Veritas Online

Opinión

Protección de Datos Personales: Un generador de valor para las organizaciones

Protección de Datos Personales: Un generador de valor para las organizaciones
junio 15
17:30 2016

La falta de cumplimiento de las normas sobre protección de datos personales incrementa el riesgo de vulneraciones, afectando a clientes y la confianza en las organizaciones. Lo cual incrementa el nivel de incertidumbre relativo al cumplimiento de los objetivos estratégicos de la organización y la creación de valor.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) fue promulgada en el año 2010, y hasta el día de hoy un gran número de empresas y personas físicas obligadas a su cumplimiento, no han tomado las acciones eficaces para su cumplimiento. A continuación, se comentan algunas ideas al respecto:

FALTA DE CUMPLIMIENTO EN PROTECCIÓN DE DATOS PERSONALES PUEDE IMPACTAR A LAS ORGANIZACIONES

En los últimos años es evidente encontrar un gran número de eventos que dan muestra de la afectación de las organizaciones por eventos que impactan directamente la Proteccion de Datos personales de sus Clientes, por citar algunos:

  • 2007: Las empresas del grupo TJX hacen público el robo de 45,6 millones de números de tarjetas de débito y crédito, que costó al minorista 256 millones de dólares.
  • 2009: Heartland Payment Systems revela la filtración de 100 millones de registros, por la que el procesador de tarjetas de crédito tuvo que pagar cerca de 140 millones de dólares.
  • 2011: La compañía de publicidad por correo electrónico Epsilon sufre una filtración de millones de nombres y direcciones de correo electrónico de las bases de datos de clientes como Best Buy, Marks & Spencer o Chase Bank. Los costes iniciales de retención y reparación previstos alcanzan los 225 millones de dólares, pero podrían ascender a los 4 000 millones.
  • 2011: Sony Corp. sufre filtraciones que ponen en peligro las cuentas de 100 millones de clientes, con unos costes para la empresa que alcanzan los 2 mil millones de dólares.
  • 2011: Los servidores de Global Payments, empresa procesadora de pagos para Visa, sufren una filtración y dejan al descubierto la información de 7 millones de titulares de tarjetas.
  • A finales de 2012, la red social profesional LinkedIn confirmó un ataque en el que se sustrajeron más de 6 millones de contraseñas de cuentas de usuarios. La compañía pidió a sus clientes cambiar su password y hacerlo también para otros servicios en caso de que usaran el mismo.
  • En diciembre de 2013, el minorista Target informo que sufrió un ataque en cual le fueron robados datos de más de 40 millones de tarjetas de crédito.
  • Octubre del 2013, Adobe reconoce el robo de datos de cuentas bancarias de 38 millones de usuarios.
  • Mayo del 2014, el sitio de comercio electrónico eBay reconoció que un ataque informático, perpetrado entre febrero y marzo del 2014, permitió el robo de más de 145 millones de contraseñas en el mundo y recomendó a todos sus clientes cambiarlas.
  • Octubre del 2014, JP Morgan, el banco más grande de Estados Unidos con base en sus activos, informó en un comunicado de prensa, que un ataque informático vulneró la información de 83 millones de clientes, incluyendo nombres, domicilios, números telefónicos y direcciones de correo electrónico de cerca de 76 millones de hogares y 7 millones de pequeñas empresas.
  • En el año 2015, 169 millones de identidades fueron robadas durante el año 2015, cada 2 segundos se produce un robo de identidad en Estados Unidos.
  • Junio del 2016, la CANIETI informo que únicamente el 13% de los servidores de las organizaciones en Latinoamérica son seguros, y que durante el año 2015 se estima que las pérdidas económicas de organizaciones en México alcanzaron los 3 millones de dólares.
  • Hasta el año 2016, el 97% de las empresas enlistadas en Fortune, 500 han sido hakeadas
  • En el año 2016, los ciberataques aumentan a un ritmo del 48%.

Como se puede observar en los ejemplos anteriores, Las vulneraciones pueden ocurrir en cualquier país, en cualquier momento, y la omisión en el cumplimiento de las normas en Protección de Datos Personales y en seguridad de la información incrementan el riesgo de su ocurrencia, afectando tanto a clientes y consumidores, quienes pierden la confianza y afecta directamente a la imagen de la empresa, lo que repercute y representa importantes pérdidas para las organizaciones, directivos y accionistas, sin dejar de mencionar las multas que pueden ser impuestas:

  • En México, el Instituto Nacional de Trasparencia, Acceso a la Información y Protección de Datos, puede imponer y que logran alcanzar montos superiores en México a los 70 millones de pesos.
  • En la Unión Europea, tras la promulgación del Reglamento Europeo en Protección de Datos, se podrán imponer sanciones a partir del año 2018 de hasta 20 millones de euros o el 4 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.

¿CÓMO LA ORGANIZACIÓN PUEDE IMPLEMENTAR UN MODELO EFICAZ EN PROTECCIÓN DE DATOS PERSONALES?

En términos generales, las acciones que debe de seguir una organización para la Protección de Datos personales pueden resumirse, de la siguiente manera:

  • Efectuar un análisis, que identifique el proceso de tratamiento de datos personales (obtención, uso, almacenamiento y/o resguardo, divulgación y su borrado y cancelación).
  • Designar a un encargado o a un área encargada de Protección de Datos Personales.
  • En caso de ser requerido por la complejidad de la organización, podría ser necesario hasta incorporar un Oficial de Cumplimiento.
  • Establecer la evidencia y formalidades documentales, incluyendo, pero no limitado a los avisos de privacidad (en sus 3 modalidades: integral, simplificado y corto). Es importante tomar en consideración que no basta uno solo, pues las Finalidades de Tratamiento de los datos de un cliente no son las mismas de un colaborador o de otros titulares que requieran tratamiento de datos personales por parte de la organización.
  • Establecer los procedimientos ARCO (Acceso, Rectificación, Cancelación u Oposición) de los titulares.
  • Contar con medio eficaz para la obtención del consentimiento para el Tratamiento de los Datos Personales por parte de los tiulares.
  • Documentar relaciones entre encargados, que prestan servicios de Tratamiento de Datos Personales a la empresa o de los terceros a los que se “comunican” los Datos Personales y que hacen uso de ellos para sus propios fines.
  • Establecer una Política de Privacidad.
  • Establecer las medidas de Seguridad (físicas, administrativas y técnicas).
  • Establecer las medidas de confidencialidad para el tratamiento de datos personales por parte de colaboradores, encargados y/o terceros.
  • Establecer las medidas necesarias para el cumplimiento de los 8 principios rectores establecidos por la Ley y su Reglamento:
    • Principio de Licitud – Se refiere al compromiso que deben asumir los entes privados (personas físicas o morales) que traten tu información cuando solicitas la prestación de un bien o servicio, respetando en todo momento la confianza que depositas en ellos para el buen uso que les darán a los datos.
    • Principio de Consentimiento – Al ser tú el dueño de los datos, este principio te permite decidir de manera informada, libre, inequívoca y específica si quieres compartir tu información con otras personas. Para las empresas que la posean, implica el deber de solicitar tu autorización o consentimiento para que pueda tratar la información que te concierne, sobre todo cuando se trata de datos sensibles que afectan tu esfera más íntima. La Ley exige a las empresas soliciten tu consentimiento de manera expresa y por escrito. Adicionalmente, deberán implementar medidas de seguridad muy estricticas que eviten quebrantar la confidencialidad, integridad y disponibilidad de esos datos.
    • Principio de Calidad – Los datos personales en posesión de empresas deben estar actualizados y reflejar con veracidad la realidad de la información, de tal manera que cualquier inexactitud no te afecte. Asimismo, implica que el tiempo que esa empresa conserve tus datos no debe exceder más allá de lo necesario para el cumplimiento de los fines que justificaron su tratamiento. Cuando se cumpla integramente la finalidad para la cual se proporcionaron los datos, el tratamiento deja de ser necesario y, por lo tanto, las empresas deben cancelarlos.
    • Principio de Información – Se refiere a la potestad que te otorga la Ley de conocer previamente las características esenciales del tratamiento a que serán sometidos los datos personales que proporciones a un ente privado o empresa. En un lenguaje comprensible, las empresas y las personas físicas deben dar a conocer esas características a través del “Aviso de Privacidad”.
    • Principio de Proporcionalidad – Las empresas sólo podrán recabar los datos estrictamente necesarios e indispensables para la finalidad que se persigue y que justifica su tratamiento.
    • Principio de Responsabilidad – Quienes traten datos personales deben asegurar que ya sea dentro o fuera de nuestro país, se cumpla con los principios esenciales de protección de datos personales, comprometiéndose a velar siempre por el cumplimiento de estos principios y a rendir cuentas en caso de incumplimiento.
  • Establecer un Esquema de autorregulación validado y registrado ante el INAI.

Por último, es importante tomar conciencia que la Protección de Datos Personales, no es un proyecto, sino un proceso de constante evolución, que puede modificarse por:

  • El desarrollo de nuevos productos y servicios
  • Se produzcan o surjan vulnerabilidades antes desconocidas o cambios en la organización que requiera modificaciones a los procesos y procedimientos establecidos para el Tratamiento y Protección De Datos Personales.

Lic. Sergio Salom Posselt

Socio Director de Neural Risk

ssalom@neuralrisk.com

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

A %d blogueros les gusta esto: