ANONIMIZACIÓN DE DATOS ESTRUCTURADOS

Description

Guía de anonimización de datos estructurados elaborada por el Archivo General de Nación, se realiza mapa mental con fines académicos
Emily Cris
Mind Map by Emily Cris, updated more than 1 year ago
Emily Cris
Created by Emily Cris about 3 years ago
7
0

Resource summary

ANONIMIZACIÓN DE DATOS ESTRUCTURADOS
  1. INTRODUCCIÓN
    1. La finalidad del proceso de anonimización es evitar la identificación de las personas y reducir su probabilidad de reidentificación sin afectar la veracidad de los resultados y utilidad de los datos que han sido tratados
      1. Este procedimiento es especialmente relavante en los entornos que surgen con la evolución tecnológica y fenómeno como Big Data u Open Data, los cuales aumentan la probabilidad de reidentificación de las personas
        1. La guía busca garantizar la protección de cualquier información producida, gestionada o recolectada que contenga datos personales bajo las siguientes premisas:
          1. 1. Protección de derechos
            1. 2. Transparencia y datos abiertos
              1. 3. Acceso e interoperabilidad
                1. 4. Eficiencia Administrativa
                  1. 5. Reportes de información
                  2. Objetivo de la guía
                    1. 1. Precisar conceptos y proporcionar una orientación metodológica a las entidades públicas y privadas con funciones públicas
                      1. 2. Contribuir a que las entidades públicas o privadas den cumplimiento a la normatividad existente en materia de protección de datos personales
                        1. 3. Proporcionar orientación sobre las técnicas de anonimización y su uso adecuado según los conjuntos de datos que requieran ser anonimizados
                        2. Alcance de la guía
                          1. La orientación metodológica y técnicas de anonimización de datos personales que se presentan, estan orientados para datos estructurados. No para archivos multimedia
                          2. Público Objetivo
                            1. Dirigida a entidades que gestionen, almacenen, administren, obtengan, produzcan, procesen, custodien y publiquen información dando cumplimiento a la normatividad
                          3. Anonimización de Datos Personales
                            1. ¿Qué son los datos personales?
                              1. Se define como cualquier información que pueda asociarse a una o varias personas naturales determinadas o determinables
                              2. ¿Qué es anonimizar datos?
                                1. Es el proceso mediante el cual se condiciona un conjunto de datos de modo que no se pueda identificar a una persona, pero pueda ser utilizad para realizar análisis técnico y científico válido sobre ese conjunto de datos.
                                  1. El proceso requiere una adecuada comprensión del próposito final de la utilización de la información, así como de su nivel de utilidad; una vez realizado el proceso de anonimización se reduce la información original del conjunto de datos
                                  2. ¿Cúando se considera que los datos son anonimizados?
                                    1. Los datos se encuentran anonimizados cuando los sujetos dueño de los datos ya no pueden ser identificables; estos se pueden usar, reutilizar y divulgar sin violar el derecho a la protección de datos de los titulares de la información
                                    2. ¿Por qué se debe anonimizar?
                                      1. Para impedir que, a partir de un dato o de una combinación de datos de una misma fuente, se logre identificar sujetos individuales
                                        1. Para proteger los derechos de los titulares de los datos e información y reducir o eliminar el riesgo de reidentificación
                                          1. Para evitar la identificación directa e indirecta
                                            1. Para facilitar la divulgación, publicación e intercambio de datos, sin vulnerar los derechos a la protección de datos
                                              1. Para publicar de manera segura datos abiertos protegiendo la privacidad de las personas
                                                1. Para cuando se intercambia información con otra entidades y este intercambio requiere la inclusión de datos personales
                                                2. La protección de datos personales en el entorno de la transformación digital
                                                  1. El conjunto de tecnologías que permite tratar grandes volúmenes de datos, generados a grandes velocidades y por múltiples fuentes de información que permiten transformar los datos en información y de esta forma aportar soluciones y oportunidades a asuntos de carácter privado y/o política pública
                                                  2. ¿Cúales son los principios de la anonimización?
