Recomendaciones en materia de seguridad de datos personales
| Autor | Mariano Carlos Rosales Ortiz |
| Páginas | 163-186 |
Page 163
El presente es un cuerpo normativo de aplicación general en todo el territorio de la República Mexicana. Constituyen un marco de referencia respecto a las acciones que se consideran como las mínimas necesarias para la seguridad de los datos personales. La Recomendación General es la adopción de un Sistema de Gestión de Seguridad de Datos Personales (SGSDP) basado en el ciclo PHVA (PlanearHacer-Verificar-Actuar).
El cumplimiento de las Recomendaciones podrá ser un factor a considerar para la reducción de sanciones en los casos que ocurra una vulneración a la seguridad de los datos personales, según lo establecido en el Artículo 58 del Reglamento de la Ley Federal de Protección de Datos Personales (RLFPDPPP).
Publicada en el Diario Oficial de la Federación el 30 de octubre de 2014.
Page 165
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Instituto Federal de Acceso a la Información y Protección de Datos.
El Pleno del Instituto Federal de Acceso a la Información y Protección de Datos, con fundamento en lo dispuesto por los artículos 19, 39, fracción IV de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; 58 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; 15, fracciones I y XXI, 24, fracción III, y 30, fracción II del Reglamento Interior del Instituto Federal de Acceso a la Información y Protección de Datos, y
CONSIDERANDO
Que uno de los deberes que rigen la protección de los datos personales es la implementación de medidas de seguridad para la protección de la información que está en posesión de los responsables y encargados del tratamiento de los datos personales;
Que en ese sentido, el artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece la obligación para todo responsable que lleve a cabo el tratamiento de datos personales, de implementar y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado de los mismos;
Que el Capítulo III del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares define de manera general los factores que deberán tomar en cuenta los responsables y encargados del tratamiento de datos personales para determinar las medidas de seguridad a implementar para la protección de los mismos, así como las acciones que deberán llevar a cabo los responsables y encargados para la implementación de las medidas de seguridad;
Page 166
Que en los casos en que ocurra una vulneración a la seguridad de los datos personales, el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI o Instituto), en su caso, podrá tomar en consideración el cumplimiento de sus recomendaciones, para efectos del artículo 58 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares;
Que, además de lo anterior, las recomendaciones del Instituto servirán de orientación a los particulares para determinar los procedimientos y mecanismos a aplicar para la seguridad de los datos personales;
Que de conformidad con el artículo 39, fracciones IV y V de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, el IFAI tiene las atribuciones de emitir recomendaciones para efectos de funcionamiento y operación de esa ley, así como para divulgar estándares y mejores prácticas internacionales en materia de seguridad de la información; emite las presentes:
Page 167
El artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, la Ley) establece que:
Artículo 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.
Por su parte, el Capítulo III del Reglamento de la Ley detalla los factores y acciones que deben tomar en cuenta los responsables y encargados del tratamiento de datos personales para determinar las medidas de seguridad aplicables a la información personal que esté en su posesión.
Asimismo, el Instituto, en su caso, podrá tomar en consideración el cumplimiento de sus recomendaciones para efectos del artículo 58 del Reglamento de la Ley.
En ese sentido, y en ejercicio de la facultad que la fracción IV del artículo 39 de la Ley otorga al Instituto para emitir criterios y recomendaciones para el funcionamiento y operación de la Ley; el IFAI emite las presentes recomendaciones, a fin de que los responsables y encargados tengan un marco de referencia respecto de las acciones que se consideran como las mínimas necesarias para la seguridad de los datos personales.
Page 168
RECOMENDACIÓN GENERAL
Para la seguridad de los datos personales, el IFAI RECOMIENDA la adopción de un Sistema de Gestión de Seguridad de Datos Personales (SGSDP), basado en el ciclo PHVA (Planear- Hacer-Verificar-Actuar).
Es importante que se tome en cuenta que el alcance del SGSDP es la protección de los datos...
Para continuar leyendo
Solicita tu prueba