Termina el plazo para cumplir con el Reglamento de la Ley Federal de Protección de Datos Personales

Para muchas empresas aún no ha quedado completamente claro el tema de la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), y es que si bien hace tres años no contábamos con una ley que regulara el uso y acceso a este tipo de información, a partir del 6 de julio del 2010 que se hizo pública en el Diario Oficial, entró en vigor.

Sin embargo, pese a que no se había expedido un reglamento, las empresas ya debían de contar con una persona o departamento de datos personales para atender las solicitudes de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) que pudiera atener a cualquier persona (titular) que brindara a la empresa sus datos personales. A finales del 2011 se contaba ya con un reglamento final, y en el 2012 cualquier persona podía ejercer sus derechos ARCO e interponer quejas ante el IFAI por un mal uso de su información. Para Junio del presente año todas las empresas ya deberán de cumplir con lo establecido en el Capítulo III del Reglamento sobre medidas de seguridad, obligaciones de notificación, implementación de medidas preventivas y correctivas.

“Como consultor en la Gestión y Seguridad de la información he observado que muchas empresas aún no están del todo enteradas del objetivo fundamental de la LFPDPPP, el cual es proteger los Datos Personales regulando su tratamiento legítimo, con efecto de garantizar la privacidad y el derecho de autodeterminación de las personas. Nosotros como dueños de nuestros propios datos tenemos el derecho de decidir qué hacer con ellos, cuántos de nosotros no recibimos correos “spam” y otros que realmente no queremos recibir y ni siquiera sabemos cómo obtienen nuestra información”, comenta Carlos Kornhauser, Director de Consultoría en Seguridad de Pink Elephant México; empresa número uno en el mundo, en Capacitación y Consultoría para la Gestión Estratégica y Eficiencia Operativa de TI.

Los datos personales se dividen en dos categorías:

• Datos personales: toda información que hace a una persona identificable.

• Fotografias

• Nombre

• Entidad

• Sexo

• Dirección

• CURP

• RFC

• Datos personales sensibles: aquellos que pudieran causar discriminación o alerta a secuestros

• Patrimoniales (cuentas bancarias, saldos, propiedades).

• Biométricos (huella dactilar, la voz, iris).

• Estado de Salud (físico o mental).

¿Qué requerimientos nos exige la Ley?

• Gestión de derechos ARCO.

• Revisar cómo se hace la transferencia de información.

• Gestión sobre los soportes físicos o electrónicos (¿cómo se almacena la información?).

• Bitácoras de Acceso (¿Quién accede a esta información?).

• Gestión de Incidentes (Si por cualquier situación la base de datos se ve comprometida tenemos que avisar a las personas que sus datos pueden estar comprometidos).

• Control de Acceso a las Instalaciones.

• Identificación y Autenticación al acceder a la información.

• Procedimiento de respaldo y recuperación de datos.

• Plan de contingencias.

• Procedimiento para eliminar las bases de datos.

Los derechos ARCO, son los derechos que como persona, propietaria de los datos personales (titular), podemos ejercer ante cualquier particular (responsable) que tenga esta información. El primero de ellos es Acceso, es decir, yo puedo ir a cualquier organización y pedir que me informen qué datos tienen míos y exigir el acceso a ellos, el segundo es Rectificación, cuando las empresas tengan nuestros datos podemos exigir que los rectifique y actualice en caso de ser necesario, Cancelación podemos pedir a las empresas que borren nuestros datos, sin embargo, debemos de fijarnos cómo se aplican los temas de cancelación y de retención que pudieran existir dados por alguna otra Ley, por ejemplo, no podemos llegar a un banco y pedir que borren nuestros datos cuando tenemos un crédito con este banco; por último el de Oposición, tenemos derecho a acceder a darles nuestros datos pero nos oponemos a que esta empresa los comparta o haga algún uso diferente con ellos.

“Hoy en día si no se cumplen con los requerimientos, ya existen las multas y sanciones pertinentes; es necesario que las empresas estén conscientes del manejo de los datos, ya que puede variar dependiendo del tipo de datos que se manejen, por ejemplo, cuando son datos personales sensibles el consentimiento debe de ser explícito, de otra forma no podremos hacer uso de estos, por otro lado si son datos personales –normales-, incluso el consentimiento pudiera ser implícito con el sólo hecho de darnos la información, para esto puede ayudar a las empresas el contar con su Aviso de Privacidad actualizado”, agrega Carlos Kornhauser.

Las multas pueden ser:

• De entre 100 a 320,000 días de salario mínimo vigente en el Distrito Federal.

• Las multas podrán incrementarse hasta el doble en caso de reincidencias.

• La Ley introduce la tipificación de delitos en materia del tratamiento indebido de datos personales, con penas desde los 3 meses hasta los 5 años de prisión.

Estas se determinan dependiendo de la naturaleza del dato, el carácter de la acción y la capacidad económica del responsable.

En nuestras empresas, los deberes son:

• Obtener el consentimiento del Titular de los datos.

• Proporcionar al Titular la información acerca del tratamiento de sus datos (Aviso de Privacidad).

• Adoptar y mantener medidas de organización y de seguridad para evitar la modificación, pérdida, tratamiento o acceso no autorizado a la información.

• Establecer procedimientos y facilidades para que el Titular pueda ejercer sus derechos ARCO.

En materia de Seguridad de Bases de Datos y Archivos Electrónicos:

• Todo responsable deberá establecer y mantener medidas de seguridad de carácter administrativo técnico y físico que permitan proteger los datos personales de cualquier daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

• No deberán tener medidas de seguridad menores a aquellas que usa para su propia información (información de la empresa).

• Tomar en cuenta los factores como riesgos existentes, consecuencias para los titulares, sensibilidad de datos personales y el desarrollo tecnológico.

Para una correcta Gestión de la Información que nos brindan nuestros clientes, debemos identificar la brecha, desarrollar un plan de acción, qué es lo que nos hace falta, ya cumplimos con todos los requerimientos ahora, ¿qué sigue?, gestionar la LFPDPPP, cumplir con nuestro

English: ifai logo

English: ifai logo (Photo credit: Wikipedia)

Aviso de Privacidad, cumplir con el Reglamento.

Por último no olvidemos generar las medidas de seguridad adecuadas ya sean auditorías internas de manera periódica con un adecuado manejo de calidad y seguridad, analizar hallazgos y generar una mejora continua.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s