(Segunda Seccin)

DIARIO OFICIAL

Mircoles 30 de octubre de 2013

INSTITUTO FEDERAL DE ACCESO A LA INFORMACION Y

PROTECCION DE DATOS
RECOMENDACIONES en materia de seguridad de datos personales.
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Instituto Federal de Acceso
a la Informacin y Proteccin de Datos.
El Pleno del Instituto Federal de Acceso a la Informacin y Proteccin de Datos, con fundamento en lo
dispuesto por los artculos 19, 39, fraccin IV de la Ley Federal de Proteccin de Datos Personales en
Posesin de los Particulares; 58 del Reglamento de la Ley Federal de Proteccin de Datos Personales en
Posesin de los Particulares; 15, fracciones I y XXI, 24, fraccin III, y 30, fraccin II del Reglamento Interior del
Instituto Federal de Acceso a la Informacin y Proteccin de Datos, y
CONSIDERANDO
Que uno de los deberes que rigen la proteccin de los datos personales es la implementacin de medidas
de seguridad para la proteccin de la informacin que est en posesin de los responsables y encargados del
tratamiento de los datos personales;
Que en ese sentido, el artculo 19 de la Ley Federal de Proteccin de Datos Personales en Posesin de
los Particulares establece la obligacin para todo responsable que lleve a cabo el tratamiento de datos
personales, de implementar y mantener medidas de seguridad administrativas, tcnicas y fsicas que permitan
proteger los datos personales contra dao, prdida, alteracin, destruccin o el uso, acceso o tratamiento no
autorizado de los mismos;
Que el Captulo III del Reglamento de la Ley Federal de Proteccin de Datos Personales en Posesin de
los Particulares define de manera general los factores que debern tomar en cuenta los responsables y
encargados del tratamiento de datos personales para determinar las medidas de seguridad a implementar
para la proteccin de los mismos, as como las acciones que debern llevar a cabo los responsables y
encargados para la implementacin de las medidas de seguridad;
Que en los casos en que ocurra una vulneracin a la seguridad de los datos personales, el Instituto
Federal de Acceso a la Informacin y Proteccin de Datos (IFAI o Instituto), en su caso, podr tomar en
consideracin el cumplimiento de sus recomendaciones, para efectos del artculo 58 del Reglamento de la Ley
Federal de Proteccin de Datos Personales en Posesin de los Particulares;
Que, adems de lo anterior, las recomendaciones del Instituto servirn de orientacin a los particulares
para determinar los procedimientos y mecanismos a aplicar para la seguridad de los datos personales;
Que de conformidad con el artculo 39, fracciones IV y V de la Ley Federal de Proteccin de Datos
Personales en Posesin de los Particulares, el IFAI tiene las atribuciones de emitir recomendaciones para
efectos de funcionamiento y operacin de esa ley, as como para divulgar estndares y mejores prcticas
internacionales en materia de seguridad de la informacin; emite las presentes:
RECOMENDACIONES EN MATERIA DE SEGURIDAD DE DATOS PERSONALES
1. RECOMENDACIN GENERAL
El artculo 19 de la Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares (en
adelante, la Ley) establece que:
Artculo 19.- Todo responsable que lleve a cabo tratamiento de datos personales deber establecer y
mantener medidas de seguridad administrativas, tcnicas y fsicas que permitan proteger los datos personales
contra dao, prdida, alteracin, destruccin o el uso, acceso o tratamiento no autorizado.
Los responsables no adoptarn medidas de seguridad menores a aquellas que mantengan para el manejo
de su informacin. Asimismo se tomar en cuenta el riesgo existente, las posibles consecuencias para los
titulares, la sensibilidad de los datos y el desarrollo tecnolgico.
Por su parte, el Captulo III del Reglamento de la Ley detalla los factores y acciones que deben tomar en
cuenta los responsables y encargados del tratamiento de datos personales para determinar las medidas de
seguridad aplicables a la informacin personal que est en su posesin.
Asimismo, el Instituto, en su caso, podr tomar en consideracin el cumplimiento de sus recomendaciones
para efectos del artculo 58 del Reglamento de la Ley.

