En el artículo pasado hablé sobre el uso de las aplicaciones en equipos móviles (APP) por parte de los entes gubernamentales; de la importancia de que estas APP cuenten con los respectivos avisos de privacidad -simplificado e integral- así como de las medidas de seguridad de carácter administrativo, físico y técnico que necesariamente deberán emplear los sujetos obligados (SO o responsables) para garantizar la correcta protección de los datos personales en el uso de las APP con el fin de protegerlos contra cualquier daño, perdida, alteración o cualquier uso, acceso o tratamiento no autorizado, y de esta manera se garantice su derecho humano a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, regulado por el artículo 16 de nuestra Constitución Política de los Estados Unidos Mexicanos.
Con respecto a las medidas de seguridad, cita la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados (LGPDPPSO) en su artículo 32, una vez que sean adoptadas por los responsables del tratamiento de los datos personales, deberán contener: el riesgo inherente a los datos personales; la sensibilidad de los datos personales tratados; el desarrollo tecnológico; las posibles consecuencias de una vulneración para los titulares; las transferencias de datos personales que se realicen; el número de titulares; las vulneraciones previas ocurridas en los sistemas de tratamiento, y el riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión.
Para un mejor entender de las medidas de seguridad que prevé la LGPDPPSO, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) en el año dos mil catorce, dio a conocer la Metodología de Análisis de Riesgo BAA la cual se enfocó en tres variables que pudieran afectar la percepción del valor de los datos personales para un posible atacante, mismos que consistieron en: El beneficio para el atacante, refiriéndose a aquellos datos personales que representaran un mayor beneficio tendrían más probabilidades de ser atacados; Accesibilidad para el atacante, es decir, aquellos datos personales que fueran de fácil acceso tendrían mayores posibilidades de ser atacados; y Anonimidad del atacante, serían aquellos datos personales, cuyo acceso representaran mayor anonimidad tendrían más probabilidades de ser atacados.
A partir de lo anterior, se puede advertir que el riesgo inherente de los datos personales propiciado por el uso de las APP se sujetaría a la Metodología de Análisis de Riesgo BAA con el objetivo de clasificar adecuadamente los datos personales en función del beneficio para el atacante; la accesibilidad para el atacante; y la anonimidad del atacante, esto con la finalidad de ponderar los riesgos o se pueda identificar la información que por orden de prelación necesite mayor protección.
Respecto a la sensibilidad de los datos personales que, en su caso, deban ser tratados en las APP es importante mencionar lo que la LGPDPPSO considera como datos personales sensibles, los cuales define como aquellos que se refieren a la esfera más íntima de su titular, cuya utilización indebida puedan dar origen a discriminación o conlleven a un riesgo grave para éste. De ahí, que los usuarios de este tipo de APP se puedan cuestionar, qué, dónde y quiénes tendrían acceso a sus datos personales, así como la finalidad para la cual serían empleados y el tratamiento para lo que dichos datos fueron solicitados por el responsable.
Por lo que hace al desarrollo tecnológico, la propia LGPDPPSO lo mantiene orientado al conjunto de acciones y mecanismos que se vale de la tecnología relacionada con hardware y software para proteger el entorno digital de los datos personales y la totalidad de los recursos que se ven involucrados en su tratamiento, donde además se deben observar actividades relacionadas con la prevención, es decir, que el acceso a las bases de datos o a la información, sea exclusivamente por personal autorizado; que también se genere un esquema de privilegios para usuarios autorizados; revisiones constantes a la configuración de las medidas de seguridad; y finalmente, una correcta gestión de las comunicaciones, operaciones y medios de almacenamiento de los recursos informáticos, precisamente para la salvaguarda de los datos personales.
En cuanto a las posibles consecuencias de una vulneración para los titulares, el INAI diseñó el Evaluador de Vulneraciones que funciona como una herramienta que permite a los responsables de la LGPDPPSO registrar y documentar las medidas de seguridad existentes y faltantes, que puedan ayudar a minimizar la ocurrencia y el impacto de vulneraciones a la seguridad de los datos personales, a través de una serie de preguntas cerradas, relacionadas con riesgos en el tratamiento de los datos personales. Esta herramienta puede ser consultada y además descargada https://bit.ly/3iEaG51.
Otro aspecto que observar en el uso de las APP por parte de los responsables serían las posibles transferencias de los datos personales, las cuales de no ser conocidas por el responsable o bien no comprendiera los flujos de los datos personales que estaría utilizando y del cómo se usan, provocaría en sí mismo un grave riesgo para la privacidad, sin dejar de mencionar que la LGPDPPSO señala que para la realización de cualquier tipo de transferencia de los datos personales, sea nacional o internacional, es necesario contar con el consentimiento de los titulares, además de que dichas transferencias deben estar formalizadas mediante la suscripción de cláusulas contractuales, convenios de colaboración o cualquier otro instrumento jurídico, que permita demostrar el alcance del tratamiento de los datos personales, así como las obligaciones y responsabilidades asumidas por las partes.
En cuanto al número de titulares, primeramente, se debe partir del tipo de datos personales, los cuales de acuerdo con la Metodología de Análisis de Riesgo BAA se clasifican en datos de riesgo inherente bajo (por ejemplo, teléfono, edad, sexo, RFC, CURP); datos con riesgo inherente medio (por ejemplo, información relativa al tránsito de las personas dentro y fuera del país); datos con riesgo inherente alto (por ejemplo, estado de salud física y mental, pasado, presente o futuro); y datos con riesgo inherente reforzado (por ejemplo, información adicional a la tarjeta bancaria), para posteriormente identificar el volumen de titulares que se encuentra en cada uno de los clasificadores de riesgo aquí mencionados.
Finalmente, las vulneraciones previas ocurridas en los sistemas de tratamiento -concretamente en las APP o a cualquier otro tipo de sistema electrónico- así como el riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados por una tercera persona no autorizada para su posesión, obedece en una primera instancia a que, en la mayoría de las veces los responsables no aceptan que han sido victimas de vulneraciones y encima de todo, no realizan los reportes internos, verbigracia los ataques cibernéticos a la página web del Consejo Nacional para Prevenir la Discriminación (Conapred) y segundo, a que los responsables deben de realizar cualquier tipo de estimación relacionada con el valor potencial de los datos personales, ya sea por su tipo, por la sensibilidad de los mismos y cantidad de personas de que quienes están tratando dichos datos.
En ese sentido, las medidas de seguridad aplicadas a las APP dependerán de que los responsables las implementen adecuadamente y mantengan durante la duración de ellas, los controles de seguridad indispensables para garantizar la protección de los datos personales que estén en su posesión, las cuales también deben estar supeditadas a los sistemas de gestión que les permitan establecer las mejoras al tratamiento y seguridad de éstos.
