Fundamento Legal para la Implementación de Medidas de Seguridad de la Información
Por:
Flavio Suárez-Muñoz
El
desarrollo tecnológico que se dio entre 1946 y 1969 con la creación de la
ENIAC, la EDVAC y la UNIVAC, así como el desarrollo del protocolo de internet (TCP/IP),
que en su origen tenía un propósito militar como medio de comunicación seguro
en la Segunda Guerra Mundial, también son tecnologías que se dieron a conocer
por su capacidad para procesar y transmitir información entre distintos nodos
conectados a la red, lo cual vislumbraba posibles violaciones a los derechos
humanos reconocidos en la Declaración Universal de Derechos Humanos de
1948, donde en su artículo 12 reconocía el derecho a la privacidad.
Este
derecho, según lo establecía la declaración, impedía que las personas fueran “objeto
de injerencias arbitrarias a su vida privada, su familia, su correspondencia”,
así como sufrir ataques a su honra o a su reputación. Por lo tanto, el
potencial que presentaban las nuevas tecnologías para el procesamiento y
transmisión de información, representaba un riesgo para la privacidad de las
personas.
Así es
como en el año de 1970 se crea una ley sobre tratamiento de datos personales en
el Estado de Hesse, en Alemania, con el objetivo de limitar el uso de la
informática con la intención de proteger la privacidad de las personas.
Posteriormente, en el año de 1973 se crea en Suecia, la que se conoce como la
primera ley de protección de datos en el mundo, seguida de la Privacy Act
en Estados Unidos en 1974, dando como resultado lo que se conoce como la
primera generación del Derecho a la Protección de Datos Personales.
Tambien puedes escuchar nuestro Podcast:
Este derecho tardaría 39 años en ser reconocido como un derecho humano en México, para dicho reconocimiento constitucional fue necesario reformar el artículo 16° en el año 2009 para insertar el apartado que refiere que:
Toda persona tiene derecho
a la protección de sus datos personales, al acceso, rectificación y cancelación
de los mismos, así como a manifestar su oposición, en los términos que fije la
ley, la cual establecerá los supuestos de excepción a los principios que rijan
el tratamiento de datos, por razones de seguridad nacional, disposiciones de
orden público, seguridad y salud públicas o para proteger los derechos de terceros.
Derivado
de ello, se creo la Ley Federal de Protección de Datos Personales en
Posesión de los Particulares, seguida de su Reglamento. En el artículo 19
de dicha Ley refiere que:
Todo responsable que lleve
a cabo tratamiento de datos personales deberá establecer y mantener medidas de
seguridad administrativas, técnicas y físicas que permitan proteger los datos personales
contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no
autorizado.
Los responsables no
adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo
de su información. Asimismo, se tomará en cuenta el riesgo existente, las
posibles consecuencias para los titulares, la sensibilidad de los datos y el
desarrollo tecnológico.
En la
citada Ley se establecen los principios que rigen el tratamiento de los datos
personales. Así como los deberes y obligaciones del responsable del
tratamiento. De tal manera que, con fundamento en el artículo antes citado, se
obliga a los responsables a implementar las medidas de seguridad necesarias
para proteger los datos personales, y el Reglamento dedica el capítulo III,
correspondiente a las Medidas de Seguridad en el Tratamiento de Datos
Personales, y establece en el artículo 57 que “se entenderá por medidas de
seguridad […], el control o grupo de controles de seguridad para proteger los
datos personales”.
De tal
manera que en el sector privado existe fundamento legal para implementar
medidas de seguridad de manera obligada para cumplir con lo establecido en el
artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión
de los Particulares, así como de lo establecido en el capítulo III del
Reglamento de dicha Ley.
Por su
parte, en el sector público, aunque ya había legislación en materia de
protección de datos personales en la Ley Federal de Transparencia y Acceso a
la Información Pública Gubernamental desde el año 2002, y en otros casos,
leyes de protección de datos personales en algunas entidades federativas, no
estaba regulado como un derecho humano sino como una excepción al derecho de
acceso a la información pública con la intención de proteger la privacidad de
las personas.
No fue
sino hasta el año 2017 cuando se publicó la Ley General de Protección de
Datos Personales en Posesión de los Sujetos Obligados, misma que obliga a
las entidades federativas a emitir la propia ley local para la protección de
los datos personales en posesión de los sujetos obligados. Dando como resultado
una ley general y 32 leyes estatales, siendo, en el caso de la ley general, de
ámbito federal y aplicable a todas las dependencias de gobierno federal,
mientras que las leyes locales serán aplicables en cada entidad federativa de
la que se trate.
En
dicha ley general se dedica el capítulo II a los deberes, en donde se puede
leer en el artículo 34 que “las acciones relacionadas con las medidas de
seguridad para el tratamiento de los datos personales deberán estar
documentadas y contenidas en un sistema de gestión”. Lo que representa la
obligación de que las instituciones del sector público, implementen las medidas
de seguridad adecuadas para la protección de los datos personales.
Si
bien, la Ley establece la obligación de implementar las medidas de seguridad
administrativas, técnicas y físicas para la protección de los datos personales,
no olvidemos que el artículo 19 de la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares, indica que “Los responsables no
adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo
de su información”. Lo cual supone que ya existen medidas de seguridad de la
información implementadas.
Es
importante mencionar que las medidas de seguridad que se establecen en estas
leyes, al hacer referencia a medidas de seguridad administrativas, técnicas y
físicas, van más allá de la ciberseguridad, ya que mientras que esta solo se
encarga de la seguridad de la información en los sistemas digitales, así como
en la infraestructura de las comunicaciones por donde esta circula, la
seguridad de la información vela también por la seguridad de la información
física.
Por lo
tanto, es necesario establecer procedimientos para el tratamiento de la
información, se debe clasificar la información, y se deberán tener los cuidados
necesarios para brindar el tratamiento, así como la protección adecuada cuando
se trata de datos personales, con la intención de lograr los objetivos de la
seguridad de la información que son, integridad, confidencialidad y
disponibilidad, a lo cual podríamos agregar también la trazabilidad y el no
repudio.
Para
lograr tales objetivos existen normativas internacionales como la familia de la
ISO 27000, sin embargo, existe una metodología local creada por el INAI, que
bien sirve para la implementación de las medidas de seguridad que la Ley exige
a los responsables del tratamiento, dicha metodología se llama “Metodología
BAA”, de la cual la B significa beneficio, la primera A es Accesibilidad y la
última corresponde a la Anonimidad. Esto es, que tanto beneficio puede obtener
un atacante, que tan accesible puede ser la información para el atacante y que
tan anónimo puede ser el atacante.
Esta metodología retoma los controles propuestos por la norma ISO 27002 y se adecúan de acuerdo al riesgo inherente por tipo de dato personales que se almacene, por ello, resulta de interés la observación de la misma para dar cumplimiento a lo establecido en el artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y al artículo 34 de la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados.
También te invito a que nos leeas en los siguientes blogs
www.tecnodigitalex.com
www.totalpdp.com
www.tecnotic.com
www.aulatic40.com
www.3detic.com
Eescuchanos en nuestros Podcast:
Tecno DigitaLex
TotalPDP
Tambien puedes ver los videos en nuestros canales de YouTube:
TecnoDigitaLex
TotalPDP
TecnoTIC
AulaTIC4.0
3DETIC