¿Por qué es importante una ley de protección de datos personales?

En la actualidad no es raro recibir una llamada telefónica con el fin de ofrecernos servicios no requeridos  o llamadas de extorsionadores que parecen tener mucha más información de nosotros de la que recordamos tener en nuestros perfiles de Facebook, LinkedIn, etcétera. Lamentablemente esto es debido a que nuestros datos personales son susceptibles de ser extraídos de instituciones bancarias, crediticias, de servicios como televisión por cable, telefonía celular o fija, e incluso de instituciones gubernamentales o paraestatales.

Estas extracciones de información pueden darse de dos formas:

  • Externas. Son ataques dirigidos desde el exterior de las instituciones que vulneran su seguridad  y extraen información. Un
    ejemplo de esto es el reciente hackeo a la base de datos de tarjetas de crédito de PlayStation[1] que afectó a cerca de 100 millones de usuarios cuya información personal pudo ser vulnerada.
  • Internas. Son robos de información realizados por personal propio de las instituciones y típicamente no se pueden rastrear y por lo tanto tampoco encontrar a los responsables.

Sea cual fuera la debilidad, las instituciones que retienen información personal deben ser responsables de salvaguardar los datos personales de sus clientes para que solo sean utilizados para los fines autorizados, además de responder por las consecuencias de fallar en este deber.

Por otro lado, tenemos el caso de cuando una misma institución proporciona varios servicios y pese a que un suscriptor solo dé información personal para un servicio específico, estas empresas se aprovechan de tener la información del titular para ofrecerle  servicios adicionales. Es decir, imaginemos un banco que tiene toda nuestra información crediticia y esté por incursionar en el mercado de seguros para automóviles; no debería usar los datos que se le confiaron para hacerse de una cartera de candidatos para el área de seguros y, si lo hiciera, debería ser considerado como mal uso de la información personal y tendría que ser sancionado.

.

¿Qué se ha hecho en el tema de protección de datos personales alrededor del mundo?

En el orden internacional se destacan antecedentes de la protección de la intimidad y el honor de la persona en el tratamiento de sus datos. Algunas de las regulaciones más representativas se muestran en el siguiente mapa:

Figura 1. Mapa de leyes en el mundo

Fuente: La historia con mapas

http://lahistoriaconmapas.blogspot.com/2011/01/las-leyes-de-proteccion-de-datos-en-el.html

.

Más restrictiva Restrictiva Algunas restricciones Mínimas restricciones Legislación en proceso
Argentina Austria Estonia Hong Kong Malasia
Alemania Bélgica Hungría India Singapur
Suecia Bulgaria Corea del Sur Australia China
México[2] Dinamarca Canadá Colombia Turquía
  Francia Israel Chile  
  Portugal   Japón  
  España   Paraguay  
  Italia      
  Grecia      
  Austria      

 

 

 

 

.

¿Cuál es la situación en México?

Después de un arduo camino y mucha polémica, el 27 de abril de 2010 se aprobó en el pleno del Senado la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), y el pasado 5 de julio de 2010 se publicó en el Diario Oficial de la Federación (DOF); esta ley tiene como finalidad proteger los datos personales[3] en posesión de los particulares y regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. A decir de expertos es una de las leyes de protección de datos más avanzada del mundo[4].

.

¿Cómo está organizada la LFPDPPP?

La LFPDPPP consta de 69 artículos organizados en 11 capítulos, como sigue:

Figura 2. Estructura de la LFPDPPP

.

Y está estructurada en:

Principios, que definen los pilares en los que se basa la protección de datos personales, los cuales son:

  • Licitud, prohíbe la obtención de datos personales por medios ilícitos, engañosos o fraudulentos.
  • Consentimiento, manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos. El consentimiento debe ser tácito, expreso y por escrito.
  • Información, el titular tiene derecho a conocer quién trata su información personal y qué se hace con ella.
  • Calidad, los datos personales deben ser pertinentes, correctos y actualizados.
  • Finalidad, establece que la obtención y tratamiento de los datos deberá estar relacionada con la finalidad del tratamiento previsto en el aviso de privacidad – documento que establece lo que se hará con la información del titular y establece los derechos ARCO (véase en Derechos).
  • Lealtad, respetar la expectativa razonable de privacidad.
  • Proporcionalidad, el responsable sólo debe tratar la mínima cantidad de información necesaria para conseguir la finalidad perseguida. Responsabilidad, establece que el responsable debe velar por el cumplimiento de los principios y rendir  cuentas al titular en caso de incumplimiento.

Derechos, que definen cómo el titular de los datos personales puede ejercer unos derechos que concretan los principios teóricos en los que se basa la ley y que son:

  • Acceder a sus datos personales y al aviso de privacidad para conocer qué datos son objeto de tratamiento y con qué objetivo
    son tratados.
  • Rectificar inexactitudes en los datos personales del titular.
  • Cancelar sus datos personales, esto obedece al bloqueo de los datos por un periodo en el que el responsable deberá conservarlos bajo su custodia y, cumplido tal periodo, se deberán suprimir.
  • Oponerse al tratamiento de los datos personales  cuando exista una causa legítima, si este derecho resulta procedente el responsable excluirá los datos del tratamiento.

Procedimientos, de los que se tienen dos tipos: el procedimiento de protección de datos y el procedimiento de verificación. El primero establece el mecanismo mediante el cual el titular podrá reclamar la protección de los derechos ARCO ante el IFAI (Instituto Federal de Acceso a la Información). El procedimiento de verificación tiene por objetivo comprobar el cumplimiento de la ley y de la normativa que se desarrolle (p. ej. el reglamento) para lo cual el IFAI tendrá acceso a la información y documentación que considere necesaria y, en caso de incumplimiento, la ley prevé sanciones que van desde una llamada de atención hasta la imposición de multas entre 100,000 y 320,000 días de salario mínimo vigente en el DF, con doble imposición por reincidencia. Además, estas penas y sanciones se duplicarán en los casos relativos a datos personales sensibles y, de acuerdo a la gravedad del delito, podrán existir responsabilidades civiles y penales.

.

Pero … ¿Quién tiene que cumplir con la LFPDPPP y quiénes son los principales actores?

La ley es de orden público y de observancia general en toda la república, y son sujetos regulados por esta ley los particulares, sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de:

I. Las sociedades de información crediticia en los supuestos de la ley para regular las sociedades de información crediticia.

II. Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

Los principales actores que deberán participar en la implementación de medidas administrativas, técnicas y físicas para proteger la seguridad de los datos,  son los siguientes:

  • Responsable, persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
  • Encargado, persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.
  • Titular, persona física a quien corresponden los datos personales.
  • Tercero, persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos.
  • Secretaría de Economía, tendrá como función difundir el conocimiento de las obligaciones en torno a la protección de datos personales entre la iniciativa privada nacional e internacional con actividad comercial en territorio mexicano; promoverá las mejores prácticas comerciales en torno a la protección de los datos personales como insumo de la economía digital, y el desarrollo económico nacional en su conjunto.
  • IFAI, tendrá como función el difundir el conocimiento del derecho a la protección de datos personales, promover su ejercicio y velar su cumplimiento. Algunas de sus funciones serán:
    • Vigilar y verificar el cumplimiento de la LFPDPPP.
    • Proporcionar apoyo técnico a los responsables que lo soliciten.
    • Emitir recomendaciones y normas técnicas para el cumplimiento de la ley
    • Dar capacitación a los objetos obligados al cumplimiento de la ley.

.

¿Cuáles son las fechas de cumplimiento?

Los plazos para el cumplimiento de la LFPDPP son como se muestra en la siguiente figura:

Figura 3. Fechas de cumplimiento

.

¿Por dónde iniciar?

De acuerdo a los requerimientos de la LFPDPPP y con base en el estándar BS10012:2009[5] se propone el siguiente modelo para definir e implementar una estrategia para la protección de datos personales en posesión de particulares, con el objetivo de proporcionar dirección y soporte para el cumplimiento de dicha ley.

Figura 4. Modelo para la implementación de una estrategia para el cumplimiento de la LFPDPPP

.

El modelo define cinco fases, las cuales se describen a continuación:

Fase I. Análisis de procesos y flujo de información

Como primera fase es importante que la empresa realice un análisis y diagnóstico de sus procesos de negocio y cómo estos están siendo operados. La empresa debe identificar si está solicitando información de datos personales a los titulares que no le estén generando algún beneficio ni operativo ni económico, y analizar la factibilidad de dejarlos de recabar y, de esta manera, evitar el uso de recursos  para el cumplimiento de la LFPDPPP.

