INSTITUTO FEDERAL DE ACCESO A LA INFORMACION Y PROTECCION DE DATOS

Transcripción

1 INSTITUTO FEDERAL DE ACCESO A LA INFORMACION Y PROTECCION DE DATOS RECOMENDACIONES en materia de seguridad de dats persnales. Al margen un sell cn el Escud Nacinal, que dice: Estads Unids Mexicans.- Institut Federal de Acces a la Infrmación y Prtección de Dats. El Plen del Institut Federal de Acces a la Infrmación y Prtección de Dats, cn fundament en l dispuest pr ls artículs 19, 39, fracción IV de la Ley Federal de Prtección de Dats Persnales en Psesión de ls Particulares; 58 del Reglament de la Ley Federal de Prtección de Dats Persnales en Psesión de ls Particulares; 15, fraccines I y XXI, 24, fracción III, y 30, fracción II del Reglament Interir del Institut Federal de Acces a la Infrmación y Prtección de Dats, y CONSIDERANDO Que un de ls deberes que rigen la prtección de ls dats persnales es la implementación de medidas de seguridad para la prtección de la infrmación que está en psesión de ls respnsables y encargads del tratamient de ls dats persnales; Que en ese sentid, el artícul 19 de la Ley Federal de Prtección de Dats Persnales en Psesión de ls Particulares establece la bligación para td respnsable que lleve a cab el tratamient de dats persnales, de implementar y mantener medidas de seguridad administrativas, técnicas y físicas que permitan prteger ls dats persnales cntra dañ, pérdida, alteración, destrucción el us, acces tratamient n autrizad de ls misms; Que el Capítul III del Reglament de la Ley Federal de Prtección de Dats Persnales en Psesión de ls Particulares define de manera general ls factres que deberán tmar en cuenta ls respnsables y encargads del tratamient de dats persnales para determinar las medidas de seguridad a implementar para la prtección de ls misms, así cm las accines que deberán llevar a cab ls respnsables y encargads para la implementación de las medidas de seguridad; Que en ls cass en que curra una vulneración a la seguridad de ls dats persnales, el Institut Federal de Acces a la Infrmación y Prtección de Dats (IFAI Institut), en su cas, pdrá tmar en cnsideración el cumplimient de sus recmendacines, para efects del artícul 58 del Reglament de la Ley Federal de Prtección de Dats Persnales en Psesión de ls Particulares; Que, además de l anterir, las recmendacines del Institut servirán de rientación a ls particulares para determinar ls prcedimients y mecanisms a aplicar para la seguridad de ls dats persnales; Que de cnfrmidad cn el artícul 39, fraccines IV y V de la Ley Federal de Prtección de Dats Persnales en Psesión de ls Particulares, el IFAI tiene las atribucines de emitir recmendacines para efects de funcinamient y peración de esa ley, así cm para divulgar estándares y mejres prácticas internacinales en materia de seguridad de la infrmación; emite las presentes: RECOMENDACIONES EN MATERIA DE SEGURIDAD DE DATOS PERSONALES 1. RECOMENDACIÓN GENERAL El artícul 19 de la Ley Federal de Prtección de Dats Persnales en Psesión de ls Particulares (en adelante, la Ley) establece que: Artícul 19.- Td respnsable que lleve a cab tratamient de dats persnales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan prteger ls dats persnales cntra dañ, pérdida, alteración, destrucción el us, acces tratamient n autrizad. Ls respnsables n adptarán medidas de seguridad menres a aquellas que mantengan para el manej de su infrmación. Asimism se tmará en cuenta el riesg existente, las psibles cnsecuencias para ls titulares, la sensibilidad de ls dats y el desarrll tecnlógic.