                                                    1. De acuerdo con el decreto 1074/15, los responsables de la recolección de datos personales deberán proveer una descripción de los procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de la información, y describir la finalidad para la cual se recolectó la información.
                                                      1. Principio de privacidad por diseño
                                                        1. Las medidas de seguridad para la implementación de este principio debe considerar los siguientes factores:
                                                          1. 1. Los niveles del riesgo del tratamiento para los derechos de los titulares de los datos
                                                            1. 2. La naturaleza de los datos
                                                              1. 3. Las consecuencias que se originen de una vulneración para los titulares de los datos, evaluando los daños y perjuicios causados
                                                                1. 4. El número de titulares de los datos
                                                                  1. 5. El tamaño de la organización
                                                                    1. 6. La fiabilidad de la técnica aplicada al tratamiento de datos (SIC. 2019)
                                                                  2. Principio de privacidad por defecto
                                                                    1. Por defecto, las entidades deben garantizar que los datos personales se traten con la mayor protección a la intimidad, y deben procesar únicamente los datos personales necesarios para el propósito específico del tratamiento
                                                                      1. Este principio abarca:
                                                                        1. 1. La cantidad de datos recogidos
                                                                          1. 2. La extensión de su tratamiento
                                                                            1. 3. El plazo de su conservación, y
                                                                              1. 4. La accesibilidad
                                                                        2. Marco Júridico
                                                                          1. La anonimización de datos es un proceso que permite mitigar los riesgos asociados al tratamiento de datos personales, lo cual reduce la probabilidad de vulnerar los derechos a la protección de datos de las personas
                                                                          2. Regulación Internacional en Materia de Protección de Datos e Información
                                                                            1. La protección de datos en la Unión Europea está conformado por amplias garantías respaldadas por la constitución como derechos fundamentales integrales, y sus principios se aplican independientemente del contexto.
                                                                            2. Marco Regulatorio en Colombia
                                                                              1. En la C.P. de 1991/ Art. 15. Establece el derecho que tienen todas las personas a conservar su intimidad, mantener su buen nombre y a la protección y garantía del Habeas Data
                                                                                1. En relación con la protección de datos personales, el régimen normativo colombiano dispone de la Ley 1266/2008 y la Ley 1581/2012
                                                                                  1. La Ley 1266/2008 definio la tipología de los datos de carácter personal (SIC.2014)
                                                                                    1. Dato Íntimo o Privado
                                                                                      1. Es el dato que por su naturaleza íntima o reservada solo es relevante para el titular
                                                                                      2. Dato Semiprivado
                                                                                        1. Es semiprivado el dato que, no tiene naturaleza ínitma, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no s´lo a su titular. Ej. Historial créditicio
                                                                                        2. Dato Público
                                                                                          1. Son públicos los datos que están relacionados con un interés general, en documentos públicos, sentencias judiciales que no están sometidos a reserva
                                                                                        3. Adicional, la Ley 1581/2012 establece los principios rectores que rigen el tratamiento de datos personales bajo custodia
                                                                                          1. Se establecen las siguientes categorías de datos personales
                                                                                            1. Datos sensibles
                                                                                              1. Aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación
                                                                                              2. Datos personales de los niños, niñas y adolescentes
                                                                                                1. Se prohibe el tratamiento de los datos personales de los niños, niñas y adolescentes, salvo aquellos que por su naturaleza son públicos, se asegure sin excepción alguna, el respeto a sus derechos prevalentes
                                                                                      3. Principios relativos al tratamiento de datos
                                                                                        1. A partir de la Ley 1266/2008 y la Ley 1581/2012 se estipularon los siguientes principios aplicados a la administración y tratamiento de datos:
                                                                                          1. ► Principio de legalidad
                                                                                            1. ► Principio de veracidad o calidad de los registros o datos
                                                                                              1. ► Principio de transparencia
                                                                                                1. ► Principio de finalidad
                                                                                                  1. ► Principio de libertad
                                                                                                    1. ► Principio de acceso y circulación restringida
                                                                                                      1. ► Principio de temporalidad de la información
                                                                                                        1. ► Principio de interpretación de derechos constitucionales
                                                                                                          1. Principio de seguridad
                                                                                                            1. ► Principio de confidencialidad
                                                                                                          2. Procedimientos y Requisitos para Autorizar el Tratamiento de Datos Personales
                                                                                                            1. De acuerdo al Decreto 1377/2013 señala que los responsables del tratamiento de datos personales deben establecer mecanismos para obtener la autorización de los titulares o de quien se encuentre legitimado, garantizado su consulta por parte del titular
