MEDIDAS DE SEGURIDAD EN LOS DATOS PERSONALES
Las medidas de seguridad en el contexto de datos personales buscan proteger en todo momento tres aspectos del ser humano:
Confidencialidad, Privacidad, Derecho a la intimidad.
Algunos de los principios que señalan las directrices de la OCDE, fundamentan la mayor parte de las principales medidas de seguridad que son adoptadas o implementadas por empresas u organizaciones en el mundo. En este contexto explicaremos brevemente los principios básicos de aplicación nacional que recomienda la OCDE y que se encuentran estrechamente con la implementación de medidas de seguridad:
3. Información.
4. Calidad.
Se
cumple con el principio de calidad cuando los datos personales tratados sean
exactos, completos, pertinentes, correctos y actualizados, según se requiera
para el cumplimiento de la finalidad para la cual son tratados. La calidad en los datos personales cuando éstos son
proporcionados directamente por el titular, y hasta que éste no manifieste y
acredite lo contrario, o bien, cuando el responsable cuente con evidencia
objetiva que los contradiga. Para cumplir con este principio, el responsable
podría implementar un mecanismo para habilitar al titular de los datos
personales a modificarlos.
Distinguir para qué se necesita cada dato personal ya que el
tratamiento debe limitarse al cumplimiento de las finalidades previstas en el
Aviso de Privacidad. Si el responsable pretende tratar los datos para un fin
distinto que no resulte compatible o análogo a los fines establecidos en aviso
de privacidad, se requerirá obtener nuevamente el consentimiento del titular.
Entre las finalidades se deben incluir, en su caso, las relativas al
tratamiento para fines mercadotécnicos, publicitarios o de prospección
comercial.
8. Responsabilidad.
Funciones y obligaciones del personal que intervenga en el
tratamiento de los sistemas de datos personales;
Confidencialidad, Privacidad, Derecho a la intimidad.
Algunos de los principios que señalan las directrices de la OCDE, fundamentan la mayor parte de las principales medidas de seguridad que son adoptadas o implementadas por empresas u organizaciones en el mundo. En este contexto explicaremos brevemente los principios básicos de aplicación nacional que recomienda la OCDE y que se encuentran estrechamente con la implementación de medidas de seguridad:
- Principio de calidad de los datos.
Los datos personales
deberían ser pertinentes a los efectos para los que se vayan a utilizar y, en
la medida necesaria a tales efectos, deberían ser exactos y completos, y
mantenerse al día.
- Principio de salvaguardas de seguridad.
Los datos personales
deberían protegerse, mediante salvaguardas de seguridad razonables, frente a
tales riesgos como pérdida de los mismos o acceso, destrucción, uso,
modificación o revelación no autorizados.
- Principio de responsabilidad.
En el caso de México, la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares establece 8 principios de la
protección de datos
El
tratamiento debe ser con apego y cumplimiento a lo dispuesto por la legislación
mexicana y el derecho internacional
2. Consentimiento.
El responsable deberá obtener el consentimiento para el trata
miento de los datos personales, a menos que no sea exigible por ley.
miento de los datos personales, a menos que no sea exigible por ley.
3. Información.
El
cumplimiento de este principio se da con un correcto y actualizado Aviso de
Privacidad. El aviso de privacidad deberá caracterizarse por ser sencillo, con
información necesaria, expresado en lenguaje claro y comprensible, y con una
estructura y diseño que facilite su entendimiento
4. Calidad.
5. Finalidad.
Distinguir para qué se necesita cada dato personal ya que el
tratamiento debe limitarse al cumplimiento de las finalidades previstas en el
Aviso de Privacidad. Si el responsable pretende tratar los datos para un fin
distinto que no resulte compatible o análogo a los fines establecidos en aviso
de privacidad, se requerirá obtener nuevamente el consentimiento del titular.
Entre las finalidades se deben incluir, en su caso, las relativas al
tratamiento para fines mercadotécnicos, publicitarios o de prospección
comercial.
6. Lealtad.
El
principio de lealtad establece la obligación de tratar los datos personales
privilegiando la protección de los intereses del titular y la expectativa
razonable de privacidad. Ésta es entendida como la confianza que deposita
cualquier persona en otra, respecto de que los datos personales proporcionados
entre ellos serán tratados conforme a lo que acordado.
7. Proporcionalidad.
Sólo podrán ser objeto de tratamiento los datos personales que resulten
necesarios, adecuados y relevantes en relación con las finalidades para las que
se hayan obtenido. El responsable deberá realizar esfuerzos razonables para que
los datos personales tratados sean los mínimos necesarios de acuerdo con la
finalidad del tratamiento que tenga lugar.
8. Responsabilidad.
El responsable tiene la obligación de velar y responder por el tratamiento de
los datos personales que se encuentren bajo su custodia o posesión, o por
aquéllos que haya comunicado a un encargado, ya sea que este último se
encuentre o no en territorio mexicano. Cumplir con esta obligación, el
responsable podrá valerse de estándares, mejores prácticas internacionales,
políticas corporativas, esquemas de autorregulación o cualquier otro mecanismo
que determine adecuado para tales fines.
Tipos de seguridad
1. Física
Se refiere a toda medida orientada a la protección de
instalaciones, equipos, soportes sistemas de datos para la prevención de
riesgos por caso fortuito o causas de fuerza mayor;
2. Lógica
Se refiere a las medidas de protección que permiten la
identificación y autentificación de las personas o usuarios autorizados para el
tratamiento de los datos personales de acuerdo con su función;
3. De desarrollo y
aplicaciones
Corresponde a las autorizaciones con las que deberá contar
la creación o tratamiento de sistemas de datos personales, según su importancia,
para garantizar el adecuado desarrollo y uso de los datos, previendo la
participación de usuarios, la separación de entornos, la metodología a seguir,
ciclos de vida y gestión, así como las consideraciones especiales respecto de
aplicaciones y pruebas;
4. De cifrado
Consiste en la implementación de algoritmos, claves,
contraseñas, así como dispositivos concretos de protección que garanticen la
integralidad y confidencialidad de la información;
5. De comunicaciones y
redes
Se refiere a las restricciones preventivas y/o de riesgos
que deberán observar los usuarios de datos o sistemas de datos personales para
acceder a dominios o cargar programas autorizados, así como para el manejo de
telecomunicaciones.
Es importante tomar en cuenta que una organización tiene que
definir y gestionar numerosas actividades para funcionar con eficiencia. Estas
actividades se convierten en procesos que tienen la característica de recibir
elementos de entrada, los cuales se gestionan para regresar al final de su
ciclo, como elementos de salida (resultados). Todos estos recursos deben de
estar integrados en un grupo general e interactuar con el entorno de cado uno
de los elementos que integran el programa de seguridad.
Estos componentes pueden ser:
- Medidas de seguridad administrativas
- Medidas de seguridad físicas
- Medidas de seguridad técnicas
- Medidas de seguridad administrativas.
Son el conjunto de acciones y mecanismos para establecer la
gestión, soporte y revisión de la seguridad de la información a nivel
organizacional, la identificación y clasificación de la información, así como
la concienciación, formación y capacitación del personal, en materia de
protección de datos personales.
- Medidas de seguridad físicas.
Se refiere a las acciones y mecanismos, ya sea que empleen o no la
tecnología, destinados para:
A. Prevenir el acceso no autorizado, el daño o interferencia
a las instalaciones físicas, áreas críticas de la organización, equipo e
información;
B. Proteger los equipos móviles, portátiles o de fácil
remoción, situados dentro o fuera de las instalaciones;
C. Proveer a los equipos que contienen o almacenan datos
personales de un mantenimiento que asegure su disponibilidad, integridad y
confidencialidad,
D. Garantizar la eliminación de datos de forma segura.
- Medidas de seguridad técnicas.
Son las actividades, controles o mecanismos con resultado
medible, que se valen de la tecnología para asegurar que:
A. El acceso a las bases de datos lógicas o a la información
en formato lógico sea por usuarios identificados y autorizados;
C. Se incluyan acciones para la adquisición¸ operación,
desarrollo y mantenimiento de sistemas seguros
D. Se lleve a cabo la gestión de comunicaciones y
operaciones de los recursos informáticos que se utilicen en el tratamiento de
datos personales;
Se pueden determinar las medidas de seguridad aplicables a
los datos personales que se tratan considerando los siguientes factores:
A. El riesgo inherente por tipo de dato personal;
B. La sensibilidad de
los datos personales tratados;
C. El desarrollo tecnológico,
D. Las posibles
consecuencias de una vulneración para los titulares.
Niveles de seguridad
- Básico
Es el relativo a las medidas generales de seguridad cuya
aplicación es obligatoria para todos los sistemas de datos personales. Dichas
medidas corresponden a los siguientes aspectos:
Documento de seguridad;
Funciones y obligaciones del personal que intervenga en el
tratamiento de los sistemas de datos personales;
Registro de incidencias;
Identificación y autentificación;
Control de acceso;
Gestión de soportes;
Copias de respaldo y recuperación.
- Medio
Corresponde a aquellos sistemas de datos relativos a la
comisión de infracciones administrativas o penales, hacienda pública, servicios
financieros, datos patrimoniales, así como a los sistemas que contengan datos
de carácter personal suficientes que permitan obtener una evaluación de la
personalidad del individuo.
Este nivel de seguridad, de manera adicional a las
medidas calificadas como básicas, considera los siguientes aspectos:
Responsable de seguridad;
Auditoría;
Control de acceso físico;
Pruebas con datos reales.
- Alto
Aplica a sistemas de datos concernientes a la ideología,
religión, creencias, afiliación política, origen racial o étnico, salud,
biométricos, genéticos o vida sexual, así como los que contengan datos
recabados para fines policiales, de seguridad, prevención, investigación y
persecución de delitos.
REFERENCIAS
No hay comentarios.:
Publicar un comentario