Datos Personales

Datos Personales

Los Datos Personales son la información que nos identifica o nos puede hacer identificables.

La protección de datos no se refiere solo a datos íntimos, sino a cualquier tipo de dato que identifique o permita la identificación de una persona, y esté en conocimiento o tratamiento de terceros.

Tipos de Datos Personales

Existen diferentes categorías de datos, por ejemplo:

• De identificación (nombre, domicilio, teléfono, correo electrónico, firma, RFC, CURP, fecha de nacimiento, edad, nacionalidad, estado civil, etc.);
• Laborales (puesto, domicilio, correo electrónico y teléfono del trabajo)
• Patrimoniales (información fiscal, historial crediticio, cuentas bancarias, ingresos y egresos, etc.)
• Académicos (trayectoria educativa, título, número de cédula, certificados, etc.)
• Ideológicos (creencias religiosas, afiliación política y/o sindical, pertenencia a organizaciones de la sociedad civil y/o asociaciones religiosas
• De salud (estado de salud, historial clínico, enfermedades, información relacionada con cuestiones de carácter psicológico y/o psiquiátrico, etc.)
• Características personales (tipo de sangre, ADN, huella digital, etc.)
• Características físicas (color de piel, iris y cabellos, señales particulares, etc.)
• Vida y hábitos sexuales, origen (étnico y racial.)
  

Ejemplos de Datos Personales

• Nombre y apellidos,
• Domicilio,
• Dirección de correo electrónico, del tipo nombre.apellido@empresa.com,
• Número de documento nacional de identidad,
• Datos de localización (como la función de los datos de localización de un teléfono móvil) (*),
• Dirección de protocolo de internet (IP),
• El identificador de una cookie (*),
• El identificador de la publicidad del teléfono,
• Los datos en poder de un hospital o médico, que podrían ser un símbolo que identificara de forma única a una persona.

Ejemplos de Datos No Considerados Personales

• Número de registro mercantil,
• Dirección de correo electrónico, del tipo info@empresa.com,
• Datos anonimizados.

Referencias: 

Estudio y ejemplso de datos personales en materia de privacidad en el ámbito de las TI", Secretaría de Economía. Recuperado de: https://prosoft.economia.gob.mx/Imagenes/ImagenesMaster/Estudios%20Prosoft/FREF_04.pdf

Protecciòn de datos y sus clasificaciones.(s.f). Recuperado de: https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_es 

Ucha Florencia(02/07/2015). Datos Personales.Definiciòn ABC. Recuperado de: https://definicion.mx/datos-personales/

Origen y Evolución del Derecho a la Protección de Datos Personales

Origen            

El uso de las tecnologías de la información y las telecomunicaciones han sido un gran paso para la facilitaciòn de búsqueda o intercambio de información asì como el registro de nuestros datos personales para el llenado de distintos formularios en distintas plataformas que nos ayudan en nuestro trabajo o en redes sociales. Sin embargo, existen personas que se encaran de usar nuestros datos personales para otros fines y todo comenzò en Europa con la protección de datos personales.
Todo comenzò a tomar màs fuerza con la Declaraciòn Universal de los Derechos Humanos hasta el año de 1950 ue se creò el Convenio para la Protecciòn de los Derechos y las Libertades Fundamentales.

En el 2006, el Comité de Ministros del Consejo de Europa resolvió declarar el 28 de enero como el “Día de la Protección de los Datos Personales”, con motivo del aniversario de la firma de Convenio No. 108 del Consejo de Europa para la protección de los datos personales en los sistemas automatizados.

Derecho a la Intimidad y Protección de Datos Personales

El derecho a la intimidad abarca aquello que se considera más propio y oculto del ser humano.Es natural que el contacto permanente del ser humano con sus semejantes al interior de la sociedad a la que pertenece, debido al desarrollo que la sociedad ha alcanzado han comenzado a transgredir la intimidad el ser humano

La intimidad, marcada por un matiz individualista, era la facultad destinada a salvaguardar un determinado espacio con carácter exclusivo, y que consistía en un derecho del individuo a la soledad y "a tener una esfera reservada en el cual desenvolver su vida sin que la indiscreción ajena tenga acceso a ella".

Al igual que el resto de los derechos humanos, el derecho a la intimidad ha tenido su historicidad y positividad, y se ha consagrado con la modernidad. Por lo que, desde escritos como el de Benjamín Constant, la intimidad de la persona ha encontrado su justificación y fundamento en el derecho.

Un derecho tal como ha sido reconocido por las normas puede justificarse por su capacidad de promover ciertos bienes básicos para los ciudadanos: como es la libertad, la igualdad, la seguridad y otros semejantes. Por lo que desde esta perspectiva puede justificarse la intimidad como un medio para promover la libertad individual, lo que Constan denominó "el goce pacífico y la independencia privada", mientras Stuart Mill estableció que "la única libertad que merece este nombre es la de buscar nuestro propio bien a nuestra propia manera". 
Esto es, en 1859, Stuart Mill consideraba que los aspectos concernientes al individuo consistían en el derecho a una absoluta independencia, puesto que sobre sí mismo, sobre su cuerpo y mente, el individuo era soberano.

La intimidad como una disciplina jurídica ha perdido su carácter exclusivo individual y privado, para asumir progresivamente una significación pública y colectiva, consecuencia del cauce tecnológico. Esto es, en palabras de Lusky, la privacidad, más que un mero sentido estático de defensa de la vida privada del conocimiento ajeno, tiene la función dinámica de controlar la circulación de informaciones relevantes para cada sujeto. Por su parte, Fried señala que la privacidad no implica sencillamente la falta de información sobre nosotros por parte de los demás, sino más bien el control que tenemos sobre las informaciones que nos conciernen.

Consecuentemente, frente a una actual sociedad de la información, resulta insuficiente hoy concebir a la intimidad como una derecho garantista (estatus negativo) de defensa frente a cualquier invasión indebida de la esfera privada, sin contemplarla al mismo tiempo, como un derecho activo de control (estatus positivo) sobre el flujo de informaciones que afectan a cada sujeto.

