• No se han encontrado resultados

propuesta de un modelo de auditoría - Repositorio INFOTEC

N/A
N/A
Info
Descargar
Protected

Academic year: 2023

Share "propuesta de un modelo de auditoría - Repositorio INFOTEC"

Copied!
108
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 108 página )

Texto completo

El derecho a la protección de datos personales es un derecho fundamental reconocido internacionalmente. El derecho a la información y a la protección de datos personales, como nuevos derechos que se están concebiendo actualmente, plantean interrogantes que llevan a la necesidad de distinguir su naturaleza jurídica y conceptual en el ámbito general de otros derechos.

Orígenes del término “privacidad” y su relación con el concepto “datos personales”

Evolución del derecho a la privacidad y protección de datos personales como derechos humanos…

Los términos “derecho a la información” y “protección de datos personales” no tienen una definición universalmente reconocida, pues varía según la legislación de cada país, pero existen principios y estándares internacionales que los reconocen y conceptualizan. El derecho a la información y la protección de datos personales en un contexto general y su construcción teórica y jurídica.

Derecho a la intimidad

  • Declaración Universal de los Derechos Humanos, ONU, 10 de diciembre de 1948
  • Pacto Internacional de Derechos Civiles y Políticos, ONU, 16 de diciembre de 1966
  • Convención Americana sobre Derechos Humanos de 1969
  • Declaración Americana de los Derechos y Deberes del Hombre
  • Convención sobre los Derechos del Niño de 1989
  • Unión Europea
  • Convención Europea de Derechos Humanos

Esta declaración, la primera redactada en este siglo en materia de derechos humanos, en su artículo 5 señala que “toda persona tiene derecho a la protección de la ley contra ataques abusivos a su honra, reputación y vida privada y familiar”; y en su artículo 10 señala que "toda persona tiene derecho a la inviolabilidad y circulación de su correspondencia". Finalmente cabe agregar la Convención sobre los Derechos del Niño de 1989, que menciona en su artículo 16 que “ningún niño será sometido a injerencias arbitrarias o ilegales en su vida privada, familiar, domiciliaria o en su correspondencia ni a ataques ilegales. a su honor o reputación”; En cualquier caso, el niño también tiene derecho a la protección de la ley contra tales intrusiones y ataques.

Derecho a la protección de los datos personales

  • Resolución 509 del Consejo de Europa de 1968 sobre protección de datos
  • Carta de los Derechos Fundamentales de la Unión Europea de 2000
  • Convenio número 108 del Consejo de Europa para la protección de las Personas con respecto al
  • Resolución 45/95 de la Asamblea General de la ONU de 1990
  • Sentencia del Tribunal Alemán de 1983
  • Directiva 95/46/CE sobre la Protección de las Personas Físicas en lo que respecta al Tratamiento
  • Directiva 97/66/CE del Parlamento Europeo y del Consejo sobre procesamiento de datos en el
  • Estados Unidos y Canadá
  • Ley de Privacidad (Privacy Act)
  • Electronic Communications Privacy Act
  • Personal Information Protection and Electronic Documents Act
  • Memorándum de Montevideo (Región Iberoamericana)

Los Estados miembros, de conformidad con las disposiciones de la presente Directiva, garantizarán la protección de los derechos y libertades fundamentales de las personas físicas, y en particular el derecho a la privacidad, en lo que respecta al tratamiento de datos. 19 Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, sobre el tratamiento de datos personales y la protección de la privacidad en el sector de las telecomunicaciones.

Antecedentes internacionales y marco jurídico de protección de datos personales…

Normas emitidas por organismos internacionales

  • Lineamientos de la OCDE
  • Marco de privacidad del APEC
  • Marco de la comunidad europea
  • Otras regulaciones en materia de datos personales
  • Sentencia C-362/14 del Tribunal de Justicia de la Unión Europea

19-110, y sus diversos cuadernos titulados: El derecho a la protección de datos personales en la sociedad de la información., Universidad de Deusto, Cuadernos Deusto de Derechos Humanos, núm. Orígenes y Principios de la Ley Federal de Protección de Datos Personales en Posesión de Particulares en México Datos Personales en Posesión de Particulares en México. Uno de los objetivos fundamentales de la citada ley es proteger la información y los datos de las personas naturales de manera que se regule la adquisición, uso, divulgación o almacenamiento de datos personales de cualquier forma.

A través de la Ley Federal de Transparencia se delinearon los primeros matices y disposiciones del derecho a la protección de datos en México. El Estatuto Orgánico de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros. Las organizaciones (empresas) participantes deben brindar una protección adecuada de la privacidad, es decir, ser confiables en el procesamiento de datos personales;

Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, sobre el tratamiento de datos personales y la protección de la privacidad en el sector de las telecomunicaciones.

Marco jurídico nacional en materia de privacidad y protección de datos personales

  • Evolución del derecho a la privacidad y protección de datos en México
  • La necesidad de protección de información y datos personales como derecho fundamental en
  • Orígenes y principios de la Ley Federal de Protección de Datos Personales en Posesión de los
  • Marco jurídico nacional en materia de protección de datos
  • Constitución Política de los Estados Unidos Mexicanos
  • Ley Federal de Acceso a la Información Pública Gubernamental
  • Ley Federal de Protección de Datos Personales en Posesión de los Particulares
  • Ley Federal del Derecho de Autor
  • Ley Federal de Protección al Consumidor
  • Autoridades nacionales de la materia
    • IFAI/INAI
    • PROFECO
    • CONDUSEF

Valor e importancia de la protección de la información en las empresas

Tratamiento de datos personales e información en las empresas

Importancia económica de los datos personales en las empresas

63 En efecto, a través de la vigilancia completa de llamadas telefónicas, mensajes de texto, ubicación a través de sistemas GPS, redes sociales, entre muchas otras actividades cotidianas de cualquier individuo, los gobiernos, partidos políticos, empresas y consorcios globales conocen hasta el más mínimo detalle de la vida de las personas y de sus actividades cotidianas. tareas para crear hábitos de consumo predefinidos y "personalizados". Al formar parte de una sociedad digital y con el imparable desarrollo de las tecnologías de la información, los datos personales, especialmente los compartidos a través de Internet, se han convertido inevitablemente en un bien muy preciado en el mercado. Así lo demuestran las cifras proporcionadas por un estudio de la consultora "Roland Berger", publicado recientemente en el periódico francés "Le Figaro": los datos personales que las grandes empresas venden y compran se comercializan por valor de más de 100.000 millones. . de dólares.49.

Según el artículo, existe un complejo sistema de precios en el que el precio del acceso a los datos de las personas dependerá de determinadas categorías, por ejemplo: los datos de 1.000 compradores potenciales de productos de la industria ligera se pueden vender por unos dos dólares, mientras que los datos de 1.000 A los compradores de automóviles les cuesta alrededor de 85 USD. El hecho revelador es ese. 49 Véase: "Données personales: un marché de 100 mil millones de dólares en Francia". marche-de-100milliards-de-dollars-en-france.php. Las 64 categorías más caras de este mercado son las personas con cáncer, con datos de 1.000 pacientes valorados en unos 260 dólares. Stephen Baker, escritor y periodista estadounidense, explica de forma amena y simpática este complejo fenómeno en su libro "The Numerat", 50 que por la información y estadísticas que aporta parece ciencia ficción, pero en realidad refleja la actualidad del marketing. . estrategias. , que, a pesar de ser completamente innovadoras y efectivas, también vulneran el derecho a la privacidad, ya que vulneran todo lo relacionado con la protección de datos personales.

En la próxima década cada uno de nosotros generará, a menudo sin saberlo, nuestros propios patrones en todos los aspectos de la vida.

Principio de “responsabilidad demostrada” (“accountability”)…

66 En México, el concepto de “responsabilidad” como tal no está previsto en la legislación, pero esto no significa que la entidad responsable del manejo de la información y los datos personales no deba ser responsable por los daños causados ​​por su mala conducta, ni que no garantiza una reducción de los efectos e impacto de un imprevisto. En este sentido, se considera que el término “responsabilidad” debe incluirse en estos modelos de autorregulación, políticas de seguridad de la información, esquemas de protección, como una herramienta más que garantice al usuario el manejo y procesamiento seguro de su información personal y de sus datos. Ante la existencia de este elemento, sin embargo, la empresa responsable debe cuidar de respetar las políticas de seguridad de la información o esquemas de protección a los que ha estado sujeta, o crear mejoras que le permitan brindar un ambiente de seguridad para su beneficio. y por supuesto en beneficio de los particulares.

Empresas que califican para un modelo de protección de datos especifico

Estas empresas se dedican a realizar actividades de análisis de mercado e investigar e identificar el potencial del mercado, el comportamiento del consumidor, el funcionamiento de los competidores en un determinado segmento, factores que rodean a una determinada industria o sector, perspectivas comerciales de un producto o servicio. , estudios para generar una actitud derivada de la opinión pública, la determinación de las condiciones sociales que muestran los flujos comerciales, la efectividad publicitaria de un producto o servicio en un área específica, patrones de comportamiento y consumo en relación con diversos factores, etc.; Lo más importante es el uso de la información y los datos personales como factor decisivo para la investigación económica. 68 Estas empresas, como se percibe, se dedican prácticamente a recopilar datos de individuos para clasificarlos según diversos criterios de marketing, como edad, sexo, ubicación geográfica, hábitos de consumo, capacidades financieras, etc., sin haber sido requeridos previamente por un proveedor de productos o servicios. Por supuesto, estas empresas tratan datos personales debidamente clasificados y ordenados según los criterios antes mencionados, ya sea mediante su venta, alquiler o cualquier otra modalidad comercial.

También manejan tarjetas de crédito, bajo diferentes marcas (Visa, MasterCard, etc.), y utilizan sus bases de datos con fines de marketing e incluso para promover la venta de productos no financieros. Las compañías de tarjetas de crédito también crean y mantienen grandes bases de datos de sus titulares de tarjetas y utilizan sus bases de datos para comercializar sus servicios y, en algunos casos, para comercializar el uso de dichas bases de datos con terceros. . 69 Estas empresas generalmente administran bases de datos de sus clientes y desarrollan mecanismos de fidelización, fidelidad y trato diferenciado con recompensas y promociones.

Cuando quieren anunciar sus productos y servicios, suelen utilizar estas bases de datos en sus campañas a través de correo directo, correo electrónico o telemercadeo.

La importancia de una auditoria en un modelo de protección de información

  • Definición
  • Antecedentes
  • Tipos de auditoría
  • Fases de la auditoría
  • Finalidad de la auditoría
  • Antecedentes de la auditoría informática
  • Concepto de auditoría informática
  • Objetivos de la auditoría informática
    • Objetivo general
    • Objetivos específicos
  • Seguridad de la información
  • Metodologías para la implementación de seguridad de la información (norma ISO 27001)

La auditoría informática es un mecanismo diseñado para proteger los sistemas tecnológicos y mantener la integridad de la información de una empresa u organización. El estándar especifica cómo gestionar la seguridad de la información a través de un sistema de gestión de seguridad de la información. 76 e) La protección de datos es inútil si se limita al territorio de la Unión y no. Según lo dispuesto en la Directiva, también se garantiza una protección adecuada en los terceros países a los que se transfieren los datos;

El programa "Safe Harbor" ofrece una serie de importantes beneficios tanto a las empresas estadounidenses como a las de la Unión Europea:61. El Modelo de Protección involucra una revisión (auditoría) completa que permite identificar los elementos de protección para la construcción de una plataforma de gestión y, sobre todo, control de la información y datos personales. Luego de la revisión de la información proporcionada, y la elaboración de los avisos de privacidad, se realiza la asesoría para la designación del responsable de la protección de datos personales en la empresa, así como los lineamientos para la implementación de los avisos de privacidad.

Más precisamente, el criterio de preservación de datos y protección de la información se refiere no sólo al almacenamiento y preservación de datos estadísticos e históricos, sino también a la identificación permanente de los "activos intangibles" que se encuentran.

Análisis del procedimiento “Safe Harbor” como auditoría

  • Principios generales de privacidad en el marco “Safe Harbor”
  • Beneficios del sistema “Safe Harbor”
  • Certificación del marco “Safe Harbor”
  • Retos o áreas de oportunidad

Propuesta de modelo de protección de información y datos personales en una

  • Implementación
  • Revisión
  • Mantenimiento y actualización
  • Proyecto y plan de trabajo

Serán criterios y políticas de gestión aquellos lineamientos, acuerdos o líneas de acción u opinión que los líderes de la empresa discutirán, aprobarán y luego respetarán, para el correcto funcionamiento del modelo de protección. El plan de trabajo debe elaborarse teniendo en cuenta los recursos de la empresa, la capacidad instalada, los presupuestos y el tiempo deseado. En el ciclo de planificación, se realiza por primera y única vez el ejercicio de auditoría o revisión exhaustiva que realiza el auditor en relación con los procesos, procedimientos, documentos, contratos e instrumentos con los que la entidad (empresa) auditada recopila información. y datos personales, con el fin de desarrollar políticas de privacidad, seguridad de la información, así como los avisos de privacidad pertinentes, de conformidad con los requisitos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su.

Cabe señalar que la implementación incluye medidas técnicas de gestión como programas, sistemas, servidores, equipos y otros dispositivos tecnológicos que recopilan, almacenan, utilizan y almacenan datos personales e información de la empresa. La comunicación interna significa conocer, explicar, aceptar e implementar nuevas medidas entre los empleados que intervienen en las diferentes áreas de la empresa. La etapa o fase de revisión consiste en un proceso periódico de seguimiento del funcionamiento del sistema de gestión de seguridad de la información, en el que se comprueba si los resultados cumplen con los objetivos marcados.

Si la actualización y mejora se centra en la gestión y operación de bases de datos, mantenimiento técnico de la plataforma o actualización de programas informáticos e incluso hardware; trabajar.

Figura 2. Ciclos del modelo de protección de información y datos personales.
Figura 2. Ciclos del modelo de protección de información y datos personales.

Figure

Figura 1. Contraste entre los derechos a la propiedad material e inmaterial.
Figura 2. Ciclos del modelo de protección de información y datos personales.
Cuadro 1. Modelo de protección de información y datos personales.

Referencias

Descargar ahora ( PDF - 108 página - 758.11 KB )

Outline

Memorándum de Montevideo (Región Iberoamericana) Marco de privacidad del APEC Marco de la comunidad europea Ley Federal de Protección de Datos Personales en Posesión de los Particulares Ley Federal de Protección al Consumidor IFAI/INAI Metodologías para la implementación de seguridad de la información (norma ISO 27001)

Documento similar

de Carreteras EI Tercer Congreso Pan Americano Orgnnizadcra hay uno de palpitan.te actualidad para nuestro pats,

Propicdades esenciales de los terrenos tanto para fundaciones como para los ag'lorner anbes usados en divers os tipos de afirmados.. 2.--,-Stibrasantes 0 superficies' de Iundacicn