Este documento habla sobre las infracciones y sanciones relacionadas con la protección de datos personales en México. Explica los tipos de infracciones como negligencia, uso indebido de datos o transferencia de datos sin consentimiento, y las sanciones correspondientes que van desde apercibimientos hasta multas de hasta 320,000 pesos. También menciona los delitos como recabar datos de forma engañosa y las penas de prisión asociadas. Por último, detalla los factores que el IFAI considera al determinar sanciones como la naturaleza de los datos, la
2. Infracciones y sanciones
200-320mil DSMGVDF
• Incumplimiento de deber de
100-160mil DSMGVDF confidencialidad
• Uso desapegado a la finalidad marcada
• Negligencia o dolo en trámites en Aviso
ARCO • Transferir datos sin comunicar aviso de
Apercibimiento • Declarar dolosamente privacidad Delitos:
• Vulneración a la seguridad
inexistencia • Transferir sin consentimiento del titular
• Incumplimiento de principios • Obstruir verificación de autoridad
de Ley • Transferencia o cesión en contra de Ley • 3 meses a 3 años de
• Recabar datos en forma engañosa o
prisión – con ánimo
Incumplir solicitudes ARCO
• Omisiones en aviso de fraudulenta
privacidad • Uso ilegítimo de datos en caso de de lucro, vulnerar
• Datos inexactos solicitud de cese
• Incumplimiento de
• Impedir ejercicio derechos ARCO seguridad a bases de
• No justificar tratamiento de datos
apercibimiento sensibles datos
• 6 meses a 5 años de
prisión – con ánimo
Las sanciones pueden de lucro indebido,
duplicarse en caso de El IFAI considerará: tratar datos
Naturaleza del dato (sensibles, financieros y
patrimoniales) personales mediante
Reincidencia
Negativa injustificada del Responsable a engaño o error
solicitudes del Titular
Datos
Intencionalidad en la infracción
Sensibles
Capacidad económica
Reincidencia
LFPDPPP Capítulo X y XI Artículo 63 al 69
3. Definiciones
Medida de
Dato Personal Titular Encargado
seguridad
Dato Personal
Responsable Remisión Tratamiento
Sensible
Aviso de
Transferencia Derechos ARCO Seguridad
Privacidad
4. Datos Personales
Es cualquier información relacionada con el Titular, por ejemplo, tu nombre,
teléfono, domicilio, fotografía o huellas dactilares, así como cualquier otro dato
que pueda servir para identificarte. Este tipo de datos te permiten además,
interactuar con otras personas, o con una o más organizaciones, así como que
puedas ser sujeto de derechos.
5. ¿Qué hay que hacer?
Cultura
Empresarial
Aviso de Tratamiento de Datos
Privacidad Personales
Responsabilidad Derechos ARCO
Seguridad de los Consentimiento
Datos Personales
8. Datos
Titular
ARCO
Datos Finalidad Tratamiento Consentimiento Quién tiene acceso
¿Qué voy a hacer
Identificar ¿Para qué? Evidencia Internos Externos
con ellos?
10. ¿Cómo se recaba el consentimiento?
Consentimiento
Tácito Expreso
Financieros y
Sensibles
Patrimoniales
11. Cómputo en la nube
CRM
Email
Masivo
Servicios en
la nube
Servicios
de
escritorio Bases de
datos
Otros
servicios
12. Análisis de riesgos asociados a los Datos Personales
Medio Alto
“considerar el
valor para el
Bajo Medio posible atacante y
el riesgo para el
titular”
13. Violaciones la privacidad
Robo, extravió o copia Pérdida o destrucción
no autorizada no autorizada
Reglamento LFPDPPP Artículo 63.
Vulneraciones
Uso, acceso o Daño, la alteración o
tratamiento no modificación no
autorizado autorizada
14. Involucrados
RH MKT
Sistemas Legal “involucrar a todas
las áreas que
manejen los datos”
15. Documento de seguridad
VI. Elaborar un plan de trabajo
I. Elaborar un inventario de datos
para la implementación de las VII. Llevar a cabo revisiones o
personales y de los sistemas de
medidas de seguridad faltantes, auditorías;
tratamiento;
derivadas del análisis de brecha;
Reglamento LFPDPPP Artículo 61
V. Realizar el análisis de brecha
II. Determinar las funciones y (diferencia de las medidas de seguridad VIII. Capacitar al personal que
obligaciones de las personas que existentes y aquéllas faltantes que efectúe el tratamiento, y
traten datos personales; resultan necesarias para la protección de
los datos personales;)
III. Contar con un análisis de IV. Establecer las medidas de
riesgos de datos personales que seguridad aplicables a los datos IX. Realizar un registro de los
consiste en identificar peligros y personales e identificar aquéllas medios de almacenamiento de los
estimar los riesgos a los datos implementadas de manera datos personales.
personales; efectiva;
16. Fechas importantes
Entrada en vigor Designación del
departamento de datos
Aprobación del
6 de Julio 2010 personales y publicación reglamento
del aviso de privacidad
21 Diciembre 2011
6 de Julio 2011
Ejercicio de los Cumplimiento de
IFAI recibe
Procedimientos de derechos ARCO lo establecido por
protección de derechos el capítulo III
6 de Enero 2012
6 de enero de 2012 6 de juliode 2013
17. NMX-I-27001-NYCE:2009 ISO/IEC 27002:2005. Dominios (11), Objetivos de control (39) y Controles (133)
5. POLÍTICA DE SEGURIDAD. 10.2 Gestión de la provisión de servicios por terceros. 11.5 Control de acceso al sistema operativo.
5.1 Política de seguridad de la información. 10.2.1 Provisión de servicios. 11.5.1 Procedimientos seguros de inicio de sesión.
5.1.1 Documento de política de seguridad de la información. 11.5.2 Identificación y autenticación de usuario.
10.2.2 Supervisión y revisión de los servicios prestados por terceros.
5.1.2 Revisión de la política de seguridad de la información. 11.5.3 Sistema de gestión de contraseñas.
10.2.3 Gestión del cambio en los servicios prestados por terceros. 11.5.4 Uso de los recursos del sistema.
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC.
10.3 Planificación y aceptación del sistema. 11.5.5 Desconexión automática de sesión.
6.1 Organización interna.
10.3.1 Gestión de capacidades. 11.5.6 Limitación del tiempo de conexión.
6.1.1 Compromiso de la Dirección con la seguridad de la información.
10.3.2 Aceptación del sistema. 11.6 Control de acceso a las aplicaciones y a la información.
6.1.2 Coordinación de la seguridad de la información.
10.4 Protección contra el código malicioso y descargable. 11.6.1 Restricción del acceso a la información.
6.1.3 Asignación de responsabilidades relativas a la seg. de la informac.
11.6.2 Aislamiento de sistemas sensibles.
6.1.4 Proceso de autorización de recursos para el tratamiento de la información. 10.4.1 Controles contra el código malicioso.
11.7 Ordenadores portátiles y teletrabajo.
6.1.5 Acuerdos de confidencialidad. 10.4.2 Controles contra el código descargado en el cliente.
11.7.1 Ordenadores portátiles y comunicaciones móviles.
6.1.6 Contacto con las autoridades. 10.5 Copias de seguridad. 11.7.2 Teletrabajo.
6.1.7 Contacto con grupos de especial interés. 10.5.1 Copias de seguridad de la información. 12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN.
6.1.8 Revisión independiente de la seguridad de la información. 10.6 Gestión de la seguridad de las redes. 12.1 Requisitos de seguridad de los sistemas de información.
6.2 Terceros. 10.6.1 Controles de red. 12.1.1 Análisis y especificación de los requisitos de seguridad.
6.2.1 Identificación de los riesgos derivados del acceso de terceros. 10.6.2 Seguridad de los servicios de red. 12.2 Tratamiento correcto de las aplicaciones.
6.2.2 Tratamiento de la seguridad en la relación con los clientes. 12.2.1 Validación de los datos de entrada.
10.7 Manipulación de los soportes.
6.2.3 Tratamiento de la seguridad en contratos con terceros. 12.2.2 Control del procesamiento interno.
10.7.1 Gestión de soportes extraíbles. 12.2.3 Integridad de los mensajes.
7. GESTIÓN DE ACTIVOS.
10.7.2 Retirada de soportes. 12.2.4 Validación de los datos de salida.
7.1 Responsabilidad sobre los activos.
7.1.1 Inventario de activos. 10.7.3 Procedimientos de manipulación de la información. 12.3 Controles criptográficos.
10.7.4 Seguridad de la documentación del sistema. 12.3.1 Política de uso de los controles criptográficos.
7.1.2 Propiedad de los activos.
10.8 Intercambio de información. 12.3.2 Gestión de claves.
7.1.3 Uso aceptable de los activos.
12.4 Seguridad de los archivos de sistema.
7.2 Clasificación de la información. 10.8.1 Políticas y procedimientos de intercambio de información.
12.4.1 Control del software en explotación.
7.2.1 Directrices de clasificación. 10.8.2 Acuerdos de intercambio. 12.4.2 Protección de los datos de prueba del sistema.
7.2.2 Etiquetado y manipulado de la información. 10.8.3 Soportes físicos en tránsito. 12.4.3 Control de acceso al código fuente de los programas.
8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. 10.8.4 Mensajería electrónica. 12.5 Seguridad en los procesos de desarrollo y soporte.
8.1 Antes del empleo. 10.8.5 Sistemas de información empresariales. 12.5.1 Procedimientos de control de cambios.
8.1.1 Funciones y responsabilidades. 12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo.
10.9 Servicios de comercio electrónico.
8.1.2 Investigación de antecedentes. 12.5.3 Restricciones a los cambios en los paquetes de software.
10.9.1 Comercio electrónico.
8.1.3 Términos y condiciones de contratación. 12.5.4 Fugas de información.
10.9.2 Transacciones en línea.
8.2 Durante el empleo. 12.5.5 Externalización del desarrollo de software.
10.9.3 Información públicamente disponible. 12.6 Gestión de la vulnerabilidad técnica.
8.2.1 Responsabilidades de la Dirección.
8.2.2 Concienciación, formación y capacitación en seg. de la informac. 10.10 Supervisión. 12.6.1 Control de las vulnerabilidades técnicas.
8.2.3 Proceso disciplinario. 10.10.1 Registros de auditoría. 13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.
8.3 Cese del empleo o cambio de puesto de trabajo. 10.10.2 Supervisión del uso del sistema. 13.1 Notificación de eventos y puntos débiles de seguridad de la información.
10.10.3 Protección de la información de los registros. 13.1.1 Notificación de los eventos de seguridad de la información.
8.3.1 Responsabilidad del cese o cambio.
13.1.2 Notificación de puntos débiles de seguridad.
8.3.2 Devolución de activos. 10.10.4 Registros de administración y operación.
13.2 Gestión de incidentes y mejoras de seguridad de la información.
8.3.3 Retirada de los derechos de acceso. 10.10.5 Registro de fallos. 13.2.1 Responsabilidades y procedimientos.
9. SEGURIDAD FÍSICA Y DEL ENTORNO. 10.10.6 Sincronización del reloj. 13.2.2 Aprendizaje de los incidentes de seguridad de la información.
9.1 Áreas seguras. 11. CONTROL DE ACCESO. 13.2.3 Recopilación de evidencias.
9.1.1 Perímetro de seguridad física. 14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.
11.1 Requisitos de negocio para el control de acceso.
9.1.2 Controles físicos de entrada. 14.1 Aspectos de seguridad de la información en la gestión de la continuidad del negocio.
11.1.1 Política de control de acceso.
9.1.3 Seguridad de oficinas, despachos e instalaciones. 14.1.1 Inclusión de la seg. de la inf. en el proceso de gestión de la continuidad del negocio.
11.2 Gestión de acceso de usuario.
9.1.4 Protección contra las amenazas externas y de origen ambiental. 14.1.2 Continuidad del negocio y evaluación de riesgos.
9.1.5 Trabajo en áreas seguras. 11.2.1 Registro de usuario. 14.1.3 Desarrollo e implantación de planes de continuidad que incluyan la seg. de la inf.
9.1.6 Áreas de acceso público y de carga y descarga. 11.2.2 Gestión de privilegios. 14.1.4 Marco de referencia para la planificación de la cont. del negocio.