Este derecho, consecuencia del desarrollo tecnológico y el creciente almacenamiento de información relativa a la persona, así como la inmersión cada vez mayor de la misma y de la propia sociedad a tenido que ir ampliando sus directrices, ya no sólo dentro de su contexto de los sentimientos, emociones, del hogar, de los papeles, la correspondencia, las comunicaciones telefónicas, videovigilancia, etcétera, sino que además, hoy, es necesario su reconocimiento, y más aún, el establecimiento de mecanismos de protección que puedan hacer frente a su uso y manejo.

En la modernidad, el derecho a la intimidad, como el más reciente derecho individual relativo a la libertad, ha variado profundamente, fruto de la revolución tecnológica. Por tanto ha sido necesario ampliar su ámbito de protección, así como el establecimiento de nuevos instrumentos de tutela jurídica.

Cada ciudadano fichado en un banco de datos se halla expuesto a una vigilancia continua e inadvertida que afecta potencialmente incluso a los aspectos más sensibles de su vida privada, aquellos que en épocas anteriores quedaban fuera de todo control, por su variedad y multiplicidad, y que hoy, además de tomar conciencia de ello, comienzan a exigir un reconocimiento sobre el uso y control de sus datos.

Derecho a la Protección de Datos Personales en los Instrumentos Internacionales

Antes de haberse reconocido expresamente el derecho a la intimidad como derecho unitario, sólo se reconocían y protegían en el ámbito constitucional manifestaciones concretas de la intimidad, tales como el derecho a la inviolabilidad de domicilio y de las comunicaciones, así como el secreto a la correspondencia.

• La informática entendida como un medio, constituye sin duda un poder, puesto que elimina las barreras del espacio y el tiempo y se constituye en un elemento útil para el acopio y uso de todo tipo de información. En las sociedades informatizadas del presente, el poder ya no reposa sobre el ejercicio de la fuerza física, sino en el uso de las informaciones que permiten influir y controlar la conducta de los ciudadanos, sin necesidad de recurrir a medios coactivos.

Así, una primera aproximación de protección en la esfera íntima de la persona se encuentra enunciada en el ámbito internacional dentro de la Declaración Universal de los Derechos Humanos de 1948, cuyo artículo 12 señala: 

"Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o su reputación. Todo persona tiene derecho a la protección de la ley contra tales injerencias o ataques".

Dicha enunciación, considerada como el derecho a la intimidad en su ámbito estático, se encuentra reconocida en la mayoría de las normas constitucionales. Sin embargo, en cuanto a la intimidad en su ámbito abierto y derivado del desarrollo tecnológico, pueden ser vulnerados otros aspectos de la esfera íntima de la persona, como lo pueden ser "sus datos personales".

Para ello, el derecho fundamental a la intimidad como una concepción cerrada y estática se ha quedado de lado, en virtud de que protege aspectos no vinculados con el desarrollo tecnológico. Y por ende, una concepción abierta y dinámica, esto es, su relación con las nuevas tecnologías significa el reconocimiento ya no sólo de un derecho, sino de nuevos mecanismos de protección, siendo en gran medida necesaria su incorporación en sede constitucional.

La protección de datos de carácter personal se ha ido incorporando y reconociendo en el continente europeo, así como en los diversos textos constitucionales, bien sea de manera expresa o tácitamente. Por lo que en adelante se hace referencia a países que han abundado en su estudio, como Portugal, España y Alemania, así como algunos del continente latinoamericano.

1. Europa

Fue en 1967 cuando el Consejo de Europa constituye una Comisión Consultiva para estudiar las tecnologías de la información y su potencial agresividad a los derechos de la persona. Ello dio como resultado la Resolución 509 de 1968 sobre "los derechos humanos y los nuevos logros científicos y técnicos", lo que sería conocido más tarde como "protección de datos".

Posteriormente, la protección de datos personales se ha llevado a cabo dentro de los diversos Estados que han incorporado a sus textos fundamentales, tal como ha acontecido con Portugal en su Constitución de 1976 que contiene un apartado relativo a la utilización de la informática; esto es, en su artículo 35, apartado 1, se estipula "Todos los ciudadanos tendrán derecho a tomar conocimiento de lo que conste en forma de registros mecanográficos acerca de ellos y de la finalidad a que se destinan las informaciones y podrán exigir la rectificación de los datos, así como su actualización".

Continúa señalando en su apartado 2: "No se podrá utilizar la informática para el tratamiento de datos referentes a convicciones políticas, fe, religiosas o vida privada, salvo cuando se trate de la elaboración de datos no identificables para fines estadísticos". 

El desarrollo legislativo y el reconocimiento de un derecho fundamental a la protección de datos en España ha sido posible, puesto que con ello el legislador español se ve obligado a dar respuestas a las cuestiones que se susciten y sobre todo que se relacionen con la informática, lo cual hará posible el efectivo disfrute de este nuevo derecho fundamental a la protección de datos personales.

Esto es, "La Ley Fundamental es un ordenamiento comprometido con valores, que reconoce la protección de la libertad y de la dignidad humana como fin supremo de todo derecho".

En palabras de Robert Alexy, el país alemán, como un Estado constitucional democrático, se caracteriza por una serie de principios fundamentales, de entre los cuales se encuentra el reconocimiento de un derecho que se le ha denominado autodeterminación informativa.

En el texto constitucional alemán no se contempla el reconocimiento de un derecho a la protección de datos, y menos aún a la informática. El Alto Tribunal alemán, que parte del reconocimiento del derecho general de la personalidad, realizó la construcción y el reconocimiento del citado derecho, recurriendo para ello a lo enunciado en los artículos 1.1 y 2.1, en donde la dignidad humana y la libertad general se encontraban en juego.

Benda, quien fuera presidente del Tribunal Constitucional Federal Alemán, quien recurre a lo establecido por Seidel, señala que el peligro que amenaza a la esfera privada protegida por el artículo 1.1 de la Ley de Bonn consiste en que:

a) Los datos personales, es decir, incluso los correspondientes a la esfera privada del individuo (por ejemplo: informaciones sobre el estado de salud, defectos físicos, etcétera) pueden quedar registrados y ser transmitidos de forma discrecional sin conocimiento del afectado o sin darle posibilidad de intervenir, e incluso con celeridad, hasta los últimos confines de la tierra en beneficio de terceros.

b) Que los datos archivados, incluso siendo correctos sean transmitidos fuera de contexto, esto es, sin conexión con otras informaciones que serían necesarias para su correcta interpretación (tendencia inherente por razones técnicas a la distorsión en el procesamiento de datos).

Dado el avance tecnológico, cada día entran en escena nuevos métodos de injerencia en el ámbito privado de las personas, y por ello, es necesario una regulación, tal como se ha venido haciendo en Europa, mientras que Latinoamérica ha tenido que recurrir en cierta medida a dicho modelo para implementar en cada uno de sus países una protección efectiva a los datos personales de sus ciudadanos.

Por lo tanto, en el ámbito latinoamericano, han sido pocos los países quienes han logrado este objetivo. 

2. América Latina

En una primera aproximación han sido dos países quienes han percibido los riesgos de la informática y por ello, incorporaron en sede normativa el reconocimiento de un derecho a la protección de datos personales. Por un lado, la Constitución Política de Perú establece "Toda persona tiene derecho… A que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar".

Mientras que en la Constitución de la República Bolivariana de Venezuela de 1999, se señala: "Toda persona tiene derecho a la protección de su honor, vida privada, intimidad, propia imagen, confidencialidad y reputación. La ley limitará el uso de la informática".

Tal como aconteció con los países en Europa, estos dos países latinoamericanos, quizás sin conocer las consecuencias que representarían hoy el uso de la información, decidieron incorporar su regulación en el ámbito normativo constitucional, vinculándola para ello, con el derecho a la intimidad.

El derecho a la intimidad ha pasado de ser una libertad negativa, a una libertad positiva en donde el individuo cuenta con la facultad de poder controlar toda aquella información que le sea relevante y le concierna a él mismo.

Mientras que otros países, como es el caso de Argentina, Brasil, Colombia Ecuador, Guatemala, Nicaragua, por señalar algunos, en su normativa constitucional reconocen el derecho a todo persona de saber qué datos se tienen sobre ellos, ya sea en registros o en bancos de datos públicos o privados.

Asimismo, establecen el derecho a su confidencialidad, al uso, a la rectificación, a su supresión y su actualización. Estos derechos, equiparables con los principios que se han establecido en el ámbito comunitario europeo, en su conjunto representarían el reconocimiento de una normativa en materia de protección de datos personales aplicable en el ámbito latinoamericano.

Sin embargo, todos ellos se encuentran dispersos en las distintas Constituciones latinoamericanas, lo que hace más complicado su reconocimiento en cada uno de sus países, y por tal motivo, la mayoría de ellos ha reconocido la protección a los datos personales en su normativa sectorial, pero no lo han hecho dentro de su Ley Fundamental, y menos aún, como un derecho fundamental.

Aunado a todo ello, y para lograr su reconocimiento han tenido que recurrir al modelo europeo, sin que esto signifique la implantación de aquél por parte de los países latinoamericanos.

Finalmente, un derecho fundamental a la protección de datos personales, tanto en Europa como en Latinoamericana, no sólo ha sido de importancia su reconocimiento en el ámbito constitucional, sino que además con la doctrina y la jurisprudencia, mayoritariamente en este sector y dentro de Europa, se ha venido construyendo de manera más eficaz este derecho.


Referencias:

Gonzales, G. (2012). La Protecciòn de Datos Personales, Derecho Fundamental del Siglo XXI. Un Estudio Comparado. Enero 14,2019, de Boletín Mexicano de Derecho Comparado Recuperado de: https://revistas.juridicas.unam.mx/index.php/derecho-comparado/article/view/3933/4972

Fundación IFRS. Módulo 18. Activos Intangibles distintos de la Plusvalía, Información obtenida http://www.ifrs.org/Documents/18_ ActivosIntangiblesDistintosdelaPlusvalia.pdf

Valor Razonable (Fair Value): El precio que podría ser recibido al vender un activo o pagado para transferir un pasivo en una transacción ordenada entre participantes del mercado a una fecha de medición determinada, información obtenida de http:// www.niif.co/prestadores-de-servicios-publicos/que-es-el-valor-razonable/

Valor Económico y Social de Datos Personales

Precio en el Mercado de los Datos Personales

Uno de las metodologías propuestas por la OCDE para calcular el valor monetario de los datos de carácter personal es su precio en mercados competitivos; el precio determinado por la oferta y demanda de la venta de datos personales. 
A nivel internacional existen empresas especializadas en la venta y comercialización de bases de datos
Ya sean de empresas o consumidores, con base en perfiles predefinidos como: 

• Ubicación
• Edad 
• Estatus civil
• Nivel de ingresos

Una de las principales características de las bases de datos personales, misma que podría generar un importante sesgo en la definición del precio de venta más allá del comportamiento natural del mercado, es que el uso de los registros incluidos en las bases de datos no disminuye su stock para las empresas que los comercializan, toda vez que el mismo registro puede comercializarse hacia diversos clientes o puede utilizarse varias veces por el mismo cliente. El precio de un registro vendido no refleja precisamente el valor monetario de los datos, sino se trata de un precio de equilibrio que los clientes individuales pagan al disponer de una copia de los datos. De esta forma, el valor promedio de los datos sería comparable a la suma de las ventas de la misma base de datos pagadas por diferentes clientes. A nivel internacional, se tiene un alto crecimiento en el surgimiento de empresas especializados en la venta y comercialización de bases de datos (Data Brokers). 

