Y la protección de datos personales en la nube apa · Apegarse a un esquema de autorregulación /...
Transcript of Y la protección de datos personales en la nube apa · Apegarse a un esquema de autorregulación /...
Datos Personales / Conceptos • Datos personales: Cualquier información concerniente a una
persona física identificada o identificable.
• Titular: La persona física a quien corresponden los datos personales.
• Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
• Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.
Datos Personales / Conceptos Es cualquier información relacionada con el Titular, por ejemplo, tu nombre, teléfono, domicilio, fotografía o huellas dactilares, así como cualquier otro dato que pueda servir para identificarte. Este tipo de datos te permiten además, interactuar con otras personas, o con una o más organizaciones, así como que puedas ser sujeto de derechos.
Principios
Licitud
Consentimiento
Información
Calidad
Finalidad
Lealtad
Proporcionalidad
Responsabilidad
¿Cómo se recaba el consentimiento?
Consentimiento
Tácito Expreso
Sensibles Financieros y Patrimoniales
Factores para determinar los controles de seguridad
Número de titulares
Vulnerabilidades previas ocurridas en los sistemas de tratamiento
Riesgo de tratamiento no autorizado por parte de terceros
Otros factores que resulten de otras leyes
o regulación aplicable al responsable
El riesgo inherente por tipo de dato
personal
La sensibilidad de los datos
personales tratados
El desarrollo tecnológico
Las posibles consecuencias de una vulneración
para los titulares
Violaciones a la privacidad
Robo, extravió o copia no autorizada
Pérdida o destrucción no autorizada
Uso, acceso o tratamiento no
autorizado
Daño, la alteración o modificación no
autorizada
Vulneraciones
¿Qué hay que hacer?
Identificar y Describir Bases de Datos personales
Analizar y clasificar Datos
Análisis de Finalidad y Proporcionalidad
Unificar Bases de Datos
Definir tratamiento y controles para protección de Datos
Asignar permisos y Privilegios para tratamiento de Datos
Crear documento y controles de seguridad
Ventanilla de atención a Titulares para ejercer derechos ARCO
Mantenimiento de datos
Acuerdo de confidencialidad (Internos y Externos)
Publicar Aviso de privacidad
Capacitar al personal
Apegarse a un esquema de autorregulación / Mediación
Acciones para Mantener los Datos Personales
I. Elaborar un inventario de datos personales y de los sistemas de tratamiento;
II. Determinar las funciones y obligaciones de las personas que traten datos personales;
III. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales;
IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas implementadas de manera efectiva;
V. Realizar el análisis de brecha
(diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales;)
VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha;
VII. Llevar a cabo revisiones o auditorías;
VIII. Capacitar al personal que efectúe el tratamiento, y
IX. Realizar un registro de los medios de almacenamiento de los datos personales.
Cómputo en la nube
Servicios en la nube
CRM
Email Masivo
Servicios de
escritorio Bases de datos
Otros servicios
Preocupaciones
Los escenarios que más preocupan a los consumidores de servicios en la nube:
• Publicación de los datos por solicitud de la autoridad (49% de los consumidores)
• Preservación de los archivos y datos después de su borrado (63% de los consumidores)
• Análisis de los datos en la nube para publicidad dirigida (68% de los consumidores)
• Uso de documentos e información almacenada en la nube en campañas de marketing (80% de los consumidores)
• Venta de información a otros (90% de los consumidores)
Fuente: Storm Warning for Privacy? A publication of the ACLU of Northern California
“La privacidad no se acaba en la puesta de nuestra casa, por lo que no debe acabarse al borde de la nube”
Tratamiento de datos personales en el cómputo en la nube
• Aún tratándose de sistemas, servicios y datos en la nube el Responsable debe asegurarse de que el proveedor cumple con:
•a) Tener y aplicar políticas de protección de datos personales afines a los principios y deberes aplicables que establece la Ley y el presente Reglamento;
•b) Transparentar las subcontrataciones que involucren la información sobre la que se presta el servicio;
•c) Abstenerse de incluir condiciones en la prestación del servicio que le autoricen o permitan asumir la titularidad o propiedad de la información sobre la que presta el servicio, y
•d) Guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio, y
• Los proveedores de servicios en la nube deberán contar con mecanismos para::
• a) Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio que presta;
• b) Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio;
• c) Establecer y mantener medidas de seguridad adecuadas para la protección de los datos personales sobre los que se preste el servicio;
• d) Garantizar la supresión de los datos personales una vez que haya concluido el servicio prestado al responsable, y que este último haya podido recuperarlos, y
• e) Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien en caso de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho al responsable.