Mircoles 30 de octubre de 2013

DIARIO OFICIAL

(Segunda Seccin)

En ese sentido, y en ejercicio de la facultad que la fraccin IV del artculo 39 de la Ley otorga al Instituto
para emitir criterios y recomendaciones para el funcionamiento y operacin de la Ley; el IFAI emite las
presentes recomendaciones, a fin de que los responsables y encargados tengan un marco de referencia
respecto de las acciones que se consideran como las mnimas necesarias para la seguridad de los datos
personales.

RECOMENDACIN GENERAL
Para la seguridad de los datos personales, el IFAI RECOMIENDA la adopcin de un Sistema de
Gestin de Seguridad de Datos Personales (SGSDP), basado en el ciclo PHVA (Planear-HacerVerificar-Actuar).

Es importante que se tome en cuenta que el alcance del SGSDP es la proteccin de los datos personales
y su tratamiento legtimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la
autodeterminacin informativa de las personas. Por lo cual, el anlisis de riesgos y las medidas de seguridad
implementadas como resultado del seguimiento de las presentes recomendaciones, se debern enfocar en la
proteccin de datos personales contra dao, prdida, alteracin, destruccin o el uso, acceso o tratamiento no
autorizado, as como en evitar las vulneraciones descritas en el artculo 63 del Reglamento de la Ley.
Estas recomendaciones se basan en la seguridad a travs de la gestin del riesgo de los datos
personales, entendindose de forma general al riesgo como una combinacin de la probabilidad de que un
incidente ocurra y de sus consecuencias desfavorables; de modo tal que al determinar el riesgo en un
escenario especfico de la organizacin, se pueda evaluar el impacto y realizar un estimado de las medidas de
seguridad necesarias para preservar la informacin personal.
Es importante sealar que la adopcin de las presentes recomendaciones es de carcter voluntario, por lo
que los responsables y encargados podrn decidir libremente qu metodologa conviene ms aplicar en su
negocio para la seguridad de los datos personales. Asimismo, el seguimiento de las presentes
recomendaciones no exime a los responsables y encargados de su responsabilidad con relacin a cualquier
vulneracin que pudiera ocurrir a sus bases de datos, ya que la seguridad de dichas bases depende de una
correcta implementacin de las medidas o controles de seguridad.
A continuacin se explica lo que en estas recomendaciones se entiende por Sistema de Gestin de
Seguridad de Datos Personales, y las acciones mnimas a considerar para su implementacin.
2. SISTEMA DE GESTIN DE SEGURIDAD DE DATOS PERSONALES
2.1 Conceptos clave
Activo. La informacin, el conocimiento sobre los procesos, el personal, hardware, software y cualquier
otro recurso involucrado en el tratamiento de los datos personales, que tenga valor para la organizacin.
Alta Direccin. Toda persona con poder legal de toma de decisin en las polticas de la organizacin. Por
ejemplo: la junta directiva, ejecutivos y trabajadores experimentados, la persona a cargo del departamento de
datos personales, los socios de la organizacin, el dueo de una empresa unipersonal o quien encabeza la
organizacin.
Datos personales. Cualquier informacin concerniente a una persona fsica identificada o identificable.
Datos personales sensibles. Aquellos datos personales que afecten a la esfera ms ntima de su titular,
o cuya utilizacin indebida pueda dar origen a discriminacin o conlleve un riesgo grave para ste. En
particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o tnico, estado
de salud presente y futuro, informacin gentica, creencias religiosas, filosficas y morales, afiliacin sindical,
opiniones polticas, preferencia sexual.
Encargado. La persona fsica o moral, pblica o privada, ajena a la organizacin del responsable, que
sola o conjuntamente con otras, trata datos personales por cuenta del responsable, como consecuencia de la
existencia de una relacin jurdica que le vincula con el mismo y delimita el mbito de su actuacin para la
prestacin de un servicio.

(Segunda Seccin)

DIARIO OFICIAL

Mircoles 30 de octubre de 2013

Impacto. Una medida del grado de dao a los activos o cambio adverso en el nivel de objetivos
alcanzados por una organizacin.
Incidente. Escenario donde una amenaza explota una vulnerabilidad o conjunto de vulnerabilidades.
-

Amenaza. Circunstancia o evento con la capacidad de causar dao a una organizacin.

Vulnerabilidad. Falta o debilidad de seguridad en un activo o grupo de activos que puede ser
explotada por una o ms amenazas.

Organizacin. Conjunto de personas e instalaciones con una disposicin de responsabilidades,

autoridades y relaciones.
Responsable. Persona fsica o moral de carcter privado que decide sobre el tratamiento de los datos
personales.
Riesgo. Combinacin de la probabilidad de un evento y su consecuencia desfavorable.
Riesgo de seguridad. Potencial de que cierta amenaza pueda explotar las vulnerabilidades de un activo o
grupo de activos en perjuicio de la organizacin.
Seguridad de la informacin. Preservacin de la confidencialidad, integridad y disponibilidad de la
informacin, as como otras propiedades delimitadas por la normatividad aplicable.
-

Confidencialidad. Propiedad de la informacin para no estar a disposicin o ser revelada a

personas, entidades o procesos no autorizados.

Disponibilidad. Propiedad de un activo para ser accesible y utilizable cuando lo requiera una entidad
autorizada.

Integridad. La propiedad de salvaguardar la exactitud y completitud de los activos.

Sistema de Gestin de Seguridad de Datos Personales (SGSDP). Sistema de gestin general para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los
datos personales en funcin del riesgo de los activos y de los principios bsicos de licitud, consentimiento,
informacin, calidad, finalidad, lealtad, proporcionalidad y responsabilidad previstos en la Ley, su Reglamento,
normatividad secundaria y cualquier otro principio que la buena prctica internacional estipule en la materia.
Titular. La persona fsica a quien corresponden los datos personales.
Tratamiento. La obtencin, uso, divulgacin o almacenamiento de datos personales, por cualquier medio.
El uso abarca cualquier accin de acceso, manejo, aprovechamiento, transferencia o disposicin de datos
personales.
2.2 Sistema de Gestin
La gestin es un conjunto de actividades coordinadas para dirigir y controlar un proceso o tarea. Un
sistema es un conjunto de elementos mutuamente relacionados o que interactan por un fin u objetivo. Por lo
tanto, un Sistema de Gestin (SG) se define como un conjunto de elementos y actividades interrelacionadas
para establecer metas y los medios de accin para alcanzarlas.
Asimismo, un sistema de gestin apoya a las organizaciones en la direccin, operacin y control de forma
sistemtica y transparente de sus procesos, a fin de lograr con xito sus actividades, ya que est diseado
para mejorar continuamente el desempeo de la organizacin, mediante la consideracin de las necesidades
de todas las partes interesadas.
Es importante tomar en cuenta que una organizacin tiene que definir y gestionar numerosas actividades
para funcionar con eficiencia. Estas actividades se convierten en procesos que tienen la caracterstica de
recibir elementos de entrada, los cuales se gestionan para regresar al final de su ciclo, como elementos de
salida (resultados). Por ejemplo, un proceso de Auditora puede recibir como elementos de entrada objetivo,
alcance y plan de auditora, as como el informe de resultados de la auditora anterior, y como elemento de
salida un nuevo informe de auditora. A menudo, la salida de un proceso se convierte directamente en la
entrada del proceso siguiente, y la interconexin entre procesos genera sistemas que se retroalimentan para
mejorar.

Mircoles 30 de octubre de 2013

DIARIO OFICIAL

(Segunda Seccin)

En el caso de las presentes recomendaciones, el sistema de gestin propuesto se basa en el modelo

denominado Planificar-Hacer-Verificar-Actuar (PHVA), a travs del cual se dirigen y controlan los procesos o
tareas, como se puede ver en la tabla 1 y figura 1:
Fase del
PHVA

Actividades

Metas

Planificar

Se identifican polticas, objetivos, riesgos, planes, procesos y

procedimientos necesarios para obtener el resultado esperado por la
organizacin (meta).

Medios de
accin

Hacer

Se implementan y operan las polticas, objetivos, planes, procesos y

procedimientos establecidos en la fase anterior.

Verificar

Se evalan y miden los resultados de las polticas, objetivos, planes,

procesos y procedimientos implementados, a fin de verificar que se haya
logrado la mejora esperada.

Actuar

Se adoptan medidas correctivas y preventivas, en funcin de los

resultados y de la revisin, o de otras fuentes de informacin relevantes,
para lograr la mejora continua.

