Asuntos Relv Protec Datos

8/17/2019 Asuntos Relv Protec Datos

1/16

Marzo de 2011

Asuntos relevantessobre Protección de

Datos Personalespara 2011Los retos que enfrentan los programas dePrivacidad de la Información en un mundosin fronteras.


2/16

• Reglamentos, leyes y ejecución. Históricamente, la definición y aplicación de leyes

de protección de datos en diferentes países ha sido heterogénea o no ha existido.Los organismos reguladores actuales han tomado acción al respecto, al buscar definircriterios homologados, abarcar geografías más amplias en la definición de leyes eimponer sanciones más estrictas. La madurez sobre este tema continuará dándose apasos cada vez más acelerados.

• Requisitos adicionales para las notificaciones de vulneración a las medidas de seguridad.

Los gobiernos alrededor del mundo elaboran y adoptan leyes que incluyen la notificacióna los afectados, así como las vulneraciones a las medidas de seguridad. Las organizacionesdeben adaptarse de acuerdo con su industria y en las jurisdicciones en donde operan.

• Iniciativas de gobierno, riesgo y cumplimiento (GRC). Las organizaciones amplían las

iniciativas de GRC para amalgamarlas con el gobierno y mejorar el desempeñodel negocio por medio de la administración de riesgos. En la actualidad, hay un número

limitado de tecnologías GRC disponibles, pero van en aumento. En 2011, veremos a lasfirmas de tecnología producir y actualizar los módulos que buscan abordar el monitoreode las medidas de protección de datos adoptadas.

• Cómputo en nube. Las organizaciones que cambian sus procesos de negocio hacia

un entorno de cómputo en nube deben tener un modelo de administración de riesgosde proveedores y de manejo de relaciones con terceros robusto y que incluya temasespecíficos de protección de datos personales.

• Dispositivos móviles. Medios portátiles implican información personal portátil. Tanto

las organizaciones como sus colaboradores deben comprender y respetar el poder, laslimitaciones y los controles técnicos de los dispositivos móviles.

• Aumento en las inversiones. Las organizaciones aumentan sus inversiones en gobierno

corporativo y en herramientas que ayudan a administrar la privacidad de la informacióny la protección de datos, debido en parte a los reglamentos que han surgido, perotambién porque los riesgos relacionados se han incrementado.

• Más evaluaciones de protección de datos. Consulte a los departamentos de auditoría

interna para identificar las partes específicas de sus organizaciones que requierenauditorías de protección de datos más profundas y evaluaciones más exigentes.

• Normas de presentación de información de los proveedores de servicios. Los cambios

que entran en vigor en 2011 en la Declaración número 70 sobre Estándares deAuditoría, comúnmente conocida como SAS 70 (SAS, por sus siglas en inglés),le permitirá a los proveedores de servicios obtener un informe sobre el cumplimiento ycontrol de la privacidad de la información y la protección de datos.

•

Privacidad por Diseño. La Privacidad por Diseño ha pasado de ser un concepto aconvertirse en un componente esencial de la protección de datos, e indica quelos organismos reguladores reconocen la importancia de integrar desde el principiola privacidad en las nuevas tecnologías y prácticas de negocio.

• Redes sociales. Las organizaciones deben elaborar y comunicar políticas de protección

de datos bien pensadas que aborden las interacciones entre los clientes, colaboradoresy candidatos a posiciones vacantes en las redes sociales.

• Expectativas cambiantes de los profesionales de la privacidad. Las certificaciones

personales se vuelven cada vez más especializadas, lo cual permite que las personasse certifiquen en áreas enfocadas como seguridad de la información, regulación

jurisdiccional, TI o por sector industrial.

Resumen de los asuntos relevantes


3/16

Ernst & Young - México

Introducción

Durante años, las fronteras fijas establecidas a través de las

cuatro paredes de una oficina que resguardaba los centros deprocesamiento de datos han favorecido que las compañías intentenadministrar la protección de los datos que custodian. Pero en estaera en la que se puede acceder a la información en el momento quesea y en cualquier lugar, estas fronteras tradicionales desaparecen.Es un mundo nuevo, uno impulsado por la tecnología, siempreconectado, globalmente extendido y que va más allá del alcance delos enfoques convencionales de protección de datos.

En los resultados de nuestra más reciente Encuesta Global deSeguridad de la Información puede verse que 81% de los ejecutivosentrevistados señalan que proteger los datos personales se haconvertido en un asunto que va de importante a sumamenteimportante para su organización. Esto no resulta sorprendente, ya

que los incidentes ampliamente divulgados de fuga de datos o robode identidad representan riesgos considerables para la marca yreputación de los negocios, y es un tema que en la misma encuestarecibió también una gran atención.

En México, la atención al tema de protección de datos personalesha ido en aumento. No debemos olvidar que en 2010 se promulgóla Ley Federal de Protección de Datos Personales en Posesiónde los Particulares (LFPDPPP) y hoy en cada organización queestá sujeta a cumplimiento con esta ley deberían ejecutarse lasacciones iniciales para cumplir con lo que en ella se especifica, yaque sus plazos de cumplimiento señalan claramente dos momentosimportantes: julio de 2011 y enero de 2012. No atenderla puedellevar a enfrentar sanciones importantes.

Un tema pendiente en relación con la LFPDPPP es la emisión desu reglamento, mismo que se espera a más tardar para julio deeste año. Al momento de liberar esta publicación, ha comenzado acircular una primera versión del borrador de este documento y, enconjunto con nuestra experiencia, creemos que lo que la comunidadempresarial mexicana debe esperar al respecto es:

• Una autoridad (Instituto Federal de Acceso a la Informacióny Protección de Datos, IFAI), robustecida por asignacionespresupuestarias y por la facultad para establecer delegacionesregionales que extiendan su presencia, así como por laautorización para apoyarse en verificadores privados querefuercen su competencia.

•

Un fuerte impulso a los modelos de autorregulación, quefacilitarán el cumplimiento con lo dispuesto por la LFPDPPP.• Una mayor interacción de México con autoridades regulatorias

internacionales en materia de protección de datos.• Un mayor apoyo al desarrollo de especialistas en temas de

protección de datos personales.• Un detalle más preciso en la definición de: o Principios de la LFPDPPP. o Mecanismos de mediación y conciliación. o Conceptos generales como: dato personal, dato financiero o

patrimonial, bases de datos y los elementos que constituyen laesfera más íntima del titular.

o Recomendaciones para la construcción de los avisos deprivacidad y posibilidad de utilizar herramientas de audio yvideo en su definición.

• Una sugerencia más precisa en la conceptualización de:

o El mecanismo de comunicación a los titulares sobre lavulneración de bases de datos.

o El diseño de los procedimientos de ejercicio de derechos yprotección de derechos.

