Deberes de seguridad y confidencialidad
Seguridad
El artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) establece lo siguiente:
Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias para las personas titulares, la sensibilidad de los datos y el desarrollo tecnológico.
En ese sentido, es indispensable que las MIPyMES, en tanto responsables del tratamiento de datos personales, adopten medidas de seguridad físicas, técnicas y administrativas para proteger la información que poseen.
Conoce más sobre estas medidas en la siguiente sección:
Las medidas de seguridad físicas refieren a todos los controles que tienen como objetivo asegurar el acceso físico a la información y a todo su entorno.
Existen múltiples medidas físicas para:
- Tener un control de acceso seguro a las instalaciones en donde se almacena información
- El transporte físico seguro de la información
- Evitar exponer información a personas terceras no autorizadas
- Evitar la modificación no autorizada de la información
- Evitar el daño a la información
Ejemplos:
- Prevenir el acceso no autorizado al perímetro de la organización, sus instalaciones físicas, áreas críticas, recursos e información
- Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, recursos e información
- Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico que pueda salir de la organización
Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento eficaz, que asegure su disponibilidad e integridad
Las medidas de seguridad técnicas refieren a todas las acciones apoyadas de infraestructura tecnológica (hardware y software) que intervienen en la creación, procesamiento, transmisión o almacenamiento de la información.
Las medidas de seguridad técnicas pueden aplicarse en cualquier parte de la infraestructura tecnológica y se clasifican en las siguientes categorías:
- Control de acceso
- Operación de la infraestructura y comunicaciones
- Sistemas de información
Ejemplos:
- Prevenir que el acceso a las bases de datos o a la información, así como a los recursos, sea por personas usuarias identificadas y autorizadas
- Generar un esquema de privilegios para que la persona usuaria lleve a cabo las actividades que requiere con motivo de sus funciones
- Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware
- Gestionar las comunicaciones, operaciones y medios de almacenamiento de los recursos informáticos en el tratamiento de datos personales
Las medidas de seguridad son elementos de control que tienen el objetivo de garantizar la confidencialidad, integridad y disponibilidad de la información. En el caso de los datos personales, las medidas de seguridad se implementan a lo largo de su ciclo de vida para evitar que los datos sean expuestos, alterados o bloqueados por personas o entidades no autorizadas.
Las medidas de seguridad administrativas corresponden a todas las acciones encaminadas a la protección de la información y que están relacionadas con la gente y los procesos.
Las medidas de seguridad administrativas se categorizan de la siguiente manera:
- Políticas de seguridad
- Administración de activos
- Asignación de roles y privilegios
- Realización de auditorías
- Contratos y acuerdos legales y
- Concientización y capacitación
Existen otros ejemplos de medidas de seguridad para la protección de datos personales, como se demuestra en el siguiente esquema:
Es muy importante que las personas responsables del tratamiento, en este caso las MIPyMES, lleven un registro de las medidas de seguridad que implementan. Para ello, se recomienda adoptar el “Sistema de Gestión de Seguridad de Datos Personales (SGSDP)”
En términos generales, se entiende por SGSDP al conjunto de elementos y actividades interrelacionadas para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales, de conformidad con lo previsto en la presente Ley y las demás disposiciones que le resulten aplicables en la materia.
Cabe precisar que el INAI recomienda, precisamente, la adopción de un SGSDP para garantizar la seguridad de la información. Como referencia, se sugiere revisar las “Recomendaciones en materia de seguridad de datos personales”.
Además, es importante señalar que el desarrollo e implementación del SGSDP es un requisito para que el INAI valide los esquemas de autorregulación vinculante que se sometan a su consideración, tal y como se establece en el numeral 14 de los Parámetros de Autorregulación en materia de Protección de Datos Personales.
Pero, ¿cuáles son las ventajas que puede obtener una MIPyME al desarrollar e implementar un SGSDP? La Universidad ESAN del Perú, considera los siguientes: “la disminución del impacto de los riesgos; mayores garantías de continuidad del negocio basadas en la adopción de un plan de contingencias; la mejora de la imagen de la organización y el aumento del valor comercial de la empresa y sus marcas; una mayor confianza por parte de clientes, proveedores, accionistas y socios; una mejora del retorno de las inversiones; el cumplimiento de la legislación y normativa vigentes, etcétera.”
Confidencialidad
El artículo 21 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) establece que los responsales o terceras personas que traten datos personales deberán observar el deber de confidencialidad respecto de dichos datos, obligación que subsistirá aun cuando hayan finalizado sus relaciones con la persona titular o, en su caso, con el responsable.
Asimismo, en el ordenamiento jurídico referido, concretamente en el artículo 63, fracción VIII, se aclara que el incumplimiento del deber de confidencialidad por parte del responsable del tratamiento constituye una infracción a la ley, razón por la cual el INAI podría imponer una multa de 200 a 320,000 días de salario mínimo vigente en el Distrito Federal, de conformidad con el artículo 64, fracción III, de la ley en la materia.
Ahora bien, para cumplir con el deber de confidencialidad, las MIPyMES deben implementar controles para que las personas trabajadoras que tratan datos personales no los divulguen o pongan a disposición de personas, entidades o procesos no autorizados. Solo así se podrá proteger a las personas titulares de los datos de ser víctimas de una vulneración que ponga en peligro su integridad, su seguridad o, incluso, su propia vida.
En cuanto a los controles para garantizar el cumplimiento del deber de confidencialidad, si bien uno de los más importantes es precisamente el Sistema de Gestión de Seguridad de Datos Personales, existen otros que podrían ser complementarios. De acuerdo con información de la Universidad de Delaware, algunos son:
Cifrar archivos confidenciales: La cifrado es un proceso que hace que los datos sean ilegibles para cualquiera, excepto para aquellas personas que tengan la contraseña o clave adecuada. Al cifrar los archivos confidenciales (por ejemplo, mediante contraseñas), puedes evitar que los lean o utilicen quienes no tienen derecho a hacerlo.
Gestiona el acceso a los datos: Controlar la confidencialidad es, en gran parte, controlar quién tiene acceso a los datos. Garantizar que el acceso sólo se autoriza y concede a quienes tienen “necesidad de saber” contribuye en gran medida a limitar la exposición innecesaria. Las personas usuarias también deben autenticar su acceso con contraseñas seguras y, cuando sea posible, con autenticación de dos factores. Se sugiere revisar periódicamente las listas de acceso y revocar rápidamente el acceso cuando ya no sea necesario.
Asegure físicamente los dispositivos y los documentos en papel: Controlar el acceso a los datos incluye controlar el acceso de todo tipo, tanto digital como físico. Proteja los dispositivos y documentos en papel de usos indebidos o robos guardándolos en zonas cerradas con llave. No deje nunca desatendidos dispositivos o documentos confidenciales en lugares públicos.
Elimine de forma segura los datos, dispositivos y documentos en papel: Cuando los datos ya no sean necesarios para los fines para los cuales fueron recolectados, deben eliminarse de manera adecuada.
Gestione la adquisición de datos: Al recopilar datos sensibles, hay que ser consciente de cuántos datos se necesitan realmente y tener muy en cuenta la privacidad y confidencialidad en el proceso de adquisición. Evite adquirir datos confidenciales a menos que sea absolutamente necesario; una de las mejores formas de reducir el riesgo de confidencialidad es, en primer lugar, reducir la cantidad de datos confidenciales que se recopilan.
Gestionar el uso de los datos: El riesgo de no garantizar el deber de confidencialidad puede reducirse aún más utilizando los datos sensibles sólo cuando se apruebe y sea necesario. El uso indebido de datos sensibles viola la privacidad y confidencialidad de esos datos y de los individuos o grupos a los que representan.
Gestionar los dispositivos: La gestión de las computadoras es un tema amplio que incluye muchas prácticas de seguridad esenciales. Al proteger los dispositivos, también puedes proteger los datos que contienen. Siga una higiene básica de ciberseguridad utilizando software antivirus, actualizando el software, creando listas blancas de aplicaciones, utilizando contraseñas de dispositivos, suspendiendo las sesiones inactivas, habilitando cortafuegos y utilizando cifrado de todo el disco.