Para garantizar el adecuado tratamiento de los datos personales, uno de los elementos más importantes para cumplirlo y alcanzarlo son las medidas de seguridad, las cuales y como encontramos en diversas legislaciones iberoamericanas, no solo se refieren a elementos técnicos o informáticos, sino que se refieren también a elementos administrativos o físicos que permitan la protección de los datos personales y que eviten la pérdida, alteración, destrucción, acceso, uso o tratamiento no autorizado.
Por lo anterior, las medidas de seguridad en materia de datos personales pueden ser clasificadas legalmente y conforme lo establece la legislación mexicana en la materia, de la siguiente manera[1]:
- Administrativas: incluyen la gestión, soporte y revisión de la seguridad, de la identificación y clasificación de la información, así como la formación y capacitación del personal.
- Técnicas: actividades, controles o mecanismos con resultado medible que se valen de la tecnología para asegurar que el acceso a las bases de datos o información en formato lógico.
- Físicas: acciones y mecanismos físicos o tecnológicos que previenen el acceso no autorizado, el daño o interferencia a instalaciones físicas, áreas críticas de la organización, equipo e información; que protegen los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones de la organización; que proveen mantenimiento a los equipos; y las que garantizan la eliminación de datos de forma segura.
Ahora bien, realizando un viaje por algunas de las legislaciones que en materia de datos personales existen en Iberoamérica, nos encontramos con el hecho de que en términos generales se establece la obligación para el responsable, encargado o usuario de los archivos de datos de adopte las medidas se seguridad técnicas, administrativas o físicas, que le permitan garantizar la seguridad y confidencialidad de los datos personales, evitando con ello riesgos o usos, accesos y tratamientos no autorizados o fraudulentos.
Elementos o condiciones de seguridad
En algunas legislaciones como la mexicana[2] y la costarricense[3], se establece que para el establecimiento de las medidas de seguridad los responsables no adoptarán medidas de seguridad menores a las que utilicen para su propia información o los que sean adecuados a los desarrollos tecnológicos o mecanismos de seguridad adecuados.
Para lo anterior, el esquema de implementación de las medidas de seguridad consiste en la adopción de ciertos elementos y características generales que se irán adecuando a las necesidades de las empresas, organizaciones o modelos de negocio de los que se trate.
Citando lo establecido en las mencionadas legislaciones de México y Costa Rica, para determinar las medidas de seguridad el responsable o en su caso, encargado del tratamiento deberá considerar al momento de determinar las medidas de seguridad aplicables a cada organización:
(i) El riesgo inherente por tipo de dato personal.
(ii) La sensibilidad de los datos personales tratados.
(iii) El desarrollo tecnológico.
(iv) Las posibles consecuencias de una vulneración para los titulares.
(v) El número de titulares de datos personales.
(vi) Las vulnerabilidades previas ocurridas en los sistemas de tratamiento.
(vii) El riesgo por el valor potencial (cuantitativo/ cualitativo) que pudieran tener los datos personales tratados para terceras personas no autorizadas.
(viii) Los factores que puedan incidir en el nivel de riesgo o que provengan de otra legislación aplicable al responsable.
Una vez definidas las medidas de seguridad por parte del responsable, para garantizar su cumplimiento, ejecución y seguimiento, a su vez, el responsable deberá considerar acciones tales como[4]:
(i) Descripción detallada del tipo de datos tratados y almacenados.
(ii) Inventario de datos personales, sistemas de tratamiento e infraestructura tecnológica utilizada.
(iii) Determinar las funciones y obligaciones de las personas que traten datos personales.
(iv) Análisis de riesgos de los datos personales.
(v) Establecer las medidas de seguridad aplicables a los datos personales e identificar las implementadas efectivamente.
(vi) Análisis de brecha (diferenciación entre medidas de seguridad existentes y las faltantes).
(vii) Plan de trabajo para implementar las medidas de seguridad faltantes (análisis de brecha).
(viii) Efectuar revisiones o auditorías.
(ix) Capacitar al personal que efectúa el tratamiento de los datos personales.
(x) Realizar un registro de los medios de almacenamiento de los datos personales.
(xi) Actualizar las medidas de seguridad en caso de realizar procesos de mejora o modificaciones sustanciales en el tratamiento, o cuando se vulneren los sistemas de tratamiento o se efectué alguna afectación a los datos personales.
Adicional a lo anterior, México ha emitido las Recomendaciones en materia de seguridad de datos personales y mediante las cuales, se exhorta a los responsables y en su caso, encargados, para que adopten un Sistema de Gestión de Seguridad de Datos Personales basado en el ciclo PHVA (Planear-Hacer-Verificar-Actuar).
