Privacidad y Protección de Datos Personales en México

Inicio » Uncategorized » Recomendaciones para el Manejo de Incidentes de Seguridad de Datos Personales publicada por el INAI

Recomendaciones para el Manejo de Incidentes de Seguridad de Datos Personales publicada por el INAI

Anuncios

Junio, 2018

En días pasados, el INAI dio a conocer las “Recomendaciones para el Manejo de Incidentes de Seguridad de Datos Personales”, con la intención de ayudar a las organizaciones a prevenir, pero también prepararse para atender y notificar una posible vulneración a la seguridad. Para cumplir con esa finalidad, en las recomendaciones: (i) inicialmente se distinguen conceptos comúnmente utilizados cuando se habla de medidas de seguridad como son: activos, riesgos, alertas, incidente, vulneración y revelación. Para posteriormente (ii) brindar información para elaborar un plan de respuesta a incidentes de seguridad; y (iii) ofrecer formatos para documentarlos.

De esta manera el INAI explica que los activos están expuestos a amenazas a la seguridad dependiendo de sus vulnerabilidades. A través de alertas de seguridad puede una organización detectar que se ha presentado un incidente de seguridad, es decir, que el riesgo que existía se ha materializado. Cuando los incidentes de seguridad afectan los sistemas o activos con o en los que se tratan datos personales, se convierten en vulneraciones a la seguridad. Si dichas vulneraciones implican que datos personales se han hecho masivamente públicos se está ante una revelación.

Lo anterior es importante toda vez que la normativa mexicana en materia de protección de datos personales establece que los responsables del tratamiento de datos personales tienen un deber de seguridad. Ese deber se refiere a que el responsable tiene la obligación de establecer y mantener medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales contra vulneraciones. Son vulneraciones a la seguridad, según la ley mexicana, las siguientes: (i) la pérdida o destrucción no autorizada; (ii) el robo, extravío o copia no autorizada; (iii) el uso, acceso o tratamiento no autorizado; y (iv) el daño, la alteración o modificación no autorizada.

Adicionalmente, los responsables tanto del sector privado como del público, tienen diferentes obligaciones cuando se presenta un incidente de seguridad, entre las que destaca, el informar a los titulares y a la autoridad (en el caso del sector público) que: (i) se presentó la vulneración; (ii) los datos personales afectados; (iii) las acciones correctivas realizadas de forma inmediata, entre otros requisitos.

Para prepararse para ese tipo de situaciones, las recomendaciones del INAI explican la conveniencia de contar con un plan de respuesta a incidentes de seguridad y detallan cada una de sus seis fases, a saber: (i) preparación; (ii) identificación; (iii) contención; (iv) mitigación; (v) recuperación; y (vi) mejora continua.
Las recomendaciones pueden consultarse en: http://inicio.inai.org.mx/DocumentosdeInteres/Recomendaciones_Manejo_IS_DP.pdf

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: