Ante vulneraciones de datos personales ¿qué hacen las empresas en México?

SonTusDatos seleccionó a siete empresas representativas de siete distintos sectores de la economía para realizarles una encuesta sobre sus políticas de notificación de vulneraciones de datos personales.

Data Breach. Imagen tomada de blogtrepreneur.com/tech, bajo licencia CC BY 2.0.

La Ley Federal de Protección de Datos Personales en Posesión de Particulares establece que las empresas deben notificar las vulneraciones de datos personales a los titulares de los mismos, pero ¿qué hacen las empresas para, en efecto, cumplir con esta obligación? Con objeto de evaluar el tipo de políticas de notificación de vulneraciones de datos personales que tienen diversas empresas en México, así como de conocer qué tanto saben sobre su obligación de proteger y de notificar a las y los titulares de los datos en caso de alguna vulneración, SonTusDatos seleccionó a 49 empresas para realizarles una encuesta.

En un contexto en donde los ciberataques y las vulneraciones de datos personales están creciendo a nivel mundial, afectando a millones de usuarios de una gran diversidad de bienes y servicios, realizar una encuesta de este tipo es de alta relevancia para las y los titulares de datos personales porque muestra el nivel de compromiso que las empresas tienen en el tratamiento de sus datos personales.

¿Qué son las vulneraciones de datos personales?

De acuerdo con el artículo 63 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, por vulneraciones de datos personales debemos entender lo siguiente:

  • La pérdida o destrucción no autorizada de los datos personales en posesión de las personas físicas o morales, que realizan el tratamiento de los datos;
  • El robo, extravío o copia no autorizada de los mismos;
  • Su uso, acceso o tratamiento no autorizado;
  • El daño, la alteración o modificación no autorizada.

De acuerdo con el artículo 20 de la propia Ley Federal de Protección de Datos Personales en Posesión de Particulares, aquellas vulneraciones de datos personales que afecten de forma significativa los derechos de las y los titulares de los datos, deben ser informadas de manera forma inmediata para que éstos puedan tomar las medidas necesarias para proteger su información y privacidad.

Al realizar la notificación, las empresas deben informar, al menos:

  • La naturaleza del incidente;
  • Los datos personales comprometidos;
  • Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses;
  • Las acciones correctivas realizadas de forma inmediata; y
  • Los medios donde puede obtener más información al respecto.

De no hacerlo, las empresas estarían sujetas a procesos de investigación y a la imposición de posibles sanciones económicas.

Sobre la encuesta

En total se seleccionaron 49 empresas pertenecientes a sectores económicamente relevantes –de acuerdo con su aportación al producto interno bruto (PIB)– y que forman parte de algún sector de interés común, ya sea: comercio de medicamentos; comercio al por menor de mercancías; transportes, correos y almacenamiento; servicios financieros; servicios educativos; servicios de salud; o telecomunicaciones, para realizarles una encuesta de opción múltiple.

A través de este ejercicio buscamos conocer, entre otras cosas: el tipo de prácticas que las empresas tienen en materia de detección de vulneraciones de datos personales; la efectividad de sus respuestas a este tipo de incidentes; el tipo de políticas que siguen para notificar las vulneraciones de datos.

En general, destacan los siguientes resultados:

  • Únicamente 8 empresas respondieron en tiempo y forma.
  • 7 de las 8 empresas tienen implementado un sistema de seguridad de la información consolidado que incluye medidas de seguridad físicas, técnicas y administrativas para prevenir vulneraciones de los datos personales.
  • El total de las empresas encuestadas (49 empresas) cuentan con avisos de privacidad, pero ninguno de ellos menciona el procedimiento de notificación de vulneraciones de datos personales a las y los titulares.
  • 24 declaran tener un departamento de protección de datos personales, pero en los hechos son mucho menos las empresas que cuentan con el personal adecuado en la materia.
  • En general, ninguna de las empresas encuestadas conoce su obligación de cumplir con la obligación de notificar vulneraciones de seguridad de los datos personales que manejan, o por lo menos demuestra haber empezado a implementarla.

Conclusiones

Los resultados obtenidos durante la realización de esta encuesta demuestran que es necesario replantear la importancia de la protección de los datos personales por parte de los responsables de su tratamiento.

En el caso de las vulneraciones de datos personales, es imprescindible que las empresas responsables del tratamiento de datos personales notifiquen a las y los titulares afectados, por un lado, para cumplir con la ley y porque esto demuestra su compromiso con la seguridad y transparencia en el manejo de los datos. Por el otro, para que las y los titulares puedan minimizar el posible impacto de tales la vulneraciones, y tomar las medidas necesarias para evitar daños, reales o potenciales (tales como, cambiar contraseñas, números de cuenta, cancelar tarjetas de crédito o débito, entre otros).

Omitir la notificación de vulneraciones es negarle la oportunidad a los titulares afectados de adoptar medidas oportunas para protegerse de peligros reales y latentes.

En las próximas ediciones de esta encuesta, esperamos contar con mayor participación por parte de las empresas, así como contar con respuestas que demuestren su mayor compromiso con la protección de los datos personales que manejan y, en específico, que constaten lo siguiente:

  1. que cuentan con el personal capacitado, tanto en el área de protección de los datos personales como en el área de seguridad informática y digital;
  2. que han implementado los principios y políticas de protección de datos a los que se refieren en sus avisos de privacidad;
  3. que han implementado sistemas para prevenir, detectar y remediar las vulneraciones de los datos personales; y
  4. que cumplen en la práctica con su obligación de notificar vulneraciones de datos personales a los titulares afectados.

Consideramos que este tipo de ejercicios desde la sociedad civil, contribuyen a crear una mayor cultura de rendición de cuentas y, en consecuencia, a mejorar las condiciones para la defensa y protección de los derechos a la privacidad y a la protección de datos personales de las personas.

Consulta el resumen de la encuesta, a continuación:

By Giovanna SalazarGiovanna Salazar on Twitter

Giovanna Salazar es Oficial de Incidencia y Comunicación y Oficial de Recaudación de Fondos del Programa de protección de datos “SonTusDatos” de la Asociación Civil “Artículo 12”. Más información sobre Giovanna: https://sontusdatos.org/staff/giovanna-salazar/. Llave pública GPG: https://sontusdatos.org/contacto/llave-publica-de-giovanna-salazar/.

Comentarios (0)

Deja un comentario...