777Etapa 3. Medidas de Seguridad

En esta etapa, se revisa y analiza la documentación e información recaudada para conocer el contexto estratégico y normativo de la entidad, y así determinar el cumplimiento de las exigencias legales de protección de Datos Personales en la entidad.

También se valida el nivel de cumplimiento de los requisitos normativos de la Ley de Protección de Datos Personales (Ley 1581 de 2012), los Decretos Reglamentarios y demás normatividad vigente, así como los requisitos de seguridad de la información determinados por la Superintendencia de Industria y Comercio.

Paso 6. Adoptar medidas de seguridad

A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos personales Hoja “Base de Datos”, se adoptan medidas de seguridad (controles) adecuadas evitando los siguientes riesgos:

Adulteración de información (Integridad) Pérdida de información (Disponibilidad) Consultas o accesos no autorizados (Confidencialidad)

Aquí es importante acudir a los tratamientos identificados a través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos personales Hoja “Categorías”. Para cada tratamiento identificado, se debe abordar medidas de seguridad (controles) adecuadas siguiendo la metodología de tratamiento de riesgos de la entidad. Esto en los casos de que no existieran dichos controles.

Tabla 9. Seguridad de la información personal

Tabla 10. Sistema de gestión de seguridad de la información personal

Tabla 11. Seguridad de la información personal entorno al recurso humano

Tabla 12. Control de acceso a la información personal

Fuente: ADALID CORP

Fuente: ADALID CORP

Fuente: ADALID CORP

Fuente: ADALID CORP

22 23

Tabla 13. Procesamiento de información personal

Tabla 14. Seguridad en los sistemas de información personal

Tabla 15. Gestión de incidentes de seguridad de la información personal

Tabla 16. Auditoría de seguridad de la información personal

Fuente: ADALID CORP

Fuente: ADALID CORP

Fuente: ADALID CORP

Fuente: ADALID CORP 777

Tabla 17. Autorización del titular

Tabla 18. Transferencia internacional de datos

Tabla 19. Cesión de la base de datos

Fuente: ADALID CORP

Fuente: ADALID CORP

Fuente: ADALID CORP

24 25

7.2 Validar el Registro Nacional de Bases de Datos (RNDB)

Etapa 4. Efectuar el Registro Nacional de Bases de Datos (RNBD).

A través de la Planilla No.1 - Matriz de levantamiento de inventarios de base de datos personales Hoja “Resultados”, se generan los reportes gráficos del cumplimiento de los requisitos y antes de registrar las bases de datos es preciso realizar el inventario de las bases de datos con información personal que tenga la entidad, bien sea en medio físico (papel) o electrónico (listas o archivos en cualquier formato, bases de datos relacionales, etc.).

Al efectuar este inventario se debe obtener la siguiente información:

Cantidad de bases de datos con información personal. Cantidad de titulares por cada base de datos. Información detallada de los canales o medios que se tienen previstos para atender las peticiones y reclamos de los titulares. Tipos de datos personales contenidos en cada base de datos a los que se realiza Tratamiento, como: datos de identificación, ubicación, socioeconómicos, sensibles u otros. Ubicación de las bases de datos (servidor, PC, archivos físicos propios o externos, etc.) Los datos de identificación y ubicación de los Encargados del tratamiento. Medidas de seguridad y/o controles implementados en la base de datos para minimizar los riesgos de un uso no adecuado de los datos personales tratados. Conocer si se cuenta con la autorización de los titulares de los datos contenidos en las bases de datos. Forma de obtención de los datos (directamente del titular o mediante terceros).

!

!

ADALID CORP propone que una vez se finaliza el trámite del registro de cada base de datos, la SIC envía el correo electrónico a través de la cuenta soporteRNBD@sic.gov.co a más tardar 48 horas después de la finalización.

Puede suceder qué al ser un correo desconocido para la cuenta del usuario, llegue a la bandeja de correo no deseado o spam.

Para evitar esto, agregue el correo de la SIC a su lista de contactos y en caso de que lo borre accidentalmente, con el número de radicado que aparece en la consulta del RNBD, en la opción “Inscribir bases de datos”, puede consultar la comunicación en la página web de esta entidad (www.sic.gov.co).Por la opción “Consulte aquí el estado de su trámite”, podrá obtener una copia de la comunicación con el número de radicado del trámite adelantado, en la lupa que aparece al final de la consulta.

26 27

Etapa 5. Mejoramiento continuo

En esta etapa la gestión de modificación y actualización de las bases de datos se realiza por la opción www.sic.gov.co. de “Modificar Datos” que aparece una vez finalizada cada base de datos.

Esta opción solo aparece cuando no se ha iniciado la modificación de una base de datos finalizada, una vez se ingrese por esa opción solo aparecerá “continuar registro” hasta su nueva finalización, momento en el cual aparecerá nuevamente la opción “Modificar datos” y así sucesivamente.

Cada vez que se ingresa a modificar el registro, después de efectuar los cambios correspondientes, es necesario hacer clic en el botón “Finalizar” para que se genere un radicado consecutivo y así, llevar el histórico de modificaciones o actualizaciones de las bases de datos registradas.

Figura 1. Opción “Modificar datos”

Fuente: www.sic.gov.co 777A continuación, se describen los siguientes pasos:

Paso 1. Identificar el software usado por la entidad bajo la modalidad de licenciamiento, excluyendo todo aquel programa informático que, por disposición legal, la entidad sea propietaria del mismo. Para ello, se debe realizar una lista que contenga lo siguiente:

Nombre del software Versión del software Propietario del software Modo de adquisición del software Tiempo de uso del software Tamaño de almacenamiento en disco duro o en servidor Número de usuarios que usan el software Tipo(s) de Código(s) bajo el(los) cual(es) fue escrito el software Seguridad que contiene el código del software (muy baja, baja, media, alta o muy alta) Vulnerabilidades conocidas del software dadas a conocer por el programador o por el mercado. Número de registro ante la Dirección Nacional de Derechos de Autor

Paso 2. Categorizar el software según su utilidad, dentro del que se debe tener en cuenta la siguiente clasificación para definir de manera clara y concisa la función de este:

Función principal del software. Funciones Secundarias (si aplica) Procesos de la entidad asociados a la función principal del software Nivel de importancia del software frente al proceso de la entidad asociado a este (Muy baja, baja, media, alta o muy alta) Nivel de seguridad del software

7.3 Buenas prácticas para licenciamiento de software

28 29

777Paso 3. Revisar contractualmente el licenciamiento del(los) software(s) para este proceso es importante que la entidad revise de forma cuidadosa y clasificar las licencias de los programas informáticos de la siguiente manera:

Contrato mediante el cual fue adquirido el software:a. Objeto del contratob. Valorc. Duración del contratod. Periodos de renovación a los que hay lugar (anual, semestral, trimestral o mensual)e. Obligaciones generalesf. Obligaciones específicasg. Condiciones especiales de uso (si las hay)h. Efectos técnicos y jurídicos de la finalización del contrato (qué sucede en caso de la terminación del contrato de licenciamiento del software bajo cualquier circunstancia y qué efectos tendría ello para la entidad). Revisión de acuerdo de licencia con el usuario final o EULA por sus siglas en inglés End-Users License Agreement, propio del software en donde del mismo se obtenga y se clasifiquen:a. Derechos conferidos por el EULAb. Restricciones indicadas por el EULAc. Jurisdicción aplicable al software bajo el EULAd. Usos correctos bajo el EULA

Paso 4. Recomendaciones de buenas prácticas para la gestión del licenciamiento de software al interior de la entidad, en donde esta, siguiendo los pasos de los puntos anteriores, se debe otorgar recomendaciones de mejora sí y solo sí:

a) La finalidad del software no se acopla a los estándares mínimos de seguridad de la información proveídos en la plantilla documental de apoyo No. 5 de este mismo ámbito – “Checklist para controlar el manejo del licenciamiento de software”. b) El código de escritura del software no es del todo idóneo para la finalidad bajo el cual trabaja.c) El código de escritura del software no es segurod) EL software es demasiado vulnerable para los procesos de la entidad.e) El contrato no cumple con los requerimientos contractuales necesarios para una ejecución correcta y adecuada del software licenciado.f) Existe riesgo alto de no continuidad de uno o varios procesos frente al uso del software.

