Velará por el cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su reglamento a fin de evitar casos legales. Adicionalmente, este trabajo será de gran valor para la Empresa ya que le permitirá cumplir con sus obligaciones de cumplimiento bajo la Ley Federal de Protección de Datos Personales en Posesión de Particulares y su reglamento, así como brindar seguridad y confianza a su personal, clientes. y socios comerciales.
El derecho a la protección de datos personales en las empresas
Marco jurídico del derecho a la protección de datos personales en
3 Ley Federal de Protección de Datos Personales en Posesión de los Particulares, 2010, Artículo 3, fracciones V y VI, México. La Constitución y la protección de datos personales en México: contradicciones en el régimen de excepción.
La importancia de la protección de datos personales para las empresas
Por ejemplo, la información de contacto y de identificación personal es muy importante porque permite a las empresas hacer al menos dos cosas básicas: 1) identificar a las personas (información de identificación personal, como el nombre completo) y 2) contactar a las personas (información de contacto personal, como el correo electrónico). , dirección y número de teléfono). Todas estas actividades y procesos representan inversiones de las empresas para hacer ver a sus clientes y usuarios que son la mejor opción para comprar sus productos o servicios.
Riesgos a la protección de datos personales en las empresas
Una vez conseguido lo anterior, por tanto, cuando las empresas recogen los datos personales de sus potenciales clientes o usuarios finales e incluso cuando consiguen hacerse con sus clientes, es cuando surge la necesidad e importancia de la protección de los datos personales para las empresas. , importancia que en muchos casos se debe al cumplimiento de obligaciones legales, como en el caso de México con la obligación de cumplir con la LFPDPPP y en otros casos, además de los anteriores, cuando las empresas reconocen que sus clientes y personalmente la información es más importante para su negocio. Los riesgos internos antes mencionados, que se caracterizan por la falta de control o control limitado sobre la protección de datos personales, predisponen a las empresas a situaciones imprevistas que pueden conducir a la pérdida o robo de información personal, con consecuencias no sólo de carácter legal, sino también el impacto en la confidencialidad de la información como impacto en la privacidad de las personas y que reduce la imagen y confianza de las empresas. Los riesgos internos se atribuyen directa e indirectamente a las empresas por la falta de mecanismos de protección o su limitación a) Robo de datos personales por parte de terceros, a través del robo de ordenadores y dispositivos de comunicación móviles utilizados para el desempeño de las actividades laborales y.
Tanto los riesgos internos como los externos perjudican a las empresas y a los propios propietarios de la información, cuya información puede, entre otras cosas, utilizarse para cometer delitos como la suplantación de identidad y el fraude. Como es posible observar, en este capítulo se describe brevemente el marco legal que regula el derecho a la protección de datos personales en México, la importancia de la protección de datos personales para las empresas, así como los riesgos internos y externos, así como Las mencionadas entidades económicas enfrentan para proteger los datos personales de sus clientes y personal interno. En el siguiente capítulo se abordarán diversos aspectos relacionados con las medidas de seguridad para la protección de datos personales en las empresas.
Medidas de seguridad para la protección de datos personales
Importancia de las medidas de seguridad
Las medidas de seguridad administrativas, técnicas y físicas son -en sentido estricto- los esfuerzos que se materializan y hacen realidad la protección de datos personales en México y en todo el mundo, sin importar si se trata de organismos públicos o privados, que a su vez contribuyen a haciendo efectivo el derecho humano a la protección de datos personales en México, a que se refiere el segundo párrafo del artículo 16 de la CPEUM. En particular, las medidas de seguridad son el control o conjunto de controles de seguridad para proteger los datos personales. En este sentido, no puede haber protección de datos personales en las empresas si no se utilizan controles o mecanismos de seguridad para proteger dicha información, mecanismos que son de distintos tipos (de ahí la clasificación general de las medidas de seguridad en administrativas, técnicas y.
18 Reglamento de la Ley Federal de Protección de Datos Personales Conservados por los Particulares, 2011, Artículo 57, Primer Párrafo, México. 19 físico), que depende, entre otras cosas, de la cantidad de datos personales a proteger, su sensibilidad, los riesgos a los que están expuestos. Por lo tanto, es importante reiterar que la protección de datos personales en las empresas no es posible si no existen medidas de seguridad, y como se puede ver en los tres ejemplos anteriores de EBay, Heartland Payment Systems y Sony, estas grandes empresas que combinadas - se supone-.
Marco normativo de las medidas de seguridad para las empresas
- Medidas de seguridad administrativas
- Medidas de seguridad físicas
- Medidas de seguridad técnicas
Para efectos de este capítulo, medidas de seguridad significa el control o conjunto de medidas de seguridad para la protección de datos personales. Además, cabe señalar que la obligación de tomar e implementar medidas de seguridad forma parte de la obligación de cumplimiento de las empresas. La LFPDPPP como marco legal de las medidas de seguridad para la protección de datos personales contiene un Capítulo III titulado;
Diversos tipos de medidas de seguridad se desarrollan en el reglamento de la LFPDPPP en los siguientes apartados. Las medidas de seguridad administrativas están definidas en el artículo 2, fracción V de la Política de la LFPDPPP, de la siguiente manera: Hoy en día, las medidas de seguridad técnicas son el último candado que tienen las empresas para proteger los datos personales que poseen, después de las medidas de seguridad administrativas y físicas.
Sanciones por incumplimiento
Asimismo, las medidas técnicas de seguridad también son responsables de adquirir, operar y desarrollar sistemas seguros de información de datos personales que permitan la confidencialidad, seguridad, disponibilidad e integridad de la información, para lo cual requieren de un seguimiento y soporte técnico continuo. Multa adicional de 100 a 320.000 veces el valor diario de la UMA: en caso de que las infracciones continúen en forma reiterada, y cuando se trate de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta el doble de los montos establecidos. 28 De conformidad con el artículo tercero transitorio del decreto que declara reformadas y adicionadas diversas disposiciones del CPEUM en materia de desindexación del salario mínimo.
Adicionalmente, cabe destacar que con base en el artículo 66 de la ZFPDPPP, las sanciones señaladas se impondrán sin perjuicio de la responsabilidad civil30 o penal31 que resulte. En caso de no hacerlo, las empresas deberán enfrentar las sanciones económicas que les pueda imponer el INAI, además de las responsabilidades civiles y penales que puedan derivarse, así como daños a su reputación y posición en el mercado, como el sanción de las autoridades. 31 Ver delitos en materia de tratamiento indebido de datos personales en los artículos 67, 68 y 69 de la ZFPDPPP.
Medidas de seguridad en la Empresa
Datos personales objeto de tratamiento
Interno: esta categoría incluye información de identificación personal, información de contacto, información fiscal, información laboral, información académica, información de seguridad social e información de experiencia laboral de los empleados. Externo: Esta categoría incluye datos personales de clientes, agentes legales y proveedores de servicios. La información anterior es la que está protegida por las medidas de seguridad de la empresa.
Identificación de las medidas de seguridad
La empresa cuenta con una política de asignación de equipos informáticos y telefónicos de su propiedad. Por lo tanto, el personal interno tiene prohibido el uso de equipos informáticos y teléfonos. Prohibición de tomar fotografías o publicar fotografías del interior de la empresa o de información de la misma. Es política de la Compañía no tomar ni publicar fotografías de las instalaciones de la Compañía o de su información, con el fin de evitar la divulgación de cualquier tipo de información, incluidos datos personales.
Alarma El domicilio de la empresa dispone de un sistema de alarma electrónica contratado con un proveedor. Las instalaciones de la Empresa cuentan con un sistema de cámaras de videovigilancia que monitorizan la actividad del domicilio de la Empresa. A la red de Internet de la Empresa sólo se concede acceso al personal interno y al previamente autorizado.
Adición de nuevas medidas de seguridad
Auditorías sorpresa La política de auditoría sorpresa se ha establecido para verificar que los departamentos y empleados correspondientes de la Compañía observan en todo momento las medidas de seguridad previstas en este documento. El factor sorpresa será un elemento disuasorio ante el incumplimiento de la política de seguridad de la empresa. La política de creación de una cultura de seguridad de la información será adoptada por el departamento de TI, el cual será responsable de difundir a través de folletos y correo electrónico institucional las medidas de seguridad para la protección de la información, incluida la protección de datos personales.
Se ha adoptado una política de revisión anual obligatoria de las medidas administrativas, técnicas y de seguridad física de la empresa para proteger todo tipo de información, incluidos los datos personales. Esta revisión puede ser realizada por personal interno de la empresa o una empresa externa. Se adopta la política de análisis antivirus automático en todos los equipos informáticos de la empresa.
Respaldo de la información Se adopta la política de respaldo periódico de la información almacenada en los equipos de cómputo responsables del área de TI de la Compañía. REGLAMENTO DE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES CONTENIDOS POR PARTICULARES.
Medidas de Seguridad en la Empresa
51 una cláusula para la disposición segura de la información en caso de ser necesario, para lo cual se tomará como referencia la “Guía para la disposición segura de datos personales” publicada por el INAI35. Se adopta la política de autorización previa para la descarga e instalación de software en los equipos de cómputo y dispositivos móviles de los empleados de la Compañía, lo que impedirá la descarga de software malicioso que comprometa la información de la Compañía, incluyendo información de carácter personal. Se adopta la política de no sacar equipos de cómputo de las instalaciones de la empresa, con las excepciones previamente permitidas por solicitud de perfil o autorización previa.
Se ha adoptado una política de revisión anual obligatoria de las medidas administrativas, técnicas y de seguridad física de la empresa. Las instalaciones de la empresa cuentan con un sistema de cámaras de videovigilancia que monitorizan la actividad en el domicilio de la empresa, tanto en el exterior como en el interior. Mantenimiento preventivo La política informática se adopta de forma que se realice un mantenimiento preventivo de todos los equipos informáticos de todos los empleados de la empresa al menos cada 3 meses.