Tratamiento de datos personales en el cómputo en la nube
Cómputo en la nube y LFPDPPP
¿Qué hacer?
Apego a la legislación local no importando dónde está la
infraestructura
El responsable no puede deslindarse
de su “responsabilidad” y
mantiene la obligación de
proteger los datos
Realizar análisis de
riesgos derivado de
trabajar en la nube
REVISAR los términos y
condiciones del servicio por
parte del proveedor
Formalizar acuerdos con el
proveedor
Datos personales retenidos por los proveedores de cómputo en la nube
• Google Docs almacena información como actividad de la cuenta (espacio utilizado, número de inicios de sesión, acciones ejecutadas) datos despelgados y enlaces que se siguieron (Links, imágenes, artículos) información hotrórica (del navegador, dirección IP, fecha de acceso, cookies, URL
Los consumidores de servicios en la nube tienen un mensaje para sus proveedores: “Mantengamos los datos entre nosotros”.
Tips para consumidores de cómputo en la nube:
• Leer los términos y condiciones del servicio antes de utilizar servicios en la nube. Sino son entendibles los términos del servicio habrá que considerar a otro proveedor.
• No almacenar nada en la nube que no queras que el gobierno o un juez pueda ver
• Leer la política de privacidad antes de almacenar datos en la nube. Si la política de privacidad no es entendible, considerar elegir a otro proveedor.
• Poner especial atención sobre si el proveedor se reserva el derecho a usar, compartir, comerciar o hacer pública la información.
• Considerar cuales son las medidas que se llevarán acabo cuando los datos sean eliminados. ¿El proveedor se compromete a destruirlos, los retendrá por un periodo de tiempo, mantendrá derechos sobre la información?
• ¿De qué manera el proveedor dará notificación sobre los cambios en los términos, condiciones y política de privacidad?
Fuente: Storm Warning for Privacy? A publication of the ACLU of Northern California
Infracciones y sanciones
Incu
mp
lir s
olic
itu
des
AR
CO
100-160mil DSMGVDF • Negligencia o dolo en trámites
ARCO • Declarar dolosamente
inexistencia • Incumplimiento de principios
de Ley • Omisiones en aviso de
privacidad • Datos inexactos • Incumplimiento de
apercibimiento
Apercibimiento
Rei
nci
den
cia
Las sanciones pueden duplicarse en caso de
Datos Sensibles
Delitos:
• 3 meses a 3 años de prisión – con ánimo de lucro, vulnerar seguridad a bases de datos
• 6 meses a 5 años de prisión – con ánimo de lucro indebido, tratar datos personales mediante engaño o error
200-320mil DSMGVDF • Incumplimiento de deber de
confidencialidad • Uso desapegado a la finalidad marcada
en Aviso • Transferir datos sin comunicar aviso de
privacidad • Vulneración a la seguridad • Transferir sin consentimiento del titular • Obstruir verificación de autoridad • Transferencia o cesión en contra de Ley • Recabar datos en forma engañosa o
fraudulenta • Uso ilegítimo de datos en caso de
solicitud de cese • Impedir ejercicio derechos ARCO • No justificar tratamiento de datos
sensibles
El IFAI considerará: Naturaleza del dato (sensibles, financieros y patrimoniales) Negativa injustificada del Responsable a solicitudes del Titular Intencionalidad en la infracción Capacidad económica Reincidencia
Antecedentes en la Ley
• El responsable tiene la obligación de velar, responder, así como de rendir cuentas al titular sobre el tratamiento de sus datos personales.
• Para cumplir con esta obligación, el responsable puede valerse de estándares y mejores prácticas internacionales, así como de esquemas de autorregulación.
• Lo anterior puede traducirse en códigos deontológicos o de buenas prácticas profesionales, sellos de confianza u otros mecanismos
• Estos esquemas son vinculantes para quienes se adhieran a los mismos; no obstante, la adhesión es de carácter voluntario
Pablo Corona Fraga Gerente de Certificación de Sistemas de Gestión de TI
Tel.1204 5191 Ext. 427 55 39883120
[email protected] Twitter: @pcoronaf
Contacto: