15 dicas essenciais para aprovação nos exames da ISACA - CISA, CISM, CRISC e CGEIT
Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en...
Transcript of Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en...
![Page 1: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/1.jpg)
Ley Federal de Protección de Datos Personales en Posesión de los
ParticularesMayo de 2011
Carlos Chalico LI, CISA, CISSP, CISM, CGEIT, CRISCSocio de Asesoría en TIMéxico y Centroamérica
Ernst & Young
![Page 2: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/2.jpg)
• ¿Qué es privacidad?
• Reglas en el Mundo
• En México
• Recorrido por la LFPDPPP*
• ¿Qué hacer?
• Conclusiones
Agenda
* Ley Federal de Protección de Datos Personales en Posesión de los Particulares
![Page 3: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/3.jpg)
• En términos generalesprivacidad es la habilidad de controlar cómo un individuo es identificado, contactado y localizado.
• Por décadas, los principiossobre privacidad hanevolucionado presentandoalgunos temas en común a pesar de relacionarse con estructuras legales y sociales diferentesalrededor del mundo.
• “La Privacidad agrupa los derechos y obligaciones de los individuos y lasorganizaciones con respectoa la colección, uso, revelación y retención de información para identificarpersonas (personally identifiable information / PII)”
– Fuente: AICPA
¿Qué es Privacidad?
![Page 4: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/4.jpg)
• El adagio:– “Puedes tener buena
seguridad sin tener buenaprivacidad, pero no puedestener buena privacidad sin tener buena seguridad.”
• ¿Qué significa?:
– La seguridad es un componente necesariode la privacidad
– Privacidad se refiere a:• Proteger datos personales
• Gobernar su tratamiento– Correcta y legalmente
– De acuerdo a lo mostradoen los avisos de privacidad
– Dentro de los límites del consentimiento del individuo (siempre queesto aplique)
Proteger los datos
¿Qué es Privacidad?
Privacidad
Gobernar su tratamiento
![Page 5: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/5.jpg)
LEYENDAS
Ley Nacional de privacidad o protección de datos vigente
Otras leyes significativas vigentes
Leyes de Privacidad o Protección de Datos emergentes
Fuente: Ernst & Young
Reglas en el Mundo
![Page 6: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/6.jpg)
Por venir:
• Reglamento de la LFPDPPP y criterios de la autoridad• Ejecución de acciones de verificación de cumplimiento de la LFPDPPP
IFAI2003Art.16 Const.
Leyes locales
2009LFPDPPPe IFAI (PD)
2010
En México
![Page 7: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/7.jpg)
Ley Federal de Protección de Datos Personales en Posesión de Particulares
Aprobado por diputados:15 de abril, 2010
Aprobado por senadores: 27 de abril, 2010
Publicado en DOF: 5 de julio, 2010
Vigente a partir de: 6 de julio, 2010
En México
![Page 8: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/8.jpg)
► El objeto de la LFPDPPP:
► “… la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminacióninformativa de las personas”
► ¿Quién debe acatar esta Ley?
► Los particulares (individuos, empresas, instituciones) que posean datospersonales
► ¿Quiénes son los Actores?
► El Titular
► El Responsable
► El Encargado
► Los otros (terceros, cuartos)
► ¿Qué son datos personales?
► Cualquier información concerniente a una persona física identificada o identificable (personales, patrimoniales, personales sensibles).
.
LFPDPPP
![Page 9: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/9.jpg)
Tratamiento de aquellos datos personales que afecten a la esfera más íntimade su titular, o cuya utilización indebida pueda dar origen a discriminación oconlleve riesgo grave para éste, pudiendo ser:
► datos financieros o patrimoniales*
► origen racial o étnico
► estado de salud presente o futuro
► información genética
► creencias religiosas, filosóficas y morales
► afiliación sindical
* Los datos financieros o patrimoniales no son considerados por la LFPDPPP como sensibles pero sí requieren consideraciones de cuidadodiferentes o más robustas que las que se precisan para los datos personales.
Datos de mayor cuidado
![Page 10: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/10.jpg)
Tratamiento de Datos Personales
Consentimiento: Todo tratamiento de datos personales estará sujeto al consentimiento de su titular (datos personales ‐ tácito, datos patrimoniales ‐ expreso, datos personales sensibles ‐ expreso y por escrito)
Aviso de Privacidad: mediante el cual se informe los datos que se recaban y el fin
Confidencialidad: cualquier involucrado en el tratamiento de datos personales deberá guardar su confidencialidad
Persona o Departamento de Privacidad: se deberá designar para dar trámite a las solicitudes de protección de derechos de los titulares y atender posibles ejercicios de verificación de cumplimiento.
Tratamiento: Obtención,Uso (acceso, manejo, aprovechamiento, transferencia o disposición), Divulgación, Almacenamiento
Nuevas Obligaciones
![Page 11: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/11.jpg)
► Pincipios: licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad
► Los datos personales deben ser pertinentes, correctos y actualizados para los fines para los cuales fueron recabados
► Cuando los datos hayan dejado de ser necesarios para el fin previsto por el aviso de privacidad y las disposiciones legales aplicables, deberán ser cancelados
► Habrán de tomarse las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por el poseedor de los datos o por terceros (cuartos…)
► Se deberán establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Nuevas Obligaciones
![Page 12: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/12.jpg)
El titular podrá solicitar al responsable en cualquier momento el:
Acceso
Rectificación
Cancelación
Oposición A los datos personales objeto de tratamiento y/o al tratamiento mismo.
