La protección de datos personales en México es un tema relevante y delicado que involucra aspectos complejos como la tecnología, las regulaciones, la privacidad y el uso correcto de la información.
Si bien las redes informáticas y la tecnología en la nube se han vuelto imprescindibles en la sociedad, tales avances han abierto también vulnerabilidades que deben ser prevenidas adecuadamente para mitigar riesgos.
A continuación, explicaremos de qué trata la protección de datos de carácter personal y qué estrategias puede poner en práctica en su organización para garantizar la confidencialidad de la información, considerando las regulaciones y normativas mexicanas.
¿Qué es la protección de datos personales?
Los datos personales son, básicamente, todo tipo de información que ayuda a identificar a un individuo. Esto incluye:
- Nombre y apellidos;
- Domicilio;
- Número de teléfono;
- Datos biométricos (huella dactilar, iris, voz);
- Características físicas;
- Historial de trabajo y ocupaciones;
- Antecedentes de estudios o académicos;
- Datos financieros y patrimoniales.
Entre los datos personales también se encuentra toda información altamente sensible que tiene que ver con el ámbito íntimo del individuo (puede ser usuario, cliente, empleado).
Algunos datos personales sensibles son los siguientes:
- Origen racial o étnico: como el color de piel, rasgos faciales, forma de vestir, idioma, costumbres.
- Orientación sexual: o preferencias de género.
- Creencias: de tipo religiosas, políticas, ideológicas, filosóficas.
- Salud: como la condición médica y tratamiento que recibe el individuo.
Tomando en cuenta que vivimos en la sociedad de la información, en los últimos años, la protección de datos personales en México se ha convertido en asunto de seguridad nacional, respeto a principios de licitud, resguardo de derechos de terceros y, en general, cumplimiento de la ley.
Las leyes, instrumentos jurídicos y disposiciones legales de protección de la privacidad que abordaremos a continuación demuestran esta realidad.
Leyes de protección de datos en México
La protección de datos personales en México y su buen uso es un tema establecido en la legislación y un derecho contemplado en la Constitución Política de los Estados Unidos Mexicanos.
Este derecho está regido, a grandes rasgos, por dos ordenamientos:
- La Ley Federal de Protección de Datos Personales en Posesión de los Particulares: divulgada el 5 de julio de 2010, controla la forma en la cual el sector privado y sus empresas de servicios manejan y tratan los datos personales de sus usuarios o clientes.
- La Ley General de Protección de Datos personales en Posesión de Sujetos Obligados: publicada en el Diario Oficial de la Federación el 26 de enero de 2017, aplica para el sector público y las órdenes de gobierno (federal, estatal y municipal). Su fin es garantizar el derecho de toda persona a la protección de sus datos que estén en posesión de cualquier autoridad, entidad u organismo y, al mismo tiempo, garantizar el acceso a la información pública gubernamental como método de transparencia y control.
Ambos instrumentos son consonantes con los parámetros y políticas que se aplican en muchas otras partes del mundo, entre ellas, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
Regulación y control
Las leyes de Protección de Datos en México establecen que quienes traten información personal deben regirse por las guías y documentos que emite el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
Entre estas guías se encuentran:
- La Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales.
- La Guía para el Tratamiento de Datos Biométricos.
También existe, desde el 2011, el reglamento de la Ley de Protección de Datos y los Lineamientos de Aviso de Privacidad, promulgados en 2013.
Otro aspecto a considerar es que la firma electrónica es válida en México, por lo cual pueden completarse transacciones 100% digitales, siempre y cuando se cumpla con la legislación en materia de consentimiento expreso del usuario, derechos de terceros y otras medidas necesarias para resguardar a los titulares de los datos personales.
Regulaciones internacionales sobre protección de datos
Las leyes y parámetros internacionales también influyen en las buenas prácticas de protección de datos personales en México.
La legislación europea es particularmente estricta en la regulación y garantías para el ejercicio del derecho a la protección de los datos personales, siendo una referencia para muchas empresas y organismos del país.
La RGPD de Europa es uno de los principales ejemplos de regulación internacional en materia de cifrado de datos y otras estrategias de protección.
Esta normativa ha inspirado la creación de leyes nacionales e institucionales como la Agencia Española de Protección Datos (AEPD) y normas internacionales como la ISO 27001.
¿Qué es la norma ISO 27001?
La ISO 27001 es una norma que tiene una gran receptividad en el entorno mexicano y que establece el marco bajo el cual se rigen los sistemas de gestión de seguridad de la información (SGSI) en las empresas privadas.
Obtener esta certificación es imprescindible para proteger los activos más importantes de una empresa, como lo son:
- Información de clientes y empleados;
- Información privada y de procesos internos;
- Reputación (imagen de la marca).
La aplicación de esta norma internacional va más allá de la implementación de un firewall en los sistemas informáticos de una empresa y otras medidas de seguridad básicas para protección perimetral.
En realidad, cuando una organización empresarial cumple con esta normativa ISO, está respondiendo a las exigencias del RGPD, las leyes de países como México y la reducción a nivel global de amenazas potenciales como:
- El crimen cibernético;
- El terrorismo por medios digitales;
- La violación o robo de datos personales;
- Los ataques de virus;
- Los usos malintencionados;
- Las extorsiones y otros daños.
Tener esta norma internacional al día en una empresa es una manera de demostrar que, a nivel corporativo, se siguen buenas prácticas para proteger los datos personales y la seguridad de la información.
Responsabilidades y obligaciones de las empresas en México
Es aconsejable que las empresas sigan al pie de la letra estas tres medidas de transparencia y seguridad de información, ya que están contempladas dentro de las exigencias de la legislación para la protección de datos personales en México:
1. Asegurarse de mantener avisos de privacidad
En el sitio web de la empresa debe aparecer siempre el aviso de privacidad, un instrumento indispensable para tener de derechos de acceso a la información.
Este aviso notifica a los usuarios sobre la existencia de una captura de datos y el tratamiento de los mismos. Para ello, debe especificar:
- Quién es el responsable de hacer la recolección y tratamiento de los datos personales;
- Qué tipos de datos están siendo recogidos;
- Cuáles son los derechos del titular de los datos;
- Cómo se usarán o cuáles son las finalidades del tratamiento de sus datos personales;
- Con qué entidades serán compartidos.
2. El titular debe dar su consentimiento
Es importante que el titular de los datos manifieste de forma tácita o expresa su consentimiento para aportar la información personal.
El consentimiento del titular se puede manifestar de manera verbal, escrita, por uso de medios electrónicos, por signos inequívocos, mediante otro tipo de tecnología o con consentimiento tácito (sin manifestar oposición).
3. Prestar atención al ejercicio de los Derechos ARCO
Toda organización empresarial en México debe asegurarse de facilitar a cada titular que pueda acceder, rectificar, cancelar y oponerse al uso de sus datos.
A esta normativa aplicable se le conoce como “Derechos ARCO”, al englobar “Acceso, Rectificación, Cancelación y Oposición".
El seguimiento de los Derechos ARCO y las otras responsabilidades mencionadas son obligatorias tanto en Ciudad de México como en entidades federativas, ya que son contempladas en leyes federales, aplicables en todo el país.
Mejores prácticas de Ciberseguridad
Además de las medidas de seguridad administrativas expuestas anteriormente, asociadas al consentimiento de los titulares y la transparencia de su proceso de captación de datos, necesita invertir en recursos y procesos de seguridad para adecuarse a la legislación vigente.
Si su empresa recaba y maneja datos de personas físicas, clientes o usuarios y busca evitar conflictos con estos titulares o con las autoridades, le invitamos seguir estas buenas prácticas de Ciberseguridad, que además son recomendaciones hechas por las autoridades mexicanas.
Establezca un plan por etapas
Si su empresa está en fase de adecuación a la Ley de Protección de Datos Personales, elabore un plan de acción por fases. Incluya medidas y estrategias a ejecutar y señale las adecuaciones que ya ha cumplido.
Nombre a responsables para tratar los datos
Designe en su organización a uno o varios encargados que se ocupen de todo lo relacionado con la privacidad, el tratamiento de los datos y la atención de los titulares y las autoridades.
Busque soluciones tecnológicas adecuadas
Priorice la búsqueda de soluciones tecnológicas y protección de 360 grados para sus equipos, redes y otros elementos claves dentro de las políticas e infraestructuras de TI de su empresa.
Soluciones de autenticación, cifrado del tipo de datos personal y monitoreo constante son claves en su entorno de protección.
Evalúe sus potenciales brechas de seguridad
Conocer el estado de salud de su entorno de seguridad informática es una medida asociada tanto al compliance (cumplimiento) interno como al respeto de las leyes existentes en materia de protección de datos.
Nunca olvide la importancia de minimizar el riesgo de exponer a su empresa a una amenaza de TI o vulneración de seguridad, como un ciberataque o el robo de información de sus listados confidenciales de consumidores, clientes, proveedores, etc.
Busque asesoría experta en materia de protección de datos personales en México y las normativas internacionales como la ISO 27001 o las regulaciones europeas (RGPD).
¿Quiere saber más sobre cómo proteger a su empresa de ciberataques y de acciones que pongan en peligro sus bases de datos, con la finalidad de resguardar a sus clientes y al mismo tiempo garantizar el cumplimiento de las disposiciones gubernamentales?
Conozca nuestros servicios de seguridad de ne Digital y solicite una evaluación de sus sistemas de tecnologías de la información. ¡Le ayudamos a obtener un plan de ruta personalizado para proteger a su organización!