                                                                                                              1. Los legitimados para obtener datos personales son:
                                                                                                                1. 1. EL titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable
                                                                                                                  1. 2. Causahabientes del titular, quienes deberán acreditar tal calidad
                                                                                                                    1. 3. Representante y/o apoderado del titular previa acreditación de la representación o apoderamiento
                                                                                                                2. Marco Normativo en Colombia para la protección de Datos Personales
                                                                                                                  1. ▬ Constitución Política de Colombia 1991, Artículo 15
                                                                                                                    1. ▬ Ley 1266/2008
                                                                                                                      1. ▬ Ley 1273/2009
                                                                                                                        1. ▬ Decreto 1727/2009
                                                                                                                          1. ▬ Decreto 2952/2010
                                                                                                                            1. ▬ Ley 1581/2012
                                                                                                                              1. ▬ Decreto 1377/2013
                                                                                                                                1. ▬ Decreto 1074/2015
                                                                                                                              2. 3. Metodología: ¿Qué pasos se deben seguir para anonimizar datos?
                                                                                                                                1. Se recomienda que le entidad conforme un equipo de trabajo, el cual podría depender del área de seguridad informática, del grupo de la dirección o coordinación de tecnologías de la información. También es importante que se vincule el área de gestión documental
                                                                                                                                  1. Lo ideal es que exista un equipo conformado por:
                                                                                                                                    1. ▲ Responsable del tratamiento de datos
                                                                                                                                      1. ▲ Persona encargada de la protección de datos personales
                                                                                                                                        1. ▲ Líder o coordinador del proceso de anonimización
                                                                                                                                          1. ▲ Profesional o equipo de evaluación de riesgos
                                                                                                                                            1. ▲ Profesional o experto temático
                                                                                                                                              1. ▲ Profesional de seguridad informática y evaluación de riesgo
                                                                                                                                                1. ▲ Profesional o equipo de informática
                                                                                                                                                  1. ▲ Equipo de pre-anonimización y anonimización
                                                                                                                                                    1. ▲ Profesional de pruebas
                                                                                                                                                  2. Objetivos que se Quieren Alcanzar con los Datos Anonimizados
                                                                                                                                                    1. El diseño del proceso de anonimización de datos debe estar dado por la finalidad que quiere alcanzar la entidad con el uso de la información anonimizada
                                                                                                                                                    2. Identifique qué tipo de datos se requiere anonimizar
                                                                                                                                                      1. Se recomienda identificar si los datos son estructurados o por el contrario, se trata de datos no estructurados
                                                                                                                                                        1. Se define la clasificación de los datos:
                                                                                                                                                          1. Características de los datos estructurados: Están organizados conforme a un modelo o esquema
                                                                                                                                                            1. Tipicamente están representados en bases de datos que hacen parte del funcionamiento de sistemas de información o están organizados en hojas de cálculo
                                                                                                                                                            2. Características de los datos no estructurados: Su organización y presentación no está guiada por ningún modelo o esquema
                                                                                                                                                              1. Se incluye: Imágenes, texto, audios, contenido de redes sociales, videos, documentos en word o pdf
                                                                                                                                                              2. Características de los datos semiestructurados: Su organización y presentación tiene una estructura básica (etiquetas o marcadores), pero no tiene establecido una definición de relaciones en su contenido. Ej: E-mails, tweets, archivos XML
                                                                                                                                                          2. Identifique y Clasifique los Atributos
                                                                                                                                                            1. En este paso se clasifican los atributos del conjunto de datos como identificadores directos, indirectos o no identificadores
                                                                                                                                                              1. Existen tres condiciones para que una variable se considere un identificador
                                                                                                                                                                1. I REPLICABILIDAD: Los valores del campo deben tener cierta consistencia a lo largo del tiempo para que se pueda hacer una análisis en relación con el sujeto.
