Protección de datos y sus consecuencias en las instituciones

El mundo actual tiene un gran volumen de datos en circulación que se intercambian, por tal motivo ha tomado gran relevancia la protección de datos debido a factores como la vulneración de medidas de seguridad y el uso indebido de la información.

¿Qué es LFPDPPP?

Es la abreviatura de Ley Federal de Protección de Datos Personales en Posesión de Particulares.

El mundo actual tiene un gran volumen de datos en circulación que se intercambian, por tal motivo ha tomado gran relevancia la protección de datos debido a factores como la vulneración de medidas de seguridad y el uso indebido de la información.

Protección de datos

Se crea el primer instrumento normativo en materia de protección de datos

En ella se contemplaba un capítulo de protección de datos personales y se establecían los principios generales del tratamiento de datos personales en posesión de los entes públicos.

“El 11 de junio de 2002 se publica la Ley de Transparencia y Acceso a la Información Pública Gubernamental”

Para el año 2007 se adiciona un segundo párrafo a esta ley, con siete fracciones al artículo seis de la Constitución Política de los Estados Unidos Mexicanos; entre ellas, las fracciones II y III señalan que la información a que se refiere la vida privada y los datos personales, será protegida en los términos que fijen las leyes, además de que toda persona tendrá acceso o rectificación a sus datos personales.

Dentro de esta evolución de transparentar y acceder a la información, en el 2009, se faculta al Congreso de la Unión a legislar en materia de protección de datos en posesión de particulares.

La reforma al Artículo 6° de la Constitución Política de los Estados Unidos Mexicanos es resultado de uno de los procesos políticos más esperanzadores de los últimos años en nuestro país: otorgando en forma definitiva, a toda persona, el poder de conocer, todos los documentos en los que consta la actividad de los gobiernos federal, estatal y municipal de México, estableciendo el acceso a la información pública como un derecho fundamental de los mexicanos.

Se trata de una reforma amplia por su alcance y de grandes consecuencias para el futuro ya que introduce el derecho a la protección de datos y diferencia entre la vida privada y los datos personales Esta reforma es sin duda alguna un gran avance en lo que respecta al derecho de acceso a la información y consecuentemente, de la transparencia en México.

Así, después de varios cambios, en 2015 se publica la Ley General de Transparencia y Acceso a la Información de cualquier autoridad, órgano autónomo, político, sindicato, fondo público o fideicomiso.

Cabe hacer mención que la Constitución Política de los Estados Unidos Mexicanos contempla el derecho a la protección de datos personales y la vida privada, sin embargo, hace falta la homologación con algunas leyes de carácter local que son más específicas en el derecho a la vida privada.

Son sujetos regulados por esta Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de:

  • Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables.
  • Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

En la fracción V del Artículo 3 de la ley se define un dato personal como cualquier información que refiera a una persona física que pueda ser identificada a través de los mismos, los cuales se pueden expresar en forma numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo.

En este Artículo se vierten las definiciones importantes para el entendimiento de la ley, y es el INAI a quien esta ley le confiere la facultad de vigilar su cumplimiento y aplicar las sanciones correspondientes en caso de ser necesario.

La Secretaría de Economía es la encargada de difundir el conocimiento de las obligaciones a nivel nacional e internacional, promoviendo las mejores prácticas comerciales respecto a la protección de datos personales y a su vez emite disposiciones administrativas al INAI y fija parámetros y medidas de auto regulación.

Los datos personales que manejan y administran las empresas deben cumplir con dos requisitos: las empresas deben ser responsables de guardar y resguardar la confidencialidad de los datos en su poder que están a su cargo y contar con el consentimiento de los titulares en caso de que estos datos sean usados o cedidos.

Es importante que los usuarios conozcan sus derechos, y si analizamos los conceptos que son los componentes de esta ley, podremos entonces también saber qué hay respecto a las obligaciones.

Aviso de privacidad

Es aquel documento físico o electrónico, generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales. Se entenderá que el titular consiente en forma tácita, el tratamiento de sus datos, cuando habiéndose puesto a su disposición el aviso de privacidad, no manifieste oposición.

El aviso de privacidad deberá contener, al menos, la siguiente información:

  • La identidad y domicilio del responsable que los recaba;
  • Las finalidades del tratamiento de datos;
  • Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos;
  • Medios para ejercer los derechos ARCO;
  • Las transferencias de datos que se efectúen,
  • El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad.

El titular de los datos personales es el propio individuo y la protección de su información y sus datos es un derecho. Los datos de un individuo son personales y éste tiene el derecho a la confidencialidad o en su caso a que los datos sean reservados.

Principios

En el ámbito jurídico se entiende por principio un mandato, una norma que ordena la realización de algo en la medida de las posibilidades jrídicas o reales.

El derecho de protección de datos personales cuenta con principios enunciados en la legislación aplicable a este manejo de información que es relativamente nuevo en México.

Principio de licitud

Los datos personales deberán recabarse de manera lícita, de acuerdo a las disposiciones establecidas en la legislación en materia de datos personales.Están sujetos al consentimiento del titular. No deben usarse métodos fraudulentos

Principio de finalidad

Todo tratamiento de datos personales que efectúe el responsable deberá estar justificado por finalidades concretas, lícitas, explícitas y legítimas, relacionadas con las atribuciones que la normatividad aplicable les confiera, o en el caso de empresas privadas, que el tratamiento de datos personales se limite al cumplimiento de las finalidades previstas en el aviso de privacidad.

Principio de lealtad

El responsable no deberá obtener y tratar datos personales, a través de medios engañosos o fraudulentos. Tendrá que privilegiar la protección de los intereses del titular de los datos personales y la expectativa razonable de privacidad, y velará por el cumplimiento de los principios de protección de datos personales, establecidos en la legislación, debiendo adoptar medidas necesarias para su aplicación.

Principio de consentimiento

Todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas en la legislación en la materia. El consentimiento será expreso cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos.

Se entenderá que el titular consiente tácitamente el tratamiento de sus datos cuando, habiéndose puesto a su disposición el aviso de privacidad, no manifiesta su oposición.

Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de firma autógrafa, firma electrónica o cualquier mecanismo de autenticación que al efecto se establezca, salvo excepciones de ley.

Principio de calidad

El responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados según los fines para los cuales fueron recabados.

Se presume que se cumple con la calidad en los datos personales cuando éstos son proporcionados directamente por el titular y hasta que éste no manifieste y acredite lo contrario.

Principio de proporcionalidad

El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad.

El responsable sólo deberá tratar los datos personales que resulten adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento.

Principio de información

El responsable tendrá la obligación de informar a los titulares de los datos la información que se recabe de ellos y su finalidad.

El responsable deberá informar al titular, a través del aviso de privacidad, la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.

Asimismo, se refiere a la potestad que otorga la Ley, de conocer previamente las características esenciales del tratamiento a que serán sometidos los datos personales que se proporcionen a un ente privado o empresa. El aviso de privacidad deberá ser redactado en un lenguaje claro y comprensible.

Principio de responsabilidad

El responsable deberá tomar las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular sea respetado en todo momento por él, o por terceros con los que guarde alguna relación jurídica.

Mejores prácticas

Las mejores prácticas en este rubro ayudan a elevar el nivel de protección de los datos personales, armoniza el tratamiento de datos personales y facilita el ejercicio de los derechos ARCO a los titulares.

Por otro lado, permiten una aplicación metodológica ante la autoridad aplicable, el cumplimiento de la normatividad en lo concerniente a datos personales.

Derechos ARCO

Toda persona debe tener poder de control sobre sus datos personales. Esto es garantizado a través de los derechos que le confiere la normatividad.

Cabe hacer mención que muchos usuarios y empresas desconocen el ejercicio de los derechos ARCO y omiten otorgarle a este rubro una atención adecuada. Esto reviste una gran importancia ya que los usuarios podrían ser susceptibles de multas o sanciones por el incumplimiento de esta Ley.

Delitos y sanciones

  • De 100 a 160,000 al tratar datos personales de identificación.UMAS
    • De $8,449 a $13,518,400
  • De 200 a 320,000al tratar datos personales de identificación.UMAS
    • De $16,898 a $27,036,800
  • Persisten las infracciones de 100 a 320,000.UMAS
    • De $8,449 a $27,036,800

Por traficar o hacer un mal uso de las bases de datos personales:

  • De 3 meses a 3 años de prisión incluyendo datos personales de identificación.
  • De 6 meses a 5 años de prisión incluyendo datos personales sensibles

35 días de salario mínimo vigente en la Ciudad de México, con la posibilidad de que la pena se duplique si las infracciones son cometidas en el tratamiento de datos sensibles

Medidas de seguridad

Podemos observar con frecuencia que la salida de un proceso se convierte directamente en la entrada del proceso siguiente, y la interconexión entre procesos genera sistemas que se retroalimentan para mejorar. Todos estos recursos deben de estar integrados en un grupo general e interactuar con el entorno de cado uno de los elementos que integran el programa de seguridad.

Estos componentes pueden ser:

Medidas de seguridad administrativas

Son el conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales.

Medidas de seguridad físicas

  • Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información;
  • Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones;
  • Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, integridad y confidencialidad,
  • Garantizar la eliminación de datos de forma segura.

Medidas de seguridad técnicas

  • El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados;
  • El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;
  • Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros,
  • Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales;

Responsable y encargado

Se hace una diferencia entre los conceptos de responsable y encargado, a fin de definir las facultades y responsabilidades respecto al tratamiento de datos personales.

Responsable

Persona física o Moral de carácter privado que decide sobre el tratamiento de datos personales.

Encargado

Persona física o Moral que sola o conjuntamente con otras trate datos personales por cuenta del responsable.

El comportamiento ético indica que en cualquier población el 20% se comportará honestamente más allá de las circunstancias, otro 20% buscará activamente debilidades en los controles y oportunidades para actuar deshonestamente y el 60% restante se comportará honesta o deshonestamente dependiendo de una combinación de circunstancias (necesidad, motivo y oportunidad).

Así las cosas, tenemos que tomar en cuenta los riesgos por el manejo de la información, el valor de los datos personales que se tratan, establecer planes de recuperación por desastres y podemos concluir algunos puntos importantes:

  • La responsabilidad por el resguardo de la información es muy grande. Su adecuada protección generará en los usuarios confianza en empresas e instituciones.
  • Existe aún desconocimiento de las implicaciones legales por el tratamiento de la información.

Por esto es conveniente buscar las buenas prácticas y establecer un código de ética para el uso de la información. Además, el papel del auditor interno es fundamental para impulsar y robustecer las mejores prácticas, líneas de defensa y por lo tanto mitigación de riesgos para que las empresas y las personas tengan una mayor protección de sus datos.


Contenido relacionado

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

You May Also Like