PROCESO

Elemento del SG

Tabla 1. Sistema de Gestin

El SGSDP tiene como objetivo proveer un marco de trabajo para el tratamiento de datos personales, que
permita mantener vigente y mejorar el cumplimiento de la legislacin sobre proteccin de datos personales
y fomentar las buenas prcticas.

Las fases del ciclo PHVA considera diferentes pasos y objetivos especficos para el SGSDP, que pueden
observarse en la siguiente tabla:
Ciclo

Fases

Planificar

Planear el
SGSDP

Pasos
1. Alcance y objetivos

Objetivos Especficos

Definir los objetivos, polticas, procesos y

2. Poltica de gestin de datos procedimientos relevantes del SGSDP para
gestionar los riesgos de los datos
personales.
personales, con el fin de cumplir con la
3. Funciones y obligaciones de
legislacin sobre proteccin de datos y
quienes traten datos personales
obtener resultados acordes con las polticas y
4.
Inventario
de
datos objetivos generales de la organizacin.
personales.
5. Anlisis de riesgos de los
datos personales.
6. Identificacin de las medidas
de seguridad y anlisis de
brecha.

(Segunda Seccin)
Hacer

Verificar

Implementar y

DIARIO OFICIAL
7.

Implementacin

operar el

medidas

de

SGSDP

aplicables

Monitorear y

de

Mircoles 30 de octubre de 2013

las Implementar y operar las polticas, objetivos,

seguridad procesos,
los

datos mecanismos

procedimientos
del

controles

SGSDP,

considerando

personales.

indicadores de medicin.

8. Revisiones y auditora.

Evaluar y medir el cumplimiento del proceso de

revisar el

acuerdo con la legislacin de proteccin de

SGSDP

datos personales, la poltica, los objetivos y la

experiencia prctica del SGSDP, e informar los
resultados a la Alta Direccin para su revisin.

Actuar

Mejorar el
SGSDP

9.

Mejora

Capacitacin.

continua

y Para lograr la mejora continua se deben adoptar

medidas correctivas y preventivas, en funcin de
los resultados obtenidos de la revisin por parte
de la Alta Direccin, las auditoras al SGSDP y
de

la

comparacin

con

otras

fuentes

de

informacin relevantes, como actualizaciones

regulatorias,

riesgos

impactos

organizacionales, entre otros. Adicionalmente, se

debe considerar la capacitacin del personal.

Tabla 2. Objetivos del SGSDP dentro de las fases del ciclo PHVA
La mayora de las organizaciones poseen uno o ms procesos que involucran el tratamiento de datos
personales; estos procesos deben ser identificados y controlados a partir de que la informacin es recolectada
y hasta que se bloquea, se borra o destruye.
Ms an, en el marco de la Ley y su Reglamento, los datos personales son el principal activo de
informacin. En consecuencia, a travs del artculo 61 del Reglamento se puede vislumbrar que una de las
primeras acciones para llevar a cabo su proteccin es tener bien identificado, definido y documentado el flujo
de los datos personales que se traten a travs de los diferentes procesos de la organizacin.
Asimismo, durante el ciclo del SGSDP se deben identificar los riesgos relacionados a los datos
personales, as como al resto de activos que interactan directamente con ellos, y de ese modo determinar los
controles de seguridad que pueden mitigar los incidentes.
3. ACCIONES A IMPLEMENTAR PARA LA SEGURIDAD DE LOS DATOS PERSONALES
Las acciones mnimas a realizar en el Sistema de Gestin de Seguridad de Datos Personales son las
siguientes:
FASE 1. PLANEAR EL SGSDP
PASO 1.

Alcance y Objetivos. Consideraciones respecto al tratamiento de datos personales y el

modelo de negocios de la organizacin.

PASO 2.

Poltica de Gestin de Datos Personales. El compromiso formal documentado de la Alta

Gerencia hacia el tratamiento adecuado de datos personales en la organizacin.

PASO 3.

Funciones y Obligaciones de Quienes Traten Datos Personales. Asignacin de

responsabilidades para la implementacin del SGSDP.

PASO 4.

Inventario de Datos Personales. Identificacin de los tipos de datos y su flujo.

PASO 5.

Anlisis de Riesgo de los Datos Personales.

Factores para Determinar las Medidas de Seguridad. Conjunto de consideraciones

que las organizaciones deben plantear como directrices para tratar el riesgo en
funcin de sus alcances y objetivos.

Valoracin Respecto al Riesgo. Proceso de ponderacin para identificar los

escenarios de riesgo prioritarios y darles tratamiento proporcional.

Mircoles 30 de octubre de 2013

PASO 6.

DIARIO OFICIAL

(Segunda Seccin)

Identificacin de las Medidas de Seguridad y Anlisis de Brecha. Proceso de

evaluacin de las medidas de seguridad que ya existen en la organizacin contra las que
sera conveniente tener. Los controles de seguridad, sin que sean limitativos, deben
considerar los siguientes dominios:
o

Polticas del SGSDP

Cumplimiento legal

Estructura organizacional de la seguridad

Clasificacin y acceso de los activos

Seguridad del personal

Seguridad fsica y ambiental

Gestin de comunicaciones y operaciones

Control de acceso

Desarrollo y mantenimiento de sistemas

Vulneraciones de seguridad

FASE 2. IMPLEMENTAR Y OPERAR EL SGSDP

PASO 7.

Implementacin de las Medidas de Seguridad Aplicables a los Datos Personales.

Cumplimiento Cotidiano de Medidas de Seguridad. Consideraciones para el

trabajo cotidiano con datos personales, as como el plan de tratamiento del riesgo de
los activos relacionados a los mismos.

Plan de Trabajo para la Implementacin de las Medidas de Seguridad Faltantes.

Proceso en el que se decide y se implementa el tratamiento adecuado para un riesgo
o grupo de riesgos respecto al contexto de la organizacin.

FASE 3. MONITOREAR Y REVISAR EL SGSDP

PASO 8.

Revisiones y Auditora. Proceso de revisin del funcionamiento del SGSDP respecto a la

poltica establecida, cada vez que exista un cambio en el contexto del alcance y objetivos
del SGSDP.

Revisin de los Factores de Riesgo. Consideraciones para monitorear el estado del

riesgo y aplicar las modificaciones pertinentes para mejorar el SGSDP.

Auditora. Requerimientos para los procesos de auditora interna/externa.

Vulneraciones a la Seguridad de la Informacin. Consideraciones en caso de un

incidente de seguridad.

FASE 4. MEJORAR EL SGSDP

PASO 9.

Mejora Continua y Capacitacin. Consideraciones para incluir la proteccin de datos en

la cultura de la organizacin y mantener siempre actualizado el SGSDP.

Mejora Continua. La aplicacin de medidas preventivas y correctivas sobre el

SGSDP.

Capacitacin. Programas de mejora en la capacitacin al personal para mantener la

(Segunda Seccin)

DIARIO OFICIAL

Mircoles 30 de octubre de 2013

vigencia del SGSDP.

La siguiente imagen muestra grficamente el ciclo de estas acciones:

Para la implementacin de estas acciones y en general del Sistema de Gestin de Seguridad de Datos
Personales, el IFAI recomienda la consulta de los siguientes estndares internacionales, en los que se basan
las Recomendaciones:

BS 10012:2009, Data protectionSpecification for a personal information management system.

ISO/IEC 27001:2005, Information TechnologySecurity techniquesInformation security management

systems Requirements.

ISO/IEC 27002:2005, Information TechnologySecurity techniquesCode of practice for security

management.

ISO/IEC 27005:2008,
management.

ISO/IEC 29100:2011, Information technologySecurity techniquesPrivacy framework.

ISO 31000:2009, Risk managementPrinciples and guidelines.

ISO GUIDE 72, Guidelines for the justification and development of management systems standards.

ISO GUIDE 73, Risk managementVocabulary.

ISO 9000:2005, Quality management systemsFundamentals and vocabulary.

NIST SP 800-14, Generally Accepted Principles and Practices for Securing Information Technology
Systems.

OECD Guidelines for the Security of Information Systems and NetworksTowards a Culture of
Security.

Information

TechnologySecurity

techniquesInformation

security

risk

Mircoles 30 de octubre de 2013

DIARIO OFICIAL

(Segunda Seccin)

Por ltimo, a continuacin se ofrece un cuadro de anlisis que permite comparar cules de estas acciones
ayudan a cumplir con las obligaciones que establece el Captulo III del Reglamento de la Ley:

De las Medidas de Seguridad en el Tratamiento de Datos Personales

Recomendacin que ayuda a cumplir con la disposicin

Alcance
Artculo 57. El responsable y, en su caso, el encargado debern establecer y mantener las medidas de
seguridad administrativas, fsicas y, en su caso, tcnicas para la proteccin de los datos personales, con

arreglo a lo dispuesto en la Ley y el presente Captulo, con independencia del sistema de tratamiento. Se
entender por medidas de seguridad para los efectos del presente Captulo, el control o grupo de controles
de seguridad para proteger los datos personales.

