En colaboración con Ximena Puente de la Mora
El Robo de datos es uno de los ataques más temidos en el mundo, y uno de los más comunes, en México además se agrava el escenario si recordamos que desde 2023 somos el país más atacado del mundo, con 97% de las empresas vulneradas en los últimos 12 meses.
No bastando con este panorama, hoy según la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), las empresas que son víctimas de ataque o lo que la ley menciona como vulneraciones de seguridad, puede tratarse de varias hipótesis: la pérdida o destrucción no autorizada, robo o extravío de los datos, uso, acceso o tratamiento no autorizado, y daño, alteración o modificación no autorizada, entre otros supuestos como recabar los datos sin consentimiento del titular, no contar con el aviso de privacidad, o recabar los datos en forma fraudulenta, pueden ser acreedoras a multas de hasta $34,740,000 pesos (treinta y cuatro millones, setecientos cuarenta mil pesos), que puede ser el doble en caso de tratarse de información especialmente protegida y por si fuera poco, puedes además visitar la cárcel por hasta cinco años.
Pero, ¿Qué se necesita para ser multado?
La citada LFPDPPP señala varios supuestos: cuando no se cumpla con la solicitud del titular para el acceso, rectificación cancelación u oposición par el tratamiento de datos personales, cuando se omita el aviso de privacidad, no se cumpla la confidencialidad de los datos del cliente, cuando se recaben los datos en forma engañosa. Esta norma legal también contempla delitos en materia de tratamiento de datos personales: cuando se vulnere la seguridad de las bases de datos, de los sistemas o de los equipos de cómputo, o quien con el fin de alcanzar un lucro indebido, trate datos personales mediante engaño entre otros.
Estas medidas pueden aplicar a las grandes empresas Mexicanas, nacionales e internacionales que operen en el país, sin embargo también a las pequeñas, es decir, son responsables todas las empresas que obtengan, divulguen o almacenen datos personales de clientes, proveedores, trabajadores, por cualquier medio, físico o electrónico.
Ahora bien, ¿Cómo podemos minimizar el riesgo de caer en este escenario? En adelante te compartimos un kit de supervivencia para minimizar los riesgos de sufrir vulneraciones a los datos personales resguardados en tu empresa o institución:
- Respetar los derechos ARCO, es decir, el derecho de Acceder, Rectificar, Cancelar u Oponerse al tratamiento de sus datos personales
- Designar una persona o departamento responsable del tratamiento de estos datos
- Contar con el Aviso de Privacidad y ponerlo a disposición del titular (de las personas, clientes, proveedores y en general de quien recaben información) de forma física, electrónica o de cualquier medio, con el objeto de informarle entre otras cosas, el propósito del tratamiento de sus datos
- Contar con el Consentimiento del titular para el tratamiento de sus datos, en caso de tratarse de datos sensibles o información especialmente protegida, que afecta a la esfera más íntima de su titular y que puede dar lugar a discriminación, como información relativa al origen racial o étnico, estado de salud presente y futuro, información, genética, creencias, religiosas, filosóficas y morales, preferencia sexual entre otras, el consentimiento deberá de manifestarse de forma expresa y por escrito, y
- Contar con las medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
La seguridad de la información resulta piedra angular de la protección de datos personales.
Es claro que lograr exitosamente minimizar los riesgos de ataques requiere invertirle tiempo, implementar procesos, obtener al apoyo de la junta directiva o el consejo de administración, y hacerse de buenos socios para implementar los procesos y las soluciones; sin embargo, como marca la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), la alternativa es súmamente negativa, ya que ningún Director Jurídico o Director de Tecnología, quiere llegar un dia con el representante legal de la empresa o a la persona que esté autorizada para tratar datos personales a informarle que tiene una orden de aprehensión……o una multa que puede llevar la empresa a la insolvencia.
Ximena Puente de la Mora (ximenapuente@icloud.com) es Miembro del Grupo de Expertos de Privacidad y Datos Personales del Banco Mundial y consultora independiente.
Manuel Rivera (manuel@nektgroup.com @mriveraraba) es CEO y Socio fundador de NEKT Group, empresa especializada en servicios de ciberseguridad. www.nektcyber.com