Como resultado de lo anterior, en México y en el mundo lasorganizaciones incrementan el monto de sus inversiones enprotección de datos personales, con la intención de responder coneficacia a dos temas particulares: los requerimientos regulatoriosespecíficos en la materia y la creciente ola de riesgos relacionadoscon la protección de datos personales. Sin embargo, la preguntaes: ¿invierten correctamente? Debido a que ciertas áreas de laeconomía global aún están en vías de recuperación, los ejecutivosmantienen esa cuestión sobre la mesa mientras buscan el equilibrio

entre invertir en la protección de datos personales y asumir losniveles adecuados de riesgos para administrar los costos.

Ante esta incertidumbre, lo que sí es seguro es que el tiempo siguepasando y los compromisos de cumplimiento acortan sus plazos.En el caso de México lo hemos comentado ya, julio de 2011 y enerode 2012 traen consigo las primeras obligaciones de cumplimientocon la LFPDPPP. No deje que pase más tiempo sin tomar acción;además, considere que los avances tecnológicos seguirán su cursoacelerado y las organizaciones, incluida la suya, necesitan estar listas.

Mientras que los gobiernos refuerzan los reglamentos y suaplicación, la protección de datos personales necesita de unaarmonización global que, aunque ha madurado, hoy todavía

no tenemos, porque existe en la actualidad un mosaico decumplimientos con niveles de consistencia y armonización contrarecomendaciones internacionales que varía de acuerdo con el paísy de una industria a otra.

Las organizaciones no pueden esperar hasta que los organismosreglamentarios mundiales lleguen a un consenso. Debentomar acción en estos momentos para elaborar e implantarproactivamente estrategias de protección de datos personalesen toda la empresa, mientras cuidan que estos concuerden conel perfil de riesgo de la organización. Al basarse en sus propiasnecesidades en la definición de las estrategias de protección dedatos personales para impulsar el cumplimiento con regulaciones yno al revés, las organizaciones podrán cumplir con las necesidades

actuales y también anticipar los retos del mañana.


4/16

Reglamentos, leyes y su aplicación

Preguntas a considerar• ¿Se ha mantenido al tanto sobre los reglamentos que afectan a su industria específica

y sobre los datos personales a los que su organización les da tratamiento?• ¿Ya verificó si cambió la regulación en materia de protección de datos personales en

la(s) jurisdicción(es) en donde opera?• ¿Ha realizado un diagnóstico de cumplimiento de su organización con las diversas

regulaciones que en materia de protección de datos personales debe atender?

2 Asuntos relevantes sobre Protección de Datos Personales para 2011

A lo largo de la historia, el cumplimiento de las leyes deprotección de datos personales se ha visto afectado por la falta defuerza. Sin embargo, los reguladores en la actualidad pretendencambiar esto al ampliar su alcance e imponer sanciones másestrictas. La ley de Tecnologías de la Información para la SaludEconómica y Clínica (la Ley HITECH, por sus siglas en inglés)de 2009 es un ejemplo. Bajo ésta, los fiscales generales puedeninvestigar y tomar acciones contra aquellas organizaciones queno resguardan de forma adecuada la información de salud. Otroejemplo es la LFPDPPP en México; basta ver las sanciones que suincumplimiento puede acarrear a las organizaciones para darsecuenta que es una disposición regulatoria con fuerza propia.

Veremos también que 2011 traerá consigo una perspectiva másclara y detallada sobre las disposiciones de los reglamentos queabordan el ambiente en línea que se tiene en muchos países.En la UE, la Comisión Europea se encuentra en proceso deactualizar la Directiva de Protección de Datos de la UE de 1995.Los planes para fortalecer su aplicación incluyen ayudar a lasautoridades de protección de datos a investigar y demandar a

las organizaciones que no cumplan, y a mejorar la cooperacióny coordinación entre las naciones integrantes. En anticipacióna la publicación de nuevos reglamentos bajo la Directiva deProtección de Datos de la UE, varios países de la región se handedicado a intensificar las políticas de aplicación existentes. La LFPDPPP le ha servido a México, un destino de outsourcing importante, para unirse a otros 50 países en la adopción de unaamplia y moderna regulación de privacidad que esté enfocada alsector privado. La LFPDPPP afectará a organizaciones mexicanaslocales, pero también a muchas compañías internacionales conpresencia en este país.

De igual forma, la UE determinó que las leyes de protección dedatos de Israel, un destino importante de outsourcing para la UE,ofrecían un “nivel adecuado de protección de datos” en relacióncon la Directiva de Protección de Datos de la UE. Esta designaciónimplica que los datos compartidos entre la UE e Israel ahorapueden intercambiarse con mayor libertad.


5/16

Obligaciones adicionales en materia denotificaciones de vulneración

Preguntas a considerar• ¿Ha creado e implantado un plan de respuesta a incidentes para manejar los

casos de vulneración a la protección de datos personales?• ¿Ha identificado las obligacion es relevantes en cuanto a las notificaciones de

vulneración en la industria y jurisdicción(es) en donde opera?• ¿Ha considerado la posibilidad de adoptar una herramienta de DLP o de

utilizar servicios de DLP para monitorear la red de su organización en cuantoa posibles pérdidas de datos personales?

3Ernst & Young - México

Las notificaciones de vulneración a la protección de datospersonales van más allá del mero cumplimiento reglamentario. Seenfocan en la transparencia, la cual ha alterado considerablementela forma en que las organizaciones abordan la protecciónde datos personales. El hecho de no presentar este tipo denotificaciones ha provocado daños reputacionales y ha atraídola atención de los reguladores. En EE.UU., muchos estadosadoptaron las obligaciones en cuanto a las notificaciones devulneración que generalmente se enfocan en los identificadoressensibles y financieros. La Ley HITECH presentó obligacionessimilares para la información de salud protegida. Y mientras queEE.UU. ha adoptado anticipadamente las obligaciones de las

notificaciones de vulneración, estos tiposde obligaciones cobran cada vez más importancia en otraspartes del mundo.

En México, la LFPDPPP especifica en su artículo 20 que lasvulneraciones de seguridad ocurridas en cualquier fase deltratamiento de datos personales y que afecten de formasignificativa los derechos patrimoniales o morales de los titularesdeberán ser informadas inmediatamente por el responsable altitular, a fin que este último tome las medidas pertinentes en ladefensa de sus derechos. Se espera que el reglamento traigamayor precisión en los mecanismos presentados por el artículo 20.

