Identidad blindada
Apenas en marzo pasado, la compañía de seguridad RSA, con sede en Bedford, Massachusetts, debió enfrentar un penoso incidente: un hackeo que afectó sus dispositivos de doble autentificación (para las contraseñas de los tokens), utilizados por los clientes en servicios de banca por Internet y para el acceso a redes corporativas.
No ha sido la única empresa de seguridad involucrada recientemente en un incidente así. El caso más famoso de los últimos meses, en cuanto a ataques cibernéticos y pérdida de información, es el de Sony. En abril pasado, un grupo de hackers hizo una intrusión a la red de juegos de PlayStation. Los atacantes lograron acceder a cerca de 77 millones de registros de usuarios y se llevaron datos personales y financieros.
Esos hechos plantean una duda: ¿si eso les pasa a ellos, qué sucederá en otras empresas con menor preparación frente a este tipo de ataques? A nivel mundial, se sabe que sólo 11% de las fugas de información en las organizaciones se reportan. Millones de registros de clientes, empleados y usuarios van a parar al mercado negro de datos sin que nadie se entere o haga algo para evitarlo.
¿Qué puede pasar con esa información? Una vía es vender las bases de datos para telemarketing y otros usos relacionados también con la mercadotecnia. En México, estas bases se pueden comprar en el mercado negro de datos por entre 500 y 1,500 pesos, aunque Andrés Velázquez, fundador de Mattica, empresa dedicada a investigaciones de delitos digitales, asegura que no están actualizadas ni es verdad que se pueda encontrar cualquier registro.
En esto del robo de datos la vertiente más redituable es el fraude digital, que sólo en México causa pérdidas por alrededor de 5,000 millones de pesos al año. Víctor Chapela, presidente de la compañía de seguridad Sm4rt, asegura que el crimen organizado está involucrado ya en este delito, pues es una más de sus líneas de negocio.
A tapar el pozo
En este escenario de robo de información y fraude digital, aunado a robos de identidad para cometer extorsiones, sobornos y otros ilícitos, además de problemas de discriminación y privacidad, es que a nivel mundial se ha implementado una serie de leyes y regulaciones para proteger los registros de las personas.
México ya tiene su propia ley: desde hace un año está vigente la Ley Federal de Protección de Datos Personales en Posesión de Particulares, publicada en el Diario Oficial de la Federación el pasado 5 de julio de 2010 y vigente desde un día después.
Todas las personas físicas y morales (de carácter privado) que posean datos de particulares para un fin comercial o de divulgación estarán sujetas a esta normatividad, explica María Marván, comisionada del Instituto Federal de Acceso a la Información y Protección de Datos Personales (IFAI), institución que funge como garante de la ley.
Sólo hay dos excepciones: las sociedades de información crediticia y las personas que recolecten o almacenen datos para uso personal (como un directorio telefónico privado).
Eso quiere decir que prácticamente todas las empresas deben acatar esta ley. Las principales disposiciones de la legislación abarcan desde obtener los datos personales sólo con autorización del titular y sin engaño, hasta implementar las medidas de seguridad necesarias para proteger esa información.
Pero también establece que los responsables de los datos deben garantizar a los titulares el derecho de acceso a ellos, de rectificarlos o pedir su cancelación, y de oponerse a que ese responsable los tenga (se le conoce como derechos ARCO).
Llegada tarde
El primer campanazo ya sonó. De acuerdo con la ley, el pasado 6 de julio todas las empresas debieron emitir sus avisos de privacidad, con los que se solicita a los particulares permiso para tener y usar sus datos para un cierto fin.
También se debió designar ya al encargado o departamento de datos personales. La ley marca que, a partir del 6 enero de 2012, los titulares de la información podrán ejercer sus derechos ARCO frente a las empresas, y deberá ser esta persona o área la encargada de recibir y gestionar esas solicitudes, así como de fomentar la protección de esa información.
Ése será el segundo y último campanazo. Las compañías tienen hasta entonces para integrar y preparar al responsable de esa función. Pero la mayoría ya llegó tarde.
Deloitte calcula que 60% de las empresas se encuentra apenas en fase de diagnóstico frente a la ley. KPMG estima que sólo 35% de los negocios la conoce.
Si no estás listo con los avisos de privacidad y el responsable de datos personales, debes acelerar el paso en esas tareas y reforzar también la estrategia de protección a la información de particulares. De lo contrario, deberás atenerte a las consecuencias.
Las sanciones por omitir el aviso de privacidad van de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal. En caso de un incidente de seguridad, el riesgo será mayor, pues se podrá imponer multas y sanciones que van de 100 a 320,000 días de salario mínimo, y de tres meses a tres años de prisión para quien vulnere las bases de datos bajo su custodia.
Estas penas serán mayores para el caso de datos sensibles, como los de origen racial o étnico, estado de salud, información genética, creencias religiosas o preferencia sexual.
Aunque el IFAI no va a hacer una cacería de brujas para ver quién sí cumplió, asegura Alejandro del Conde, secretario de Protección de Datos Personales del IFAI, y aclara que "la población va a ser el mejor auditor. Vamos a estar atentos a las quejas de los ciudadanos respecto a si alguna empresa no le está presentando el aviso y actuaremos en consecuencia. Si se tiene que sancionar, se hará". Por eso, aquí te decimos cómo evitar pérdidas millonarias y sanciones.
| CÓMO CUMPLIR |
| Sigue esta guía para cumplir con la Ley Federal de Protección de Datos Personales: |
| 1. Conoce la ley. Revisa qué pide y lo que implica acatar esas disposiciones dentro de la empresa. |
| 2. Evalúa procesos de negocio y flujo de datos. Para ver cómo y dónde se maneja información personal |
| 3. Análisis de la brecha. Determina dónde está la empresa conrespecto a lo que pide la ley. Las consultoras en seguridad informativa pueden ser buenas aliadas. |
| 4. Genera un inventario de datos. Así será más fácil ubicar la información cuando haya una solicitud de información. |
| 5. Emite los avisos de privacidad. Las guías para elaborar los avisos están en: www.ifai.mx; y www.economía.gob.mx |
| 6. Designa a la persona o departamento de datos personales. Conviene integrar un área con perfiles y roles diversos. |
| 7. Implementa los controles de protección. Son tecnológicos, de procesos, además de políticas y capacitación del personal. |
| FUENTES: Ernst & Young, Deloitte, KPMG, Davara Abogados, Lex Informática Abogados, Symantec, IBM México e IFAI. |