Hacemos un llamamiento a todas las partes interesadas para garantizar el respeto a la privacidad y a la protección de información y datos personales, ya sea mediante la adopción de legislación, la aplicación de marcos de colaboración, mejores prácticas y medidas tecnológicas y de autorregulación por parte de empresas y usuarios.
Cumbre Mundial de la sociedad de la Información
Estimados Amigos invisibles, una vez más retomo el tema de la protección de datos personales en el Estado, como ha de recordar el órgano garante que tutela los dos derechos fundamentales, tanto el de acceso a la información, como el de protección de datos personales, en Aguascalientes se llama Instituto de Transparencia, conocido comúnmente como ITEA. Pues bien, a 4 años de la entrada en vigor de la Ley de Protección de Datos Personales en posesión de los sujetos obligados del Estado de Aguascalientes y sus Municipios se ha avanzado nada en el tema.
Como Usted sabe, los datos personales son toda información relativa a su persona que le identifican y le hacen identificable. Es la información que nos describe, que nos da identidad, nos caracteriza y diferencia de otros individuos. Además, son necesarios para que una persona pueda convivir en sociedad.
El objeto de esta Ley es garantizar el derecho que tiene toda persona a la protección de sus datos personales en posesión de cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, Municipios, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, que lleven a cabo tratamientos de datos personales.
En este sentido, comencemos por resaltar el nulo avance en el tema, ya que se ha dado prioridad al tema de transparencia, es decir, desde mi punto de vista a cuatro años de distancia, debieron realizar una evaluación diagnóstica de los Avisos de Privacidad, de los Documentos de Seguridad y de las Evaluaciones de Impacto en protección de datos personales, por mencionar solo algunos de los puntos que debería tener y dar a conocer el órgano garante para identificar las áreas de oportunidad, o los puntos débiles de los sujetos obligados en el sector público.
Mire Usted, el Aviso de Privacidad que deben tener todos los sujetos obligados, es el documento a disposición de forma física, electrónica o en cualquier formato generado por el responsable, a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos. Es decir, es el mecanismo de comprobación de que el titular tuvo la posibilidad de discernir y que lo hizo de manera libre e informada sobre el tratamiento de sus datos personales. En este tema, debieron realizar una evaluación diagnóstica sobre la existencia de estos documentos en los sujetos obligados para identificar entre otras aspectos: la identidad del responsable de tratamiento de los datos, las finalidades tanto primarias como secundarias, los terceros a quienes se transferirán los datos personales, los mecanismos para que el titular pueda ejercer los derechos vinculados a la protección de datos personales, es decir, el ejercicio de los famosos derechos ARCO, identificar el procedimiento para comunicar los cambios en el aviso de privacidad, así como el posible tratamiento de datos personales sensibles, entre varios puntos más.
Por otro lado, debieron comenzar con el análisis y diagnóstico del Documento de Seguridad que deben tener por obligación los sujetos obligados, es decir, el instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee. En otras palabras, es el documento que describe en forma detallada las medidas de seguridad implementadas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales a cargo del responsable.
Dicho documento debe contener al menos los siguientes puntos:
- a) El inventario de datos personales y de los sistemas de tratamiento
- b) Las funciones y obligaciones de las personas que traten datos personales
- c) El análisis de riesgos
- d) El análisis de brecha
- e) El plan de trabajo
- f) Los mecanismos de monitoreo y revisión de las medidas de seguridad
- g) El programa general de capacitación
El objetivo de contar con el Documento de Seguridad es la identificación de todas las personas que intervienen en el tratamiento de datos personales a lo largo de su ciclo de vida.
Este proceso de identificación se logra mediante el análisis de los procesos de negocio y los
tipos de datos personales tratados como parte del flujo de información.
Por otro lado, está pendiente también conocer que Evaluaciones de Impacto en Protección de Datos –EIPD– ha realizado y cuáles han sido los dictámenes que ha hecho en este tema. Se denomina Evaluaciones de impacto al documento mediante el cual los sujetos obligados que pretendan poner en operación o modificar políticas públicas, programas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales, valoren los impactos reales respecto de determinado tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con los principios, deberes y derechos de los titulares, así como los deberes de los responsables y encargados, previstos en la normativa aplicable. Es decir, es un proceso concebido para describir el tratamiento de los datos personales, evaluar su necesidad y proporcionalidad, así como ayudar a gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales, evaluándolos y determinando las medidas para abordarlos.
La elaboración de una EIPD se ha convertido en un requisito previo imprescindible en la práctica y exigido por la normatividad aplicable al sector público. Es un documento mediante el cual el responsable valora los impactos reales respecto de un tratamiento intensivo o relevante de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con los principios, deberes, derechos y demás obligaciones en la materia.
Como Usted puede observar son tres temas fundamentales impostergables, los cuales deben comenzar a revisar y supervisar, si ya comenzaron, luego entonces, que den a conocer las evaluaciones o dictámenes de documentos, a fin de evitar las posibles vulneraciones de los datos personales en el sector público, con el objetivo de afinar los protocolos y las medidas que garanticen la seguridad de los datos personales de las y los ciudadanos a los que se les recabe dichos datos.
Ya sabe, alguien lo tiene que decir. Para no dejar que unos lo hagan y otros lo permitamos.
@chazito14
