Caso no. 1

Please set "Project main image" option
FECHA:  13 de febrero de 2014 .

VULNERACIÓN: La página de Internet de la FCPyS para aspirantes a posgrados permite acceso no autorizado a datos personales de otros aspirantes como nombre, dirección, RFC, historial académico, etc.

PROBLEMA: Problema de gestión de acceso a las personas que se registran en el sistema y de autentificación.

CONTEXTO: El aspirante a cursar un posgrado en la FCPyS de la UNAM necesita llenar una serie de formularios en la página web de la institución con información de antecedentes académicos, datos personales y experiencia laboral y en investigación, así como publicaciones. Tras unos minutos de inactividad, los datos de otro usuario aparecieron y era posible modificarlos.

VIOLACIÓN DE LA LEY: La Facultad de Ciencias Políticas y Sociales (FCPyS) de la UNAM no notificó la brecha de seguridad en su sistema  para aspirantes de ingreso a posgrado.

SEGUIMIENTO: —       .

 

LO QUE LA LEY DICE: El Artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de Particulares señala que:

“Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. 

Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.”

También es conveniente mencionar que el Artículo 20 establece que:

“Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.”

ACERCA DE LA LEY: La Ley Federal de Protección de Datos en Posesión de Particulares fue promulgada en julio 2010 y entró en vigor en enero del 2012. Esta ley busca proteger los datos personales en posesión de los particulares y regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de los individuos.

¡Consulta más sobre el marco normativo!