Académique Documents
Professionnel Documents
Culture Documents
DIARIO OFICIAL
DIARIO OFICIAL
(Segunda Seccin)
En ese sentido, y en ejercicio de la facultad que la fraccin IV del artculo 39 de la Ley otorga al Instituto
para emitir criterios y recomendaciones para el funcionamiento y operacin de la Ley; el IFAI emite las
presentes recomendaciones, a fin de que los responsables y encargados tengan un marco de referencia
respecto de las acciones que se consideran como las mnimas necesarias para la seguridad de los datos
personales.
RECOMENDACIN GENERAL
Para la seguridad de los datos personales, el IFAI RECOMIENDA la adopcin de un Sistema de
Gestin de Seguridad de Datos Personales (SGSDP), basado en el ciclo PHVA (Planear-HacerVerificar-Actuar).
Es importante que se tome en cuenta que el alcance del SGSDP es la proteccin de los datos personales
y su tratamiento legtimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la
autodeterminacin informativa de las personas. Por lo cual, el anlisis de riesgos y las medidas de seguridad
implementadas como resultado del seguimiento de las presentes recomendaciones, se debern enfocar en la
proteccin de datos personales contra dao, prdida, alteracin, destruccin o el uso, acceso o tratamiento no
autorizado, as como en evitar las vulneraciones descritas en el artculo 63 del Reglamento de la Ley.
Estas recomendaciones se basan en la seguridad a travs de la gestin del riesgo de los datos
personales, entendindose de forma general al riesgo como una combinacin de la probabilidad de que un
incidente ocurra y de sus consecuencias desfavorables; de modo tal que al determinar el riesgo en un
escenario especfico de la organizacin, se pueda evaluar el impacto y realizar un estimado de las medidas de
seguridad necesarias para preservar la informacin personal.
Es importante sealar que la adopcin de las presentes recomendaciones es de carcter voluntario, por lo
que los responsables y encargados podrn decidir libremente qu metodologa conviene ms aplicar en su
negocio para la seguridad de los datos personales. Asimismo, el seguimiento de las presentes
recomendaciones no exime a los responsables y encargados de su responsabilidad con relacin a cualquier
vulneracin que pudiera ocurrir a sus bases de datos, ya que la seguridad de dichas bases depende de una
correcta implementacin de las medidas o controles de seguridad.
A continuacin se explica lo que en estas recomendaciones se entiende por Sistema de Gestin de
Seguridad de Datos Personales, y las acciones mnimas a considerar para su implementacin.
2. SISTEMA DE GESTIN DE SEGURIDAD DE DATOS PERSONALES
2.1 Conceptos clave
Activo. La informacin, el conocimiento sobre los procesos, el personal, hardware, software y cualquier
otro recurso involucrado en el tratamiento de los datos personales, que tenga valor para la organizacin.
Alta Direccin. Toda persona con poder legal de toma de decisin en las polticas de la organizacin. Por
ejemplo: la junta directiva, ejecutivos y trabajadores experimentados, la persona a cargo del departamento de
datos personales, los socios de la organizacin, el dueo de una empresa unipersonal o quien encabeza la
organizacin.
Datos personales. Cualquier informacin concerniente a una persona fsica identificada o identificable.
Datos personales sensibles. Aquellos datos personales que afecten a la esfera ms ntima de su titular,
o cuya utilizacin indebida pueda dar origen a discriminacin o conlleve un riesgo grave para ste. En
particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o tnico, estado
de salud presente y futuro, informacin gentica, creencias religiosas, filosficas y morales, afiliacin sindical,
opiniones polticas, preferencia sexual.
Encargado. La persona fsica o moral, pblica o privada, ajena a la organizacin del responsable, que
sola o conjuntamente con otras, trata datos personales por cuenta del responsable, como consecuencia de la
existencia de una relacin jurdica que le vincula con el mismo y delimita el mbito de su actuacin para la
prestacin de un servicio.
(Segunda Seccin)
DIARIO OFICIAL
Impacto. Una medida del grado de dao a los activos o cambio adverso en el nivel de objetivos
alcanzados por una organizacin.
Incidente. Escenario donde una amenaza explota una vulnerabilidad o conjunto de vulnerabilidades.
-
Vulnerabilidad. Falta o debilidad de seguridad en un activo o grupo de activos que puede ser
explotada por una o ms amenazas.
Disponibilidad. Propiedad de un activo para ser accesible y utilizable cuando lo requiera una entidad
autorizada.
Sistema de Gestin de Seguridad de Datos Personales (SGSDP). Sistema de gestin general para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los
datos personales en funcin del riesgo de los activos y de los principios bsicos de licitud, consentimiento,
informacin, calidad, finalidad, lealtad, proporcionalidad y responsabilidad previstos en la Ley, su Reglamento,
normatividad secundaria y cualquier otro principio que la buena prctica internacional estipule en la materia.
Titular. La persona fsica a quien corresponden los datos personales.
Tratamiento. La obtencin, uso, divulgacin o almacenamiento de datos personales, por cualquier medio.
El uso abarca cualquier accin de acceso, manejo, aprovechamiento, transferencia o disposicin de datos
personales.
2.2 Sistema de Gestin
La gestin es un conjunto de actividades coordinadas para dirigir y controlar un proceso o tarea. Un
sistema es un conjunto de elementos mutuamente relacionados o que interactan por un fin u objetivo. Por lo
tanto, un Sistema de Gestin (SG) se define como un conjunto de elementos y actividades interrelacionadas
para establecer metas y los medios de accin para alcanzarlas.
Asimismo, un sistema de gestin apoya a las organizaciones en la direccin, operacin y control de forma
sistemtica y transparente de sus procesos, a fin de lograr con xito sus actividades, ya que est diseado
para mejorar continuamente el desempeo de la organizacin, mediante la consideracin de las necesidades
de todas las partes interesadas.
Es importante tomar en cuenta que una organizacin tiene que definir y gestionar numerosas actividades
para funcionar con eficiencia. Estas actividades se convierten en procesos que tienen la caracterstica de
recibir elementos de entrada, los cuales se gestionan para regresar al final de su ciclo, como elementos de
salida (resultados). Por ejemplo, un proceso de Auditora puede recibir como elementos de entrada objetivo,
alcance y plan de auditora, as como el informe de resultados de la auditora anterior, y como elemento de
salida un nuevo informe de auditora. A menudo, la salida de un proceso se convierte directamente en la
entrada del proceso siguiente, y la interconexin entre procesos genera sistemas que se retroalimentan para
mejorar.
DIARIO OFICIAL
(Segunda Seccin)
Actividades
Metas
Planificar
Medios de
accin
Hacer
Verificar
Actuar
PROCESO
Elemento del SG
El SGSDP tiene como objetivo proveer un marco de trabajo para el tratamiento de datos personales, que
permita mantener vigente y mejorar el cumplimiento de la legislacin sobre proteccin de datos personales
y fomentar las buenas prcticas.
Las fases del ciclo PHVA considera diferentes pasos y objetivos especficos para el SGSDP, que pueden
observarse en la siguiente tabla:
Ciclo
Fases
Planificar
Planear el
SGSDP
Pasos
1. Alcance y objetivos
Objetivos Especficos
(Segunda Seccin)
Hacer
Verificar
Implementar y
DIARIO OFICIAL
7.
Implementacin
operar el
medidas
de
SGSDP
aplicables
Monitorear y
de
seguridad procesos,
los
datos mecanismos
procedimientos
del
controles
SGSDP,
considerando
personales.
indicadores de medicin.
8. Revisiones y auditora.
revisar el
SGSDP
Actuar
Mejorar el
SGSDP
9.
Mejora
Capacitacin.
continua
la
comparacin
con
otras
fuentes
de
riesgos
impactos
Tabla 2. Objetivos del SGSDP dentro de las fases del ciclo PHVA
La mayora de las organizaciones poseen uno o ms procesos que involucran el tratamiento de datos
personales; estos procesos deben ser identificados y controlados a partir de que la informacin es recolectada
y hasta que se bloquea, se borra o destruye.
Ms an, en el marco de la Ley y su Reglamento, los datos personales son el principal activo de
informacin. En consecuencia, a travs del artculo 61 del Reglamento se puede vislumbrar que una de las
primeras acciones para llevar a cabo su proteccin es tener bien identificado, definido y documentado el flujo
de los datos personales que se traten a travs de los diferentes procesos de la organizacin.
Asimismo, durante el ciclo del SGSDP se deben identificar los riesgos relacionados a los datos
personales, as como al resto de activos que interactan directamente con ellos, y de ese modo determinar los
controles de seguridad que pueden mitigar los incidentes.
3. ACCIONES A IMPLEMENTAR PARA LA SEGURIDAD DE LOS DATOS PERSONALES
Las acciones mnimas a realizar en el Sistema de Gestin de Seguridad de Datos Personales son las
siguientes:
FASE 1. PLANEAR EL SGSDP
PASO 1.
PASO 2.
PASO 3.
PASO 4.
PASO 5.
DIARIO OFICIAL
(Segunda Seccin)
Cumplimiento legal
Control de acceso
Vulneraciones de seguridad
(Segunda Seccin)
DIARIO OFICIAL
Para la implementacin de estas acciones y en general del Sistema de Gestin de Seguridad de Datos
Personales, el IFAI recomienda la consulta de los siguientes estndares internacionales, en los que se basan
las Recomendaciones:
ISO/IEC 27005:2008,
management.
ISO GUIDE 72, Guidelines for the justification and development of management systems standards.
NIST SP 800-14, Generally Accepted Principles and Practices for Securing Information Technology
Systems.
OECD Guidelines for the Security of Information Systems and NetworksTowards a Culture of
Security.
Information
TechnologySecurity
techniquesInformation
security
risk
DIARIO OFICIAL
(Segunda Seccin)
Por ltimo, a continuacin se ofrece un cuadro de anlisis que permite comparar cules de estas acciones
ayudan a cumplir con las obligaciones que establece el Captulo III del Reglamento de la Ley:
Alcance
Artculo 57. El responsable y, en su caso, el encargado debern establecer y mantener las medidas de
seguridad administrativas, fsicas y, en su caso, tcnicas para la proteccin de los datos personales, con
arreglo a lo dispuesto en la Ley y el presente Captulo, con independencia del sistema de tratamiento. Se
entender por medidas de seguridad para los efectos del presente Captulo, el control o grupo de controles
de seguridad para proteger los datos personales.
Recomendacin General.
Paso 1. Alcance y Objetivos.
(Segunda Seccin)
Captulo III
34
Tabla Comparativa entre el Captulo III del Reglamento de la Ley y las Recomendaciones
Lo anterior sin perjuicio de lo establecido por las disposiciones vigentes en materia de seguridad emitidas
por las autoridades competentes al sector que corresponda, cuando stas contemplen una proteccin
mayor para el titular que la dispuesta en la Ley y el presente Reglamento.
Atenuacin de Sanciones
Recomendacin General.
Funciones de seguridad
Artculo 59. Para establecer y mantener de manera efectiva las medidas de seguridad, el responsable
podr desarrollar las funciones de seguridad por s mismo, o bien, contratar a una persona fsica o moral
para tal fin.
DIARIO OFICIAL
Artculo 58. En trminos de lo dispuesto en el artculo 65, fraccin III de la Ley, en los casos en que ocurra
una vulneracin a la seguridad de los datos personales, el Instituto podr tomar en consideracin el
cumplimiento de sus recomendaciones para determinar la atenuacin de la sancin que corresponda.
Recomendacin general.
Fraccin II. Determinar las funciones y obligaciones de las personas que traten datos personales;
Fraccin III. Contar con un anlisis de riesgos de datos personales que consiste en identificar peligros y
Brecha.
DIARIO OFICIAL
existentes y aqullas faltantes que resultan necesarias para la proteccin de los datos personales;
Brecha.
Fraccin VI. Elaborar un plan de trabajo para la implementacin de las medidas de seguridad faltantes,
35
(Segunda Seccin)
Fraccin V. Realizar el anlisis de brecha que consiste en la diferencia de las medidas de seguridad
(Segunda Seccin)
Fraccin IX. Realizar un registro de los medios de almacenamiento de los datos personales.
36
Capacitacin.
El responsable deber contar con una relacin de las medidas de seguridad derivadas de las fracciones
anteriores.
documentadas.
DIARIO OFICIAL
II. Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio del nivel de
riesgo;
III. Se vulneren los sistemas de tratamiento, de conformidad con lo dispuesto en el artculo 20 de la Ley y 63
del presente Reglamento, o
IV. Exista una afectacin a los datos personales distinta a las anteriores.
En el caso de datos personales sensibles, los responsables procurarn revisar y, en su caso, actualizar las
relaciones correspondientes una vez al ao.
Artculo 63. Las vulneraciones de seguridad de datos personales ocurridas en cualquier fase de
tratamiento son:
I. La prdida o destruccin no autorizada;
II. El robo, extravo o copia no autorizada;
III. El uso, acceso o tratamiento no autorizado, o
IV. El dao, la alteracin o modificacin no autorizada.
Vulneraciones de seguridad
DIARIO OFICIAL
intereses;
IV. Las acciones correctivas realizadas de forma inmediata, y
V. Los medios donde puede obtener ms informacin al respecto.
Medidas correctivas en caso de vulneraciones de seguridad
Artculo 66. En caso de que ocurra una vulneracin a los datos personales, el responsable deber analizar
las causas por las cuales se present e implementar las acciones correctivas, preventivas y de mejora para
Mejora Continua.
adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneracin se repita.
mil trece, ante el Secretario de Proteccin de Datos Personales.- El Comisionado Presidente, Gerardo Laveaga Rendn.- Rbrica.- Los Comisionados: Sigrid Arzt
Colunga, Jacqueline Peschard Mariscal, Mara Elena Prez-Jan Zermeo y ngel Trinidad Zaldvar.- Rbricas.- El Secretario de Proteccin de Datos
Personales, Alfonso Oate Laborde.- Rbrica.
37
(R.- 378152)
(Segunda Seccin)
As lo acord el Pleno del Instituto Federal de Acceso a la Informacin y Proteccin de Datos, en sesin celebrada el da veintitrs del mes de octubre del ao dos