Sistema de Gestión de Seguridad de Datos Personales

1.   Formalizar al enlace operativo del SGDP

 ¿Qué pide la Ley? La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (publicada en el Diario Oficial de la Federación el 5 de julio de 2010) establece en su Artículo 14, que el responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por esta Ley, debiendo adoptar las medidas necesarias para su aplicación.

 Los Parámetros de Autorregulación en Materia de Protección de Datos Personales (publicado en el Diario Oficial de la Federación el 29 de mayo de 2014) establecen en su capítulo 1, sección 1, numeral 20, que el responsable por medio de la alta dirección deberá designar a un miembro de su personal para que apoye en la planeación, implementación y desarrollo del Sistema de Gestión de Datos Personales (SGDP).

 ¿Cómo te ayudamos nosotros? Nuestra firma especializada solicita asignar a una persona como “enlace operativo” que funja como intermediario entre el Encargado (ARA SOFTWARE DESING, S.A. DE C.V.) y el Responsable (Cliente).

De esta forma, el enlace operativo apoyará a que las personas que tratan datos personales de cada área o departamento y el encargado de este servicio (ARA SOFTWARE DESING, S.A DE C.V.) cumplan satisfactoriamente con la implementación de las medidas de seguridad.

2.   Plática de Inducción e inicio de la política de gestión de seguridad de datos personales

 ¿Qué pide la Ley? Los Parámetros de Autorregulación en Materia de Protección de Datos Personales establecen en su capítulo 1, sección 1, párrafo 23, que para asegurar que la debida gestión de datos personales sea parte de los valores centrales del responsable, éste deberá:

   I.   Proporcionar a sus miembros capacitación continua y programas de sensibilización con relación a la protección de los datos personales y el SGDP.

   II.  Establecer un proceso para la evaluación de la efectividad de la capacitación y los programas de sensibilización.

   III. Comunicar a todo el personal la importancia de:

a)   Alcanzar los objetivos del SGPD;

b)   Cumplir con la política de gestión de datos personales;

c)   Actualizar la política de gestión de datos personales y el SGDP.

   IV. Asegurar que todos sus miembros estén sensibilizados de su contribución para alcanzar los objetivos del SGPD y las consecuencias de las no conformidades

¿Cómo te ayudamos nosotros? Proporcionamos pláticas de inducción que tienen por objeto orientar al personal involucrado para el conocimiento de la ley y el correcto tratamiento que cada persona responsable del departamento y/o área hagan sobre los datos personales.

   Con la inducción se sensibiliza al personal en la contribución para alcanzar los objetivos de la empresa y cumplir cabalmente con lo que la ley determina y recomienda en protección de datos personales.

   Ayudamos a que cada departamento determine su política de acción para implementar medidas de seguridad, administrativas, físicas y tecnológicas, minimizando con esto fugas de información y se logre dar un correcto tratamiento de datos personales, se actualizan o realizan ajustes en su política de acción, según cambios internos y/o de la misma ley. 

3.   Elaborar un Inventario de Datos Personales y sistemas de tratamiento

 ¿Qué pide la Ley? El Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (publicado en el Diario Oficial de la Federación el 21 de diciembre de 2011) establece en su Artículo 61 que se debe elaborar un inventario de datos personales y de los sistemas de tratamiento.

 Los Parámetros de Autorregulación en Materia de Protección de Datos Personales establecen en su capítulo 1, sección 1, numeral 24, que el responsable o encargado deberá elaborar, y mantener actualizado, un inventario de los datos personales que trate, o de sus categorías, y de las finalidades de su tratamiento. Asimismo, se deberá documentar el flujo de los datos personales dentro del responsable o encargado, incluyendo la obtención, uso, divulgación, transferencias, almacenamiento, bloqueo y cancelación, e identificando las áreas del responsable o encargado que utilizan los datos personales en las distintas fases del tratamiento.

 ¿Cómo te ayudamos nosotros? Te ayudamos a conocer qué datos de empleados, clientes y proveedores se están recabando y conocer su proporcionalidad. Además, si estos corresponden a la finalidad para lo que fueron recabados por cada área que conforma la empresa. Dicha información se utiliza para la elaboración de los avisos de privacidad conforme la ley lo determina.

4.   Elaborar Avisos de privacidad y convenios de confidencialidad a personal que trata datos personales

 ¿Qué pide la Ley? La Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece en su Artículo 17 que el aviso de privacidad debe ponerse a disposición de los titulares a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología.

   El Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece en su Artículo 26 que el aviso de privacidad deberá contener los elementos a que se refieren los artículos 8, 15, 16, 33 y 36 de la Ley, así como los que se establezcan en los lineamientos a que se refiere el artículo 43, fracción III de la Ley. Mientras que el Artículo 61 establece que se deberán determinar las funciones y obligaciones de las personas que traten datos personales.

 ¿Cómo te ayudamos nosotros? Realizaremos avisos de privacidad acorde a tu inventario de datos, finalidades y estructura cumpliendo con las normativas que la Ley exige para que tu empresa informe a los titulares que datos personales pueden recabar y para que finalidad. Además, realizamos convenios de confidencialidad que determinan las funciones y obligaciones de quienes tratan datos personales, cumpliendo así con esta acción de seguridad.

5.   Establecer mecanismos para atender solicitudes de derechos ARCO

¿Qué pide la Ley? La Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece en sus Artículos 28 y 30 que un titular o su representante legal podrán solicitar al responsable en cualquier momento el acceso, rectificación, cancelación u oposición, respecto de los datos personales que le conciernen.

