Tratamiento de Datos Personales en las Tecnologías de la Información del Sector Público Alfredo Méndez Calatayud Datos Personales ¿Qué son los datos personales? Toda información concerniente o relativa a una persona física, identificada o identificable Tratamiento de Datos Personales en el Sector Público ¿A qué se le llama “Tratamiento” de Datos Personales? Indicador. Número de Trámites y Servicios integrados a SEITS Tratamiento es… Cualquier tipo de operación o procedimiento técnico, sea o no automatizado, que permita obtención, uso, divulgación o almacenamiento de Datos Personales; grabación, conservación, modificación, consulta, utilización, cancelación, cesión, bloqueo o supresión, así como acceso, manejo, aprovechamiento, transferencia o disposición de datos del Titular En cualquier formato: físico, digital… documental, gráfico, fotográfico, video, audio, datos, información… Ejemplos • Identificación – Nombre, edad, domicilio, sexo, RFC, dirección de correo electrónico, CURP... • Patrimoniales – Cuentas bancarias, saldos, propiedades... • Salud – Estados de salud físicos y mentales... • Biométricos – Huellas dactilares, iris, voz, firma autógrafa... • Otros – Ideología, afiliación política, religión, origen étnico, preferencia sexual... Utilizados en trámites y servicios, contratos, encuestas, etc. Regulación en México • Sector Público: – Ley Federal de Transparencia y Acceso a la Información Pública – Leyes locales de Protección de Datos Personales (como la del Estado de México) – Ley de Gobierno Digital del Estado de México y Municipios • Sector Privado – Ley Federal de Protección de Datos Personales en Posesión de Particulares Eventos Eventos Impacto de las fugas de datos Abuso o mal uso de privilegios Tácticas de Ingeniería S ocial Ataques físicos Incidentes de Fuga de Datos por Tipo Malware Intrusiones a redes Alguna forma de Hackeo Robo interno de datos Phishing, Hackeo Movimiento de Datos Correo accidental o exposición en Internet Contrato con proveedores, Socios de negocio Negligencia, destrucción inadecuada Robo Físico Indicador. Número de Trámites y Objetos de Protección • Mundo físico: – – – – Archivos, expedientes, documentos Fototecas o videotecas Microfilm Etc. • Mundo Digital – – – – – – – Bases de datos Catálogos y sistemas de acceso Registros de pacientes, alumnos, beneficiarios de subsidios… Archivos y documentos electrónicos Fototecas, audiotecas y videotecas digitales Sistemas de Trámites, Registros Públicos, videovigilancia Etc. Eventos/Consecuencias Riesgos por tratamiento inadecuado Para los servidores públicos • Incumplimiento de la Ley Para las organizaciones • Credibilidad • Prestigio • Responsabilidades Para los Titulares • Incumplimiento de Obligaciones • Prestigio, Daño moral • Daño patrimonial • Discriminación • Robo de identidad • Muerte por información de salud •… Recursos • Familia de normas ISO 27000 • Sistema de Gestión de Seguridad de la Información • Amplia oferta de productos en el ámbito tecnológico • Normas de Organización y protección de archivos • Prácticas y procedimientos de guardia, seguridad y custodia • Productos tecnológicos Recursos tecnológicos Windows 1 0 Threat Protection Prácticas • Passwords (si, siempre las passwords!) • Ingeniería Social • Tecnologías de seguridad • Ignorancia • Estupidez • Hackers • Profesionales • Aficionados Y los servicios en la nube? Los servicios en la nube • • • • • • • Seguridad? Cumplimiento normativo? Eficiencia? Correo electrónico? Procesamiento? Almacenamiento Aplicaciones? Comparar antes de cuestionar! Tratamiento de Datos Personales en las Tecnologías de la Información del Sector Público Gracias! Alfredo Méndez Calatayud