Netdata Cybersecurity Blog

Políticas de Protección de la Información y de los Datos en Colombia

Mario Montoya
31 diciembre, 2020
0 comentarios

Probablemente te has preguntado, ¿cuándo se inició el proceso de fomentar la protección de los datos e información de usuarios?  La International Network of Privacy Law Professionals (INPLP) ubica el origen de este movimiento hace más de cien años, con la publicación de The Right to Privacy, por parte de dos abogados estadounidenses, Samuel D. Warren y Louis Brandeis, en 1890.  

Línea de tiempo

Figura 1. Línea de Tiempo de GDPR

En The Right to Privacy, artículo que es considerado por algunos estudiosos como “el artículo de periodismo más influyente jamás publicado”, Warren y Brandeis expresan su frustración en relación con la invasión de la privacidad individual por algunos periodistas del siglo XIX armados con “las más avanzadas innovaciones de tecnología”.

Con un conjunto de precedentes bien documentados, y con una lógica genial, los abogados urgían a las Cortes a combatir esta amenaza a la privacidad individual añadiendo un nuevo derecho a la ley común – el derecho a “ser dejado en paz” o “derecho a la privacidad”.

Durante las décadas posteriores a la publicación de The Right to Privacy, individuos e instituciones han trabajado en la documentación de leyes y regulaciones tendientes a proteger los datos e información, contra la difusión descuidada o deliberada.

Casos como el de la filtración de actividades de la NSA y del FBI por parte de Edward Snowden en el año 2013 o más recientemente en abril de 2018, el escándalo en torno al uso que podría haber hecho Cambridge Analytica, a los datos de millones de usuarios de Facebook invitan a reflexionar sobre las políticas, y en general el framework de aseguramiento de los datos e información: inclusive los esquemas más robustos o maduros, pueden estar sujetos a violación por parte de interesados en los procesos de custodia de los datos.

¿Qué es la política de protección de información y datos?

La política de protección de información y datos es un enunciado documentado, generalmente establecido en un acto formal y publicado por parte de la institución que tiene acceso a la consulta, gestión y / o almacenamiento de datos e información de terceras personas.

<<< ¿Qué herramientas puedo usar como protección de la información? >>>

Cada organización define el formato que considera adecuado para la documentación de la política de protección de datos e información (y en general para el conjunto de políticas de seguridad que tenga a bien definir). En términos generales, la mencionada política debe cubrir: mencionar el reglamento observado en relación con la protección de datos del usuario; informar el uso que hace el sitio web de los datos personales y los datos no personales; explicar si son compartidos, y cómo se comparten los datos; procedimiento para acceder a, rectificar o suprimir los datos; y, uso de cookies, son los más comunes.

La Protección de Datos

El diccionario prehispánico del español jurídico de la Real Academia Española define el Habeas Data (del latín: 'tener datos presentes') como:

      • En el Derecho Administrativo: Acción constitucional que puede ejercer cualquier persona incluida en un registro de datos para acceder al mismo y recabar la información que le afecte, así como para solicitar su eliminación o corrección, si tal información fuera falsa o estuviera desactualizada.
      • En el Derecho de las Telecomunicaciones: Derecho a la propia intimidad informática, que confiere a su titular un derecho de control sobre los datos (acceso, rectificación y cancelación de los mismos) interviniendo el Estado en su protección y tutela con agencias o comisarios para la protección de los datos.

¿Cuál es la ley de protección de datos de Colombia?

La Constitución Política de 1991 de Colombia, en su artículo 15, consagra el concepto de Habeas Data, en los siguientes términos:

“Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.  En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.

<<< Proteger nuestros datos con métodos de protección de la información >>>

La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley”. (Constitución Política de Colombia, 1991. Artículo 15).

La proliferación de plataformas basadas en tecnología, que registran, procesan y / o almacenan datos personales, han obligado a la definición de marcos regulatorios que protejan los datos personales contra su difusión, publicación o alteración, sin la autorización de la persona a quien identifican dichos datos.