En Canadá, una enmienda a la Ley de Protección de la

Información Personal y de Documentos Electrónicos (PIPEDA,por sus siglas en inglés) se empieza a integrar en el procesoreglamentario e incluye obligaciones de notificaciones devulneración. En la UE, un reglamento de notificacionesde vulneración para la industria de telecomunicaciones entraráen vigor en 2011. Además, se espera que la revisión de la UE dela Directiva de Protección de Datos resulte en obligaciones denotificación para todos los países integrantes de la UE. Algunospaíses de la UE incluyen sus propias disposiciones para lasnotificaciones de vulneración. Por ejemplo, en el Reino Unido losreguladores crean una ley que obligará a las organizacionesa reconocer públicamente ante los reguladores cualquierincumplimiento en materia de datos y a informar a laspartes afectadas.

En Asia, Japón encabeza estos esfuerzos a través de lasobligaciones en cuanto a las notificaciones de vulneración quehan existido durante varios años. Al igual que con EE.UU., el

gasto relacionado con dichas vulneraciones puede conllevar auna cantidad considerable de gastos directos e indirectos para lasorganizaciones que operan en dicho país. El tema relacionado con las notificaciones de vulneración nopuede abordarse sin que surja la inquietud de la “amenazainterna”. Cada vez más, las personas autorizadas para accedery utilizar la información se encuentran en el centro de losincidentes más destacados. Este mal uso de los datos personalespodría atribuirse a una falta de conciencia o a actos de intencióndolosa. La capacitación y concientización son clave para abordarla revelación no intencional de información. Los controles

técnicos, como las herramientas para monitorear el tráficode información, pueden ser sumamente útiles al momento deabordar los casos más dolosos.

Las herramientas de prevención de pérdida de datos (DLP, porsus siglas en inglés) también pueden ayudar a monitorear lafuga de datos intencional o no intencional que surge dentro deuna organización. En 2011, aumentará la popularidad de dichasherramientas a medida que las instituciones busquen un controltécnico para limitar su exposición a los casos de vulneración. Sinembargo, para lograr un monitoreo eficaz de los datos personalesy evitar que se pierdan, no bastará con solo adquirir herramientasde DLP. Para adoptarlas, es necesario considerar la política quedeterminará el grado en que se implementarán(por ejemplo,

para detener una posible fuga o simplemente reportarla parainvestigarla más adelante) así como un apoyo interfuncional delliderazgo y contar con el personal necesario y entrenado paraimplantarlo y operarlo.

Al margen de la jurisdicción, las organizaciones tienen queadaptarse a las nuevas obligaciones relacionadas con lasnotificaciones de vulneración. Sin importar su grado dedependencia sobre los controles técnicos para evitar la pérdidade datos personales, las organizaciones deben contar conprogramas eficaces para detectar, abordar y resolver los casosde vulneración. También deben contar con planes de respuestaa incidentes que incluyan mecanismos de comunicación abiertosy transparentes para informar a las partes afectadas cuando sus

datos se han visto comprometidos.


6/16


Preguntas a considerar• ¿Ha tomado en cuenta enfoques diferentes para monitorear los aspectos

clave de su programa de protección de datos personales de manera continua?

• ¿Ha evaluado soluciones de GRC que ofrecen una amplia gama de áreas para

monitoreo, incluyendo protección de datos personales?

• ¿Le ha solicitado módulos actualizados a su proveedor de GRC actual para

poder monitorear el riesgo y cumplimiento relacionados con el tratamiento dedatos personales?

Iniciativas de gobierno, riesgo y cumplimiento (GRC)

Las organizaciones han hecho inversiones considerablesen las iniciativas de GRC durante años. Pero tras la peor crisiseconómica desde la Gran Depresión, algunos informes señalanque las instituciones financieras por sí solas gastaban hasta 100mil millones de dólares para mitigar los riesgos en 2010.

En una encuesta de Ernst & Young de 20101, de 567organizaciones en Europa, Medio Oriente, India y África, 69% delos participantes señalaron que dependen considerablementede sus actividades de GRC como medida preventiva contra elfracaso. Sin embargo, 67% de los encuestados señalan que serequieren mayores esfuerzos para mejorar sus funciones de GRC.

Desde una perspectiva tecnológica, el mercado para lasherramientas de GRC crece y ofrece soluciones de administraciónde riesgos, y más específicamente, soluciones para administrarla protección de datos personales. En 2009 y 2010, las grandescompañías de tecnología ingresaron al mercado de GRC. Noobstante, pocos proveedores ofrecen una solución integral deGRC, y aún menos tienen en su portafolio módulos sofisticadoso de uso fácil para la administración de protección de datospersonales. Esto se debe en parte a la naturaleza compleja de lasobligaciones, y también a las dificultades que implica automatizarlas actualizaciones clave relacionadas con la protección de datospersonales. Pero mientras las grandes firmas de tecnología deGRC aún aprenden sobre la administración de protección de

datos personales, algunas compañías de software especializadas,al considerar que hay una necesidad que debe satisfacerse,ingresan al mercado. Estas compañías más pequeñas buscanformas de automatizar el mapeo reglamentario y de políticas asícomo la incorporación de un marco que favorezca la integración

del cumplimiento y las evaluaciones de riesgo. En 2011,esperamos que las firmas de tecnología grandes y pequeñaselaboren nuevos módulos que integren la protección de datospersonales al monitoreo de controles de mejor forma.

Sin embargo, las herramientas de GRC no deben considerarseuna solución unidimensional para administrar los riesgos. Amenudo las organizaciones deben transformar por completo susfunciones de riesgo para lograr una implantación exitosa de estasherramientas. En 2011, esperamos ver que las organizacionesprogresivas adopten un enfoque integrado que alinee los riesgosy los objetivos de negocio estratégicos. Esto significa modificar

las inversiones de GRC para enfocarse en los riesgos importantes,e identificar las redundancias en los controles de cumplimientodentro de la misma empresa. Al partir de este punto, lasorganizaciones posiblemente querrán considerar la convergenciadel cumplimiento, la cual optimiza los controles de formahorizontal en lugar de vertical dentro de la organización.

La convergencia de las actividades de control disminuirá lafatiga de las funciones de auditoría y la presión que ejercen lasauditorías repetidas sobre los recursos. También podría ofreceruna eficiencia en costos tan buscada por las organizaciones quecuidan sus presupuestos.

A medida que las organizaciones trabajen para implementar

un programa de transformación de riesgos para mejorar sudesempeño en materia de GRC, los profesionales de privacidaddeben asegurar que las inquietudes en torno a la protecciónde datos personales sean una de las más altas prioridadespara los líderes de riesgos y una parte integral de cualquiersolución de GRC.

1 The multi-billion dollar black hole — Is your governance, risk and compliance investment being sucked in? , encuesta deErnst & Young a 567 compañías en Europa, Medio Oriente, India y África, realizada durante el segundo trimestre de 2010.


7/16


Preguntas a considerar• ¿Ha realizado una revisión basada en riesgos de los procesos de negocio y los datos personales

relacionados que se requieren antes de poder trasladarse a un entorno de cómputo en nube, asícomo de los diversos niveles de protección y control que requieren?

• ¿Ha revisado las restricciones contractuales y reglamentarias que podrían existir al trabajar conun proveedor de cómputo en nube, incluidas las preguntas en torno a la ubicación geográfica,retención de datos y seguridad?

• ¿Ha analizado su capacidad para monitorear qué tanto se apegan sus proveedores de cómputoen nube a los términos estipulados en los acuerdos celebrados entre ustedes, incluidos aquellos enmateria de protección de datos personales?

Cómputo en nube

Aunque aumenta la popularidad del cómputo en nube, muchasorganizaciones aún tienen dudas con respecto a los riesgosde protección de datos y seguridad que implican trabajar con losproveedores de estos servicios. En nuestra más reciente ediciónde la Encuesta Global de Seguridad de la Información, el análisisde resultados mundiales nos muestra que solamente 23% de losparticipantes utiliza soluciones de entrega basadas en cómputoen nube; 55% señala que no tiene planes de utilizar cómputo en

nube durante los próximos 12 meses. Sin embargo, de acuerdocon Gartner, esto cambiará rápidamente de 2010 a 2014, ya quemenos de 10% de las compañías considerará que los temas deprivacidad serán una razón para no utilizar el cómputo en nube2.

Los atractivos más notables del cómputo en nube son el costoy la flexibilidad. Mientras algunas economías globales luchanpor recuperarse, las organizaciones buscan nuevas formasde optimizar las operaciones y ahorrar dinero. El cómputo ennube puede reducir los costos considerablemente. Resultaespecialmente atractivo para las compañías pequeñas y medianasque deciden utilizarlo para mantener su competitividad.

Pero utilizar el cómputo en nube implica responsabilidades. Lasorganizaciones deben contar con una administración de riesgosde proveedores robusta, incluidas habilidades de presentación deinformación de terceros que aborden los riesgos de protecciónde datos personales. Por ejemplo, los servicios de cómputo ennube localizados en diferentes geografías representan desafíosreglamentarios debido a que la información personal se difunde através de esas jurisdicciones.

En EE.UU., actualmente es más fácil requerir por la vía de unrequerimiento regulatorio que se libere o revele informaciónmientras la tiene en resguardo un tercero (como un proveedor decómputo en nube) que si la tiene el mismo dueño. Y hay ciertasleyes como la Ley PATRIOT, la cual permite que para ciertos finesespecíficos el gobierno obtenga acceso a datos personales enmanos de un proveedor de cómputo en nube sin que lo sepa eldueño de la información o la persona afectada.

Además, conforme más compañías opten por utilizar servicios deproveedores de cómputo en nube en 2011, con mayor frecuencianecesitarán comprender con claridad sus propios requerimientosen materia de protección de datos personales a fin de podercomunicárselas adecuadamente a su proveedor.

Antes de trasladar datos a la nube, las organizaciones debenanalizar sus datos y elaborar políticas que aborden los riesgosrelacionados tanto con los datos sensibles como con los requisitosreglamentarios. Las políticas deben abordar qué tan rápido elproveedor de cómputo en nube debe notificar a la organizaciónde una vulneración a la seguridad, para que la organizaciónpueda notificar a los organismos reglamentarios relevantes ya las personas afectadas. Las organizaciones también querránaclarar temas como la aplicación de sanciones, los periodos deretención –en dónde los datos pueden o no pueden transferirse–,el acceso a los datos por parte de los administradores de la nubey la capacidad de otros de acceder a los datos para fines deinvestigación de mercado u otras actividades secundarias.

“El cómputo en nube tiene un enorme potencial social y económico. Puede ayudar a las compañías a ahorrar dinero

y crear empleos. Puede aumentar la eficiencia entre los gobiernos y así servir mejor a sus ciudadanos. Asimismo,

puede apoyar a las escuelas para educar mejor a sus alumnos. Sin embargo, muchos clientes potenciales consideran a

las inquietudes en torno a la privacidad un impedimento considerable en la adopción de la computación en nube. Para

poder asegurar que la sociedad maximice los beneficios de la computación en nube, es muy importante eliminar las

barreras en torno a la privacidad. Los proveedores de servicios de computación en nube pueden dar un primer paso al

fomentar la confianza de sus clientes en estos servicios. Esto pueden hacerlo al mostrar un respeto inherente por la

privacidad que se refleje en prácticas de negocio transparentes y un compromiso con la responsabilidad”.

Brendon Lynch, Chief Privacy Officer, Microsoft

2 “Predicts 2011: Enterprises Should Not Wait to Find Solutions for Business-Critical Privacy Issues”, Gartner,8 de noviembre de 2010, © 2010 Gartner, Inc. y/o sus Afiliados.


8/16


Preguntas a considerar• ¿Ha considerado tanto las ventajas como los riesgos de utilizar información de

geolocalización para dispositivos móviles en sus operaciones?• ¿Ha evaluado el nivel de cifrado (o la combinación de niveles) que se requiere para

proteger los datos personales en los ambientes de trabajo comunes de su organización?• ¿Ha revisado sus políticas de privacidad recientemente a raíz del uso de dispositivos

móviles por parte de su organización?

Dispositivos móviles

Computadoras portátiles, celulares, teléfonos inteligentes yminicomputadoras: en el mundo inalámbrico de hoy, hay unagran variedad de dispositivos móviles que los colaboradores desu organización, clientes y proveedores pueden utilizar paramantenerse conectados a sus bases de datos sin tener queponer un pie en su oficina. Esta clase de movilidad le ofreceenormes oportunidades a las organizaciones de aumentar suproductividad. Pero hay ciertos riesgos. Los medios portátilesconducen a información personal portátil. En 2011, prevemosque habrá más reglamentos que aborden directamente eltema de la protección de datos personales en los dispositivosmóviles, y de la información sensible revelada por el rastreo de

geolocalización de éstos.

GeolocalizaciónCada vez más, los avances tecnológicos les permiten a lasorganizaciones identificar la ubicación física de un dispositivo, asícomo la de la persona que lo utiliza. En términos de protecciónde datos personales, las organizaciones deben saber en dóndeponer límites en cuanto al uso de datos de localización.

A nivel del personal, las organizaciones pueden llevar un controlde sus colaboradores al comparar en dónde se encuentran en undeterminado momento contra el lugar en donde deberían estar. Anivel de clientes, las organizaciones pueden ofrecer programas demercadotecnia que estén basados en sus ubicaciones inmediatas.

Si la empresa decide utilizar la ubicación física para rastrear a suscolaboradores o tener listas para sus clientes ofertas especiales,la transparencia es de suma importancia. Los colaboradoresdeben conocer las políticas en torno a la geolocalización ylas herramientas de las que podrían disponer para protegersu privacidad al decidir cuánta información comparten en eldispositivo. Los clientes deben tener la oportunidad de dar suautorización antes de dejar que las organizaciones rastreensu ubicación. El consentimiento es muy importante.