2 Miércles 30 de ctubre de 2013 DIARIO OFICIAL (Segunda Sección) Pr su parte, el Capítul III del Reglament de la Ley detalla ls factres y accines que deben tmar en cuenta ls respnsables y encargads del tratamient de dats persnales para determinar las medidas de seguridad aplicables a la infrmación persnal que esté en su psesión. Asimism, el Institut, en su cas, pdrá tmar en cnsideración el cumplimient de sus recmendacines para efects del artícul 58 del Reglament de la Ley. En ese sentid, y en ejercici de la facultad que la fracción IV del artícul 39 de la Ley trga al Institut para emitir criteris y recmendacines para el funcinamient y peración de la Ley; el IFAI emite las presentes recmendacines, a fin de que ls respnsables y encargads tengan un marc de referencia respect de las accines que se cnsideran cm las mínimas necesarias para la seguridad de ls dats persnales. RECOMENDACIÓN GENERAL Para la seguridad de ls dats persnales, el IFAI RECOMIENDA la adpción de un Sistema de Gestión de Seguridad de Dats Persnales (SGSDP), basad en el cicl PHVA (Planear-Hacer- Verificar-Actuar). Es imprtante que se tme en cuenta que el alcance del SGSDP es la prtección de ls dats persnales y su tratamient legítim, cntrlad e infrmad, a efect de garantizar la privacidad y el derech a la autdeterminación infrmativa de las persnas. Pr l cual, el análisis de riesgs y las medidas de seguridad implementadas cm resultad del seguimient de las presentes recmendacines, se deberán enfcar en la prtección de dats persnales cntra dañ, pérdida, alteración, destrucción el us, acces tratamient n autrizad, así cm en evitar las vulneracines descritas en el artícul 63 del Reglament de la Ley. Estas recmendacines se basan en la seguridad a través de la gestión del riesg de ls dats persnales, entendiéndse de frma general al riesg cm una cmbinación de la prbabilidad de que un incidente curra y de sus cnsecuencias desfavrables; de md tal que al determinar el riesg en un escenari específic de la rganización, se pueda evaluar el impact y realizar un estimad de las medidas de seguridad necesarias para preservar la infrmación persnal. Es imprtante señalar que la adpción de las presentes recmendacines es de carácter vluntari, pr l que ls respnsables y encargads pdrán decidir libremente qué metdlgía cnviene más aplicar en su negci para la seguridad de ls dats persnales. Asimism, el seguimient de las presentes recmendacines n exime a ls respnsables y encargads de su respnsabilidad cn relación a cualquier vulneración que pudiera currir a sus bases de dats, ya que la seguridad de dichas bases depende de una crrecta implementación de las medidas cntrles de seguridad. A cntinuación se explica l que en estas recmendacines se entiende pr Sistema de Gestión de Seguridad de Dats Persnales, y las accines mínimas a cnsiderar para su implementación. 2. SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES 2.1 Cncepts clave Activ. La infrmación, el cncimient sbre ls prcess, el persnal, hardware, sftware y cualquier tr recurs invlucrad en el tratamient de ls dats persnales, que tenga valr para la rganización. Alta Dirección. Tda persna cn pder legal de tma de decisión en las plíticas de la rganización. Pr ejempl: la junta directiva, ejecutivs y trabajadres experimentads, la persna a carg del departament de dats persnales, ls scis de la rganización, el dueñ de una empresa unipersnal quien encabeza la rganización. Dats persnales. Cualquier infrmación cncerniente a una persna física identificada identificable. Dats persnales sensibles. Aquells dats persnales que afecten a la esfera más íntima de su titular, cuya utilización indebida pueda dar rigen a discriminación cnlleve un riesg grave para éste. En particular, se cnsideran sensibles aquells que puedan revelar aspects cm rigen racial étnic, estad

3 de salud presente y futur, infrmación genética, creencias religisas, filsóficas y mrales, afiliación sindical, pinines plíticas, preferencia sexual. Encargad. La persna física mral, pública privada, ajena a la rganización del respnsable, que sla cnjuntamente cn tras, trata dats persnales pr cuenta del respnsable, cm cnsecuencia de la existencia de una relación jurídica que le vincula cn el mism y delimita el ámbit de su actuación para la prestación de un servici. Impact. Una medida del grad de dañ a ls activs cambi advers en el nivel de bjetivs alcanzads pr una rganización. Incidente. Escenari dnde una amenaza explta una vulnerabilidad cnjunt de vulnerabilidades. - Amenaza. Circunstancia event cn la capacidad de causar dañ a una rganización. - Vulnerabilidad. Falta debilidad de seguridad en un activ grup de activs que puede ser expltada pr una más amenazas. Organización. Cnjunt de persnas e instalacines cn una dispsición de respnsabilidades, autridades y relacines. Respnsable. Persna física mral de carácter privad que decide sbre el tratamient de ls dats persnales. Riesg. Cmbinación de la prbabilidad de un event y su cnsecuencia desfavrable. Riesg de seguridad. Ptencial de que cierta amenaza pueda expltar las vulnerabilidades de un activ grup de activs en perjuici de la rganización. Seguridad de la infrmación. Preservación de la cnfidencialidad, integridad y dispnibilidad de la infrmación, así cm tras prpiedades delimitadas pr la nrmatividad aplicable. - Cnfidencialidad. Prpiedad de la infrmación para n estar a dispsición ser revelada a persnas, entidades prcess n autrizads. - Dispnibilidad. Prpiedad de un activ para ser accesible y utilizable cuand l requiera una entidad autrizada. - Integridad. La prpiedad de salvaguardar la exactitud y cmpletitud de ls activs. Sistema de Gestión de Seguridad de Dats Persnales (SGSDP). Sistema de gestión general para establecer, implementar, perar, mnitrear, revisar, mantener y mejrar el tratamient y seguridad de ls dats persnales en función del riesg de ls activs y de ls principis básics de licitud, cnsentimient, infrmación, calidad, finalidad, lealtad, prprcinalidad y respnsabilidad prevists en la Ley, su Reglament, nrmatividad secundaria y cualquier tr principi que la buena práctica internacinal estipule en la materia. Titular. La persna física a quien crrespnden ls dats persnales. Tratamient. La btención, us, divulgación almacenamient de dats persnales, pr cualquier medi. El us abarca cualquier acción de acces, manej, aprvechamient, transferencia dispsición de dats persnales. 2.2 Sistema de Gestión La gestión es un cnjunt de actividades crdinadas para dirigir y cntrlar un prces tarea. Un sistema es un cnjunt de elements mutuamente relacinads que interactúan pr un fin u bjetiv. Pr l tant, un Sistema de Gestión (SG) se define cm un cnjunt de elements y actividades interrelacinadas para establecer metas y ls medis de acción para alcanzarlas. Asimism, un sistema de gestión apya a las rganizacines en la dirección, peración y cntrl de frma sistemática y transparente de sus prcess, a fin de lgrar cn éxit sus actividades, ya que está diseñad

4 Miércles 30 de ctubre de 2013 DIARIO OFICIAL (Segunda Sección) para mejrar cntinuamente el desempeñ de la rganización, mediante la cnsideración de las necesidades de tdas las partes interesadas. Es imprtante tmar en cuenta que una rganización tiene que definir y gestinar numersas actividades para funcinar cn eficiencia. Estas actividades se cnvierten en prcess que tienen la característica de recibir elements de entrada, ls cuales se gestinan para regresar al final de su cicl, cm elements de salida (resultads). Pr ejempl, un prces de Auditría puede recibir cm elements de entrada bjetiv, alcance y plan de auditría, así cm el infrme de resultads de la auditría anterir, y cm element de salida un nuev infrme de auditría. A menud, la salida de un prces se cnvierte directamente en la entrada del prces siguiente, y la intercnexión entre prcess genera sistemas que se retralimentan para mejrar. En el cas de las presentes recmendacines, el sistema de gestión prpuest se basa en el mdel denminad Planificar-Hacer-Verificar-Actuar (PHVA), a través del cual se dirigen y cntrlan ls prcess tareas, cm se puede ver en la tabla 1 y figura 1: PROCESO Element del SG Fase del PHVA Actividades Metas Planificar Se identifican plíticas, bjetivs, riesgs, planes, prcess y prcedimients necesaris para btener el resultad esperad pr la rganización (meta). Medis de acción Hacer Verificar Actuar Se implementan y peran las plíticas, bjetivs, planes, prcess y prcedimients establecids en la fase anterir. Se evalúan y miden ls resultads de las plíticas, bjetivs, planes, prcess y prcedimients implementads, a fin de verificar que se haya lgrad la mejra esperada. Se adptan medidas crrectivas y preventivas, en función de ls resultads y de la revisión, de tras fuentes de infrmación relevantes, para lgrar la mejra cntinua. Tabla 1. Sistema de Gestión El SGSDP tiene cm bjetiv prveer un marc de trabaj para el tratamient de dats persnales, que permita mantener vigente y mejrar el cumplimient de la legislación sbre prtección de dats persnales y fmentar las buenas prácticas. Las fases del cicl PHVA cnsidera diferentes pass y bjetivs específics para el SGSDP, que pueden bservarse en la siguiente tabla: Cicl Fases Pass Objetivs Específics Planificar Planear el 1. Alcance y bjetivs Definir ls bjetivs, plíticas, prcess y

5 SGSDP 2. Plítica de gestión de dats persnales. 3. Funcines y bligacines de quienes traten dats persnales 4. Inventari de dats persnales. 5. Análisis de riesgs de ls dats persnales. 6. Identificación de las medidas de seguridad y análisis de brecha. prcedimients relevantes del SGSDP para gestinar ls riesgs de ls dats persnales, cn el fin de cumplir cn la legislación sbre prtección de dats y btener resultads acrdes cn las plíticas y bjetivs generales de la rganización. Hacer Implementar y perar el SGSDP 7. Implementación de las medidas de seguridad aplicables a ls dats persnales. Implementar y perar las plíticas, bjetivs, prcess, prcedimients y cntrles mecanisms del SGSDP, cnsiderand indicadres de medición. Verificar Mnitrear y revisar el SGSDP 8. Revisines y auditría. Evaluar y medir el cumplimient del prces de acuerd cn la legislación de prtección de dats persnales, la plítica, ls bjetivs y la experiencia práctica del SGSDP, e infrmar ls resultads a la Alta Dirección para su revisión. Actuar Mejrar el SGSDP 9. Mejra cntinua y Capacitación. Para lgrar la mejra cntinua se deben adptar medidas crrectivas y preventivas, en función de ls resultads btenids de la revisión pr parte de la Alta Dirección, las auditrías al SGSDP y de la cmparación cn tras fuentes de infrmación relevantes, cm actualizacines regulatrias, riesgs e impacts rganizacinales, entre trs. Adicinalmente, se debe cnsiderar la capacitación del persnal. Tabla 2. Objetivs del SGSDP dentr de las fases del cicl PHVA La mayría de las rganizacines pseen un más prcess que invlucran el tratamient de dats persnales; ests prcess deben ser identificads y cntrlads a partir de que la infrmación es reclectada y hasta que se blquea, se brra destruye. Más aún, en el marc de la Ley y su Reglament, ls dats persnales sn el principal activ de infrmación. En cnsecuencia, a través del artícul 61 del Reglament se puede vislumbrar que una de las primeras accines para llevar a cab su prtección es tener bien identificad, definid y dcumentad el fluj de ls dats persnales que se traten a través de ls diferentes prcess de la rganización. Asimism, durante el cicl del SGSDP se deben identificar ls riesgs relacinads a ls dats persnales, así cm al rest de activs que interactúan directamente cn ells, y de ese md determinar ls cntrles de seguridad que pueden mitigar ls incidentes. 3. ACCIONES A IMPLEMENTAR PARA LA SEGURIDAD DE LOS DATOS PERSONALES Las accines mínimas a realizar en el Sistema de Gestión de Seguridad de Dats Persnales sn las siguientes: FASE 1. PLANEAR EL SGSDP PASO 1. Alcance y Objetivs. Cnsideracines respect al tratamient de dats persnales y el

6 Miércles 30 de ctubre de 2013 DIARIO OFICIAL (Segunda Sección) mdel de negcis de la rganización. PASO 2. PASO 3. PASO 4. PASO 5. Plítica de Gestión de Dats Persnales. El cmprmis frmal dcumentad de la Alta Gerencia hacia el tratamient adecuad de dats persnales en la rganización. Funcines y Obligacines de Quienes Traten Dats Persnales. Asignación de respnsabilidades para la implementación del SGSDP. Inventari de Dats Persnales. Identificación de ls tips de dats y su fluj. Análisis de Riesg de ls Dats Persnales. Factres para Determinar las Medidas de Seguridad. Cnjunt de cnsideracines que las rganizacines deben plantear cm directrices para tratar el riesg en función de sus alcances y bjetivs. Valración Respect al Riesg. Prces de pnderación para identificar ls escenaris de riesg priritaris y darles tratamient prprcinal. PASO 6. Identificación de las Medidas de Seguridad y Análisis de Brecha. Prces de evaluación de las medidas de seguridad que ya existen en la rganización cntra las que sería cnveniente tener. Ls cntrles de seguridad, sin que sean limitativs, deben cnsiderar ls siguientes dminis: Plíticas del SGSDP Cumplimient legal Estructura rganizacinal de la seguridad Clasificación y acces de ls activs Seguridad del persnal Seguridad física y ambiental Gestión de cmunicacines y peracines Cntrl de acces Desarrll y mantenimient de sistemas Vulneracines de seguridad FASE 2. IMPLEMENTAR Y OPERAR EL SGSDP PASO 7. Implementación de las Medidas de Seguridad Aplicables a ls Dats Persnales. Cumplimient Ctidian de Medidas de Seguridad. Cnsideracines para el trabaj ctidian cn dats persnales, así cm el plan de tratamient del riesg de ls activs relacinads a ls misms. Plan de Trabaj para la Implementación de las Medidas de Seguridad Faltantes. Prces en el que se decide y se implementa el tratamient adecuad para un riesg grup de riesgs respect al cntext de la rganización. FASE 3. MONITOREAR Y REVISAR EL SGSDP PASO 8. Revisines y Auditría. Prces de revisión del funcinamient del SGSDP respect a la plítica establecida, cada vez que exista un cambi en el cntext del alcance y bjetivs del SGSDP. Revisión de ls Factres de Riesg. Cnsideracines para mnitrear el estad del

7 riesg y aplicar las mdificacines pertinentes para mejrar el SGSDP. Auditría. Requerimients para ls prcess de auditría interna/externa. Vulneracines a la Seguridad de la Infrmación. Cnsideracines en cas de un incidente de seguridad. FASE 4. MEJORAR EL SGSDP PASO 9. Mejra Cntinua y Capacitación. Cnsideracines para incluir la prtección de dats en la cultura de la rganización y mantener siempre actualizad el SGSDP. Mejra Cntinua. La aplicación de medidas preventivas y crrectivas sbre el SGSDP. Capacitación. Prgramas de mejra en la capacitación al persnal para mantener la vigencia del SGSDP. La siguiente imagen muestra gráficamente el cicl de estas accines: Para la implementación de estas accines y en general del Sistema de Gestión de Seguridad de Dats Persnales, el IFAI recmienda la cnsulta de ls siguientes estándares internacinales, en ls que se basan las Recmendacines: BS 10012:2009, Data prtectin Specificatin fr a persnal infrmatin management system.

8 Miércles 30 de ctubre de 2013 DIARIO OFICIAL (Segunda Sección) ISO/IEC 27001:2005, Infrmatin Technlgy Security techniques Infrmatin security management systems Requirements. ISO/IEC 27002:2005, Infrmatin Technlgy Security techniques Cde f practice fr security management. ISO/IEC 27005:2008, Infrmatin Technlgy Security techniques Infrmatin security risk management. ISO/IEC 29100:2011, Infrmatin technlgy Security techniques Privacy framewrk. ISO 31000:2009, Risk management Principles and guidelines. ISO GUIDE 72, Guidelines fr the justificatin and develpment f management systems standards. ISO GUIDE 73, Risk management Vcabulary. ISO 9000:2005, Quality management systems Fundamentals and vcabulary. NIST SP , Generally Accepted Principles and Practices fr Securing Infrmatin Technlgy Systems. OECD Guidelines fr the Security f Infrmatin Systems and Netwrks Twards a Culture f Security. Pr últim, a cntinuación se frece un cuadr de análisis que permite cmparar cuáles de estas accines ayudan a cumplir cn las bligacines que establece el Capítul III del Reglament de la Ley: