{"id":677,"date":"2022-09-27T13:56:17","date_gmt":"2022-09-27T18:56:17","guid":{"rendered":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/?p=677"},"modified":"2023-06-29T19:55:38","modified_gmt":"2023-06-30T00:55:38","slug":"cuales-son-los-aspectos-revisados-en-las-auditorias-de-proteccion-de-datos-personales-realizadas-por-la-superintendencia-de-industria-y-comercio-sic","status":"publish","type":"post","link":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/datos-personales\/cuales-son-los-aspectos-revisados-en-las-auditorias-de-proteccion-de-datos-personales-realizadas-por-la-superintendencia-de-industria-y-comercio-sic\/","title":{"rendered":"\u00bfCu\u00e1les son los aspectos revisados en las auditor\u00edas de protecci\u00f3n de datos personales realizadas por la Superintendencia de Industria y Comercio (SIC)?"},"content":{"rendered":"

Una auditor\u00eda en protecci\u00f3n de datos personales busca detectar las brechas existentes entre las medidas de cumplimiento que exige la Ley y las que tiene implementadas la organizaci\u00f3n para su operaci\u00f3n diaria. En general, la SIC buscar\u00e1 que la informaci\u00f3n detectada, obtenida y analizada durante la verificaci\u00f3n corresponda a la informada, declarada y gestionada por la empresa a la que se le practica la auditor\u00eda y para ello realizar\u00e1 una serie de acciones que le permitir\u00e1n entender los procesos internos y contextualizar cada acci\u00f3n operativa de la organizaci\u00f3n dentro de un universo de exigencias que establece la Ley. Siguiendo un modelo de inspecci\u00f3n ya desarrollado, la auditor\u00eda proceder\u00e1 a verificar el cumplimiento de la siguiente manera:<\/span><\/p>\n

– Se indagar\u00e1 acerca del funcionamiento de la empresa: qu\u00e9 hace, c\u00f3mo lo hace y cu\u00e1l es la informaci\u00f3n que necesita para lograr sus metas conforme a su objetivo social. Para ello se acude a las entrevistas y a la evaluaci\u00f3n de los documentos que soportan los procesos (pol\u00edticas, manuales, procedimientos, protocolos, etc.) cuando estos existen.<\/span><\/p>\n

– Se documentar\u00e1 la finalidad de la informaci\u00f3n tratada y se proceder\u00e1 a inventariar los puntos o nodos en los cuales se realiza manejo de la informaci\u00f3n, verificando que los participantes en cada etapa (encargados internos y externos) est\u00e9n capacitados y act\u00faen conforme a una planificaci\u00f3n, a una serie de reglas y a un conjunto de procedimientos.<\/span><\/p>\n

– La auditor\u00eda en su forma operativa inicia cuando comienza la revisi\u00f3n y el an\u00e1lisis de cada nodo, evaluando las medidas de control que operan sobre \u00e9l, determinado si la medida es adecuada o no, si \u00e9sta se implant\u00f3 correctamente o no es operante, si se mantiene o no con el transcurso del tiempo, y si cumple con las expectativas por las que fue creada.<\/span><\/p>\n

\"\"
Lea tambi\u00e9n: \u00bfPor qu\u00e9 la Super intendencia podr\u00eda multar a las empresas en temas de protecci\u00f3n de datos personales?<\/a><\/figcaption><\/figure>\n

Al estar en este punto es importante recalcar que el objetivo de una auditor\u00eda de la SIC es verificar el Sistema de Gesti\u00f3n en Protecci\u00f3n de Datos personales que por norma tiene que estar implementado en la organizaci\u00f3n, comprobando as\u00ed que los procesos est\u00e1n alineados con los deberes y obligaciones establecidas por la Ley; es por ello que se dice que al no existir un sistema de gesti\u00f3n o al estar \u00e9ste incompleto todas las variables evaluadas, o al menos la mayor\u00eda,\u00a0\u00a0 resultar\u00e1n en un definitivo \u201cNO CUMPLE\u201d, es por ello que en primera instancia siempre se abordar\u00e1n los temas documentales b\u00e1sicos: (pol\u00edticas generales, procedimientos de manejo de datos, autorizaciones de tratamiento, acuerdos de confidencialidad, atenci\u00f3n de peticiones, quejas y reclamos, avisos de privacidad, notificaciones, an\u00e1lisis de riesgos, an\u00e1lisis de impacto de la privacidad, gesti\u00f3n de incidentes, pol\u00edticas y protocolos de seguridad) <\/em>dando como resultado si se cuenta o no con ellos, y si son o no v\u00e1lidos. \u00a0<\/span><\/p>\n

