Todo lo que querías saber sobre la notificación de vulneraciones de datos personales en la nueva legislación mexicana (segunda parte)

mexico_cedric_2Por Cédric Laurant y Armando Becerra

Cédric: La Ley habla de que son las vulneraciones de seguridad que podrían afectar “de forma significativa” los derechos patrimoniales o morales de los titulares que deben ser notificadas a los titulares de forma inmediata.  Según tu experiencia, ¿cómo debería ser interpretada esa sentencia “de forma significativa”?

Armando:

En 2010, en una localidad mexicana del la ciudad de Monterrey, hubo un escándalo debido al robo de equipo de cómputo en un club de golf.  Los vecinos de la localidad se preocuparon debido a que un grupo criminal iba a acceder a sus datos personales. Si lo pensamos un poco, una base de datos de un club de golf no sólo contiene datos de localización e identidad: el poseer una membrecía de un club de golf implica también solvencia económica, además de estar registradas conexiones con otros miembros (familia y amigos) y hábitos de los usuarios (cuanto tiempo están fuera de casa). En este caso, se convierte el robo de datos en una herramienta criminal para seleccionar objetivos. Conforme se presenten los casos, el IFAI evaluará lo que representa un daño significativo.

Cédric: ¿Cómo explicar que las empresas no cumplan todavía con la Ley?

Armando:

El ejercicio de derechos sobre los datos personales es todavía un concepto nuevo en la sociedad mexicana. Buena parte de los procedimientos que el IFAI efectúe dependerán de la denuncia ciudadana. De ahí que muchas empresas se encuentren en una zona de confort, creyendo que la autoridad nunca tocará a sus puertas para revisar sus medidas de seguridad o si tomaron las medidas pertinentes ante una brecha de información. El ejemplo anterior de la farmacéutica es la primera de muchas multas que vendrán si las organizaciones no se toman en serio la ley. Como diría Frank Sinatra: “The best is yet to come…” (Lo mejor está aún por venir).

Cédric: ¿Qué implica cumplir con la notificación de vulneraciones que menciona la Ley para una empresa en México?

Armando:

Además de los puntos clave de notificación de brechas que ya hemos discutido, la ley mexicana invita a no tener mínimos esfuerzos en cuanto a protección de los datos personales se refiere. Los procedimientos forenses para la investigación de un evento, la notificación a grupos de toma de decisión dentro y fuera de la organización, la comunicación con fuerzas policiales o autoridades de protección de datos personales, y la notificación al público en general, son puntos que, según las características de una vulneración, pueden ser muy importantes y no estar contemplados en el cumplimiento de una ley o estándar.

“La notificación de brechas de seguridad, así como la implementación de medidas para mitigar sus efectos, van más allá del cumplimiento de cualquier ley.”

Como se puede observar, estos procesos implican cierto grado de madurez, por tanto las compañías deben reconocer que la notificación de brechas de seguridad, así como la implementación de medidas para mitigar sus efectos, van más allá del cumplimiento de cualquier ley.

De hecho, la notificación de brechas es una característica de competitividad y de verdadera sincronía organizacional ante el desastre.  Por ejemplo, cuando ocurrió el robo de datos de LinkedIn a mediados de 2012, la empresa ya estaba dando recomendaciones a los usuarios aún antes de haber confirmado la brecha, y días después, confirmó oficialmente la brecha y ratificó las recomendaciones que antes había dado.

“El ejemplo anterior de la farmacéutica (Farmacias San Pablo) es la primera de muchas multas que vendrán si las organizaciones no se toman en serio la ley.”

Finalmente, después de tratada la brecha, la empresa habló de los costos y de las medidas que tomó al respecto, aprovechando el incidente como una oportunidad para hablar de sus buenas prácticas.

Cédric: ¿Nos puedes explicar cómo incide la formulación de la Ley mexicana sobre la manera con la cual una notificación debería hacerse, desde su punto de vista técnico?

Armando:

Todo depende del grado de madurez de la empresa y de sus procesos. Hay que recordar que antes de llegar a la notificación de una brecha a los titulares, deben existir procesos previos de:

  • detección y verificación de la brecha y
  • toma de decisiones y proceso de remediación.

En el caso de la LFPDPPP el asunto del tiempo es muy relevante. La frase del artículo 64 del Reglamento “…en cuanto confirme que ocurrió la vulneración…”, implica que no necesariamente la empresa es la que de manera interna se dio cuenta de la vulneración. Podría darse el caso de una denuncia de un titular por descubrir que sus datos no están siendo usados adecuadamente, o por la captura de un ex-empleado que lleva meses vendiendo la base de datos de la compañía, o porque un grupo hacker publique todas las contraseñas robadas en Internet. Cada uno de estos eventos podría tener ventanas de tiempo muy diferentes para ser analizadas. Por otro lado, también se debe poder contestar y comprobar la falsedad de rumores o acusaciones de fugas de información o hackeos no ocurridos.

“La notificación de brechas es una característica de competitividad y de verdadera sincronía organizacional ante el desastre.”

Continuando con el artículo 64, la frase “… y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna…” desde el punto de vista técnico, puede variar según el caso: ¿se debe notificar a los titulares inmediatamente después de haber confirmado la brecha, o una vez evaluado el posible daño a los titulares, o una vez identificados los sistemas críticos relacionados? Nuevamente entra en juego el tema del tiempo, del análisis forense, de los planes de continuidad de negocio y de la naturaleza de la brecha. Por ejemplo, mientras una brecha, causada por el robo de contraseñas debido a un hackeo, podría tener como respuesta inmediata notificar a todos los usuarios el cambio de contraseña (avisar a los titulares, una vez confirmado el hecho, es cuestión de horas), sin embargo, una brecha causada por un empleado que roba la base datos de clientes de la compañía, implicaría crear procedimientos y medios de atención para la población, lo que podría tomar días tenerlos listos antes de avisar a los titulares.

Las notificaciones y tratamiento de brechas de seguridad, como todo tratamiento de datos personales, no son eventos para ser manejados únicamente por los departamentos de tecnologías.  Generalmente se deben involucrar también a los departamentos jurídicos, de comunicación social y los representantes de la alta gerencia.

“Más que cumplir con plazos o exigencias rígidas, las organizaciones, frente a una vulneración a la seguridad de la información, deben tener evidencia de que cuentan con un proceso de revisión exhaustivo que les permita documentar el nivel de afectación.”

El mensaje es claro: más que cumplir con plazos o exigencias rígidas, las organizaciones deben ser capaces de demostrar su compromiso con los titulares ante una vulneración a la seguridad de la información, teniendo evidencia de que cuentan con un proceso de revisión exhaustivo que les permita documentar el nivel de afectación.

Cédric: ¿Qué son las sanciones que se aplican si una empresa no ha notificado a titulares de datos personales y se llega a enterar el IFAI de esa violación?

Armando:

La falta de notificación de una vulneración de seguridad a los titulares de los datos personales, que afecte sus derechos morales o patrimoniales, este año puede acarrearles a los responsables multas de entre los 6.476 y 20.723.200 MXN (entre 500 y 1.594.000 USD) según el Capítulo X de la LFPDPPP. Esto incluye fallas de seguridad imputables a la empresa responsable o el obstruir las verificaciones del IFAI.  También existen penas de prisión, mencionadas en el Capítulo XI de la ley, de entre seis meses y tres años para los que, teniendo autorización para el tratamiento de datos personales, y con fines de lucro, provoquen una vulneración a las bases de datos en su custodia.

En cualquiera de los escenarios las penas se duplicarán tratándose de datos personales sensibles y habrá multas adicionales para los responsables que reincidan en una falta

Artículos relevantes de la Ley (LFPDPPP) y su Reglamento (RLFPDPPP):

Obligación general –

Artículo 19, Ley:

“Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdidas, alteración, destrucción o el uso , acceso o tratamiento no autorizado.”

Obligación de notificación –

Artículo 20, Ley:

“Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.”

Notificación al titular –

Artículo 64, Reglamento:

“El responsable deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.”

Contenido de la notificación –

Artículo 65, Reglamento:

“El responsable deberá informar al titular al menos lo siguiente:

I. La naturaleza del incidente;

II. Los datos personales comprometidos;

III. Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses;

IV. Las acciones correctivas realizadas de forma inmediata, y

V. Los medios donde puede obtener más información al respecto.”

Acciones correctivas, preventivas y de mejora –

Artículo 66, Reglamento:

“En caso de que ocurra una vulneración a los datos personales, el responsable deberá analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita.”

Multas y sanciones penales –

Artículo 63, Ley:

“Constituyen infracciones a esta Ley, las siguientes conductas llevadas a cabo por el responsable:

XI. Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable;

XIX. Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de lo previsto en la presente Ley.”

Artículo 64, Ley:

“Las infracciones a la presente Ley serán sancionadas por el Instituto con:

III. Multa de 200 a 320,000 días de salario mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones VIII a XVIII del artículo anterior, y

IV. En caso de que de manera reiterada persistan las infracciones citadas en los incisos anteriores, se impondrá una multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal. En tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos.”

Artículo 65, Ley:

“El Instituto fundará y motivará sus resoluciones, considerando:

I.              La naturaleza del dato;

II.            La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos de esta Ley;

III.          El carácter intencional o no, de la acción u omisión constitutiva de la infracción;

IV.          La capacidad económica del responsable, y

V.            La reincidencia.”

Artículo 66, Ley:

“Las sanciones que se señalan en este Capítulo se impondrán sin perjuicio de la responsabilidad civil o penal que resulte.”

Artículo 67, Ley:

“Se impondrán de tres meses a tres años de prisión al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.”

Artículo 69, Ley:

“Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán.”

Atenuación de sanciones –

Artículo 58, Reglamento:

“En términos de lo dispuesto en el artículo 65, fracción III de la Ley, en los casos en que ocurra una vulneración a la seguridad de los datos personales, el Instituto podrá tomar en consideración el cumplimiento de sus recomendaciones para determinar la atenuación de la sanción que corresponda.”

Incentivos para la autorregulación –

Artículo 81, Reglamento:

“Cuando un responsable adopte y cumpla un esquema de autorregulación, dicha circunstancia será tomada en consideración para determinar la atenuación de la sanción que corresponda, en caso de verificarse algún incumplimiento a lo dispuesto por la Ley y el presente Reglamento, por parte del Instituto. Asimismo, el Instituto podrá determinar otros incentivos para la adopción de esquemas de autorregulación, así como mecanismos que faciliten procesos administrativos ante el mismo.”

Este artículo fue originalmente publicado en el blog “Information Security Breaches & The Law” el 17 de enero de 2013. Fuente de la iamgen: “Herring-Hall-Marvin Safe Co.” (Caja fuerte, Museo de Minería de Nacozari, Estado de Sonora, México). – Photo courtesy of Ricardo Alonso (c) 2010. All rights reserved.