Administración de Riesgos de Seguridad (Actividad)

[pic 1][pic 2]

Universidad Autónoma de Nuevo León

Facultad de Ciencias Físico Matemáticas

Administración de Riesgos de Seguridad

(Actividad)

Maestro: Efren Ivan Tinoco Vazquez

Grupo: 062

Alumnos:

Carlos Emilio Benítez Garza                 #1868119

Sofia Isabel Madrid Rivas                #1800925

Mariana Flores Puente                # 1900420

Barbara Castillo Robledo                 #1917745

Jesus Eduardo Ayala García                    #1908538

Silvestre Martínez Cervantes                #1847114

Odalys Nahomy Mendoza Galaviz    #1861638

Monterrey, Nuevo León a 29 de enero del 2022

Introducción

En nuestra sociedad, el intercambio y almacenamiento de datos es una práctica diaria en las empresas. El uso de las tecnologías de información y comunicación ha optimizado estos procesos y los ha hecho más eficientes, pero, también ha dado pie a desafíos para los expertos en seguridad y la protección de datos personales.

Las empresas tienen dos responsabilidades al tener datos personales en su posesión: en primer lugar, asegurar la confidencialidad de los datos personales en su cargo, así como pedir el consentimiento del titular en caso de envió de información; segundo, permitir a los titulares de datos personales ejercer sus derechos ARCO.

En este reporte, se estará analizando el marco jurídico que puede aplicarse a la protección de datos personales de empleados en las organizaciones, tanto públicas como privadas, establecidas en México, analizando primero lo que es una medida de seguridad, para después aplicarlas en para la protección de la información sensible de los empleados, así como los principios básicos enunciados en la legislación aplicable al manejo de la información y las diversas obligaciones que deben de tener cada empresa para proteger los datos personales.

Objetivo

El objetivo principal de este reporte es identificar de manera correcta y eficiente las aplicaciones que se toman para las medidas de seguridad relacionadas con los datos personales en una empresa conforme a la normatividad mexicana.

Desarrollo

Los datos personales son toda información que refiera a una persona física que pueda ser identificada a través de los mismos, los cuales se pueden expresar en forma numérica, alfabética, gráfica, etc., por ejemplo: el nombre, apellidos, CURP, estado civil, lugar y fecha de nacimiento, domicilio particular, número telefónico, correo electrónico, grado de estudios, patrimonio, ideología y opiniones políticas, creencias, convicciones religiosas y filosóficas, estado de salud, preferencia sexual, la huella digital, el ADN y el número de seguridad social, entre otros.

Son datos sensibles aquellas categorías subjetivas especiales que distinguen además de la identidad, el origen, creencias y desenvolvimiento social de las personas. Entre ellos podemos mencionar:

• El origen racial o étnico: rasgos faciales, color de la piel; al igual que costumbres e idioma.
• Ideología, creencias políticas, filosóficas y religiosa: se tratan de datos que explican la formación personal y pensamiento de las personas.
• Orientación sexual: aquellos que develen la situación o preferencia de género y filiación sexual.
• Estado de salud: son aquellos datos que muestran las posibles condiciones médicas de los usuarios.

¿Qué es una medida de seguridad?

Las medidas de seguridad de los datos personales son el conjunto de acciones, actividades, controles o mecanismos que permiten protegerlos contra su daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, garantizando con ello su confidencialidad, integridad y disponibilidad.

Las medidas de seguridad pueden clasificarse en administrativas, físicas y técnicas, las cuales de conformidad con el artículo 3, fracciones XXI, XXII y XXIII de la Ley General, se refieren a lo siguiente:

1. Medidas de seguridad administrativas: políticas y procedimientos para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización y capacitación del personal.
2. Medidas de seguridad físicas: conjunto de acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se consideran las actividades siguientes:

- Prevenir el acceso no autorizado al perímetro de la organización, sus instalaciones físicas, áreas críticas, recursos e información;

- Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, recursos e información;

- Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico que pueda salir de la organización; y,

- Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento eficaz, que asegure su disponibilidad e integridad.

1. Medidas de seguridad técnicas: Conjunto de acciones y mecanismos que se valen de la tecnología relacionada con hardware y software para proteger el entorno digital de los datos personales y los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se considerar las actividades siguientes:

- Prevenir que el acceso a las bases de datos o a la información, así como a los recursos, sea por usuarios identificados y autorizados;

- Generar un esquema de privilegios para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;

- Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware; y,

- Gestionar las comunicaciones, operaciones y medios de almacenamiento de los recursos informáticos en el tratamiento de datos personales.

