Por Joel A. Gómez Treviño síguelo en Twitter en @joelGomezMX
En el 2006, el municipio de Westchester, Nueva York, se hizo famoso por aprobar la primera ley en su tipo que ordena a los negocios asegurar sus hotspots. Dicha ley requiere a todos los negocios comerciales que almacenen, usen o mantengan información personal en medios electrónicos, que tomen medidas mínimas de seguridad, tales como instalar un firewall, cambiar el nombre incluido en todos los paquetes de una red inalámbrica (Service Set IDentifier – SSID), o deshabilitar la transmisión SSID. Los que incurran en una violación recibirán una amonestación la primera vez, una multa de $250 dólares la segunda vez y si hay una tercera de $500 dólares.
México no es la excepción. Cada vez existen más elementos para avistar el nacimiento de una nueva área del derecho a la que yo he optado por bautizar como “derecho de la seguridad de la información”. Podríamos definir a esta rama de las ciencias jurídicas como: aquella que busca brindar seguridad y confidencialidad a la información que sea sensible, reservada, privada, secreto industrial, secreto bancario, secreto profesional, secreto técnico, secreto comercial, secreto de fabricación, dato personal, entre otros.
En términos generales, los propios abogados suelen visualizar sólo dos o tres áreas en que se debe proteger o resguardar la información: secretos industriales, secreto bancario y datos personales. Sin embargo, son ya muchas las leyes, reglamentos, códigos y acuerdos que obligan a trabajadores, profesionistas, responsables de datos, empresarios, proveedores e instituciones de crédito a proteger la información contenida en medios físicos, electrónicos y sistema informáticos, contra accesos y usos no autorizados, con la finalidad de conservar su confidencialidad, integridad y disponibilidad.
A continuación le presento un amplio catálogo de obligaciones legales en materia de confidencialidad y seguridad de la información:
| Ley Reglamentaria del Artículo 5° Constitucional, relativo al Ejercicio de las Profesiones en el D.F. | ARTICULO 36.- Todo profesionista estará obligado a guardar estrictamente el secreto de los asuntos que se le confíen por sus clientes, salvo los informes que obligatoriamente establezcan las leyes respectivas. |
| Ley de la Propiedad Industrial | Artículo 84.- La persona que guarde un secreto industrial podrá transmitirlo o autorizar su uso a un tercero. El usuario autorizado tendrá la obligación de no divulgar el secreto industrial por ningún medio.Artículo 85.- Toda aquella persona que, con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, deberá abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado.
Artículo 86.- La persona física o moral que contrate a un trabajador que esté laborando o haya laborado o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de ésta, será responsable del pago de daños y perjuicios que le ocasione a dicha persona. |
| Ley Federal de Protección al Consumidor | Artículo 76 bis.- Las disposiciones del presente Capítulo aplican a las relaciones entre proveedores y consumidores en las transacciones efectuadas a través del uso de medios electrónicos, ópticos o de cualquier otra tecnología. En la celebración de dichas transacciones se cumplirá con lo siguiente:I. El proveedor utilizará la información proporcionada por el consumidor en forma confidencial, por lo que no podrá difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente;
II. El proveedor utilizará alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informará a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos; |
| Ley Federal de Protección de Datos Personales en Posesión de Particulares | Artículo 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicasque permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.Artículo 21.- El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.
Artículos 63 y 64.- La multa por incumplir el deber de confidencialidad respecto de cualquier fase del tratamiento de datos personales puede ser de hasta $19,142,400 pesos (320,000 salarios mínimos). |
| Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de Particulares | El artículo 2 define los siguientes términos:V. Medidas de seguridad administrativas: Conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales;
VI. Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para: a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información; b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones; c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y d) Garantizar la eliminación de datos de forma segura; VII. Medidas de seguridad técnicas: Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que: a) El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados; b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones; c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros, y d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales; Capítulo III.- De las Medidas de Seguridad en el Tratamiento de Datos Personales:
|
| Ley Federal del Trabajo | Artículo 47.- Son causas de rescisión de la relación de trabajo, sin responsabilidad para el patrón:IX. Revelar el trabajador los secretos de fabricación o dar a conocer asuntos de carácter reservado, con perjuicio de la empresa;
Artículo 134.- Son obligaciones de los trabajadores: XIII. Guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurran directa o indirectamente, o de los cuales tengan conocimiento por razón del trabajo que desempeñen, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa. |
| Código Penal Federal | Artículo 210.- Se impondrán de treinta a doscientas jornadas de trabajo en favor de la comunidad, al que sin justa causa, con perjuicio de alguien y sin consentimiento del que pueda resultar perjudicado, revele algún secreto o comunicación reservadaque conoce o ha recibido con motivo de su empleo, cargo o puesto.Artículo 211.- La sanción será de uno a cinco años, multa de cincuenta a quinientos pesos y suspensión de profesión en su caso, de dos meses a un año, cuando la revelación punible sea hecha por persona que presta servicios profesionales o técnicos o por funcionario o empleado público o cuando el secreto revelado o publicado sea de carácter industrial.
Artículo 211 Bis.- A quien revele, divulgue o utilice indebidamente o en perjuicio de otro, información o imágenes obtenidas en una intervención de comunicación privada, se le aplicarán sanciones de seis a doce años de prisión y de trescientos a seiscientos días multa. |
| Ley de Instituciones de Crédito | Artículo 117.- La información y documentación relativa a las operaciones y servicios a que se refiere el artículo 46 de la presente Ley, tendrá carácter confidencial, por lo que las instituciones de crédito, en protección del derecho a la privacidad de sus clientes y usuarios que en este artículo se establece, en ningún caso podrándar noticias o información de los depósitos, operaciones o servicios, incluyendo los previstos en la fracción XV del citado artículo 46, sino al depositante, deudor, titular, beneficiario, fideicomitente, fideicomisario, comitente o mandante, a sus representantes legales o a quienes tengan otorgado poder para disponer de la cuenta o para intervenir en la operación o servicio.Artículo 46 Bis 1.- Las instituciones de crédito podrán pactar con terceros, incluyendo a otras instituciones de crédito o entidades financieras, la prestación de servicios necesarios para su operación, así como comisiones para realizar las operaciones previstas en el artículo 46 de esta Ley, de conformidad con las disposiciones de carácter general que expida la Comisión Nacional Bancaria y de Valores, previo acuerdo de su Junta de Gobierno.
Lo dispuesto en el artículo 117 de esta Ley le será también aplicable a los terceros a que se refiere el presente artículo, así como los representantes, directivos y empleados de dichos terceros, aún cuando dejen de laborar o prestar sus servicios a tales terceros. |
| Ley Federal de Seguridad Privada | Artículo 15. Fracción V. Seguridad de la información. Consiste en la preservación, integridad y disponibilidad de la información del prestatario, a través de sistemas de administración de seguridad, de bases de datos, redes locales, corporativas y globales, sistemas de cómputo, transacciones electrónicas, así como respaldo y recuperación de dicha información, sea ésta documental, electrónica o multimedia. |
| Acuerdo por el que se establece el Esquema de Interoperabilidad y de Datos Abiertos de la Administración Pública Federal | Artículo 2. Para los efectos del presente Acuerdo, se entenderá por: Ciberseguridad: a la aplicación de un proceso de análisis y gestión de riesgos relacionados con el uso, procesamiento, almacenamiento y transmisión de información, así como con los sistemas y procesos usados para ello, que permite llegar a una situación de riesgo conocida y controlada; |
| Acuerdo por el que se expide el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones | 1. Definiciones y Términos:Seguridad de la información: La capacidad de preservación de la confidencialidad, integridad y disponibilidad de la información.
Vulnerabilidad: La debilidad en la seguridad de la información dentro de una organización que potencialmente permite que una amenaza afecte a un activo de TIC. SGSI: Sistema de Gestión de Seguridad de la Información, parte de un sistema global de gestión que basado en el análisis de riesgos, establece, implementa, opera, monitorea, revisa, mantiene y mejora la seguridad de la información. 5.9.4 Administración de la seguridad de los sistemas informáticos 5.9.4.1 Objetivos del proceso General: Establecer los mecanismos que permitan la administración de la seguridad de la información de la Institución contenida en medios electrónicos y sistemas informáticos. Específicos: Establecer un Sistema de Gestión de Seguridad de la Información (SGSI) que proteja la información de la Institución contenida en medios electrónicos y sistema informáticos, contra accesos y usos no autorizados, con la finalidad de conservar su confidencialidad, integridad y disponibilidad. |
Y si a estas leyes y regulaciones agregamos el conjunto de Normas ISO que tratan sobre temas de seguridad informática, la lista de “obligaciones, recomendaciones y requisitos” crece considerablemente:
Si usted es ingeniero o especialista en sistemas, tiene muchas leyes que aprender. Si usted es abogado, tiene muchas normas ISO que aprender. ¿No es este el pretexto perfecto para crear o formalizar una materia o rama jurídica que lleve por nombre “Derecho de la Seguridad de la Información”?
Joel Gómez (abogado@joelgomez.mx) es Abogado especialista en Derecho Informático y Propiedad Intelectual desde 1996. Receptor de dos Reconocimientos AMIPCI en 2011; uno en la categoría de “Personaje con Trayectoria Meritoria” debido a su desempeño profesional y su contribución al crecimiento de la industria del internet en México, y el otro por tener “el Mejor Blog Jurídico” del país. Profesor de Derecho Informático en La Salle, la Universidad Panamericana Campus Guadalajara y el INACIPE. Síguelo en Twitter: @JoelGomezMX y @LexInformatica.
SÍGUENOS
© 2012 Netmedia S.A. de C.V.
Políticas de privacidad
Sócrates 128 4to piso, Polanco
CP 11560, México D.F.
Tel: 2629 7260