Documento de Seguridad o Sistema de Gestión de Datos Personales… ¿Cuál primero?
  • LGPDPPSO
  • Podcast

Documento de Seguridad o Sistema de Gestión de Datos Personales… ¿Cuál primero?

En una resolución presentada por el pleno del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) se instruyó a la Secretaría de la Función Pública (SFP) a buscar y dar a conocer los documentos de seguridad, generados entre 2009 y 2016.

Dada la relevancia del documento en cuestión,  es importante recordar, que todos los sujetos obligados en el ámbito federal, estatal y municipal, como son cualquier autoridad, entidad, órgano y organismos de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, como parte de sus medidas para cumplir con lo dispuesto, en el artículo 35 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), deben elaborar un documento de seguridad que contenga por lo menos los siguientes elementos (véase infografía):

Para una mayor claridad y referencia, se detallan a continuación algunos documentos, estándares y guías elaboradas por el INAI, que pueden ser de gran utilidad para la construcción del documento de seguridad.

Es importante, mencionar que el documento de seguridad se crea, a partir de la información que se genera, una vez que se han implementado las acciones para construir el Sistema de Gestión de Datos Personales (SGDP).

Inventario de datos y de sistemas de tratamiento en el documento de seguridad:

Conocer los tipos de datos personales tratados en las áreas, procesos o servicios, así como, los sistemas de tratamiento físico y electrónicos involucrados en el tratamiento.

  • Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 58, 59
  • Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 4. Elaborar un inventario de Datos Personales pág. 13
  • Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas Anexo A. Inventario de datos personales pág. 45

También puedes consultar: Lo que no puede faltar en tu inventario de datos personales

Funciones y obligaciones del personal que trata datos personales en el documento de seguridad:

Identificar a todo el personal involucrado en el tratamiento de datos personales, de tal forma que puedan definirse de forma adecuada sus perfiles y privilegios, así como sus responsabilidades. 

  • Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 57
  • Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 4. Elaborar un inventario de Datos Personales pág. 16
  • Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas
  • A.3.1. Informar al personal sobre sus deberes mínimos de seguridad y protección de datos pág. 23
  • C.5.2. Reglas de navegación segura pág. 31

También puedes consultar: ¿Cómo definir las funciones y obligaciones de quienes tratan los datos personales?

Análisis de riesgos en el documento de seguridad:

Conocer aquellas amenazas y vulnerabilidades que puedan afectar la seguridad de los datos personales, descubrir a través de este análisis, aquellas áreas, procesos o servicios con niveles de riesgo elevados para priorizar su atención.

  • Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 60
  • Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 5. Realizar el Análisis de Riesgos de los Datos Personales pág. 17
  • Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas  2.3 Los riesgos a los que están expuestos los datos personales pág. 6
  • Metodología de Análisis de Riesgo BAA
  • ISO 31000
  • ISO/IEC 27005
  • Guía práctica de Análisis de riesgos en los tratamientos de Datos Personales sujetos al RGPD

Análisis de brecha en el documento de seguridad:

Medidas de seguridad con las que actualmente se cuenta versus las requeridas para la protección de los datos personales.

  • Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 61
  • Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 6. Identificación de las medidas de seguridad y Análisis de Brecha    pág. 21
  • Anexo D. Ejemplos de Controles de Seguridad
  • Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas Análisis de brecha pág. 33
  • Tabla de equivalencia funcional entre estándares de seguridad y la LFPDPPP, su Reglamento y las Recomendaciones en materia de seguridad de datos personales
  • Guía para el Borrado Seguro de Datos Personales
  • NIST SP 800-53 (Rev. 4) Security Controls
  • ISO/IEC 27001
  • ISO/IEC 27002

También puedes consultar:  4 Pasos para el análisis de brecha

Plan de trabajo en el documento de seguridad:

Definición de actividades, responsables, tiempos y recursos para el cierre de la brecha identificada y el tratamiento de los riesgos.

  • Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 62
  • Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales
  • Plan de Trabajo para la Implementación de las Medidas de Seguridad Faltantes   pág. 24
  • Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas Etapa 3. Plan de trabajo pág. 36

También puedes consultar:  El plan de trabajo para datos personales

Mecanismos de monitoreo y revisión de medidas de seguridad:

Revisión periódica para identificar que las medidas implementadas protegen adecuadamente los datos personales, se pueden realizar auditorias internas o externas.

  • Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 63
  • Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Paso 8. Revisiones y Auditoría   pág. 29
  • Manual en materia de seguridad de datos personales para MIPYMES y organizaciones pequeñas Etapa 4. Mejora continua pág. 40

Programa general de capacitación en el documento de seguridad:

Capacitar al personal involucrado sobre los elementos indispensables en materia de datos personales y de forma específica sobre temas particulares dependiendo el tipo de tratamiento de datos personales que realice y las necesidades de capacitación que sean requeridas.

  • Lineamientos Generales para la Protección de Datos Personales para el Sector Público, artículo 64
  • Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Capacitación   pág. 33
  • Plataforma de cursos en línea https://cevifaipublica.inai.org.mx/

Te invito a escuchar este episodio de TodoPDPodcast relacionado con el tema:

Infografía 7 pasos para construir tu documento de seguridad

MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa

Ponte en contacto conmigo.

Artículos relacionados

Esquemas para la protección de los datos personales
Capacitación DP

Esquemas para la protección de los datos personales

  • junio 4, 2020
Sistema de Gestión de Datos Personales
LFPDPPP

Sistema de Gestión de Datos Personales

  • enero 31, 2018
Lo que una política de datos personales puede hacer por tu organización
LFPDPPP

Lo que una política de datos personales puede hacer por tu organización

  • enero 31, 2018
El plan de trabajo para datos personales
LFPDPPP

El plan de trabajo para datos personales

  • enero 31, 2018
Lo que no puede faltar en tu inventario de datos personales
LFPDPPP

Lo que no puede faltar en tu inventario de datos personales

  • enero 31, 2018
¿Cómo definir las funciones y obligaciones de quienes tratan los datos personales?
LFPDPPP

¿Cómo definir las funciones y obligaciones de quienes tratan los datos personales?

  • enero 31, 2018