Presentación: “Evita sanciones por fuga de datos personales de tu empresa” (Conferencia, Tecnológico de Monterrey – 24 abril 2013)

El 24 de abril del 2013, Cédric Laurant hizo una presentación sobre el manejo de las vulneraciones de seguridad según el marco jurídico mexicano, y su comparación con el marco de Estados Unidos y de la Unión europea.

La presentación hacía parte de la conferencia “Evita sanciones por fuga de datos personales de tu empresa” que organizó el Tecnológico de Monterrey (Campus Estado de México).  Ver más información sobre la conferencia en la previa entrada.

Abajo están la presentación completa al formato prezi y su transcripción.

 

 

Transcripción de la presentación:

“Evita sanciones por fuga de datos personales” (Tec de Monterrey – Campus EdoMéx – Atizapán de Zaragoza, Estado de México, MÉXICO – 24 abril 2013)

Vulneraciones de datos en el marco jurídico de la Unión Europea Vulneraciones de datos en el marco jurídico mexicano “Evita sanciones por fuga de datos personales” Marco legal mexicano y comparación con los marcos jurídicos estadounidense y de la Unión europea Mexico Aspectos de la Ley y Reglamento que cubren el manejo de vulneraciones de datos personales –

Presentación en el Tecnológico de Monterrey (Campus Estado de México), 24 abril 2013.

Presentación en el Tecnológico de Monterrey (Campus Estado de México), 24 abril 2013.

Introducción y principios generales. – Enfoque de la Ley y de la Regulación. – Datos cubiertos por las reglas. – Definición de “vulneración de seguridad”. – Notificación al consumidor – medidas – contenido. – Otra notificación requerida al regulador. – Medidas de seguridad. – Penalidades, multas y acción judicial. – Esquemas de autorregulación vinculante.

Los aspectos jurídicos y de gobernancia de la información del manejo de vulneraciones de datos de carácter personal.

Esta Ley tiene como objetivo proteger los datos personales en posesión de los particulares y regular su tratamiento legítimo, controlado e informado para garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares fue publicada en julio del 2010 por el Diario Oficial de la Federación.

La Ley mexicana de protección de datos (“LFPDPPP”) Multas o acciones penales

Fechas y plazos clave: Se publica la Ley 5 de julio 2010 6 de julio 2011 Entra en vigor la Ley Es obligatorio contar con el aviso de privacidad y definir el encargado de datos personales 6 de julio 2010 Entra en vigor el Reglamento 22 de dic. 2011 Los titulares pueden ejercer sus derechos ARCO: cualquier persona puede ejercer ante los responsables designados por las empresas sus derechos de acceso, rectificación, cancelación y oposición (conocidos por sus siglas como ”derechos ARCO”) contemplados en el Capítulo IV de la LFPDPPP. 6 de enero 2012 Fecha límite para implementar las medidas de seguridad prescritas por la LFPDPPP y su Reglamento en su empresa. 22 de junio 2013 Los titulares pueden dar inicio al procedimiento de protección de derechos ante el IFAI, en caso de alguna inconformidad ante la respuesta de la empresa.

Introducción y principios generales Artículo 19 (Ley) – Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.

Las disposiciones que regulan el manejo de las vulneraciones de datos personales están en la Ley y el Reglamento. Aunque las empresas no tienen que haber implementado las medidas de seguridad antes del 22 de junio del 2013, deben notificar vulneraciones de datos personales desde el 22 de diciembre del 2011.

Enfoque de la Ley y del Reglamento Artículo 2 (Ley) – Son sujetos regulados por esta Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de: I. Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y II. Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

Artículo 4 (Reglamento) – El presente Reglamento será de aplicación obligatoria a todo tratamiento cuando: I. Sea efectuado en un establecimiento del responsable ubicado en territorio mexicano; II. Sea efectuado por un encargado con independencia de su ubicación, a nombre de un responsable establecido en territorio mexicano; III. El responsable no esté establecido en territorio mexicano pero le resulte aplicable la legislación mexicana, derivado de la celebración de un contrato o en términos del derecho internacional, y

Data cubiertos por las reglas: [Art. 3, Law] Personal data: any information concerning an identified or identifiable individual. (disproportionality element: Art. 2-VIII, Regulation).  Sensitive personal data: personal data touching on the most private areas of the data owner’s life, or whose misuse might lead to discrimination or involve a serious risk for said data owner. In particular, sensitive data is considered that which may reveal items such as racial or ethnic origin, present and future health status, genetic information, religious, philosophical and moral beliefs, union membership, political views, sexual preference. Personal data found on physical and/or electronic media [Art. 3.1, Regulation] Personal data may be any numerical, alphabetical, graphic, photographic, acoustic or other information, concerning an identified or identifiable individual [Art. 3.3, Regulation] Personal data from public access sources: must also be processed in compliance with the rules (Law & Regulations).

Datos cubiertos por las reglas Datos cubiertos por la Ley y Reglamento (Art. 3, Ley + Art. 2, Reglamento).

Vulneración Definición de “vulneración”: (Art. 63, Reglamento) – Las vulneraciones de seguridad de datos personales ocurridas en cualquier fase del tratamiento son: I. La pérdida o destrucción no autorizada; II. El robo, extravío o copia no autorizada; III. El uso, acceso o tratamiento no autorizado, o IV. El daño, la alteración o modificación no autorizada.

Notificación al titular de datos (Art. 65, Reglamento) – Información mínima al titular en caso de vulneraciones de seguridad: El responsable deberá informar al titular al menos lo siguiente: I. La naturaleza del incidente; II. Los datos personales comprometidos; III. Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses; IV. Las acciones correctivas realizadas de forma inmediata, y V. Los medios donde puede obtener más información al respecto.

Medidas correctivas (Artículo 66, Reglamento) – Medidas correctivas en caso de vulneraciones de seguridad. En caso de que ocurra una vulneración a los datos personales, el responsable deberá analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita.

Medidas de seguridad Cuando el Responsable no está ubicado en el territorio mexicano pero que el Encargado está, el Encargado tiene que cumplir con las medidas de seguridad del Capítulo III del Reglamento. (Art. 60, Reglamento) – Factores para determinar las medidas de seguridad. El responsable determinará las medidas de seguridad aplicables a los datos personales que trate, considerando los siguientes factores: I. El riesgo inherente por tipo de dato personal; II. La sensibilidad de los datos personales tratados; III. El desarrollo tecnológico, y IV. Las posibles consecuencias de una vulneración para los titulares. De manera adicional, el responsable procurará tomar en cuenta los siguientes elementos: I. El número de titulares; II. Las vulnerabilidades previas ocurridas en los sistemas de tratamiento; III. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión, y IV. Demás factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o regulación aplicable al responsable. (Art. 61, Reglamento) – El responsable deberá contar con una relación de las medidas de seguridad establecidas en el Art. 61.

Penalidades, multas y acción judicial (Artículo 63, Ley) – Constituyen infracciones a esta Ley, las siguientes conductas llevadas a cabo por el responsable: XI. Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable; XIX. Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de lo previsto en la presente Ley. (Artículo 65, Ley).

El Instituto fundará y motivará sus resoluciones, considerando: I. La naturaleza del dato; II. La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos de esta Ley; III. El carácter intencional o no, de la acción u omisión constitutiva de la infracción; IV. La capacidad económica del responsable, y V. La reincidencia. (Artículo 58, Reglamento) – Atenuación de sanciones: En términos de lo dispuesto en el artículo 65, fracción III de la Ley (cuando El Instituto tiene que fundar y motivar sus resoluciones teniendo en cuenta el carácter intencional o no, de la acción u omisión constitutiva de la infracción), en los casos en que ocurra una vulneración a la seguridad de los datos personales, el Instituto podrá tomar en consideración el cumplimiento de sus recomendaciones para determinar la atenuación de la sanción que corresponda. Esquemas de autorregulación vinculante.

Cuando el responsable no se encuentre ubicado en territorio mexicano, pero el encargado lo esté, a este último le serán aplicables las disposiciones relativas a las medidas de seguridad contenidas en el Capítulo III del presente Reglamento. (Art. 52, Reglamento).

Tratamiento de datos personales en el denominado cómputo en la nube: Para el tratamiento de datos personales en servicios, aplicaciones e infraestructura en el denominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales de contratación, sólo podrá utilizar aquellos servicios en los que el proveedor: I. Cumpla, al menos, con lo siguiente: a) Tener y aplicar políticas de protección de datos personales afines a los principios y deberes aplicables que establece la Ley y el presente Reglamento; (…).

Medidas de seguridad en el computo en la nube (Artículo 57, Reglamento) – Alcance: El responsable y, en su caso, el encargado deberán establecer y mantener las medidas de seguridad administrativas, físicas y, en su caso, técnicas para la protección de los datos personales, con arreglo a lo dispuesto en la Ley y el presente Capítulo, con independencia del sistema de tratamiento. Se entenderá por medidas de seguridad para los efectos del presente Capítulo, el control o grupo de controles de seguridad para proteger los datos personales. Lo anterior sin perjuicio de lo establecido por las disposiciones vigentes en materia de seguridad emitidas por las autoridades competentes al sector que corresponda, cuando éstas contemplen una protección mayor para el titular que la dispuesta en la Ley y el presente Reglamento. (Artículo 62, Reglamento.)

Actualizaciones de las medidas de seguridad: Los responsables deberán actualizar la relación de las medidas de seguridad, cuando ocurran los siguientes eventos: (I. Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la política de seguridad del responsable;) (II. Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio del nivel de riesgo;) III. Se vulneren los sistemas de tratamiento, de conformidad con lo dispuesto en el artículo 20 de la Ley y 63 del presente Reglamento. IV. Exista una afectación a los datos personales distinta a las anteriores. En el caso de datos personales sensibles, los responsables procurarán revisar y, en su caso, actualizar las relaciones correspondientes una vez al año. En caso de que de manera reiterada persistan las infracciones citadas en los incisos anteriores, se impondrá una multa adicional que irá de 100 (6,476 MXN) a 320,000 (20,723,200 MXN) días de salario mínimo vigente en el Distrito Federal. En tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos. (Artículo 64, Ley.)

Las infracciones a la presente Ley serán sancionadas por el Instituto con: Multa de 200 a 320,000 días de salario mínimo vigente en el Distrito Federal (12,952 MXN – 20,723,200 MXN), en los casos previstos en las fracciones VIII a XVIII del artículo anterior, y (Artículo 81, Reglamento).

Incentivos para la autorregulación: Cuando un responsable adopte y cumpla un esquema de autorregulación, dicha circunstancia será tomada en consideración para determinar la atenuación de la sanción que corresponda, en caso de verificarse algún incumplimiento a lo dispuesto por la Ley y el presente Reglamento, por parte del Instituto. Asimismo, el Instituto podrá determinar otros incentivos para la adopción de esquemas de autorregulación, así como mecanismos que faciliten procesos administrativos ante el mismo.

De los Delitos en Materia del Tratamiento Indebido de Datos Personales (Artículo 67, Ley)- Se impondrán de tres meses a tres años de prisión al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.(Artículo 69, Ley) – Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán. (Artículo 79, Reglamento.)

Objeto de la autorregulación: De conformidad con lo establecido en el artículo 44 de la Ley, las personas físicas o morales podrán convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en materia de protección de datos personales, que complementen lo dispuesto por la Ley, el presente Reglamento y las disposiciones que se emitan por las dependencias en desarrollo del mismo y en el ámbito de sus atribuciones. Asimismo, a través de dichos esquemas el responsable podrá demostrar ante el Instituto el cumplimiento de las obligaciones previstas en dicha normativa. Lo anterior con el objeto de armonizar los tratamientos que lleven a cabo quienes se adhieren a los mismos y facilitar el ejercicio de los derechos de los titulares. (Artículo 80, Reglamento.)

Objetivos específicos de la autorregulación: Los esquemas de autorregulación podrán traducirse en códigos deontológicos o de buenas prácticas profesionales, sellos de confianza, políticas de privacidad, reglas de privacidad corporativas u otros mecanismos, que incluirán reglas o estándares específicos y tendrán los siguientes objetivos primordiales: II. Establecer procesos y prácticas cualitativos en el ámbito de la protección de datos personales que complementen lo dispuesto en la Ley; III. Fomentar que los responsables establezcan políticas, procesos y buenas prácticas para el cumplimiento de los principios de protección de datos personales, (…); IV. Promover que los responsables de manera voluntaria cuenten con constancias o certificaciones sobre el cumplimiento de lo establecido en la Ley, y mostrar a los titulares su compromiso con la protección de datos personales; VI. Facilitar la coordinación entre los distintos esquemas de autorregulación reconocidos internacionalmente; VII. Facilitar las transferencias con responsables que cuenten con esquemas de autorregulación como puerto seguro; VIII. Promover el compromiso de los responsables con la rendición de cuentas y adopción de políticas internas consistentes con criterios externos, así como para auspiciar mecanismos para implementar (…) herramientas, transparencia, supervisión interna continua, evaluaciones de riesgo, verificaciones externas y sistemas de remediación.

(Artículo 82, Reglamento.) – Contenido mínimo de los esquemas de autorregulación: Los esquemas de autorregulación deberán considerar los parámetros que emita la Secretaría, en coadyuvancia con el Instituto, para el correcto desarrollo de este tipo de mecanismos y medidas de autorregulación, considerando al menos lo siguiente: I. El tipo de esquema convenido, que podrá constituirse en códigos deontológicos, código de buena práctica profesional, sellos de confianza, u otros que posibilite a los titulares identificar a los responsables comprometidos con la protección de sus datos personales; III. Los procedimientos o mecanismos que se emplearán para hacer eficaz la protección de datos personales por parte de los adheridos, así como para medir la eficacia; VI. Los mecanismos para facilitar los derechos de los titulares de los datos personales; (…)

Artículo 20 (Ley) – Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos. IV. El responsable no esté establecido en territorio mexicano y utilice medios situados en dicho territorio, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento. Para efectos de esta fracción, el responsable deberá proveer los medios que resulten necesarios para el efectivo cumplimiento de las obligaciones que impone la Ley, su Reglamento y demás disposiciones aplicables, derivado del tratamiento de datos personales. Para ello, podrá designar un representante o implementar el mecanismo que considere pertinente, siempre que a través del mismo se garantice que el responsable estará en posibilidades de cumplir de manera efectiva, en territorio mexicano, con las obligaciones que la normativa aplicable imponen a aquellas personas físicas o morales que tratan datos personales en México.

(Art. 2-VIII, Regulation) – Persona física identificable: Toda persona física cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información. No se considera persona física identificable cuando para lograrla identidad de ésta se requieran plazos o actividades desproporcionadas (elemento de disproporcionalidad).

(Art. 3-VI, Ley) – Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.

(Art. 3.1, Reglamento) – El presente Reglamento será de aplicación al tratamiento de datos personales que obren en soportes físicos o electrónicos, que hagan posible el acceso a los datos personales con arreglo a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización.

(Art. 3.3, Reglamento) – los datos personales podrán estar expresados en forma numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a una persona física identificada o persona física identificable.

Vulneraciones de datos en el marco jurídico estadounidense.

Cuadros sintéticos de los requerimientos de notificación de vulneraciones de datos personales en los 46 Estados en EE.UU. Legislación estatal y federal. Casi todos los Estados cuentan con una ley de notificación de violaciones de seguridad. Legislación federal para el sector financiero y el sector salud. – Primer requisito de notificación – Ley promulgada en 2002 – Entró en vigor en julio 2003 – Primeros casos de violaciones notificadas en julio 2003 – Revisiones de la ley en 2011 – Sirve de modelo para casi todas las otras legislaciones en EE.UU. e internacionalmente Defines “breach of the security of the system” as “unauthorized acquisition of computerized data that compromises the security, confidentiality, or integrity of personal information maintained by the person or business.” – Does not require that the incident create a risk of identity theft to the California resident – Good faith acquisition is exempted California – Breach Requires an entity owning or licensing computerized data that includes personal information to “disclose any breach of the security of the system following discovery or notification of the breach in the security of the data to any resident of California whose unencrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person.” – “in the most expedient time possible and without unreasonable delay.” California – Consumer Notice Written notice By far the most common means. Electronic notice If the notice provided is consistent with the E-Sign Act. Substitute notice – If the person or business demonstrates that the cost of providing notice would exceed $250,000, or that the affected class of subject persons to be notified exceeds 500,000, or the person or business does not have sufficient contact information. – E-mail, conspicuous posting on website, notice to media and Office of Privacy Protection. California – Means of Consumer Notice Newly Amended: (SB 24) The statute does require specific information be included in the consumer notice: (1) The security breach notification shall be written in plain language. (2) The security breach notification shall include, at a minimum, the following information: (A) The name and contact information of the reporting person or business subject to this section. (B) A list of the types of personal information that were or are reasonably believed to have been the subject of a breach. (C) If the information is possible to determine at the time the notice is provided, then any of the following: (i) the date of the breach, (ii) the estimated date of the breach, or (iii) the date range within which the breach occurred. The notification shall also include the date of the notice. California – Notice Content (Cont’d) (D) Whether notification was delayed as a result of a law enforcement investigation, if that information is possible to determine at the time the notice is provided. (E) A general description of the breach incident, if that information is possible to determine at the time the notice is provided. (F) The toll-free telephone numbers and addresses of the major credit reporting agencies if the breach exposed a social security number or a driver’s license or California identification card number. California – Notice Content Newly Revised (SB 24) Requires additional notice to State Attorney General if: More than 500 California residents as a result of a single breach of the security https://oag.ca.gov/ecrime/databreach/report-a-breach California – Other Notice.

Marco regulatorio en la Unión Europea.

Directiva 2009/136/EC Seguridad del tratamiento – “Sin perjuicio de lo dispuesto en la Directiva 95/46/CE, las medidas a que se refiere el apartado 1, como mínimo: – garantizarán que solo el personal autorizado tenga acceso a los datos personales para fines autorizados por la ley, – protegerán los datos personales almacenados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidentales o el almacenamiento, tratamiento, acceso o revelación no autorizados o ilícitos, y – garantizarán la aplicación efectiva de una política de seguridad con respecto al tratamiento de datos personales.: (Art. 4, Dir. 2009/136/EC). What is a security breach ? “personal data breach” means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored or otherwise processed in connection with the provision of a publicly available electronic communications service in the Community” Who to notify and when ? In the case of a personal data breach, the provider of publicly available electronic communications services shall, without undue delay, notify the personal data breach to the competent national authority. When the personal data breach is likely to adversely affect the personal data or privacy of a subscriber or individual, the provider shall also notify the subscriber or individual of the breach without undue delay. Directiva 2009/136/CE Exception Notification of a personal data breach to a subscriber or individual concerned shall not be required if the provider has demonstrated to the satisfaction of the competent authority that it has implemented appropriate technological protection measures, and that those measures were applied to the data concerned by the security breach. Such technological protection measures shall render the data unintelligible to any person who is not authorized to access it. Notification at DPA request Without prejudice to the provider’s obligation to notify subscribers and individuals concerned, if the provider has not already notified the subscriber or individual of the personal data breach, the competent national authority, having considered the likely adverse effects of the breach, may require it to do so. Directiva 2009/136/CE Content of notification The notification to the subscriber or individual shall at least describe the nature of the personal data breach and the contact points where more information can be obtained, and shall recommend measures to mitigate the possible adverse effects of the personal data breach. The notification to the competent national authority shall, in addition, describe the consequences of, and the measures proposed or taken by the provider to address, the personal data breach. Directiva 2009/136/CE Inventory Providers shall maintain an inventory of personal data breaches comprising the facts surrounding the breach, its effects and the remedial action taken which shall be sufficient to enable the competent national authorities to verify compliance with the provisions of paragraph 3.The inventory shall only include the information necessary for this purpose. Directiva 2009/136/CE Borrador del Reglamento europeo de Protección de Datos – Texto muy similar al de la Directiva 2009/136/EC. – Diferencia clave : momento de la notificación. – Notificación a la Autoridad de Proteccion de Datos: sin dilaciones indebidas y cuando sea posible dentro de las 24 horas después de enterarse de la violación. Necesidad de justificar el retraso. – Notificación al interesado (si hay posibilidad de efectos adversos): sin dilaciones indebidas. La futura Regulación europea de protección de datos: Propuesta de Regulación del 25/01/2012 (2012/0011).

La futura Regulación europea de protección de datos: Propuesta de Regulación del 25/01/2012 (2012/0011) – Obligación de los responsables del tratamiento. Pero los encargados del tratamiento deben alertar los responsables inmediatamente después de haberse dado cuenta de la violación. – La información de contacto del Oficial de Protección de Datos, u otra información de contacto, debe ser comunicada. – La Comisión europea especificará las obligaciones vía “actos delegados” y publicará formularios estandares.

Aspectos de gestión de violaciones de seguridad y datos pérsonales y su notificación ¿Cómo tomar decisiones basadas en el nivel de riesgo – incluyendo el riesgo de acción judicial – en cada país afectado por la violación de seguridad de datos y en el que se tiene que hacer la notificación? Gestión de violaciones de seguridad y su notificación © Speechly Bircham Gestión de violaciones de seguridad y su notificación “Data Breach Risk Index Key”: Nivel de riesgo general que corre su compañía a estar expuesta a una acción judicial o a una acción administrativa (auditoría), por parte de la Autoridad de Protección de Datos. Más información disponible en http://databreachmaps.com. Asignamos a cada país puntos que calculamos basándonos en 5 criterios: – Estatus de la legislación de violaciones de seguridad en el país (sin ley, pautas, borrador de ley, ley promulgada, regulaciones promulgadas) – Sectores que la Autoridad de protección de datos puede vigilar: sector privado (sectores regulados: algunos o todos) o sector público – Número de personas empleadas por la Autoridad de protección de datos o el regulador de telecomunicaciones en el país – Nivel de multas que la autoridad ha impuesto en el pasado (de menos de 10.000EUR a más de 1.000.000EUR) – Enfoque de la ley o de la regulación de notificación de violaciones de seguridad (de absencia de regulación a regulaciones cubriendo proveedores de servicios de comunicaciones electrónicas, otros sectores (finanzas, sector medico/salud) o todos los responsables de tratamiento Más información disponible en http://databreachmaps.com.

“Data Breach Risk Index Key”: nivel de riesgo general que corre su compañía a estar expuesta a una acción administrativa (auditoría), por parte de la Autoridad de Protección de Datos, o acción judicial. Enfoque actual: los estados miembros de la Unión europea. Cada país recibe un código de color basándose en el “Mapa Interactivo de Estatus de Notificación de Violaciones” que depende del riesgo relativo de acción judicial en el país. Rojo -> naranja -> amarillo -> azul -> verde. Mapa interactivo disponible en http://databreachmaps.com.

Otros criterios a desarrollar: – Nivel de sanciones penales – Nivel y tipo de acción judicial por violaciones © Speechly Bircham © Speechly Bircham Violaciones de seguridad van a afectar más que sólo a sus filiales o clientes ubicados en México ¿Qué ocurriría si… Un analista de su empresa ubicada en el D.F. negociando un contrato llegara a perder un stick USB en un café en Bruselas, el cual stick contiene datos personales sobre ciudadanos mexicanos, españoles y estadounidenses? ¿Qué ocurriría si… Un proveedor de servicios de telecomunicaciones ubicado en Estados Unidos con operaciones de almacenamiento y tratamiento de datos en México, llegara a detectar un evento de hacking que podría haber tenido como resultado el acceso a datos de empleados y clientes? ¿Qué ocurriría si… El sistema de información de una empresa francesa de telecomunicaciones llegara a ser comprometido? Policía y expertos forenses han averiguado que la información robada ha sido vendida a un círculo de robadores de identidad que actua en Estados Unidos y México.

