Tratamiento de datos personales. Tema pendiente. Alejandro Arceo Marrufo

Tratamiento de datos personales. Tema pendiente. Alejandro Arceo Marrufo

 
Cuando hablamos sobre la protección de los datos personales, es inevitable traer a la mesa los temas de ciberseguridad, las preocupaciones se orientan en evitar intrusiones no autorizadas a los sistemas de la organización y protegerla de las fugas de datos que pudieran comprometer la continuidad del negocio. Estas son razones por demás importantes, sin embargo, no podemos hacer a un lado la reflexión sobre las posibles consecuencias a las que cualquier empresa puede enfrentar cuando los datos personales que posee una organización se ponen en riesgo, ya que este tema en México está legislado y entre su reglamentación están incluidas implicaciones que van desde sanciones administrativas pasando por multas hasta pena de prisión para quienes resultaran responsables.

¿Qué debemos entender por datos personales?

Es toda información que permita identificar a un individuo, como puede ser nombre y apellidos, domicilio, teléfono, historial laboral, académico, datos patrimoniales o financieros (Información crediticia, Estados de cuenta, Propiedades inmobiliarias e Inversiones); su firma, sus características físicas o datos biométricos (iris ocular o la huella dactilar). Son considerados sensibles cuando exponen la información más íntima de un individuo, o sea no solo que permitan identificar al individuo sino también su origen, creencias y desenvolvimiento social; por ejemplo, origen racial o étnico, ideología, creencias políticas, filosóficas y religiosas, orientación sexual, estado de salud por mencionar algunas.

¿Cómo ha evolucionado la protección de datos personales en México?

Cuando aparece la Ley Federal de Transparencia y Acceso a la Información Pública en 2002, por primera vez se contempla la obligación del gobierno de cuidar los datos personales que maneja, los principios que estableció abrieron la puerta a la legislación sobre la importancia de proteger los datos personales y la vida privada de los individuos al modificar el artículo 6 de la constitución en 2007. Las modificaciones a las leyes no se quedaron en el ámbito de la responsabilidad del Gobierno, en 2009 éstas se extendieron a los datos que tienen en su poder los particulares, regulando como debe darse tratamiento a ellos y dotando a los individuos el derecho ARCO (acceso, ratificación, cancelación u oposición a sus datos personales) para habilitarles la facultad de revisar, confirmar y/o revocar el uso de sus datos cuando así lo consideren. A partir de entonces, en México se cuenta con una ley que regula el tratamiento de los datos personales por parte de empresas del sector privado, ésta se conoce como la Ley Federal de Protección de Datos Personales en Posesión de los Particulares ("Ley de Protección de Datos”) y es aplicable:

Si la persona responsable del manejo se localiza en México.
Si el procesador de datos está localizado en México usando software a su nombre.
Si los responsables del procesamiento de datos utilizan medios ubicados en México (aunque sean extranjeros).

Están obligados a cumplir con el reglamento de la Ley de Protección de Datos todas las personas físicas o morales del sector privado que obtengan, usen, almacenen y/o transfieran datos personales obtenidos por cualquier medio o como parte de sus actividades. La Ley contempla dos figuras involucradas en el tratamiento de los datos, el "responsable”, persona física o moral del sector privado que toma las decisiones sobre el tratamiento de datos personales y el "encargado” quien es la persona física o moral, ajena al responsable pero que trata los datos personales a cuenta del responsable o por sus instrucciones. Para evidenciar la existencia y condiciones de cualquier relación entre ellos debe existir un contrato que la establezca; este contrato cobra mucha importancia si se considera que el responsable es quien enfrentará las sanciones del INAI (Instituto Nacional de Acceso a la Información) en caso de incumplimiento. Por otro lado, el encargado será considerado como responsable y estará sujeto a las mismas sanciones, si no es capaz de cumplir con las instrucciones del responsable o pone en riesgo datos personales sin el consentimiento del responsable.

En 2013 se vuelve requisito la publicación de los Avisos de Privacidad donde toda empresa o individuo que maneje datos personales, a través de este aviso debe notificar al público sus compromisos para llevar a cabo los lineamientos que establece el reglamento de la Ley de Protección de Datos. Pero esto no es todo, quienes manejen datos personales deben tener en cuenta las guías emitidas por el INAI y entre ellas vale la pena resaltar:

Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales
Guía para el Tratamiento de Datos Biométricos.

La Ley de Protección de Datos establece 8 principios a los que toda empresa está obligada a seguir (Licitud, Consentimiento, Información, Calidad, Finalidad, Lealtad, Proporcionalidad y Responsabilidad) pero también prevé el cumplimiento de medidas de seguridad y de confiabilidad para la entidad responsable, por tanto, en términos prácticos toda empresa está obligada a observar los siguientes lineamientos:

Hacer de conocimiento público su aviso de privacidad
Obtener el consentimiento tácito o expreso del titular de los datos personales
Facilitar al titular le ejercicio de sus derechos ARCO.

Es indispensable que las empresas no minimicen el cumplimiento de las regulaciones para el manejo de datos de sus clientes y usuarios, deberán ser capaces en todo momento de garantizar su manejo apropiadamente, es importante aplicar todas las medidas de protección al alcance para evitar cualquier tipo de fraude o fuga de datos y transparentar el tratamiento de los datos personales siempre que el titular así lo requiera. Hay que tener presente que las empresas pueden obtener datos personales de forma directa (formularios, correo electrónico, etc.) o indirecta (bases de datos públicas, sitios web, etc.), por tanto, no siempre se tiene el control sobre su origen o destino. 

La vulneración de la seguridad de los datos personales puede incluir la pérdida, destrucción, robo extravío, copia, uso, acceso, tratamiento, daño o alteración no autorizada por el titular; por tanto, es responsabilidad de quien trata con los datos personales implementar todo tipo de medida administrativa, técnica o física a su alcance para evitar una vulnerabilidad de la seguridad; así como designar un departamento o persona que se encargue de la protección de los datos personales.

¿Qué sanciones pueden enfrentarse por el tratamiento indebido de Datos Personales?

De acuerdo con la Ley Federal de Protección de Datos Personales en Posesión de Particulares las infracciones especificadas en su artículo 64 incluyen multas del orden de 100 a 160,000 unidades de medida y actualización (UMA) por actuar con negligencia o dolo ante solicitudes pare ejercer el derecho ARCO. Multa de 200 a 320,000 de unidades de medida y actualización (UMA) por incumplir el deber de confidencialidad. Para aquellos casos que llegaran a ser considerados delitos en materia de tratamiento indebido de datos personales pueden llegar a implicar de tres meses a tres años de prisión a quien, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia; incluso está considerara la prisión de seis meses a cinco años a quien, con fines de lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos. Pero eso no es todo, estas sanciones se duplican si se tratara de datos sensibles.

¿Qué debe reforzarse?

Desde el momento que una empresa tiene acceso a datos personales, es su responsabilidad asegurar un manejo adecuado de estos, por lo cual debe ser capaz de garantizar mecanismos de seguridad técnicos, administrativos y físicos que los resguarden adecuadamente. Es por esto por lo que, debe contarse con la tecnología adecuada para prevenir cualquier acceso no autorizado, robo o destrucción de datos relacionados a los usuarios; la tecnología deberá proveer mecanismos que puedan garantizar la seguridad de los datos con estándares de calidad muy altos, por lo cual hay que ser cuidadosos al elegirla.

Por último, dado que muchas empresas de México llevan años posicionándose en ámbitos internacionales y la globalización no excluye, estas empresas están obligadas no solo a cumplir las los lineamientos de la Ley de Protección de Datos de México, también hay que tener en consideración las legislaciones de los países donde se tengan operaciones ya sea directa o indirectamente, ya que estas pueden diferir en exigencias, regulaciones o sanciones; por ejemplo en México no se otorgan ciertos derechos a los titulares de los datos que en la regulación europea en materia protección de datos sí incluye;  tal es el caso del derecho de portabilidad, por medio del cual se brinda al titular la potestad de solicitar y obtener una copia de cualesquiera datos que tenga el responsable del tratamiento de los mismos. Tampoco se otorga al titular la facultad de solicitar la transferencia de los datos personales del titular hacia otro responsable, así como no se cuenta con el derecho al olvido, o sea que el titular pueda solicitar la eliminación definitiva de sus datos personales.

Como conclusión, el manejo de los datos personales con que contamos en las empresas no es un tema menor, debe manejarse con la seriedad que la legislación estipula, no es solamente un tema de ciberseguridad o responsabilidad exclusiva del área de sistemas de la empresa, el no llevar un tratamiento correcto de estos datos puede provocar implicaciones importantes para el negocio o dañar la reputación de la empresa de manera irreversible.


MDTIC Alejandro E. Arceo Marrufo

Alejandro Arceo Marrufo es Maestro en Dirección de Tecnología de Información y Comunicaciones por la Universidad Anáhuac. Cuenta con una experiencia de más de 30 años y ha sido Gerente de Tecnologías de la Información en importantes corporativos del sureste de México como Megamak de Grupo BEPENSA, Monty Industries y Grupo LODEMO.

Actualmente es director de Tecnologías de la Información en ISCAM, empresa experta en la medición de Mercados para el Canal Mayorista de México. Amplia experiencia en Estrategias de Transformación Digital, Integración de Sistemas de Información Empresariales, Ciberseguridad e Infraestructuras; actualmente incursionando en Inteligencia de Negocios, Big Data y Data Science.

Ha sido reconocido por la Revista Especializada en Tecnología CIO México en 2014, 2015 y 2016 como uno de los 100 Chief Information Officer a nivel nacional por proyectos innovadores.
Padre de familia y esposo que disfruta de practicar ciclismo, carrera y natación al igual de la música, el ajedrez y el cine.



COMENTARIOS

Esta publicación aún no tiene comentarios disponibles.

Escribe un comentario.