Hay un aumento de ciudadanos
que han sido víctimas de robos de identidad y uso no autorizados de tarjetas de
crédito por culpa de empresas que manejan datos irresponsablemente. Según
estudios de las empresas de protección de datos personales en países como México, Brasil, Estados Unidos, Colombia,
Argentina, India la protección de datos personales es una preocupación
primordial de los ciudadanos por lo que omitir cumplir con ese marco normativo
puede ser un impedimento y puede causar la pérdida de las oportunidades de
negocio.
Los datos personales representan a toda aquella información de una
persona que afirma su identificación. Los datos personales incluyen el lugar de
nacimiento, lugar de residencia, trayectoria académica, laboral, o profesional,
estado civil, edad, estado de salud, vida sexual, características físicas,
ideología política y otros aspectos. Los datos personales ayudan una persona
para que pueda interactuar con empresas y/o entidades por sus servicios. Este
intercambio causa el crecimiento económico y el mejoramiento de bienes y
servicios.
Por resolver ese problema la Ley
Federal de Protección de Datos Personales en Posesión de los Particulares
(LFPDPPP) fue aprobada hace unos años con
el motivo de proteger a los ciudadanos de malos usos y abusos de datos
personales que se llevan a cabo día a día por empresas y/o entidades sin
políticas de protección de datos personales en países como México, Argentina,
India y otros. La ley de protección de datos personales reconoce y protege el
derecho que tienen todas las personas a acceder, actualizar y rectificar los
datos personales que se hayan recogido sobre ellas así como a la oposición a su
tratamiento por entidades de naturaleza pública o privada. Los datos personales
que tengan por finalidad de la seguridad, defensa nacional, información de
inteligencia y de los censos de población – vivienda no son considerados parte
de ley de seguridad de datos personales.
Según empresas de protección de datos personales ahorita todas las
entidades que manejen datos personales serán obligadas a considerar el derecho
de la privacidad y se tendrán que adaptar a normativas que garanticen el
tratamiento y seguridad de datos personales. La ley de protección de datos
personales también otorga el derecho a los ciudadanos de pedir todos los datos
personal que una empresa tenga de él. Englobando la necesidad de la
implementación de políticas de protección de datos personales para la
cancelación y eliminación de datos personales. Empresas y/o entidades que no
cumplan con esta ley se enfrentarán a multas.
Hay muchas ventajas de adaptación a ley orgánica de protección de
datos personales. Por ejemplo la ley de protección de datos personales de
Europa aprueba la transferencia de datos personales de los ciudadanos hacia
terceros países que brinden un nivel de protección adecuado a dicha
información, reflexionando la naturaleza de los datos, la finalidad, duración
del tratamiento y las normas de seguridad. Si un país adapta con dicha regulación
de seguridad de datos personales, hay posibilidades de incrementos
exponenciales en la inversión extranjera.
ADAPTACIÓN A LA LEY ORGÁNICA DE
PROTECCIÓN DE DATOS PERSONALES
Empresas y/o entidades deberán
cumplir la obligación normativa para adaptación LOPD (Ley orgánica de
Protección de Datos). Según los consultores de empresa de protección de datos
personales, el cumplimiento de las obligaciones legales en materia de protección
de datos es indispensable. Las agencias de protección de datos cuentan con
grandes equipos de inspectores que hacen auditoria de las políticas de
protección de datos personales y se aplican multas junto con las sanciones,
mediante denuncia de cualquier afectado. Puntos a tener en cuenta durante
adaptación a la ley de protección de datos personales:
• Los sistemas de datos
personales en posesión de empresas y/o entidades deberán registrarse con la
agencia de protección de datos. El registro debe presentar la información como
nombre y cargo del responsable, propósito del sistema, naturaleza de los datos
personales, proceso de adquirir, proceso de actualización de los datos, forma
de interrelacionar los datos, duración de conservación de los datos, soluciones
de seguridad de datos personales implementadas.
• Cuando las empresas y/o entidades consigan los datos personales
deberán avisar previamente a los interesados de la existencia de un sistema de
datos personales, proceso del tratamiento, la finalidad de los datos, los
destinatarios, los derechos de acceso, rectificación, cancelación y oposición
(ARCO).
• Las empresas y/o entidades designarán al responsable de los sistemas
de datos personales.
• Cumplir con las políticas de protección de datos personales y
reglamentos así como las normas aplicables para los servicios de protección de
datos personales.
• Manejar los datos personales exclusivamente cuando éstos guarden
relación con el propósito para la cual se hayan conseguidos.
• Adoptar las soluciones de protección de datos adecuadas para manejar
las solicitudes de acceso, rectificación, cancelación y oposición de datos
personales; debiendo capacitar a los servidores públicos con curso de
protección de datos personales.
• Adaptación de las medidas de seguridad para la protección de datos
personales o tomar servicios de seguridad de datos personales y comunicarlas a
la agencia de protección de datos.
• Modificar los datos personales cuando haya lugar, debiendo corregir
o completar de oficio aquellos que fueren erróneos o parciales, siempre y
cuando se cuente con el documento de seguridad que acredite la actualización de
dichos datos.
• El cliente tiene el derecho para solicitar la rectificación o
cancelación de los datos personales que le corresponden.
• Coordinar y supervisar la adopción de las soluciones de protección
de datos por consultaría de protección de datos o empresa de adaptación LOPD
acuerdo con las políticas de protección de datos personales vigentes.
• Implementar los criterios específicos sobre el manejo, mantenimiento
de la solución de datos personales.
• Construir un plan de cursos de protección de datos personales. Todos
los oficiales de departamento de protección de datos deben tomar curso de
protección de datos personales.
• Llevar a cabo o regularizar la ejecución de las diferentes
operaciones y modos en que consista el tratamiento de datos y sistemas de datos
de carácter personal implementados por servicios de seguridad de datos
personales.
• Informar al interesado al momento de conseguir sus datos personales,
sobre los sistemas de datos personales y las soluciones de seguridad de datos
personales implementadas por empresas de protección de datos personales y
adaptación LOPD.
LAS MEDIDAS DE SEGURIDAD
Según los consultores de
empresa de protección de datos personales las empresas y/o entidades deben
establecer las medidas de seguridad técnica y organizativa para garantizar la
confidencialidad e integralidad de datos personales que posean, con el
propósito de preservar los derechos tutelados, frente a su modificación,
pérdida, transmisión y acceso no autorizado. Las medidas de seguridad de datos
deben ser adoptadas en relación con el mayor grado de protección que ameriten
los datos personales. Las medidas de seguridad adoptadas deben conforme a los
diferentes tipos de seguridad:
Seguridad Física: Eso incluye la protección de
instalaciones, equipos para la prevención de casos accidentales o casos de
fuerza mayor.
Seguridad Lógica: Eso incluye las medidas de identificación y autentificación de las
personas o usuarios autorizados para el acceso y modificación de los datos
personales.
Aplicaciones: Pertenece a las permisiones con
las que deberá contar la creación o tratamiento de sistemas de datos
personales, para garantizar el uso adecuado de los datos, previendo la
participación de usuarios no autorizados, la separación de entornos y pruebas
de controles de seguridad.
Encriptación: Eso
incluye uso e implementación de algoritmos de cifrado, claves, contraseñas, así
como medidas concretas de protección que garanticen la integralidad y
confidencialidad de los datos sensibles.
Comunicaciones de redes: Se refiere uso de soluciones de protección de datos como un
sistema que monitoriza la red de comunicaciones en busca de actividad no
permitida o brecha de seguridad, así como para el manejo de telecomunicaciones.
Acuerdo con los expertos de
servicios de seguridad de datos personales, siguientes son los controles de
seguridad cuya aplicación es obligatoria para todos los sistemas de datos
personales para asegurar cumplimento de ley de protección de datos personales :
• Implementación de documento de seguridad.
• Mantener documentación de funciones y obligaciones del personal responsable
en el tratamiento de datos personales.
• Registro de acceso e incidencias.
• Sistema de identificación y autentificación.
• Gestión de soporte, acceso físico y lógico.
• Sistema de copias de respaldo y recuperación.
• Administrar políticas de auditoría.
• Pruebas de penetración y vulnerabilidades.
• Distribución de soporte.
• Registro de Telecomunicaciones.
Las medidas de seguridad de
datos mencionadas constituyen mínimos exigibles, por lo que las empresas y/o
entidades adoptarán las medidas adicionales que estime inevitables para ofrecer
mayores garantías en la protección y resguardo de los sistemas de datos
personales. Las empresas y/o entidades deben tomar ayuda de consultoría o
empresa de protección de datos personales para implementar los servicios de
seguridad de datos personales.
Para que su empresa esté cubierto en materia de la ley de protección
de datos, pueden tomar ayuda de empresas como Instituto Internacional de Seguridad
Cibernética que ofrecen las herramientas a través de los servicios de
protección de datos personales y curso de protección de datos personales que le
permitirá realizar la adaptación LOPD de su negocio y mantenerlo actualizada en
todo momento según requerimientos de la normativa vigente. Los servicios de seguridad de datos personales y adaptación a la LOPD ayudan clientes con:
• Durante la adaptación a la
LOPD hacen análisis de la empresa y los procesos de tratamiento de datos
personales. Obtienen información detallada sobre la empresa, los archivos de
datos de carácter personal, procedimientos establecidos, flujos de la
información y el grado de cumplimiento de la reglamento.
• Coordinan análisis de los sistemas de datos personales junto con
desarrollo de procedimientos y documentación exigible a la norma como parte de
los servicios de protección de datos personales.
• Con el curso de protección de datos personales enseñan el desarrollo
de la cobertura legal de la empresa y capacitando las buenas prácticas de
seguridad informática a los usuarios del sistema de información.
• Proporcionan los servicios de auditoría de protección de datos
personales junto con la entrega del documento de seguridad, servicio de
evaluación de las medidas de seguridad implantadas y certificación LOPD. Además
enseñan cómo hacer todo eso durante la capacitación de protección de datos
personales.
El curso de protección de datos personales está dirigido a directores, encargados de departamento legal,
profesionales de departamento de TI y todas las personas que deseen conocer los
requisitos de la Ley Federal de Protección de Datos Personales en Posesión de
Particulares. El curso de protección de datos personales está muy práctico y
cubre los siguientes temas:
• Introducción a LFPDPPP.
• Ambiente de adaptación LOPD.
• Tipo de datos personales y los derechos de acceso, rectificación,
cancelación y oposición (ARCO).
• Foros y agencias de Ley Federal de Protección de Datos Personales en
Posesión de los Particulares (LFPDPPP).
• Análisis detallado de los flujos de datos.
• Auditoria de procedimientos y arquitectura empresarial.
• Implementación de documento de seguridad, medidas y servicios de
seguridad de datos personales.
• Implementación con una metodología definida con la experiencia y
recomendada por las normas internacionales.
• Manejo de incidentes de brecha de datos personales, sanciones y
denuncia por parte de los interesados.
0 comments:
Post a Comment