Todo lo que querías saber sobre la notificación de vulneraciones de datos personales en la nueva legislación mexicana (primera parte)

mexico_cedric

Por Cédric Laurant y Armando Becerra

En Europa se está discutiendo estos meses en el Parlamento europeo del nuevo cuadro jurídico en materia de protección de datos: un reglamento que se aplicaría como una ley a todos los estados miembros de la Unión europea.  En esta regulación, surge un nuevo tipo de requisito para todos los responsables de tratamiento: la obligación de notificar vulneraciones de seguridad a los titulares de datos personales y a autoridades de protección de datos, que sean clientes, proveedores u otras personas físicas.  Como ya escribimos sobre el tema en una previa entrada, esta obligación ya existe para los proveedores de servicios de comunicaciones electrónicas disponibles al público en la Directiva 2009/136/CE del 25 de noviembre de 2009.

Pero no es solamente en Europa que se está desarrollando este aspecto del marco regulatorio de protección de datos, sino también en un país como México donde una ley federal obliga a las empresas a notificar sus vulneraciones de seguridad.

Por “vulneraciones de seguridad”, el Reglamento de la ley de protección de datos mexicana refiere a “las vulneraciones de seguridad de datos personales ocurridas en cualquier fase del tratamiento [que consisten en] la pérdida o destrucción no autorizada; el robo, extravío o copia no autorizada; el uso, acceso o tratamiento no autorizado, o el daño, la alteración o modificación no autorizada” (Artículo 63, Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares).

nvité a un colega mexicano experto en seguridad y protección de datos personales, a contarnos de su experiencia sobre la aplicación de la Ley, que opina sobre dichas disposiciones y lo que deberían hacer las empresas en México.

Cédric: ¿Porqué no se lee tanto sobre vulneraciones de seguridad como se escuchan en Estados Unidos? ¿No ocurre ese tipo de incidentes en empresas mexicanas?
Armando:

Naturalmente ocurre ese tipo de incidentes en México, tanto a empresas nacionales como a extranjeras con sucursales en el país, de la misma manera que ocurre en el resto del mundo, tan sólo hay que mirar el Reporte “Cibercrimen” de Norton 2012 (2012 Norton Cybercrime Report) en el cual participaron varios países, incluido México: se estima que anualmente se tienen 556 millones de víctimas de cibercrimen. Por otro lado, las brechas de seguridad de grandes organizaciones o en el gobierno son mediáticamente más difundidas.  Sin embargo la mayor cantidad de brechas de seguridad sucede en pequeñas y medianas empresas.  En el reporte de “Investigación de Brechas de Seguridad” de Verizon del 2012 se dice que el sector más afectado por brechas es la de alojamiento y servicios de alimentación (es decir restaurantes y hoteles), con el 51% del total de brechas, contra tan sólo el 3% que sufre el sector de tecnologías de la información.

En México, buena parte de la economía está centrada en la micro, pequeña y mediana empresa, grupos menos espectaculares, menos seguros y mejores objetivos para los atacantes.  En cuanto a grandes empresas mexicanas, en 2012 ocurrieron  brechas de seguridad y fugas de información notables: en febrero un grupo de hackers filtró información de 3000 empleados de la compañía de telefonía celular Telcel (subsidiaria de América Móvil); y en julio la televisora TV Azteca demandó a la empresa IBOPE (medidora de audiencia), acusándola de publicar información de 3400 hogares que participaban en el proceso de medición de rating.  Estos dos ejemplos dejan claro que sin importar la causa de la vulneración – en el primer caso un hackeo, en el segundo una fuga de información corporativa – existen serias consecuencias para la imagen de las empresas: ambas noticias fueron recibidas por el público principalmente a través de los datos filtrados en Internet más que de una apropiada respuesta de la compañía.

Creo que se escucha más de vulneraciones en Estados Unidos debido a una lógica de difusión mediática: el acceso mundial de sus empresas (diferentes servicios sobre internet), su giro de negocios (redes sociales, comercio electrónico) y su manejo masivo de información hace de estas empresas un escaparate más espectacular, sin olvidar que sus leyes respecto al tema tienen más tiempo y por tanto más presencia en la población.

