mipymes

Deberes de seguridad y confidencialidad

Seguridad

El artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) establece lo siguiente:

Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias para las personas titulares, la sensibilidad de los datos y el desarrollo tecnológico.

En ese sentido, es indispensable que las MIPyMES, en tanto responsables del tratamiento de datos personales, adopten medidas de seguridad físicas, técnicas y administrativas para proteger la información que poseen.

Conoce más sobre estas medidas en la siguiente sección:

Existen otros ejemplos de medidas de seguridad para la protección de datos personales, como se demuestra en el siguiente esquema:

 

Es muy importante que las personas responsables del tratamiento, en este caso las MIPyMES, lleven un registro de las medidas de seguridad que implementan. Para ello, se recomienda adoptar el “Sistema de Gestión de Seguridad de Datos Personales (SGSDP)

En términos generales, se entiende por SGSDP al conjunto de elementos y actividades interrelacionadas para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales, de conformidad con lo previsto en la presente Ley y las demás disposiciones que le resulten aplicables en la materia.

Cabe precisar que el INAI recomienda, precisamente, la adopción de un SGSDP para garantizar la seguridad de la información. Como referencia, se sugiere revisar las “Recomendaciones en materia de seguridad de datos personales”.

Además, es importante señalar que el desarrollo e implementación del SGSDP es un requisito para que el INAI valide los esquemas de autorregulación vinculante que se sometan a su consideración, tal y como se establece en el numeral 14 de los Parámetros de Autorregulación en materia de Protección de Datos Personales.

Pero, ¿cuáles son las ventajas que puede obtener una MIPyME al desarrollar e implementar un SGSDP? La Universidad ESAN del Perú, considera los siguientes: “la disminución del impacto de los riesgos; mayores garantías de continuidad del negocio basadas en la adopción de un plan de contingencias; la mejora de la imagen de la organización y el aumento del valor comercial de la empresa y sus marcas; una mayor confianza por parte de clientes, proveedores, accionistas y socios; una mejora del retorno de las inversiones; el cumplimiento de la legislación y normativa vigentes, etcétera.”

Confidencialidad

El artículo 21 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) establece que los responsales o terceras personas que traten datos personales deberán observar el deber de confidencialidad respecto de dichos datos, obligación que subsistirá aun cuando hayan finalizado sus relaciones con la persona titular o, en su caso, con el responsable.

Asimismo, en el ordenamiento jurídico referido, concretamente en el artículo 63, fracción VIII, se aclara que el incumplimiento del deber de confidencialidad por parte del responsable del tratamiento constituye una infracción a la ley, razón por la cual el INAI podría imponer una multa de 200 a 320,000 días de salario mínimo vigente en el Distrito Federal, de conformidad con el artículo 64, fracción III, de la ley en la materia.

Ahora bien, para cumplir con el deber de confidencialidad, las MIPyMES deben implementar controles para que las personas trabajadoras que tratan datos personales no los divulguen o pongan a disposición de personas, entidades o procesos no autorizados. Solo así se podrá proteger a las personas titulares de los datos de ser víctimas de una vulneración que ponga en peligro su integridad, su seguridad o, incluso, su propia vida.

En cuanto a los controles para garantizar el cumplimiento del deber de confidencialidad, si bien uno de los más importantes es precisamente el Sistema de Gestión de Seguridad de Datos Personales, existen otros que podrían ser complementarios. De acuerdo con información de la Universidad de Delaware, algunos son:

Cifrar archivos confidenciales: La cifrado es un proceso que hace que los datos sean ilegibles para cualquiera, excepto para aquellas personas que tengan la contraseña o clave adecuada. Al cifrar los archivos confidenciales (por ejemplo, mediante contraseñas), puedes evitar que los lean o utilicen quienes no tienen derecho a hacerlo.

Gestiona el acceso a los datos: Controlar la confidencialidad es, en gran parte, controlar quién tiene acceso a los datos. Garantizar que el acceso sólo se autoriza y concede a quienes tienen “necesidad de saber” contribuye en gran medida a limitar la exposición innecesaria. Las personas usuarias también deben autenticar su acceso con contraseñas seguras y, cuando sea posible, con autenticación de dos factores. Se sugiere revisar periódicamente las listas de acceso y revocar rápidamente el acceso cuando ya no sea necesario.

Asegure físicamente los dispositivos y los documentos en papel: Controlar el acceso a los datos incluye controlar el acceso de todo tipo, tanto digital como físico. Proteja los dispositivos y documentos en papel de usos indebidos o robos guardándolos en zonas cerradas con llave. No deje nunca desatendidos dispositivos o documentos confidenciales en lugares públicos.

Elimine de forma segura los datos, dispositivos y documentos en papel: Cuando los datos ya no sean necesarios para los fines para los cuales fueron recolectados, deben eliminarse de manera adecuada.

Gestione la adquisición de datos: Al recopilar datos sensibles, hay que ser consciente de cuántos datos se necesitan realmente y tener muy en cuenta la privacidad y confidencialidad en el proceso de adquisición. Evite adquirir datos confidenciales a menos que sea absolutamente necesario; una de las mejores formas de reducir el riesgo de confidencialidad es, en primer lugar, reducir la cantidad de datos confidenciales que se recopilan.

Gestionar el uso de los datos: El riesgo de no garantizar el deber de confidencialidad puede reducirse aún más utilizando los datos sensibles sólo cuando se apruebe y sea necesario. El uso indebido de datos sensibles viola la privacidad y confidencialidad de esos datos y de los individuos o grupos a los que representan.

Gestionar los dispositivos: La gestión de las computadoras es un tema amplio que incluye muchas prácticas de seguridad esenciales. Al proteger los dispositivos, también puedes proteger los datos que contienen. Siga una higiene básica de ciberseguridad utilizando software antivirus, actualizando el software, creando listas blancas de aplicaciones, utilizando contraseñas de dispositivos, suspendiendo las sesiones inactivas, habilitando cortafuegos y utilizando cifrado de todo el disco.

Scroll to Top