DATA RISK MANAGEMENT December 30th

Data Risk frente a la explosion de Datos

EXPLOSION EN CUANTO A:volumen y velocidad de datos;

Crecen fuentes de diseminación de datos (dispositivos móviles inteligentes, IoT, Big data y percepciones de los datos “perfiles”).

Contexto del Data Risk

Desprotección de la Privacidad y datos personales.

Internet = Libertad de Expresión + Snowden vs Ciber seguridad +

Nueva Ciudadanía Digital. Autodeterminación informática

Revolución de Datos

Gestión del Data RiskA considerar:

Nueva generación de usuarios y empoderamiento ciudadano a través de

derechos con alcance indefinidos y dependiente del tipo de dato del que se

trate.

Gestión del Data Risk Muchos tipos de Data

Open data: Contenido político y de nueva forma de participación ciudadana moderna en la gestión de la cosa pública dentro de una concepción de una democracia más participativa.

Big Data e IoT: Nuevo activo y actividad. Revolución de la información. Importancia de los datos para fijar valor en nuevos modelos de negocios basados en la base de clientes existentes.

Data Breach y Data Security: Obligación de reportes y medidas de seguridad ante ataque a las redes con impacto sobre el control de datos personales de terceros.

Personal Data: Es el derecho humano en el ámbito digital.

.

Gestión del Data Risk Insumo de muchos negocios bajo

la economía digitalDATOS PUBLICOS

De titularidad de la ciudadanía pero en poder del Estado.

PRINCIPIO DE MAXIMA APERTURA. NECESIDAD DE MARCO LEGAL EXIGIENDOLO.

ES LA PUERTA DE ACCESO PARA EL EJERCICIO DE OTROS DERECHOS CIUDADANOS.

NUEVA FORMA DE PARTICIPACION POLITICA. DEMOCRACIA PARTICIPATIVA ANTE CRISIS DE REPRESENTATIVIDAD POLITICA.

NO HAY MARCO LEGAL EN LA ARGENTINA

DATOS PRIVADOS Protección constitucional que representa el

derecho de privacidad en esta era digital.

PRINCIPIOS OPUESTOS A LOS APLICABLES A LOS DATOS PUBLICOS. CONFIDENCIALIDAD.

CRITERIO RESTRICTIVO DE APERTURA O CESION.

NECESIDAD DE CONSENTIMIENTO COMPLETO.

HAY MARCO LEGAL EN LA ARGENTINA. LEY DE PROTECCION DE DATOS PERSONALES. LEY 25.326.

Gestión del Data Risk Protección de los datos personales en

Internet incluye: a) Principio de Legalidad: Recepción en textos legales de las

obligaciones de los que recogen y procesan datos de carácter personal así como los derechos de los titulares de los datos personales en juego.

b) Obligaciones de los colectores de datos: - Recopilación, uso, divulgación y conservación de los datos

personales de acuerdo a política de privacidad transparente que permita controlar a sus titulares sobre el uso que se le da a los mismos.

- Obtención del consentimiento informado del titular con respecto al contenido, efectos, ubicación de almacenamiento, la duración y los mecanismos para el acceso, recuperación y corrección de los datos. - Efectivizar el cumplimiento del derecho del titular de los datos a acceder, recuperar y eliminar los datos personales recogidos sobre ellos.

Gestión del Data Risk c) Normas mínimas a cumplir para el uso de datos personales: Minimización de la cantidad de datos y tiempo.Los recolectores de datos tienen la obligación de solicitar el consentimiento activo y notificar a las personas si su información ha sido transmitida a terceros, perdida, robada o mal utilizada.

Adopción de medidas de seguridad adecuadas para la protección de datos personales almacenados en ficheros automatizados contra la destrucción accidental o no autorizada o la pérdida accidental, así como contra el acceso no autorizado, alteración o difusión de estos datos.

Gestión del Data Risk POLITICA CORPORATIVA INSTITUCIONAL. TONE FROM THE TOP. Políticas y prácticas a ser implementadas para la debida protección de datos personales de propios y extraños. Empatía con nuevos usuarios . Diferenciación en le mercado

RISK ASSESMENT Analizar el impacto sobre negocios, compliance y contingencias legales. Forma en que se deberán analizar los datos para actividades de marketing, prevención de fraude y respuestas a los litigios e investigaciones que se puedan derivar de este insumo valioso.

AUDITORIA CUMPLIMIENTO Y CONTROL SOBRE DATA COMO ACTIVO Due Diligence acerca de la legitiimidad de los datos procesados. Verificando la existencia de la debida legalidad de los datos procesados.

