IFAI recomienda proteger datos personales mediante sistema de gestión de seguridad

La comisionada del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), Sigrid Arzt, recomendó a los responsables del manejo de los datos personales adoptar el Sistema de Gestión de Seguridad de Datos Personales (SGSDP), basado en el ciclo Planear, Hacer, Verificar y Actuar (PHVA), para garantizar su protección.
“El SGSDP es un sistema general de manejo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de datos personales, en función del riesgo de los activos y de los principios básicos para su protección, establecidos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), sus reglamentos y normativa secundaria”, expuso.
Al participar en la Expo Tecnología 2014. Soluciones de Tecnologías de la Información, Telecomunicaciones y Seguridad para el canal y el sector empresarial, la comisionada destacó que las vulneraciones de seguridad de datos personales son: la pérdida o destrucción no autorizada; el robo, extravío o copia no autorizada; el uso, acceso o tratamiento no autorizado, o el daño, la alteración o modificación no autorizada.
“De acuerdo con la Ley, el responsable deberá informar al titular la naturaleza del incidente; los datos personales comprometidos; las recomendaciones acerca de las medidas que éste pueda adoptar para proteger sus intereses; las acciones correctivas realizadas de forma inmediata y los medios donde puede obtener más información al respecto”, subrayó.
Sigrid Arzt insistió en que el responsable del manejo de los datos personales, deberá establecer y mantener las medidas de seguridad, administrativas, físicas y, en su caso, técnicas para la protección de éstos.
“Para tales efectos, debe tomar en cuenta el riesgo inherente por tipo de dato; las posibles consecuencias de una vulneración para los titulares; la sensibilidad de los datos, y el desarrollo tecnológico”, precisó.
Durante el panel de expertos La fina línea entre Cloud Computing, Privacidad y Seguridad Informática, la comisionada Arzt enfatizó que antes de contratar un servicio de cómputo en la nube, se debe revisar la legislación aplicable, ya que, dijo, la información puede estar almacenada en una o más locaciones geográficas.
Agregó que se debe identificar también qué tipo de información se enviará a la nube; valorar la sensibilidad y volumen de los datos; identificar las medidas de seguridad que ofrece el proveedor; contar con mecanismos de transparencia; especificar el nivel de servicio cuando el proveedor subcontrate a terceros, y se deben conocer los términos del contrato respecto al borrado y permanencia de la información en la infraestructura del proveedor.