9.2 Seguridad de los equipos. 11.2.3 Gestión de contraseñas de usuario. 14.1.5 Pruebas, mantenimiento y reevaluación de planes de continuidad.
9.2.1 Emplazamiento y protección de equipos. 11.2.4 Revisión de los derechos de acceso de usuario. 15. CUMPLIMIENTO.
9.2.2 Instalaciones de suministro. 11.3 Responsabilidades de usuario. 15.1 Cumplimiento de los requisitos legales.
9.2.3 Seguridad del cableado. 15.1.1 Identificación de la legislación aplicable.
11.3.1 Uso de contraseñas.
9.2.4 Mantenimiento de los equipos. 15.1.2 Derechos de propiedad intelectual (DPI).
11.3.2 Equipo de usuario desatendido.
15.1.3 Protección de los documentos de la organización.
9.2.5 Seguridad de los equipos fuera de las instalaciones. 11.3.3 Política de puesto de trabajo despejado y pantalla limpia. 15.1.4 Protección de datos y privacidad de la información de carácter personal.
9.2.6 Reutilización o retirada segura de equipos.
11.4 Control de acceso a la red. 15.1.5 Prevención del uso indebido de recursos de tratamiento de la información.
9.2.7 Retirada de materiales propiedad de la empresa.
11.4.1 Política de uso de los servicios en red. 15.1.6 Regulación de los controles criptográficos.
10. GESTIÓN DE COMUNICACIONES Y OPERACIONES.
11.4.2 Autenticación de usuario para conexiones externas. 15.2 Cumplimiento de las políticas y normas de seguridad y cumplimiento técnico.
10.1 Responsabilidades y procedimientos de operación. 15.2.1 Cumplimiento de las políticas y normas de seguridad.
10.1.1 Documentación de los procedimientos de operación. 11.4.3 Identificación de los equipos en las redes.
15.2.2 Comprobación del cumplimiento técnico.
10.1.2 Gestión de cambios. 11.4.4 Protección de los puertos de diagnóstico y configuración remotos.
15.3 Consideraciones sobre las auditorías de los sistem. de información.
10.1.3 Segregación de tareas. 11.4.5 Segregación de las redes. 15.3.1 Controles de auditoría de los sistemas de información.
10.1.4 Separación de los recursos de desarrollo, prueba y operación. 11.4.6 Control de la conexión a la red. 15.3.2 Protección de las herramientas de auditoría de los sist. de inform.
11.4.7 Control de encaminamiento (routing) de red.
18. Controles Administrativos, Físicos y Tecnológicos
5. POLÍTICA DE SEGURIDAD.
6. ASPECTOS ORGANIZATIVOS
DE LA SEGURIDAD DE LA
INFORMAC.
7. GESTIÓN DE ACTIVOS. 11. CONTROL DE ACCESO.
15. CUMPLIMIENTO.
8. SEGURIDAD LIGADA A LOS 9. SEGURIDAD FÍSICA Y DEL
RECURSOS HUMANOS. ENTORNO.
12. ADQUISICIÓN,
10. GESTIÓN DE 13. GESTIÓN DE INCIDENTES
DESARROLLO Y 14. GESTIÓN DE LA
COMUNICACIONES Y EN LA SEGURIDAD DE LA
MANTENIMIENTO DE CONTINUIDAD DEL NEGOCIO.
OPERACIONES. INFORMACIÓN.
SISTEMAS DE INFORMACIÓN.
19. …exista un política de seguridad Jefe ya redakte
politica, firme
aprobada y revisada por la ‘pa la auditoría
dirección
24. … los medios de almacenamiento deben
ser retirados o reasignados de forma A la vodga
segura para evitar que se tenga acceso a
la información
25. … establecer políticas para el uso y No tenemos
acceso a la red corporativa desde fuera ekipo
de las instalaciones y para el equipo portátil
portátil
VPN’s
Cifrado de
discos duros
26. …revisar el cumplimiento de la regulación
aplicable y definir el contacto con
autoridades
Puny cop
27.
28. Contacto
:
Pablo Corona Fraga
pcoronaf@nyce.org.mx
@pcoronaf
Ilustraciones by @El0bal