Presentación sobre vulneraciones de seguridad de datos personales en PYMES mexicanas en la 8va edición del Día de la Seguridad de ALAPSI (Ciudad de México, 11 nov. 2013)

Presentación: “PYMES: Su reputación está en riesgo. Vulneraciones de seguridad de datos personales en PYMES mexicanas: Aspectos jurídicos y de gobernanza de la información” (8va ed. del Día de la Seguridad de ALAPSI, Canacintra, Ciudad de México, 11 nov. 2013)

Cédric Laurant dictó el 11 de noviembre del 2013 una presentación a destino de los miembros de la ALAPSI (Asociación Latinoamericana de Profesionales en Seguridad Informática) y de la CANACINTRA (Cámara Nacional de la Industria de Transformación), profesionales de seguridad de la información y empresarios de PYMES mexicanas.

"Security Breach" by Joshua Crauswell (evokilla). Photo taken on June 17, 2012. Available under a Creative Commons "Attribution-ShareAlike 2.0 Generic" licence at http://www.flickr.com/photos/halrom/7389331206/sizes/o/in/photostream/

“Security Breach” por Joshua Crauswell.

La presentación (“PYMES: Su reputación está en riesgo – Vulneraciones de seguridad de datos personales en PYMES mexicanas: Aspectos jurídicos y de gobernanza de la información”), que dictó durante la Octava Edición del Día de la Seguridad que organizaba la ALAPSI los 11 y 12 de noviembre 2013, dio a conocer las razones por las que PYMES deberían estar concientes de la normativa de protección de datos personales en México, de sus obligaciones de implementar medidas de seguridad que protejan los datos personales de sus clientes, usuarios y empleados, y  de las obligaciones a su cargo de notificarles vuneraciones de seguridad cuando ocurran.

Ver más información sobre el Día de la Seguridad en la previa entrada.

 

Abajo están la presentación completa al formato prezi y su transcripción:

http://prezi.com/embed/128a697ec0c2dab60fad9a1ac5163642389d9075/?bgcolor=ffffff&lock_to_path=1&autoplay=0&autohide_ctrls=0&features=undefined&disabled_features=undefined” width=”550″ height=”400″ frameBorder=”0″

 

Transcripción de la presentación:

Vulneraciones de datos en el marco jurídico mexicano
Mexico
Aspectos de la Ley y Reglamento que cubren el manejo de vulneraciones de datos personales
– Introducción y principios generales.
– Enfoque de la Ley y de la Regulación.
– Datos cubiertos por las reglas.
– Definición de “vulneración de seguridad”.
– Notificación al consumidor – medidas – contenido.
– Otra notificación requerida al regulador.
– Medidas de seguridad.
– Penalidades, multas y acción judicial.
– Esquemas de autorregulación vinculante.

Los aspectos jurídicos y de gobernanza de la información del manejo de vulneraciones de datos de carácter personal en las PYMES

