1 / 37

Dra. Flavia Meleras Bekerman Email: flavialeras@gdait.uy

Dra. Flavia Meleras Bekerman Email: flavia.meleras@gdait.com.uy. AGENDA:. Ley de Protección de Datos Personales…4 años después. 2. Cloud Computing: Protección de Datos y sus desafíos legales. Aplicación de la Ley de Protección de Datos Personales, …4 años después.

ember
Download Presentation

Dra. Flavia Meleras Bekerman Email: flavialeras@gdait.uy

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Dra. Flavia Meleras Bekerman Email: flavia.meleras@gdait.com.uy

  2. AGENDA: • Ley de Protección de Datos Personales…4 años después. 2. Cloud Computing: Protección de Datos y sus desafíos legales.

  3. Aplicación de la Ley de Protección de Datos Personales, …4 años después.

  4. La consultora Kroll en sociedad con The Economist Intelligence Unit, destacó que el 75% de las empresas registraron algún tipo de violación de Seguridad en el año 2011. • Un 70% de los entrevistados (1275 ejecutivos de todo el mundo) identificaron que las violaciones vinieron de un funcionario interno o proveedor. • El 23% de las violaciones correspondieron a fugas de datos personales de la empresa o de los clientes. Su empresa ya cumplió con la Ley de Protección de Datos Personales ?

  5. Cuales son las OBLIGACIONES que las empresas debían cumplir ....

  6. PRINCIPIOS y OBLIGACIONES CORRELATIVAS DE LAS EMPRESAS:

  7. Cuales son las SANCIONES por incumplimiento de la Ley ....

  8. Unidad Reguladora y de Control de Datos Personales (URCDP) podrá aplicar las siguientes sanciones a los RESPONSABLES y a los ENCARGADOS de TRATAMIENTO: • Realizar las inspecciones incluso a terceros • B) Solicitar ante la justicia competente las medidas pertinentes, cuando exista riesgo de pérdida de la prueba. • C) Comunicar las actuaciones al responsable de la base de datos o encargado de tratamiento a efectos de otorgarle vista (10 días)

  9. Artículo 32.- Multas. El monto tope de las multas hasta 500.000 UI (Unidades Indexadas). Artículo 33.- Suspensión de la base de datos hasta por 6 días hábiles.

  10. Resolución URCDP sobre cómo graduar las sanciones administrativas (acorde cambios Ley 18.719 de Presupuesto Nacional 2010 - 2014 ): GRADUACIÓN: LEVE, GRAVE o MUY GRAVE. Enumeración no taxativa de las eventuales conductas infractoras y su correlativa sanción a imponer. Se atenderá a la gravedad, reiteración o reincidencia.

  11. Que sucedió hasta ahora....

  12. SE ACTUALIZARON BASE DE DATOS YA INSCRIPTAS (Resolución 1647/2010) DENUNCIAS ON LINE O PRESENCIAL Decreto 424/09 NUEVAS BASES DE DATOS INSCRIBIRSE HASTA 90 DÍAS DESP. CREACIÓN URCDP PUBLICADA LISTA de RESPONSABLES BASE DE DATOS YA INSCRIPTAS LISTA PUBLICADA PAISES CON NIVEL DE PROTECCIÓN ADECUADO

  13. DICTAMEN URCDP 6/2011 Compatibilidad facultades inspección URCDP y deber confidencialidad empresa de sus clientes por secreto profesional SENTENCIA TCA 353/2011 Destitución funcionario BROU por brindar información personal a terceras personas: CULPA GRAVE SENTENCIA TCA 340/2011 Suspensión funcionario OSE por utilizar sistema de OSE para descargar videos y fines personales. Sin goce sueldo. SENTENCIA CIVIL 2 TURNO 41 / año 2009 Condenada empresa por D y P por incluir a persona en BD de Deudores cuando ya no lo era.

  14. ESTADISTICAS 2011 – URCDPFuente: MemoriaURCDP 2011 OBSERVACIONES CONSULTAS • 8 MULTA 1 SUSPENSIÓN DE BASES DE DATOS DE OFICIO • 42 • Patentes DENUNCIAS • 106

  15. SPAM Comunicación de datos sin permiso VIDEOVIGILANCIA sin aviso 106 Denuncias: PRINCIPALES MOTIVOS: Inclusión en base de datos en instituciones crediticias Derecho al olvido debido a la inclusión en un sitio web oficial de una sanción que ya caducó

  16. DELITOS PENALES relacionados :

  17. Cloud Computing CLOUD COMPUTING Protección de Datos Desafíos Legales

  18. La evolución tecnológica y la de los negocios no puede estar disociada de la evolución y la seguridad jurídica.

  19. ¿Qué es el Cloud Computing? Modelo de prestación de servicios tecnológicos que permite el acceso bajo demanda y a través de la red a un conjunto de servicios: correo electrónico, almacenamiento de documentos, aplicaciones varias de contabilidad, bases de datos, compartir documentación e información con clientes sin necesidad de disponer de servidores o software ya que los datos se encuentran en algún lugar de Internet.

  20. ¿Qué ventajas tiene para mi empresa? Permite acceder a todos estos servicios desde cualquier lugar que tenga internet –empresa, hogar, un hotel, etc.-, Pagar sólo por los servicios realmente utilizados y ahorrar en la infraestructura de hardware, software y licencias. Conseguir ahorros sustanciales utilizados en mantenimiento de software.

  21. ¿Existe algún riesgo en materia de protección de datos? Cuando la empresa contrata servicios de Cloud, se mantiene como responsable del tratamiento de los datos y de la obligación de cumplir con la LPDP. El prestador de servicios de Cloud Computing tendrá la condición de ENCARGADO DE TRATAMIENTO. DISCUTIBLE en el caso de Hosting Cifrado o Fragmentado. ENCARGADO de TRATAMIENTO NO puede SUBCONTRATAR la EMPRESA deberá por lo tanto identificar a las empresas subcontratadas y autorizarlas. EXPORTADOR DE DATOS.

  22. UBICACIÓN DE LOS DATOS PERSONALES… riesgos en cuanto a su proteccióN Datos almacenados “en la nube” se encuentren físicamente en un momento en un servidor ubicado en cualquier punto del planeta y rápidamente en otro. Ventajas: En materia de seguridad a quien quiera violarla se le dificulta seguir esos datos que mudan permanentemente de servidor. Desventajas: DIFICULTAD en el caso de que los servidores se encuentren en terceros países en los que no exista un nivel de protección de datos equivalente al Europeo o al Convenio de Porto Seguro.

  23. SI DATOS PERSONALES se transmiten y tratan fuera de Uruguay • Responsable establecido en Uruguay • hay TRANSFERENCIA INTERNACIONAL DE DATOS y hay casos que se debe solicitar autorización de URCDP. No se considera comunicación o cesión de datos el acceso por parte de un Encargado de tratamiento, que resulte necesario para la prestación de un servicio al responsable, salvo que este acceso implique la existencia de un nuevo vínculo entre el encargado del tratamiento y el titular.

  24. Ranking de los 3 países hacia donde se realiza la mayor cantidad de transferencias internacionales de datos desde Uruguay como país de origen: 1 2 3

  25. ENCARGADO DE TRATAMIENTO Prestación de servicios informatizados de datos personales. Artículo 30. Cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlosa otras personas, ni aún para su conservación. Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa ….en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años.

  26. MEDIDAS DE SEGURIDAD. El Responsable de la base de datos (RP)deberá establecer exactamente las MEDIDAS TECNICAS y ORGANIZATIVAS que el Encargado de Tratamiento (ET) deberá adoptar:

  27. NIVEL DE SEGURIDAD ACORDE AL TIPO DE DATOS PERSONALES TRATADOS • ET REALIZAR COPIAS DE SEGURIDAD PERIÓDICAS (SEGURIDAD FÍSICA Y LÓGICA) • ET ESTABLECER MECANISMOS SEGUROS DE AUTENTICACION PARA EMPRESA Y SUS CLIENTES • CIFRAR LOS DATOS • PROCEDIMIENTOS DE RECUPERACIÓN, MIGRACIÓN Y BORRADO DE DATOS AL FINALIZAR RELACIÓN CONTRACTUAL • POSIBILIDAD TERCERO INDEPENDIENTE AUDITE MEDIDAS DE SEGURIDAD DEL ET • ET INFORMAR VULNERACIONES DE SEGURIDAD Y CORREGIRLAS

  28. Garantías y cláusulas INFALTABLES en un contrato ENTRE EMPRESA con el prestador de CLOUD ( o sea entre RD y ET): • • Disponibilidad permanente del servicio por el ET, • Portabilidad de la información: entrega final con opción para guardar empresa o trasladar a otro proveedor, • • Jurisdicción aplicable en función de la territorialidad, • ET asumir su responsabilidad como Encargado de Tratamiento frente a eventuales sanciones • ET mantener indemne al RD, • Gestión de contrataciones para el tratamiento de la información por el Responsable no por el ET.

  29. Seguridad de los datos respecto a los empleados del prestador del servicio de Cloud. DELITO, • Revelación de Secretos. • ACTUALIZAR CONTRATOS DE SERVICIOS SI ESTOS YA EXISTIERAN.

  30. ¿Qué legislación es aplicable al contrato entre su empresa y el Proveedor de Cloud respecto a Protección de Datos Personales? La contratación de un servicio Cloud Computing por una empresa URUGUAYA, que trate datos según art 3 del Decreto 414/09, debe observar el cumplimiento de todos los requerimientos establecidos en la LPDP.

  31. EMPRESA URUGUAYA PROVEEDOR CLOUD COMPUTING JURISDICCION APLICABLE ???

  32. CONCLUSIONES

  33. Como empresa tenemos que proteger nuestros datos personales y los que los depositaron en nuestra confianza (CLIENTES), porque el ladrón digital va detrás de esa riqueza ....

  34. ¿Preguntas? Muchas Gracias Dra. Flavia Meleras Bekerman flavia.meleras@gdait.com.uy

More Related