Derechos ARCO
![Page 13: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/13.jpg)
► Los riesgos asociados a una falla de protección de datos personales puedencausar daños financieros y legales, pero irremediablemente afectarán la marca y reputación.
► Considerar la notificación de vulnerabilidades.
– Robo de identidad (usuarios, clientes, proveedores, socios, empleados)
– Daño a marca y reputación
– Litigios
– Sanciones y penas corporales
– Pérdidas financieras
– Pérdida de valor de mercado
– Pérdida de confianza del consumidor o socio de negocio
– Convertirse en el “ejemplo” de lo que puede salirmal
Consecuencias
![Page 14: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/14.jpg)
Sanciones: 100 hasta 320,000 DSMVDF, con doble imposición para los casos de reincidencia.
* Desde $5,000 hasta $73’000,000 *
Penas: de 3 meses a 5 años de prisión.
Estas penas y sanciones se duplicarán en aquellos casos de infracciones relativas a datos personales sensibles.
Sanciones y Penas
![Page 15: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/15.jpg)
Para que los responsables que traten datos designen a la persona o departamento de datos personales
1 año(Julio de 2011)
Para que los responsables que traten datos personales expidan los avisos de privacidad a los titulares
1 año(Julio de 2011)
Para que el Ejecutivo emita el Reglamento a la Ley
1 año(Julio de 2011)
Para que los titulares puedan ejercer sus derechos ARCO
18 meses(Enero de 2012)
Calendario de Aplicación
![Page 16: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/16.jpg)
¿Qué Hacer?
![Page 17: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/17.jpg)
Conocer…
![Page 18: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/18.jpg)
Conocer…
![Page 19: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/19.jpg)
Implantación y Mantenimiento
Definición y Diseño Avisos de
privacidad
ControlesTecnológicos
Normatividad
Departamento de datos personales
Adecuación de procesos de negocio
Preparación del Entorno Monitoreo
Convenios y contratos
Gobierno de Datos
Adecuación de procesos de TI
Avisos de privacidad
Departamenteode datospersonales
Convenios y contratos
ControlesTecnológicos
Normatividad
Adecuación de procesos de negocio
Gobierno de Datos
Adecuación de procesos de TI
Fuente: Ernst & Young, Derechos Reservados
Etapas
![Page 20: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/20.jpg)
Nuestro Enfoque - Diagnóstico
Licitud
TratamientoLegítimo en
Procesos
Consentimiento
Información
Calidad
Lealtad
Finalidad
Proporcionalidad
Responsabilidad
AspectosLegales
Obtención
Uso
Divulgación
Almacenamiento
Contratos
Avisos de privacidad
DatosP
rinci
pios
Fuente: Ernst & Young, Derechos Reservados
Preparando el Entorno
![Page 21: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/21.jpg)
Procesos de Negocio►Area de Recursos Humanos►Area de Ventas►Area de Compras►Area de Atención a Clientes►Area de Finanzas►Area de Mercadotecnia►Area Legal►Area de Operaciones
Procesos de TI►Proceso de adquisición, desarrollo y mantenimiento desistemas►Proceso de respados►Proceso de configuración desistemas y bases de dados►Proceso de control de acceso►Matriz de perfiles y privilegios►Seguridad física
Seguridad de datos
Técnicas
Adm
inistratiivas
Físicas
Medidas de Seguridad
Obtención Uso Divulgación Almacenamiento
Fuente: Ernst & Young, Derechos Reservados
![Page 22: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/22.jpg)
Recuerde
![Page 23: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/23.jpg)
Puntos Clave
►Cumplimiento razonado
►Consentimiento – Avisos de Privacidad
►Alcance – Todos los procesos que tratan datos personales
►Manejo de Incidentes – Notificaciones de vulneración
►Empatía con iniciativas de Gobierno, Riesgo y Cumplimiento
►Relaciones con terceros
►Manejo de dispositivos móviles
►Privacidad por diseño
►Redes Sociales
►Reporte a terceros
►Manejo integral de riesgos.
![Page 24: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/24.jpg)
Conclusiones►Como ciudadanos, debemos comprender con claridad los derechos a los que tenemos acceso a través de la LFPDPPP
►En la medida en la que comprendamos esos derechos, comprenderemos la responsabilidad que tenemos al tratar datos personales de otros individuos
►La LFPDPPP es una regulación de mínimos
►Es importante comenzar a trabajar de inmediato, a fin de estar en posibilidades de atender oportunamente los compromisos requeridos por esta legislación
►Re‐visitar los procesos en los que se tratan datos personales, resulta una tarea clave en este ejercicio y apoya la efectividad de otra tarea importante que es la concientización
►No actuar hoy puede traer consecuencias relevantes.
![Page 25: Presentación de PowerPoint - eyboletin.com.mx · Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Mayo de 2011. Carlos Chalico LI, CISA, CISSP, CISM,](https://reader031.fdocument.pub/reader031/viewer/2022030802/5b0b040a7f8b9a99488d2566/html5/thumbnails/25.jpg)
Ley Federal de Protección de Datos Personales en Posesión de los
ParticularesCarlos Chalico, LI, CISA, CISSP, CISM, CGEIT, CRISC
Socio de Asesoría en TI
México y Centroamérica
Ernst & Young
Tel: +52‐55‐11016414
Tel (2): +52‐55‐52831326
http://www.linkedin.com/in/carloschalico
Twitter: @carloschalico