Eventos de Tecnologías de la Información en Distrito Federal
La semana pasada tuve oportunidad de asistir a 2 importantes eventos en materia de tecnologías de la información realizados en la Ciudad de México:
- El «Encuentro Legislativo con la Sociedad sobre Tecnologías de la Información y Comunicación de la Cámara de Diputados«, organizado por la Comisión Especial de Tecnologías de la Información y Comunicación de dicha Cámara y la Asociación Nacional de Abogados de Empresa (ANADE), y
- El Foro Internacional del IFAI sobre Seguridad de Datos Personales, organizado por dicha agencia de protección de datos.
El primer evento fue, en palabras del Dr. Alfredo Reyes Krafft, como «speed dating» en materia de conocimiento de regulación de tecnologías de la información; se organizaron 10 mesas para abordar temas como nombres de dominio, protección de datos personales, protección de la propiedad intelectual, prueba electrónica en juicio e impacto de las TI’s en materia laboral, etc., de manera rotativa con especialistas como la Dra. Isabel Davara, Kiyoshi Tsuru, Joel Gómez y varios más que fueron moviéndose entre las mesas en compañía de un(a) Diputado(a), a fin de comentar los aspectos más relevantes.
Para los asistentes menos versados en esos temas fue, sin duda, una experiencia enriquecedora, al igual que para varios de los legisladores que estuvieron presentes, no obstante que se realizaba una sesión del pleno, quienes demostraron gran interés por empaparse de los temas y entender su impacto en la Agenda Digital de nuestro país, así como el estado de la legislación en esas materias.
El segundo evento, organizado por el IFAI, tuvo como ponentes tanto a funcionarios de la Agencia Española de Protección de Datos, de la Delegatura para la Protección de Datos Personales de Colombia, del Institute of Audit & IT -Governance España y de SM4RT Security, empresa mexicana que estuvo muy cercana al IFAI en el desarrollo de sus Recomendaciones en Materia de Seguridad de Datos Personales.
Uno de los aspectos más relevantes de ese evento fue la explicación de la Metodología de Análisis de Riesgo BAA, siglas para:
- Beneficio, para el atacante, en cuanto al valor económico, reputacional o estratégico de los datos personales blanco del ataque;
- Accesibilidad de los datos personales, en cuanto a lo cual se plantea la disyuntiva entre su confidencialidad y la posibilidad de tenerlos a la mano, y
- Anonimidad del atacante.
La aplicación de esa metodología se orienta a reducir la rentabilidad del atacante, al elevar el riesgo que el ataque le representaría respecto del retorno que podría obtener a través del mismo.
La materia de seguridad de la información es sumamente técnica, y en organizaciones más sofisticadas requiere de la intervención de uno o más especialistas en diversas materias, tales como informática, mitigación de riesgos, seguridad física y perimetral, entre otras, además de requerir de la toma de decisiones muy íntimas para la organización.
En este aspecto la mayor aportación del abogado especialista en protección de datos personales es identificar aquellos aspectos operativos que pudieran significar un incremento del riesgo legal inherente al tratamiento de datos personales, así como tomar las aportaciones de los otros especialistas involucrados y vertirlos en un documento que cumpla con los requisitos determinados por la autoridad de protección de datos personales.