La Privacidad ha muerto larga vida a la Privacidad
Por qué una ley de protección de datos?
Físico vs Digital En 1990, las ventas de la enciclopedia Britannica logro el record de ventas $650 millones de dólares
Físico vs Digital Una Enciclopedia Britannica se vendía desde $1,500 y hasta en $2,200 USD Una enciclopedia en CD-ROM se vendía desde $50 y hasta $70 USD
El cambio de paradigma 5
Robo digital
Robo digital
Cuánto cuesta el robo digital, por año?
Robo digital $56B MERCADO DE ROBO DE AUTOS $85B MERCADO DE COCAINA $30B ROBO DE SMARTPHONES $1,000 BILLONES MERCADO GLOBAL DE CIBERCRIMEN $114B MERCADO DE ROBO DE TARJETAS DE CREDITO
Robo digital 1trillón de dólares por año en pérdidas, con crecimiento del 300% anual
Cuál es la problemática?
Default Close Default Open Confidencialidad Disponibilidad
Qué es la Ley Federal de Protección de Datos Personales en Posesión de los Particulares?
Antecedentes Artículo 12 Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques. Declaración universal de derechos humanos Artículo 16 Nadie puede ser molestado en su persona, familia, domicilio, posesiones o derechos sino en virtud de mandamiento escrito de la autoridad competente debidamente fundado y motivado Constitución política de los Estados Unidos Mexicanos
Modificaciones a la constitución Se modificaron 2 Artículos Constitucionales: Artículo 6 Acceso a la información, en su inciso II "..la información que se refiere a la vida privada y los datos personales será protegida por la ley de la materia". Artículo 73 Faculta al congreso para legislar en materia de protección de datos personales en posesión de particulares.
Estándares Internacionales Madrid Conference: Privacy and Data Protection Authorities of the 5 continents
Derechos ARCO Acceso Rectificación Cancelación Oposición
Definiciones Cualquier información concerniente a una persona física identificada o identificable Datos personales que afectan a la esfera más intima del titular, o cuya utilización pueda dar origen a discriminación o riesgo grave Se le llama así al conjunto ordenado de datos personales referentes a una persona identificada o identificable Documento físico o electrónico generado por el responsable y que es puesto a disposición del titular previo al tratamiento de sus datos personales Datos personales Datos personales sensibles Base de Datos Aviso de Privacidad Persona física a quien corresponden los datos personales Persona física o moral, nacional o extranjera de carácter privado que decide sobre el tratamiento de los datos personales Persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable Los datos personales no pueden asociarse al titular ni permitir la identificación del mismo Titular Responsable Encargado Disociación
Fechas importantes
Riesgo Reputacional Los resultados de las investigaciones del IFAI serán publicas. El IFAI tendrá el poder de ir a las organizaciones a revisar los mecanismos de protección de datos Artículo 59 y Artículo 60
Penas y Multas Multas de hasta 76MDP Prisión de hasta 10 años Artículo 64, Artículo 68 y Artículo 69
Qué hacer para cumplir con la LFPDPPP?
Medidas a implementar Elaborar políticas y programas de privacidad Programas de capacitación, actualización y concientización del personal Establecer un sistema de supervisión y vigilancia interna Verificaciones o auditorías externas Destinar recursos para la instrumentación de los programas y políticas de privacidad Procedimientos para atender el riesgo para la protección de datos personales Revisar periódicamente las políticas y programas de seguridad Establecer procedimientos para recibir y responder dudas y quejas de los titulares de los datos personales Mecanismos para el cumplimiento de las políticas y programas de privacidad, así como de sanciones por su incumplimiento Establecer medidas para la trazabilidad Artículo 48
Acciones para la seguridad I Datos Sensibilidad Sistemas Roles Inventario de datos personales Nombre Dato personal Sistema de RH RH Director del Área Teléfono Dato personal Sistema de Nominas Finanzas Inventario de los sistemas de tratamiento Numero de empleado Dato personal Sistemas de Nominas Finanzas RH Artículo 61 Salario Dato personal sensible Expediente físico RH Archivo Funciones y obligaciones de las personas que traten los datos personales
Acciones para la seguridad II Análisis de riesgos de datos personales Medidas de seguridad aplicables a los datos personales Alto Medio Alto Sensibilidad Moderado Bajo Medio Mínimo Menor Medio Mayor Artículo 61 Volumen
Acciones para la seguridad III Análisis de brecha de las medidas de seguridad Plan de trabajo para la implementación de las medidas de seguridad Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Implantación de Proceso de desarrollo Seguro de aplicaciones Implantación de Proceso de Administración de Riesgos Proceso de Administración de Actualizaciones y Vulnerabilidades Proceso de Administración de Cambios Seguros Migración de protocolo de soporte remoto robusto Artículo 61 Estándar de Contraseñas Migración de protocolo de comunicación inalámbrica Guías de Configuración de Seguridad en SO Migración de almacenamiento de contraseñas Guías de Configuración de Seguridad en aplicaciones 2016 2017
Acciones para la seguridad IV 8 Revisiones y/o auditorías 9 Capacitar al personal que trate datos personales 10 Registro de las cancelaciones o destrucciones de datos personales 11 Registro de los medios de almacenamiento de los datos personales Artículo 61
Qué es una vulneración de seguridad? La pérdida o destrucción no autorizada El robo, extravío o copia no autorizada El uso, acceso o tratamiento no autorizado El daño, la alteración y/o modificación no autorizada Artículo 63
Casandra
MULTAS 6multas $18,649,136 Al evidenciar negligencia en la tramitación y respuesta de una solicitud de cancelación y oposición de datos personales $1,246,600 Por no señalar en el Aviso de Privacidad las opciones y medios para ejercer los derechos ARCO.
MULTAS Pharma Plus, S.A. de C.V. con $2,045,000 por omitir el elemento de identidad en el Aviso de Privacidad. Caja Popular Cristo Rey, S.C. de R.L. de C.V., con $2,181,550 por recabar datos de carácter financiero y patrimonial, sin contar con el consentimiento del titular.
MULTAS TELCEL (2 multas $6,264,165) Sin consentimiento del titular Telcel accedió a los contactos de su cliente, a quienes les hizo llamadas y envió mensajes, para ponerlos al tanto del adeudo y gestionar por medio de ellos la cobranza del servicio. Universidad Intercontinental (7 multas que suman $8,725,750) Por transcribir las sesiones de las terapias psicológicas de un particular y publicarlas en un sitio de internet.
MULTAS Oceánica multa por $2,493,200 Fue multado por hacer públicos los datos de un paciente del y posteriormente obstruir actos de verificación ordenados por el Instituto.
MULTAS Seguros Banorte multa por $32,006,691 Ya que el tratamiento de los datos personales sensibles de la denunciante no resultaba adecuado, necesario, ni relevante en relación con el otorgamiento del crédito automotriz.
MULTAS Un médico con $41,874 por haber transferido datos personales sensibles sin contar con el consentimiento del titular.
Gráfico elaborado con información del sitio del INAI: www.inicio.ifai.org.mx
Multas INAI 2012-2015 TOTAL: $133,195, 698 Fuente: IFAI, comunicado IFAI-OA/149/14 29 de noviembre de 2014 Cálculos actualizado con información del sitio: www.inicio.ifai.org.mx
La Privacidad no es un proyecto es un PROCESO