El Internet está abriendo nuevos mercados y aumentando la disponibilidad de información sobre los precios de venta de registros. Algunas de las empresas dedicadas a la venta y comercialización de datos personales basan su oferta de datos en registros públicos como:

• Fechas de nacimiento
• Estatus civil (acta de matrimonio)
• Registros de propiedades
• Antecedentes penales, de fraudes y/o embargos fiscales
• Defunciones 

Una característica común de las empresas de ventas y comercialización de datos personales es generan transacciones utilizando los datos de terceros, ya sean registros públicos o datos que son autorizados por sus propietarios para su comercialización hacia terceros. En algunos casos, con funcionalidades que permiten predefinir los perfiles requeridos, o mediante la solicitud de una cotización basada en datos requeridos. 
En la siguiente gráfica se muestran los precios de venta de registros obtenidos mediante la revisión de las páginas electrónicas de Data Brokers. 
Como resultado de la revisión se obtuvo un precio promedio de 1 USD por registro individual con un reporte sencillo, y un precio promedio de 26 USD por un registro con reporte completo.

Los Data Brokers contemplan dentro de sus modelos de negocios la provisión de reportes individuales, ya sean sencillos o completos. 

En términos generales, el reporte sencillo considera datos como:

• Nombre
• Dirección Completa
• Número Telefónico
• Fecha de Nacimiento
• Parientes Relacionados 
• Historial de Direcciones. 

El reporte completo, en adición a la información en los reportes sencillos pueden incluir como: 

• Matrimonios y Divorcios
• Compañeros o Vecinos
• Página Web Personal
• Bienes Personales
• Antecedentes de Delitos Sexuales o Criminales

Es importante señalar que la mayoría de los Data Brokers para los cuales se realizó el ejercicio, establecen en sus páginas electrónicas sus políticas de privacidad y los términos de uso de la información proporcionada. Como se comentó, la información es obtenida a través de registros públicos e información proporcionada por los propios usuarios al utilizar los servicios de las compañías. La información proporcionada, no significa un informe oficial del comportamiento de la persona, y requiere la aceptación del cliente para que los datos provistos no sean utilizados para los propósitos establecidos en el Fair Credit Reporting Act. Conforme al artículo 16, fracción V, y artículo 36 de la LFPDPPP, en México está prohibida la venta y comercialización de datos sin el consentimiento expreso de su titular, conforme a lo establecido en el Aviso de Privacidad donde se deberá contener una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos. Derivado de lo anterior, el responsable deberá cumplir con la obligación de mantener la confidencialidad de la información del titular, y en su caso no compartirla con terceros, haciendo uso de la información únicamente para los fines establecidos en el Aviso de Privacidad. En México, mediante la búsqueda en Internet se identificaron empresas con servicios de venta y comercialización de bases de datos empresariales y consumidores. 

La gráfica nos muestra un precio promedio de 4 centavos de peso por registro individual de consumidores con un perfil y segmentación general, con un volumen promedio de 15,000 registros.

Se presenta un comparativo de los precios promedio por registro de consumidores

Referencias:

IFAI. Guía Práctica para Ejercer el Derecho a la Protección de Datos Personales.Recuperado de http://inicio.ifai.org.mx/Publicaciones/01GuiaPracticaEjercerelDerecho.pdf

Convención Americana de Derechos Humanos (Pacto de San José de Costa Rica)", Organización de los Estados Americanos. Recuperado de: https://www.oas.org/dil/esp/tratados_B-32_Convencion_Americana_sobre_Derechos_Humanos.pdf

OECD. (2013). “Exploring the Economics of Personal Data. A survey of methodologies for measuring monetary value”. Recuperado de: https://archivos.juridicas.unam.mx/www/bjv/libros/7/3249/28.pdf 

Desafíos y Cumplimiento de la Regulación de Datos Personales en las Empresas de México

El Estudio de protección de datos personales entre usuarios y empresas de 2012, evaluó tanto a internautas mexicanos como empresas en territorio nacional.

El 44 % de las empresas evaluadas no poseen el conocimiento necesario sobre la LFPDPPP. En relación con el ejercicio de derechos ARCO, 50 % de empresas evaluadas no tiene el conocimiento necesario para su atención y, por lo tanto, podrían ser acreedoras a una sanción por el incumplimiento a las disposiciones de la LFPDPPP.

En el mismo tenor, 30 % de las empresas no conocen las acciones que han emprendido para realizar el cumplimiento de la citada ley y, del resto de empresas, 48 % han emprendido acciones de capacitación de personal dentro de su organización. Mientras 20% han contratado a una empresa legal especializada en esos temas, sólo 6% ha contratado a una persona especializada en la ley.

El 50 % de las empresas considera que el cumplimiento de la LFPDPPP genera gastos adicionales.

Es importante destacar que 74 % de empresas consideran que no se ha difundido apropiadamente el impacto de la ley en las empresas establecidas en México. Por lo anterior, se advierte que existe poca cultura de la protección de datos personales en posesión de las empresas establecidas en México, pues la legislación existente, en algunos puntos, se considera sobrerreguladora y obstáculo de la innovación. 

El modelo mexicano es un modelo híbrido, resultado de la incorporación de la visión europea en la protección de este derecho y de algunos elementos del derecho anglosajón. Esto toda vez que la protección de datos personales en nuestro país se eleva al valor de un derecho humano, pero también reconoce esquemas de autorregulación y legislación sectorial, por lo cual se hace más complejo el cumplimiento en la materia.

Las disposiciones en materia de protección de datos personales se encuentran señaladas principalmente en dos ordenamientos: el primero, para el sector privado (LFPDPPP) y de aplicación federal; el segundo, para el sector público (LGPDPPSO) y de aplicación en los tres órdenes de gobierno (federal, estatal y municipal). No obstante, existen excepciones sectoriales para la aplicación de estas dos leyes, atendiendo, por ejemplo, a si los datos son de carácter fiscal, financiero o clínicos.

Lo anterior se traduce en que los operadores jurídicos deberán conocer un cúmulo de legislación, que no refiere únicamente a la materia en específico, sino a documentos de interpretación, de orientación o vinculatorios. Éstos son emitidos por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Inai), órgano garante de la protección de datos personales en el país. Ejemplo de estos documentos son, por ejemplo, la Guía para el borrado seguro de datos personales, las Guías de atención a solicitudes de derechos ARCO, así como los criterios y resoluciones emitidas por este instituto.

