Un deseo de toda empresa es la seguridad; el sueño de los directivos es poder dormir con tranquilidad, y el de los expertos, tener la prioridad, el apoyo y los recursos para emprenderla.
Sin duda por fin llegó, y no porque no existiera antes cómo hacerla, sino porque ahora hay una ley, la Ley de Protección de Datos Personales en Poder de Particulares (LPDPPP), que nos “invita” a abordar sus artículos y los de su reglamento, so pena de fuertes multas, largas auditorías o incluso visitar la prisión, pero no todo son malas noticias.
Esta ley, publicada el 5 de julio del presente año, y su reglamento, presentado para su consulta pública, ya implica acciones para quienes recolecten y almacenen datos personales de particulares:
1. Desde el 6 de julio 2011 es obligatorio contar con un Aviso de Privacidad, así como designar al encargado de los datos personales, pocos cumplen.
2. Después de 6 meses, se publicarán las recomendaciones generales de medidas de seguridad y se publicarán los parámetros de autorregulación.
3. Después de 12 meses se deberán de tener documentados los procedimientos para la conservación y, en su caso bloqueo y supresión de los datos (para estar listos, primero debemos de tener los mecanismos necesarios).
4. A partir del 6 de enero 2012, los titulares, podrán ejercer los derechos de “ARCO” (son el conjunto de acciones a través de las cuales una persona física puede ejercer el control sobre sus datos personales, son cuatro: Acceso, Rectificación, Cancelación y Oposición).
Para ejercerlo, los titulares o cualquier particular, podrá presentar su solicitud de protección de derechos al (IFAI).
5. Y finalmente 18 meses después, llega la fecha para cumplir con la Ley y su Reglamento.
LA PARTE POSITIVA
Lo importante, es la oportunidad para tomar medidas de seguridad que no solo beneficiarán a los “Titulares de la Información”, sino a los “Mecanismos de Seguridad de las Empresas”, y debemos de recordar que la seguridad es parte de la misión estratégica del negocio no un requisito.
“Artículo 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico”.
Esto de alguna manera nos lleva a uno de los referentes más importantes en materia de seguridad de la información, el ISO 27001.
Al final, muchas empresas saldrán fortalecida, quien desee seguir compitiendo en este "mercado" no solo deberá cumplir con los requerimientos de la seguridad de la información de terceros sino que necesitará abrir y compartir la información y hacer transacciones sobre sus productos y servicios, facturación, pedidos, clientes, precios, nómina, etc… Y ello le exigirá una estrategia de seguridad apropiada sobre los mismos.
Otro aspecto a comprender es que La seguridad no es un asunto de la Dirección de ITC, sino un asunto de todos los que laboran en la empresa, así como de sus clientes y proveedores.
Si pudiéramos decirlo, el año 2012, será el año de la seguridad en México, camino recorrido mucho tiempo atrás por otros países principalmente el orbe Europeo.
Javier Salcedo Iturbe es director ejecutivo de STYT SA de CV consultores en seguridad de la información, servicio y uso inteligente de la tecnología. Es contador público por el IPN con Postgrado en la Universidad Panamericana; cuenta con 30 años de experiencia; principalmente en la industria financiera manejando grandes volúmenes de clientes, transacciones y medios electrónicos en ambientes típicos de alto riesgo.