Utilidad de la visión panorámica: ? poder visualizar cuáles son los requisitos que tendrían que seguir sus filiales si estuvieran ubicadas en Estados Unidos en países de la Unión europea o del mundo. ¿Cómo evitar de olvidarse de notificar violaciones a la Autoridad de Protección de Datos competente? ¿Cómo manejar formatos de inventario y notificación diferentes en varias jurisdicciones? ¿Cómo notificar violaciones a clientes o suscriptores de la manera prescrita por las regulaciones? a. Estandar podría ser diferente de país en país. b. Estandar podría ser interpretado de varias maneras por las diferentes autoridades nacionales. ¿Que son las “medidas tecnológicas de protección apropiadas?” Interpretación de lo que son y si son apropiadas podría variar entre autoridades de protección de datos nacionales. ¿Cómo proveer un inventario de violaciones de datos personales? Diferentes pautas para formatos de inventarios? En caso de violaciones afectando a varias filiales en varios países, ¿cuales reglas de notificación se aplican? ¿A cuáles datos? Conflicto entre el deber de notificar una violación y la necesidad para la policía de aplazar la notificación por un cierto plazo. – Estandares diferentes dependiendo del pais. – Notificación obligatoria en un país, no en otro. © Perkins Coie © Mintz Levin ‹#›

¿Suficiente? Utilidad de la visión panorámica: poder visualizar todas las obligaciones de notificación en EE.UU., la Unión Europea y el resto del mundo para poder tomar medidas de notificación a un nivel global que puedan tomar en cuenta todos los factores y criterios pertinentes. Mapa interactivo disponible en http://databreachmaps.com Más información disponible en http://databreachmaps.com Legal status: Law or proposed law Status of law Does the law follow WP29, ENISA, EDPS guidelines? Interpretation by EDPS/DP Board Interpretation by EU MS/NRAs Etc. Covered data types Covered sectors Definition of breach Inclusions and exceptions Notification requirements Importancia de las regulaciones de notificación de violaciones de seguridad para su compañía: mayor impacto sobre su reputación en casos de violaciones notificadas al público o diseminadas en la prensa.

Gracias

E-mail: c [at] cedriclaurant [dot] com Sitio web: http://cedriclaurant.com Twitter: @cedric_laurant & @security_breach Fundador, Cedric Laurant Law Firm Abogado (Barras Bruselas & Distrito de Columbia) Cédric Laurant

Lecciones Las leyes extranjeras tienen un impacto sobre los aspectos del manejo de vulneraciones de datos personales en México, aunque sólo se traten de empresas mexicanas y ubicadas en México. Importancia de tener una vista panorámica de los requerimientos de notificación de vulneraciones en otros países, y no solamente en México, y de comprender como se aplican esas leyes extranjeras. Los marcos de notificación de vulneraciones extranjeros – especialmente estadounidenses – pueden servir de modelo al modelo mexicano, por ejemplo en los aspectos de sistematización de los formatos de notificación y de como se manejan notificaciones, de la perspectiva preventiva y después de una vulneración.

Editor, Blog “Information Security Breaches & The Law” (http://security-breaches.com) Tecnológico de Monterrey, Campus EdoMéx (Atizapán de Zaragoza, Estado de México 24 abril 2013).

(Artículo 64, Reglamento) – Notificación de vulneraciones de seguridad: El responsable deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes. databreachmaps.com.

Estudios de casos Caso 3 Caso 2 Casos de vulneraciones transfronterizas: Interés de los estudios de casos: – importancia de la vista panorámica de los requerimientos de notificación de vulneraciones en otros países – no solamente en México; – comprender como se aplican los regimenes jurídicos nacionales más importantes (EE.UU., U.E., España, etc.). – situaciones en las que datos personales tratados por una empresa han sido vulneradas y hay por lo menos un elemento externo a tener en cuenta: – cliente/titular de los datos personales no es mexicano; – vulneración ocurre fuera de México; – el Responsable o Encargado del tratamiento está ubicado fuera de México. – la vulneración está vinculada a una transferencia de datos personales entre México y otro país.

Caso 1: Un analista de un banco mexicano pierde su stick USB en un cafe en Madrid. El stick de memoria contiene los datos personales de clientes estadounidenses y mexicanos. La empresa que está en cargo de tratar esos datos para el banco mexicano es estadounidense y con sus operaciones en California. Banco mexicano perdida del stick USB Responsable de tratamiento Empresa estadounidense Encargado de tratamiento Un banco en EE.UU. con operaciones incluyendo el almacenamiento y tratamiento de datos en México detecta un incidente de hackeo que hubiese podido resultar en el acceso a datos personales de empleados y clientes. Empresa mexicana Encargado de tratamiento Banco estadounidense Responsable de tratamiento TEXAS MEXICO Incidente de hackeo El sistema informático de una empresa francesa de telecomunicaciones está comprometido. Un peritaje de forense digital e un informe de la policía francesa han descubierto que la información robada (datos personales de clientes, incluso mexicanos y estadounidenses, y secretos de negocio) fue vendida a una operación de ladrones de identidad en los EE.UU. y México. Ladrones Robo de información Empresa de telecomunicaciones Responsable de tratamiento Ciudad Juárez Massachusetts Clientes cuyos datos cuyos datos personales han sido robados FLORIDA TEXAS WASHINGTON CALIFORNIA ESTADO DE YUCATAN SPAIN MEXICO FRANCE Beneficio de usar esquemas de autorregulación vinculante en materia de manejo de vulneraciones de seguridad.

Sector financiero: requisitos a nivel federal: Interagency Guidance on Response Programs for Unauthorized Access to Customer Information and Customer Notice (“Guidance”) emitido por las agencias regulatorias bancarias y de acuerdo al Gramm-Leach-Bliley Act (“GLBA”), Seccion 501(b). Se aplica a todas las instituciones financieras que dependen de la jurisdiccion del FRB (Federal Reserve Board), OCC (Office of the Comptroller of the Currency) y FDIC (Federal Deposit Insurance Corporation). Requiere de las instituciones financieras que desarrollen un programa de respuesta a incidentes basado en el nivel riesgo para manejar acceso no autorizado a los datos personales sensibles de sus clientes. El programa debería: – Averiguar la naturaleza y enfoque del incidente. – Notificar al principal regulador de todos los incidentes. – Registrar un “Suspicious Activity Report” si es requerido. – Tomar los pasos apropiados para controlar el incidente y prevenir futuros perjuicios. – Notificar a sus clientes si requerido (“lo más pronto posible”) El programa de respuesta es generalmente revisado en el proceso de examinación. La “Información Sensible del Cliente (“Sensitive Customer Information”) incluye: – nombre, dirección o número de teléfono conjuntamente a: – Número de Seguridad Social (“Social Security number”) – Número del permiso de conducir – Número de cuenta – Número de tarjeta de débito o crédito o un “PIN” o contraseña que permitiría tener acceso a la cuenta bancaria. Requerimientos de notificación: – Notificación regulatoria: – para cualquier incidente; – marco regulatorio informal podría desarrollarse con el regulador. – Notificación al consumidor: – Si hubo mal uso de la información del consumidor o es razonablemente posible que podría resultar en un perjuicio substancial o inconveniencia (“substantial harm or inconvenience”). – No hay puerto seguro en todos los casos en que la información ha sido cifrada. – Pero va a tener un impacto sobre el análisis del riesgo (“risk assessment”) Notificación al consumidor: – Formulario. – Correo (usado más frecuentemente). – Teléfono. – E-mail (con consentimiento previo). – Debería ser entregado en cualquier manera que permita razonablemente asegurarse que el cliente la haya recibido. – Notificación debe ser obvia y clara (“clear and conspicuous manner”). – No menciona nada sobre la notificación de substitución. Notificación al consumidor: Contenido requerido: – Términos generales sobre la vulneración. – Tipo de información vulnerada. – Medidas tomadas para prevenir futuro acceso a la información. – No. de teléfono para obtener más ayuda. – Recordatorio de revisar sus cuentas en los próximos 12-24 meses. Contenido opcional: – Recomendación de revisar sus extractos bancarios. – Descripción de alertas de fraude y cómo registrar una. – Recomendación para obtener y revisar sus registros crediticios (“credit reports”) – Cómo obtener un registro crediticio gratuitamente. – Información sobre la asistencia de la Federal Trade Commission. – Aconseja la notificación del incidente a empresas crediticias (“credit reporting bureaus”)

(Minnesota Privacy Consultants – http://minnesotaprivacy.com) © Data Guidance © Mintz Levin © Minnesota Privacy Consultants Más información disponible en http://databreachmaps.com Más información disponible en http://databreachmaps.com.