Cédric: Creo que la razón principal por la cual se escucha más en Estados Unidos de vulneraciones viene de la ley que, en cada estado, obliga las empresas a cumplir, so pena de altas multas, con requisitos de notificación a las personas afectadas y vía medios de comunicación.  En la Unión Europea donde ya existen leyes similares a destino de las empresas de telecomunicación y de acceso al Internet, todavía no se ven muchos casos en los que se notifican vulneraciones – probablemente porque las leyes son recientes y que las empresas todavía no están acostumbradas a dar a conocer al publico y sus clientes las vulneraciones que llegaran a padecer.  Ahora bien, ¿qué suele hacer una empresa en México cuando tiene una vulneración de seguridad que involucra los datos personales de sus clientes?
Armando:

Las empresas reaccionan de manera muy similar a cualquier empresa en el mundo. Si tienen un plan de continuidad de negocio, este contemplará puntos como: la generación y uso de los respaldos de la información, el impacto de una vulneración en los empleados, la continuidad de comunicaciones y la cadena de mando, la reacción en cadena de una vulneración y el cumplimiento de la normatividad que le corresponda.  En este último punto, respecto a la Ley mexicana, los responsables de datos personales deberán notificar a los titulares sobre las vulneraciones que afecten a sus derechos patrimoniales o morales.  El notificar brechas de seguridad correctamente no es un proceso trivial: si una empresa no tiene adecuadas políticas, procesos y medidas de seguridad, le será difícil justificar sus acciones.

“Aunque el 58% de los participantes cuentan con recursos en la organización para cumplir la Ley de Protección de Datos mexicana, tan sólo el 17% han realizado modificaciones importantes a sus procesos de negocios” (Termómetro: Privacidad de datos)

La presentación “Termómetro: Privacidad de datos”, elaborada por Deloitte, señala que aunque el 58% de los participantes en el estudio cuentan con recursos en la organización para cumplir la Ley de Protección de Datos mexicana, tan sólo el 17% han realizado modificaciones importantes a sus procesos de negocios.

“Este universo de empresas que se declaran atrasadas en el cumplimiento de la ley, probablemente no tengan medidas relacionadas al tratamiento de brechas mencionado anteriormente”

Cédric: ¿Entonces, qué debería hacer una empresa en México para cumplir con la nueva Ley y su Reglamento?
Armando:

Las empresas mexicanas han puesto mucha atención a los apartados referentes a medidas de seguridad y protección de datos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y en su Reglamento (RLFPDPPP).  Desde enero del año 2012, las empresas deben estar listas para cumplir las solicitudes de derechos de acceso, rectificación, cancelación y oposición que las personas presenten respecto a sus datos personales, y aunque no se exija el cumplimiento total del capítulo de medidas de seguridad del reglamento sino hasta junio de 2013, el artículo 19 de la Ley marca responsabilidad inmediata:

“Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdidas, alteración, destrucción o el uso, acceso o tratamiento no autorizado.”

Por lo que si un titular se inconforma en una solicitud de derechos u ocurre una vulneración a los datos personales que afecte a los titulares y no es atendida, el IFAI intervendrá.  De hecho, hace sólo un par de semanas, el 3 de diciembre del 2012, el IFAI multó a una cadena farmacéutica (Farmacias San Pablo) por indebido tratamiento de datos personales y por no publicar su aviso de privacidad.  La multa asciende a aproximadamente 2 millones de pesos mexicanos (más o menos 150,000 dólares US), lo cual se suma al daño a la imagen y al costo de implementar medidas para mitigar estos efectos (más información).

