Fundamento Legal para la Implementación de Medidas de Seguridad de la Información

Por: Flavio Suárez-Muñoz

El desarrollo tecnológico que se dio entre 1946 y 1969 con la creación de la ENIAC, la EDVAC y la UNIVAC, así como el desarrollo del protocolo de internet (TCP/IP), que en su origen tenía un propósito militar como medio de comunicación seguro en la Segunda Guerra Mundial, también son tecnologías que se dieron a conocer por su capacidad para procesar y transmitir información entre distintos nodos conectados a la red, lo cual vislumbraba posibles violaciones a los derechos humanos reconocidos en la Declaración Universal de Derechos Humanos de 1948, donde en su artículo 12 reconocía el derecho a la privacidad.

Este derecho, según lo establecía la declaración, impedía que las personas fueran “objeto de injerencias arbitrarias a su vida privada, su familia, su correspondencia”, así como sufrir ataques a su honra o a su reputación. Por lo tanto, el potencial que presentaban las nuevas tecnologías para el procesamiento y transmisión de información, representaba un riesgo para la privacidad de las personas.

Así es como en el año de 1970 se crea una ley sobre tratamiento de datos personales en el Estado de Hesse, en Alemania, con el objetivo de limitar el uso de la informática con la intención de proteger la privacidad de las personas. Posteriormente, en el año de 1973 se crea en Suecia, la que se conoce como la primera ley de protección de datos en el mundo, seguida de la Privacy Act en Estados Unidos en 1974, dando como resultado lo que se conoce como la primera generación del Derecho a la Protección de Datos Personales.

Tambien puedes escuchar nuestro Podcast:

Este derecho tardaría 39 años en ser reconocido como un derecho humano en México, para dicho reconocimiento constitucional fue necesario reformar el artículo 16° en el año 2009 para insertar el apartado que refiere que:

Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.

Derivado de ello, se creo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, seguida de su Reglamento. En el artículo 19 de dicha Ley refiere que:

Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo, se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.

En la citada Ley se establecen los principios que rigen el tratamiento de los datos personales. Así como los deberes y obligaciones del responsable del tratamiento. De tal manera que, con fundamento en el artículo antes citado, se obliga a los responsables a implementar las medidas de seguridad necesarias para proteger los datos personales, y el Reglamento dedica el capítulo III, correspondiente a las Medidas de Seguridad en el Tratamiento de Datos Personales, y establece en el artículo 57 que “se entenderá por medidas de seguridad […], el control o grupo de controles de seguridad para proteger los datos personales”.

De tal manera que en el sector privado existe fundamento legal para implementar medidas de seguridad de manera obligada para cumplir con lo establecido en el artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, así como de lo establecido en el capítulo III del Reglamento de dicha Ley.

Por su parte, en el sector público, aunque ya había legislación en materia de protección de datos personales en la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental desde el año 2002, y en otros casos, leyes de protección de datos personales en algunas entidades federativas, no estaba regulado como un derecho humano sino como una excepción al derecho de acceso a la información pública con la intención de proteger la privacidad de las personas.

No fue sino hasta el año 2017 cuando se publicó la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados, misma que obliga a las entidades federativas a emitir la propia ley local para la protección de los datos personales en posesión de los sujetos obligados. Dando como resultado una ley general y 32 leyes estatales, siendo, en el caso de la ley general, de ámbito federal y aplicable a todas las dependencias de gobierno federal, mientras que las leyes locales serán aplicables en cada entidad federativa de la que se trate.

En dicha ley general se dedica el capítulo II a los deberes, en donde se puede leer en el artículo 34 que “las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales deberán estar documentadas y contenidas en un sistema de gestión”. Lo que representa la obligación de que las instituciones del sector público, implementen las medidas de seguridad adecuadas para la protección de los datos personales.

Tambien puedes ver el video completo en YouTube:

Si bien, la Ley establece la obligación de implementar las medidas de seguridad administrativas, técnicas y físicas para la protección de los datos personales, no olvidemos que el artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, indica que “Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información”. Lo cual supone que ya existen medidas de seguridad de la información implementadas.

Es importante mencionar que las medidas de seguridad que se establecen en estas leyes, al hacer referencia a medidas de seguridad administrativas, técnicas y físicas, van más allá de la ciberseguridad, ya que mientras que esta solo se encarga de la seguridad de la información en los sistemas digitales, así como en la infraestructura de las comunicaciones por donde esta circula, la seguridad de la información vela también por la seguridad de la información física.

Por lo tanto, es necesario establecer procedimientos para el tratamiento de la información, se debe clasificar la información, y se deberán tener los cuidados necesarios para brindar el tratamiento, así como la protección adecuada cuando se trata de datos personales, con la intención de lograr los objetivos de la seguridad de la información que son, integridad, confidencialidad y disponibilidad, a lo cual podríamos agregar también la trazabilidad y el no repudio.

Para lograr tales objetivos existen normativas internacionales como la familia de la ISO 27000, sin embargo, existe una metodología local creada por el INAI, que bien sirve para la implementación de las medidas de seguridad que la Ley exige a los responsables del tratamiento, dicha metodología se llama “Metodología BAA”, de la cual la B significa beneficio, la primera A es Accesibilidad y la última corresponde a la Anonimidad. Esto es, que tanto beneficio puede obtener un atacante, que tan accesible puede ser la información para el atacante y que tan anónimo puede ser el atacante.

Esta metodología retoma los controles propuestos por la norma ISO 27002 y se adecúan de acuerdo al riesgo inherente por tipo de dato personales que se almacene, por ello, resulta de interés la observación de la misma para dar cumplimiento a lo establecido en el artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y al artículo 34 de la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados.