Y la protección de datos personales en la nube apa’?

Pablo Corona

Datos Personales / Conceptos • Datos personales: Cualquier información concerniente a una

persona física identificada o identificable.

• Titular: La persona física a quien corresponden los datos personales.

• Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.

• Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.

Datos Personales / Conceptos Es cualquier información relacionada con el Titular, por ejemplo, tu nombre, teléfono, domicilio, fotografía o huellas dactilares, así como cualquier otro dato que pueda servir para identificarte. Este tipo de datos te permiten además, interactuar con otras personas, o con una o más organizaciones, así como que puedas ser sujeto de derechos.

Datos

Titular

ARCO

Datos Finalidad

¿Para qué?

Consentimiento Quién tiene acceso

Internos Externos

Der

ech

os

arco

Acceso

Rectificación

Cancelación

Oposición

Principios

Licitud

Consentimiento

Información

Calidad

Finalidad

Lealtad

Proporcionalidad

Responsabilidad

¿Cómo se recaba el consentimiento?

Consentimiento

Tácito Expreso

Sensibles Financieros y Patrimoniales

Factores para determinar los controles de seguridad

Número de titulares

Vulnerabilidades previas ocurridas en los sistemas de tratamiento

Riesgo de tratamiento no autorizado por parte de terceros

Otros factores que resulten de otras leyes

o regulación aplicable al responsable

El riesgo inherente por tipo de dato

personal

La sensibilidad de los datos

personales tratados

El desarrollo tecnológico

Las posibles consecuencias de una vulneración

para los titulares

Análisis de riesgos asociados a los Datos Personales

Medio Alto

Bajo Medio

Violaciones a la privacidad

Robo, extravió o copia no autorizada

Pérdida o destrucción no autorizada

Uso, acceso o tratamiento no

autorizado

Daño, la alteración o modificación no

autorizada

Vulneraciones

Involucrados

RH MKT

Legal Sistemas

Finalidades

Tratamientos

Transferencias

Aviso de privacidad

¿Qué hay que hacer?

Identificar y Describir Bases de Datos personales

Analizar y clasificar Datos

Análisis de Finalidad y Proporcionalidad

Unificar Bases de Datos

Definir tratamiento y controles para protección de Datos

Asignar permisos y Privilegios para tratamiento de Datos

Crear documento y controles de seguridad

Ventanilla de atención a Titulares para ejercer derechos ARCO

Mantenimiento de datos

Acuerdo de confidencialidad (Internos y Externos)

Publicar Aviso de privacidad

Capacitar al personal

Apegarse a un esquema de autorregulación / Mediación

Acciones para Mantener los Datos Personales

I. Elaborar un inventario de datos personales y de los sistemas de tratamiento;

II. Determinar las funciones y obligaciones de las personas que traten datos personales;

III. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales;

IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas implementadas de manera efectiva;

V. Realizar el análisis de brecha

(diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales;)

VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha;

VII. Llevar a cabo revisiones o auditorías;

VIII. Capacitar al personal que efectúe el tratamiento, y

IX. Realizar un registro de los medios de almacenamiento de los datos personales.

Cómputo en la nube

Servicios en la nube

CRM

Email Masivo

Servicios de

escritorio Bases de datos

Otros servicios

Preocupaciones

Los escenarios que más preocupan a los consumidores de servicios en la nube:

• Publicación de los datos por solicitud de la autoridad (49% de los consumidores)

• Preservación de los archivos y datos después de su borrado (63% de los consumidores)

• Análisis de los datos en la nube para publicidad dirigida (68% de los consumidores)

• Uso de documentos e información almacenada en la nube en campañas de marketing (80% de los consumidores)

• Venta de información a otros (90% de los consumidores)

Fuente: Storm Warning for Privacy? A publication of the ACLU of Northern California

“La privacidad no se acaba en la puesta de nuestra casa, por lo que no debe acabarse al borde de la nube”

Tratamiento de datos personales en el cómputo en la nube

• Aún tratándose de sistemas, servicios y datos en la nube el Responsable debe asegurarse de que el proveedor cumple con:

•a) Tener y aplicar políticas de protección de datos personales afines a los principios y deberes aplicables que establece la Ley y el presente Reglamento;

•b) Transparentar las subcontrataciones que involucren la información sobre la que se presta el servicio;

•c) Abstenerse de incluir condiciones en la prestación del servicio que le autoricen o permitan asumir la titularidad o propiedad de la información sobre la que presta el servicio, y

•d) Guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio, y

• Los proveedores de servicios en la nube deberán contar con mecanismos para::

• a) Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio que presta;

• b) Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio;

• c) Establecer y mantener medidas de seguridad adecuadas para la protección de los datos personales sobre los que se preste el servicio;

• d) Garantizar la supresión de los datos personales una vez que haya concluido el servicio prestado al responsable, y que este último haya podido recuperarlos, y

• e) Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien en caso de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho al responsable.

Tratamiento de datos personales en el cómputo en la nube

Cómputo en la nube y LFPDPPP

¿Qué hacer?

Apego a la legislación local no importando dónde está la

infraestructura

El responsable no puede deslindarse

de su “responsabilidad” y

mantiene la obligación de

proteger los datos

Realizar análisis de

riesgos derivado de

trabajar en la nube

REVISAR los términos y

condiciones del servicio por

parte del proveedor

Formalizar acuerdos con el

proveedor

Datos personales retenidos por los proveedores de cómputo en la nube

• Google Docs almacena información como actividad de la cuenta (espacio utilizado, número de inicios de sesión, acciones ejecutadas) datos despelgados y enlaces que se siguieron (Links, imágenes, artículos) información hotrórica (del navegador, dirección IP, fecha de acceso, cookies, URL

Los consumidores de servicios en la nube tienen un mensaje para sus proveedores: “Mantengamos los datos entre nosotros”.

Tips para consumidores de cómputo en la nube:

• Leer los términos y condiciones del servicio antes de utilizar servicios en la nube. Sino son entendibles los términos del servicio habrá que considerar a otro proveedor.

• No almacenar nada en la nube que no queras que el gobierno o un juez pueda ver

• Leer la política de privacidad antes de almacenar datos en la nube. Si la política de privacidad no es entendible, considerar elegir a otro proveedor.

• Poner especial atención sobre si el proveedor se reserva el derecho a usar, compartir, comerciar o hacer pública la información.

• Considerar cuales son las medidas que se llevarán acabo cuando los datos sean eliminados. ¿El proveedor se compromete a destruirlos, los retendrá por un periodo de tiempo, mantendrá derechos sobre la información?

• ¿De qué manera el proveedor dará notificación sobre los cambios en los términos, condiciones y política de privacidad?

Fuente: Storm Warning for Privacy? A publication of the ACLU of Northern California

Infracciones y sanciones

Incu

mp

lir s

olic

itu

des

AR

CO

100-160mil DSMGVDF • Negligencia o dolo en trámites

ARCO • Declarar dolosamente

inexistencia • Incumplimiento de principios

de Ley • Omisiones en aviso de

privacidad • Datos inexactos • Incumplimiento de

apercibimiento

Apercibimiento

Rei

nci

den

cia

Las sanciones pueden duplicarse en caso de

Datos Sensibles

Delitos:

• 3 meses a 3 años de prisión – con ánimo de lucro, vulnerar seguridad a bases de datos

• 6 meses a 5 años de prisión – con ánimo de lucro indebido, tratar datos personales mediante engaño o error

200-320mil DSMGVDF • Incumplimiento de deber de

confidencialidad • Uso desapegado a la finalidad marcada

en Aviso • Transferir datos sin comunicar aviso de

privacidad • Vulneración a la seguridad • Transferir sin consentimiento del titular • Obstruir verificación de autoridad • Transferencia o cesión en contra de Ley • Recabar datos en forma engañosa o

fraudulenta • Uso ilegítimo de datos en caso de

solicitud de cese • Impedir ejercicio derechos ARCO • No justificar tratamiento de datos

sensibles

El IFAI considerará: Naturaleza del dato (sensibles, financieros y patrimoniales) Negativa injustificada del Responsable a solicitudes del Titular Intencionalidad en la infracción Capacidad económica Reincidencia

ISO 27000 y la LFPDPPP

Antecedentes en la Ley

• El responsable tiene la obligación de velar, responder, así como de rendir cuentas al titular sobre el tratamiento de sus datos personales.

• Para cumplir con esta obligación, el responsable puede valerse de estándares y mejores prácticas internacionales, así como de esquemas de autorregulación.

• Lo anterior puede traducirse en códigos deontológicos o de buenas prácticas profesionales, sellos de confianza u otros mecanismos

• Estos esquemas son vinculantes para quienes se adhieran a los mismos; no obstante, la adhesión es de carácter voluntario

Pablo Corona Fraga Gerente de Certificación de Sistemas de Gestión de TI

Tel.1204 5191 Ext. 427 55 39883120

pcoronaf@nyce.org.mx Twitter: @pcoronaf

Contacto: