Principios de la Privacidad desde el Diseño
abril 26, 2020Motivos por los cuales la SIC sancionó a Colpatria en materia de Protección de Datos Personales
mayo 4, 2020A continuación, relacionamos una serie de recomendaciones dirigidas a las entidades del Estado, tendientes al cumplimiento de la Normatividad de Protección de Datos Personales. Estas recomendaciones estan dirigidas frente al usuario/ciudadano, internamente y terceros que hacen parte del ciclo de manejo de los datos personales.
1.Obligaciones de las Entidades Públicas que gestionan estas app frente al Usuario/Ciudadano
- Incluir la Autorización para el Tratamiento de los Datos Personales
- Dentro de la aplicación las personas puedan ejercer su derecho de hábeas data, esto es, consultar, actualizar, rectificar la información, así como consultas y quejas por habeas data. Actualización: Ya se encuentra en los términos y condiciones, sin embargo, no es lo ideal, debe estar en la app en algún botón, o en todo momento visible para darse de baja.
- Incluir una política de tratamiento de información personal dentro de la aplicación o que quede en todo momento visible en la aplicación sobre el uso de los datos personales, y que se le informe a través de la política o a través de la app o cualquier medio que se le facilite, los siguientes aspectos:Actualización: La política se encuentra referenciada en los términos, pero al dar clic el enlace no lleva a ninguna parte.
- Qué datos personales recolectan:
- Explicar de manera pedagógica y transparente, para que requiere el uso del bluetooth, para qué sirve el rastreo de los contactos.
- Explicar de manera pedagógica y transparente, para que requieren la geolocalización, para qué sirve el rastreo de los contactos.
- Informarle al ciudadano como van a gestionar los datos personales, en especial:
- ¿Qué sucede con la información una vez finalizada la pandemia?
- ¿Qué sucede con mis datos personales en caso de que salga positivo para covid-19?
- ¿A quien se le suministran esos datos si salgo positivo para covid-19?
- ¿Cuál es el uso que le darán a cada tipo de dato que recolectan?
- ¿Lo datos son los estrictamente necesarios para la actividad que van a ejecutar?
- ¿Qué harán con los datos una vez finalizada la pandemia?
- ¿Que tipo de operaciones se realizará a los datos personales?
- Entendemos que muchas medidas de seguridad no se pueden suministrar precisamente porque ingeniería social, sin embargo, sin esta en el deber de decir que tipo de características o técnicas se han adoptados para su protección.
- Informar si esta información se cruzará con otros bases de datos, o con otros datos, las fuentes de donde se obtienen.
- Informar cual es la política de datos de información sensible.
2. Obligaciones de las Entidades Públicas que gestionan estas app en el marco del régimen de protección de datos personales
- Adoptar un programa de accountability o responsabilidad demostrada. En este caso, parte de las discusiones que se tienen ahora se hubieran evitado debido a que debiera existir procesos que den cuenta de
- Responsables Responsible (R): Responsable de realizar la tarea. Accountable (A): Responsable de que la tarea se realice, sin necesidad de ser el que la ejecute y responsable de rendir cuentas sobre su ejecución. Consulted (C): Figura que debe ser consultada para la realización de la tarea. Informed (I): Figura que debe ser informada sobre la realización de la tarea.,
- Cumplir con la Privacidad por Diseño y por Defecto en las aplicaciones. Aunque parece un poco tarde (en principio) porque la seguridad y privacidad no es una capa adicional, sino más bien, hace parte de todo el proceso, proyecto, producto o servicio y debe ser pensado desde el centro del titular de los datos. Aquí algunas recomendaciones de la aplicación de los principios de privacidad por diseño
- Realizar un análisis de cada uno de los principios para el tratamiento de datos personales, los indicadores que implican el cumplimiento de cada principio y el control de cumplimiento
- Los riesgos asociados al tratamiento de los datos personales
- Realizar Evaluación de impacto de protección de datos personales
- TEner mapeado el ciclo de vida de los datos personales y en general, tener identificado los flujos de la información y los riesgos y medidas de seguridad asociados a dichos flujo
- procesos de anonimización
- En virtud del principio de transparencia que la información y los usos que declaró informar al ciudadano correspondan a la realidad.
3. Obligaciones de las Entidades Públicas que gestionan estas apps frente a terceros involucrados en el procesamiento
-
- Garantizar que la información almacenada se encuentre en un país que Donde se encuentra la información (se encuentra en los T&C)
- Identificar e individualizar cada organización que usará la información y cuál será el uso de cada uno
- En qué calidad actúa, en calidad de Responsables o Encargados? o Corresponsables?
- No se le informa de manera clara que hay transmisión internacional de datos y las finalidades de esas transmisiones.
- Periodicidad de auditorías, tercero para realizar auditorías.
- SI hay entidades privadas cual es el rol que asumirá y que tipo de datos personales tratará.