datos

Protección de datos personales como un activo en tu negocio

Forbes   - ‎martes‎, ‎11‎ de ‎noviembre‎ de ‎2014

El incumplimiento de las normas sobre protección de datos personales incrementa el riesgo de vulneraciones, afectando a clientes y su confianza en tu empresa.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares fue expedida hace cuatro años, y aún hoy día gran cantidad de empresas y personas obligadas a observar sus disposiciones y las de su Reglamento no han tomado acciones adecuadas para cumplir con dichos ordenamientos. Luego de algunos años de trabajar y dar conferencias sobre la materia en distintos foros, comparto con varios colegas la impresión de que no se ha tomado conciencia de la importancia y valor del tema, motivo por el cual aprovecho esta oportunidad para comunicar algunas ideas al respecto.

La protección de datos personales (o la falta de) puede impactar a la empresa

Forbes reportó sobre la filtración de fotografías íntimas de múltiples celebridades almacenadas en la “nube” de Apple, incidente llamado CelebGate, ocurrido días antes del lanzamiento del iPhone 6 y el Apple Watch, y que motivó temores sobre cómo podría afectar a la empresa. Hace tres años, el robo de información de usuarios de Sony PlayStation impactó negativamente sus acciones en un 6%; el año pasado, el robo de información de clientes de la minorista estadounidense Target motivó la dimisión de su chief information officery vicepresidente ejecutiva de Servicios de Tecnología; en Corea del Sur, un incidente similar motivó la renuncia de los directores ejecutivos de KB Financial Group, NongHyup Card y Lotte Card.

Las vulneraciones pueden ocurrir en cualquier país, en cualquier momento, y la omisión en el cumplimiento de las normas sobre protección de datos personales y seguridad de la información incrementan el riesgo de que ocurran, afectando a los clientes o consumidores, quienes pierden confianza en la empresa, lo cual puede representarle importantes repercusiones a ella y a su directiva, en adición a las cuantiosas multas que el Instituto Federal de Acceso a la Información y Protección de Datos puede imponer.

¿Cómo se implementa la protección de datos personales?

En términos muy generales, las acciones a tomar pueden resumirse de la siguiente manera:

Análisis. Es preciso identificar los canales por donde se captan y fluyen los datos personales; los Titulares de quienes se captan, las Finalidades a las que se destinan; los datos personales que son tratados por la empresa; los repositorios donde son almacenados o tratados y las personas externas a la empresa a quienes les son comunicados, ya sean prestadores de servicios (“Encargados”), o bien socios comerciales u otros (“Terceros”).

Designar a un privacy officer/department. Dependiendo de la sofisticación de la empresa podría ser necesario estructurar un área multidisciplinaria (ie. Admón., Legal, IT/Sistemas), o bastar con designar a un funcionario que implemente y aplique la política de privacidad de la empresa.

Formalidades documentales. Éstas no se limitan a un aviso de privacidad; la Ley y su Reglamento exigen varias más:

Seguridad. Se divide en física, administrativa y técnica. Dependiendo de la sofisticación de la empresa y del sector en que opere, podrían requerirse medidas más o menos complejas, certificaciones (ie. ISO 27000), etcétera. Debe analizarse el margen entre las medidas existentes y en operación, y aquellas faltantes que fueran necesarias.

Física. Aun cuando no se emplee seguridad perimetral o vigilancia privada, es preciso asegurarse de que expedientes y carpetas sean debidamente resguardados en locales cerrados, y que activos como equipo de cómputo, servidores, etcétera, no puedan ser fácilmente retirados por personas no autorizadas.

Administrativa. El acceso del personal debe ser segmentado de acuerdo con los requerimientos de correspondientes labores. Adicionalmente, los contratos de trabajo o prestación de servicios deben prever la obligación de confidencialidad respecto de los datos personales de manera indefinida, aun cuando el personal se separe de la empresa o deje de prestarle sus servicios.

Técnica. Podría variar considerablemente, pero hay denominadores comunes, como que los sistemas cuenten con cortafuegos y programas contra malware(no solamente antivirus), que el personal establezca factores de autenticación (nombres de usuario y/o passwords) conforme a reglas de sintaxis robustas, que de ser necesario se recurra a la encriptación de la información (como un certificado SSL en una página de comercio electrónico, o de las máquinas del personal), etcétera.

Finalmente, es fundamental considerar que la protección de datos no es un proyecto, sino un proceso en constante evolución, ya sea porque se desarrollen nuevos productos y servicios que requieran privacy by design, se den noticias del surgimiento de vulnerabilidades antes desconocidas, o se lleve a cabo una operación corporativa por la que la responsabilidad sobre las bases de datos deba ser transferida.

Rodrigo Orenday es abogado y maestro en derecho, certificado como profesional en protección de datos personales, nivel senior. Su práctica se especializa en cumplimiento normativo incluyendo protección de datos personales.