Seguridad y protección de datos: el marco legal en México

La seguridad es un trabajo constante

El 28 de enero se celebra el Día Internacional de la Protección de Datos Personales, una conmemoración instaurada por la Unión Europea para observar aquellas carencias que aún existen a nivel industrial respecto a este tema. Con el auge de la Big Data como mecanismo fundamental para el conocimiento del comportamiento de los usuarios, la protección de la privacidad de las personas es mucho más sensible.

Existe en México una propuesta llamada Ley de Ciberseguridad, que busca brindar un esquema de acción legal ante los crecientes delitos cibernéticos que nos aquejan. Su mayor meta es poder darle a las empresas —sobre todo a los inversores extranjeros— la confianza de que sus activos (sean físicos o no) se encuentran protegidos por la ley. En un contexto donde cada vez se debate más el uso que las organizaciones dan a los datos de sus usuarios —siendo una base de inteligencia que representa uno de los activos más valiosos de las empresas de tecnología—, es necesario recordar las políticas y el marco legal ya existente relativo a la protección de la información personal.

¿Qué son los datos personales?

Siendo un término tan global y general, los datos personales se pueden entender, en pocas palabras, como toda aquella información que confirma la identidad de una persona, sean: nombre y apellidos, domicilio, teléfono, fecha y lugar de nacimiento, género, preferencias, historial académico, antecedentes laborales, datos financieros, información fiscal, registros médicos y firma. Sin embargo esto se puede ampliar a muchos otros datos biométricos: patrón de pupila, huella dactilar, voz, características físicas, etc... Es decir:

los datos personales son todo aquello que en un nivel cuantificable, confirma tu estatuto como persona en un marco político, económico y social.

Dada la sensibilidad de esta información, el 5 de julio del 2010 se creó la Ley de Protección de Datos, la cual establece marcos de acción para las empresas en lo relativo al tratamiento de la información que, voluntariamente o no, recibe sobre sus usuarios. En este sentido, se suele entender que los datos personales corresponden meramente a personas físicas,

pues las entidades o personas morales son

reguladas bajo otros estatutos.

Responsabilidades de las empresas

La Ley de Protección de Datos establece que hay ocho obligaciones que cada empresa debe tener en su acuerdo de privacidad, las cuales corresponden a:

1. Licitud: el uso que se dé a la información personal debe ser en cumplimiento de la Ley de Protección de Datos, así como cualquier otra legislación pertinente.

2. Consentimiento: cada organización debe obtener el consentimiento explícito de los titulares (es decir, las personas) para el tratamiento de su información, sólo en caso de que esto sea necesario.

3. Información: todo acto relacionado con el tratamiento de la información de la persona debe ser explícito, desde aclarar qué datos se recabarán, hasta las finalidades de éstos.

4. Calidad: el trato de los datos debe obedecer los fines de exactitud y actualidad, según el fin para los que fueron provistos.

5. Finalidad: los datos no pueden ser utilizados para un fin que no haya quedado estipulado desde un inicio.

6. Lealtad: toda información recaudada debe privilegiar los mejores intereses del titular, así como la razón de privacidad de la persona.

7. Proporcionalidad: sólo podrán tratarse los datos personales que resulten necesarios y relevantes.

8. Responsabilidad: la organización tiene la obligación de responder por el trato de los datos que compiló.

Dentro de estas responsabilidades y obligaciones dilucidadas por la Ley de Protección de Datos, se engloban tres requerimientos fundamentales: 1. Contar con un aviso de privacidad, donde se dé a conocer la identidad del responsable por la información, los datos a recabar, el uso que se les dará, los derechos del usuario y las entidades que tendrán acceso a la información.

2. Poseer el consentimiento explícito del titular de la información.

3. Brindarle al usuario acceso a sus derechos ARCO, es decir: acceso, rectificación, cancelación y oposición. Esto también implica que la empresa debe atender las solicitudes de revocación del consentimiento y la limitación del uso de la información por parte de los usuarios.

Ante un mundo hiperconectado se debe abogar por una horizontalidad respecto al tratamiento de la información y, en este sentido, entender aquello que aún hace falta y poder refinar los marcos ya vigentes, con el fin de proteger y brindar confianza a los usuarios. ¿Qué medidas toma tu empresa para proteger el bienestar de su información? Recuerda: nadie es inmune a una vulnerabilidad que ponga en riesgo el bienestar de los activos.