Font Size

SCREEN

Profile

Layout

Direction

Menu Style

Cpanel

Voto electrónico


Voto electrónico
Recientemente pasaron las votaciones, han pasado recuentos de votos y apertura de casillas, se identifican irregularidades y se hace cada vez más difícil dar legitimidad al proceso, al sistema y a las instituciones.
No deja de revolotear en mi cabeza la idea de identificar los puntos...

Read more: Voto electrónico

Cassandra o pedro y el lobo

Un gran amigo inicia las presentaciones sobre Protección de datos personales hablando de la historia de Cassandra y sobre cómo teniendo la habilidad de adivinación no le servía de nada pues tenía también una maldición que hacía que nadie le creyera.

Algo similar ha pasado con respecto a la Ley Federal de Protección de Datos Personales en Posesión de Particulares, fue publicada hace casi 2 años y desde entonces han habido muchas voces diciendo lo que les podrá pasar a las empresas si no la cumplen, pero ha pasado tanto tiempo sin que se sepa de alguna empresa que haya tenido alguna consecuencia derivada de un incumplimiento a la ley o el reglamento, que muchos nos sentimos como Cassandra o como Pedro, que sabe que va a llegar el Lobo, pero lo ha dicho tantas veces que cuando llega ya nadie le cree.

Pues bien, al parecer ya está aquí el lobo y parece que vienen acompañado. Hace un par de semanas llegaron a mis manos un par de cartas donde el IFAI hace requerimientos a empresas, principalmente del sector de servicios de comunicaciones y video donde piden varios elementos para corroborar la forma en la que la empresa actuó ante peticiones particulares de ejercicios de derechos ARCO, que le fueron reportaros el Instituto por los Titulares y que al parecer no se apegaron a los términos de la Ley.

Para complementar la información el IFAI solicita varios elementos, que trataré de resumir a continuación:

  • -          Copia de los documentos donde recaba el consentimiento expreso cuando se trata de datos sensibles.
  • -          La política de confidencialidad de la empresa según lo que expresa el art. 21 de la Ley
  • -          El aviso de privacidad y la forma en la que se da a conocer a los Titulares.

Hasta aquí suenan  todas fáciles de contestar, pero empiezan las más difíciles:

  • -          La forma en la que se garantiza la confidencialidad de los datos personales (ésta ya habla de GARANTIZAR, por lo que dependiendo del volumen y sensibilidad de los datos, habrá que contar con controles de seguridad que puedan asegurarnos su confidencialidad)
  • -          Informar si han tenido vulneraciones a la seguridad (y en los términos de la Ley y el Reglamento, éstas pueden ser por varias razones, a demás tomando en cuenta que alguien reportó al IFAI una anomalía, es probable que sí hayan existido).
  • -          Manifestar qué personal de la organización tiene acceso a lo datos personales y de qué manera han sido concientizados sobre la importancia de los datos que manejan (Tratándose de empresas con un buen número de empleados, esto ya no es labor de un par de días, el programa de concientización y capacitación debe hacerse extensivo a prácticamente a todo el personal, desde los que reciben identificaciones en la puerta, los vendedores, hasta personal que atiende a los clientes)
  • -          Informar sobre las medidas físicas, técnicas o administrativas que ha implementado para tratar los datos personales y en particular lo que sean sensibles.

Como dije al principio, parce que el lobo ya anda rondando cerca y que en poco tiempo se paseará por entre nosotros, por lo que es de fundamental importancia comenzar a tomar en serio las medidas a tomar y asegurarnos que estemos en completo cumplimiento. Para ello recalco algunas acciones que mencioné en un artículo anterior:

  • -          Identificar las fuentes y orígenes de datos personales.
  • -          Clasificar los datos, señalando los que sean sensibles; recordando que son considerados así los que puedan poner en riesgo grave o puedan prestarse a discriminación del titular.
  • -          Hacer un análisis para establecer la finalidad con la que recabamos cada dato personal, recordando que si hay un dato que no nos sirve o no utilizamos, debemos dejar de recabarlo.
  • -          Poner principal foco en los expedientes de recursos humanos de empleados potenciales, actuales y pasados de la organización, así como en los de clientes  que sean personas físicas, ya sean prospectos, clientes actuales o pasados.
  • -          Realizar un análisis de los riesgos a los que están expuestos los datos personales, considerando las posibles vulneraciones que contempla el artículo 63 del reglamento.
  • -          Identificar los controles que requeriremos para minimizar los riesgos detectados.
  • -          Realizar una análisis de brecha sobre qué controles ya tenemos implementados y establecer un plan de trabajo para implementar los faltantes. Recordando que tenemos hasta junio de 2013 para tenerlos implementados (suena a mucho tiempo, pero les aseguro que para lo que hay que hacer se pasará muy rápido) .
  • -          Asegurarnos que contamos con un aviso de privacidad que esté alineado a los elementos señalados por el art. 26 del reglamento y el 16 de la Ley. El aviso de privacidad debe contar con los datos de identificación de nuestro organización como responsable de proteger los datos, los datos personales que recabamos (señalando si se trata de datos sensibles y en su caso recabando el consentimiento expreso), así como las finalidades y los tratamientos a los que someteremos los datos personales, las organizaciones con la que podremos compartir los datos (transferencias), así como las vías de contacto para ejercer los derechos ARCO, para notificar cambios en el aviso de privacidad a los Titulares y los medios que utilizamos para garantizar la confidencialidad de los datos.
  • -           También debemos haber designado una persona o departamento responsable de la protección de datos personales al interior de nuestra organización.
  • -          Recordar que a partir del 6 de enero de este año ya debemos contar con los mecanismos para atender solicitudes de ejercicio de derechos ARCO en lo términos del capítulo VII del reglamento. Y,
  • -          Por último y no por ello menos importante, capacitar a nuestro personal, tanto al que recaba como al que maneja datos personales, identificando el ciclo de vida de los mismos, desde que son recopilados (nacen) hasta que son destruidos o cancelados (mueren) para su uso.

Siguiendo estos pasos podremos estar más tranquilos, sabiendo que si llega el lobo, ya tenemos al cazador que pueda detenerlo.

Escribiendo de nuevo

Ya tiene tiempo que no publicaba nada en este portal, en perte por falta de tiempo y en parte por falta de ganas, pero espero que vuelva a escribir con frecuencia y ahora que ya quedó el sitio más o menos como quería va a ser un poco más fácil.

No se cuantos visiten este sitio pero para lo que lo hagan se aceptan propuestas y veremos que se puede hacer.

Saludos.

Los dientes de la Ley de Protección de Datos Personales y su cumplimiento

A partir del 6 de enero de 2012, las organizaciones Responsables de la protección de datos –o sea todas las organizaciones que tenemos datos de clientes, proveedores, prospectos, etcétera– tendremos que poner a disposición de los Titulares los mecanismos para recibir solicitudes para ejercer los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Sin embargo, esto es solamente la punta del iceberg, pues detrás de ello hay todo un conjunto de acciones que el Responsable deberá implementar para poder garantizar a los Titulares que se atenderán de forma expedita sus solicitudes.
Las acciones a llevar acabo dependerán de cada organización y de la complejidad y cantidad de datos que procese, pero de forma general pueden ser:

  • Identificar los datos personales y sus fuentes: Cada una de las distintas áreas de una organización recaba datos personales de distintas fuentes, de forma que hay que identificar qué datos se recaban y de dónde se obtienen.
  • Analizar y clasificar datos: Una vez identificados los datos, se deberá analizar si se trata de datos sensibles (preferencia sexual, religión, estado de salud, etcétera), patrimoniales y financieros o cualquier otro tipo de dato.
  • Análisis de finalidad y proporcionalidad: Ya que contamos con los datos identificados y clasificados, debemos considerar la finalidad para la que se recaba cada dato, para lo cual deberá buscarse una justificación por la que solicitaremos al Titular el dato personal y eliminar lo que no tienen alguna finalidad (p.e. Si actualmente solicitamos la religión en una solicitud de inscripción, deberemos preguntarnos si es proporcional -adecuado, necesario y relevante- para la finalidad que se solicita).
  • Unificar bases de datos: Cuando se cuenta con distintas áreas que recaban datos personales, es posible que existan coincidencias y duplicación de los datos. Para poder atender de manera eficiente las solicitudes de los Titulares y dar mantenimiento a las bases de datos, es necesario unificarlas, trabajo que no es sencillo y que requerirá de la colaboración de distintas áreas de la organización responsable pero que en el mediano y largo plazo evitará el retrabajo y la falta de atención eficaz a las solicitudes de derechos ARCO.
  • Definir el tratamiento y los controles para proteger los datos personales: Deberemos definir los mecanismos de obtención, uso, divulgación y almacenamiento de los datos personales, así como los medios donde se almacenarán, los controles de seguridad (administrativos, físicos o tecnológicos) que se implementarán para proteger los datos personales.
  • Asignar permisos y privilegios para tratamiento de los datos: Ya que se ha definido el tratamiento, deberemos establecer los permisos y privilegios para que las distintas áreas y personas de la Organización Responsable tengan acceso solamente para la finalidad y tratamiento que se han definido anteriormente (p.e. Definir qué personas pueden agregar nuevos datos, corregirlos o eliminarlos, quiénes pueden solamente leerlos o quiénes no tienen ningún privilegio sobre ellos).
  • Revisar que existan acuerdos de confidencialidad internos y externos, con las distintas personas y organizaciones con las que se intercambien datos, asegurándonos de que esté bien establecida la finalidad de cada uno de ellos, esté alineado a lo marcado por el aviso de privacidad que se le presentó al Titular y que sean usados solamente para dicha finalidad.  Esto aplica tanto para los datos que nosotros recabamos como para los que son compartidos con nosotros por otras Organizaciones.
  • Revisar aviso de privacidad: Si bien el aviso de Privacidad ya debe estar publicado y puesto a disposición de los Titulares, es recomendable revisarlos para ratificar que se alinea a los datos recabados, finalidades, organizaciones con las que se intercambian datos, etcétera.
  • Capacitar al personal: Es necesario que se comunique al personal la importancia y responsabilidad que tienen en la protección de los datos de los Titulares para evitar mal uso, descuidos o hasta prevenir sobre las consecuencias del uso o divulgación malintencionada.

