En una resolución presentada por el pleno del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) se instruyó a la Secretaría de la Función Pública (SFP) a buscar y dar a conocer los documentos de seguridad, generados entre 2009 y 2016.
Dada la relevancia del documento en cuestión, es importante recordar, que todos los sujetos obligados en el ámbito federal, estatal y municipal, como son cualquier autoridad, entidad, órgano y organismos de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, como parte de sus medidas para cumplir con lo dispuesto, en el artículo 35 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), deben elaborar un documento de seguridad que contenga por lo menos los siguientes elementos (véase infografía):
Para una mayor claridad y referencia, se detallan a continuación algunos documentos, estándares y guías elaboradas por el INAI, que pueden ser de gran utilidad para la construcción del documento de seguridad.
Es importante, mencionar que el documento de seguridad se crea, a partir de la información que se genera, una vez que se han implementado las acciones para construir el Sistema de Gestión de Datos Personales (SGDP).
Inventario de datos y de sistemas de tratamiento en el documento de seguridad:
Conocer los tipos de datos personales tratados en las áreas, procesos o servicios, así como, los sistemas de tratamiento físico y electrónicos involucrados en el tratamiento.
- Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 58, 59
- Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 4. Elaborar un inventario de Datos Personales pág. 13
- Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas Anexo A. Inventario de datos personales pág. 45
También puedes consultar: Lo que no puede faltar en tu inventario de datos personales
Funciones y obligaciones del personal que trata datos personales en el documento de seguridad:
Identificar a todo el personal involucrado en el tratamiento de datos personales, de tal forma que puedan definirse de forma adecuada sus perfiles y privilegios, así como sus responsabilidades.
- Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 57
- Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 4. Elaborar un inventario de Datos Personales pág. 16
- Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas
- A.3.1. Informar al personal sobre sus deberes mínimos de seguridad y protección de datos pág. 23
- C.5.2. Reglas de navegación segura pág. 31
También puedes consultar: ¿Cómo definir las funciones y obligaciones de quienes tratan los datos personales?
Análisis de riesgos en el documento de seguridad:
Conocer aquellas amenazas y vulnerabilidades que puedan afectar la seguridad de los datos personales, descubrir a través de este análisis, aquellas áreas, procesos o servicios con niveles de riesgo elevados para priorizar su atención.
- Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 60
- Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 5. Realizar el Análisis de Riesgos de los Datos Personales pág. 17
- Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas 2.3 Los riesgos a los que están expuestos los datos personales pág. 6
- Metodología de Análisis de Riesgo BAA
- ISO 31000
- ISO/IEC 27005
- Guía práctica de Análisis de riesgos en los tratamientos de Datos Personales sujetos al RGPD
Análisis de brecha en el documento de seguridad:
Medidas de seguridad con las que actualmente se cuenta versus las requeridas para la protección de los datos personales.
- Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 61
- Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 6. Identificación de las medidas de seguridad y Análisis de Brecha pág. 21
- Anexo D. Ejemplos de Controles de Seguridad
- Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas Análisis de brecha pág. 33
- Tabla de equivalencia funcional entre estándares de seguridad y la LFPDPPP, su Reglamento y las Recomendaciones en materia de seguridad de datos personales
- Guía para el Borrado Seguro de Datos Personales
- NIST SP 800-53 (Rev. 4) Security Controls
- ISO/IEC 27001
- ISO/IEC 27002
También puedes consultar: 4 Pasos para el análisis de brecha
Plan de trabajo en el documento de seguridad:
Definición de actividades, responsables, tiempos y recursos para el cierre de la brecha identificada y el tratamiento de los riesgos.
- Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 62
- Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales
- Plan de Trabajo para la Implementación de las Medidas de Seguridad Faltantes pág. 24
- Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas Etapa 3. Plan de trabajo pág. 36
También puedes consultar: El plan de trabajo para datos personales
Mecanismos de monitoreo y revisión de medidas de seguridad:
Revisión periódica para identificar que las medidas implementadas protegen adecuadamente los datos personales, se pueden realizar auditorias internas o externas.
- Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 63
- Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 8. Revisiones y Auditoría pág. 29
- Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas Etapa 4. Mejora continua pág. 40
Programa general de capacitación en el documento de seguridad:
Capacitar al personal involucrado sobre los elementos indispensables en materia de datos personales y de forma específica sobre temas particulares dependiendo el tipo de tratamiento de datos personales que realice y las necesidades de capacitación que sean requeridas.
- Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 64
- Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Capacitación pág. 33
- Plataforma de cursos en línea https://cevifaipublica.inai.org.mx/
Miriam Padilla Espinosa
MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa
Ponte en contacto conmigo.