Gestión del Data RiskTONE FROM THE TOP. MENSAJE INTERNO Y A LOS USUARIOS

Claras políticas de privacidad. Las cuales deberán ser públicas y prever las características propias de los datos en relación a su titularidad y uso por terceros y las consecuencias legales que se deriven. Ejemplo, responsabilidad por la falsedad de los datos, o por un quiebre en la seguridad de las redes y responsabilidad por terceros proveedores (Cloud Computing).

Complementado con diferentes protocolos específicos para procedimientos de situaciones puntuales:

Manejo de data en investigaciones y auditorías internas (preservación vs derecho de privacidad de los empleados),

Procedimientos para resguardo de Evidencia o Prueba Digital en futuros juicios. Supuestos de Fraude Corporativo Digital.

Gestión de Data RiskNUEVO CAPITULO EN COMPLIANCE Y

AUDITORIA DE DATOSResguardar activo valioso con título perfecto para

su uso y transferencia.

Impacto por actividades que realicen terceros (cloud computing, cibersecurity proveedores).

Gestión del Data Risk

EVOLUCION DE OBLIGACIONES REGULATORIAS Impacto por contingencias sancionatorias y judiciales

futuras. Análisis del marco legal de las actividades desarrolladas. Privacy by Design, Big Data, involucramiento con IoT, etc. Data Breach: Adopción de medidas para garantizar la

seguridad y confidencialidad de los datos personales y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

Gestión del Data Risk Dificultades de implementación de políticas de

privacidad robustas y coherentes sin costos significativos.

Obligación legal de ciberseguridad si se custodian datos de terceros.

Medidas de mitigación del riesgo de sanciones por investigaciones bajo marcos legales en continua evolución.

Gestión del Data RiskCiclo de los datos en una organización:

RECOLECTAR ALMACENAR USAR Y PROCESAR COMPARTIR ARCHIVAR DESTRUIR


Políticas Corporativas de Protección de Datos Personales o de Data Risk Assesment como presupuesto mínimo.

Determinar el ciclo de vida de los datos dentro de cada organización. Pauta de Orientación Local: Disposición DNPDP Nro 7/08 pero para el sector público.

Gestión del Data RiskIdeal de configuración del Privacy by Design

Aseguramiento que la protección de la privacidad sea el modo de operación predeterminado de una organización.Aplicables a

Sistemas de Tecnologías de la Información (TICs)Prácticas de Negocios Responsables Diseño físico e infraestructura de red.


Ideal de configuración del Privacy by Design

Win to Win

Cibernauta: Obtener control personal de la información propia

✚ ✜ ✚

Organizaciones: Obtener ventaja competitiva sostenible

Gestión del Data Risk7 principios del Privacy by Design

1) Proactivo, no Reactivo; Preventivo no Correctivo2) Privacidad como la Configuración Predeterminada

3) Privacidad Incrustada en el Diseño4) Funcionalidad Total- Todos ganan

5) Seguridad Extremo a Extremo. Protección de Ciclo de Vida Completo

6) Visibilidad y Transparencia. Mantenerlo Abierto7) Respeto por la Privacidad de los Usuarios. Mantener

un enfoque centrando en el Usuario.

Gestión del Data RiskConsideraciones al implementar Política de

Protección de Datos de una compañía Flexibilidad de la política y sujeta a revisión y

adaptación continua. Preservar la privacidad de los datos es

responsabilidad de todas las áreas de la compañía.

Contar con plan actual y testeado ante un incidente de pérdida de datos.

Gestión del Data RiskConsideraciones al implementar Política de

Protección de Datos de una compañía

Recomendaciones emitidas en el mundo:

CANADA: Accountability in a Privacy Management Program(Canada, Alberta and British Columbia 2012).

HONG KONG: A Best Practise Guide to Privacy Management Programme (2014)

COLOMBIA: Guía para la implentación del principio de responsabilidad demostrada (accountability) (Superintencia de Industria y Comercio 2015).

Elementos de un Data Management Program

GOVERNANCE

RISK ASSESMENT

CONTROL & PROCCESSE

S

SECURITY TRAINNING

VENDOR MANAGEME

NT

MONITORING

INCIDENT RESPONSE

Gestión del Data RiskElementos indispensables de una

Política de Datos de una Organización Políticas de BYOD y de administración de dispositivos. Clasificación de Datos (tipos, críticos y sensibles, titularidad,

ubicación y forma de control, etc.). Otorgamiento de criterios específicos de accesos para datos

sensibles. Inventario de sistemas de acceso y credenciales. (proveedores

de hosting y cloud, empleados). Establecimiento de controles y exigencias a cumplimentar por

terceros. Digital Right Management (controlar y limitar acceso a datos

propios o sujeta a copyright).

Gestión del Data Risk Elementos indispensables de una

Política de Datos de una Organización

Implementación de Tecnología de Prevención de Pérdidas de Datos.

Minimización de datos y De-identificación. Políticas de destrucción de datos. Protocolos para manejo de data en investigaciones y

auditorías internas preservando derecho de privacidad de los empleados.

Procedimientos para resguardo de Evidencia o Prueba Digital en futuros juicios.

Gestión del Data Risk Elementos indispensables de una

Política de Datos de una Organización

Políticas de administración de passwords y de acceso de los usuarios.

Prácticas de pruebas de penetración y desarrollo de un plan de respuesta ante un ataque. Proceso de reporte y escalación. Creación de equipos de respuesta ante incidentes. Cumplimiento de obligaciones de notificación.

Training a los empleados. Adecuada asignación de presupuesto. Adopción de seguros que cubran incidentes de ciberseguridad. Criterios de comunicación institucional y de adopción de criterios

efectivos de respuesta.

Elementos indispensables de una Política de Datos de una

Organización Data Due Process: Nuevas exigencias procedimentales para administrar estos recursos.

Particularidades en caso de utilizarlos como evidencia en procesos judiciales o administrativos.

TENER MUY EN CUENTA PARA LA DOCUMENTACION A APORTAR EN PROCESOS PENALES DE FRAUDE CORPORATIVO DIGITAL.

PRUEBAS ELECTRONICAS

Forensic: Auxiliar necesario en caso de litigio para acreditar con herramientas y técnicas específicas potencial contenido o actividad relevante del usuario on line.

Necesidad de inspecciones amplias sobre nuestros archivos y asegurar evidencia importante. Diferentes etapas:1) Preservar las fuentes de datos. Debida manipulación para no solo evitar perder el contenido

del dato sino también la metadata.2) Análisis. Protocolo de análisis acordado con la otra parte para definir el alcance del estudio. 3) Producción. Los resultados relevantes del análisis traerá aparejado la adopción de ciertas

acciones. Identificación de documentos relevantes, recuperación de fragmentos de datos borrados, etc.


If your company isn´t focused on keeping their information safe you should stop collecting

it.

Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.(Art. 9 Ley 25.326)

Data Risk ManagementINCIDENTES DE DATA BREACH Y TEMOR AL ATAQUES DE OTRAS

NACIONES.

Sony, Home Depot, Bank of America. Todas víctimas de ataques.Multa de FTC a AT&T de U$S 25 M por data breach de sus clientes en redes del exterior de EEUU. ¿Ataque chino a EEUU? Renuncia de Office of Personal Management (OPM).Target. Acuerdo con Visa por pérdida de datos de sus clientes. Ashley Madison (datos muy sensibles 30 millones de parejas infieles en juego).Declaración de Naciones Unidas de Julio 22, 2015 sobre ICT en el campo de seguridad internacional. (Reporte del grupo de expertos gubernamentales)

Gestión de Data Risk INCIDENTES DE DATA BREACH

MAS VALE PREVENIR QUE CURAR

Negocio mundial de Ciberseguridad en 2015 U$S 75bn. (4,9% + que 2014)

2020 U$S 170bn. (Crecimiento anual 9,8% 2015-20)


INCIDENTES DE DATA BREACH

Estimación del costo promedio de cada data breach en EEUU es de:

U$S 3,5 millones.

Incluye investigación, notificación a los afectados y acciones a adoptar frente a un incidente.

Fuente: 2014 Cost of Data Breach Study Global Analysis de Ponemon Institute


INCIDENTES DE DATA BREACH

El mayor impacto es REPUTACIONAL

¿LO INFORMO SI NO TENGO OBLIGACION LEGAL?¿CÓMO SE COMUNICA AL MERCADO?

¿ES SECTORIAL O PARTICULAR?

Gestión de Data RiskOBLIGACION LEGAL DE ADOPTAR MEDIDAS DE

SEGURIDAD Y CONFIDENCIALIDAD DE LOS DATOS

En Argentina hay obligación legal de adoptar medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales.

Gestión de Data Risk

OBLIGACION LEGAL DE ADOPTAR MEDIDAS DE SEGURIDAD Y CONFIDENCIALIDAD DE LOS DATOS (Art.9 LPDP).

¿En qué consisten?

Evitar adulteración, pérdida, consulta o tratamiento no autorizado de datos personales, y que permitan detectar desviaciones intencionales o no de información, ya sea que provengan de acción humana o del medio técnico utilizado. ¿A cargo de quién?

Responsable o usuario de los datos personales.

Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.(Art. 9 LPDP).

Gestión del Data RiskINCIDENTES DE DATA BREACH

Parámetros recomendados de debida diligencia en ciberseguridad para que una empresa no sea considerada

responsableEEUU: NIST (National Institute of Standards and Technology) para infraestructura crítica.

IDENTIFICAR sistemas críticos del negocio,

PROTEGER (medidas para garantizar la provisión de servicios críticos),

DETECTAR (cuando un evento de ciberseguridad ocurre),

RESPONDER (acciones para terminar o mitigar la amenaza),

RECUPERAR (restablecer funciones o servicios que fueron afectados por los eventos).


Parámetros recomendados de debida diligencia en ciberseguridad para que una empresa no sea considerada responsable

Estados Unidos En 8/15 la justicia (caso Wyndham) le ha reconocido a la FTC la autoridad

de cuestionar las prácticas de ciberseguridad como injustas bajo su competencia para regular prácticas injustas que afecten el comercio.

En 2008 y 2009 este hotel padeció 3 ataques informáticos en sus redes que ocasionó la pérdida de información de tarjetas de crédito de 600.000 clientes y pérdidas deU$S 10 millones por fraude.

Las compañías que manejan datos de sus clientes deben establecer prácticas de privacidad y seguridad de datos razonables, que deberán ser revisadas en forma regular y corregidas sus deficiencias.


Parámetros recomendados de debida diligencia en ciberseguridad para que una empresa no sea

considerada responsableCanadá: Criterio de Comisionado de DP. Numerosas

medidas de prevención en funcionamiento al momento del incidente: (i) uso de firewalls, (ii) encriptamiento de información sensible, (iii) guarda separada de llaves de encriptamiento, (iv) múltiples sistema de detección de intrusión (detectó el ataque).

Gestión del Data Risk Marcos legales díspares: Estados Unidos (leyes

estaduales 47 diferentes) sobre obligaciones de reporte de data breach sin ley federal. Varios países con leyes similares recientes (Canadá PIPEDA, Alemania, Hungría, Australia (proyecto)).

Nueva directiva de la Unión Europea sobre protección de datos personales con requisitos exigentes.

Extensión de la jurisdicción de la futura directiva europea de protección de datos personales a datos pertenecientes a ciudadanos europeos por más que estén fuera de la Unión Europea.

Gestión del Data Risk Impacto de inminente Directiva de la Unión Europea spbre Protección de Datos

Personales:

Ambito territorial: Amplio por aplicarse a datos de ciudadanos europeos por más que estén fuera de la UE. Formas de otorgamiento de consentimiento: Se otorga en forma explícita, totalmente informado a todo aquel que procese datos personales (incluyendo la actividad de análisis) y teniendo la facultad de retirar el consentimiento así como lo otorgaron. Edad de menores para redes sociales. Creación de Perfiles: Posibles nuevas restricciones en profiling, otorgando un derecho a objetar.Data Portability, Derecho al olvido, Derecho a compensación: Por el daños originado por un procesamiento de datos personales ilegítimo. Obligaciones regulatorias: Compañias grandes tener un diagnóstico sobre el riesgo del manejo de los datos y designación de un oficial de cumplimiento de protección de datos personales. Obligaciones de reporte a todos los intervinientes en la cadena de cloud computing.Sanciones severas: Multas por no cumplimiento pueden alcanzar los 100 millones de euros of 5% de los ingresos mundiales, lo que sea mayor.

Gestión del Data RiskImpacto del Nuevo Código Civil y Comercial de Argentina sobre la actividad.El nuevo Código Civil y Comercial tiene el artículo 52 que dice: “La persona humana afectada en su intimidad personal o familiar, honra o reputación, imagen o identidad, o reclamar la prevención y reparación de los daños que de cualquier modo sufridos, conforme a lo dispuesto en el Libro Tercero, Título V.”

Gestión del Data RiskImpacto del Nuevo Código Civil y Comercial de Argentina sobre la actividad.Nuevos criterios de responsabilidad aplicables. Implicancia de los contratos de adhesión y contratos conexos. Posibilidad de requerir prevención de daños.

Gestión del Data RiskRegulación sobre normas de seguridad:

Disposición DNPDP Nro 11/06 y 9/08. (Medida de nivel básico, de nivel medio y de nivel crítico). Medidas de seguridad para el tratamiento y la conservación de los datos personales. Aprueba Documento de Seguridad.Regulación sectorial incipiente para datos personales: Publicidad: Obligación de opt out. Disposición DNPDP Nro 4/09. Software: Disposición DNPDP Nro 18/15. Aplicación del criterio

de Privacy by Design. Drones: Disposición DNPDP Nro 20/15. Video Vigilancia: Disposición DNPDP Nro 10/15.