También hay que capacitar al personal que atenderá los derechos ARCO de forma que entienda cuál será su labor, y es procedimiento a seguir para cada tipo de solicitud.

En estos puntos es conveniente referirse a estándares de seguridad de la información como NMX-I-27002 ISO/IEC-27002.
Además de la implementación de las acciones anteriores, es importante considerar lo siguiente:

  • Quedan excluidos los siguientes datos:
    • Información relativa a personas Morales.
    • Aquella que refiera a personas físicas en su calidad de comerciantes y profesionistas.
    • La de personas físicas que presten sus servicios para alguna persona moral o persona física con actividades empresariales y/o prestación de servicios, consistente únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como algunos de los siguientes datos laborales: domicilio físico, dirección electrónica, teléfono y número de fax; siempre que esta información sea tratada para fines de representación del empleador o contratista.
    • Cuando el tratamiento tenga como propósito cumplir con una obligación derivada de una relación jurídica.
    • Los obtenidos por fuentes de acceso público como medios de comunicación electrónica, óptica u otra tecnología, que estén disponibles para consulta general, directorios telefónicos, diarios o gacetas, medios de comunicación social, entre otros.
  • Es obligación del Responsable que el Titular conozca el aviso de privacidad y demostrar la obtención del consentimiento, ya sea tácito, expreso, verbal o escrito.
  • Las sanciones previstas por esta normativa van desde el apercibimiento  para el caso de incumplir con las solicitudes ARCO, hasta sanciones económicas de 100 a 160mil DSMGVDF  para:
    • Negligencia o dolo en trámites ARCO
    • Declarar dolosamente inexistencia
    • Incumplimiento de principios de Ley
    • Omisiones en aviso de privacidad
    • Datos inexactos
    • Incumplimiento de apercibimiento
  • De 200-320mil DSMGVDF para:
    • Incumplimiento de deber de confidencialidad
    • Uso desapegado a la finalidad marcada en el aviso
    • Transferir datos sin comunicar aviso de privacidad
    • Vulneración a la seguridad
    • Transferir sin consentimiento del titular
    • Obstruir verificación de autoridad
    • Transferencia o cesión en contra de Ley
    • Recabar datos en forma engañosa o fraudulenta
    • Uso ilegítimo de datos en caso de solicitud de cese
    • Impedir ejercicio derechos ARCO
    • No justificar tratamiento de datos sensibles

Y pueden duplicarse en caso de reincidencia o de tratarse de datos sensibles.

  • Los delitos relacionados tienen como pena de 3 meses a 3 años de prisión – con ánimo de lucro, vulnerar seguridad a bases de datos; de 6 meses a 5 años de prisión – con ánimo de lucro indebido, tratar datos personales mediante engaño o error.

Para evitar sanciones y asegurar el cumplimiento de lo establecido por la Ley y su Reglamento, en ellos se prevé la adopción de esquemas de autorregulación vinculante, que brindarán al Responsable que se apegue a ellos, la disminución de las sanciones, el uso de la mediación como alternativa para resolver controversias y una mayor confianza de parte de los Titulares. Para ello, NYCE en conjunto con un grupo multidisciplinario de expertos, ha creado el sello de confianza LFPDPPP Protección de Datos, basado en estándares internacionales de Seguridad de la información, así como en prácticas de privacidad y auditoría, que permiten brindar confianza y certidumbre sobre el cumplimiento de lo previsto por la Ley.

You are here: Home Artículos De todo un poco