Medidas de seguridad en los datos personales

Desde el 5 de julio de 2010, México cuenta con una ley que regula el tratamiento de los datos personales por parte de empresas del sector privado: la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)

Esta ley es aplicable a cualquier empresa según las siguientes formas de manejo de datos:

• Si la persona responsable del manejo se localiza en México.
• Cuando la información es procesada por un software que funciona en nombre de un procesador de datos localizado en México.
• Cuando la persona responsable del procesamiento de datos utiliza medios de procesamiento ubicados en México.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares define dato personal como cualquier información concerniente a una persona física identificada o identificable. Prevé una definición de datos personales sensibles, aquellos referentes a datos personales que afecten a la esfera más íntima de su titular o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste.

Se consideran datos sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, y preferencia sexual.

Después de esto, surgió el “Reglamento” de la Ley de Protección de Datos que se publicó en el Diario Oficial de la Federación el 21 de diciembre de 2011. Su objetivo es clarificar las disposiciones de la Ley y facilitar su aplicación.

Por otro lado, se crearon los Lineamientos de Aviso de Privacidad en 2013. El propósito principal es dejar claro el contenido de los avisos de privacidad, de acuerdo a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Además, quienes traten datos personales deben tomar en cuenta las guías y documentos emitidos por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). El INAI es la autoridad garante del cumplimiento del derecho a la protección de datos personales. Entre los documentos más destacados está la Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales; y la Guía para el Tratamiento de Datos Biométricos.

Principios de los derechos de protección de datos personales

El derecho de protección de datos personales cuenta con principios enunciados en la legislación aplicable al manejo de la información, tanto para empresas públicas como privadas.

• Principio de licitud: los datos personales deberán recabarse de manera lícita, de acuerdo con las disposiciones establecidas en la legislación en materia de datos personales. La obtención de datos no puede hacerse a través de métodos engañosos o fraudulentos.
• Principio de finalidad: todo tratamiento de datos personales que efectúe el responsable deberá estar justificado por finalidades concretas, lícitas, explícitas y legítimas, relacionadas con las atribuciones que la normatividad aplicable les confiera, o en el caso de empresas privadas, que el tratamiento de datos personales se limite al cumplimiento de las finalidades previstas en el aviso de privacidad.
• Principio de lealtad: el responsable no deberá obtener y tratar datos personales, a través de medios engañosos o fraudulentos. Tendrá que privilegiar la protección de los intereses del titular de los datos personales y la expectativa razonable de privacidad, y velará por el cumplimiento de los principios de protección de datos personales, establecidos en la legislación, debiendo adoptar medidas necesarias para su aplicación.
• Principio de consentimiento: todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas en la legislación en la materia. El consentimiento será expreso cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos. Se entenderá que el titular consiente tácitamente el tratamiento de sus datos cuando, habiéndose puesto a su disposición el aviso de privacidad, no manifiesta su oposición. Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de firma autógrafa, firma electrónica o cualquier mecanismo de autenticación que al efecto se establezca, salvo excepciones de ley.
• Principio de calidad: el responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados según los fines para los cuales fueron recabados. Se presume que se cumple con la calidad en los datos personales cuando éstos son proporcionados directamente por el titular y hasta que éste no manifieste y acredite lo contrario.
• Principio de proporcionalidad: el tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad. El responsable sólo deberá tratar los datos personales que resulten adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento.
• Principio de información: el responsable tendrá la obligación de informar a los titulares de los datos la información que se recabe de ellos y su finalidad. El responsable deberá informar al titular, a través del aviso de privacidad, la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto. Asimismo, se refiere a la potestad que otorga la Ley, de conocer previamente las características esenciales del tratamiento a que serán sometidos los datos personales que se proporcionen a un ente privado o empresa. El aviso de privacidad deberá ser redactado en un lenguaje claro y comprensible.
• Principio de responsabilidad: el responsable deberá tomar las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular sea respetado en todo momento por él, o por terceros con los que guarde alguna relación jurídica.

Además de estos principios, existen deberes en materia de protección de datos personales. Éstos consisten en guardar confidencialidad de la información y establecer medidas de seguridad de la información, adecuadas e iguales a las que las empresas utilizan para guardar su propia información.

...