Recientemente se aprobó en México la denominada Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), que tiene como propósito establecer las bases, principios y procedimientos para otorgar el derecho a las personas sobre la protección de sus datos personales en posesión de sujetos obligados.
"El Estado busca garantizar la privacidad de los individuos"
Por "sujetos obligados" se entiende a cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos. En otras palabras, la ley aplica para las instituciones de los tres niveles de gobierno: federal, estatal y municipal.
En su artículo 6, la nueva ley dice: "El Estado garantizará la privacidad de los individuos y deberá velar por que terceras personas no incurran en conductas que puedan afectarla arbitrariamente. El derecho a la protección de los datos personales solamente se limitará por razones de seguridad nacional, en términos de la ley en la materia, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros".
En el 7, agrega: "Por regla general no podrán tratarse datos personales sensibles, salvo que se cuente con el consentimiento expreso de su titular o en su defecto, se trate de los casos establecidos en el artículo 22 de esta Ley". Según el citado artículo, las excepciones van desde la existencia de leyes u órdenes judiciales que hagan innecesario el consentimiento del titular, hasta situaciones de emergencia en las que la salud o integridad de alguna persona esté en riesgo.
Las implicaciones de la promulgación de este documento conducen hacia un escenario donde las instituciones de gobierno están obligadas a implementar mecanismos de protección de los datos personales de los ciudadanos. Y aunque el foco está ahí, la aplicación efectiva de los controles puede permear hacia otros activos que igualmente podrían ser protegidos.
Datos personales y el enfoque de protección
Con anterioridad, en WeLiveSecurity habíamos abordado la importancia de la protección de los datos personales de los ciudadanos, que se encuentra en posesión de los gobiernos, principalmente porque las personas proporcionan su información para recibir servicios de las diferentes instituciones gubernamentales.
estamos ante una tendencia creciente en el desarrollo de iniciativas para proteger la información en diferentes ámbitos
Sin embargo, los inconvenientes se presentan cuando no se cuenta con controles estrictos para el manejo de la información, lo que puede representar su robo o filtración, ya sea por personal interno de la institución o por algún agente externo.
En este contexto y derivado de las nuevas legislaciones, las instituciones están obligadas a apegarse a los reglamentos. En ocasiones, para dar cumplimiento con las directrices establecidas por las leyes, se mantienen elementos aislados que logran satisfacer los requisitos básicos; sin embargo, puede no ser la mejor forma de afrontar los riesgos de seguridad dinámicos. Una estrategia a seguir se enfoca en la implementación de un sistema de gestión para datos personales, mediante un proceso holístico, transversal y de mejora permanente, que satisfaga la ley además de proporcionar elementos coordinados y planeados para el cuidado de los datos.
Retos para el cumplimiento de las legislaciones de datos personales
Si bien existe un sinnúmero de retos a afrontar para el cumplimiento de las nuevas legislaciones, como la especialización en temas de seguridad por parte de las instituciones, cuestiones presupuestales e incluso la necesidad de contar con el personal idóneo para las tareas de protección de datos, la iniciativa representa un avance. En algunos casos, para mantener y mejorar la seguridad de la información, y en otros, para comenzar a reconocer la importancia del cuidado de los datos de los ciudadanos.
Por lo tanto, sin importar que se trate del ámbito privado o el sector público, la ciberseguridad comienza a tener cada vez más relevancia, misma que se ve fomentada por legislaciones de esta naturaleza. Si bien tienen como foco la protección de los datos personales, el ámbito o alcance de la protección puede ser extendido para el resguardo de otros activos que resultan igualmente valiosos.
Como lo vislumbramos en nuestro informe Tendencias 2017: La seguridad como rehén, nos encontramos ante una tendencia creciente en el desarrollo de legislaciones que determinan la manera de proteger la información a diferentes ámbitos y niveles. Considerando que los datos se manejan en los ámbitos público y privado, las legislaciones deben considerar ambos sectores, con el propósito de contrarrestar las amenazas y ataques informáticos actuales y emergentes.
Sin duda, se trata de un camino largo por recorrer y con distintos retos, que requiere de la colaboración entre los gobiernos, la iniciativa privada, el sector académico y, por supuesto, los usuarios; sin embargo, al tener presente la importancia de la información, se continúan dando pasos importantes para lograr un propósito de mayor alcance, encaminado hacia el desarrollo de la cultura de ciberseguridad.