A continuación, se resume parte de la normativa publicada con el objetivo de contribuir a dar cumplimiento a lo consagrado en la Constitución en materia de protección de datos e información de las personas.

En este orden de ideas, la Ley Estatutaria 1581 de 2012 dicta las disposiciones generales para la protección de los datos personales, en línea con el objetivo general enmarcado en el mencionado artículo 15 de la Constitución de Colombia. El artículo 19 de esta Ley designa a la Superintendencia de Industria y Comercio, a través de una Delegatura para la Protección de Datos Personales, como garante de que el tratamiento de los datos personales se adhiera a lo contemplado en la Ley.

El Decreto 1377, publicado el 27 de junio del año 2013, reglamenta parcialmente la Ley 1581 de 2012. El Decreto tiene entre sus objetivos, “facilitar la implementación y cumplimiento de la Ley 1581 de 2012”.

La circular externa 007 de 2018 de la Superintendencia Financiera de Colombia (SFC), obliga a las entidades supervisadas y a los operadores de la Planilla Integrada de Liquidación de Aportes, a implementar medidas para la efectiva gestión del riesgo y la ciberseguridad en los sistemas, de modo que sean protegidos los datos e información asociados con los usuarios del sistema financiero.

La operación o contratación de servicios de Tecnologías de Información en la nube, son normadas en la circular externa 005 de 2019, publicada por la Superintendencia Financiera de Colombia. En esta circular, por ejemplo, se especifica la documentación que la entidad supervisada debe compartir con la SFC. La información solicitada por la SFC tiene carácter confidencial, y por lo tanto el canal utilizado para compartirla, debe ser protegido con cifrado, contraseña robusta, o utilizando ambos métodos.

El marco regulatorio de Ciberseguridad es complementado con el CONPES 3701; el CONPES 3854; el Manual para la implementación de la estrategia de Gobierno en Línea en las entidades de orden nacional de la República de Colombia de 2015; y, el Manual para la implementación de la estrategia de Gobierno Digital en las entidades del orden nacional de la República de Colombia de 2018.

La Circular Externa 008 de 2020 de la Superintendencia de Industria y Comercio, imparte instrucciones en relación con la administración de los datos personales, atendiendo las condiciones especiales a raíz del COVID-19.

En el plano internacional, la General Data Protection Regulation (GDPR) es una de las leyes de seguridad y privacidad de los datos, más estrictas a nivel mundial. Redactada y publicada el 25 de mayo de 2018 por la Unión Europea (UE), impone obligaciones a las organizaciones en cualquier país que recolecten y administren datos relacionados con ciudadanos de la UE. Las multas por violación de esta ley, pueden estar en el orden de las decenas de millones de euros.

Las Instituciones y Empresas, públicas o privadas, generalmente utilizan frameworks internacionales como guía para implementar un Sistema de Gestión de Seguridad de la Información. Entre los lineamientos básicos de Ciberseguridad a nivel internacional se encuentran, la Guía de controles ISO/IEC 27002; el Center For Internet Security (CIS); Guías de controles del National Institute of Standards and Technology (NIST); y, la Guía de controles críticos de seguridad de SANS Institute.

Contar con una certificación reconocida a nivel Global puede mejorar el nivel de competitividad  o inclusive se ha ido convirtiendo en una exigencia, dependiendo del sector de la economía en el cual se desempeña tu empresa.

Un beneficio adicional, y no menos importante, es el desarrollo de una cultura empresarial hacia el uso responsable de la Tecnologías de Información y las Comunicaciones, y la consecuente mejora en la salvaguarda de los datos de los usuarios de las redes.

A partir de la iniciativa de Warren y Brandeis, durante más de cien años, las tecnologías continúan favoreciendo el desarrollo de métodos cada vez más ágiles e ingeniosos para capturar, compartir y manipular los datos de los usuarios de redes y servicios. Los Gobiernos, las empresas y los individuos, debemos asumir el reto de elevar el nivel de madurez de las metodologías y herramientas, de manera permanente, como respuesta necesaria ante las amenazas que buscan aprovechar el eslabón más débil para tomar ventaja.

 

REporte Palo Alto

 

Mario Montoya