Desde el pasado miércoles 21 de diciembre de 2011 muchas personas me hacen la misma pregunta: “¿Qué pide el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares a las empresas como la mía?”
La respuesta, que no es simple, se encuentra en síntesis en 3 artículos del Reglamento de la Ley, los artículos 48, 60 y 61.
¿La Ley exige lo mismo para todas las empresas?
Ninguna ley, por naturaleza, puede exigir más o menos a las personas o empresas, por lo que la pregunta del nivel de exigencia es capciosa, pero el artículo 60 presenta elementos para que la carga sea acorde a las capacidades de los responsables (como pasa o debería pasar con los impuestos).
El artículo deja en libertad a los responsables en:
“El responsable determinará las medidas de seguridad aplicables a los datos personales que trate, considerando los siguientes factores”, pero si nos marca las consideraciones necesarias para determinar las medidas de seguridad a implementar, explico dichas consideraciones:
I. El riesgo inherente por tipo de dato personal. El riesgo es igual a la amenaza por la vulnerabilidad, por lo que es necesario realizar un análisis de riesgos (como lo insistirá el artículo 61).
II. La sensibilidad de los datos personales tratados. La sensibilidad derivada de la misma Ley y definida en datos personales y datos personales sensibles, requiere que hagamos una clasificación de información para determinar la sensibilidad de los datos.
III. El desarrollo tecnológico. El estado actual de la tecnología, si no es conocido, deberá ser analizado con profundidad y relacionado con la sensibilidad de los datos, es decir no solo será conocer el desarrollo tecnológico general del responsable si no por el tipo de sensibilidad de los datos personales que se manejan.
IV. Las posibles consecuencias de una vulneración para los titulares. Históricamente, las organizaciones hemos valuado la información por el impacto que tiene al interior de la organización, bajo esta legislación debemos valorar el costo de los datos personales.
V. El número de titulares. Esta es la variable más sencilla. Es el volumen de datos personales que manejamos, básicamente de nuestros clientes (personas físicas) y de nuestros empleados.
VI. Las vulnerabilidades previas ocurridas en los sistemas de tratamiento. Este es uno de los requerimientos más complejos, ya que por distintos reportes del Ponemon Institute sabemos que más del 85% de las empresas sufren al menos una vulneración a la seguridad al año, pero esto no se conoce o se decide ocultar. En el estado de California en los Estados Unidos existe desde 2003 una legislación únicamente para vulneraciones a la seguridad (California Senate Bill 1386) y que nos puede ayudar mucho en el manejo de estas situaciones.
VII. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión. Este punto nos pide que el análisis que hagamos de los datos personales no debe ser únicamente en su volumen sino en el riesgo de la reputación de los titulares afectados.
VIII. Demás factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o regulación aplicable al responsable. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares no exime del cumplimiento de otras legislaciones, por el contrario, suma a las variables de riesgo y cumplimiento dichas leyes o regulaciones, como pueden ser las solicitadas por el IMSS, SAT, INFONAVIT, etc.
Una vez que hemos entendido los factores que nos afectan en el tipo de medidas de seguridad a implementar, analicemos qué medidas son las que debemos implementar (artículo 48).
Medidas para garantizar el debido tratamiento de datos personales
El artículo 48 del reglamento nos explica las actividades que debemos realizar para poder garantizar que el tratamiento de los datos personales cumple con la legislación, estas medidas no son opcionales y todos los responsables deben cumplirlas.
Para explicarlo anterior, muestro una gráfica de los requerimientos, donde todo gira alrededor de políticas y programas de privacidad obligatorios, los cuales deben tener un fundamento en el conjunto de acciones técnicas y administrativas que permitan garantizar el cumplimiento de los principios y obligaciones derivados de la Ley y su Reglamento.
Img. 1 Medidas para garantizar el debido tratamiento de datos personales según el artículo 48.
Lo complicado al mirar este esquema es que no existe una sola área dentro de las empresas que pueda tomar toda la responsabilidad para cumplir con la legislación, es por lo mismo que todos los responsables deben tener un comité de protección de datos personales donde al menos estén las áreas de tecnologías de información, recursos humanos, legal y comercial.
Hasta este punto, la mayoría del trabajo parece ser un trabajo de procesos y procedimientos propios de las empresas, pero el reglamento es muy específico al pedirnos que implementemos 9 acciones para asegurar los datos personales. El artículo 61 del reglamento lo explica de forma muy puntual.
¿Cómo aseguro los datos personales?
A continuación, dividiré las acciones de aseguramiento dentro de proyectos específicos para su mejor comprensión.
Clasificación de la información
1. Elaborar un inventario de datos personales y de los sistemas de tratamiento.
2. Determinar las funciones y obligaciones de las personas que traten datos personales.
3. Realizar un registro de los medios de almacenamiento de los datos personales.
PIA (Privacy Impact Analysis)
4. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales.
5. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquellas implementadas de manera efectiva.
Plan estratégico de mejora
6. Realizar el análisis de brecha que consiste en: la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales.
7. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha.
Auditoría y capacitación
8. Llevar a cabo revisiones o auditorías.
9. Capacitar al personal que efectúe el tratamiento.
Estos proyectos involucran revisar la forma en la que los procesos de las empresas funcionan, por lo que es trascendental que las empresas inicien los proyectos de privacidad a la brevedad y entiendan que la privacidad no es un solo proyecto… es un proceso.