Fase II. Revisión de estado actual

En esta fase el objetivo es conocer el grado de cumplimiento y madurez que mantiene la empresa respecto a la LFPDPPP, e identificar desviaciones existentes entre las prácticas de administración y operación actuales, lo cual permitirá identificar los riesgos a los que está expuesta la empresa y, con base en ello, dar prioridad a líneas de acción para la implementación de controles.

Fase III. Implementación de medidas de control

Los controles tecnológicos mínimos que se deberán implementar para la protección de datos personales son los siguientes:

  • Mecanismo seguro para el intercambio de información con terceros.
  • Mecanismo de retención y eliminación segura de datos personales y datos sensibles.
  • Mecanismo de almacenamiento seguro.
  • Mecanismo de acceso y autenticación.
  • Aseguramiento de bases de datos.
  • Mecanismo de prevención de fuga de información.

Los controles de procesos y políticas mínimas que deberán ser desarrolladas e implementadas son las siguientes:

  • Política de protección de datos personales y datos sensibles.
  • Modelo de responsabilidades que incluya los siguientes actores: responsable, custodio, titular, encargado de seguridad.
  • Procedimientos para la obtención de información de datos personales y datos personales sensibles.
  • Procedimientos para el tratamiento de información de datos personales.
  • Política de retención y eliminación de datos personales y datos personales sensibles.
  • Proceso de evaluación formal de riesgos.
  • Proceso de control de accesos.
  • Proceso de respaldo de datos.
  • Proceso de respuesta a incidentes.
  • Proceso de investigación forense.
  • Proceso de control de cambios.
  • Procedimiento de monitoreo.
  • Procedimientos de revisión de registros y bitácoras.
  • Formatos del aviso de privacidad y del aviso de consentimiento.
  • Acuerdos para el intercambio seguro de datos personales y datos sensibles.
  • Otros.

En el ámbito de los controles orientados al personal se deberá considerar:

  • Programa de conciencia de seguridad dirigido a:
    • Administradores de red.
    • Desarrolladores y analistas.
    • Personal involucrado en el manejo de la información de datos personales y datos sensibles.
  • Capacitación en auditorías de sistemas.
  • Capacitación en el entendimiento de la LFPDPPP

Fase IV. Revisiones

En esta fase se deberán realizar auditorías internas por parte de la empresa a través del departamento de “auditoría” para detectar las áreas de oportunidad en la eficiencia de la implantación de los controles de seguridad y determinar el nivel de cumplimiento con la LFPDPPP, con el objetivo de simular la auditoría por parte de la entidad reguladora (IFAI)

Fase V. Mejora continua

En esta fase la empresa deberá implementar las acciones correctivas derivadas de las auditorías realizadas. Algunas actividades a contemplar son: dar prioridad a las acciones correctivas y preventivas identificadas, e identificación de los responsables de llevar a cabo las acciones correctivas.

.

Conclusiones

En un mundo cuya economía gira en torno a la información, es de extrema importancia contar con una legislación que proteja los datos personales. En México esa necesidad es clara y ahora con la LFPDPPP los registros médicos, financieros, educativos de los titulares deberán ser tratados y protegidos de manera adecuada.

Es un hecho que para que las empresas den observancia a la ley deberán considerar la asignación de presupuesto para seguridad de TI y hacer de la protección de información una práctica común en la operación del negocio. Con frecuencia la responsabilidad de asegurar el cumplimiento de las regulaciones recae en los profesionales de TI, sin embargo, para que este sea adecuado tendrán
que estar involucrados diversos actores de la empresa, empezando por los dueños de procesos del negocio, el área legal, Recursos Humanos, Sistemas y TI. No hay que olvidar que la falla en este sentido puede traer serias consecuencias, incluyendo multas sustanciales y demandas legales que afectarán directamente la salud financiera de la empresa.

¡¡ La LFPDPPP ha llegado para quedarse!!

.

[email protected]


[1] http://www.eluniversal.com.mx/articulos/63994.html

[2] Actualmente se cuenta con LFPDPPP y está en proceso de desarrollo el reglamento de cumplimiento de la ley.

[3]Cualquier información concerniente a una persona física identificada o identificable.

[4] Señaló Alejandro Reyes Krafft, vicepresidente de Servicios Financieros de la Asociación Mexicana de Internet (Amipci), durante el b:Secure Conference 2011.

[5] BS 10012:2009 Data Protection–Specification for a personal information management system.