Todo lo anterior, de conformidad con el otorgamiento de las mejores recomendaciones para que ello no suceda y que todo lo planteado corresponda a un manejo correcto de las licencias sobre software.

8PLANTILLAS DOCUMENTALES

DE APOYO

De acuerdo con la adopción de normas corporativas vinculantes: Ley 1581 y el Registro nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio – SIC, en donde se identifican los aspectos por trabajar en el levantamiento de inventarios de bases de datos personales.

Se escogen las plantillas documentales adjuntas del presente documento metodológico y se utiliza para su diligenciamiento y personalización de acuerdo con las actividades que desarrolla la entidad en su proceso de gobierno y privacidad de la información.

Para este ámbito se tiene previsto generar las plantillas documentales de apoyo, según el anexo técnico, así:

Mediante el inventario de bases de datos personales se específica y se reconoce cuáles son los bases de datos personales de la Entidad. De esta forma se le da el tratamiento que se requiere para una protección adecuada, cumplimiento con la legislación establecida para ello. Anexo 1: “Plantilla 1 - Matriz Bases Datos Personales.xlsx”.

La política establecida en el presente documento es aplicable en la Entidad Distrital y debe utilizarse para todos los registros de datos personales que posee la Entidad creados en el desarrollo de su objeto misional. La Entidad se encarga directamente del tratamiento de los datos personales, atendiendo e implementando los lineamientos y procedimientos idóneos para la protección de los datos personales y la estricta confidencialidad de estos.

Anexo 2: “Plantilla 2 - Política de Protección de Datos.docx”

8.1 Matriz de inventario de bases de datos personales

8.2 Política de protección de datos personales de la entidad

30 31

8.3 Autorización para el tratamiento de datos personales

8.4 Formato de reclamación tratamiento de datos personales

8.5 Documentos para controlar el uso de los recursos informáticos

El aviso de privacidad para el tratamiento de datos personales es una de las opciones de comunicación verbal o escrita que brinda la ley para darle a conocer a los titulares de la información.

Anexo 3: “Plantilla 3 - Formato de Privacidad y Autorización.docx”.

El presente formato para su validez y atención debe ser firmado y presentado de forma original en las instalaciones de la Entidad Distrital, quien como responsable de los datos personales dará el trámite correspondiente al reclamo dentro de los términos establecidos por la ley contados a partir del día siguiente a la fecha de su recibo.

Anexo 4: “Plantilla 4 - Formato Reclamación Tratamiento de Datos.docx”.

El presente documento contiene una serie de directrices que han de ser conocidas y aplicadas por los empleados y terceros en el uso de los sistemas informáticos, redes de comunicaciones, telefonía y reprografía de la Entidad.

Anexo 5: “Plantilla 5 - Documentos Legales para Controlar el Uso de Recursos Informáticos.docx”.

Así las cosas, se hace entrega formal del plan de trabajo del proyecto de la consultoría mencionada.

9GLOSARIO

A continuación, algunos de los términos más importantes sobre el Documento Metodológico del Ámbito 5 Gobierno y Privacidad de la Información por orden alfabético 13

Amenaza informática. La aparición de una situación potencial o actual donde un agente tiene la capacidad de generar una agresión cibernética contra la población, el territorio y la Sociedad política del Estado. (Ministerio de Defensa de Colombia). Autorización. Consentimiento previo, expreso e informado del Titular, para llevar a cabo el tratamiento de datos personales. Aviso de privacidad: comunicación verbal o escrita generada por el responsable, dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.

Base de datos. Conjunto organizado de datos personales que sea objeto de tratamiento.

13https://www.itbusiness-solutions.com.mx/glosario-ciberseguridad

http://blog.cerounosoftware.com.mx/t%C3%A9rminos-de-seguridad-inform%C3%A1tica-glosario

32 33

Datos abiertos. Datos primarios o sin procesar. Que son puestos a disposición de cualquier ciudadano. Con el fin de que terceros puedan reutilizarlos y crear servicios derivados de los mismos.

Dato personal. Cualquier información perteneciente a una persona natural. Datos biométricos. Parámetros físicos y/o rasgos físicos únicos o de conducta de un individuo, que permiten «verificar» su identidad (huella digital, iris, perfil o voz, entre otros). Datos privados. Datos que por su naturaleza íntima o reservada solo son relevantes para el titular.

Datos públicos. Datos contenidos en documentos públicos. Que no estén sometidos a reserva y los relativos al estado civil de las personas. Datos semiprivados. Datos que no tienen una naturaleza íntima. Reservada. Ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular. Sino a un grupo de personas o a la sociedad en general. Datos sensibles. Datos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación.

Habeas data. Derecho a acceder a la información personal que se encuentre en archivos o bases de datos; implica la posibilidad de ser informado acerca de los datos registrados sobre sí mismo y la facultad de corregirlos.

Información. Se refiere a un conjunto organizado de datos contenido en cualquier documento que los responsables y/o encargados del tratamiento generen, obtengan, adquieran, transformen o controlen.

Encargado del tratamiento. Persona natural o jurídica. Pública o privada. Que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

Responsable del tratamiento. Persona natural o jurídica. Pública o privada. Que por sí misma o en asocio con otros. Decida sobre la base de datos y/o el Tratamiento de los datos. Riesgo Informático. Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. (ISO Guía 73:2002).

Información pública. Es toda información que el responsable y/o encargado del tratamiento, genere, obtenga, adquiera, o controle en su calidad de tal.

Información pública clasificada. Es aquella información que estando en poder de un sujeto responsable en su calidad de tal, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica, por lo que su acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares o privados consagrados en la ley.

Información pública reservada. Es aquella información que estando en poder de un sujeto responsable en su calidad de tal, es exceptuada de acceso a la ciudadanía por daño a intereses públicos.

Titular. Persona natural cuyos datos personales sean objeto de tratamiento. Tratamiento. Consiste en la recolección, almacenamiento, uso, circulación o supresión de datos personales.

Mensajes de datos. Información generada. Enviada. Recibida. Almacenada o comunicada por medios electrónicos ópticos o similares. Entre otros. El Intercambio Electrónico de Datos (EDI por sus siglas en inglés, Electronic Data Interchange). Internet. Correo electrónico. Telegrama. Télex o telefax.

34

10BIBLIOGRAFÍA

1. Colombia, Congreso de la República (2012). Ley 1581 de 2012, Por la cual se dictan disposiciones generales para la protección

de datos personales. Bogotá: En Diario Oficial, núm. 48.587, 18 de octubre de 2012.

2. Manual de Usuario del Registro Nacional de Bases de Datos – RNBD. (2016).

3. Ministerio de Tecnologías de la Información y las Comunicaciones. (2015). Modelo de Seguridad y Privacidad de la Información.

Bogotá D.C. Recuperado a partir de https://www.mintic.gov.co/gestionti/615/articles-5482_Modelo_de_Seguridad_Privacidad.pdf

4. Modelo, F., El, P., Obligaciones, C. D. E., & Reglamentarios, Y. S. U. S. D. (2012). Formatos modelo para el cumplimiento de

obligaciones establecidas en la ley 1581 de 2012 y sus decretos reglamentarios.

5. Felipe, P., Del, R., David, J., & Botero, D. (n.d.). Impresión: ASECUM.

6 Manual de Usuario del Registro Nacional de Bases de Datos – RNBD. (2016).

7. Superintendencia de industria y comercio -SIC-. (2015). Guía para la implementación del principio de responsabilidad demostrada.

Recuperado a partir de http://www.sic.gov.co/sites/default/files/files/Publicaciones/Guia-Accountability.pdf

36

Documento MetodológicoÁmbito 5

Elaborado por: