Maestra en Admin, Ing en Computación orgullosamente UNAM, apasionada de los datos personales seguridad de la información, amante de la tecnología y la lectura.

May 6, 2016

El buen juez por su casa empieza …

Que tus medidas para proteger los datos personales sean deficientes, te deja totalmente desprotegido ante cualquier vulneración.

Comienzo con esta frase reflexionando, sobre el tan mencionado tema de la lista nominal, donde estuvieron involucrados el Instituto Nacional Electoral (INE), el partido político Movimiento Ciudadano y demás actores con participación de forma indirecta o directa en este caso, sin duda un tema polémico que ha dado mucho en estos últimos días y que ha llamado la atención de diferentes medios nacionales e internacionales, sectores, autoridades y empresas que opinan sobre, la posición del Instituto, la proporcionalidad de la información compartida, los mecanismos de seguridad que no fueron considerados por Movimiento Ciudadano para proteger la información bajo su custodia, la responsabilidad de la empresa que asesoraba al partido, la posición del proveedor de nube, así como, los huecos legislativos en materia de protección de datos personales para sancionar a los responsables de esta afectación sin precedentes.

Nuestra realidad es que gran parte de las empresas en México y seguro muchas de las que opinan y muestran sorpresa sobre el caso INE, a quienes aplica un marco legal más robusto, que a casi 6 años de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), incumplen con ella y se preocupan más por las multas y sanciones de otros, en lugar de establecer una estrategia de cumplimiento, que les permita reforzar las medidas que actualmente tienen implementadas para proteger los datos personales de sus empleados, candidatos y clientes.

¿Por qué se da esta situación ? … Analicemos

Muchos argumentan, que es la “cultura” en nuestro país (México), el tener leyes para no cumplirlas, algo totalmente falso, a mi parecer existen cinco elementos importantes, que han afectado que las empresas cumplan con la Ley y que comparto con ustedes:

1. Cumplir es más que contar con un aviso de privacidad.

Así es, si pensabas que con tener disponible el aviso en tu página web, o compartirlo impreso estas cumpliendo con la Ley, temo decirte que no es así. El aviso es sólo el mecanismo que empleas para dar a conocer a los titulares que datos personales tratas de ellos, las finalidades asociadas, los medios en que podrán comunicarse para ejercer sus derechos y demás información que debe estar soportada en que la organización, conozca claramente los datos personales que trata y sus finalidades, defina los medios donde dará atención y respuesta a los titulares, establezca la figura al interior que gestionará las solicitudes, identifique si hay o no transferencias, así como, si el aviso requiere algún tipo de consentimiento específico, es decir elementos que sólo conocerá claramente aquella organización que haya realizado un análisis a profundidad.

2. Falta de conocimiento (capacitación del personal)

Para que las organizaciones cumplan es necesario primero generar conciencia en todo el personal, sobre la importancia del tema, informarse sobre los elementos que tanto Ley y Reglamento establecen, de tal forma que el personal al interior de la organización, este capacitado para implementar las medidas físicas, técnicas y administrativas requeridas para la protección de los datos personales. Es un error muy común pensar que únicamente la parte Legal en la organización es la responsable del cumplimiento con la LFPDPPP, adicional a ésta área se deben involucrar aquellas, que tratan los datos personales en la operación (Recursos Humanos, Marketing, Finanzas), áreas de TI, de seguridad de la información o informática, cumplir con la ley requiere de implementar medidas de los que todos forman parte.

3. La protección de datos personales NO es un proyecto.

Otro error muy común es pensar que el cumplimiento con la Ley es un proyecto, que con base en la definición formal “es un esfuerzo temporal, que se lleva a cabo para crear un producto, servicio o resultado único”, en este caso particular las acciones que las organizaciones implementan para cumplir, si bien tienen un inicio, lo más probable es que no tengan como tal un fin, más bien, se convierten en un proceso que con el paso del tiempo se irá ajustando y cambiando a medida que la organización lo haga, habrá nuevos servicios que requieran tratar nuevos datos personales, donde podrán estar involucrados terceros, que quizá sean necesarias nuevas tecnologías, que implique nuevos riesgos y que conlleve a implementar o robustecer controles para evitar cualquier posible vulneración, es por ello que cumplir con la ley no es algo que se realice una vez y puedas olvidarte, garantizando que siempre estarás en cumplimiento, necesitas estar en monitoreo constante de que todo sigue en orden y en caso que no sea así tomar acciones para corregirlo.

4. No aprender de las lecciones de otros.

Sin duda publicaciones de las multas y montos con los que han sido sancionadas organizaciones de gran tamaño y renombre, es algo que llama la atención y que algunas empresas que envueltas en ese “temor temporal”, ahora si, deciden tomar acciones y dan prioridad al cumplimiento, pero, analizando un poco más, por qué en lugar de ser más reactivos, no identifican cuáles son los elementos que otras organizaciones han incumplido y se preocupan por alinear de forma proactiva todos aquellos elementos con los que incumplen y establecen controles para evitar ser sancionado.

Bien dicen “ Cuando veas a tu vecino sus barbas cortar …”

5. Falta de difusión

Es necesario generar mayor difusión y conocimiento sobre el tema, dirigida primero a los titulares, en la medida que ellos puedan conocer sus derechos y ejercerlos, de tal forma que obligarán a que las organizaciones establezcan medidas para atender esas solicitudes, lo que en consecuencia elevará y agilizará su nivel de cumplimiento con la Ley, por otro lado es importante y fundamental dar a conocer en las organizaciones (responsables y encargados), los elementos con los que deben cumplir y llevar esta información, no solo a las principales ciudades del país, es importante que los demás estados de la República conozcan más sobre este tema.

Tratar los datos personales es una responsabilidad, tal como menciona Marc Goodman en su libro “Los Delitos del Futuro”…

“Nuestros datos personales son más bien plutonio para construir armas: peligrosos, duraderos e imposibles de recuperar una vez que se filtran”

Y tú organización (responsable o encargado) ¿qué esta haciendo para cumplir con su responsabilidad ?

Hasta la próxima …