¿Por qué es importante desarrollar técnicas para cumplir con la ley federal de protección de datos personales?

Al día de hoy se han multado a 5 empresas y una persona por incumplimiento de la LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de Particulares).Algunos titulares que han sido atendidos por estas empresas o personas se han quejado ante el IFAI y después de una auditoría se identifican irregularidades y se procede a la multa respectiva.

Es muy importante que en toda empresa se revise como se está cumpliendo con dicha ley y se involucre al área de Sistemas o de T.I. (Tecnología de Información) para algo más que para publicar el aviso de privacidad en la web. 9 de cada 10 empresas solo involucran al área de T.I. para esa función y dejan toda la responsabilidad de cumplimiento a su jurídico o a su área de R.H. sin percatarse que el área de T.I. está involucrada en todos los puntos que solicita el reglamento de la LFPDPPP que se cumplan para este año.

En el artículo 61 del reglamento se solicitan 9 puntos para cumplirse en este año: el inventario de datos personales, el perfil del comité, un análisis de riesgos, medidas de seguridad, análisis de brecha, planes de trabajo, planes de auditorías, planes de capacitación y registro de almacenamiento. 

Varias empresas creen que han cumplido con la ley al tener publicado su aviso de privacidad y nada más, pero cuando reciben una auditoría por parte del IFAI se dan cuenta de que no cuentan con lo indispensable para demostrar que se está protegiendo los datos personales almacenados en sus servidores , computadoras u otros activos que almacenan dicha información.El área indicada para identificar los riesgos de dichos activos y sugerir las medidas de seguridad para los mismos es el área de T.I. trabajando de manera conjunta con R.H. y jurídico.

Image description

5 de cada 10 empresas ya cuentan con medidas de seguridad físicas y técnicas para los centros de almacenamiento y procesamiento de datos personales (passwords, controles de acceso, antivirus, cámaras de seguridad, detectores biométricos etc) pero solo dos de esas cinco han realizado auditorías de seguridad o análisis de riesgos que les permite identificar vulnerabilidades de sus redes y accesos y solo una de esas dos cuenta con un plan de recuperación en caso de desastres (DRP) o un plan de continuidad de negocios (BCP) que garantiza la seguridad que se requiere en el manejo de datos personales. 

Por tal motivo es muy importante involucrar y capacitar al personal del área de sistemas en las técnicas para la protección de datos personales de acuerdo a lo que se solicita en la ley y de esta forma cumplir para no ser sancionado.

Autor: Mtro DEC. Jorge Luis Hurtado Murillo.