Recomendacin General.
Paso 1. Alcance y Objetivos.

(Segunda Seccin)

Captulo III

34

Tabla Comparativa entre el Captulo III del Reglamento de la Ley y las Recomendaciones

Paso 2. Poltica de Gestin de Datos Personales.

Lo anterior sin perjuicio de lo establecido por las disposiciones vigentes en materia de seguridad emitidas
por las autoridades competentes al sector que corresponda, cuando stas contemplen una proteccin
mayor para el titular que la dispuesta en la Ley y el presente Reglamento.
Atenuacin de Sanciones
Recomendacin General.

Funciones de seguridad
Artculo 59. Para establecer y mantener de manera efectiva las medidas de seguridad, el responsable
podr desarrollar las funciones de seguridad por s mismo, o bien, contratar a una persona fsica o moral
para tal fin.

Paso 3. Funciones y Obligaciones de Quienes Traten Datos

Personales.
Asignacin
de
responsabilidades
para
la
implementacin del SGSDP.

Paso 7. Implementacin de las Medidas de Seguridad Aplicables a

los Datos Personales.
o

Cumplimiento Cotidiano de Medidas de Seguridad.

Fraccin I El riesgo inherente por tipo de dato personal;

Fraccin II La sensibilidad de los datos personales tratados;
Fraccin III. El desarrollo tecnolgico, y
Fraccin IV. Las posibles consecuencias de una vulneracin para los titulares.

Paso 5. Realizar el Anlisis de Riesgo de los Datos Personales.

o

Factores para Determinar las Medidas de Seguridad.

Mircoles 30 de octubre de 2013

Factores para determinar las medidas de seguridad

Artculo 60. El responsable determinar las medidas de seguridad aplicables a los datos personales que
trate, considerando los siguientes factores:

DIARIO OFICIAL

Artculo 58. En trminos de lo dispuesto en el artculo 65, fraccin III de la Ley, en los casos en que ocurra
una vulneracin a la seguridad de los datos personales, el Instituto podr tomar en consideracin el
cumplimiento de sus recomendaciones para determinar la atenuacin de la sancin que corresponda.

Mircoles 30 de octubre de 2013

De manera adicional, el responsable procurar tomar en cuenta los siguientes elementos:

I. El nmero de titulares;
II. Las vulnerabilidades previas ocurridas en los sistemas de tratamiento;
III. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados
para una tercera persona no autorizada para su posesin, y
IV. Dems factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o regulacin
aplicable al responsable.
Acciones para la seguridad de los datos personales
Artculo 61. A fin de establecer y mantener la seguridad de los datos personales, el responsable deber

Recomendacin general.

considerar las siguientes acciones:

Paso 4. Elaborar un Inventario de Datos Personales.

Fraccin II. Determinar las funciones y obligaciones de las personas que traten datos personales;

Paso 3. Establecer Funciones y Obligaciones de Quienes Traten

Datos Personales.

Fraccin III. Contar con un anlisis de riesgos de datos personales que consiste en identificar peligros y

Paso 5. Realizar el Anlisis de Riesgo de los Datos Personales.

estimar los riesgos a los datos personales;

Fraccin IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aqullas

Paso 6. Identificacin de las medidas de seguridad y Anlisis de

implementadas de manera efectiva;

Brecha.

DIARIO OFICIAL

Fraccin I. Elaborar un inventario de datos personales y de los sistemas de tratamiento;

Paso 7. Implementacin de las Medidas de Seguridad Aplicables a

los Datos Personales.
Paso 6. Identificacin de las medidas de seguridad y Anlisis de

existentes y aqullas faltantes que resultan necesarias para la proteccin de los datos personales;

Brecha.

Fraccin VI. Elaborar un plan de trabajo para la implementacin de las medidas de seguridad faltantes,

Paso 7. Implementacin de las Medidas de Seguridad Aplicables a

derivadas del anlisis de brecha;

los Datos Personales.

o

Plan de Trabajo para la Implementacin de las Medidas de

Seguridad Faltantes.

Paso 8. Revisiones y Auditora.

35

Fraccin VII. Llevar a cabo revisiones o auditoras;

(Segunda Seccin)

Fraccin V. Realizar el anlisis de brecha que consiste en la diferencia de las medidas de seguridad

Paso 9. Mejora Continua y Capacitacin.

o

(Segunda Seccin)

Fraccin IX. Realizar un registro de los medios de almacenamiento de los datos personales.

36

Fraccin VIII. Capacitar al personal que efecte el tratamiento, y

Capacitacin.

Paso 5. Realizar el Anlisis de Riesgo de los Datos Personales.

El responsable deber contar con una relacin de las medidas de seguridad derivadas de las fracciones

Acciones a implementar para la seguridad de los datos personales

anteriores.

documentadas.

Actualizaciones de las medidas de seguridad

Artculo 62. Los responsables debern actualizar la relacin de las medidas de seguridad, cuando ocurran

Paso 8. Revisiones y Auditora.

los siguientes eventos:

I. Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a
la poltica de seguridad del responsable;

DIARIO OFICIAL

II. Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio del nivel de
riesgo;
III. Se vulneren los sistemas de tratamiento, de conformidad con lo dispuesto en el artculo 20 de la Ley y 63
del presente Reglamento, o
IV. Exista una afectacin a los datos personales distinta a las anteriores.
En el caso de datos personales sensibles, los responsables procurarn revisar y, en su caso, actualizar las
relaciones correspondientes una vez al ao.

Artculo 63. Las vulneraciones de seguridad de datos personales ocurridas en cualquier fase de
tratamiento son:
I. La prdida o destruccin no autorizada;
II. El robo, extravo o copia no autorizada;
III. El uso, acceso o tratamiento no autorizado, o
IV. El dao, la alteracin o modificacin no autorizada.

Paso 5. Realizar el Anlisis de Riesgo de los Datos Personales.

Mircoles 30 de octubre de 2013

Vulneraciones de seguridad

Mircoles 30 de octubre de 2013

Notificacin de vulneraciones de seguridad

Artculo 64. El responsable deber informar al titular las vulneraciones que afecten de forma significativa
sus derechos patrimoniales o morales, en cuanto confirme que ocurri la vulneracin y haya tomado las

Paso 9. Mejora Continua y Capacitacin.

o

Vulneraciones a la Seguridad de la Informacin.

acciones encaminadas a detonar un proceso de revisin exhaustiva de la magnitud de la afectacin, y sin

dilacin alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.
Informacin mnima al titular en caso de vulneraciones de seguridad
Artculo 65. El responsable deber informar al titular al menos lo siguiente:

I. La naturaleza del incidente;

Paso 9. Mejora Continua y Capacitacin.

o

Vulneraciones a la Seguridad de la Informacin.

II. Los datos personales comprometidos;

III. Las recomendaciones al titular acerca de las medidas que ste pueda adoptar para proteger sus

DIARIO OFICIAL

intereses;
IV. Las acciones correctivas realizadas de forma inmediata, y
V. Los medios donde puede obtener ms informacin al respecto.
Medidas correctivas en caso de vulneraciones de seguridad
Artculo 66. En caso de que ocurra una vulneracin a los datos personales, el responsable deber analizar
las causas por las cuales se present e implementar las acciones correctivas, preventivas y de mejora para

Paso 9. Mejora Continua y Capacitacin.

o

Mejora Continua.

adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneracin se repita.

mil trece, ante el Secretario de Proteccin de Datos Personales.- El Comisionado Presidente, Gerardo Laveaga Rendn.- Rbrica.- Los Comisionados: Sigrid Arzt
Colunga, Jacqueline Peschard Mariscal, Mara Elena Prez-Jan Zermeo y ngel Trinidad Zaldvar.- Rbricas.- El Secretario de Proteccin de Datos
Personales, Alfonso Oate Laborde.- Rbrica.

37

(R.- 378152)

(Segunda Seccin)

As lo acord el Pleno del Instituto Federal de Acceso a la Informacin y Proteccin de Datos, en sesin celebrada el da veintitrs del mes de octubre del ao dos