Los elementos más relevantes de cumplimiento de la normativa en materia de protección de datos personales en posesión en empresas de servicios establecidas en México son:

• Elaboración de avisos de privacidad, cumpliendo con los requisitos de la ley, y redactados con un lenguaje claro y sencillo, que permita entender a los clientes, los alcances del consentimiento que está otorgando, respecto al tratamiento de sus datos personales.

• Una vez que el dato ha sido recabado, garantizar que, durante el ciclo del mismo, se cumplan con los requerimientos señalados en la normativa en la materia y que el tratamiento del dato se haga conforme los principios del derecho a la protección de datos personales.

• Garantizar procedimientos efectivos de ejercicio de derechos de acceso, rectificación, cancelación y oposición (ARCO).

• Establecer cláusulas de confidencialidad de la información, en los contratos que se celebren para establecer relaciones laborales, para que, los trabajadores no puedan sustraer, utilizar o transmitir datos personales o información de la empresa.

• Establecer mecanismos técnicos que limiten el acceso a los datos personales, de acuerdo a las funciones de los puestos de trabajo, así como sistemas de autenticación y esquemas de privacidad por diseño.

• Capacitar al personal que lleve a cabo tratamiento de datos personales, a fin de sensibilizarlo en las implicaciones que podría tener hacer un mal uso de la información y de que conozca la regulación jurídica en la materia.

• Verificar las medidas físicas y digitales de seguridad de la información al interior de la empresa, así como las políticas de ciber seguridad instrumentadas a la luz de la normativa en materia de protección de datos personales.

• Revisar que, en la contratación de servicios de almacenamiento de información se garantice, por lo menos: la obligación de dar aviso en caso de cualquier vulneración a las medidas de seguridad de la plataforma electrónica, la portabilidad y destrucción de los datos al término del contrato, mecanismos alternativos de resolución de controversias como la mediación electrónica, la reputación y políticas de transparencia de la empresa a contratar, que se privilegie la jurisdicción nacional en la prestación del servicio, las medidas compensatorias en caso de vulneraciones y mal uso de la información, así como evitar contratos de adhesión que no atiendan a las características de los datos a almacenar, de acuerdo al tipo de información, servicio y empresa.

• En caso de que sea necesario, contar con un Encargado de los datos personales, se deberá verificar que, en la relación contractual entre Responsable y Encargado, se garantice por lo menos: que el tratamiento de datos personales se hará conforme a las instrucciones del responsable, que no se traten datos personales para finalidades distintas a las instruidas por el Responsable, que se implementen las medidas de seguridad conforme a los instrumentos jurídicos aplicables, que se informe al Responsable cuando ocurra una vulneración a los datos personales que trata por sus instrucciones, que se guarde confidencialidad respecto de los datos personales tratados, que se suprima o devuelvan los datos personales objeto de tratamiento una vez cumplida la relación jurídica con el responsable, (siempre y cuando no exista una previsión legal que exija la conservación de los datos personales), y que se abstenga de transferir los datos personales salvo en el caso de que el Responsable así lo determine, o la comunicación derive de una subcontratación, o por mandato expreso de la autoridad competente.

• Existe la posibilidad de que un organismo certificador avale que las empresas cumplan con la efectiva protección de los datos personales en su poder.

• El artículo 83 del Reglamento de la LFPDPPP prevé un elemento que podrán incorporar los esquemas de autorregulación, al señalar que, "los esquemas de autorregulación vinculante podrán incluir la certificación de los responsables en materia de protección de datos personales. En caso de que el responsable decida someterse a un procedimiento de certificación, ésta deberá ser otorgada por una persona física o moral certificadora ajena al responsable, de conformidad con los criterios que para tal fin establezcan los parámetros a los que refiere el artículo 43, fracción V de la ley".

• El artículo 85 del citado ordenamiento señala que los parámetros de los esquemas de autorregulación "contendrán los mecanismos para acreditar y revocar a las personas físicas certificadoras, así como sus funciones; los criterios generales para otorgar certificados en materia de protección de datos personales".

• Derivado de lo anterior, la normalización y certificación electrónica (NYCE) es el organismo que el INAI y la Secretaría de Economía han acreditado para avalar que las empresas cumplan con la normativa en materia de protección de datos personales.

Referencias:

Estudio de Protección de Datos Personales entre Usuarios y Empresas", Asociación Mexicana de Internet. Recuperado de: https://www.asociaciondeinternet.mx/es/component/remository/Proteccion-de-Datos-Personales/Estudio-de-Proteccion-de-Datos-Personales-entre-Usuarios-y-Empresas/lang,es-es/?Itemid=

Pacto Internacional de Derechos Civiles y Políticos", Naciones Unidas, Derechos Humanos. Recuperado de: http://www.ohchr.org/SP/ProfessionalInterest/Pages/CCPR.aspx

Modelos de Regulación de Protección de Datos Personales

MODELO DE AUTORREGULACIÓN COMO PARTE DEL SISTEMA DE PROTECCIÓN DE DATOS PERSONALES

Me referirè en particular al marco jurídico vigente para la protección de datos personales en posesión de los particulares, el cual está integrado por:

• Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) 
• Reglamento de la LFPDPPP 
• Criterios Generales para la Instrumentación de las Medidas Compensatorias sin la Autorización Expresa del IFAI 
• Lineamientos sobre el Contenido y Alcance de los Avisos de Privacidad 
• Parámetros para el Correcto Desarrollo de los Esquemas de Autorregulación Vinculante 
• Recomendaciones en Materia de Seguridad de Datos Personales 

Los principios torales (principios que sostienen el modelo de autorregulación) que deben ser observados en el esquema de autorregulación son:

• I. Voluntariedad en la adhesión o adopción del esquema de autorregulación vinculante.
• II. Obligatoriedad, ya que el esquema de autorregulación vinculante constriñe a quien se adhiere o lo adopta.
• III. Transparencia relativa a las prácticas que siguen en materia de protección de datos personales, salvo aquellos aspectos que los responsables señalen como confidenciales o reservados.
• IV. Responsabilidad, materializa la obligación de velar por el cumplimiento de los principios de protección de datos personales previstos por la LFPDPPP (licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad) en relación con los datos personales que posee o que haya comunicado.
• V. Imparcialidad, los esquemas de autorregulación vinculante deben organizarse y operar de forma que salvaguarden la objetividad e imparcialidad de sus actividades.

