Ley Federal de Protección de Datos Personales en Posesión de Particulares
El pasado mes de julio de 2010 se publicó en el Diario Oficial de la Federación la Ley Federal de Protección de Datos Personales en Posesión de Particulares. Este tipo de ley no es nueva en el mundo, pues tanto en Europa como en Estados Unidos existen leyes parecidas a la nuestra desde hace varios años. En México tenemos la ventaja de que la ley integra conceptos que no contemplan las leyes de otros países, ya que la innovación tecnológica de los últimos diez años hace que el tratamiento de datos personales sea completamente distinto.
El objetivo de la ley es proteger los datos personales en posesión de las empresas, así como regular que dichos datos sean usados únicamente para la finalidad que fueron entregados, que se tenga un control de quién y para qué los tiene y que el titular o dueño de los datos siempre esté informado del trato de dichos datos, buscando con lo anterior garantizar la privacidad y el derecho a la autodeterminación informativa de los individuos.
La ley define a los datos personales como cualquier información que haga a una persona identificada o identificable, y a su vez menciona que, son datos personales sensibles aquellos datos que afecten a la esfera más íntima de su titular, como podrían ser estado de salud, preferencias religiosas o sexuales.
La ley les otorga a los titulares de datos personales, léase que esta ley no sólo aplica a los mexicanos, sino a cualquier persona que entregue datos personales, cuatro derechos fáciles de recordar, pero que serán un dolor de cabeza para las empresas. Dichos derechos son: (1) acceso a sus datos; (2) rectificación de datos erróneos o incompletos, así como la responsabilidad de que las empresas notifiquen a sus terceros dichas rectificaciones; (3) Cancelación de los datos, que puede involucrar el que sean bloqueados por un periodo o su total borrado, y (4) Oposición, por la cual, el titular puede solicitar la exclusión de los datos de cualquier tipo de tratamiento.
Uno de los temas más importantes de la ley es el reparto de responsabilidades. Ahora, la autoridad responsable tiene el poder de realizar verificaciones de oficio o a petición de parte, poner penas de hasta 10 años de prisión o multas de hasta 76 millones de pesos, y por último, publicar los resultados y resoluciones de forma pública, lo que implica un riesgo reputacional, altísimo.
Durante los últimos meses he impartido distintas conferencias sobre la Ley de Protección de Datos; en la gran mayoría de los casos, las personas no conocen la ley, ni sus derechos, y aún peor, las empresas están realizando esfuerzos mínimos para proteger a los titulares. ¿Por qué ocurre esta situación? Hay dos aspectos básicos:
- Dado que se trata de una ley, quienes la están leyendo-entendiendo son únicamente las áreas legales, dejando de lado las áreas de sistemas, recursos humanos, operaciones, finanzas, riesgos, etcétera.
- En nuestro país tenemos una escasa cultura sobre seguridad informática, por lo que nos parece que una ley como ésta es letra muerta, y que las autoridades no cumplirán ni con las penas ni con las multas que la ley prescriba.
¿Qué debemos hacer? Existen tres visiones distintas, las cuales quiero contemplar:
- Como titulares de datos personales, debemos exigir a los responsables del tratamiento de nuestros datos personales, que antes de julio de este año, nos hagan llegar nuestro aviso de privacidad y así poder leerlo a conciencia. Tenemos derecho a que nos expliquen detalladamente aquello que no nos quede claro.
- Como empleados de una empresa responsable de protección de datos personales, es necesario estar conscientes de nuestra responsabilidad en la protección de los datos de mi empleador, ya que la inobservancia de esto podría significarle a una persona hasta 10 años de cárcel (Artículo 67,68 y 69). Por otro lado, es imperativo exigir a nuestro empleador que nos comunique el tratamiento de nuestros datos personales (aviso de privacidad) a la mayor brevedad.
- Las empresas responsables de protección de datos Requieren tomar en cuenta que estamos a menos de tres meses para que todos los obligados por la ley entreguen a los titulares sus avisos de privacidad y designen al responsable de protección de datos. La mayoría de los responsables no han enviado, publicado o presentado sus avisos de privacidad. En general, existe un desconocimiento al respecto, en algunos casos no saben que lo tienen que hacer, en otros no están al tanto de qué datos personales tienen de los titulares (sus clientes) y, en el peor de los escenarios, creen que sus áreas legales lo pueden hacer en unas semanas antes de la fecha límite (5 de julio del 2011).
Es necesario comprender que no todo el mundo necesita proteger los datos de la misma manera; es imposible pedir el mismo nivel de seguridad a los pequeños comercios que manejan pocos o ningún dato personal, comparado con las grandes compañías internacionales que utilizan millones de datos personales de los clientes.
La visión de los riesgos financieros, operativos o tecnológicos se ha centrado en establecer calificaciones subjetivas para los diferentes factores que influyen en dichos riesgos. Las valoraciones son subjetivas, hay una tendencia para atribuir valores a los riesgos que no reflejan completamente la realidad, atribuyéndose comúnmente esta tarea a la experiencia previa del consultor o de la empresa que lo realiza.
¿Cuál es la solución? Hay que administrar los riesgos relacionados con los datos personales en tres niveles:
- Riesgo Accidental: Históricamente, las áreas de TI entienden muy bien este riesgo y elaboran sus planes de recuperación ante desastres, o bien la empresa crea sus procedimientos de continuidad de negocio. Para el tratamiento de este riesgo debemos medir el mejor esfuerzo, donde únicamente una fuente de poder, puerto, enlace o servidor funcione adecuadamente para mitigar este riesgo. La forma en que solventamos los riesgos accidentales es aplicando controles de disponibilidad de los datos y la información.
- Riesgo oportunista: La mayor parte de los datos personales está amenazada por este tipo de riesgo; aquí tenemos que aumentar la altura y grosor de nuestras "paredes", ya sean internas o externas. Una analogía de esta propuesta es la siguiente: hay dos automóviles iguales en diferentes situaciones; el primero tiene alarma, bastón para el volante, las ventanillas cerradas y se encuentra en un estacionamiento que cuenta con seguridad y video-grabación continua; el segundo está estacionado en una calle sin luz y con las ventanillas mal cerradas. Si un ladrón roba cualquiera de los dos vehículos, obtiene el mismo beneficio económico, pero si roba el segundo su oportunidad de hacerlo requiere un esfuerzo menor y su riesgo está atenuado por el entorno. El riesgo oportunista es mitigado colocando “la reja más alta de la calle”, es decir, no requerimos tener los controles más estrictos, sino únicamente mejores controles que los que tiene nuestra competencia, el estándar o la industria. “No hay que correr más rápido que el dragón, únicamente, más rápido que el hobbit”. Este riesgo se minimiza implementando la mayor cantidad de controles (entre más mejor) y manteniendo buenas prácticas.
- Riesgo intencional: Este riesgo es atendido mediante controles de privacidad y de integridad. Cualquier error en un control podría significar la pérdida de datos.
Si no entendemos esta categoría diferente, no podemos evolucionar en la gestión de riesgos. El riesgo de un presidente de ser asaltado, secuestrado o atacado es tan alto, que los niveles de seguridad que requiere, deben ser los más rigurosos en todo momento. Sus atacantes no lo agredirán por accidente, ni porque exista la oportunidad, lo harán con una intención directa, tendrán tiempo de planear el ataque y por lo mismo los controles deben ser máximos, ya que una sola falla en el sistema de protección provocaría que todo el esquema de seguridad se afectara.
Una vez analizados estos tres tipos de riesgo, y ante la inminente entrada en vigor de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, debemos tener claro que en la protección de datos, el mayor riesgo es que no exista la administración de riesgos.
Como un método rápido y sencillo de lo qué las empresas deben hacer, sugiero tres pasos muy simples, pero efectivos:
- Concientización de los empleados sobre el trato que dan a la información de sus clientes, proveedores y su mismo personal.
- Realizar un análisis del impacto de privacidad, en dónde se encuentren las diferencias del estado actual versus el estado de cumplimiento y desarrollar un plan para subsanar dichas deficiencias.
- Crear procesos que mantengan al día la protección de datos personales.
Por nuestra parte, en tanto titulares de datos personales, lo más importante es estar informados y conocer nuestros derechos y obligaciones, la mejor forma de lograrlo es leer, entender y ejercer nuestros derechos.
Los lectores pueden consultar, la publicación de esta ley en el sitio:
http://dof.gob.mx/nota_detalle.php?codigo=5150631&fecha=05/07/2010, si al leerla la encuentra complicada, el IFAI (http://www.ifai.org.mx) ha creado información sencilla y entendible para aquellas personas que quieran una referencia rápida del tema.