Incidente de seguridad en el tratamiento de Datos Personales, ¿Qué HACER?

En primer lugar se puede afirmar que un “incidente de seguridad” es toda situación, hecho o acto que sobreviene en el curso de la captura, tratamiento o conservación de los datos personales y que afecta o pone en riesgo su reserva, su integridad o su disponibilidad.

Ahora, ¿Qué hacer para responder a un incidente de seguridad? Según la Guía de la SIC para el tratamiento de los incidentes de seguridad lo que se debe hacer, de MANERA SIMULTANEA, es lo siguiente:

1.- Contener el incidente de seguridad y hacer una evaluación preliminar

2.- Evaluar los riesgos e impactos asociados con el incidente de seguridad

3.- Identificar los daños para las personas, organizaciones y público en general

4.- Notificar a la SIC

5.- Comunicar a los titulares de la información

6.- Prevenir futuros incidentes de seguridad de los Datos Personales

De acuerdo con la Guia de la SIC, entre las causas de los incidentes de seguridad, a título de ejemplo, se cuentan las siguientes:

Inexistencia de políticas preventivas de seguridad

Errores o negligencia humana

Casos fortuitos

Actos maliciosos o criminales

Fallas en los sistemas de la organización

Procedimientos defectuosos

Deficiencias o defectos en las operaciones

Alteración o destrucción robo o pérdida de archivos físicos.

En cuanto a medidas PREVENTIVAS de los incidentes de seguridad la Guía de la SIC propone las siguientes:

-          Establecer criterios para precisar exactamente cuándo se está ante un incidente de seguridad.

-          Entrenar periódicamente al equipo humano para actuar frente al incidente se seguridad

-          Definir medidas y procedimientos para la gestión de los incidentes de seguridad

-          Diseñar metodología para evaluación de impacto de los incidentes de seguridad en los titulares de la información y evaluar posibles consecuencias para los titulares

-          Conocer los procesos de respuesta a incidentes de seguridad, sistemas de corrección y de recuperación

-          Reportar el incidente de seguridad tanto a la SIC como a otras autoridades publicas

-          Preparar al equipo de comunicación frente a las posibles preguntas de los titulares de la información

¿Qué debe incluir un Protocolo de respuesta en el manejo de incidentes de seguridad?

1.- una explicación clara de lo que constituye un incidente de seguridad

2.- una descripción de la estrategia para identificar, contener y mitigar los incidentes de seguridad y sus efectos

3.-  los roles y responsabilidades del personal

4.- línea de tiempo de ejecución de las acciones

5.- reporte de progreso (monitoreo)

6.- Evaluación de respuesta y modificaciones (al protocolo y a los procesos)

7.-  acciones

8.- documentación

9.- Revisión

 

Si este articulo le fue útil recuerde navegar en la publicidad. Gracias.

La guía de la SIC puede consultarse aquí

el No hay comentarios.:

A revisar el Código de actividad (CIIU) antes del 31 de enero de 2021

Por medio de la Resolución 114 del 21 de diciembre de 2020 la DIAN actualizo la Clasificación de Actividades económicas que utiliza para efectos tributarios la cual debe ser atendidita por todos los contribuyentes y personas o entidades con obligaciones tributarias.

Según la resolución 114, articulo 2 los obligados a cumplir obligaciones tributarias, aduaneras y cambiarias cuya codificación de la actividad económica que desarrollan cambia con ocasión de la entrada en vigencia de la resolución 114, deberán actualizarla en el Registro Único Tributario –RUT, a más tardar el 31 de enero de 2021.

Dos (2) temas importantes de la resolución para Recordar:

1.- En las declaraciones y sus correcciones se deberá informar el código de la actividad económica vigente en el periodo al cual corresponde la declaración.

2.- Cuando un contribuyente o responsable desarrolle dos (2) o más actividades económicas, la actividad económica principal será aquella que le genere el mayor valor de ingresos.

 

¿Qué pasa si no actualizado el CIIU?

 

1.- si reporto un código CIIU diferente al que realmente corresponde a mi actividad económica ello podría significar datos distorsionados (o diferentes) de mi empresa o actividad frente a las métricas generales que para efectos estadísticos utiliza el DANE, Supersociedades y la propia DIAN, lo que podría ocasionar procesos de fiscalización. Esta distorsión es particularmente importante en métricas como el margen de rentabilidad fiscal y la tasa efectiva tributacion.

2.- de acuerdo con el artículo 658 – 3 del Estatuto Tributario, se aplicará una multa equivalente a dos (2) UVT por cada día de retraso en la actualización de la información del RUT cuando la desactualización del RUT se refiera a la actividad económica del obligado.

Si este articulo le fue útil recuerde navegar un poco en la publicidad. Gracias.

La Resolución DIAN 114 del 21 de diciembre de 20202 la puedes consultar aquí

La clasificación y EXPLICACIONES del DANE, CIIU Rev 4 AC 2020 puede consultarse aquí

el No hay comentarios.:

Foto como Dato Personal, esta es la Guía de la SIC

La Superintendencia de Industria y Comercio (SIC), expidió la “Guía Sobre El Tratamiento De Las Fotos Como Datos Personales” en la cual luego de recordar que quien toma una fotografía a personas naturales determinadas o determinables está recolectando y tratando Datos Personales dijo que ello es razón suficiente para cumplir la ley 1581 de 2012 y usar las fotos únicamente para los fines autorizados por el Titular del dato o por la ley.

La SIC reitero que la definición legal de ‘documentos’ es muy amplia y comprende, entre otras, las fotos y las videograbaciones y que si una persona toma fotos de sus amigos para fines privados (no comerciales) y desea suministrarlas a terceros (incluyendo redes sociales), en ese caso, según la Ley 1581 de 2012, deberá previamente informarle de ello a la persona fotografiada y solicitar la Autorización para entregar las fotografías a terceros. En este caso, dice la ley, el fotógrafo queda sujeto a las disposiciones legales solo por proporcionar los datos de sus amigos a terceros.

Las recomendaciones en el manejo de fotos según la Guía de la SIC son los siguientes:

I.             Obtener Autorización previa, expresa e informada para tomar fotos y usarlas

II.           Verificar la procedencia legítima de las fotos que le suministran terceros

III.          Tener presentes las reglas especiales para tratar fotos de menores de 18 años

IV.          Informar al fotografiado (Titular del Dato) los fines específicos para los cuales se usarán las fotos

V.           Abstenerse de obtener fotos de manera engañosa y no asumir que las fotos de acceso público puede usarlas libremente

VI.          Exigir el respeto de la regulación de Protección de Datos a los terceros que contrate para tratar fotos

 

Si este articulo le fue útil recuerde navegar en la publicidad. Gracias.

En este enlace pueden consultar la Guia de la SIC para el tratamiento de las fotos 


el No hay comentarios.:
Suscribirse a: Entradas (Atom)