En la entrada inmediata anterior de este blog fue comentada la nota periodística sobre la presunción de que la Sra. Soledad Félix sería quien aparece en uno de los pictogramas que quienes comercializan productos de tabaco están obligados a incluir en el empaquetado de sus productos, pero no habría dado su consentimiento para tal uso de su imagen. También se menciona en esa nota la intención de dicha persona en el sentido de ejercer acciones con motivo del uso no autorizado de dicha imagen por parte de las empresas tabacaleras.

Como se expone en dicha entrada, tal uso no resulta de una decisión unilateral de las mencionadas empresas, sino de un requisito regulatorio derivado de la legislación y regulación sanitarias que aplica la Secretaría de Salud. Pues hoy día fue publicado en el Diario Oficial de la Federación el “Acuerdo por el que se dan a conocer la serie de leyendas, imágenes, pictogramas, mensajes sanitarios e información que deberá figurar en todos los paquetes de productos del tabaco, y en todo empaquetado y etiquetado externo de los mismos a partir del 24 de septiembre del 2014“, que reduce a 2 el número de pictogramas cuyo uso es impuesto a las mismas, omitiendo el alusivo al infarto al miocardio que contenía la imagen presuntamente infractora.

El motivo del cambio podría ser dicho caso, aunque es un hecho que las disposiciones normativas de la materia prevén la rotación de dichos pictogramas cada 12 meses. Por el período de septiembre del año en curso a marzo del siguiente, serán sólo el relativo a mortandad de recién nacidos y EPOC (Enfermedad Pulmonar Obstructiva Crónica) los que deberán figurar en los referidos empaques y etiquetas. Mientras tanto, será muy interesante dar seguimiento al caso de la Sra. Félix, y el impacto que pueda tener en dichas obligaciones de etiquetado.

 

pictograma - Copysoledadfelix - CopyVan a ser 4 años desde que la regulación en materia de publicidad para productos del tabaco hizo obligatorio incluir en las cajetillas de esos productos las atroces imágenes o “pictogramas” con los que se busca desincentivar el consumo del tabajo. Pues hoy día El Financiero y La Jornada dan cuenta de que la Sra. Soledad Félix, de 72 años y residente en Ciudad Juárez, Chihuahua, cayó en cuenta de que es ella quien figura en las imagenes utilizadas para uno de tales pictorgramas, y por ese motivo ha presentado una queja ante la Comisión Estatal de los Derechos Humanos (CEDH) en Ciudad Juárez, pues la fotografía correspondiente habría sido obtenida sin su consentimiento mientras se encontraba internada en un hospital del Instituto Mexicano del Seguro Social en aquélla Ciudad, entre finales de 2009 e inicios del 2010, por causa de un infarto.

A decir de la oficina del Ombudsman chihuahuense, el hecho constituye una afectación el Derecho de Privacidad de la señora, y podrían resultar otros como discriminación y daño moral por aparecer en esa fotografía, donde se encuentra acostada en la sala de terapia intensiva (2010). Sin embargo, reconocen que el uso de los pictogramas obedece a un mandato de la Secretaría de Salud y no a una decisión propia de las tabacaleras, por lo que el asunto se circunscribe al ámbito de la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental, y no al de la Ley Federal de Protección de Datos Personales, toda vez que la imagen está contenida en el “Acuerdo por el que se dan a conocer la serie de leyendas, imágenes, pictogramas, mensajes sanitarios e información que deberá figurar en todos los paquetes de productos del tabaco y en todo empaquetado y etiquetado externo de los mismos a partir del 24 de marzo de 2013“, mismo que contiene como “Pictograma 5 la imagen controvertida, y fundamenta el requerimiento de su uso en la Ley General de Salud, la Ley General para el Control del Tabaco y el Reglamento de esa Ley General.

Naturalmente una acción en contra de diversas empresas tabacaleras podría ser más interesante para quien se viera afectado en similares términos por el hecho propio y directo de un particular, puesto que una demanda por daño moral e infracción en materia de comercio a la Ley Federal del Derecho de Autor resultaría en una idemnización de al menos el 40% del precio de venta al público del producto original (nótese que en este caso no hay producto original), por la reparación del daño material y/o moral, así como indemnización por daños y perjuicios (art. 216 Bis) por la violación a los derechos conferidos por esa Ley, entre los cuales está incluído el derecho a la propia imagen (art. 87). El tema del derecho a la imagen ya ha sido explorado anteriormente en este blog, y concluyéndose que no existe a la fecha claridad suficiente sobre las normas que deberían ser observadas para el debido tratamiento de la imagen de una persona, debido a la omisión regulatoria que prevalece en materia de propiedad intelectual, además de muchas otras, con respecto a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Tratándose de un caso motivado por hechos ocurridos en un centro hospitalario a cargo del Estado, la indemnización que en su caso llegara a resolver como procedente la autoridad jurisdiccional estaría acotada, por virtud del artículo 14, fracción II, párrafo segundo de la Ley Federal de Responsabilidad Patrimonial del Estado a 20,000 días de salarí mínimo general vigente en el D.F., y preliminarmente podría asumirse pagadera por el Instituto Mexicano del Seguro Social, en tanto operador del referido centro hospitalario y que se habría debido a omisiones o actos de personal al servicio de dicho Instituto, quienes además podrían haber incurrido en transgresiones a la Ley Federal de Responsabilidades Administrativas de los Servidores Públicos, al menos y en principio por la omisión en el cuidado de la información y datos personales de la paciente quejosa, incluyendo imagen y estado de salud (la leyenda encabezado del pictograma incluso refiere puntualmente “INFARTO AL MIOCARDIO”, motivo por el cual ella se encontraba internada en el nosocomio), de la Sra. Soledad Félix.

Es un hecho que la industria tabacalera se ha encontrado bajo ataque desde hace tiempo; incluso en los Estados Unidos de América se le ha vapuleado, a pesar de que el tabaco fue un cultivo clave en la etapa fundacional de la economía estadounidense. Hace 3 años que en Australia entró en vigor el Tobacco Plain Packaging Act, que para efectos constituyó una medida expropiatoria de la propiedad industrial de las tabacaleras, por impedirles hacer uso de sus marcas en los empaques, lo cual motivó que dichas empresas intentaran recurrir la medida ante la High Court de aquél país, aunque de manera infructusa.

Al respecto llama la atención el comentario de Leticia Félix, la hija de la Sra. Soledad, en el sentido que “la gente no se fija cuando abren las cajetillas de cigarros, porque tienen diferentes fotografías…”, y si es que el uso de los pictogramas y leyendas precautorias en las cajeitllas de cigarrillos cumplen o no su finalidad y propósito. Ante ello, vale la pena considerar la utilidad y bondad de este tipo de requerimientos regulatorios y la carga administrativa que se impone a las industrias reguladas y que pagan impuestos, respecto de otras alternativas para lograr los objetivos de salubridad pública y bienestar de la población que se persiguen con medidas como éstas.

 

pictograma 5 - Copypictograma2 - Copy

 

cctv3 - CopyPrevio a la promulgación de la Ley Federal de Telecomunicaciones, diversos medios publicaron múltiples comentarios sobre la afectación que los artículos 189 y 190 del proyecto de Decreto aprobado por el Congreso de la Unión suponen para la protección de datos consagrada en el artículo 16, párrafo segundo, de la Constitución Política de los Estados Unidos Mexicanos, sobre lo cual se comentó en este blog el 4 y 28 de julio de este año.

El tema se resume en que los artículos referidos obligan a los autorizadosy proveedores de servicios de aplicaciones y contenidos a atender todo mandamiento por escrito, fundado y motivado de la autoridad competente, referida de manera muy genérica como “instancias de seguridad y procuración de justicia”, cuyos titulares podrán designar, mediante acuerdos publicados en el Diario Oficial de la Federación, a los servidores públicos encargados de gestionar tales requerimientos que se realicen y recibir la información correspondiente a la localización geográfica, en tiempo real, de los equipos de comunicación móvil, so pena de sanción de la autoridad por desacato.

Hoy día el Reforma reporta que la Unidad de Inteligencia Financiera de la Secretaría de Hacienda y Crédito Público presentó a la Comisión Federal de Mejora Regulatoria el proyecto de Acuerdo por el que el Titular de esa Unidad designa a los Servidores Públicos que se mencionan en el mismo, para efecto de lo dispuesto en el citado artículo 189 de la #LeyTelecomm, designando como tales a los titulares de la propia Unidad de Inteligencia Financiera, y a su Dirección General de Procesos Legales.

