Luego de que creciera el robo de bases de datos a empresas y la información personal fuera adquiriendo más valor para los delincuentes, se dio a conocer la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) que tiene que acatarse por todas las empresas que guardan estos datos, sin embargo muchas no lo han logrado.
Esta ley que protege a los ciudadanos para evitar que sean víctimas de robos de identidad, les otorga la facultad para solicitar toda la información personal que una empresa tenga de él, lo que implica no sólo que la compañía debe tener bien resguardados los datos sino que debe desarrollar un procedimiento para la cancelación y eliminación de información cuando ya no sea necesario que este en su posesión.
A la fecha las organizaciones ya deberían contar con:
– Aviso de Privacidad donde se explica al titular qué datos se están recabando, con qué finalidad, para qué serán utilizados y a quienes se enviarán en caso de transferencias.
– Nombrar una persona o área responsable de la privacidad, la cual estará obligada a detectar los problemas dentro de la empresa en el manejo de datos, reportar a los titulares el uso de sus datos y es también el responsable de mantener la información de manera confidencial.
– Medidas de seguridad físicas, técnicas y administrativas para el manejo de información, tomando en cuenta los riesgos existentes, las consecuencias y la sensibilidad de datos.
El hecho no resulta un tema menor pues de acuerdo con un estudio de EMC e IDC, la información se duplica cada dos años obligando a las empresas a controlar toda aquella que llegue o salga de ellas en la llamada era de la sociedad de la información.
Y es que hoy los datos son un elemento fundamental de control y de poder, debido a que el robar identidades representa la posibilidad de generar ganancias, no obstante EMC identifica que en México existe una baja cultura por la privacidad y protección de datos personales. La mayoría de las organizaciones no tienen ningún proceso para identificar al propietario de los archivos y muchos son incapaces de determinar qué individuos y los roles están autorizados a acceder a los datos.
De hecho una encuesta realizada por KPMG en México señala que 60% de las empresas reconocen no estar listas para proteger los datos personales como parte de su estrategia de negocios.
Aquellas organizaciones que no han establecido lineamientos para cumplir la ley tendrán que considerar herramientas, cambios en los procedimientos, cambios en la organización y una inversión importante para implementar una adecuada estrategia de seguridad para los datos personales.
EMC recomienda para ello el establecimiento de Gobernabilidad Empresarial, Riesgo y Cumplimiento (o eGRC, e-Governance and Risk Compliance, por sus siglas en inglés) que asegura conlleva procedimientos y controles adecuados para la protección de información sensible.
“Es indispensable que las empresas fomenten la protección de datos al interior de las organizaciones, desarrollando modelos de privacidad, creando políticas y prácticas de protección de datos y realizando una evaluación de procesos para posteriormente medir la eficacia de los mismos”, dijo César del Blanco, director de México y el norte de Latinoamérica de RSA, la División de Seguridad de EMC.
Los pasos que el experto recomienda llevar a cabo son:
– Implementación de controles para el cumplimiento de regulaciones.
– Seguimiento en la implementación de una regulación.
– Realización de auditorías reglamentarias.
– Atención a riesgos de alta prioridad.
– Aumento de la concientización de las políticas, objetivos y responsabilidades entre el personal de empresas y terceros.
En ese sentido afirma que una política de eGRC permitirá dar un seguimiento adecuado del cumplimiento de la ley e identificar de manera rápida y fácil donde se encuentran los puntos débiles, “además la implementación de eGRC, mejora la compresión de las regulaciones o políticas y permite la medición sistemática del cumplimiento”.
Considera está opción y evita que el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) imponga a tu empresa sanciones o infracciones.
Ariadna Cruz
Información relacionada
[tubepress views=”false” title=”false” length=”false” video=”K534KoCU3yU”]
