Lo que no puede faltar en tu inventario de datos personales

¿Has caminado alguna vez en la oscuridad?

Algo similar ocurre cuando un responsable no construye adecuadamente su inventario de datos personales, desconoce donde se encuentran los datos, los riesgos a los que se enfrenta y en la mayoría de los casos implementará medidas de seguridad a ciegas, lo cual lo hará un blanco fácil ante cualquier ataque.

Por ello es de vital importancia construir un inventario de datos personales claro, bien estructurado, con información realmente relevante para identificar de cada uno de los procesos que realizan tratamiento de datos personales, el ciclo de vida en sus diferentes etapas (obtención, almacenamiento, uso, divulgación, bloqueo, cancelación), los sistemas de tratamiento físicos o electrónico  que intervienen (equipos de cómputo, archiveros, servidores, cajoneras, etcétera), el personal de la organización involucrado, así como los encargados o terceros que pudieran tener acceso a los datos personales.

Para cumplir con el marco legal en materia de protección de datos personales, todas las entidades del sector público o privado deben contar con un inventario de datos personales:

• Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)
  • Reglamento de la LFPDPPP Artículo 61, fracción I

• Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados (LGPDPPSO) Artículo 33, fracción III
  • Lineamientos Generales Artículo 58, 59

Para los responsables del sector público como parte del Documento Orientador el INAI ha puesto a disposición una plantilla de inventario de datos personales, que los responsables pueden utilizar como referencia para la elaboración de su inventario.

Este documento puede ser también utilizado por los responsables del sector privado con las modificaciones que correspondan considerando su marco legal.

A continuación se presentan los elementos que no deben faltar en cualquier inventario de datos personales: