Marco regulatorio de las MIPyMES
La “Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)”[1], en su artículo 19, se establece que todo sujeto regulado, incluyendo a las MIPyMES, que traten datos personales debe establecer y mantener en el tiempo, medidas de seguridad físicas, técnicas y administrativas para proteger los datos que estén en su posesión de una vulneración.
Antes de continuar con el marco regulatorio, es importante definir algunos conceptos:
Cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información.
Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual.
Conjunto de acciones, actividades, controles o mecanismos administrativos, técnicos y físicos que permitan proteger los datos personales.
Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales.
La pérdida o destrucción no autorizada de datos personales; el robo, extravío o copia no autorizada; el uso, acceso o tratamiento no autorizado, o el daño, la alteración o modificación no autorizada de dichos datos.
Para ayudar a los sujetos regulados por la LFPDPPP, el INAI emitió las “Recomendaciones en Materia de Seguridad de Datos Personales” las cuales parten de la premisa de que la seguridad depende del entendimiento y conocimiento de los procesos donde se traten datos personales. Es decir, si sabemos dónde y cómo recabamos, almacenamos, utilizamos y eliminamos la información, entonces sabremos dónde necesitamos establecer medidas de seguridad. En ese sentido, la recomendación general es el desarrollo y adopción de un Sistema de Gestión de Seguridad de Datos Personales (SGSDP), basado en el ciclo PHVA (Planear-Hacer-Verificar-Actuar).
Adicionalmente, el INAI ha puesto a disposición de los responsables del tratamiento de datos del sector privado, también referidos como sujetos regulados por la LFPDPPP, una serie de documentos y guías para ayudarles a cumplir con sus deberes y obligaciones en materia de protección de datos personales. Estos documentos se pueden descargar, de manera gratuita, en la siguiente dirección electrónica.
Asimismo el INAI ha publicado los siguientes materiales para ayudar a las MIPyMES en el cumplimiento con el marco legal en materia de protección de datos personales: