¿La inacción gubernamental está afectando la protección de datos en México?


Imagen: Zdzisław Beksiński


Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.

En México, existen dos leyes principales que regulan la protección de datos personales:

Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP): Esta ley se aplica a todas las empresas privadas que recolectan, utilizan, almacenan o transmiten datos personales. Su objetivo principal es garantizar la privacidad de las personas y su derecho a la autodeterminación informativa.

Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO): Esta ley se aplica a las entidades públicas (gobierno federal, estatal y municipal) y a algunos particulares que prestan servicios públicos. Su objetivo es similar a la LFPDPPP, pero se enfoca en garantizar la protección de los datos personales en manos del gobierno.

¿Qué son los datos personales?

Los datos personales son cualquier información que permita identificar a una persona, como su nombre, dirección, número de teléfono, correo electrónico, historial médico, preferencias, etc.

¿Qué derechos tienen los titulares de los datos personales?

Los titulares de los datos personales tienen los siguientes derechos:

- Acceso: Conocer qué datos personales tiene una empresa o institución sobre ti.

- Rectificación: Corregir cualquier dato personal que sea inexacto o incompleto.

- Cancelación: Solicitar que se eliminen tus datos personales cuando ya no sean necesarios para los fines para los que fueron recabados.

- Oposición: Oponerse al tratamiento de tus datos personales para fines específicos.
¿Qué obligaciones tienen las empresas y las instituciones?

En este sentido, las empresas y las instituciones tienen la obligación de:

- Informar: Informar a las personas sobre la existencia de un aviso de privacidad que detalle cómo se utilizarán sus datos personales.

- Proteger: Adoptar medidas de seguridad para proteger los datos personales de accesos no autorizados.

- Cumplir: Cumplir con las solicitudes de los titulares de los datos personales en el ejercicio de sus derechos.

¿Qué pasa si se violan estas leyes?

Si una empresa o institución viola estas leyes, puede ser sancionada con multas económicas y otras medidas correctivas. Además, los titulares de los datos personales pueden presentar una queja ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).

Aunque existe un marco legal sólido, su cumplimiento es insuficiente. Muchas empresas y organizaciones no están plenamente conscientes de sus responsabilidades, lo que lleva a una baja adopción de buenas prácticas en la protección de datos. Esta situación se agrava con la creciente digitalización y el uso intensivo de datos personales en diversas industrias.

México cuenta con un marco legal para la protección de datos personales, pero enfrenta desafíos considerables en su implementación y cumplimiento. Esto demanda un esfuerzo adicional tanto por parte de las autoridades como de las entidades que gestionan datos personales.

En este caso ¿qué podemos hacer?

Mientras aguardamos una respuesta más efectiva por parte del gobierno en materia de protección de datos, es crucial que las empresas implementen una estrategia de privacidad integral que aborde el nivel de variabilidad y cambio constante.

Primero, las organizaciones deben mapear e inventariar sus datos para comprender qué información poseen. Este proceso permite visualizar, contextualizar y priorizar los riesgos de manera más efectiva. Conociendo los datos que tienen, no solo pueden gestionar los riesgos actuales de cumplimiento de la privacidad, sino también prepararse mejor para nuevos requisitos. Por ejemplo, los mapas de datos facilitan la identificación de flujos de información y el análisis de dónde se comparten los datos, lo cual es esencial para evaluar los riesgos asociados con terceros.

Además de prepararse para las leyes de privacidad vigentes y futuras, este enfoque permite a las organizaciones identificar sus flujos de datos, reduciendo así la exposición al riesgo y mejorando la comprensión sobre la distribución de su información.

En segundo lugar, las empresas deben considerar cómo implementar las áreas prioritarias dentro de su operación. Esto puede lograrse mediante la capacitación de defensores de la privacidad y la adopción de tecnología para automatizar el cumplimiento de las normativas de privacidad, como la implementación de un programa de evaluaciones que permita comprender mejor el impacto relacionado con los datos. En algunos estados, las empresas que manejan datos de alto riesgo, como aquellos destinados a la venta o la publicidad dirigida, pueden estar obligadas a adoptar estas prácticas.

Incluso si no es un requisito obligatorio, aplicar estas medidas es una buena práctica para asegurar que los datos se manejen conforme a las expectativas de los consumidores. Utilizar los mapas de datos mencionados anteriormente y automatizar el proceso de evaluaciones puede ayudar a las empresas a cumplir con sus obligaciones y prepararse proactivamente para futuras necesidades.

En tercer lugar, las empresas deben tomar medidas para evaluar mejor el riesgo asociado con su cadena de suministro. Es fundamental preguntarse si se necesita reducir la cantidad de datos compartidos, si los proveedores son confiables y si cumplen con las leyes de privacidad. Comprender su huella digital no solo mejora la gestión del riesgo de privacidad, sino que también ofrece otros beneficios. Cuanto menos datos se compartan, menor será el riesgo de comprometer la información en caso de que un proveedor sea vulnerable.

Dado el aumento de las amenazas cibernéticas y las infracciones frecuentes, este es un problema común para las organizaciones. La gestión proactiva de un programa de privacidad y la colaboración con los equipos de privacidad para proteger los datos de manera integral son esenciales para cumplir con los requisitos actuales y mitigar los riesgos.

Para mayor información, visite: https://www.silikn.com/