Despu\u00e9s de esa etapa se analizar\u00e1n los diferentes procesos de tratamiento de datos que realiza la organizaci\u00f3n, por ello se verifica el modelo de gesti\u00f3n de seguridad de la informaci\u00f3n que se tenga implementado midiendo su aplicaci\u00f3n en servidores, equipos de c\u00f3mputo, redes, plataformas, sistemas de almacenamiento de datos, y en los procesos que involucra circulaci\u00f3n de archivos tanto f\u00edsicos como digitales. As\u00ed mismo se eval\u00faan los controles sobre las actividades de terceros que act\u00faan como encargados del tratamiento de la informaci\u00f3n. Esta etapa por supuesto arrojar\u00e1 unos resultados de cumplimiento que idealmente deber\u00edan estar de acuerdo con todo lo que est\u00e1 documentado.<\/span><\/p>\n

\"\"
Este art\u00edculo tambi\u00e9n te puede interesar: Las acciones administrativas que se deben tener en cuenta para gestionar correctamente la protecci\u00f3n de datos en las organizaciones <\/a><\/figcaption><\/figure>\n

En entidades con un alto volumen de tratamiento de datos, la auditor\u00eda implicar\u00e1 la participaci\u00f3n de los diversos responsables y actores involucrados en el tratamiento de informaci\u00f3n personal, entonces se entrevistar\u00e1n a diferentes funcionarios calificando su nivel de conocimiento de las responsabilidades de su cargo y el nivel de cumplimiento de sus deberes. Aqu\u00ed se revisar\u00e1n las \u00e1reas que tratan datos como son: (La comercial, servicio al cliente, recursos humanos, control de personal, administraci\u00f3n de sistemas, salud ocupacional y contrataci\u00f3n entre\u00a0<\/em>otras) y<\/i>\u00a0se verificar\u00e1n tareas como: (registro de actividades de tratamiento, procedimientos, metodolog\u00edas, pol\u00edticas\u00a0de privacidad complementarias, aplicaciones, medidas de seguridad t\u00e9cnica, organizativa y legal, sistema de evaluaci\u00f3n de proveedores, etc.<\/em>)<\/span><\/p>\n

En una gran parte de la auditor\u00eda se busca dar soluci\u00f3n a temas concretos relacionados con incidentes; por tanto, la SIC buscar\u00e1 espec\u00edficamente brechas de seguridad que conduzcan a esclarecer lo sucedido y a calificar el nivel de responsabilidad de la organizaci\u00f3n, y es por ello que siempre se evaluar\u00e1n las pol\u00edticas y procedimientos que est\u00e9n orientados hacia una actuaci\u00f3n proactiva y las medidas t\u00e9cnicas y organizativas que garantizan la protecci\u00f3n efectiva de los datos.<\/span><\/p>\n

