Capiitulo 1: Principio y Gestión

del Programa de
Privacidad en la Empresa
Joel Morrobel, CISM
 Contenido

 Protección Privacidad - Regulación Dominicana

 Referencias Internacionales sobre la Privacidad
 Categorías de la Privacidad – ISACA
 Preocupaciones y riesgos de la Privacidad de los datos – ISACA
 Razones para
 Sistema de Gestión – Características Fundamentales
 Reflexiones
Protección Privacidad – Regulación
Dominicana
 Constitución de la Rep. Dom. – Art. 4

 Ley 53-07 sobre Crímenes y Delitos de Alta Tecnología

 Ley 172-13 sobre Protección Integral de los Datos Personales

Protección Privacidad – Regulación
Dominicana (Cont…)

 Constitución de la Rep. Dom. – Art. 44.2

“Toda persona tiene derecho a acceder a la información y a los datos

que sobre ella o sus bienes reposen en los registros oficiales o privados, así
como conocer el destino y el uso que se haga de los mismos, con las
limitaciones fijadas por la ley…”
Protección Privacidad – Regulación
Dominicana (Cont…)

 Ley 53-07 sobre Crímenes y Delitos de Alta Tecnología

Art. 1 - Objeto de la Ley. “…la protección integral de los sistemas que

utilicen tecnologías de información y comunicación y su contenido, así
como la prevención y sanción de los delitos cometidos contra éstos o
cualquiera de sus componentes o los cometidos mediante el uso de
dichas tecnologías en perjuicio de personas física o morales, en los
términos previstos en esta ley. La integridad de los sistemas de información
y sus componentes, la información o los datos, que se almacenan o
transmiten a través de …”
Protección Privacidad – Regulación
Dominicana (Cont…)

 Ley 172-13 sobre Protección Integral de los Datos Personales

Art. 1 - Objeto. La protección integral de los datos personales asentados

en archivos, registros públicos, bancos de datos u otros medios técnicos
de tratamiento de datos destinados a dar informes, sean éstos públicos o
privados, así como garantizar que no se lesione el derecho al honor y a la
intimidad de las personas, y también facilitar el acceso a la información
que sobre las mismas se registre, de conformidad a lo establecido en el
Artículo 44 de la Constitución de la República Dominicana.
Referencias Internacionales

 ISO 27001 – Seguridad de la Información

 ISO 27005 – Gestión de Riesgos de la Seguridad de la Información
 ISO 31000 – Gestión de Riesgos
 El Reglamento General de Protección de Datos (RGPD), común para todos
los Estados miembros de la Unión Europea
Categorías de la Privacidad - ISACA
Categorías de la Privacidad – ISACA (Cont…)
 Preocupaciones y riesgos de la
privacidad de los datos - ISACA
Preocupaciones Área de riesgo
Leyes y paisajes regulatorio Cumplimiento, sanciones, multas, vergüenza pública y pérdida de negocios e
ingresos.

Tipos de datos • Exposición de información personal, de secretos comerciales;

• Exposición de información sensible, confidencial o clasificada de las empresas;
• Incapacidad para controlar o administrar datos de forma segura
Cantidad de datos No saber dónde se encentran los datos y, en consecuencia, no poder controlarlos
apropiadamente.

Ubicación de los datos • Acceso, uso o divulgación no autorizada de los datos;

• Incapaz de investigar o litigar si es delincuente extranjero;
• Incapaz de proteger los datos.
 Preocupaciones y riesgos de la
privacidad de los datos – ISACA (Cont…)

Preocupaciones Área de riesgo

Fuente de datos No adquirir información exacta, obtención ilegal de los datos.

Disponibilidad • Producción;
• No tener los datos cuando sea necesario;
• Participación de otras partes
Medidas de protección Inadecuada protección de configuración de dispositivos

Política interna, procesos y • Actividad accidental o maliciosa;

procedimientos • Posibilidad de amenaza interna;
• No adherirse a leyes gubernamentales o requisitos de la compañía;
• La exposición de los datos personales de los empleados y la contratación de
candidatos
Razones para procesar datos
personales - RGPD
Sistema de Gestión – Características
Fundamentales
 Compromiso de la Alta Dirección
 Marco legal aplicable
 Responsable identificado y socializado
 Consentimiento de las partes interesadas
 Clasificación de los insumos (datos)
 Análisis y evaluación de los riesgos
 Implementación de métricas (organizativas y técnicas)
 Mejora continua
Sistema de Gestión – Características
Fundamentales (Cont…)

 Compromiso de la Alta Dirección

 Imprescindible para el logro de cualquier proyecto estratégico de una empresa.

 Marco legal aplicable

 Considerar las regulaciones que apliquen al contexto.

 Responsable identificado y socializado

 Permite que las partes interesadas tengan identificado a quien dirigirse sobre
temas relacionados al proyecto. Además, define quien rendirá cuentas ante la
Alta Dirección sobre los temas relacionados al proyecto.
Sistema de Gestión – Características
Fundamentales (Cont…)

 Consentimiento de las partes interesadas

 Incluyendo a los propietarios de los datos.

 Clasificación de los insumos (datos)

 Públicos
 Confidenciales
 Privados
 Secretos
Sistema de Gestión – Características
Fundamentales (Cont…)

 Análisis y evaluación de riesgos

 Establecer el contexto
 Análisis de riesgo
 Identificación y estimación

 Evaluación de riesgo
 Tratamiento de riesgo
 Aceptación
 Comunicación
 Monitoreo
 Sistema de Gestión – Características
Fundamentales (Cont…)

 Implementación de métricas

Métricas Organizativas Métricas Técnicas

• Control de acceso
• Políticas • Seguridad física
• Procedimientos
• Criptografía
• Derechos y obligaciones de los
colaboradores • Comunicaciones
• Custodia y mantenimiento de la • Continuidad de
documentación negocios
 Sistema de Gestión – Características
Fundamentales (Cont…)

Mejora continua

Planear: Establecer los

objetivos y proceso Hacer: Implementar
necesarios para conseguir los los procesos
resultados de acuerdo con los Hacer
requisitos del cliente y las
Planear
políticas de la empresa.

Verificar: Realizar el
Actuar Verificar seguimiento y los procesos
Actuar: Tomar acciones respecto a políticas, objetivos y
para mejorar requisitos del producto e
continuamente el informar los resultados
desempeño
Reflexiones

 En la Rep. Dom., la implementación de un programa o sistema de gestión de la privacidad de datos:

 debe considerar:

capacidades para facilitar las consultas a los propietarios de

los datos
la definición del destino final de los datos
la definición del uso que se dará a los datos
controles para la captura, transmisión, registros,
preservación, verificación, validación, consulta y eliminación
de los datos
 es recomendable que:

Se base referencias de normas y regulaciones

internacionales que se relacionen con el tema
Gracias!!!!!!!!!