Con dichas Recomendaciones se pretende facilitar a los responsables el contar con una guía que les permita mantener vigente el cumplimiento de la legislación y fomentar las buenas prácticas en materia de datos personales.
Por otra parte, existen otro tipo de legislaciones que a diferencia de la mexicana y/o la costarricense catalogan los datos personales o las medidas se seguridad en niveles y en base a los mismos, establecen o enuncian los diferentes parámetros o elementos que permitan garantizar la seguridad de los datos personales.
Ejemplo de lo anterior lo encontramos en la legislación argentina, ya que en la Disposición 11/2006 sobre las Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados[5], se clasifican las medidas de seguridad en tres niveles:
(i) Nivel básico: archivos, registros, bases y bancos de datos que contengan datos de carácter personal.
Las medidas de seguridad aplicables a este nivel deberán estar contenidas al interior de las organizaciones en un Documento de Seguridad, el cual, deberá contener al menos lo siguiente:
- Funciones y obligaciones del personal.
- Descripción de archivos con datos personales y de los sistemas de información que los tratan.
- Rutinas de control para el ingreso de datos y las acciones a seguir ante los errores detectados, esto a efectos de su corrección.
- Registro de incidentes de seguridad.
- Procedimientos para efectuar copias de respaldo y de recuperación de datos.
- Relación de sistemas de información y usuarios autorizados, así como de los procedimientos de identificación y autenticación de dichos usuarios.
- Controles de acceso de usuarios a datos y recursos para efectuar sus tareas.
- Medidas preventivas que impidan amenazas de software malicioso.
- Procedimiento para la gestión de soportes.
(ii) Nivel medio: archivos, registros, bases y bancos de datos (1) de empresas privadas que desarrollen actividades de prestación de servicios públicos, o (2) de entidades que cumplan una función pública y/o privada mediante la que deban guardar secreto bancario.
Además de las medidas de nivel básico, deberán establecer las siguientes:
- Instructivo de seguridad que identifique al Responsable de la Seguridad.
- Auditorías (internas o externas).
- Limitar los accesos reiterados no autorizados al sistema de información.
- Control de acceso físico al local en donde se encuentre el sistema de información.
- Registro de entradas y salidas de los soportes informáticos (gestión de soportes).
- Registro de incidentes de seguridad.
(iii) Nivel crítico: archivos, registros, bases y bancos de datos personales sensibles.
Contendrán las medidas aplicables para el nivel básico y el medio, así como las siguientes:
- Distribución de soportes con cifrando de datos o mecanismo similar.
- Registro de accesos que indique quien y cuando accedió, y si el acceso fue autorizado o denegado.
- Copias de resguardo externas situadas fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja de seguridad bancaria.
Otro país que sigue un sistema similar en cuanto a la implementación de las medidas de seguridad, es Perú, ya que tanto en el Reglamento de la Ley de Datos Personales como en la Directiva de Seguridad de la Información, establecen diferentes niveles de datos personales y sus correspondientes medidas de seguridad.
Tal es el caso que la Directiva de Seguridad de la Información de Perú establece los lineamientos para determinar las medidas de seguridad mediante un sistema de categorización más complejo y detallado que en el caso de Argentina, ya que para cada grupo se consideran variables sobre (i) el tipo de dato; así como variables cuantitativas relacionadas con (ii) el número de personales respecto de las cuales se maneja la información y (iii) el número de datos personales que son contenidos o tratados en cada base de datos.
Es así que por ejemplo, dentro del nivel básico se consideran los bancos de datos que:
(i) No contengan información de más de 50 personas.
(ii) El número de datos personales no sea mayor a 5.
(iii) No contengan datos sensibles.
(iv) Tengan como titular a una persona natural.
Considerando la categoría antes mencionada, en total la Directiva establece los niveles básico, simple, intermedio, complejo y crítico.
Dependiendo del nivel o categoría del banco de datos de que se trate, le corresponderá la aplicación e implementación de ciertos requisitos o criterios, los cuales a su vez se dividen en medidas de seguridad relacionadas con:
(i) Requisitos de seguridad.
(ii) Medidas de seguridad organizativas y jurídicas.
(iii) La protección del banco de datos contra acceso físico o lógico no autorizado.
(iv) La autorización, asignación, retiro e identificación de acceso de usuarios.
(v) La pérdida del banco de datos.
