¡Recuerda! finalizaste tu sesión

Suscríbete

Más respuestas a la protección de datos

Aunque pareciera que en el tema de protección de datos personales ya se ha dicho todo, todavía existen acotaciones valiosas por comentar

.
 .  (Foto: IDC online)

Desde el 21 de diciembre de 2011 muchas personas se preguntaron: ¿Qué pide el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (RLFPDPPP) a empresas como la mía? La respuesta, que no es simple, la aporta el licenciado Juan Carlos Carrillo D’Herrera basándose en una síntesis de los artículos 48, 60 y 61 del Reglamento de la mencionada Ley, como se apreciará en el siguiente cuestionario.

¿La Ley exige las mismas medidas de seguridad para todas las empresas?

Ninguna ley por naturaleza puede exigir más (o menos) a las personas o empresas, por lo que la pregunta del nivel de exigencia podría considerarse capciosa, pero el artículo 60 presenta elementos para que la carga sea acorde a las capacidades de los responsables (como sucede con los impuestos).

El artículo deja en libertad a los responsables cuando dicta que “…el responsable determinará las medidas de seguridad aplicables a los datos personales que trate, considerando los siguientes factores…”, pero sí marca las consideraciones necesarias para establecer las medidas de seguridad a implementar, que son:

  • riesgo inherente por tipo de dato personal. Éste es igual a la amenaza por la vulnerabilidad, por lo que es necesario realizar un estudio de riesgos (como lo recalca el artículo 61)
  • sensibilidad de los datos personales tratados. La sensibilidad derivada de la misma Ley al distinguir entre datos personales y datos personales sensibles, lo cual requiere una clasificación de información para determinar tal sensibilidad
  • desarrollo tecnológico. El estado actual de la tecnología, si no es conocido, deberá analizarse con profundidad y en relación con la sensibilidad de los datos, es decir, no sólo será conocer el desarrollo tecnológico general del responsable sino el tipo de sensibilidad de los datos personales manejados
  • las posibles consecuencias de una vulneración para los titulares. Históricamente, las organizaciones han estimado el valor de la información por el impacto que tiene al interior de la organización y bajo esta legislación es necesario valorar el costo de los datos personales
  • el número de titulares. Ésta es la variable más sencilla. Se trata del volumen de datos personales poseídos, provenientes, básicamente, de clientes (personas físicas) y empleados
  • las vulnerabilidades previas ocurridas en los sistemas de tratamiento. Es uno de los requerimientos más complejos. Gracias a distintos reportes del Ponemon Institute se sabe que más del 85% de las empresas sufren al menos una vulneración a la seguridad al año, pero que, o no se conoce o se decide ocultar. En California, Estados Unidos de Norteamérica, existe desde 2003 una legislación solamente para vulneraciones a la seguridad, conocida como California Senate Bill 1386 y es precedente en el manejo de las situaciones referidas
  • el riesgo por el valor potencial (cuantitativo o cualitativo) que pudieran tener los datos personales tratados por una tercera persona no autorizada para su posesión. Esta cuestión pide que el análisis a efectuar sobre los datos personales no sea únicamente en su volumen, sino en el riesgo de la reputación de los titulares afectados
  • otros factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o regulación aplicable al responsable. La LFPDPPP no exime del cumplimiento de otras obligaciones, por el contrario, suma las variables de riesgo y el acatamiento de otros ordenamientos, como pueden ser las facultades ejercidas por autoridades en el ámbito de sus competencias, o por ejemplo las relacionadas con el Instituto Mexicano del Seguro Social, el Sistema de Administración Tributaria, el Instituto del Fondo Nacional de la Vivienda para los Trabajadores, etcétera

Los factores anteriores son de suprema importancia, pues una vez comprendidos los que afectan a cada empresa, se pueden especificar las medidas que conviene implementar.

¿Qué medidas se aconseja tomar para garantizar el debido tratamiento de los datos personales?

El artículo 48 del RLFPDPPP explica las actividades a realizar para garantizar que el tratamiento de los datos personales cumpla con la legislación.

Lo ahí comprendido, no se dispone con el carácter de discrecional u opcional para los responsables, pues todos los que tienen este papel deben acatarlas.

Se trata de requerimientos que giran alrededor de políticas y programas de privacidad obligatorios, cuyo fundamento es el conjunto de acciones técnicas y administrativas garantes del cumplimiento de los principios y obligaciones derivados de la LFPDPPP y su Reglamento.

Lo complicado al mirar este esquema, es que no existe una sola área dentro de las empresas que pueda tomar toda la responsabilidad para obedecer la legislación. Por ello, todos los responsables requieren tener un comité de protección de datos personales donde al menos estén las áreas de tecnologías de información, recursos humanos, legal y comercial.

Hasta este punto la mayoría del trabajo parece solamente procesos y procedimientos propios de las compañías, pero el Reglamento es muy específico al pedir la implementación de nueve acciones para asegurar los datos personales, y es en su artículo 61 en donde se explican dichas acciones de forma puntual, lo cual aterriza los pasos a insertar en las compañías para cuidar los datos personales.

¿Cómo asegurar los datos personales?

Se propone una división de las acciones de aseguramiento dentro de proyectos específicos:

Clasificación de la información

  • Elaborar un inventario de datos personales y de los sistemas de tratamiento
  • determinar las funciones y obligaciones de las personas que los traten
  • realizar un registro de sus medios de almacenamiento

PIA (Privacy Impact Analysis)

  • Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimarlos
  • establecer las medidas de seguridad aplicables y ubicar aquéllas implementadas de manera efectiva
  • redactar políticas y programas de seguridad

Plan estratégico de mejora

  • Realizar el análisis de brecha, esto es la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales
  • elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha

Auditoria y Capacitación

-
 -  (Foto: Redacción)

CONCLUSIONES

Los proyectos propuestos involucran revisar la forma en la que los procesos de las empresas funcionan, por lo tanto es trascendental que éstas inicien los proyectos de privacidad a la brevedad y se entienda que el resguardo de la misma implica poner en marcha un proceso, lo cual puede adoptarse con alguna de las estrategias planteadas.

¿Quieres profundizar sobre este tema? Te invitamos a adquirir esta edición especial. De venta en nuestra tienda virtual.

-
 -  (Foto: Redacción)

Corporativo

Newsletter

Newsletter