Por: Lic. Laura M. Garay
El marco normativo en materia de datos personales establece que: “Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado”. Si embargo, ¿Tu empresa cuenta dichas medidas?
Es relevante analizar y responder esta pregunta, ya que, expertos en ciberseguridad afirman que el 82% de las fugas de datos o información tienen que ver con el factor humano, ante una mala gestión de datos personales, con tan solo un “click” podemos compartir de manera innecesaria datos personales a destinarios equivocados o incluir por error información confidencial y sensible.
Es relevante que tu empresa no solo cuente con un aviso de privacidad que cumpla con los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad establecidos en la Ley, sino que también, deberá implementar políticas de privacidad en las cuales se incluyan medidas físicas y tecnológicas que el personal de tu empresa deberá llevar a cabo cuando realiza el tratamiento de datos personales (obtener o recabar, usar o almacenar datos personales e información).
En dichas políticas se deberá considerar la vulnerabilidad o sensibilidad de los datos personales, además de puntualizar las áreas, departamentos o qué personal es necesario que tenga acceso a dicha información, acorde con las finalidades del tratamiento de datos personales. Asimismo, que los niveles de seguridad sean adecuados, por ejemplo, si estamos tratando información confidencial o datos sensibles (datos ideológicos, salud, opinión política, sindical, sexualidad, ético o racial) es recomendable que el acceso sea restringido o limitado únicamente al personal autorizado, colocando contraseñas o cifrado.
Es altamente recomendable que de manera periódica se realicen auditorías internas en la empresa, las cuales nos permiten conocer los puntos vulnerables o riesgos existentes de una mala gestión de información o datos personales. Es indispensable mantener actualizadas nuestras políticas conforme a la regulación nacional e internacional, por ejemplo, implementar la Norma internacional ISO/IEC 27001, la cual funge como marco para gestionar la seguridad de la información y datos personales (Sistema de Gestión de la Seguridad de la Información).
No debemos olvidar un factor primordial en la gestión de datos personales: el recurso humano, el cual deberá capacitarse y mantenerse actualizado, no solo el área de IT (Information Tecnology), ya que la protección y seguridad de la información y datos personales concierne a todo personal que intervengan en cualquier fase del tratamiento de datos personales. En este aspecto, se recomienda simular incidentes de seguridad para que el personal se familiarice con los procedimientos que se deben implementar.
Construye una confianza sólida de tus clientes con el tratamiento legítimo, controlado e informado, el cual garantiza la privacidad y el derecho a la autodeterminación informativa de las personas.