                                                                                                                                                                  1. II. DISTINGUIBILIDAD: Los valores del campo deben tener suficiente variación para distinguir al sujeto de otros valores, dentro de un conjunto de datos
                                                                                                                                                                    1. III. CONOCIBLE: Para poder reidentificar a un sujeto, es necesario que se conozca previamente algunos de los identificadores y variables asociadas a este.
                                                                                                                                                                      1. Si los atributos son identificadores, estos pueden ser directos o indirectos
                                                                                                                                                                        1. Identificadores Directos: Son todas aquellas características o atributos distintivos que por sí mismos permiten la identificación de una persona natural o jurídica
                                                                                                                                                                          1. Identificadores indirectos o cuasi-identificadores: Son aquellos características o atributos que por sí solos no permitan la identificación de una persona natural o jurídica, pero que relacionados con otros identificadores indirectos podrían permitir la identificación dentro de un conjunto de datos
                                                                                                                                                                    2. Evalúe el riesgo de reidentificación
                                                                                                                                                                      1. El riesgo de reidentificación esta implícito y aumenta a medida que transcurre el tiempo desde la anonimización de los datos, como consecuencia de los identificadores indirectos a los largo del tiempo
                                                                                                                                                                        1. A continuación, se enumeran los principales aspectos que los responsables de la anonimización y del tratamiento del riesgo deben tener en cuenta a la hora de considerar aplicar alguna técnica
                                                                                                                                                                          1. Inferencia: Consiste en deducir un vínculo entre dos elementos de información en un conjunto de datos, aunque la información no este explícitamente vinculada.
                                                                                                                                                                            1. Vinculabilidad: Este riesgo ocurre cuando se pueden vincular como mínimo dos datos de una única persona o de un grupo de interesados, ya sea en la misma BdD o en dos BdD distintas
                                                                                                                                                                              1. Singularización: Ocurre cuando es posible distinguir, extraer o particularizar los datos relacionados que identifican a una persona dentro de una conjunto de datos
                                                                                                                                                                          2. Determina las técnicas de anonimización
                                                                                                                                                                            1. Se recomienda que la determinación de las técnicas de anonimización sea realizada por el equipo de trabajo, así como la realización de pruebas que permitan verificar su efectividad
                                                                                                                                                                              1. Existen tres enfoque diferentes de técnicas de anonimización:
                                                                                                                                                                                1. Aleatorización: Consiste en una agupación de técnicas que alteran o modifican la autenticidad y la veracidad de los datos para eliminar el vínculo entre ellos
                                                                                                                                                                                  1. Modalidades de aleatorización
                                                                                                                                                                                    1. Adición al ruido: No permite que se pueda identificar a un individuo, tampoco reparar los datos o detectar cómo se han modificado
                                                                                                                                                                                      1. Permutación: Se caracteriza por el intercambio de los valores incluidos en un conjunto de datos a partir del traslado de datos de un registro a otro
                                                                                                                                                                                    2. Generalización: Tiene como propósito modificar datos a través de escalas u órdenes para generar esquemas de datos de acuerdo con características comunes.
                                                                                                                                                                                      1. Los métodos utilizados para la generalización son:
                                                                                                                                                                                        1. Agregación y anonimato: Consiste en generar rangos que puedan agrupar caraterísticas en macro características o intervalos
                                                                                                                                                                                          1. Diversidad y Proximidad: Es similar a la metodología de Agregación, sin embargo, en esta caso los rangos se deben establecer de tal forma que los datos de los individuos puedan ser agrupados y ninguno pertenezca a una categoría individual.