Los objetivos mínimos que debe buscar el esquema de autorregulación son:

• Consolidar una cultura de autoevaluación y autorregulación en materia de protección de datos personales.
• Desarrollar un sistema de evaluación permanente con referencia a la protección de datos de carácter personal.
• Fortalecer permanentemente los mecanismos físicos, tecnológicos y administrativos establecidos para la protección de datos de carácter personal y obtener el reconocimiento por parte de los grupos de interés como una empresa que protege los datos personales que le son confiados.
• Dar a conocer a la comunidad de la empresa las acciones encaminadas al cumplimiento de la LFPDPPP y la protección de datos de carácter personal.
• Conocer las áreas de oportunidad o mejora para posteriormente priorizarlas y desplegar planes de acción.
• Articular los resultados de la evaluación con análisis de brecha (gap analisys) sobre el cumplimiento y el plan director para instrumentar de forma ordenada las acciones de mejora encaminadas a la protección de los datos de las personas.
• Mejorar la protección de los datos personales en forma continua y creciente mediante acciones tendientes a reforzarlas.
• Informar al grupo responsable de la gestión de la protección de los datos personales y al grupo directivo sobre cómo se está gestionando la protección de datos personales.
• Conocer en qué situación está la organización con relación al cumplimiento de la LFPDPPP y su reglamento a través de diagnósticos de cumplimiento y auditorías.

           

Referencias:

Pacto Internacional de Derechos Civiles y Políticos", Naciones Unidas, Derechos Humanos. Recuperado de: http://www.ohchr.org/SP/ProfessionalInterest/Pages/CCPR.aspx

Gamboa Montejano, Claudia, "Datos personales: Estudio teórico conceptual de su regulación actual y de las iniciativas presentadas para la creación de una Ley en la materia", Centro de Documentación, Información y Análisis de la Cámara de Diputados, 2009. Recuperado de: https://revista.seguridad.unam.mx/numero-21/modelo-de-autorregulacion-como-parte-del-sistema-de-proteccion-de-datos-personales-i  

Asesoría Sobre Medidas de Seguridad en los Datos Personales

➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤➤

En México la Ley Federal de Protección de Datos Personales en Posesión de los Particulares dicta que los responsables de los tratamientos de datos personales deben establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

Para lograr una efectiva protección de datos, y más allá del andamiaje jurídico o normativo que se construya para su aplicación, resulta necesario incorporar una serie de medidas técnicas o tecnológicas que coadyuven a garantizar la privacidad y seguridad de los datos personales en el ámbito de los sistemas computacionales. Las medidas de seguridad para la protección de datos personales, se concentran principalmente en mecanismos, sistemas y metodologías de índole informático que facilitan el cumplimiento de los principios básicos de la protección de datos personales.

Principios básicos de aplicación nacional que recomienda la OCDE:  

Principio de calidad de los datos: Disponibilidad y Consistencia

Principio de salvaguardas de seguridad: Integridad y Confidencialidad

Principio de responsabilidad: Control

En México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece 8 principios de la protección de datos:

➤Licitud

➤Consentimiento

➤Información

➤Calidad

➤Finalidad

➤Lealtad

➤Proporcionalidad

➤Responsabilidad

Medidas de Seguridad Conforme a Estándares Internacionales
➠OCDE (1980) Se contemplan los mismos principios establecidos en México: de limitación de recogida, de calidad de los datos, de especificación del propósito, de limitación de uso, de salvaguarda de la seguridad, de transparencia, de participación individual y de responsabilidad.
➠OCDE (1998) Mediante este documento, los Estados miembros se obligan a fomentar la confianza en las redes globales y evitar restricciones innecesarias a los flujos transfronterizos de datos personales, comprometiéndose poner en práctica la adopción de políticas sobre la intimidad por medios jurídicos o bien de autorregulación, administrativos o tecnológicos, así como la promoción de la educación y concienciación de los usuarios con respecto a las cuestiones relacionadas con la intimidad en línea y los medios disponibles.
➠APEC (2004) Este instrumento establece el Marco regulatorio en materia de Protección de Datos Personales para los Estados miembro, los cuales, a su vez, se comprometen a hacerse responsables de cumplir con los requerimientos locales de protección de datos, así como con todas las leyes aplicables.
➠DPPR Madrid (2009) Se protegen los mismos principios en materia de Protección de Datos Personales y ejercicio de Derechos Arco que en México, con base en la Declaración Universal de Derechos Humanos y del Pacto Internacional de Derechos Civiles y Políticos pero se establecen, además, las reglas de transferencias internacionales, destacando que éstas sólo se podrán dar si el Estado receptor cumple con el nivel de protección establecido como mínimo, mediante cláusulas contractuales o normas internas de privacidad.
➠Red Iberoamericana de Protecciòn de Datos (2008) Se establecen los principios, derechos y obligaciones, que deberá contener toda Ley nacional en materia de Protección de Datos Personales, de los Estados que formen parte de la comunidad iberoamericana, mismos que ya han sido implementados en la Ley Federal de Protección de Datos Personales en posesión de particulares y su respectivo Reglamento.
➠COBIT 5. Establece objetivos de control para implementar un modelo de Gobernabilidad corporativa. Su aportación en materia de protección de datos es el establecimiento de objetivos de control y mecanismos de monitoreo para el cumplimiento de dichos objetivos, que den a la alta dirección visibilidad sobre el cumplimiento de políticas y lineamientos organizacionales
➠ITIL. Establece las mejores prácticas para la Gestión de Servicios de TI. En materia de protección de datos personales permitiría establecer lineamientos para el tratamiento legítimo de los datos personales, basado en un Acuerdo de Niveles de servicio y establecimiento de procedimientos para atención de derechos ARCO.
➠ ISO/IEC. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información de acuerdo a la metodología denominada “Ciclo de Deming”.

Obligaciones de los responsables en materia de seguridad de datos personales.

El principio de responsabilidad se encuentra plasmado al día de hoy en el artículo 144 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, disposición que señala lo siguiente: 
 ➠Artículo 14; El principio de responsabilidad, aunque forma parte de los ocho principios de protección de datos y pareciere que no existe una jerarquía entre los mismos, este principio sí tiene una mayor trascendencia en virtud de ser el eje rector que obliga al responsable del tratamiento a garantizar de forma integral la protección de los datos personales de los titulares.
 ➠Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares  Art. 47 y 48; La obligación del responsable de velar y responder por el tratamiento de los datos personales que realice, o por aquéllos que haya comunicado a un encargado

En conclusión el responsable adquiere el cumulo de todas las obligaciones establecidas en la regulación de la materia, y cuando éste hace uso de un encargado para el tratamiento, éste deberá realizar el tratamiento en los mismos términos que lo hace el responsable.

Tipos de Vulnerabilidades

El artículo 63 del Reglamento de la LFPDPPP, menciona que existen cuatro tipos de vulneraciones que pueden afectar la seguridad de los datos personales, que son: 
➣Robo, extravío o copia no autorizada 
➣Perdida o destrucción no autorizada 
➣Uso, acceso o tratamiento no autorizado 
➣Daño, alteración o modificación no autorizado.

Evaluación de Riesgos

Amenazas

Las amenazas son cualquier circunstancia potencial que pueda afectar los procesos y expectativas de la organización, para proteger esas expectativas se debe identificar, evaluar, y prever que amenazas pueden afectar su cumplimiento y ser capaces de medir, sea cuantitativamente o cualitativamente la posibilidad y probabilidad de materialización de esas amenazas 

Se dividen en:

➽Amenazas terciarias o directas, que son las que amenazan directamente el cumplimiento de nuestras expectativas. Se dividen en tres factores: 

o Ataques. Responden a un actor con determinada motivación, medio y capacidad 

o Accidentes. Suelen ser naturales como puede ser un terremoto o relacionados con fallas físicas o lógicas del hardware por defecto o uso prologado. 

o Errores. Se encuentran principalmente relacionado con defectos de configuración, programación o respuesta del software.

➽Amenazas secundarias, Son las que disminuyen o eliminan el grado de éxito de las medidas que ponemos para mitigar las amenazas primarias. Ejemplo. Defectos en cortafuegos. 

➽Amenazas primarias, Son las que evitan que se mantengan o lleguen a establecerse las medidas que mitigan las amenazas terciarias o secundarias. Ejemplo. Falta de aplicación de procedimientos de seguridad en la organización.

Tipos de Amenazas

➽Ataques: Los ataques son incidentes provocados por actores externos o internos, para los efectos de este módulo no nos detendremos en el estudio o clasificación de sus intenciones o motivaciones, sin embargo resulta relevante conocer los posibles recursos y oportunidades que disponen para estimar la dimensión del posible ataque. Los ataques pueden suceder de forma individual, o utilizarse en conjunto para producir el efecto deseado por un atacante. 

➽Espionaje: Consiste en el acceso ilegitimo sea físico o lógico, a la información mensajes y servicios de la organización. El objetivo último del espionaje suele ser la revelación de secretos o exposición de datos personales. El espionaje puede consistir en las siguientes acciones: 

Escuchas Lectura o copia de información

Lectura de mensajes o información cifrados 

Reproducción no autorizada de información 

Análisis de trafico

➽Sabotaje. Es un ataque destructivo, con el que se intenta producir el máximo daño posible. La protección más efectiva ante esta amenaza es la eliminación de oportunidades y el uso de medidas de reducción del impacto. El sabotaje puede consistir en las siguientes acciones:

⧫Interrupción 

⧫Borrado 

⧫Modificación 

⧫Generación malintencionada de información 

⧫Denegación de servicio 

⧫Interrupción de recursos 

⧫Terrorismo

➽Compromiso de medios de autenticación: El compromiso de claves o credenciales es una de la amenazas con consecuencias más serias, debido a que en muchas ocasiones, no sabremos que el compromiso se ha producido. El compromiso de esta medida de seguridad, permite que el atacante pueda suplantar nuestra identidad, adquiriendo la misma capacidad que se tienen dentro de un sistema.

➽Ingeniería social: Es una de las amenazas más graves y sencilla de explotar. El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar información sensible, o a violar las políticas de seguridad típicas.

Fraudes. Los fraudes consisten en aprovechar los recursos de la organización de forma no legítima. Esto generalmente está enfocado a los sistemas de orden financiero o contable. El código malicioso también representa una de los ataques más comunes que comprometen la seguridad de la información, es por ello que se abordará más adelante con mayor amplitud.

➽Código malicioso. (malware) También llamado badware, código maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario. El término malware es muy utilizado para referirse a una variedad de software hostil, intrusivo o molesto. El término virus informático suele aplicarse de forma incorrecta para referirse a todos los tipos de malware, incluidos los virus verdaderos. El término malware incluye: 

➼Virus. Tiene por objetivo alterar el normal funcionamiento del ordenador, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan Archivos ejecutables por otros infectados con el código de este. 

➼Gusanos. Se propagan de computadora a computadora, pero a diferencia de un virus, tiene la capacidad a propagarse sin la ayuda de una persona. Lo más peligroso de los worms o gusanos informáticos es su capacidad para replicarse en el sistema informático Troyanos. Se presenta como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, brinda a un atacante acceso remoto al equipo infectado. En la mayoría de los casos, crean una puerta trasera que permite la administración remota a un usuario no autorizado 

➼Rootkits. Permite un acceso de privilegio continuo a una computadora pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones. 

➼Scareware. Abarca varias clases de software para estafar con cargas maliciosas, o con limitados o ningún beneficio, que son vendidos a los consumidores vía ciertas prácticas no éticas de comercialización. 

➼Spyware. Recopila información y la transmite a una entidad externa sin conocimiento o el consentimiento del propietario. El término spyware también se utiliza más ampliamente para referirse a otros productos que no son estrictamente spyware. 

➼Adware. Programa que automáticamente muestra publicidad web al usuario durante su instalación o durante su uso para generar lucro a sus autores. 'Ad' en la palabra 'adware' se refiere a advertisement' (anuncios) en idioma inglés. 

➼Crimeware. Es un tipo de software que ha sido específicamente diseñado para la ejecución de delitos financieros en entornos en línea.

➼Exploit. Es un programa que toma ventaja del hecho de que en la arquitectura actual presenta algún defecto conocido para provocar daños o ganar acceso con derechos de administrador.

Medidas de Seguridad

Hoy en día, con el aumento al acceso a internet, también ha habido un incremento considerable en la cantidad de hackers al acecho de cibernautas desprevenidos. En México, en 2016, 2 de cada 10 personas sufrieron algún tipo de ciberdelito. El 80% de las víctimas afectadas por esta actividad ilegal enfrentaron problemas como la instalación no autorizada de aplicaciones en sus dispositivos, robo de identidad y el uso ilegal de información financiera.

Obligatorias 

• Selección, implantación y mantenimiento de medidas de seguridad informáticas. 

• Establecer un departamento de protección de datos personales o su equivalente. 

• La información confidencial sólo podrá existir en zonas confidenciales. 

• La información del personal interno, solo podrá existir en la zona de gestión de recursos humanos. 

• La información privada deberá estar protegida mediante control de accesos. 

• El propietario de un medio de autenticación es el responsable único del uso de los sistemas o acceso realizados mediante ese medio.

• El acceso a servicios confidenciales, personales o financieros no permitirá sesiones simultáneas del mismo usuario. 

• Las sesiones deben expirar por falta de uso. 

• Las credenciales expiran por falta de uso. 

• Deberán adoptarse políticas de contraseñas seguras. 

• Las zonas donde se maneje información confidencial tendrá una norma sobre el uso de los medio de soporte y tratamiento de la información transportables sean informáticos, físicos o de otro tipo. 

• Debe evitarse el envío de información confidencial fuera de los sistemas de la organización. 

• Todo miembro de la organización que trate con datos sensibles debe firmar una declaración de confidencialidad 

• Preferir el uso de software licenciado. 

• Existirán métodos de copia de seguridad que garanticen la disponibilidad de la información crítica ante fallos graves del sistema como catástrofes mayores. 

• Los equipos ´podrán ser identificados como pertenecientes a la organización aunque san robados.

Opcionales. 

• Asistencia a cursos de seguridad de la información y protección de datos personales. 

• Destrucción diaria del papel 

• Uso de software cifrado o encriptado. 

• Controlar el acceso físico a instalaciones. 

• Se recomienda no utilizar cuentas anónimas. 

• Uso de antivirus. 

• Uso de cortafuegos.

Prohibidas.

• Cesión de medios de autenticación y sesiones de acceso que son personales e intransferibles. 

• Uso de cualquier material en violación de los derechos de autor por copia fraudulenta o falta de licencia.

Tipos de Medidas de Seguridad

Medidas de Seguridad Administrativas:

Son el conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales.

Medidas de Seguridad Fisicas: 

Se refiere a las acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para:

a. Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información

b. Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones

c. Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, integridad y confidencialidad

d. Garantizar la eliminación de datos de forma segura.

Medidas de Seguridad Técnicas: 

Son las actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que: 

a. El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados

b. El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones

c. Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros

d. Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales

En caso de vulneraciones...

La ley obliga a informar al titular sobre las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto sea confirmado que ocurrió la vulneración y se hayan tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes. 

Se debe preparar la siguiente información: 

•La naturaleza del incidente

•Los datos personales comprometidos

•Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses

•Las acciones correctivas realizadas de forma inmediata

•Los medios donde puede obtener más información al respecto.

Incidentes de Seguridad

Un incidente de seguridad es cualquier evento que tenga o pueda tener como resultado la interrupción de los servicios suministrados por un sistema informático y/o posibles pérdidas físicas, de activos o financieras. Cuando una amenaza se materializa, se tiene un incidente. Algunos incidentes son provocados (ataques), otros se producen por falta de diligencia (errores), y otros son, sobrevenidos (accidentes o catástrofes). Cuando se ha producido un incidente, sea por ataque o no, debemos ser capaces de detectarlo e identificarlo. El manejo de incidentes es complejo, y aunque existe un interés lógico en la identificación del atacante y la represalias legales. Un incidente de seguridad puede causar ciertos tipos afectaciones en la organización, tales como: 

•Pérdida de información confidencial, afectando la confidencialidad, integridad y disponibilidad de la misma.  

•Robo de activos físicos informáticos tales como computadoras, dispositivos de almacenamiento, impresoras. 

•Daños a los activos físicos informáticos incluyendo computadoras, dispositivos de almacenamiento, impresoras

•Denegación de servicio. 

•Uso indebido de los servicios, información o activos de información. 

•Infección de los sistemas por software no autorizado. 

•Intento de acceso no autorizado. 

•Cambios no autorizados a la organización de hardware, software, o su configuración. 

•Respuesta a las alarmas de detección de intrusos.

¿Cómo documentar un incidente?

•Primero se debe documentar minuciosamente todos los procesos y acciones realizadas

•Luego se avisarà a todas las personas implicadas con acceso durante el proceso de respuesta.

se debe organizar la documentación cronológicamente, comprobar que está completa, y firmarla y revisarla con la directiva y los representantes legales. 

•Finalmente se debe elaborar un documento sobre los hallazgos del incidente incluyendo la forma en que se produjo la intrusión, cuando se produjo el ataque, la respuesta otorgada y si está fue efectiva.


Referencias:
Beyond S.(2014) Securiteam. Protección de Datos Personales.Recuperado de:
http://metabase.uaem.mx/bitstream/handle/123456789/2526/4%20Medidas%20de%20seguridad%20en%20los%20datos%20personales.pdf?sequence=1&isAllowed=y