La Privacidad ha muerto… larga vida a la Privacidad

¿Por qué una ley de protección de datos?

En 1990, las ventas de la enciclopedia Britannica logro el record de ventas… $650 millones de dólares

Físico vs Digital

Físico vs Digital• Una Enciclopedia Britannica se vendía

desde $1,500 y hasta en $2,200 USD

• Una enciclopedia en CD-ROM se vendía desde $50 y hasta $70 USD

5

El cambio de paradigma

Robo digital

Robo digital

¿Cuánto cuesta el robo digital,

por año?

$1,000 BILLONESMERCADO GLOBAL DE CIBERCRIMEN

$30BROBO DE

SMARTPHONES

$56BMERCADO DE

ROBO DEAUTOS

$85BMERCADO

DE COCAINA

$114BMERCADO

DE ROBO DETARJETAS DE CREDITO

Robo digital

1trillón de dólares por año en pérdidas, con crecimiento

del

300% anual

Robo digital

¿Cuál es la problemática?

Confidencialidad Disponibilidad

Default Close Default Open

¿Qué es laLeyFederal deProtección deDatos Personales enPosesión de losParticulares?

Antecedentes

• Artículo 12• Nadie será objeto de injerencias

arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.

Declaración universal de derechos humanos

• Artículo 16• Nadie puede ser molestado en su

persona, familia, domicilio, posesiones o derechos sino en virtud de mandamiento escrito de la autoridad competente debidamente fundado y motivado

Constitución política de los Estados Unidos Mexicanos

Modificaciones a la constituciónSe modificaron 2 Artículos Constitucionales:

• Acceso a la información, en su inciso II• "..la información que se refiere a la vida privada y los

datos personales será protegida por la ley de la materia".

Artículo 6°

• Faculta al congreso para legislar en materia de protección de datos personales en posesión de particulares.

Artículo 73

Estándares Internacionales

Madrid Conference:Privacy and Data Protection Authorities

of the 5 continents

Derechos ARCO

Acceso

Rectificación

Cancelación

Oposición

Definiciones• Cualquier información

concerniente a una persona física identificada o identificable

Datos personales

• Datos personales que afectan a la esfera más intima del titular, o cuya utilización pueda dar origen a discriminación o riesgo grave

Datos personales sensibles

• Se le llama así al conjunto ordenado de datos personales referentes a una persona identificada o identificable

Base de Datos

• Documento físico o electrónico generado por el responsable y que es puesto a disposición del titular previo al tratamiento de sus datos personales

Aviso de Privacidad

• Persona física a quien corresponden los datos personales

Titular

• Persona física o moral, nacional o extranjera de carácter privado que decide sobre el tratamiento de los datos personales

Responsable

• Persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable

Encargado

• Los datos personales no pueden asociarse al titular ni permitir la identificación del mismo

Disociación

Fechas importantes

Riesgo Reputacional

Los resultados de las investigaciones del IFAI serán

publicas.

El IFAI tendrá el poder de ir a las organizaciones a revisar los

mecanismos de protección de datos

Artículo 59 y Artículo 60

Penas y Multas

Multas de hasta 76MDP

Prisión de hasta 10

años

Artículo 64, Artículo 68 y Artículo 69

¿Qué hacer para cumplir con la LFPDPPP?