                                                                                                                                                                                        2. Seudonimización: Es el proceso mediante el cual se sustituye un dato o atributo por otro, normalmente la información que se intercambia son atributos únicos, que, por sus características, permiten reidentificar a los individuos
                                                                                                                                                                                    3. Evalúe la utilidad de los Datos
                                                                                                                                                                                      1. Para evaluar la relación entre la utilidad de los datos y el nivel de protección de datos personales se identifican dos procedimientos:
                                                                                                                                                                                        1. 1. Aproximación denominada "Utility First", que consiste en anonimizar los datos manteniendo la utilidad de los datos y posteriormente analizar el riesgo de reidentificación
                                                                                                                                                                                          1. 2. Denominado "Privacity First", que consiste en identificar el nivel de privacidad que se desea alcanzar, sin atribuir mayor relevancia al nivel de utilidad de los datos
                                                                                                                                                                                        2. Documente el proceso de anonimización
                                                                                                                                                                                          1. La descripción, características y detalles del proceso de anonimización se deben plasmar en un documento que permita facilitar su revisión, mantenimiento, auditabilidad y replicabilidad
                                                                                                                                                                                          2. Publique o Comparta la información
                                                                                                                                                                                            1. Una vez estructurado y aprobado el documento, divulgar y socializar el documento final con los interesados, tanto los participantes el proceso de elaboración como quienes deben ser responsables de su implementación y seguimiento
                                                                                                                                                                                          3. 4. Gobernanza de Datos
                                                                                                                                                                                            1. El proceso de anonimización debe estar incluido en un marco de gobernanza de datos propio de la entidad que permita hacer un seguimiento continuo al conjunto de datos publicados y anonimizados
                                                                                                                                                                                              1. Este marco de gobernanza debe incluir los protocolos y documentación de la metodología de acceso al conjunto de los datos
                                                                                                                                                                                                1. La identificación de responsables del conjunto de datos
                                                                                                                                                                                                  1. La gestión de claves para garantizar que los datos se mantengan seguros
                                                                                                                                                                                                    1. La revisión periódica de los riesgos de anonimización
                                                                                                                                                                                                      1. La documentación y realización de auditorias a los destinatarios de los datos
                                                                                                                                                                                                        1. La gestión y protocolo en caso de violación de datos personales
                                                                                                                                                                                                          1. Realización de seguimiento a los requisitos de cumplimiento de protección de datos personales
                                                                                                                                                                                            Show full summary Hide full summary

                                                                                                                                                                                            Similar

                                                                                                                                                                                            Aprendizaje y enseñanza de los contenidos escolares 1: Datos y Conceptos
                                                                                                                                                                                            maya velasquez
                                                                                                                                                                                            Terminología
                                                                                                                                                                                            Gabriel Flórez
                                                                                                                                                                                            Cómo crear un Mapa Mental
                                                                                                                                                                                            maya velasquez
                                                                                                                                                                                            Mapas mentales con ExamTime
                                                                                                                                                                                            maya velasquez
                                                                                                                                                                                            Mapa Mental para Resumir y Conectar Ideas
                                                                                                                                                                                            Diego Santos
                                                                                                                                                                                            Selectividad: Horario de Estudio (1 mes)
                                                                                                                                                                                            maya velasquez
                                                                                                                                                                                            Guía Rápida para Comenzar a Usar GoConqr
                                                                                                                                                                                            Diego Santos
                                                                                                                                                                                            Mapas mentales con GoConqr
                                                                                                                                                                                            maya velasquez
                                                                                                                                                                                            Guía Rápida para Comenzar con GoConqr
                                                                                                                                                                                            Diego Santos
                                                                                                                                                                                            Bienvenido a GoConqr
                                                                                                                                                                                            Diego Santos