Upload
nguyenthuan
View
217
Download
0
Embed Size (px)
Citation preview
En 1990, las ventas de la enciclopedia Britannica logro el record de ventas… $650 millones de dólares
Físico vs Digital
Físico vs Digital• Una Enciclopedia Britannica se vendía
desde $1,500 y hasta en $2,200 USD
• Una enciclopedia en CD-ROM se vendía desde $50 y hasta $70 USD
$1,000 BILLONESMERCADO GLOBAL DE CIBERCRIMEN
$30BROBO DE
SMARTPHONES
$56BMERCADO DE
ROBO DEAUTOS
$85BMERCADO
DE COCAINA
$114BMERCADO
DE ROBO DETARJETAS DE CREDITO
Robo digital
Antecedentes
• Artículo 12• Nadie será objeto de injerencias
arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.
Declaración universal de derechos humanos
• Artículo 16• Nadie puede ser molestado en su
persona, familia, domicilio, posesiones o derechos sino en virtud de mandamiento escrito de la autoridad competente debidamente fundado y motivado
Constitución política de los Estados Unidos Mexicanos
Modificaciones a la constituciónSe modificaron 2 Artículos Constitucionales:
• Acceso a la información, en su inciso II• "..la información que se refiere a la vida privada y los
datos personales será protegida por la ley de la materia".
Artículo 6°
• Faculta al congreso para legislar en materia de protección de datos personales en posesión de particulares.
Artículo 73
Estándares Internacionales
Madrid Conference:Privacy and Data Protection Authorities
of the 5 continents
Definiciones• Cualquier información
concerniente a una persona física identificada o identificable
Datos personales
• Datos personales que afectan a la esfera más intima del titular, o cuya utilización pueda dar origen a discriminación o riesgo grave
Datos personales sensibles
• Se le llama así al conjunto ordenado de datos personales referentes a una persona identificada o identificable
Base de Datos
• Documento físico o electrónico generado por el responsable y que es puesto a disposición del titular previo al tratamiento de sus datos personales
Aviso de Privacidad
• Persona física a quien corresponden los datos personales
Titular
• Persona física o moral, nacional o extranjera de carácter privado que decide sobre el tratamiento de los datos personales
Responsable
• Persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable
Encargado
• Los datos personales no pueden asociarse al titular ni permitir la identificación del mismo
Disociación
Riesgo Reputacional
Los resultados de las investigaciones del IFAI serán
publicas.
El IFAI tendrá el poder de ir a las organizaciones a revisar los
mecanismos de protección de datos
Artículo 59 y Artículo 60
Penas y Multas
Multas de hasta 76MDP
Prisión de hasta 10
años
Artículo 64, Artículo 68 y Artículo 69
Medidas a implementar
Elaborar políticas y programas de
privacidad
Programas de capacitación, actualización y
concientización del personal
Establecer un sistema de supervisión y
vigilancia internaVerificaciones o
auditorías externas
Destinar recursos para la instrumentación de
los programas y políticas de privacidad
Procedimientos para atender el riesgo para
la protección de datos personales
Revisar periódicamente las
políticas y programas de seguridad
Establecer procedimientos para
recibir y responder dudas y quejas de los titulares de los datos
personales
Mecanismos para el cumplimiento de las políticas y programas
de privacidad, así como de sanciones
por su incumplimiento
Establecer medidas para la trazabilidad
Artículo 48
Acciones para la seguridad IDatos Sensibilidad Sistemas Roles
Nombre Dato personal Sistema de RHRH
Director del Área
Teléfono Dato personal Sistema de Nominas Finanzas
Numero de empleado
Dato personal Sistemas de NominasFinanzas
RH
SalarioDato personal
sensibleExpediente físico
RHArchivo
Inventario de datos personales
Inventario de los sistemas de tratamiento
Funciones y obligaciones de las
personas que traten los datos personales
Artíc
ulo
61
Acciones para la seguridad IIAnálisis de riesgos de
datos personales
Medidas de seguridad aplicables a los datos
personales
Volumen
MedioBajo
Medio Alto
Alto
Moderado
Mínimo
Menor Medio Mayor
Sens
ibili
dad
Artículo 61
Acciones para la seguridad IIIAnálisis de brecha de
las medidas de seguridad
Plan de trabajo para la implementación de las medidas de seguridad
Q1
Guías de Configuración de Seguridad en aplicaciones
Estándar de Contraseñas
Guías de Configuración de Seguridad en SO
Migración de protocolo de soporte remoto robusto
Migración de almacenamiento de contraseñas
Proceso de Administración de Cambios Seguros
Implantación de Proceso de Administración de Riesgos
Proceso de Administración de Actualizaciones y Vulnerabilidades
Implantación de Proceso de desarrollo Seguro de aplicaciones
Q2 Q3 Q4 Q1 Q2 Q3 Q4
2016 2017
Migración de protocolo de comunicación inalámbrica
Artíc
ulo
61
Acciones para la seguridad IV8
• Revisiones y/o auditorías
9• Capacitar al personal que trate datos personales
10• Registro de las cancelaciones o destrucciones de datos personales
11• Registro de los medios de almacenamiento de los datos personales
Artículo 61
¿Qué es una vulneración de seguridad?
La pérdida o destrucción
no autorizada
El robo, extravío o copia no
autorizada
El uso, acceso o
tratamiento no
autorizado
El daño, la alteración
y/o modificación
no autorizada
Artículo 63
MULTAS
$1,246,600 Por noseñalar en el Aviso dePrivacidad las opciones ymedios para ejercer losderechos ARCO.
6multas $18,649,136 Alevidenciar negligencia en latramitación y respuesta de unasolicitud de cancelación yoposición de datos personales
MULTASPharma Plus, S.A. de C.V. con $2,045,000 poromitir el elemento de identidad en el Aviso dePrivacidad.
Caja Popular Cristo Rey, S.C. de R.L. de C.V.,con $2,181,550 por recabar datos de carácterfinanciero y patrimonial, sin contar con elconsentimiento del titular.
TELCEL (2 multas $6,264,165)
Universidad Intercontinental (7 multas que suman $8,725,750)Por transcribir las sesiones de las terapias psicológicas deun particular y publicarlas en un sitio de internet.
Sin consentimiento del titular Telcel accedió a loscontactos de su cliente , a quienes les hizo llamadas yenvió mensajes, para ponerlos al tanto del adeudo ygestionar por medio de ellos la cobranza del servicio.
MULTAS
Oceánica multa por $2,493,200Fue multado por hacer públicos los datos de unpaciente del y posteriormente obstruir actos deverificación ordenados por el Instituto.
MULTAS
Seguros Banorte multa por $32,006,691
Ya que el tratamiento de los datos personalessensibles de la denunciante no resultaba adecuado,necesario, ni relevante en relación con elotorgamiento del crédito automotriz.
MULTAS
Un médico con $41,874 por haber transferidodatos personales sensibles sin contar con elconsentimiento del titular.
MULTAS
Gráfico elaborado con información del sitio del INAI: www.inicio.ifai.org.mx
TOTAL:$133,195, 698
Multas INAI 2012-2015
Cálculos actualizado con información del sitio: www.inicio.ifai.org.mx
Fuente: IFAI, comunicado IFAI-OA/149/14 29 de noviembre de 2014