Cassandra o Pedro y el lobo

De -
Un gran amigo inicia sus presentaciones sobre Protección de Datos Personales hablando de la historia de Cassandra y sobre cómo teniendo la habilidad de adivinación no le servía de nada pues tenía también una maldición que hacía que nadie le creyera.
Algo similar ha pasado con respecto a la Ley Federal de Protección de Datos Personales en Posesión de Particulares, que fue publicada hace casi 2 años y desde entonces ha habido muchas voces diciendo lo que les podrá pasar a las empresas si no la cumplen, pero ha pasado tanto tiempo sin que se sepa de alguna empresa que haya tenido alguna consecuencia derivada de un incumplimiento a la ley o el reglamento, que muchos nos sentimos como Cassandra o como Pedro, que sabe que va a llegar el Lobo, pero lo ha dicho tantas veces que cuando llega ya nadie le cree.
Pues bien, al parecer ya está aquí el lobo y parece que viene acompañado. Hace un par de semanas llegaron a mis manos un par de cartas donde el IFAI hace requerimientos a empresas, principalmente del sector de servicios de comunicaciones y video donde piden varios elementos para corroborar la forma en la que la empresa actuó ante peticiones particulares de ejercicios de derechos ARCO, que le fueron reportaros el Instituto por los Titulares y que al parecer no se apegaron a los términos de la Ley.
Para complementar la información el IFAI solicita varios elementos, que trataré de resumir a continuación:
  •           Copia de los documentos donde recaba el consentimiento expreso cuando se trata de datos sensibles.
  •           La política de confidencialidad de la empresa según lo que expresa el art. 21 de la Ley
  •           El aviso de privacidad y la forma en la que se da a conocer a los Titulares.
Hasta aquí suenan  todas fáciles de contestar, pero empiezan las más difíciles:
  •      La forma en la que se garantiza la confidencialidad de los datos personales (ésta ya habla de GARANTIZAR, por lo que dependiendo del volumen y sensibilidad de los datos, habrá que contar con controles de seguridad que puedan asegurarnos su confidencialidad)
  •          Informar si han tenido vulneraciones a la seguridad (y en los términos de la Ley y el Reglamento, éstas pueden ser por varias razones, a demás tomando en cuenta que alguien reportó al IFAI una anomalía, es probable que sí hayan existido).
  •          Manifestar qué personal de la organización tiene acceso a lo datos personales y de qué manera han sido concientizados sobre la importancia de los datos que manejan (Tratándose de empresas con un buen número de empleados, esto ya no es labor de un par de días, el programa de concientización y capacitación debe hacerse extensivo a prácticamente a todo el personal, desde los que reciben identificaciones en la puerta, los vendedores, hasta personal que atiende a los clientes)
  •         Informar sobre las medidas físicas, técnicas o administrativas que ha implementado para tratar los datos personales y en particular lo que sean sensibles.
Como dije al principio, parce que el lobo ya anda rondando cerca y que en poco tiempo se paseará entre nosotros, por lo que es de fundamental importancia comenzar a tomar en serio las medidas a seguir y asegurarnos de que estemos en completo cumplimiento. Para ello, recalco algunas acciones que mencioné en un artículo anterior:
  •           Identificar las fuentes y orígenes de datos personales.
  •        Clasificar los datos, señalando los que sean sensibles; recordando que son considerados así los que puedan poner en riesgo grave o puedan prestarse a discriminación del titular.
  •          Hacer un análisis para establecer la finalidad con la que recabamos cada dato personal, recordando que si hay un dato que no nos sirve o no utilizamos, debemos dejar de recabarlo.
  •        Poner principal foco en los expedientes de recursos humanos de empleados potenciales, actuales y pasados de la organización, así como en los de clientes  que sean personas físicas, ya sean prospectos, clientes actuales o pasados.
  •         Realizar un análisis de los riesgos a los que están expuestos los datos personales, considerando las posibles vulneraciones que contempla el artículo 63 del reglamento.
  •            Identificar los controles que requeriremos para minimizar los riesgos detectados.
  •           Realizar una análisis de brecha sobre qué controles ya tenemos implementados y establecer un plan de trabajo para implementar los faltantes. Recordando que tenemos hasta junio de 2013 para tenerlos implementados (suena a mucho tiempo, pero les aseguro que para lo que hay que hacer se pasará muy rápido) .
  •           Asegurarnos que contamos con un aviso de privacidad que esté alineado a los elementos señalados por el art. 26 del reglamento y el 16 de la Ley. El aviso de privacidad debe contar con los datos de identificación de nuestro organización como responsable de proteger los datos, los datos personales que recabamos (señalando si se trata de datos sensibles y en su caso recabando el consentimiento expreso), así como las finalidades y los tratamientos a los que someteremos los datos personales, las organizaciones con la que podremos compartir los datos (transferencias), así como las vías de contacto para ejercer los derechos ARCO, para notificar cambios en el aviso de privacidad a los Titulares y los medios que utilizamos para garantizar la confidencialidad de los datos.
  •         También debemos haber designado una persona o departamento responsable de la protección de datos personales al interior de nuestra organización.
  •         Recordar que a partir del 6 de enero de este año ya debemos contar con los mecanismos para atender solicitudes de ejercicio de derechos ARCO en lo términos del capítulo VII del reglamento. Y,
  •          Por último y no por ello menos importante, capacitar a nuestro personal, tanto al que recaba como al que maneja datos personales, identificando el ciclo de vida de los mismos, desde que son recopilados (nacen) hasta que son destruidos o cancelados (mueren) para su uso.
Siguiendo estos pasos podremos estar más tranquilos, sabiendo que si llega el lobo, ya tenemos al cazador que pueda detenerlo.

Comentarios

Publicar un comentario

Entradas populares de este blog

Investigación Forense con Autopsy

De -
Imagen
Investigación Forense con Autopsy (WINDOWS) Autopsy es una herramienta de análisis forense digital de código abierto utilizada principalmente por investigadores, analistas de seguridad y profesionales de la informática forense para examinar y recuperar datos de dispositivos de almacenamiento, como discos duros, unidades flash y otros medios digitales. Desarrollada originalmente por el Departamento de Defensa de los Estados Unidos, Autopsy ofrece una interfaz gráfica amigable que facilita la realización de investigaciones forenses. Las funciones principales de Autopsy son: Análisis de imágenes de disco: permite la creación y el análisis de imágenes de disco completas, lo que permite examinar el contenido de un disco duro o cualquier otro medio de almacenamiento de manera detallada. Recuperación de archivos eliminados: Autopsy puede recuperar archivos que han sido borrados, brindando la posibilidad de analizar información que se creía perdida. Análisis de actividades recientes: facilita ...
Leer más

Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

De -
Imagen
Ante la nueva Ley de Telecomunicaciones y Radiodifusión  y la implantación de la CURP biométrica, más allá de la discusión (muy necesaria, pero fuera del ámbito de este artículo) sobre si estas leyes son adecuadas, es necesario asumir que ya son un hecho y que si bien abren la puerta a un sistema de identidad y conectividad sin precedentes en México, también levantan preocupaciones sobre la vigilancia masiva, la exposición de los datos más personales y varios otros riesgos que es relevante atender. Esto plantea un dilema democrático: ¿puede el Estado saber dónde estoy cada minuto sin romper la presunción de inocencia? Definitivamente la privacidad es una preocupación que todos debemos tener desde las actividades que hacemos diariamente, desde la información que publicamos en redes sociales estamos dando a conocer datos de nosotros mismos y que son utilizados para perfilamiento sobre nuestros gustos, preferencias y costumbres, que pueden ser utilizados tanto para fines legítimos, de...
Leer más

¿Cómo saber si mi certificación ISO 27001 es legítima?

De -
Imagen
Ante el crecimiento en la popularidad y adopción de ISO/IEC 27001 como el estándar de facto en materia de seguridad de la información, en ocasiones existen dudas sobre cómo validar la legitimidad y vigencia de un certificado. Antes que nada vale la pena hacer una pequeña aclaración. Si bien en el mercado se le llana ISO 27000 o a veces ISO 27001, hay que señalar que la forma correcta es ISO/IEC 27001 y su nombre es “Sistema de Gestión de Seguridad de la Información – Requisitos” y su versión vigente es la 2013. La norma ISO 27000, propiamente ISO/IEC 27000, es la referente al vocabulario y en muchas ocasiones nos referimos a toda la familia de normas como 27000, considerando que además de las dos ya mencionadas existen muchas más con lineamientos, guías de implementación, métricas, aplicaciones sectoriales, lineamientos de auditoría, competencia del personal, etc, que forman parte de esta amplia familia. Por otro lado, el prefijo ISO/IEC se refiere a que hay dos organism...
Leer más