Para ello, todo responsable deberá designar a una persona, o departamento de datos personales, quien dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere la presente Ley. Así mismo fomentará la protección de datos personales al interior de la organización.

¿Cómo te ayudamos nosotros? Establecemos estrategias y definimos los mecanismos adecuados y acorde a los procesos y/o estructura de cada empresa en la atención de solicitudes de derecho ARCO que algún titular realice, validando que el responsable pueda dar respuesta al titular o al representante legal. 

6.   Realizar un análisis de brecha de las medidas de seguridad seleccionadas contra las existentes.

¿Qué pide la Ley? El Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece en su Artículo 61 (Acciones para la seguridad de datos personales) que se debe realizar el análisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales. Además, elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha.

¿Cómo te ayudamos nosotros? Realizamos un Análisis sobre qué medidas de seguridad realiza cada persona que trata datos personales dentro de la empresa y se recomiendan aquéllas faltantes que resultan necesarias para la protección de los datos personales de acuerdo a la LFPDPP.

7.   Realizar análisis de riesgo

¿Qué pide la Ley? El Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece en su Artículo 61 que es necesario contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales.

Los Parámetros de Autorregulación en Materia de Protección de Datos Personales establecen en su capítulo 1, sección 1, párrafo 25, establecen que el responsable deberá implementar un procedimiento para identificar riesgos y evaluar el grado de riesgo asociado a cada tratamiento de datos personales que realiza por sí mismo o a través de un encargado, de conformidad con lo que establece el Capítulo III del Reglamento y las Recomendaciones en materia de Seguridad de Datos Personales emitidas por el Instituto. El responsable o encargado deberá gestionar los riesgos identificados para mitigar la posibilidad de cualquier vulneración a los datos personales.

¿Cómo te ayudamos nosotros? Te ayudaremos a tener información de la naturaleza del riesgo al que están expuestos los datos personales de tu organización. El enlace operativo (Cliente) y el Encargado (ARA SOFWARE DESING, S.A. DE C.V.) determinarán las características del riesgo que mayor impacto puede tener sobre los datos personales que tratan, con el fin de que prioricen y tomen la mejor decisión respecto a los controles más relevantes e inmediatos a implementar.

8.   Seleccionar medidas de seguridad aplicables

¿Qué pide la Ley? El Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece en su Artículo 60 que el responsable determinará las medidas de seguridad aplicables a los datos personales que trate, considerando los siguientes factores:

I.             El riesgo inherente por tipo de dato personal.

II.           La sensibilidad de los datos personales tratados.

III.          El desarrollo tecnológico.

IV.         Las posibles consecuencias de una vulneración para los titulares.

¿Cómo te ayudamos nosotros? Implementaremos las medidas de seguridad administrativas, tecnológicas o físicas que permitan disminuir los riesgos.

9.   Capacitar al personal encargado para el cumplimiento del SGSDP

 ¿Qué pide la Ley? El Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece en su Artículo 61 que se debe capacitar al personal que efectúe el tratamiento.

 Los Parámetros de Autorregulación en Materia de Protección de Datos Personales establecen en su capítulo 1, sección 1, párrafo 25, establecen que el responsable o encargado deberá asegurar que el personal designado para estar a cargo del cumplimiento cotidiano del SGDP y la política tenga competencia en el conocimiento de la Ley, su Reglamento y demás normativa y buenas prácticas aplicables, así como que dicho personal se mantenga informado y actualizado sobre cuestiones relacionadas con el tratamiento de datos personales. Asimismo, el responsable o encargado deberá asegurarse de que este personal entienda sus funciones y responsabilidades para que los datos personales sean tratados de conformidad con los procedimientos preestablecidos. Para lo anterior, este personal deberá recibir la capacitación que resulte necesaria para la debida realización de sus funciones.

Capacitaremos al personal que trata Datos Personales, de empleados, clientes y proveedores, para que cada uno conozca su responsabilidad en el puesto que desempeña y realice lo conducente para implementar un Sistema de Gestión de Seguridad de Datos Personales, apegado a la Legislación y su reglamento de manera eficiente.

10.   Revisión de cumplimiento

¿Qué pide la Ley? El Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece en su Artículo 61 que se deberán llevar a cabo revisiones o auditorías.

¿Qué hacemos nosotros? Una vez que se recomiendan las medidas de seguridad administrativas, físicas y tecnológicas que cada departamento debe de realizar mediante su política de acción, se revisa mediante evidencia su correcta implementación y para conocimiento de alta Dirección.

11.    Programa de actualización, revisión y mejora continua

¿Qué pide la Ley? Los Parámetros de Autorregulación en Materia de Protección de Datos Personales establecen en su capítulo 1, sección 2, numeral 28 que se deberá revisar y evaluar de manera periódica si el SGDP y la política logran los objetivos planteados con relación al cumplimiento de la Ley, su Reglamento y demás normativa y buenas prácticas aplicables. En caso de que no se logren dichos objetivos o en atención a cambios en la normativa, la tecnología o cualquier otro que resulte relevante, se deberán realizar las modificaciones y actualizaciones necesarias al SGDP y a la política.

¿Qué hacemos nosotros? Dentro de la implementación del Sistema de Gestión de Protección de Datos, contamos con un programa de actualización, revisión y mejora continua, en el cual tenemos atención específica programada para actualizar cualquier cambio interno en la organización, o cualquier actualización en la propia ley.