Esta Ley tiene como objetivo proteger los datos personales en posesión de los particulares y regular su tratamiento legítimo, controlado e informado para garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares fue publicada en julio del 2010 por el Diario Oficial de la Federación.
La Ley mexicana de protección de datos (“LFPDPPP”)
Multas o acciones penales
Fechas y plazos clave:
Se publica la Ley
5 de julio 2010
6 de julio 2011
Entra en vigor la Ley
Es obligatorio contar con el aviso de privacidad y definir el encargado de datos personales
6 de julio 2010
Entra en vigor el Reglamento
22 de dic. 2011
Los titulares pueden ejercer sus derechos ARCO: cualquier persona puede ejercer ante los responsables designados por las empresas sus derechos de acceso, rectificación, cancelación y oposición (conocidos por sus siglas como ”derechos ARCO”) contemplados en el Capítulo IV de la LFPDPPP.
6 de enero 2012
Fecha límite para implementar las medidas de seguridad prescritas por la LFPDPPP y su Reglamento en su empresa.
22 de junio 2013
Los titulares pueden dar inicio al procedimiento de protección de derechos ante el IFAI, en caso de alguna inconformidad ante la respuesta de la empresa.
Introducción y principios generales
Artículo 19 (Ley) – Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.
Las disposiciones que regulan el manejo de las vulneraciones de datos personales están en la Ley y el Reglamento.
Aunque las empresas no tienen que haber implementado las medidas de seguridad antes del 22 de junio del 2013, deben notificar vulneraciones de datos personales desde el 22 de diciembre del 2011.
Enfoque de la Ley y del Reglamento
Artículo 2 (Ley) – Son sujetos regulados por esta Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de: I. Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y II. Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.
Artículo 4 (Reglamento) – El presente Reglamento será de aplicación obligatoria a todo tratamiento cuando:
I. Sea efectuado en un establecimiento del responsable ubicado en territorio mexicano;
II. Sea efectuado por un encargado con independencia de su ubicación, a nombre de un responsable establecido en territorio mexicano;
III. El responsable no esté establecido en territorio mexicano pero le resulte aplicable la legislación mexicana, derivado de la celebración de un contrato o en términos del derecho internacional, y
Data covered by the rules: [Art. 3, Law]
Personal data: any information concerning an identified or identifiable individual. (disproportionality element: Art. 2-VIII, Regulation)
Sensitive personal data: personal data touching on the most private areas of the data owner’s life, or whose misuse might lead to discrimination or involve a serious risk for said data owner. In particular, sensitive data is considered that which may reveal items such as racial or ethnic origin, present and future health status, genetic information, religious, philosophical and moral beliefs, union membership, political views, sexual preference.
Personal data found on physical and/or electronic media [Art. 3.1, Regulation]
Personal data may be any numerical, alphabetical, graphic, photographic, acoustic or other information, concerning an identified or identifiable individual [Art. 3.3, Regulation]
Personal data from public access sources: must also be processed in compliance with the rules (Law & Regulations).
Mexico – Data covered
Datos cubiertos por las reglas
Datos cubiertos por la Ley y Reglamento (Art. 3, Ley + Art. 2, Reglamento)
Vulneración
Definición de “vulneración”:
(Art. 63, Reglamento) – Las vulneraciones de seguridad de datos personales ocurridas en cualquier fase del tratamiento son: I. La pérdida o destrucción no autorizada; II. El robo, extravío o copia no autorizada; III. El uso, acceso o tratamiento no autorizado, o IV. El daño, la alteración o modificación no autorizada.
Notificación al titular de datos(Art. 65, Reglamento) – Información mínima al titular en caso de vulneraciones de seguridad: El responsable deberá informar al titular al menos lo siguiente:
I. La naturaleza del incidente;
II. Los datos personales comprometidos;
III. Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para
proteger sus intereses;
IV. Las acciones correctivas realizadas de forma inmediata, y
V. Los medios donde puede obtener más información al respecto.
Medidas correctivas
(Artículo 66, Reglamento) – Medidas correctivas en caso de vulneraciones de seguridad. En caso de que ocurra una vulneración a los datos personales, el responsable deberá analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita.
Medidas de seguridad
Cuando el Responsable no está ubicado en el territorio mexicano pero que el Encargado está, el Encargado tiene que cumplir con las medidas de seguridad del Capítulo III del Reglamento.
(Art. 60, Reglamento) – Factores para determinar las medidas de seguridad. El responsable determinará las medidas de seguridad aplicables a los datos personales que trate, considerando los siguientes factores:
I. El riesgo inherente por tipo de dato personal;
II. La sensibilidad de los datos personales tratados;
III. El desarrollo tecnológico, y
IV. Las posibles consecuencias de una vulneración para los titulares.
De manera adicional, el responsable procurará tomar en cuenta los siguientes elementos:
I. El número de titulares;
II. Las vulnerabilidades previas ocurridas en los sistemas de tratamiento;
III. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión, y
IV. Demás factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o regulación aplicable al responsable.
(Art. 61, Reglamento) – El responsable deberá contar con una relación de las medidas de seguridad establecidas en el Art. 61.
Penalidades, multas y acción judicial
(Artículo 63, Ley) – Constituyen infracciones a esta Ley, las siguientes conductas llevadas a cabo por el responsable:
XI. Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable;
XIX. Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de lo previsto en la presente Ley.
(Artículo 65, Ley) – El Instituto fundará y motivará sus resoluciones, considerando:
I. La naturaleza del dato;
II. La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos de esta Ley;
III. El carácter intencional o no, de la acción u omisión constitutiva de la infracción;
IV. La capacidad económica del responsable, y
V. La reincidencia.(Artículo 58, Reglamento) – Atenuación de sanciones: En términos de lo dispuesto en el artículo 65, fracción III de la Ley (cuando El Instituto tiene que fundar y motivar sus resoluciones teniendo en cuenta el carácter intencional o no, de la acción u omisión constitutiva de la infracción), en los casos en que ocurra una vulneración a la seguridad de los datos personales, el Instituto podrá tomar en consideración el cumplimiento de sus recomendaciones para determinar la atenuación de la sanción que corresponda.
Esquemas de autorregulación vinculante
Cuando el responsable no se encuentre ubicado en territorio mexicano, pero el encargado lo esté, a este último le serán aplicables las disposiciones relativas a las medidas de seguridad contenidas en el Capítulo III del presente Reglamento.
(Art. 52, Reglamento) – Tratamiento de datos personales en el denominado cómputo en la nube: Para el tratamiento de datos personales en servicios, aplicaciones e infraestructura en el denominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales de contratación, sólo podrá utilizar aquellos servicios en los que el proveedor:
I. Cumpla, al menos, con lo siguiente: a) Tener y aplicar políticas de protección de datos personales afines a los principios y deberes aplicables que establece la Ley y el presente Reglamento; (…)
Medidas de seguridad en el computo en la nube
(Artículo 57, Reglamento) – Alcance: El responsable y, en su caso, el encargado deberán establecer y mantener las medidas de seguridad administrativas, físicas y, en su caso, técnicas para la protección de los datos personales, con arreglo a lo dispuesto en la Ley y el presente Capítulo, con independencia del sistema de tratamiento.
Se entenderá por medidas de seguridad para los efectos del presente Capítulo, el control o grupo de controles de seguridad para proteger los datos personales. Lo anterior sin perjuicio de lo establecido por las disposiciones vigentes en materia de seguridad emitidas por las autoridades competentes al sector que corresponda, cuando éstas contemplen una protección mayor para el titular que la dispuesta en la Ley y el presente Reglamento.
(Artículo 62, Reglamento.) – Actualizaciones de las medidas de seguridad: Los responsables deberán actualizar la relación de las medidas de seguridad, cuando ocurran los siguientes eventos:
I. Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la política de seguridad del responsable;)
II. Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio del nivel de riesgo;)
III. Se vulneren los sistemas de tratamiento, de conformidad con lo dispuesto en el artículo 20 de la Ley y 63 del presente Reglamento.
IV. Exista una afectación a los datos personales distinta a las anteriores.
En el caso de datos personales sensibles, los responsables procurarán revisar y, en su caso, actualizar las relaciones correspondientes una vez al año.
En caso de que de manera reiterada persistan las infracciones citadas en los incisos anteriores, se impondrá una multa adicional que irá de 100 (6,476 MXN) a 320,000 (20,723,200 MXN) días de salario mínimo vigente en el Distrito Federal. En tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos.
(Artículo 64, Ley) – Las infracciones a la presente Ley serán sancionadas por el Instituto con:
Multa de 200 a 320,000 días de salario mínimo vigente en el Distrito Federal (12,952 MXN – 20,723,200 MXN), en los casos previstos en las fracciones VIII a XVIII del artículo anterior, y
(Artículo 81, Reglamento) – Incentivos para la autorregulación: Cuando un responsable adopte y cumpla un esquema de autorregulación, dicha circunstancia será tomada en consideración para determinar la atenuación de la sanción que corresponda, en caso de verificarse algún incumplimiento a lo dispuesto por la Ley y el presente Reglamento, por parte del Instituto. Asimismo, el Instituto podrá determinar otros incentivos para la adopción de esquemas de autorregulación, así como mecanismos que faciliten procesos administrativos ante el mismo.
De los Delitos en Materia del Tratamiento Indebido de Datos Personales
(Artículo 67, Ley)- Se impondrán de tres meses a tres años de prisión al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.(Artículo 69, Ley) – Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán.
(Artículo 79, Reglamento) – Objeto de la autorregulación: (…) las personas físicas o morales podrán convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en materia de protección de datos personales, que complementen lo dispuesto por la Ley, el presente Reglamento y las disposiciones que se emitan por las dependencias en desarrollo del mismo y en el ámbito de sus atribuciones. Asimismo, a través de dichos esquemas el responsable podrá demostrar ante el Instituto el cumplimiento de las obligaciones previstas en dicha normativa. Lo anterior con el objeto de armonizar los tratamientos que lleven a cabo quienes se adhieren a los mismos y facilitar el ejercicio de los derechos de los titulares.
(Artículo 80, Reglamento) – Objetivos específicos de la autorregulación: Los esquemas de autorregulación podrán traducirse en códigos deontológicos o de buenas prácticas profesionales, sellos de confianza, políticas de privacidad, reglas de privacidad corporativas u otros mecanismos, que incluirán reglas o estándares específicos y tendrán los siguientes objetivos primordiales:
II. Establecer procesos y prácticas cualitativos en el ámbito de la protección de datos personales que complementen lo dispuesto en la Ley;
III. Fomentar que los responsables establezcan políticas, procesos y buenas prácticas para el cumplimiento de los principios de protección de datos personales, (…);
IV. Promover que los responsables de manera voluntaria cuenten con constancias o certificaciones sobre el cumplimiento de lo establecido en la Ley, y mostrar a los titulares su compromiso con la protección de datos personales;
VI. Facilitar la coordinación entre los distintos esquemas de autorregulación reconocidos internacionalmente;
VII. Facilitar las transferencias con responsables que cuenten con esquemas de autorregulación como puerto seguro;
VIII. Promover el compromiso de los responsables con la rendición de cuentas y adopción de políticas internas consistentes con criterios externos, así como para auspiciar mecanismos para implementar (…) herramientas, transparencia, supervisión interna continua, evaluaciones de riesgo, verificaciones externas y sistemas de remediación.
(Artículo 82, Reglamento) – Contenido mínimo de los esquemas de autorregulación: Los esquemas de autorregulación deberán considerar los parámetros que emita la Secretaría, en coadyuvancia con el Instituto, para el correcto desarrollo de este tipo de mecanismos y medidas de autorregulación, considerando al menos lo siguiente:
I. El tipo de esquema convenido, que podrá constituirse en códigos deontológicos, código de buena práctica profesional, sellos de confianza, u otros que posibilite a los titulares identificar a los responsables comprometidos con la protección de sus datos personales;
III. Los procedimientos o mecanismos que se emplearán para hacer eficaz la protección de datos personales por parte de los adheridos, así como para medir la eficacia;
VI. Los mecanismos para facilitar los derechos de los titulares de los datos personales; (…)
Artículo 20 (Ley) – Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.
IV. El responsable no esté establecido en territorio mexicano y utilice medios situados en dicho territorio, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento.
(Art. 2-VIII, Regulation) – Persona física identificable: Toda persona física cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información. No se considera persona física identificable cuando para lograrla identidad de ésta se requieran plazos o actividades desproporcionadas (elemento de disproporcionalidad).
(Art. 3-VI, Ley) – Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.
(Art. 3.1, Reglamento) – El presente Reglamento será de aplicación al tratamiento de datos personales que obren en soportes físicos o electrónicos, que hagan posible el acceso a los datos personales con arreglo a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización.
(Art. 3.3, Reglamento) – los datos personales podrán estar expresados en forma numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a una persona física identificada o persona física identificable.

Vulneraciones de datos en el marco jurídico estadounidense

Cuadros sintéticos de los requerimientos de notificación de vulneraciones de datos personales en los 46 Estados en EE.UU.
Legislación estatal y federal.Casi todos los Estados cuentan con una ley de notificación de violaciones de seguridad.Legislación federal para sectores que manejan datos sensibles (sector financiero y salud).
– Primer requisito de notificación
– Ley promulgada en 2002
– Entró en vigor en julio 2003
– Primeros casos de violaciones notificadas en julio 2003
– Revisiones de la ley en 2011
– Sirve de modelo para casi todas las otras legislaciones en EE.UU. e internacionalmente
https://oag.ca.gov/ecrime/databreach/report-a-breach
California – Other Notice
Marco regulatorio en la Unión Europea:
Directiva 2009/136/EC
Seguridad del tratamiento –”Sin perjuicio de lo dispuesto en la Directiva 95/46/CE, las medidas a que se refiere el apartado 1, como mínimo:
– garantizarán que solo el personal autorizado tenga acceso a los datos personales para fines autorizados por la ley,
– protegerán los datos personales almacenados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidentales o el almacenamiento, tratamiento, acceso o revelación no autorizados o ilícitos, y
– garantizarán la aplicación efectiva de una política de seguridad con respecto al tratamiento de datos personales.: (Art. 4, Dir. 2009/136/EC).
What is a security breach ?
“personal data breach” means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored or otherwise processed in connection with the provision of a publicly available electronic communications service in the Community”
Who to notify and when ?
In the case of a personal data breach, the provider of publicly available electronic communications services shall, without undue delay, notify the personal data breach to the competent national authority.
When the personal data breach is likely to adversely affect the personal data or privacy of a subscriber or individual, the provider shall also notify the subscriber or individual of the breach without undue delay.
Directiva 2009/136/CE Exception
Notification of a personal data breach to a subscriber or individual concerned shall not be required if the provider has demonstrated to the satisfaction of the competent authority that it has implemented
appropriate technological protection measures, and that those measures were applied to the data concerned by the security breach. Such technological protection measures shall render the data unintelligible to any person who is not authorized to access it.
Notification at DPA request
Without prejudice to the provider’s obligation to notify subscribers and individuals concerned, if the provider has not already notified the subscriber or individual of the personal data breach, the competent national authority, having considered the likely adverse effects of the breach, may require it to do so.
Directiva 2009/136/CE
Content of notification
The notification to the subscriber or individual shall at least describe the nature of the personal data breach and the contact points where more information can be obtained, and shall recommend measures to mitigate the possible adverse effects of the personal data breach. The notification to the competent national authority shall, in addition, describe the consequences of, and the measures proposed or taken by the provider to address, the personal data breach.
Directiva 2009/136/CE
Inventory
Providers shall maintain an inventory of personal data breaches comprising the facts surrounding the breach, its effects and the remedial action taken which shall be sufficient to enable the competent national authorities to verify compliance with the provisions of paragraph 3.The inventory shall only include the information necessary for this purpose.
Borrador del Reglemento europeo de Protección de Datos
– Texto muy similar al de la Directiva 2009/136/EC.
– Diferencia clave : momento de la notificación.
– Notificación a la Autoridad de Proteccion de Datos: sin dilaciones indebidas y cuando sea posible dentro de las 24 horas después de enterarse de la violación. Necesidad de justificar el retraso.
– Notificación al interesado (si hay posibilidad de efectos adversos): sin dilaciones indebidas.El futuro Reglamento europeo
de protección de datos: Propuesta
de Reglamento del 25/01/2012 (2012/0011)El futuro Reglamento europeo de protección de datos: Propuesta
de Reglamento del 25/01/2012 (2012/0011)- Obligación de los responsables del tratamiento. Pero los encargados del tratamiento deben alertar los responsables inmediatamente después de haberse dado cuenta de la violación.
– La información de contacto del Oficial de Protección de Datos, u otra información de contacto, debe ser comunicada.
– La Comisión europea especificará las obligaciones vía “actos delegados” y publicará formularios estandares.http://databreachmaps.comAspectos de gestión de violaciones de seguridad y datos pérsonales y su notificación¿Cómo tomar decisiones basadas en el nivel de riesgo – incluyendo el riesgo de acción judicial – en cada país afectado por la violación de seguridad de datos y en el que se tiene que hacer la notificación?
Gestión de violaciones de seguridad y su notificación
© Speechly BirchamGestión de violaciones de seguridad y su notificación
“Data Breach Risk Index Key”:Nivel de riesgo general que corre su compañía a estar expuesta a una acción judicial o a una acción administrativa (auditoría), por parte de la Autoridad de Protección de Datos.
Más información disponible en http://databreachmaps.com.Asignamos a cada país puntos que calculamos basándonos en 5 criterios:
– Estatus de la legislación de violaciones de seguridad en el país (sin ley, pautas, borrador de ley, ley promulgada, regulaciones promulgadas)
– Sectores que la Autoridad de protección de datos puede vigilar: sector privado (sectores regulados: algunos o todos) o sector público
– Número de personas empleadas por la Autoridad de protección de datos o el regulador de telecomunicaciones en el país
– Nivel de multas que la autoridad ha impuesto en el pasado (de menos de 10.000EUR a más de 1.000.000EUR)
– Enfoque de la ley o de la regulación de notificación de violaciones de seguridad (de absencia de regulación a regulaciones cubriendo proveedores de servicios de comunicaciones electrónicas, otros sectores (finanzas, sector medico/salud) o todos los responsables de tratamientoMás información disponible en http://databreachcharts.com.“Data Breach Risk Index Key”: nivel de riesgo general que corre su compañía a estar expuesta a una acción administrativa (auditoría), por parte de la Autoridad de Protección de Datos, o acción judicial.
Enfoque actual: los estados miembros de la Unión europea.
Cada país recibe un código de color basándose en el “Mapa Interactivo de Estatus de Notificación de Violaciones” que depende del riesgo relativo de acción judicial en el país. Rojo -> naranja -> amarillo -> azul -> verde.

Mapa interactivo disponible en http://databreachmaps.com

Otros criterios a desarrollar:
– Nivel de sanciones penales
– Nivel y tipo de acción judicial por violaciones
© Speechly Bircham

Violaciones de seguridad van a afectar más que sólo a sus filiales o clientes ubicados en México
¿Qué ocurriría si…

Un analista de su empresa ubicada en el D.F. negociando un contrato llegara a perder un stick USB en un café en Bruselas, el cual stick contiene datos personales sobre ciudadanos mexicanos, españoles y estadounidenses?
¿Qué ocurriría si…

Un proveedor de servicios de telecomunicaciones ubicado en Estados Unidos con operaciones de almacenamiento y tratamiento de datos en México, llegara a detectar un evento de hacking que podría haber tenido como resultado el acceso a datos de empleados y clientes?
¿Qué ocurriría si…

El sistema de información de una empresa francesa de telecomunicaciones llegara a ser comprometido? Policía y expertos forenses han averiguado que la información robada ha sido vendida a un círculo de robadores de identidad que actua en Estados Unidos y México.

Utilidad de la visión panorámica:
poder visualizar cuáles son los requisitos que tendrían que seguir sus filiales si estuvieran ubicadas en Estados Unidos en países de la Unión europea o del mundo.
¿Cómo evitar de olvidarse de notificar violaciones a la Autoridad de Protección de Datos competente?
¿Cómo manejar formatos de inventario y notificación diferentes en varias jurisdicciones?
¿Cómo notificar violaciones a clientes o suscriptores de la manera prescrita por las regulaciones?
a. Estandar podría ser diferente de país en país.
b. Estandar podría ser interpretado de varias maneras por las diferentes autoridades nacionales.

¿Que son las “medidas tecnológicas de protección apropiadas?”
Interpretación de lo que son y si son apropiadas podría variar entre autoridades de protección de datos nacionales.

¿Cómo proveer un inventario de violaciones de datos personales?
Diferentes pautas para formatos de inventarios?

En caso de violaciones afectando a varias filiales en varios países, ¿cuales reglas de notificación se aplican? ¿A cuáles datos?
Conflicto entre el deber de notificar una violación y la necesidad para la policía de aplazar la notificación por un cierto plazo.
– Estandares diferentes dependiendo del pais.
– Notificación obligatoria en un país, no en otro.
© Data Guidance
© Perkins Coie
© Mintz Levin
‹#›

¿Suficiente?

Utilidad de la visión panorámica:
poder visualizar todas las obligaciones de notificación en EE.UU., la Unión Europea y el resto del mundo para poder tomar medidas de notificación a un nivel global que puedan tomar en cuenta todos los factores y criterios pertinentes.

Mapa interactivo disponible en http://databreachmaps.com
Cuadro detallado estará disponible en http://databreachcharts.com

Legal status:
Law or proposed law
Status of law
Does the law follow WP29, ENISA, EDPS guidelines?
Interpretation by EDPS/DP Board
Interpretation by EU MS/NRAs
Etc.
Covered data types
Covered sectors

Definition of breach
Inclusions and exceptions
Notification requirements
Cuadro detallado estará disponible en http://databreachcharts.com

Importancia de las regulaciones de notificación de violaciones de seguridad para su compañía: mayor impacto sobre su reputación en casos de violaciones notificadas al público o diseminadas en la prensa.
Gracias

E-mail: c [at] cedriclaurant [dot] com,
claurant [at] dumont.com.mx

Sitios web: http://cedriclaurant.com, http://dumont.mx

Twitter: @cedric_laurant & @security_breach
Gerente, Tecnologías de la Información y Derechos de Autor, Dumont Bergman Bider & Co., S.C. (Ciudad de México)

Abogado (Barra del Distrito de Columbia)
Cédric Laurant

Lecciones
Las leyes extranjeras tienen un impacto sobre los aspectos del manejo de vulneraciones de datos personales en México, aunque sólo se traten de empresas mexicanas y ubicadas en México.
Importancia de tener una vista panorámica de los requerimientos de notificación de vulneraciones en otros países, y no solamente en México, y de comprender como se aplican esas leyes extranjeras.
Los marcos de notificación de vulneraciones extranjeros – especialmente estadounidenses – pueden servir de modelo al modelo mexicano, por ejemplo en los aspectos de sistematización de los formatos de notificación y de como se manejan notificaciones, de la perspectiva preventiva y después de una vulneración.

Editor, Blog “Information Security
Breaches & The Law”
(http://security-breaches.com)
(Artículo 64, Reglamento) – Notificación de vulneraciones de seguridad: El responsable deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes.
databreachmaps.com
Estudios de casos
Caso 1
Caso 3
Caso 2

Casos de vulneraciones transfronterizas:
Interés de los estudios de casos:
– importancia de la vista panorámica de los requerimientos de notificación de vulneraciones en otros países – no solamente en México;
– comprender como se aplican los regimenes jurídicos nacionales más importantes (EE.UU., U.E., España, etc.).
– situaciones en las que datos personales tratados por una empresa han sido vulneradas y hay por lo menos un elemento externo a tener en cuenta:
– cliente/titular de los datos personales no es mexicano;

– vulneración ocurre fuera de México;
– el Responsable o Encargado del tratamiento está ubicado fuera de México.
– la vulneración está vinculada a una transferencia de datos personales entre México y otro país.

Un analista de un banco mexicano pierde su stick USB en un cafe en Madrid. El stick de memoria contiene los datos personales de clientes estadounidenses y mexicanos. La empresa que está en cargo de tratar esos datos para el banco mexicano es estadounidense y con sus operaciones en California.
Banco mexicano
perdida del stick USB
Responsable de tratamiento
Empresa estadounidense
Encargado de tratamiento
Un banco en EE.UU. con operaciones incluyendo el almacenamiento y tratamiento de datos en México detecta un incidente de hackeo que hubiese podido resultar en el acceso a datos personales de empleados y clientes.
Empresa mexicana
Encargado de tratamiento
Banco estadounidense
Responsable de tratamiento
TEXAS
MEXICO
Incidente de hackeo
El sistema informático de una empresa francesa de telecomunicaciones está comprometido. Un peritaje de forense digital e un informe de la policía francesa han descubierto que la información robada (datos personales de clientes, incluso mexicanos y estadounidenses, y secretos de negocio) fue vendida a una operación de ladrones de identidad en los EE.UU. y México.
Ladrones
Robo de información
Empresa de telecomunicaciones
Responsable de tratamiento
Ciudad Juárez
Massachusetts
Clientes cuyos datos cuyos datos personales han sido robados
FLORIDA
TEXAS
WASHINGTON
CALIFORNIA
ESTADO DE YUCATAN
SPAIN
MEXICO
FRANCE

Beneficio de usar esquemas de autorregulación vinculante en materia de manejo de vulneraciones de seguridad.

El programa debería:
– Averiguar la naturaleza y enfoque del incidente.
– Notificar al principal regulador de todos los incidentes.
– Registrar un “Suspicious Activity Report” si es requerido.
– Tomar los pasos apropiados para controlar el incidente y prevenir futuros perjuicios.
– Notificar a sus clientes si requerido (“lo más pronto posible”)

El programa de respuesta es generalmente revisado en el proceso de examinación.

La “Información Sensible del Cliente (“Sensitive Customer Information”) incluye:
– nombre, dirección o número de teléfono
conjuntamente a:
– Número de Seguridad Social (“Social Security number”)
– Número del permiso de conducir
– Número de cuenta

– Número de tarjeta de débito o crédito
o un “PIN” o contraseña que permitiría tener acceso a la cuenta bancaria.

Requerimientos de notificación:
– Notificación regulatoria:
– para cualquier incidente;
– marco regulatorio informal podría desarrollarse con el regulador.

– Notificación al consumidor:
– Si hubo mal uso de la información del consumidor o es razonablemente posible que podría resultar en un perjuicio substancial o inconveniencia (“substantial harm or inconvenience”).
– No hay puerto seguro en todos los casos en que la información ha sido cifrada.
– Pero va a tener un impacto sobre el análisis del riesgo (“risk assessment”)

Notificación al consumidor:
– Formulario.
– Correo (usado más frecuentemente).
– Teléfono.

– E-mail (con consentimiento previo).
– Debería ser entregado en cualquier manera que permita razonablemente asegurarse que el cliente la haya recibido.
– Notificación debe ser obvia y clara (“clear and conspicuous manner”).
– No menciona nada sobre la notificación de substitución.

Notificación al consumidor:
Contenido requerido:
– Términos generales sobre la vulneración.
– Tipo de información vulnerada.
– Medidas tomadas para prevenir futuro acceso a la información.
– No. de teléfono para obtener más ayuda.
– Recordatorio de revisar sus cuentas en los próximos 12-24 meses.

Contenido opcional:
– Recomendación de revisar sus extractos bancarios.
– Descripción de alertas de fraude y cómo registrar una.
– Recomendación para obtener y revisar sus registros crediticios (“credit reports”)
– Cómo obtener un registro crediticio gratuitamente.
– Información sobre la asistencia de la Federal Trade Commission.
– Aconseja la notificación del incidente a empresas crediticias (“credit reporting bureaus”)

El caso Prodigy-Telmex:

– TelMex no se había dado cuenta de la vulneración hasta su publicación en la prensa.
– TelMex eligió tratar de esconder la noticia y dar una razón por la cual hubiera ocurrido la vulneración diferente de la de un experto en seguridad informática.
– Según las noticias de prensa, se desprende que TelMex ha violado la Ley porque:
– TelMex no ha notificado hasta ahora a sus usuarios cuyas cuentas han sido vulneradas;
– Telmex no ha tomado las medidas de seguridad requeridas como implementar 70+ “patches” necesarios entre 2010 y agosto 2013 para proteger las cuentas. Es probablemente por esta razón que las cuentas de email fueron vulneradas.

Aviso de Privacidad de TelMex no menciona cómo va a manejar vulneraciones de seguridad

><

La Ley obliga los responsables a adoptar medidas de seguridad para manejar esas vulneraciones y notificar a los titulares afectados.
Implicaciones:

– Empresas quieren esconder sus vulneraciones para evitar daños a su reputación.
– Usuarios: todavía no están al tanto de sus derechos o no se enteran de vulneraciones que los afectan o los podrían afectar.
– IFAI: hasta ahora, sólo reacciona cuando recibe una queja o se entera de la noticia en la prensa.
¿Qué son los problemas que enfrentan las PYMES en cuanto al riesgo de vulneraciones?

– Presupuesto limitado para detectar vulneraciones;
– Presupuesto limitado para implementar las medidas de seguridad prescritas por la Ley;
– Quieren evitar que su nombre sea publicado en la prensa y asociado con una vulneración de seguridad.
¿Qué pueden hacer las PYMES?

Importante tener en cuenta la perspectiva de los titulares, usuarios, cliente y otras personas afectadas por vulneraciones para contestar.