Ley y ofrecimiento de privacidad de datos
Anuncio
La Privacidad ha muerto… larga vida a la Privacidad ¿Por qué una ley de protección de datos? Físico vs Digital En 1990, las ventas de la enciclopedia Britannica logro el record de ventas… $650 millones de dólares Físico vs Digital • Una Enciclopedia Britannica se vendía desde $1,500 y hasta en $2,200 USD • Una enciclopedia en CD-ROM se vendía desde $50 y hasta $70 USD El cambio de paradigma 5 Robo digital Robo digital ¿Cuánto cuesta el robo digital, por año? Robo digital $30B $56B ROBO DE SMARTPHONES MERCADO DE ROBO DE AUTOS $85B $114B MERCADO DE ROBO DE TARJETAS DE CREDITO MERCADO DE COCAINA $1,000BILLONES MERCADO GLOBAL DE CIBERCRIMEN Robo digital 1trillón de dólares por año en pérdidas, con crecimiento del 300% anual ¿Cuál es la problemática? Default Close Confidencialidad Default Open Disponibilidad ¿Qué es la Ley Federal de Protección de Datos Personales en Posesión de los Particulares? Antecedentes • Artículo 12 • Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques. • Artículo 16 • Nadie puede ser molestado en su persona, familia, domicilio, posesiones o derechos sino en virtud de mandamiento escrito de la autoridad competente debidamente fundado y motivado Declaración universal de derechos humanos Constitución política de los Estados Unidos Mexicanos Modificaciones a la constitución Se modificaron 2 Artículos Constitucionales: Artículo 6° • Acceso a la información, en su inciso II • "..la información que se refiere a la vida privada y los datos personales será protegida por la ley de la materia". Artículo 73 • Faculta al congreso para legislar en materia de protección de datos personales en posesión de particulares. Estándares Internacionales Madrid Conference: Privacy and Data Protection Authorities of the 5 continents Derechos ARCO Acceso Rectificación Cancelación Oposición Definiciones • Cualquier información concerniente a una persona física identificada o identificable • Datos personales que afectan a la esfera más intima del titular, o cuya utilización pueda dar origen a discriminación o riesgo grave • Se le llama así al conjunto ordenado de datos personales referentes a una persona identificada o identificable • Documento físico o electrónico generado por el responsable y que es puesto a disposición del titular previo al tratamiento de sus datos personales Datos personales sensibles Base de Datos • Persona física a quien corresponden los datos personales • Persona física o moral, nacional o extranjera de carácter privado que decide sobre el tratamiento de los datos personales • Persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable • Los datos personales no pueden asociarse al titular ni permitir la identificación del mismo Titular Responsable Encargado Disociación Datos personales Aviso de Privacidad Fechas importantes Riesgo Reputacional Los resultados de las investigaciones del IFAI serán publicas. El IFAI tendrá el poder de ir a las organizaciones a revisar los mecanismos de protección de datos Artículo 59 y Artículo 60 Penas y Multas Multas de hasta 76MDP Artículo 64, Artículo 68 y Artículo 69 Prisión de hasta 10 años ¿Qué hacer para cumplir con la LFPDPPP? Medidas a implementar Elaborar políticas y programas de privacidad Destinar recursos para la instrumentación de los programas y políticas de privacidad Artículo 48 Programas de capacitación, actualización y concientización del personal Establecer un sistema de supervisión y vigilancia interna Verificaciones o auditorías externas Procedimientos para atender el riesgo para la protección de datos personales Revisar periódicamente las políticas y programas de seguridad Establecer procedimientos para recibir y responder dudas y quejas de los titulares de los datos personales Mecanismos para el cumplimiento de las políticas y programas de privacidad, así como de sanciones por su incumplimiento Establecer medidas para la trazabilidad Artículo 61 Acciones para la seguridad I Datos Sensibilidad Sistemas Roles Nombre Dato personal Sistema de RH RH Director del Área Teléfono Dato per sonal Sistema de Nominas Finanzas Numero de empleado Dato per sonal Sistemas de Nominas Finanzas RH Salario Dato per sonal sensible Expediente físico RH Archivo Inventario de datos personales Inventario de los sistemas de tratamiento Funciones y obligaciones de las personas que traten los datos personales Acciones para la seguridad II Medidas de seguridad aplicables a los datos personales Análisis de riesgos de datos personales Alto Alto Sensibilidad Medio Moderado Bajo Medio Mínimo Menor Artículo 61 Medio Volumen Mayor Acciones para la seguridad III Análisis de brecha de las medidas de seguridad Q1 Q2 Q3 Plan de trabajo para la implementación de las medidas de seguridad Q4 Q1 Q2 Q3 Implantación de Proceso de Administración de Riesgos Implantación de Proceso de desarrollo Seguro de aplicaciones Proceso de Administración de Actualizaciones y Vulnerabilidades Proceso de Administración de Cambios Seguros Migración de protocolo de soporte remoto robusto Artículo 61 Migración de protocolo de comunicación inalámbrica Estándar de Contraseñas Migración de almacenamiento de contraseñas Guías de Configuración de Seguridad en SO Guías de Configuración de Seguridad en aplicaciones 2016 2017 Q4 Acciones para la seguridad IV 8 9 10 11 • Revisiones y/o auditorías • Capacitar al personal que trate datos personales • Registro de las cancelaciones o destrucciones de datos personales • Registro de los medios de almacenamiento de los datos personales Artículo 61 ¿Qué es una vulneración de seguridad? Artículo 63 La pérdida o destrucción no autorizada El robo, extravío o copia no autorizada El uso, acceso o tratamiento no autorizado El daño, la alteración y/o modificación no autorizada Casandra MULTAS 6multas $18,649,136 Al evidenciar negligencia en la tramitación y respuesta de una solicitud de cancelación y oposición de datos personales $1,246,600 Por no señalar en el Aviso de Privacidad las opciones y medios para ejercer los derechos ARCO. MULTAS Pharma Plus, S.A. de C.V. con $2,045,000 por omitir el elemento de identidad en el Aviso de Privacidad. Caja Popular Cristo Rey, S.C. de R.L. de C.V., con $2,181,550 por recabar datos de carácter financiero y patrimonial, sin contar con el consentimiento del titular. MULTAS TELCEL (2 multas $6,264,165) Sin consentimiento del titular Telcel accedió a los contactos de su cliente , a quienes les hizo llamadas y envió mensajes, para ponerlos al tanto del adeudo y gestionar por medio de ellos la cobranza del servicio. Universidad Intercontinental (7 multas que suman $8,725,750) Por transcribir las sesiones de las terapias psicológicas de un particular y publicarlas en un sitio de internet. MULTAS Oceánica multa por $2,493,200 Fue multado por hacer públicos los datos de un paciente del y posteriormente obstruir actos de verificación ordenados por el Instituto. MULTAS Seguros Banorte multa por $32,006,691 Ya que el tratamiento de los datos personales sensibles de la denunciante no resultaba adecuado, necesario, ni relevante en relación con el otorgamiento del crédito automotriz. MULTAS Un médico con $41,874 por haber transferido datos personales sensibles sin contar con el consentimiento del titular. Gráfico elaborado con información del sitio del INAI: www.inicio.ifai.org.mx Multas INAI 2012-2015 TOTAL: $133,195, 698 Fuente: IFAI, comunicado IFAI-OA/149/14 29 de noviembre de 2014 Cálculos actualizado con información del sitio: www.inicio.ifai.org.mx La Privacidad no es un proyecto… es un PROCES O