Medidas a implementar

Elaborar políticas y programas de

privacidad

Programas de capacitación, actualización y

concientización del personal

Establecer un sistema de supervisión y

vigilancia internaVerificaciones o

auditorías externas

Destinar recursos para la instrumentación de

los programas y políticas de privacidad

Procedimientos para atender el riesgo para

la protección de datos personales

Revisar periódicamente las

políticas y programas de seguridad

Establecer procedimientos para

recibir y responder dudas y quejas de los titulares de los datos

personales

Mecanismos para el cumplimiento de las políticas y programas

de privacidad, así como de sanciones

por su incumplimiento

Establecer medidas para la trazabilidad

Artículo 48

Acciones para la seguridad IDatos Sensibilidad Sistemas Roles

Nombre Dato personal Sistema de RHRH

Director del Área

Teléfono Dato personal Sistema de Nominas Finanzas

Numero de empleado

Dato personal Sistemas de NominasFinanzas

RH

SalarioDato personal

sensibleExpediente físico

RHArchivo

Inventario de datos personales

Inventario de los sistemas de tratamiento

Funciones y obligaciones de las

personas que traten los datos personales

Artíc

ulo

61

Acciones para la seguridad IIAnálisis de riesgos de

datos personales

Medidas de seguridad aplicables a los datos

personales

Volumen

MedioBajo

Medio Alto

Alto

Moderado

Mínimo

Menor Medio Mayor

Sens

ibili

dad

Artículo 61

Acciones para la seguridad IIIAnálisis de brecha de

las medidas de seguridad

Plan de trabajo para la implementación de las medidas de seguridad

Q1

Guías de Configuración de Seguridad en aplicaciones

Estándar de Contraseñas

Guías de Configuración de Seguridad en SO

Migración de protocolo de soporte remoto robusto

Migración de almacenamiento de contraseñas

Proceso de Administración de Cambios Seguros

Implantación de Proceso de Administración de Riesgos

Proceso de Administración de Actualizaciones y Vulnerabilidades

Implantación de Proceso de desarrollo Seguro de aplicaciones

Q2 Q3 Q4 Q1 Q2 Q3 Q4

2016 2017

Migración de protocolo de comunicación inalámbrica

Artíc

ulo

61

Acciones para la seguridad IV8

• Revisiones y/o auditorías

9• Capacitar al personal que trate datos personales

10• Registro de las cancelaciones o destrucciones de datos personales

11• Registro de los medios de almacenamiento de los datos personales

Artículo 61

¿Qué es una vulneración de seguridad?

La pérdida o destrucción

no autorizada

El robo, extravío o copia no

autorizada

El uso, acceso o

tratamiento no

autorizado

El daño, la alteración

y/o modificación

no autorizada

Artículo 63

Casandra

MULTAS

$1,246,600 Por noseñalar en el Aviso dePrivacidad las opciones ymedios para ejercer losderechos ARCO.

6multas $18,649,136 Alevidenciar negligencia en latramitación y respuesta de unasolicitud de cancelación yoposición de datos personales

MULTASPharma Plus, S.A. de C.V. con $2,045,000 poromitir el elemento de identidad en el Aviso dePrivacidad.

Caja Popular Cristo Rey, S.C. de R.L. de C.V.,con $2,181,550 por recabar datos de carácterfinanciero y patrimonial, sin contar con elconsentimiento del titular.

TELCEL (2 multas $6,264,165)

Universidad Intercontinental (7 multas que suman $8,725,750)Por transcribir las sesiones de las terapias psicológicas deun particular y publicarlas en un sitio de internet.

Sin consentimiento del titular Telcel accedió a loscontactos de su cliente , a quienes les hizo llamadas yenvió mensajes, para ponerlos al tanto del adeudo ygestionar por medio de ellos la cobranza del servicio.

MULTAS

Oceánica multa por $2,493,200Fue multado por hacer públicos los datos de unpaciente del y posteriormente obstruir actos deverificación ordenados por el Instituto.

MULTAS

Seguros Banorte multa por $32,006,691

Ya que el tratamiento de los datos personalessensibles de la denunciante no resultaba adecuado,necesario, ni relevante en relación con elotorgamiento del crédito automotriz.

MULTAS

Un médico con $41,874 por haber transferidodatos personales sensibles sin contar con elconsentimiento del titular.

MULTAS

Gráfico elaborado con información del sitio del INAI: www.inicio.ifai.org.mx

TOTAL:$133,195, 698

Multas INAI 2012-2015

Cálculos actualizado con información del sitio: www.inicio.ifai.org.mx

Fuente: IFAI, comunicado IFAI-OA/149/14 29 de noviembre de 2014

La Privacidad no es un proyecto… es un

PROCESO

mailto:Carlos.carrillo@mx.pwc.com