El encabezado de prensa pareciera ser sensacionalista y amedrentar a muchos: “Rastreará SHCP a evasores por celular“. Al respecto hay que considerar si las facultades de la UIF atañen a la seguridad y procuración de justicia; naturalmente dicha Unidad lo estima así, y por ello motiva el proyecto presentado a COFEMER indicando que el artículo 15 del Reglamento Interior de la SHCP le otorga competencia para denunciar ante el Ministerio Público Federal las conductas que pudieran favorecer, prestar ayuda, auxilio o cooperación de cualquier especie para la comisión de esos delitos (art. 15, fracción XIII), por lo que se ajustaría al extremo previsto en el citado artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión.

Al respecto debe considerarse que los tipos penales referidos en la norma del Reglamento Interior que se cita, comúnmente conocidos como “lavado de dinero”, son esencialmente accesorios; es decir, aunque son penados en sí mismos aunque sirven como medio para la comisión de otros actos previstos como delito por los artículos 139 Quáter y 400 Bis del Código Penal Federal, y de la lectura del proyecto de Acuerdo se podría interpretar que la intención del Titular de la UIF sería acotar su ejercicio de la facultad prevista en el referido artículo 189 a su actuación respecto de los mismos. Adicionalmente, la fracción XI del citado artículo del Reglamento Interior la faculta también para “coordinarse con las autoridades fiscales para la práctica de los actos de fiscalización que resulten necesarios con motivo del ejercicio de las facultades conferidas conforme al citado artículo; por lo tanto, el rastreo mediante geolocalización en tiempo real de dispositivos de telecomunicación móvil debería darse solamente en los casos en que la “evasión fiscal” hubiera sido una de las conductas punibles de las que se hubieran obtenido los recursos con los que se hubieran realizado las operaciones investigadas hubieran derivado de alguna de las conductas previstas en el artículo 400 Bis del Código Penal Federal hubieran sido producto de la comisión de alguna de las conductas previstas en los artículos 108 a 111 del Código Fiscal de la Federación.

En los meses siguientes se verá, sin duda, a muchas otras autoridades administrativas presentar ante la COFEMER sus respectivos proyectos de Acuerdo para los mismos efectos. Posiblemente ello contribuya para paliar, en la práctica y de manera fáctica, la falta de claridad y ambigüedad del multicitado artículo 189 de la Ley Federal de Telecomunicaciones y Radiodifusión, aunque no debiera ser el caso.

Por otra parte, en breve se verá si el IFAI, en su nueva integración, resuelve afianzar su papel de garanta del acceso a la información pública y protección de datos personales, pues su pleno resolverá en su sesión del día de hoy sobre el ejercicio de la acción de inconstitucional que le fue conferido por virtud de la reciente reforma constitucional publicada en el Diario Oficial de la Federación el 7 de febrero del año en curso. La discusión se escucha reñida, y sin lugar a dudas los votos de sus Comisionados aportarán indicaciones sobre sus criterios y lo que podría esperarse de su actuación en esos puestos y de la del Instituto mismo.

 

 

 

 

BABYWALLS-master675-v3

What could be more innocent than a baby’s picture, or more moving that one of a mother or parents holding their newborn for the first time? Perhaps for the new family and the healthcare providers, but not necessarily for every beholder. Few things can make someone more personally identifiable than a photograph, and the care of a child, even more so a newborn, goes beyond healthcare. Less than a year ago a columnist for Slate wrote a piece on the pitfalls and perils for a child’s privacy and safety that may stem from posting her across social networks (there’s abundant literature to that regard online). Parents have certainly been keen since forever in capturing the fleeting moments of childhood for endearing recollection in later years, and sharing them on networks such as Facebook, Instagram, Flickr and the like may seem like the day in age equivalent of having your guests at social gatherings look at the Kodak carrousel slides or 8mm films of yesteryear… only it’s not. Those viewings remained in the privacy and care of the venues where they were held and of the people who attended; nowadays

For sure products such as Google’s make it possible to store for posterity heaps of cherished memories that would otherwise be lost to the mists of time. But parents should also consider that the processing of data with new capabilities for its mining, facial recognition, etc, and asymmetry in privacy regulation make it hard to foretell what may become of an image or video that you may believe is cute, but that their child could regard as humiliating or offensive later in her life.

Now those involved in the miracle of birth (starting with parents) have a duty to be mindful of what they do with the personal data of the child and her family, as it is then that they are the more vulnerable. I recall that sometime about 12 or 13 years ago, when some of the first bills that were mashed up into Mexico’s current data protection law were being discussed in the Commerce Committee of the Chamber of Deputies a representative of the Secretariat of Economy, who had recently become a mother, voiced her personal concern for having received an unsolicited basket with gender-specific baby care products at her home shortly after her delivery.

