Es fundamental tener en cuenta dos figuras: el titular y el responsable. El titular suministra los datos o información personal o sensible. Define el perfil de los datos personales para hablar en su "lenguaje". El responsable recibe y maneja los datos del titular. El simple almacenamiento o recepción lo acredita como tal.
Propuesta con todas las recomendaciones para realizar un programa que maneja datos personales de terceros.
1. Identificar actividades y/o procedimientos en los que se utilizan dichos datos personales.
2. Establecer cómo se obtienen los datos personales y conocer en qué momento de la operación se requiere esa información.
3. Delinear el flujo de los datos que suministra el titular. Establecer los fines para los que se utiliza la información.
4. Al transferir los datos se debe conocer a quiénes se entregan y el porqué de la misma.
5. Implementar un mecanismo para recibir y hacer seguimiento a las solicitudes de los clientes sobre sus datos personales. Conocer cómo se obtienen los datos personales.
6. Crear un aviso de privacidad. En México se expidió "La guía práctica para generar el aviso de privacidad", por parte del Instituto Federal de Acceso a la Información y Protección de Datos.
7. Definir un procedimiento para obtener la autorización del titular antes de recibir sus datos, de tal forma que se le explique para qué serán utilizados.
8. Utilizar medidas tecnológicas para proteger los datos personales y sensibles de acceso no autorizado o modificaciones no consentidas por el titular.
9. Diseñar un manual interno de procedimientos y políticas para cumplir con la ley sobre protección de datos, y encargar a alguien de su seguimiento.
Las principales medidas de seguridad a considerar en la protección de datos personales.
En la sociedad de la información y el conocimiento, el manejo e intercambio de datos se ha convertido en una práctica habitual para las empresas de servicios. El uso de las tecnologías de la información y comunicación están presentes en casi todos los procesos, lo cual ha optimizado sus recursos. Sin embargo, también han propiciado una serie de desafíos en torno a la seguridad de la información, la protección de los datos personales y el cumplimiento de la regulación en la materia.
Los datos personales, en posesión de las empresas, abarcan dos vertientes: por un lado, la responsabilidad de guardar confidencialidad de los datos personales a su cargo, así como solicitar el consentimiento de los titulares, en caso de envío o cesión de información; por otro lado, el derecho que tienen los titulares de datos personales, para ejercitar sus derechos de acceso, rectificación, cancelación u oposición de datos personales (derechos ARCO).
- Medidas de seguridad administrativas.
Son el conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales.
- Medidas de seguridad físicas.
Se refiere a las acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para:
-Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información;
-Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones;
-Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, integridad y confidencialidad, y
-Garantizar la eliminación de datos de forma segura.
- Medidas de seguridad técnicas.
Son las actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que:
-El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados;
-El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;
-Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros, y
-Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales.
Se pueden determinar las medidas de seguridad aplicables a los datos personales que se tratan considerando los siguientes factores:
-El riesgo inherente por tipo de dato personal;
-La sensibilidad de los datos personales tratados;
-El desarrollo tecnológico, y
-Las posibles consecuencias de una vulneración para los titulares.
Además, se debe tomar en cuenta los siguientes elementos:
-El número de titulares;
-Las vulnerabilidades previas ocurridas en los sistemas de tratamiento;
-El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión, y
-Demás factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o regulación aplicable al responsable
No hay comentarios.:
Publicar un comentario