Transcription of INSTITUTO FEDERAL DE ACCESO A LA ... - …
1 (Segunda Secci n) DIARIO OFICIAL Mi rcoles 30 de octubre de 2013 INSTITUTO FEDERAL DE ACCESO A LA INFORMACION Y PROTECCION DE DATOS RECOMENDACIONES en materia de seguridad de datos personales. Al margen un sello con el Escudo Nacional, que dice: Estados Unidos INSTITUTO FEDERAL de ACCESO a la Informaci n y Protecci n de Datos. El Pleno del INSTITUTO FEDERAL de ACCESO a la Informaci n y Protecci n de Datos, con fundamento en lo dispuesto por los art culos 19, 39, fracci n IV de la Ley FEDERAL de Protecci n de Datos Personales en Posesi n de los Particulares; 58 del Reglamento de la Ley FEDERAL de Protecci n de Datos Personales en Posesi n de los Particulares; 15, fracciones I y XXI, 24, fracci n III, y 30, fracci n II del Reglamento Interior del INSTITUTO FEDERAL de ACCESO a la Informaci n y Protecci n de Datos, y CONSIDERANDO Que uno de los deberes que rigen la protecci n de los datos personales es la implementaci n de medidas de seguridad para la protecci n de la informaci n que est en posesi n de los responsables y encargados del tratamiento de los datos personales.
2 Que en ese sentido, el art culo 19 de la Ley FEDERAL de Protecci n de Datos Personales en Posesi n de los Particulares establece la obligaci n para todo responsable que lleve a cabo el tratamiento de datos personales, de implementar y mantener medidas de seguridad administrativas, t cnicas y f sicas que permitan proteger los datos personales contra da o, p rdida, alteraci n, destrucci n o el uso, ACCESO o tratamiento no autorizado de los mismos; Que el Cap tulo III del Reglamento de la Ley FEDERAL de Protecci n de Datos Personales en Posesi n de los Particulares define de manera general los factores que deber n tomar en cuenta los responsables y encargados del tratamiento de datos personales para determinar las medidas de seguridad a implementar para la protecci n de los mismos, as como las acciones que deber n llevar a cabo los responsables y encargados para la implementaci n de las medidas de seguridad.
3 Que en los casos en que ocurra una vulneraci n a la seguridad de los datos personales, el INSTITUTO FEDERAL de ACCESO a la Informaci n y Protecci n de Datos (IFAI o INSTITUTO ), en su caso, podr tomar en consideraci n el cumplimiento de sus recomendaciones, para efectos del art culo 58 del Reglamento de la Ley FEDERAL de Protecci n de Datos Personales en Posesi n de los Particulares; Que, adem s de lo anterior, las recomendaciones del INSTITUTO servir n de orientaci n a los particulares para determinar los procedimientos y mecanismos a aplicar para la seguridad de los datos personales; Que de conformidad con el art culo 39, fracciones IV y V de la Ley FEDERAL de Protecci n de Datos Personales en Posesi n de los Particulares, el IFAI tiene las atribuciones de emitir recomendaciones para efectos de funcionamiento y operaci n de esa ley, as como para divulgar est ndares y mejores pr cticas internacionales en materia de seguridad de la informaci n; emite las presentes: RECOMENDACIONES EN MATERIA DE SEGURIDAD DE DATOS PERSONALES 1.
4 RECOMENDACI N GENERAL El art culo 19 de la Ley FEDERAL de Protecci n de Datos Personales en Posesi n de los Particulares (en adelante, la Ley) establece que: Art culo Todo responsable que lleve a cabo tratamiento de datos personales deber establecer y mantener medidas de seguridad administrativas, t cnicas y f sicas que permitan proteger los datos personales contra da o, p rdida, alteraci n, destrucci n o el uso, ACCESO o tratamiento no autorizado. Los responsables no adoptar n medidas de seguridad menores a aquellas que mantengan para el manejo de su informaci n. Asimismo se tomar en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnol gico. Por su parte, el Cap tulo III del Reglamento de la Ley detalla los factores y acciones que deben tomar en cuenta los responsables y encargados del tratamiento de datos personales para determinar las medidas de seguridad aplicables a la informaci n personal que est en su posesi n.
5 Asimismo, el INSTITUTO , en su caso, podr tomar en consideraci n el cumplimiento de sus recomendaciones para efectos del art culo 58 del Reglamento de la Ley. Mi rcoles 30 de octubre de 2013 DIARIO OFICIAL (Segunda Secci n) En ese sentido, y en ejercicio de la facultad que la fracci n IV del art culo 39 de la Ley otorga al INSTITUTO para emitir criterios y recomendaciones para el funcionamiento y operaci n de la Ley; el IFAI emite las presentes recomendaciones, a fin de que los responsables y encargados tengan un marco de referencia respecto de las acciones que se consideran como las m nimas necesarias para la seguridad de los datos personales. RECOMENDACI N GENERAL Para la seguridad de los datos personales, el IFAI RECOMIENDA la adopci n de un Sistema de Gesti n de Seguridad de Datos Personales (SGSDP), basado en el ciclo PHVA (Planear-Hacer-Verificar-Actuar).
6 Es importante que se tome en cuenta que el alcance del SGSDP es la protecci n de los datos personales y su tratamiento leg timo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminaci n informativa de las personas. Por lo cual, el an lisis de riesgos y las medidas de seguridad implementadas como resultado del seguimiento de las presentes recomendaciones, se deber n enfocar en la protecci n de datos personales contra da o, p rdida, alteraci n, destrucci n o el uso, ACCESO o tratamiento no autorizado, as como en evitar las vulneraciones descritas en el art culo 63 del Reglamento de la Ley. Estas recomendaciones se basan en la seguridad a trav s de la gesti n del riesgo de los datos personales, entendi ndose de forma general al riesgo como una combinaci n de la probabilidad de que un incidente ocurra y de sus consecuencias desfavorables; de modo tal que al determinar el riesgo en un escenario espec fico de la organizaci n, se pueda evaluar el impacto y realizar un estimado de las medidas de seguridad necesarias para preservar la informaci n personal.
7 Es importante se alar que la adopci n de las presentes recomendaciones es de car cter voluntario, por lo que los responsables y encargados podr n decidir libremente qu metodolog a conviene m s aplicar en su negocio para la seguridad de los datos personales. Asimismo, el seguimiento de las presentes recomendaciones no exime a los responsables y encargados de su responsabilidad con relaci n a cualquier vulneraci n que pudiera ocurrir a sus bases de datos, ya que la seguridad de dichas bases depende de una correcta implementaci n de las medidas o controles de seguridad. A continuaci n se explica lo que en estas recomendaciones se entiende por Sistema de Gesti n de Seguridad de Datos Personales, y las acciones m nimas a considerar para su implementaci n.
8 2. SISTEMA DE GESTI N DE SEGURIDAD DE DATOS PERSONALES Conceptos clave Activo. La informaci n, el conocimiento sobre los procesos, el personal, hardware, software y cualquier otro recurso involucrado en el tratamiento de los datos personales, que tenga valor para la organizaci n. Alta Direcci n. Toda persona con poder legal de toma de decisi n en las pol ticas de la organizaci n. Por ejemplo: la junta directiva, ejecutivos y trabajadores experimentados, la persona a cargo del departamento de datos personales, los socios de la organizaci n, el due o de una empresa unipersonal o quien encabeza la organizaci n. Datos personales. Cualquier informaci n concerniente a una persona f sica identificada o identificable. Datos personales sensibles. Aquellos datos personales que afecten a la esfera m s ntima de su titular, o cuya utilizaci n indebida pueda dar origen a discriminaci n o conlleve un riesgo grave para ste.
9 En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o tnico, estado de salud presente y futuro, informaci n gen tica, creencias religiosas, filos ficas y morales, afiliaci n sindical, opiniones pol ticas, preferencia sexual. Encargado. La persona f sica o moral, p blica o privada, ajena a la organizaci n del responsable, que sola o conjuntamente con otras, trata datos personales por cuenta del responsable, como consecuencia de la existencia de una relaci n jur dica que le vincula con el mismo y delimita el mbito de su actuaci n para la prestaci n de un servicio. (Segunda Secci n) DIARIO OFICIAL Mi rcoles 30 de octubre de 2013 Impacto. Una medida del grado de da o a los activos o cambio adverso en el nivel de objetivos alcanzados por una organizaci n.
10 Incidente. Escenario donde una amenaza explota una vulnerabilidad o conjunto de vulnerabilidades. - Amenaza. Circunstancia o evento con la capacidad de causar da o a una organizaci n. - Vulnerabilidad. Falta o debilidad de seguridad en un activo o grupo de activos que puede ser explotada por una o m s amenazas. Organizaci n. Conjunto de personas e instalaciones con una disposici n de responsabilidades, autoridades y relaciones. Responsable. Persona f sica o moral de car cter privado que decide sobre el tratamiento de los datos personales. Riesgo. Combinaci n de la probabilidad de un evento y su consecuencia desfavorable. Riesgo de seguridad. Potencial de que cierta amenaza pueda explotar las vulnerabilidades de un activo o grupo de activos en perjuicio de la organizaci n.