The New York Times ran a piece on how the accustomed collages of baby pictures in the offices of the obstetricians and midwives who assisted in their delivery are being moved out of the sight of the public or stored with their files and charts, as their display absent a properly executed consent form drafted under the Health Information Portability and Accountability Act (HIPAA), cutting against an age-old practice for a line of work that’s largely built on word of mouth, but founded on trust. As per that piece, heaps of baby pictures that used to go on walls are now filed with patient charts in times when “selfies” in the most varied of contexts are commonplace.

Mexico has yet to harmonize the statutes and regulations that intersect with its novel privacy law, but it’s a fact that pictures also constitute personal data covered under the Federal Law for the Protection of Personal Data in Possession of Private Parties and Regulations thereto. There’s an entry in this blog where I go over the issues for legal interpretation and practice in dealing with images that stem out of this; in the particular case of celebratory baby pictures in the context of the privacy of health information and records, the Mexican Official Norm 004-SSA3-2012  only has one provision referring to the publication of photographs in health records that make it possible for the patient to be identified, limiting it to medical literature, teaching or research, stating that written consent from the patient shall be required, and that necessary measures shall be taken so that said patient may not be identified, which must be written into informed consent notices for the purpose of providing health services, but which anonymization would undermine the whole purpose of baby or delivery pictures displayed as the newspiece from the Times refers.

Therefore, and until health authorities in Mexico undertake and conclude the aforesaid work of harmonizing privacy laws and issue express criteria on such matters, it could be assumed that pictures taken by the parents, or by health care providers at their request, to commemorate the birth of their children are not materials comprised with the definition of “Health Record” under said Norm, as they are not intended for recording, annotating, attesting or certifying the part of the health care providers in the patient’s care and, therefore, could be thought of as not subject to it, but to the more general privacy law, whereby individuals are to be explicitly informed as to the use of their images for purposes of promotion and/or marketing, and their express consent therefore is required since all information concerning health is provided to be sensitive, regardless of how obvious or not pregnancy or birth could be.

 

bugshack

12345Las “Medidas de Seguridad” (Reglamento, art. 57: “control o grupo de controles de seguridad para proteger los datos personales”) es uno de los temas de protección de datos personales que probablemente presenten mayor complejidad en la práctica e implementación, no obstante las Recomendaciones en materia de Seguridad de Datos Personales del IFAI y su Metodología de Análisis de Riesgo BAA. La LFPDPPP es “tecnológicamente neutra”, en tanto que no requiere la implementación de medidas específicas, lo cual tiene todo sentido considerando la amplitud de su ámbito de aplicación, que abarca desde Responsables cuyo Tratamiento de Datos es sumamente elemental, como una tienda que entregue a domicilio o un salón de belleza que tome citas por teléfono, hasta el de aquellos que es sumamente sofisticado, complejo e intensivo en cuanto a datos personales patrimoniales y/o sensibles, como instituciones de crédito o seguros, o prestadores de servicios de salud.

El requerimiento mínimo contemplado en la LFPDPPP (art. 19) es que los Responsables establezcan y mantengan medidas de seguridad administrativas, técnicas y físicas que protejan los datos personales contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, medidas que no deberán ser menores a las que mantengan para el manejo de su propia información, y  ser determinadas conforme al riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico. Ello sin perjuicio de que los responsables tuvieran que implementar medidas de seguridad dispuestas específicamente por las autoridades del sector en el que aquellos operen, si éstas contemplasen una protección mayor para el titular que la dispuesta por la LFPDPPP y su Reglamento.

El hecho es que el cumplimiento normativo en protección de datos personales no se limita a, ni se agota en, la redacción e implementación de avisos de privacidad, de una política de privacidad y la designación de una persona o área a cargo de la protección de datos personales en la organización; el art. 9 del Reglamento hace al deber de seguridad tan obligatorio y vinculante como los son los 8 principios que informan a la Ley. Dependiendo de la complejidad y/o sofisticación del Responsable, puede ser necesario involucrar a uno o más expertos en mitigación de riesgos, seguridad perimetral y/o informática; esto último particularmente considerando la facilidad con la que incluso negocios pequeños o emprendimientos modestos pueden acceder a medios y recursos para lograr presencia en Internet. Por ejemplo, el New York Times reportó desde enero de 2012 sobre vulnerabilidades encontradas en sistemas de videoconferencia en salas de consejo en todo el mundo en los términos siguientes:

Rapid7 discovered that hundreds of thousands of businesses were investing in top-quality videoconferencing units, but were setting them up on the cheap… The most popular units, sold by Polycom and Cisco, can cost as much as $25,000 and feature encryption, high-definition video capture, and audio that can pick up the sound of a door opening 300 feet away. But administrators are setting them up outside the firewall and are configuring them with a false sense of security that hackers can use against them“.