CifradoTrasladar los datos implica entender y apegarse a los reglamentosde privacidad estatales, federales e internacionales que variaránde una jurisdicción a otra. Algunos le ponen énfasis al cifrado dedatos personales en los dispositivos móviles (por ejemplo, elestado de Massachusetts en EE.UU.). Pero en la mayoría de loscasos, el cifrado del disco duro solamente resulta útil cuando eldispositivo móvil se extravía o es robado y cuando está en modo“apagado” o de “hibernación”. No protege contra los hackers,ni protege la información que se respalda. El cifrado es unaherramienta eficaz para proteger algunos datos, pero no evita losataques y tal vez no aborda los principales riesgos de seguridad

de su organización.

Capacitación y transparenciaLos beneficios que representa para las organizaciones y para suscolaboradores el hecho de poder trabajar en diferentes lugaresy en diferentes husos horarios (piense en el trabajo a distancia)trae consigo mayores responsabilidades en cuanto a protegerla información personal que sus colaboradores utilizan parahacer su trabajo. Las organizaciones y sus colaboradores debencomprender y respetar las limitaciones y los controles técnicosde los dispositivos móviles. Cuando ellos utilizan dispositivospersonales para el trabajo, las organizaciones podrán aplicarcontroles técnicos (por ejemplo, solicitar la descarga de ciertasconfiguraciones de base antes de permitir que se conecte un

dispositivo móvil a la red de la firma) que ofrezcan visibilidad adiversos contenidos y actividades en dichos dispositivos.Sin embargo, ¿en dónde deben poner límites las organizacionesen términos de las violaciones a la privacidad personal? Lasorganizaciones deben asegurarse de que cuentan con políticasespecíficas en cuanto al uso de cada dispositivo móvil asignado,y en cuanto al grado en que se podrá monitorear los dispositivosmóviles utilizados para fines de trabajo. Las organizacionesdeben comunicar claramente a sus colaboradores la informaciónque se monitorea, la forma en que se hace y las consecuencias deno apegarse a las políticas para el uso de dispositivos móviles.


9/16


Preguntas a considerar• ¿Ha evaluado sus necesidades de presupuesto ante el panorama cambiante de riesgo y cumplimiento?• ¿Ha revisado las posturas necesarias para un gobierno eficaz en cuanto a sus actividades

de privacidad y protección de datos personales?• ¿Ha consultado a los profesionales de privacidad de su organización en cuanto a la inversión en

tecnología para monitorear el tratamiento (y posible abuso) de datos personales?

Aumento en las inversiones

Las organizaciones entienden la importancia de la protección dedatos personales y aumentan sus inversiones en esta materiadebido en parte a los reglamentos, pero también por el aumentoen los riesgos. En 2011, se incrementarán y enfocarán en doscuestiones: iniciativas de programas y controles técnicos.

Las organizaciones una vez más revisarán sus estructurasde gobierno con una lupa de seguridad de la información yprotección de datos personales, incluidas políticas actualizadas,nuevos procedimientos y programas de concientización; porconsiguiente, reclutarán talentos. Como reacción ante lacrisis económica global, muchas compañías disminuyeron sus

posturas de cumplimiento y administración de riesgos. Conformeempiecen a recuperarse económicamente, y conforme aumentenlos riesgos en materia de protección de datos personales,volverán a invertir en las posturas relacionadas. El aumento enel uso de herramientas de privacidad –como las soluciones de

DLP– también requerirá que se cuente con personal suficientey competente para monitorear y responder las alertas detecnología. Por lo que corresponde a controles técnicos, para 2011esperamos ver más inversiones debido a que las organizacionesdependen más de éstos para administrar el tratamiento de losdatos personales. Rastrear la web –con la administración deriesgos de reputación y marca en mente– es otra área en laque invertirán las organizaciones en 2011, a medida que suscolaboradores y clientes interactúen cada vez más con otrasentidades, productos y servicios. Además de las tecnologías de

GRC y DLP mencionadas con anterioridad, las organizacionesinvertirán en soluciones de monitoreo para identificar actividadesinadecuadas por parte de quienes tienen alguna responsabilidaden el tratamiento de datos personales.

“En el sector de servicios de asistencia médica, la privacidad se remonta a miles de años con el Juramento

Hipocrático. Incluso en aquel entonces dicha profesión sabía que para poder brindarles asistencia médica a las

personas, las interacciones entre el médico y paciente debían ser confidenciales. La privacidad fomenta la confianza,

y ésta es la parte central al brindar asistencia médica. Si no existe, puede haber consecuencias negativas para la salud

del paciente, ya que posiblemente no busque el tratamiento que necesita.

A diferencia de otras industrias, en donde se puede compensar a una persona después de haber sido afectada por

un incidente de vulneración, en el sector de servicios de asistencia médica no se puede compensar a alguien por una

afectación irreversible a su privacidad. La confianza se pierde.

Históricamente, esta industria se ha enfocado en el cumplimiento reglamentario. La noción de la seguridad como una

disciplina independiente del cumplimiento aún es relativamente nueva. Pero a medida que los servicios de asistencia

médica dependan más de la tecnología de la información como medio para brindar la asistencia, la seguridad debe

incluir más que solo unos lineamientos básicos sobre el tamaño de la contraseña y sobre no compartir información de

forma inadecuada.

El hecho de depender cada vez más de la tecnología de la información expone a la industria de servicios de asistencia

médica a nuevos riesgos que van más allá de los que tradicionalmente la acompañan. Las nuevas y rápidamente

cambiantes tecnologías también han aumentado los riesgos en el sentido que una vulneración ahora puede involucrar

miles de expedientes. Adaptarse continuamente a las diferentes amenazas y desarrollar las tecnologías para

administrar los riesgos y asegurar la privacidad del paciente son los retos que enfrentamos en el campo de servicios de

asistencia médica”.

Patrick Heim, Chief Information Security Officer, Kaiser Permanente


10/16


Preguntas a considerar• ¿Hay, o debería haber, auditorías internas de privacidad planeadas para 2011?• ¿El grupo de auditoría interna de su organización tiene acceso a una capacitación profesional sobre

los riesgos de privacidad o protección de datos personales?•¿Ha revisado los GAPP y su posible uso para evaluar y elaborar su programa de privacidad?

Más evaluaciones de privacidad

Proteger datos personales debe ser un objetivo permanentepara las organizaciones. A los auditores internos constantementese les pide que identifiquen y evalúen los controles para reducirlos riesgos de vulneraciones en materia de datos. De acuerdocon la más reciente edición de nuestra Encuesta Global deSeguridad de la Información, 54% de los participantes a nivelglobal emplean la auditoría interna para probar los controles dela fuga de información sensible. En 2011, prevemos que estenúmero aumentará.

En el pasado, las auditorías internas han tenido un enfoqueconsiderablemente amplio. En el futuro, estos departamentos

identificarán áreas específicas de sus organizaciones pararealizar auditorías de privacidad más detalladas. Esto podríaincluir analizar la eficacia del monitoreo de la posible revelaciónde datos personales. Las inquietudes en torno a posiblesabusos en el tratamiento de datos personales por parte de loscolaboradores de una organización, ya sea intencional o nointencional, convierten a la privacidad en un área de riesgo que laauditoría interna no puede ignorar. Dichas auditorías se enfocanen el empleo eficaz de controles técnicos para monitorear lasactividades y el uso de datos personales en las bases de datos yred de la organización.

También se deberán realizar auditorías de orientación ycapacitación, ya que los incidentes relacionados con tratamientosinadecuados de datos personales podrían deberse a ignorancia ofalta de conciencia en lugar de una intención real de causar daño.

Los Principios de Privacidad Generalmente Aceptados (GAPP,por sus siglas en inglés) del Grupo de Trabajo de Privacidad delInstituto Estadounidense de Contadores Públicos Certificados(AICPA, por sus siglas en inglés) y del Instituto Canadiensede Contadores Certificados (CICA, por sus siglas en inglés)describen un marco integral creado para permitir la auditoría yelaboración de programas de privacidad. Los GAPP ayudan a la

administración a crear políticas eficaces que aborden los riesgosde privacidad y están obteniendo un amplio reconocimiento yuso en cuanto al diseño, medición, monitoreo y auditoría deprogramas de privacidad. En 2011, las organizaciones podránutilizar un nuevo modelo de madurez para autoevaluarse, conmejoras incrementales. Además, para mediados de 2011 loscambios a las normas de presentación de información para losproveedores de servicios permitirán que las organizacionesincluyan los criterios de GAPP en los informes que recibende sus auditores


11/16


Preguntas a considerar• ¿Se ha basado en el informe de SAS 70 de sus proveedores de servicios como mecanismo para el

monitoreo de seguridad de la información y protección de datos personales?• ¿Ha hablado con sus proveedores de servicios acerca de los controles sobre el uso de datos

personales que espera se incluyan en los nuevos informes?

Normas de presentación de información de los

proveedores de serviciosUna organización que cuenta con prácticas y controles deprotección de datos personales no puede cumplir con suscompromisos al respecto si los proveedores de servicios que leatienden no cuentan con prácticas y controles igual de robustos.En la más reciente edición de nuestra Encuesta Global deSeguridad de la Información, 41% de los participantes a nivel globalseñalaron que los proveedores de servicios y el outsourcing sonalgunos de sus cinco principales áreas de riesgo de TI.

Como resultado de lo anterior, muchas organizaciones buscano requieren que sus proveedores de servicios obtengan unaevaluación independiente de sus prácticas de seguridad de la

información y protección de datos personales. Aquellas quebuscan obtener dicha evaluación a menudo se conforman conlos informes SAS 70, aunque éstos no pretenden abordar temasde privacidad ni de seguridad en la mayoría de los casos. ElAICPA se encuentra en proceso de emitir una nueva guía sobre lapresentación de información de controles de organizaciones deservicios –SOC, por sus siglas en inglés– (SOC 2, Informes sobrelos Controles en una Organización de Servicios Relacionadoscon Seguridad, Disponibilidad, Integridad del Procesamiento,Confidencialidad y Privacidad), la cual permitirá que losproveedores de servicios presenten informes sobre sus controlesde privacidad y seguridad.

Un informe preparado con base en esta guía proporcionará lo

siguiente:

• Una descripción del sistema del proveedor de servicios enrelación con la seguridad de la información y protección de datospersonales durante su ciclo de vida.

• Una descripción de su sistema por parte de la administracióndel proveedor de servicios, una aseveración de laeficacia de sus controles y su cumplimientocon las obligaciones de privacidad de acuerdo con los GAPP.

• La opinión del auditor sobre la razonabilidad de la descripcióndel sistema, la eficacia de los controles y el cumplimiento conlos compromisos de privacidad con base en los GAPP.

• Una descripción de las pruebas realizadas por el auditor paraformular su opinión y los resultados de dichas pruebas.

Este nuevo informe proporcionará transparencia y perspectivasen cuanto a las prácticas de seguridad de la información yprotección de datos personales de los proveedores de servicio, yaque les permitirá demostrar que cuentan con prácticas eficacesal respecto. Muchos proveedores de servicios líderes esperanansiosamente esta nueva guía, y sus clientes aún más.Para 2011, se puede esperar un mayor interés y nuevasdiscusiones en torno a las evaluaciones independientes deprácticas de seguridad de la información y protección de datospersonales. Los proveedores de servicios deben familiarizarsecon esta nueva guía, los principios y criterios de los GAPP ylos controles requeridos para abordarlos. Los proveedores deservicios y sus clientes podrán seguir los avances de ésta enhttp://www.aicpa.org/InterestAreas/InformationTechnology.


12/16


Preguntas a considerar• ¿Ha considerado la Privacidad por Diseño como parte del ciclo de vida del desarrollo de

sus sistemas (CVDS) y del ciclo de vida del desarrollo de sus procesos (CVDP)?• ¿Los profesionales de privacidad en su organización asumen una función obligatoria e

integral al considerar con anticipación los avances en el negocio y los cambiosque podrían afectar a los datos personales tanto de sus colaboradores como de

sus clientes?

Privacidad por Diseño

La Privacidad por Diseño (del término inglés Privacy by Design)cobró reconocimiento internacional cuando se firmó laresolución en la materia durante la 32.a ConferenciaInternacional de Comisionados de Protección de Datos yPrivacidad en Jerusalén. La resolución pretende ayudar aconsolidar la privacidad de la información en el futuro, alprocurarle mayor efectividad, una asignación de recursos máseficiente y que sea mejor aprovechada.

El concepto de Privacidad por Diseño no es nuevo. La Dra. AnnCavoukian, Comisionada de Información y Privacidad de Ontario,Canadá, se ha encargado de promocionar la idea desde los años

noventa. El modelo ofrece un enfoque que no busca dar un mayorbeneficio a la seguridad en aras de una afectación a la privacidado viceversa. En lugar de sacrificar una por la otra, el conceptode Privacidad por Diseño sugiere que las organizaciones creensistemas que desde sus etapas iniciales de concepciónconsideren a ambas, y ofrezcan de esta forma una respuestaproactiva y prescriptiva que esté integrada en el tejido propiode la organización.