Al entender lo que se ha expuesto aqu\u00ed se puede observar la importancia de estar siempre preparado para una auditor\u00eda de la SIC sea que esta se origine producto de un incidente administrativo o de seguridad, o por una programaci\u00f3n rutinaria de la entidad de control; es por ello que se establece como indispensable realizar an\u00e1lisis peri\u00f3dicos completos de cumplimiento a trav\u00e9s de auditor\u00edas especializadas, ello le ayudar\u00e1 a determinar el grado de cumplimiento de las normas vigentes de su organizaci\u00f3n, y a establecer planes de mejora continua que optimicen sus procesos.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Una auditor\u00eda en protecci\u00f3n de datos personales busca detectar las brechas existentes entre las medidas de cumplimiento que…<\/p>\n","protected":false},"author":1,"featured_media":679,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2},"_wpas_customize_per_network":false},"categories":[17,81],"tags":[39,23,25,42,93],"class_list":["post-677","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datos-personales","category-empresas-y-negocios","tag-auditoria","tag-ley-1581","tag-ley-de-proteccion-de-datos","tag-sic","tag-tratamiento-de-datos"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2022\/09\/1-6.png?fit=906%2C406&ssl=1","jetpack_shortlink":"https:\/\/wp.me\/p8dSET-aV","jetpack-related-posts":[{"id":435,"url":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/preguntas-frecuentes-faq\/esta-preparado-para-ser-auditado-en-cuanto-a-la-proteccion-de-datos-personales\/","url_meta":{"origin":677,"position":0},"title":"\u00bfEst\u00e1 preparado para ser auditado en cuanto a la protecci\u00f3n de datos personales?","author":"Oscar Ordo\u00f1ez","date":"julio 19, 2022","format":false,"excerpt":"\u00a0\u00bfEst\u00e1 preparado para ser auditado por la SIC? Si bien es cierto \u00a0todas las organizaciones en Colombia que, de alguna manera capturen, almacenen o procesen informaci\u00f3n personal, est\u00e1n obligadas a cumplir con la Ley de Protecci\u00f3n de Datos Personales, sin embargo, aquellas a quienes se les exige reportar en el\u2026","rel":"","context":"En \u00abDatos Personales\u00bb","block_context":{"text":"Datos Personales","link":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/category\/datos-personales\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2022\/07\/%C2%BFESTA-PREPARADO-PARA-SER-AUDITADO-EN-PROTECCION-DE-DATOS-PERSONALES.jpg?fit=906%2C403&ssl=1&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2022\/07\/%C2%BFESTA-PREPARADO-PARA-SER-AUDITADO-EN-PROTECCION-DE-DATOS-PERSONALES.jpg?fit=906%2C403&ssl=1&resize=350%2C200 1x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2022\/07\/%C2%BFESTA-PREPARADO-PARA-SER-AUDITADO-EN-PROTECCION-DE-DATOS-PERSONALES.jpg?fit=906%2C403&ssl=1&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2022\/07\/%C2%BFESTA-PREPARADO-PARA-SER-AUDITADO-EN-PROTECCION-DE-DATOS-PERSONALES.jpg?fit=906%2C403&ssl=1&resize=700%2C400 2x"},"classes":[]},{"id":894,"url":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/preguntas-frecuentes-faq\/que-hechos-se-consideran-faltas-graves-de-la-ley-de-proteccion-de-datos-personales\/","url_meta":{"origin":677,"position":1},"title":"\u00bfQu\u00e9 hechos se consideran faltas graves de la Ley de protecci\u00f3n de datos personales?","author":"Oscar Ordo\u00f1ez","date":"noviembre 22, 2022","format":false,"excerpt":"La Ley de Protecci\u00f3n de Datos Personales ha venido transformando la forma en que las organizaciones en Colombia dan tratamiento a la informaci\u00f3n personal que llega a sus manos, haciendo entender que los datos ahora no son propiedad de las empresas sino de las mismas personas a quienes se les\u2026","rel":"","context":"En \u00abDatos Personales\u00bb","block_context":{"text":"Datos Personales","link":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/category\/datos-personales\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2022\/11\/1-6.png?fit=906%2C403&ssl=1&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2022\/11\/1-6.png?fit=906%2C403&ssl=1&resize=350%2C200 1x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2022\/11\/1-6.png?fit=906%2C403&ssl=1&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2022\/11\/1-6.png?fit=906%2C403&ssl=1&resize=700%2C400 2x"},"classes":[]},{"id":1057,"url":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/preguntas-frecuentes-faq\/de-que-consta-un-sistema-automatizado-para-el-cumplimiento-de-la-proteccion-de-datos-personales\/","url_meta":{"origin":677,"position":2},"title":"\u00bfDe que consta un sistema automatizado para el cumplimiento de la protecci\u00f3n de datos personales?","author":"Oscar Ordo\u00f1ez","date":"enero 26, 2023","format":false,"excerpt":"En general un sistema automatizado para el cumplimiento de la Ley de Protecci\u00f3n de Datos Personales cuenta con los siguientes tres componentes:\u00a0 Software para la Gesti\u00f3n de Tratamiento: Esta herramienta facilitar\u00e1\u00a0 centralizar la informaci\u00f3n, mantener actualizada la evaluaci\u00f3n de riesgos, estructurar las actividades de control y seguimiento, organizar y registrar\u2026","rel":"","context":"En \u00abDatos