Vulneraciones a la seguridad
De manera relacionada a las medidas de seguridad, las distintas legislaciones contemplan el hecho de que en caso de que lleguen a existir vulneraciones a la seguridad durante el tratamiento de los datos, los responsables tendrán la obligación de informar de manera inmediata al titular (en el caso de México, Uruguay y Costa Rica) o a la autoridad competente (en el caso de Colombia).
Lo anterior, con la finalidad de que el titular pueda tomar las medidas necesarias o prudentes en defensa de sus derechos y/o de que las autoridades puedan ejercer las acciones que permitan efectuar las investigaciones o procedimientos judiciales o administrativos que correspondan.
En México y en Costa Rica se establece que en los casos de que se tenga alguna vulneración a la seguridad, el responsable deberá informar sobre la misma al titular y que dicha información deberá contener al menos la siguiente información[6]:
(i) La naturaleza del incidente.
(ii) Los datos personales comprometidos.
(iii) Las recomendaciones al titular para que pueda proteger sus intereses.
(iv) Las acciones correctivas realizadas de forma inmediata.
(v) Los medios donde puede obtener más información al respecto.
Consideraciones finales
Como hemos analizado, en los países de Iberoamérica el establecimiento de las medidas de seguridad se basa en dos vertientes, la primera en donde se establecen elementos mínimos o comunes que serán aplicables a cada organización, es decir, consistentes en parámetros o recomendaciones base; y la segunda, en la que se clasifican los tipos de datos y a cada tipo de datos se le asignan medidas de seguridad específicas.
Lo anterior nos lleva a preguntarnos cual vertiente será más eficiente y sencilla de aplicar, entender y garantizar por parte de los responsables, o si la combinación de elementos y mejores prácticas de cada una nos puede llevar a un mejor diseño y armonización de las medidas de seguridad.
Al final de cuentas y tal y como lo menciona Daniel Solove en el artículo “Data Security Is an Art, Not Just a Science”[7], la seguridad de los datos personales implica un delicado balance de distintas cuestiones, tales como el nivel de riesgo, la cantidad de datos protegidos por persona, el número de personas cuyos datos personales están siendo tratados, los posibles daños o amenazas, costos financieros y de eficiencia de las medidas de seguridad implementadas para reducir el riesgo y las que se relacionen con las características específicas de la industria de que se trate.
Bibliografía
La Ley Federal para la Protección de Datos Personales en Posesión de los Particulares, México, publicada el 5 de julio del 2010, consultada el 20 de marzo de 2014.
Reglamento de la Ley Federal para la Protección de Datos Personales en Posesión de los Particulares, México, publicado el 21 de diciembre del 2011, consultado el 20 de marzo del 2014 .
Ley 25.326 sobre la Protección de Datos Personales, Argentina, promulgada parcialmente el 30 de octubre del 2000, consultada el 22 de marzo del 2014.
Disposición 11/2006 sobre las Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no Estatales y Privados, Argentina, publicada el 22 de septiembre del 2006, consultada el 22 de marzo del 2014.
Ley Estatutaria 1581 para la Protección de Datos Personales, Colombia, dada el 17 de octubre del 2012, consultada el 22 de marzo del 2014.
Decreto 1377 de 2013 por el que se reglamenta parcialmente la Ley 1581 del 2012, Reglamento de Protección de Datos Personales de Colombia, Colombia, dado el 27 de junio del 2013, consultado el 23 de marzo del 2014.
Ley de Protección de la Persona frente al tratamiento de sus Datos Personales, Costa Rica, publicada el 05 de septiembre del 2011, consultada el 23 de marzo del 2014.
Reglamento a la Ley de Protección de la Persona frente al tratamiento de sus Datos Personales, Costa Rica, Publicado el 05 de marzo del 2013, consultado el 23 de marzo del 2014.
Ley de Protección de Datos Personales, Perú, publicada el 03 de julio del 2011, consultada el 24 de marzo del 2014.
Reglamento de la Ley de Protección de Datos Personales, Perú, publicado el 22 de marzo del 2013, consultado el 24 de marzo del 2014.
Directiva de Seguridad de Información, Perú, consultada el 24 de marzo del 2014.
Ley de Protección de Datos Personales, Nicaragua, publicada el 29 de marzo del 2012, consultada el 22 de marzo del 2014.
Ley N° 18.331, sobre la “Protección de Datos Personales y acción de “Habeas Data”, Uruguay, publicada el 11 de agosto de 2008, consultada el 24 de marzo de 2014.
Decreto N° 414/009, que Reglamenta la “Ley de Protección de Datos Personales y acción de “Habeas Data”, Uruguay, publicada el 31 agosto de 2009, consultada el 24 de marzo de 2014.
