archivo

Archivo de la etiqueta: relación de medidas de seguridad

El 26 de agosto publiqué una nota sobre el primer proyecto que el IFAI presentó a la COFEMER de las Recomendaciones en materia de Medidas de Seguridad, previstas en el artículo 58 del Reglamento de la Ley, cuya adopción podrá ser tomada en consideración por el IFAI para determinar la atenuación de la sanción que pudieran corresponder por las infracciones a la LFPDPPP que llegaran a ser determinadas por ese Instituto. Sin embargo, el propio IFAI solicitó la baja del expediente al día siguiente, y transcurrió un mes para que presentara la que sería su versión definitiva.

Se trata de un instrumento importante, puesto que conforme al Artículo Cuarto Transitorio del citado Reglamento, el cumplimiento de lo dispuesto en su Capítulo III en materia de medidas de seguridad es obligatorio a partir del 20 de junio de este año, y su omisión podría dar pie, cuando menos, a la sanción genérica de la fracción XIX del artículo 63 de la Ley, consistente en multa de 200 a 320,000 días de salario mínimo general vigente en el D.F.

Ahora tengo oportunidad de referirles que a partir del 26 de septiembre el expediente de la nueva versión de esas recomendaciones, mismas que son esenciales para preparar el documento a que se refiere el último párrafo del artículo 61 del Reglamento. Es un instrumento de gran importancia para la práctica de la materia, pues por muchas formalidades que se cumplan en cuanto a publicación de Avisos de Privacidad, documentación de relaciones con Encargados o de Transferencias a Terceros, la protección de Datos Personales no puede ser efectiva si no se cuenta con las medidas de seguridad física, administrativas y técnicas suficientes para el resguardo de los activos integrantes del Sistema de Gestión de Protección de Datos Personals que todo Responsable debe implementar. Además es, o debería ser, de gran interés para quienes somos abogados pero no expertos en mitigación de riesgos o seguridad informática.

Las diferencias entre el primer proyecto y el actualmente difundido son considerables, y ello se hace patente tan sólo por el número de páginas de que consta cada documento; éste más reciente es 1/4 del anterior, y eso incluyendo una cuartilla dedicada al borrador de la publicación en el Diario Oficial de la Federación y otra de portada. Es decir, hablamos de 13 páginas de contenido del actual contra 66 del anterior.

Si bien la versión que prevalecerá una vez sorteado el proceso de consulta pública en la mencionada Comisión será el publicado el 26 de septiembre, recomiendo ampliamente la lectura y comprensión del proyecto más rico y amplio del 15 de agosto, pues las tablas y matrices con que cuenta permiten entender con gran claridad los aspectos técnicos de una materia que apenas va despegando en México. Y esa es de las cosas que más me gustan de esta práctica: la oportunidad de salirme de los temas estrictamente juríicos para involucrarme con el trabajo de otros especialistas.

Sería interesante conocer las razones por las que el IFAI sustituyó un proyecto por otro. Mi personal apreciación es que el primero era demasiado extenso y complejo para que el grueso de los Responsables pudiera entenderlo y aplicarlo; éste nuevo es exponencialmente más breve y simple, lo cual facilita su comprensión y aplicación incluso por los Responsables menos sofisticados.

Hoy día venció el úlitmo de los plazos concedidos por el marco jurídico que norma la protección de datos personales para el cumplimiento de las obligaciones previstas para los Responsables del Tratamiento de Datos Personales: la elaboración de su Relación de Medidas de Seguridad.

Recordemos que los Avisos de Privacidad y los nombramientos de los Funcionarios o Departamento a Cargo de Datos Personales por parte de los Responsables debieron haber sido publicados y hechos, respectivamente, para el 6 de julio del 2011 (a pesar de no haberse expedido para esa fecha el Reglamento de la Ley), y que los medios para el ejercicio de derechos ARCO tendrían que haber estado disponibles para los Titulares de Datos Personales el 6 de enero del 2012.

El artículo 19 de la LFPDPPP prevé que todo Responsable del Tratamiento de Datos Personales tiene obligación de establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales a los que dé tratamiento contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado (eventos que, de acuerdo conal artículo 63 del Reglamento aplicable constituyen vulneraciones generalmente notificables a los Titulares de los Datos Personales tratados).

A la postre las referidas medidas de seguridad deben actualizarse según manda el artículo 62 del propio Reglamento, lo cual reitera el hecho que la instrumentación del cumplimiento normativo de protección de datos personales no es un proyecto que se agote con la publicación de un aviso de privacidad, sino un proceso continuo y cambiante.

Dichas medidas de seguridad deben constar, de acuerdo con lo previsto en el último párrafo del artículo 61 del Reglamento de la Ley, en una relación de las mismas, para cuya elaboración se gozó, conforme al artículo Cuarto Transitorio del citado Reglamento, de un plazo de 18 meses contados a partir del mismo, y que feneció el día de hoy.

Compliance Report

Compliance and Ethics Powered by Advanced Compliance Solutions

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC y Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site