Personales\u00bb","block_context":{"text":"Datos Personales","link":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/category\/datos-personales\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/01\/1-6.png?fit=906%2C403&ssl=1&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/01\/1-6.png?fit=906%2C403&ssl=1&resize=350%2C200 1x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/01\/1-6.png?fit=906%2C403&ssl=1&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/01\/1-6.png?fit=906%2C403&ssl=1&resize=700%2C400 2x"},"classes":[]},{"id":1665,"url":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/datos-personales\/conoce-usted-como-se-manejan-los-datos-personales-de-su-empresa\/","url_meta":{"origin":677,"position":3},"title":"\u00bfConoce usted c\u00f3mo se manejan los datos personales de su empresa?","author":"Oscar Ordo\u00f1ez","date":"julio 25, 2023","format":false,"excerpt":"Las consecuencias de violar las normas establecidas en la Ley 1581 de 2012 relacionadas con la protecci\u00f3n de datos personales puede dar lugar a multas de hasta 2000 salarios m\u00ednimos mensuales legales vigentes, ello sin contar con las sanciones administrativas que pueden llevar al cierre de la organizaci\u00f3n. Y entonces\u2026","rel":"","context":"En \u00abDatos Personales\u00bb","block_context":{"text":"Datos Personales","link":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/category\/datos-personales\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/07\/1-4.png?fit=906%2C403&ssl=1&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/07\/1-4.png?fit=906%2C403&ssl=1&resize=350%2C200 1x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/07\/1-4.png?fit=906%2C403&ssl=1&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/07\/1-4.png?fit=906%2C403&ssl=1&resize=700%2C400 2x"},"classes":[]},{"id":1746,"url":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/preguntas-frecuentes-faq\/como-puede-un-software-de-gestion-facilitar-la-proteccion-de-datos-personales\/","url_meta":{"origin":677,"position":4},"title":"\u00bfC\u00f3mo puede un software de gesti\u00f3n facilitar la protecci\u00f3n de datos personales?","author":"Oscar Ordo\u00f1ez","date":"agosto 22, 2023","format":false,"excerpt":"En t\u00e9rminos cualitativos la Ley de protecci\u00f3n de datos personales PDP es entendible, aceptable y vinculable con los diferentes procesos organizacionales de cualquier instituci\u00f3n, no obstante a nivel cuantitativo empiezan a aparecer ciertas dificultades para esas mismas instituciones dado que dicha Ley PDP exige que se realice en forma sistem\u00e1tica\u2026","rel":"","context":"En \u00abDatos Personales\u00bb","block_context":{"text":"Datos Personales","link":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/category\/datos-personales\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/08\/1-6.png?fit=906%2C403&ssl=1&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/08\/1-6.png?fit=906%2C403&ssl=1&resize=350%2C200 1x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/08\/1-6.png?fit=906%2C403&ssl=1&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/08\/1-6.png?fit=906%2C403&ssl=1&resize=700%2C400 2x"},"classes":[]},{"id":1286,"url":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/preguntas-frecuentes-faq\/cuales-son-los-requisitos-que-se-deben-cumplir-al-ser-responsable-de-tratamiento-de-datos-personales\/","url_meta":{"origin":677,"position":5},"title":"\u00bfCu\u00e1les son los requisitos que se deben cumplir al ser responsable de tratamiento de datos personales?","author":"Oscar Ordo\u00f1ez","date":"abril 18, 2023","format":false,"excerpt":"A la luz de la Ley 1581 de Protecci\u00f3n de datos personales (PDP), el t\u00e9rmino \"Responsable de la informaci\u00f3n personal\" se refiere a la entidad encargada de capturar, almacenar y utilizar los datos\u00a0 personales que\u00a0 tiene en su poder, indiferente si tal entidad es de tipo gubernamental o privada, o\u2026","rel":"","context":"En \u00abDatos Personales\u00bb","block_context":{"text":"Datos Personales","link":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/category\/datos-personales\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/04\/1-3.png?fit=906%2C403&ssl=1&resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/04\/1-3.png?fit=906%2C403&ssl=1&resize=350%2C200 1x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/04\/1-3.png?fit=906%2C403&ssl=1&resize=525%2C300 1.5x, https:\/\/i0.wp.com\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-content\/uploads\/2023\/04\/1-3.png?fit=906%2C403&ssl=1&resize=700%2C400 2x"},"classes":[]}],"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/posts\/677","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/comments?post=677"}],"version-history":[{"count":0,"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/posts\/677\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/media\/679"}],"wp:attachment":[{"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/media?parent=677"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/categories?post=677"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dataprotected.com.co\/blog-proteccion-de-datos\/wp-json\/wp\/v2\/tags?post=677"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}