Gestión del Data RiskNuevas cuestiones legales a ser consideradas:o Todos los sistemas basados en la nube tendrán sus propias

complicaciones, y cada uno de los eslabones de la cadena del cloud será directamente responsable y auditable sobre la privacidad de los datos.

o Determinar momentos de reportes al regulador para morigerar cualquier responsabilidad legal por penalidades.

o Costos adicionales surgirán si se le exigen criterios objetivos de responsabilidad y de prestación del servicio con niveles de garantías altos.

o Nuevas cuestiones laborales surgidas del manejo de los datos.

Gestión del Data RiskNuevas cuestiones legales a ser consideradas:o Facilitar la integración de datos propios con los de

terceras partes a través de mecanismos que faciliten acceso a datos de terceros (venta, compartimiento o la adopción de incentivos (regulatorio) para el acceso.

o El acceso a datos externos debe estar facilitado a través de un marco tecnológico adecuado consistente en la estandarización de los formatos de los datos, implementación de alimentación de datos, etc.

o La creación de sistemas de clasificación de datos genera preocupación porque dichos procesos distan de ser neutrales, automáticos y sin intervención humana dado que a la larga reflejan los valores implícitos o explícitos de los diseñadores de dichos sistemas.

Gestión del Data RiskNuevas cuestiones legales a ser consideradas:

“Pero todo esto, a mí ¿en que me afecta?”Grado de responsabilidad a ser asignado a los miembros del Directorio como consecuencia del no cumplimiento de las diligencias propias del buen hombre de negocios en la protección de los datos personales bajo su custodia. Criterio de responsabilidad residual. ¿Hay cuestiones penales?Afectación del derecho humano del “consumidor digital”. Impacto comunicacional expansivo. La afectación de la privacidad desplazó de la prensa al derecho ambiental aún ante al acuerdo de Paris sobre cambio climático. El desastre ecológico es reemplazado por escándalos de vigilancia digital no autorizada.

Participación requerida de, al menos, los siguientes sectores :

IT

LEGALES

SecurityCOMPLIANCE

HR

Gestión del Data RiskSURGE LA GRAN DUDA

ANTE ESTE ESCENARIO CON TANTAS VARIABLES EN JUEGO

¿No es aconsejable implementar un oficial de cumplimiento de protección de los datos personales

como posición autónoma y dedicada dentro de la empresa?

NO SOMOS NADA ORIGINALES EN LA PREGUNTA ES el criterio a aplicar a las grandes empresas bajo el proyecto de nueva directiva de protección de datos

personales de la UE.



No lo recomendamos. No puede haber una sola persona encargada de esta difícil

misión sino que debe haber concientización de todos los sectores respecto a la protección de los datos personales en todo el ciclo de nuestro

negocio, por tratarse tanto de una garantía constitucional individual como de un insumo muy valioso sobre el cual se estructuran muchos planes de negocio bajo la nueva economía digital.



SE VISLUMBRA POSIBLE SIGNIFICATIVA CONTINGENCIA REGULATORIA Y LEGAL CON

ALCANCES INDEFINIDOS.CONTAR CON POLITICA COMPLETA DE

PRIVACIDAD Y NO BASTA CON PLAN DE PREVENCION Y MITIGACION COMO SOLUCION

TEMPORARIA

Gestión del Data RiskSOLUCION PROPUESTA

CONTAR CON POLITICA COMPLETA DE PRIVACIDAD CON ADAPTACIONES AL MERCADO LOCAL

(NO VALE TRADUCCION DE LA POLITICA DE CASA MATRIZ) LOS TOQUES LOCALES PUEDEN SER BENEFICIOSOS EN ASPECTOS

CRUCIALES COMO LA TRANSFERENCIA INTERNACIONAL DE DATOS A LA UNION EUROPEA

VENTAJA COMPETITIVA DE EMPRESAS LOCALES RESPECTO A LAS ESTADOUNIDENSES QUE NO SON CONSIDERADAS BAJO UN REGIMEN

LEGAL DE PROTECCION DE DATOS ADECUADO (Caso Schrems) NUESTRO REGIMEN de PROTECCION DE DATOS PERSONALES POR

AHORA ES CONSIDERADO COMO ADECUADO.

Documents

DATA RISK MANAGEMENT December 30th