Que la Ley de Protección de Datos Personales no te agarre sin mejores prácticas

Por Netmedia

Por Pablo Corona Fraga  síguelo en @pcoronaf

Desde la publicación de la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) y la reciente circulación de algunos borradores de su Reglamento, una pregunta que surge frecuentemente es: ¿de qué forma se asegurarán las organizaciones que se encuentran en cumplimiento de lo establecido en la Ley? Cuestionamiento que resulta de que el cumplimento de la Ley no se reduce a la publicación de un aviso de privacidad: se requiere de la implantación de controles que permitan salvaguardar la confidencialidad de los datos personales que se recaban y asegurar que solamente serán utilizados para los fines para los cuales fueron obtenidos.

Con lo anterior identificamos la necesidad de contar con un esquema maduro y basado en las mejores prácticas, que sea adoptado por las organizaciones para asegurar el cumplimiento de la LFPDPPP. Un esquema que les permita, de forma sistemática, monitorear el cumplimiento y la adecuada aplicación de los controles establecidos para proteger la información, ya que el cumplimiento de la Ley requiere de la implementación de medidas administrativas, físicas y computacionales que permitan garantizar la seguridad de los datos, protegerla contra las amenazas externas y gestionar los riesgos asociados, garantizando la disponibilidad y confidencialidad.

Las organizaciones deberán asegurarse de que se mantienen en cumplimiento de lo estipulado por la Ley y, para ello, la adopción de las mejores prácticas y estándares del mercado les facilita la implementación de controles que se sujeten a las regulaciones y los requerimientos de cada organización, alineando las visiones de las distintas áreas de Tecnología, Legal y los Procesos de negocio.

En materia de mejores prácticas y estándares en el mercado, ISO 27001 es un estándar para el establecimiento de un Sistema de Gestión de Seguridad de la Información (SGSI), que cuenta con un conjunto de controles que se encargan de proteger la información desde distintos frentes: establecimientos de políticas de seguridad, clasificación de la información, procesos de autorización, acuerdos de confidencialidad, gestión de riesgos, relación con terceras partes, manejo de bienes, relación con el personal (antes, durante y después del empleo), manejo de áreas seguras y equipo de seguridad, cambios a la información, intercambio de información con terceros, control de acceso y cumplimiento con regulaciones, entre otros. Estos controles se alinean fácilmente a lo señalado por la Ley, incluyendo los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).

Por otra parte, ISO 20000 es un estándar que establece un conjunto de procesos que se alinean para establecer un Sistema de Gestión de Servicios de Tecnologías de Información (SGSTI), que permiten el monitoreo de los compromisos de Niveles de Servicio con los usuarios (tanto internos como externos), estableciendo un punto de contacto para dar atención a las solicitudes expresas de los mismos, que para el caso de la LFPDPPP apoya a garantizar los derechos ARCO.

La seguridad de la información y la protección de los datos no se alcanza con un producto, sino a través de implementar un sistema que se encuentre inmerso en la organización, promovido por la dirección, con el que se haga consciente a todos los miembros sobre la importancia y sensibilidad de los datos e información que se manejan, así como establecer políticas que no dejen lugar a dudas de cuáles son los usos aceptables para cada tipo de información. Tanto ISO 20000 como ISO 27001 son estándares basados en un Sistema de Gestión, lo que implica que deberá buscarse la mejora continua y el monitoreo contante de la eficiencia del sistema y los controles implantados.

La certificación brinda a las organizaciones, y al mercado en general, la certidumbre de que la organización certificada cumple con el estándar o norma de referencia, que cuenta con un sistema interno de vigilancia que le permite identificar las desviaciones que pudieran presentarse y dar una respuesta rápida a los incidentes, así como la adopción de medidas para evitar su recurrencia.

La Certificación de un SGSI garantiza que las empresas cuentan con:

• Política sobre seguridad de información establecida.
• Identificación de los datos e información según su sensibilidad.
• Análisis y tratamiento de riesgos alineados a una metodología.
• Controles que garantizan la privacidad y acceso a la información.
• Mecanismos de control para actualizar los datos o los privilegios asociados a estos.
• Acuerdos de confidencialidad para intercambio de datos con terceras partes.
• Canales adecuados para el reporte de incidentes.
• Procedimientos de filtrado para la selección de proveedores.
• Controles y comprobaciones de seguridad para la selección del personal.

Si bien la implantación o certificación de algún estándar de gestión no garantiza el cumplimiento de lo estipulado por la LFPDPPP, sí proveen el referente más adecuado para dar cumplimiento a lo establecido en ésta.

Caminos para alcanzar una certificación hay varios actualmente el NYCE ofrece el servicio de certificación en ISO 27001 e ISO 20000 (hoy el único organismo acreditado en México para emitir la certificación en ISO 20000).