La Resolución de Privacidad por Diseño busca que este conceptose convierta en un componente clave de la protección dedatos personales al integrarlo a nuevas tecnologías y prácticasde negocio desde el principio, en su concepción original. Laresolución también fomenta a las organizaciones a adoptarprincipios de Privacidad por Diseño como un medio importantepara las operaciones. A nivel gubernamental, incita a loscomisionados de protección de datos y privacidad a promoverglobalmente la Privacidad por Diseño y a incorporar sus principiosen las futuras políticas y leyes de privacidad en sus jurisdicciones.

En 2011, se prevé que las organizaciones debatan abiertamente

la Privacidad por Diseño al mismo tiempo que discutan losnuevos productos y servicios que lanzarán al mercado. Elconcepto elevará la función importante que los profesionales deprivacidad asumen en sus organizaciones. También aumentará suparticipación en las consideraciones operativas iniciales, es decir,aquellas que influyen sobre el rumbo de la organización.

“Vivimos en una era de mayor vigilancia: minería de datos, análisis de comportamiento, prácticas objetivas ydiscriminatorias y cómputo en nube. Si queremos conservar la privacidad que sustenta nuestra libertad, más allá

de enfocarnos en la próxima década, debemos adoptar un nuevo enfoque y hacerlo en este momento.”

Dra. Ann Cavoukian, Comisionado de Información y Privacidad, Provincia de Ontario, Canadá


13/16


Preguntas a considerar• ¿Ha considerado los posibles riesgos de privacidad de la información y los retos de cumplimiento

antes de utilizar los sitios de redes sociales para fines comerciales?• ¿Ha reunido a sus grupos de Cumplimiento, Legal y Recursos Humanos para hablar sobre el enfoque y

las políticas a seguir en cuanto al tratamiento que pudiera darse a los datos personales mantenidosen los sitios de redes sociales de los clientes, colaboradores y candidatos a integrarse a la compañía?

• ¿Ha compartido claramente sus expectativas a los colaboradores de su organización respecto dela comunicación que mantienen a través de los sitios de redes sociales en donde se identifican comointegrantes de su organización, o en cuanto a su interacción con colegas o clientes?

Redes sociales

Las organizaciones conviven con una nueva generación decolaboradores y clientes que nunca han conocido un mundo sinInternet, sin los medios sociales o sin el acceso a la informacióndisponible las 24 horas del día. Tienen diferentes expectativasde su entorno laboral, en donde las líneas entre la comunicaciónpersonal, profesional y comercial se vuelven borrosas.

A nivel individual, las historias en donde los perfiles de las redessociales afectan las oportunidades de trabajo son ya legendarias.Una vez que se publican las fotos o actualizaciones de estado,Internet las vuelve accesibles para siempre. Las redes socialeshan creado un reto para el concepto de privacidad acerca del

derecho a ser olvidado. A pesar de los avances y el crecimientoen materia de reglamentos de protección de datos personales,a los reguladores se les dificulta abordar adecuadamente losretos específicos que conlleva el hecho de compartir informaciónpersonal en las redes sociales. Muchas de las acciones tomadaspor los reguladores en cuanto a dichos sitios han estadoenfocadas en cuestionar sus prácticas actuales y en solicitarciertos cambios a dichas prácticas. El derecho a ser olvidado estodavía un asunto pendiente.

En el lugar de trabajo existen muchos asuntos que las compañíastienen que aclarar. Deben ser transparentes en cuanto asus expectativas en relación con el comportamiento de suscolaboradores en los sitios de redes sociales (según aplique

para la organización) y en cuanto a si dichas actividades podránmonitorearse y utilizarse para aplicar medidas disciplinarias. Losreclutadores deben contar con políticas acerca de cómo utilizarlas redes sociales para buscar información sobre los candidatosy deben comunicarles estas intenciones abiertamente a loscandidatos cuando lleguen a una entrevista. Comercialmente, algunas organizaciones establecen presenciaen las redes sociales para promover sus productos y servicios,así como para comunicarse directamente con sus clientes.

Pero cuando una organización crea un perfil con esta finalidad,¿cómo define y comunica sus prácticas de privacidad para lainformación que recopila? Y en el caso de los colaboradores deuna organización que por esta vía se comunican con sus clientesde manera individual, ¿cómo pueden utilizar la informaciónpersonal adicional disponible en los perfiles? Todas éstas sonpreguntas que deberían hacerse las compañías que utilizan lasredes sociales como una herramienta de ventas o promocional.También deben estar conscientes de que se puede abusarde los sitios de redes sociales con fines fraudulentos y que lainformación recopilada por el sitio no está dentro del control de laorganización y probablemente “perdurará” más tiempo de lo que

pretende o espera.

En 2011, independientemente que las organizaciones utilicensus redes sociales para establecer contacto con los clienteso comunicarse con (o monitorear a) sus colaboradores, laspolíticas, la capacitación y la creación de una concienciaprofunda son elementos clave. Es importante que lasorganizaciones elaboren y comuniquen políticas bien pensadasde protección de privacidad de la información, que aborden lasinteracciones entre los clientes, colaboradores y candidatos parapuestos. El solo hecho de deshabilitar el uso de las redes socialesen las oficinas no es una solución completa y quizá ni siquieraadecuada. El acceso a redes sociales puede darse a través dediversos dispositivos que no están bajo control de la organización

y es por eso que lo más efectivo es crear conciencia en losindividuos de los riesgos de privacidad a los que la informaciónpuede enfrentarse en estos canales de comunicación. Basarseen estas políticas es especialmente importante en un entornoen donde los requisitos reglamentarios no se alinean fácilmentecon la tecnología de la información y sus usos más comunes. Lascampañas de concientización y la capacitación deben acompañarlos cambios en las políticas.


14/16


Preguntas a considerar• ¿Ha pensando en qué funciones específicas dentro de su organización podrían

beneficiarse al recibir capacitación adicional e incluso certificaciones en materia deprivacidad de la información?

• ¿Ha identificado los requisitos de certificación específicos que podrían requerirlos profesionales que manejan datos personales en las áreas de recursos humanos,

mercadotecnia, TI, auditoría interna, cumplimiento y legal en su organización?

Expectativas cambiantes de los profesionales de laprivacidadCon un mayor escrutinio sobre la protección de datos personales,no sorprende que la profesión de privacidad evolucione másallá del puesto del director de seguridad. Las organizacionesque tienen oficinas de privacidad reclutan y capacitan aprofesionales de privacidad para enfocarse en áreas específicasdel negocio. Además, más allá de ser una función sin futuro conuna trayectoria profesional poco clara, los puestos de privacidadadoptan una función fundamental dentro de la organización.En 2011, las organizaciones contratarán a más profesionalesde privacidad, de esa manera revertirán la disminución depersonal que las oficinas de privacidad experimentaron durantela crisis económica. Las organizaciones entenderán mejor la

naturaleza compleja de la protección de datos personales y susnecesidades para administrar mejor los riesgos y obligaciones decumplimiento relacionados.

Varias compañías mejoran la privacidad al fusionar la seguridadde la información, privacidad y otras funciones (recursoshumanos, legal, sourcing) con las organizaciones de gobiernode riesgos de información virtual, las cuales adoptan un enfoquemás holístico en cuanto a la protección de datos. Esto tambiénfomenta un cumplimiento más proactivo con los requisitos deprivacidad de la información.

Más allá de los profesionales que solo se enfocan en la privacidadde la información, muchas funciones que se relacionan con eltratamiento de datos personales por parte de las organizacionesobtendrán más conocimientos acerca de los temas de riesgosy cumplimiento. En 2011, veremos cómo las personas quetrabajan en las áreas de TI, auditoría, legal, recursos humanos ymercadotecnia agregarán la protección de datos personales a susconjuntos de habilidades.

Para dar cabida a este crecimiento, en 2011 aumentará lacantidad de personas que buscan obtener certificaciones deprivacidad. Por ejemplo, Ernst & Young desde hace algunos

años agregó la certificación de Profesional de Privacidad de laInformación (CIPP, por sus siglas en inglés) como una de lascertificaciones profesionales que un colaborador debe obtenerpara ser promovido en nuestro grupo de Servicios de Asesoría.En 2011, esta certificación y otras se volverán más profesionales,y permitirán que las personas las reciban en áreas específicas,como reglamentación jurídica, TI o requisitos de privacidadespecíficos de la industria.

“A medida que evolucione la profesión de la privacidad, creo que habrá un enfoque constante sobre los riesgosreglamentarios y la tecnología de la información, pero tal vez con una dosis adicional de ética y responsabilidad

social. Ya no será una función solo en donde los abogados asesoran a los profesionales de TI o en donde los expertos

en tecnología de la información cuestionan las normas reglamentarias. Las tecnologías colaborativas desafían

nuestras nociones de lo que se considera “bueno” –lo que se considera apropiado para nuestros hijos, nuestras

comunidades y nuestra sociedad– en términos de la cantidad de información que compartimos y guardamos

indefinidamente. Necesitamos líderes responsables en las empresas, el gobierno y la sociedad civil para poder

abordar estas cuestiones”.

Nuala O’Connor Kelly, Asesor Senior, Líder de Privacidad y Gobierno de la Información, General Electric; Ex - Presidente

del Comité Ejecutivo de la Asociación Internacional de Profesionales de Privacidad (IAPP, por sus siglas en inglés).


15/16


En un entorno operativo que cada vez tiene menos fronteras, es fundamental protegerlos datos personales. La comunicación móvil, las redes sociales y el cómputo ennube han contribuido al desvanecimiento de las fronteras del entorno empresarialtradicional. También han dando lugar a nuevos riesgos de privacidad de la informacióntanto para las organizaciones y sus colaboradores por igual.

Los reguladores se han dado cuenta de esto. En 2011, se prevé la introducción devarios reglamentos nuevos, entre ellos la LFPDPPP en México. Además, veremos elsurgimiento claro de recursos de aplicación de ley que buscarán asegurar que lasorganizaciones cumplan su parte. Pero según lo señalan los nuevos reglamentospara las notificaciones de vulneración que entran en vigor en diversas jurisdiccionesalrededor del mundo, la protección de datos personales ya no es un ejercicio decumplimiento. Quienes ignoren la importancia de proteger datos personales desdeafuera –o desde adentro– tendrán más repercusiones que sanciones financieras. Al altocosto del incumplimiento habrá que sumarle el daño causado por los impactos a sureputación y marca. En el mundo, la sociedad reacciona ante quienes no manifiestaninterés por proteger los datos personales.

Los reglamentos emitidos y los riesgos derivados del tratamiento de datos personales

son las dos razones principales por las que las organizaciones aumentarán susinversiones en privacidad de la información, tanto para contratar a profesionales deprivacidad certificados altamente capacitados como para definir controles técnicos quemonitoreen y manejen los ataques externos y las fugas desde el interior.

A medida que 2011 avance, veremos un cambio fundamental en cuanto a la forma enque las organizaciones se enfocan en la protección de datos personales, ya que éstees un tema que no puede considerarse más como una idea de último momento quese agrega al programa actual de privacidad o seguridad de la información. Como loseñala la Privacidad por Diseño, este concepto debe ser considerado desde el origen.En definitiva, el enfoque sobre la privacidad de la información mejorará el desempeñode negocio de las organizaciones líderes. Actúe hoy.

Conclusión

Contactos:

Lic. Sylvia MartínezSocia Asesoría LegalTel: (55) 1101 6416

[email protected] Lic. Carina BarreraGerente Asesoría LegalTel: (222) 237 9922 Ext. [email protected]

LI Carlos ChalicoCISA, CISSP, CISM, CGEITSocio Asesoría en TITel: (55) 1101 6414 [email protected]

IEC Ricardo LiraM. en C. CISSP, PMPGerente Senior Asesoría en TITel: (55) 5283 1459 [email protected]


16/16

Ernst & Young

Aseguramiento | Asesoría | Fiscal | Transacciones

Acerca de los Servicios de Asesoría de Ernst & Young

La relación entre la mejora en el desempeño y los riesgos es un reto cadavez más complejo y primordial para los negocios, ya que su desempeño estádirectamente relacionado con el reconocimiento y manejo eficaz del riesgo.Ya sea que su enfoque sea en la transformación del negocio o en mantener

los logros, contar con los asesores adecuados puede marcar la diferencia.Nuestros 18,000 profesionales en asesoría forman una de las redes globalesmás extensas de cualquier organización profesional, la cual integra a equiposmultidisciplinarios y experimentados que trabajan con nuestros clientespara brindarles una experiencia poderosa y de gran calidad. Utilizamosmetodologías comprobadas e integrales para ayudarles a alcanzar susprioridades estratégicas y a efectuar mejoras que sean sostenibles durante unmayor plazo. Entendemos que para alcanzar su potencial como organizaciónrequiere de servicios que respondan a sus necesidades específicas; porlo tanto, le ofrecemos una amplia experiencia en el sector y profundoconocimiento sobre el tema para aplicarlos de manera proactiva y objetiva.Nos comprometemos a medir las ganancias e identificar en dónde la estrategiaestá proporcionando el valor que su negocio necesita. Así es como Ernst &Young marca la diferencia.

Para mayor información por favor visitewww.ey.com/mx/asesoria

© 2011 Mancera, S.C.Integrante de Ernst & Young GlobalDerechos reservadosClave ARP001

Ernst & Young se refiere a la organización global de firmas miembro conocidacomo Ernst & Young Global Limited, en la que cada una de ellas actúa como una entidadlegal separada. Ernst & Young Global Limited no provee servicios a clientes.

Asuntos Relv Protec Datos

Documents

Transcript of Asuntos Relv Protec Datos