PROTECCIÓN DE LA INTEGRIDAD DE LA
INFORMACIÓN PERSONAL
En el ámbito de la protección de datos personales, desde el
enfoque de las organizaciones resulta necesario apegarse a los reglamentos derivados
de las legislaciones. El cumplimiento a través de elementos aislados puede no
ser la mejor forma de afrontar los riesgos de seguridad que se encuentran
cambiando continuamente, por lo que la implementación de un sistema de gestión
resulta prudente en un ambiente dinámico.
En este sentido, la gestión de los datos personales puede
seguir un proceso similar a la gestión de la seguridad de la información dentro
de las organizaciones. Allí se organiza un proceso holístico, transversal y de
mejora permanente, generalmente mediante un Sistema de Gestión de Seguridad de
la Información (SGSI),
De la misma forma en la cual se pretende gestionar la
seguridad de la información dentro de las organizaciones a través de un proceso
holístico, transversal y de mejora permanente, generalmente mediante un , las
empresas que deben alinearse de forma obligatoria con requisitos, pueden
cumplir a partir de un proceso similar.
Por ello, la aplicación de un Sistema de Gestión de Datos
Personales (SGDP) se convierte en una estrategia para hacer frente a los
riesgos de seguridad y las amenazas informáticas que pueden atentar contra la
confidencialidad, integridad o disponibilidad de los datos personales, además
de otras propiedades de la información que deban cumplirse.
Si bien en la actualidad existe una diversidad de marcos de
referencia para la seguridad de la información, ISO 27001 continúa siendo un
estándar utilizado internacionalmente con este propósito. Por ello, se utiliza
como un punto de partida para establecer el SGDP. Aunque en la actualidad no se
menciona de forma explícita un modelo de mejora continua, el ciclo de Deming
sigue siendo una referencia.
Por lo tanto, la gestión de datos personales puede
incluirse como un elemento más dentro de un SGSI en caso de que la organización
ya cuente con los mecanismos de protección a través de un sistema de gestión.
También puede tratarse del punto de partida para comenzar a aplicar medidas de
seguridad para los datos personales y otro tipo de información sensible.
Elementos,
etapas y actividades en un SGDP:
1.
Planear y establecer.
La primera fase se desarrolla a partir de definir los
elementos necesarios para la operación del SGDP. De manera similar a un SGSI,
resulta relevante contar con el alcance de la protección de datos, un documento
formal donde se plasme el compromiso en este sentido, la definición de roles y
responsabilidades para dar cumplimiento a los requisitos establecidos en las
legislaciones. Además, se recomienda contar con un inventario de los datos y
posteriormente aplicar algún método para el análisis y evaluación de riesgos de
seguridad. Posteriormente, es necesario definir las medidas de protección, de
manera similar a una Declaración de Aplicabilidad.
2.
Implementar y operar.
La segunda fase se enfoca en la implementación de controles
definidos para los riesgos identificados en la etapa anterior. A la vez, se
debe desarrollar y ejecutar un plan de tratamiento de riesgos, con las
diferentes opciones, así como la correspondiente aceptación y comunicación de
riesgos residuales.
3.
Monitorear y revisar.
La tercera fase tiene como propósito revisar la operación
del SGDP, así como su idoneidad y vigencia, especialmente si existen
modificaciones en cuanto a los requisitos en las legislaciones, incidentes
registrados, cambios en las políticas u objetivos de la organización. Las
auditorías de seguridad son un elemento esencial en esta etapa, de manera
similar a las que se realizan para un SGSI.
4.
Mantener y mejorar.
Con base en los resultados de la fase anterior, se deben
tomar decisiones para realizar cambios, mejorar o mantener el SGDP, a través de
acciones correctivas y otro tipo de iniciativas, como la capacitación del
personal involucrado.
Protección
de datos a través de elementos planeados y coordinados
En definitiva, el propósito de gestionar la protección de
datos personales a través de un SGDP es contar con elementos planeados,
organizados y coordinados para hacer frente a los incidentes de seguridad que
podrían atentar contra la información de los usuarios. Si dentro de una
organización ya se cuenta con un SGSI, las actividades pueden incluirse como
actividades del mismo.
Por el contrario, si no se cuenta con un SGSI, podría
tratarse de un primer paso para comenzar a gestionar los datos personales y,
posteriormente, aplicar este enfoque para la seguridad sobre otro tipo de
información sensible propia de la organización.
En definitiva, el propósito de gestionar la protección de
datos personales a través de un SGDP es contar con elementos planeados,
organizados y coordinados para hacer frente a los incidentes de seguridad que
podrían atentar contra la información de los usuarios. Si dentro de una
organización ya se cuenta con un SGSI, las actividades pueden incluirse como
actividades del mismo.
Almacenamiento en la nube. El almacenamiento en la nube es importante en estos días ya
que permite que lleves tus archivos a cualquier lado y hacerlos disponibles en
cualquier computadora o dispositivos móviles. 
