18 December, 2013

Recomendaciones en materia de Seguridad de Datos Personales

Por

 

Foto: Shutterstock

Foto: Shutterstock

El 30 de octubre de este año se publicaron en el DOF las Recomendaciones en materia de Seguridad de Datos Personales emitidas por el IFAI , las cuales constituyen un marco de referencia respecto a las acciones que se consideran como las mínimas necesarias para la seguridad de los datos personales. La Recomendación General es la adopción de un Sistema de Gestión de Seguridad de Datos Personales (SGSDP) basado en el ciclo PHVA (Planear-Hacer-Verificar-Actuar).

El cumplimiento de las Recomendaciones podrá ser un factor a considerar para la reducción de sanciones en los casos que ocurra una vulneración a la seguridad de los datos personales, según lo establecido en el Artículo 58 del Reglamento de la Ley Federal de Protección de Datos Personales (RLFPDPPP).

Junto con las Recomendaciones el IFAI ha presentado en su sitio web dos documentos, una Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales y la Metodología de Análisis de Riesgo BAA.

Las Recomendaciones y la Guía responden al “¿Qué y Cómo?” para instruir a responsables, encargados y cualquier otro interesado sobre los pasos clave de la implementación de un SGSDP, orientado a la mejora continua y a lograr un nivel aceptable de riesgo, de acuerdo al modelo y objetivos de la organización. Además, próximamente se dará a conocer un Manual en materia de Seguridad de Datos Personales para MIPYMES, que contendrá de manera simplificada los objetivos del SGSDP.

La Guía es un ejercicio de concreción, síntesis y armonización de diferentes estándares internacionales como BS 10012, ISO 27001, ISO 27002, NIST SP 800-14 entre otros, de los cuales el IFAI recomienda su consulta para la adecuada gestión de la seguridad de los datos personales, en este sentido las organizaciones que ya tienen madurez en el tema de seguridad o sistemas de gestión encontrarán que la implementación de un SGSDP no representa una carga adicional, sino un esquema de trabajo que se puede acoplar y documentar con sus esquemas ya existentes.

Por su parte la Metodología BAA, aunque no forma parte de las Recomendaciones, es una propuesta innovadora en muchos aspectos respecto a su enfoque de la valoración del riesgo, considerando tres variables: el Beneficio que representan los datos personales para un atacante, la Anonimidad que puede tener el atacante y la Accesibilidad a los entornos.

Más allá del incentivo que representa la posible atenuación de multas, todo aquel involucrado en el tratamiento de datos personales debe considerar el valor de implementar un SGSDP: primero, porque la protección de datos personales es un derecho fundamental de los ciudadanos, segundo, el SGSDP ayuda a prevenir y mitigar los efectos de una vulneración a la seguridad, finalmente, para evitar pérdidas económicas debido a compensación de daños y pérdida de clientes.

En suma, la protección de los datos personales habilita el comercio y aumenta la competitividad, gracias al aumento de la confianza de los consumidores e inversionistas, por ello las Recomendaciones y la Guía son herramientas de alto impacto para alcanzar estos objetivos.

*Consultor en seguridad de la información, privacidad y protección de datos, síguelo en @breakpool