Cédric: Sí, y como es la primera vez que multa una empresa el IFAI desde que el Reglamento entró en vigor en enero del 2012 y que la mayoría de las empresas en México todavía no cumplen con la Ley y el Reglamento, estaremos atentos a ver como el IFAI no solamente podría multar empresas por falta de aviso de privacidad, sino también como podría multar empresas cuyos responsable de tratamiento no llegaran a notificar una vulneración de datos personales de sus clientes o empleados.  De hecho, las empresas mexicanas deberían estar listas ante la obligación de notificar sus brechas de seguridad que pongan en riesgo los datos personales de los titulares, ya sean clientes, proveedores o hasta sus propios empleados. Ahora, ¿nos podría explicar lo que dice la Ley exactamente?
Armando:

En el caso de la LFPDPPP, dentro de los “Principios de Protección de Datos Personales”, se establece lo siguiente:

Artículo 20:

“Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.”

 De manera más detallada, en el RLFPDPPP se desarrollan los siguientes requerimientos:

Artículo 64:

“El responsable deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.”

Artículo 65:

“El responsable deberá informar al titular al menos lo siguiente:I. La naturaleza del incidente;II. Los datos personales comprometidos;III. Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses;IV. Las acciones correctivas realizadas de forma inmediata, yV. Los medios donde puede obtener más información al respecto.”

Artículo 66:

“En caso de que ocurra una vulneración a los datos personales, el responsable deberá analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita.”

Cédric: ¿Cómo una compañía en México debe notificar una vulneración de seguridad, y en qué condiciones?
Armando:

La notificación de brechas de seguridad no debe ser tomada como una carga.  Más bien, este tipo de exigencias regulatorias tiene dos objetivos fundamentales: proteger a los titulares de datos y reducir el posible impacto de una vulneración en la organización.

“La ley es clara: hay que notificar a los titulares de los datos personales si una vulneración afecta sus derechos”

La ley requiere claramente que empresas tienen que notificar a los titulares de los datos personales si una vulneración afecta sus derechos.  Esto no puede traducirse en acciones si en el interior de la organización no hay planes y recursos para responder ante tales hechos.  Por ello, todos los puntos de la ley son condiciones operativas mínimas que deben tener las empresas:

1. Coordinación entre áreas: Si ocurriera una brecha de seguridad, se debe preguntar:

  • ¿Quiénes son los involucrados en detectarla?
  • ¿Qué hacer de manera inmediata?
  • ¿Quiénes deciden cuándo y cómo notificar a los titulares?
  • ¿Cuál es el plan de remediación? (valorar los daños y el plan de acción correspondiente)

Las áreas legales, de tecnologías de la información y de comunicación social de la empresa deben evaluar a quienes notificar sobre la brecha. La ley habla de notificar a los titulares “afectados”. Sin embargo, cierto incidente podría ser mejor manejado (y evitar la afectación de otras personas) si se notificara, por ejemplo, a través de medios masivos. No hay que olvidar los procedimientos internos para comunicar a otras partes involucradas en la toma de decisiones.

2. Informar a los titulares: procedimientos para que, al menos, se notifique a los titulares afectados en cuanto se confirme una vulneración y se hayan tomado acciones encaminadas para su revisión, por ejemplo con un análisis forense o un plan de continuidad de negocio.  Este punto es muy interesante, ya que las brechas de seguridad pueden tener múltiples causas y el análisis podría tomar desde horas, hasta días o meses. Si bien la ley no establece tiempos fijos, las empresas deben tener en cuenta que un proceso eficiente de notificación de brechas de seguridad puede evitar mayor daño a las personas.  Por ejemplo, si una vulneración produjera una fuga masiva de contraseñas, la empresa podría difundir el hecho para que los usuarios cambiaran sus claves de acceso: en un escenario extremo, si su investigación no descubriera la fuente de la fuga de información, el cambio masivo de contraseñas funcionaría como una contramedida.

3. Implementar medidas de seguridad correctivas, inmediatas y a largo plazo contra la vulneración: una vez detectada la brecha, y en su caso, notificando a las personas afectadas, se debe trabajar en las medidas correctivas, que van desde los controles técnicos hasta la actualización de políticas existentes.

Este artículo fue originalmente publicado en el blog “Information Security Breaches & The Law” el 10 de enero de 2013. Fuente de la imagen: “Data Dump” by Seth Anderson (2008).