De acuerdo con la citada Metodología BAA, Internet es el entorno de accesos que ofrece mayor nivel de anonimidad (Nivel 5) a un atacante, tal que las tablas matriciales para nivel de riesgo por tipo de dato, nivel de accesibilidad y de anonimidad contenidas en esa Metodología indican con respecto a ellos que “…no se recomienda que existan (tales escenarios). En caso de que su organización presente estos escenarios, es necesario que impida que se presenten accesos directos a estos tipos de datos personales desde redes de terceros, Internet o redes inalámbricas”.

Ello puede poner a los responsables entre la espada y la pared, ya que por una parte la conectividad por medio de Internet incrementa el riesgo al que estén expuestos los datos personales a los que dan tratamiento, y por otra es una necesidad en muchos casos, no sólo por permitir el acceso a un auditorio mayor o a mercados más extensos, sino también por facilitar la realización del trabajo en organizaciones que así lo requieren, ya sea por desplegar a su personal en campo o para facilitar prestaciones de carácter laboral, como licencias de maternidad/paternidad. De ahí la necesidad de ejercer un mínimo deber de cuidado en su implementación y concientizar, mediante una adecuada capacitación, a todo el personal de la organización en las medidas de seguridad que deben cumplir en el desarrollo de sus labores, lo cual atiende precisamente al principio de responsabilidad y deber de cuidado que tienen obligación de observar. Por ejemplo, el New York Times reportó hace 2 semanas que sistemas tales como Microsoft’s Remote Desktop, Apple Remote Desktop and Chrome Remote Desktop, que permiten el “teletrabajo” o “home office”, son escaneados por hackers, quienes al descubrirlos lanzan programas que adivinan credenciales de acceso hasta obtener las correctas, lo cual podría haber sido el medio por el cual se consumaron vulneraciones como las que sufrieron el año pasado las cadenas comerciales Target y Neiman Marcus.

Al respecto debe tenerse en cuenta que los factores de autenticación, tales como nombres de usuario y/o contraseñas de acceso, son también datos personales, categorizados precisamente como “datos de autenticación”, considerados como con “Riesgo Inherente Medio” por la Metodología BAA con la advertencia de “…que las categorías antes descritas se desarrollaron exclusivamente para la aplicación de esta metodología, y no pueden ser consideradas como un criterio emitido por el IFAI. Más aún, el Pleno del Instituto no ha emitido criterios institucionales al respecto, además de que ciertos datos personales que en principio no se consideran sensibles, podrían llegar a serlo dependiendo del contexto en que se trata la información”, y consecuentemente tanto los de los trabajadores o prestadores de servicios de los responsables como los de sus clientes, referencias personales, etc., son objeto de responsabilidad para ellos, por lo que deben ser incorporados en su Sistema de Gestión de Seguridad de Datos Personales.

Hace menos de un mes escribí en este blog sobre la posibilidad de que el uso de factores de autenticación inadecuados o poco robustos (ej. simplemente nombre y apellido, fechas de nacimiento propias o de terceros cercanos, letras o dígitos secuenciales, etc.) podría resultar en la transgresión al principio de responsabilidad que informa a la LFPDPPP y su Reglamento. Lo mismo podría resultar del diseño inadecuado de los sistemas informáticos y/o telemáticos mediante los cuales se dé tratamiento a datos personales; por ejemplo, en un evento de la Asociación Nacional de Abogados de Empresa (ANADE) realizado este año, el Ing. Oscar Lira, jefe del Departamento de Telecomunicaciones e Informática de la Dirección General de Coordinación de Servicios Periciales (DGCSP) de la Procuraduría General de la República (PGR) comentó que uno de los principales aspectos a considerar para la seguridad informática es precisamente que, no obstante ser creados mediante suites como Dreamweaver u otras similares, los sitios web estén “armados” de tal manera que el flujo de la información entre sus partes sea debidamente asegurado. En su opinión, invertir en la contratación de personas debidamente capacitadas para ello es tanto o más importante que invertir en herramientas informáticas, como lo ilustra la nota del New York Times sobre la vulnerabilidad de diversos sistemas de videoconferencia debido a su mala instalación.

Ahora bien, ¿qué sucedería, o qué se debería hacer en caso de que a pesar de haber invertido lo necesario para contar con los recursos necesarios para la correcta implementación del sistema de gestión de seguridad de datos personales se detectaran u ocurrieran vulneraciones al mismo por destrucción, alteración, acceso, sustración o uso no autorizados de los datos de autenticación del personal del responsable y/o de sus clientes? Por ejemplo, hace unos meses fue difundido el caso de “Heartbleed“, una vulnerabilidad encontrada en la biblioteca de criptografía del “Open SSL“, que exponía la llave privada de los servidores usados para implementar medidas de Transport Layer Security, que permiten la comunicación segura en Internet. Básicamente se trata de la tecnología que hace que la indicación “http” en la barra de direcciones del navegador cambie a “https” y se active el conocido ícono del candado, señalando que la comunicación contaba con esa medida de seguridad, y la vulnerabilidad permitía decodificar la información utilizada para proporcionar seguridad a esas comunicaciones, permitiendo montar diversos ataques o usurpar la identidad de los usuarios.

Por otra parte, anteayer medios como el propio New York Times, TIME y El País reportaron que Hold Security descubrió que una organización de hackers llamados CyberVors, presumiblemente rusos, había sustraído los factores de autenticación de 1,200 millones de usuarios de 420,000 sitios de Internet en todo el mundo, así como 500 millones de direcciones de correo electrónico, que también son datos personales, atacándolos con “inyección SQL” realizada mediante “botnets” que “auditaban” los sitios atacados en búsqueda de vulnerabilidades al SQL. De momento parece que los hackers sólo han usado esos datos personales para el envío de spam, pero ello no obstaría para que el día de mañana tal información sea vendida en el mercado negro; en enero de este año una pareja de mexicanos fue detenida en McAllen, TX, con tarjetas de crédito que tenían información producto del ya mencionado ataque que sufrió la minorista Target.

Respecto de ambos casos deben ser considerados los artículos 20 de la Ley así como 64 a 66 de su Reglamento, los cuales respectivamente disponen que:

  • las vulneraciones de seguridad en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares (de datos personales) habrán de serles informadas de forma inmediata por el responsable, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos;
  • se deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.
  • dichas notificaciones deben informarle a los titulares cuando menos: (i) la naturaleza del incidente; (ii) los datos personales comprometidos; (iii) las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses; (iv) las acciones correctivas realizadas de forma inmediata, y (v) los medios donde puede obtener más información al respecto.
  • el responsable deberá analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita.

La lectura de los artículos arriba citados es importante, puesto que evidencia un módicum de responsabilidad compartida entre el responsable y los titulares ante una vulneración de seguridad, que debe llevarnos a un cambio cultural importante en la protección de datos personales: por una parte, el responsable debe analizar cómo fue que se produjo la vulneración, e implementar las acciones preventivas y correctivas procedentes, además de notificar a los titulares afectados, o potencialmente afectados, al respecto, de manera que estos a su vez puedan reaccionar en protección de sus derechos morales, patrimoniales (nótese que son términos no definidos por la LFPDPPP ni por su Reglamento, y que se encuentran en la Ley Federal del Derecho de Autor), e intereses. En casos así sería interesante analizar la medida en que la culpa o negligencia del responsable, su personal y/o encargados pudieran motivar la imposición de una condena indemnizatoria por vía civil o mercantil.

La citada Guía del IFAI prevé que ante una vulneración los responsables deben identificar: a. Los activos de su sistema de gestión de seguridad afectados; b. Los titulares afectados; c. Las partes interesadas que requieran estar informadas y/o puedan tomar parte en la
toma de decisiones para mitigar las consecuencias de la vulneración. Identificada la vulneración, se debe notificar a los titulares, a través de a través de medios masivos, electrónicos o digitales, incluso de manera personalizada, para que puedan tomar medidas que mitiguen o eviten una posible afectación. Podría también notificarse a las autoridades de protección de datos y/o procuración y/o impartición de justicia, como partes interesadas, para que auxilien en el proceso de mitigación del incidente. Además de la información pertinente sobre la naturaleza del incidente y los datos personales comprometidos, se deben notificar las acciones inmediatas que está tomando el responsable, así como proporcionar mecanismos de atención para que los titulares estén informados y reciban recomendaciones al respecto. Identificada la vulneración y realizadas las notificaciones mencionadas, habrá que profundizar en el análisis de las causas del incidente para establecer medidas correctivas, que incluyan medidas inmediatas para reducir los efectos de la vulneración.

Aunque hay debates en el medio y la práctica, particularmente en los EE.UU.A. sobre si se debería notificar de inmediato o del todo a los titulares sobre un evento de vulneración de seguridad, en un escenario como el de Heartbleed el responsable debería proceder de inmediato a la revocación y renovación de los certificados de seguridad de los sitios web que se supieran o presumieran atacados, recomendando a los titulares de los datos personales tratados por medio suyo actualizar su información y dar seguimiento al uso que pudiera haberse hecho de la misma (compras por internet, modificación del contenido de perfiles en redes sociales, etc.).

En el escenario del ataque de los “CyberVor”, los responsables deberían auditar sus páginas para determinar si eran, o son susceptibles a un ataque por inyección SQL, y de serlo averiguar si fueron afectadas o no. De haberlo sido o serlo, se puede consultar a Hold Security para asesoría en cuanto a si se encuentran entre las empresas afectadas; de estarlo, se debería notificar a los titulares de los datos personales a los que dieran tratamiento a la brevedad posible, recomendándoles modificar sus contraseñas de acceso u otros factores de autenticación, y estar al pendiente de sus tarjetas de crédito, tal vez incluso solicitar la sustitución de las mismas, para monitorear o prevenir su uso indebido. Como titulares, haríamos bien en asumir que nuestros datos personales de autenticación y/o correo electrónico fueron parte del botín de los CyberVor y cambiarlos cuanto antes por nuevos y más robustos, en la medida de lo posible (no todos los sitios permiten cambiar el nombre de usuario, o hacerlo más de una vez).

AAcidPwords

 

flash-drive-148778_640 - CopyLa edición online de WIRED publicó una nota sobre la vulnerabilidad inherente a las memorias USB, debido a la posibilidad de que códigos maliciosos capaces de tomar control de una PC, redirigir su tráfico de Internet (re: botnets) o alterar los archivos instalados desde el dispositivo, sean instalados en el firmware que controla el funcionamiento de dichos dispositivos de almacenamiento, de manera tal que podría permanecer en él aún después de que pareciera haberse elminado su contenido, riesgo que a decir de la pubicación no podría ser evitado a menos que se prohibiera el uso compartido de USBs, o sellaran los puertos USB de las terminales de cómputo.

Tal hallazgo y conclusiones son producto de la investigación de Karsten Nohl y Jakob Lell en SR Labs, quienes concluyen que por tratarse de una vulnerabilidad producto de la propia manera en que los USB operan, no hay forma de solventarla, por lo que “…habría que considerar un USB como infectado y desecharlo tan pronto como tocara una computadora no-confiable”. Esto hace eco de las palabras (si la memoria no me falla) de Antoni Bosch Pujol(Director del MASGDTIC), quien durante su participación en el “Foro Internacional sobre Seguridad de Datos Personales, las Recomendaciones del IFAI“, llevado a cabo el pasado 5 de diciembre del 2013 y comentado en este blog, calificó a los drives USB (palabras más o menos) como “armas de destrucción masiva para la seguridad de la información”.

Considerando esto con relación a la obligación de proveer a la serguridad de los Datos Personales a los que den tratamiento los Responsables obligados al cumplimiento de la LFPDPPP, a través de medidas de seguridad física, administrativa y técnica de nivel no menor al que ocupen para la seguridad de su propia información, ¿querría decir que habría que proscribir por completo el uso de memorias USB, y cancelar los puertos de las computadoras en toda la organización, como hacen bancos y hospitales, para evitar el riesgo de una transgresión a las normas de protección de datos personales?

Mi idea al respecto es que no necesariamente; instituciones como las referidas lo hacen por motivos de seguridad de la información que manejan, pero los puertos USB son necesarios para la conectividad de muchos equipos, desde un mouse a un proyector o impresoras. Claro está que hay dispositivos que permiten lograr la misma conectividad de manera inalámbrica, pero también habría que considerar la utilidad/necesidad del traslado de información que se ocupa en el trabajo diario. Esta contraposición entre confidencialidad y disponibilidad de la información es una dicotomía difícil, cuando no imposible, de conciliar.

Las Recomendaciones en Materia de Seguridad de Datos Personales primeramente publicadas para comentarios públicos por la Comisión Federal de Mejora Regulatoria en agosto del 2013 contienen un concepto que no figura en las que fueron publicadas en el Diario Oficial de la Federación el 30 de octubre del año pasado, y que es esencial para la toma de decisiones a este respecto: el “RIESGO RESIDUAL“, definido como “el riesgo remanente después de tratar el riesgo”, entendido éste último como la “combinación de la probabilidad de un evento y su consecuencia desfavorable”, y que referido a la seguridad alude al “potencial de que cierta amenaza pueda explotar las vulnerabilidades de un activo o grupo de activos en perjuicio de la organización”.

Tratamiento del RiesgoEl diagrama de flujo del primer documento citado que aborda el Tratamiento del Riesgo (vid. supra) ilustra la ida que se condensa en los párrafos siguientes:

Retener el Riesgo: Se puede tomar la decisión de retener el riesgo sin considerar medidas adicionales si a través de la evaluación del riesgo se determina que no hay necesidad inmediata de implementar controles adicionales o que estos controles se pueden implementar posteriormente”.

Aceptación del Riesgo Residual: Al llegar al punto de aceptar el riesgo se deben asumir y registrar formalmente las decisiones sobre el plan de tratamiento del riesgo, así como el riesgo residual, el plan de tratamiento del riesgo debe describir cómo se tratarán los riesgos valorados para alcanzar los niveles de aceptación. Es importante que la Alta Dirección apruebe y revise tanto los planes de tratamiento, como el riesgo residual. Del mismo modo, deberá registrarse cualquier condición asociada con tal aprobación”.

“Aceptar el riesgo implica que el riesgo residual no entre en conflicto con los criterios previamente establecidos en los objetivos y alcances de la organización, por ejemplo, el riesgo residual no puede considerar la aceptación de un riesgo relacionado al cumplimiento de la LFPDPPP si ésta forma parte de las metas planteadas en el SGSDP”.

En conclusión, el permiso o prohibición para la utilización de USBs es una decisión muy particular y siempre propia de cada Responsable, resulltado de  debe ser tomada con base “…en el resultado de la valoración del riesgo, los costos estimados, y los beneficios esperados de implementar estas opciones. Si se obtiene una considerable reducción del riesgo con un costo relativamente bajo, esto es una combinación a considerar para implementar los controles. En general, las consecuencias adversas de los riesgos deben reducirse lo más razonablemente posible con independencia de cualquier criterio absoluto, por ejemplo, se deben considerar los riesgos que no ocurren con frecuencia pero que serían severos, en cuyo caso también se deben implementar controles”.

Desafortunadamente, no hay sistema alguno que sea absolutamente invulnerable, y el uso de sistemas informáticos, aunque necesario, requiere de inversiones que pueden ser más o menos considerables. Es decir, nos encontramos ante un supuesto de aquello que en Deontología se resuelve optando por el mal menor. Puede ser que haya niveles de riesgo que sean aceptables o tolerables; lo que jamás puede serlo es la negligencia, más aun en el tratamiento de datos personales. En tal sentido, podría considerarse establecer en la Política de Privacidad y Relación de Medidas de Seguridad que el uso de memorias USB quedará limitado a las que hubieran sido adquiridas por el Responsable para uso de su personal y/o prestadores de servicios, excluyendo las propias de estos (es decir, “no” al bring your own device), así como una revisión periódica de las mismos.

Para concluir, debe mencionarse que conforme a la fracción IX del artículo 61 del Reglamento de la LFPDPPP, es obligación de los Responsables considerar entre las acciones para establecer y mantener la seguridad de los datos personales, el realizar un registro de los medios de almacenamiento de los datos personales a los que den tratamiento, registro que debe comprender incluso aquellas memorias USB que el Responsable adquiriese en el curso de sus operaciones.

 

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

SoshiTech - Soshitech.com

Technology News, Startup Information & Social Networking

Orenday Serratos Abogados

Abogado & LL.M., Law, Science & Tech

Blog de Jorge Molet

Marcas, Patentes, Derechos de Autor, Protección de Datos Personales y Tecnologías de la Información.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 272 seguidores