Los diferentes niveles de seguridad que necesitan los datos personales

Por Guadalupe Rodríguez Cobos

guadalupe.rodriguezcobos@gmail.com

El flujo de datos personales en la actualidad ha expuesto a las personas a ser vulnerables en su integridad, de ahí que los encargados de custodiar datos personales asuman la responsabilidad que esto implica.

Ante esta situación, existe la Ley Orgánica de Protección de datos que es para garantizar y proteger, en cuanto al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

El manejo de datos personales por parte de las empresas y los sujetos obligados requiere un sistema de gestión de seguridad física, administrativas y tecnológicas de los datos.

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, que es el principal órgano garante en la protección de datos de los mexicanos determina que los mecanismos de protección deben tener:

• 8 principios (qué podemos hacer con los datos): Licitud, Proporcionalidad, Lealtad, Finalidad, Consentimiento, Calidad, Información, Responsabilidad

• 2 deberes : Seguridad, Confidencialidad

• 5 derechos: Portabilidad, Acceso, Rectificación, Cancelación, Oposición

• (INAI, 2021)

Los datos que se obtienen requieren diversos niveles de seguridad, la Universidad de Guadalajara nos ofrece ejemplos de categorías para los sistemas de tratamiento de datos personales según su riesgo inherente: (INAI, UDG, 2015

a) Nivel estándar

Esta categoría considera información de identificación, contacto, datos laborales y académicos de una persona física identificada o identificable, tal como: nombre, teléfono, edad, sexo, RFC, CURP, estado civil, dirección de correo electrónico, lugar y fecha de nacimiento, nacionalidad, puesto de trabajo, lugar de trabajo, experiencia laboral, datos de contacto laborales, idioma o lengua, escolaridad, trayectoria educativa, títulos, certificados, cédula profesional, entre otros.

b) Nivel Sensible

Esta categoría contempla los datos que permiten conocer la ubicación física de la persona, tales como la dirección física e información relativa al tránsito de las personas dentro y fuera del país. También son datos de nivel sensible aquéllos que permitan inferir el patrimonio de una persona, que incluye entre otros, los saldos bancarios, estados y/o número de cuenta, cuentas de inversión, bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos, egresos, buró de crédito, seguros, afores y fianzas. Incluye el número de tarjeta bancaria de crédito y/o débito. Son considerados también los datos de autenticación con información referente a los usuarios, contraseñas, información biométrica (huellas dactilares, iris, voz, entre otros), firma autógrafa y electrónica y cualquier otro que permita autenticar a una persona. Dentro de esta categoría se toman en cuenta los datos jurídicos tales como antecedentes penales, amparos, demandas, contratos, litigios y cualquier otro tipo de información relativa a una persona que se encuentre sujeta a un procedimiento administrativo seguido en forma de juicio o jurisdiccional en materia laboral, civil, penal o administrativa. Finalmente, se contemplan los datos personales sensibles de la Ley, es decir, aquéllos que afecten a la esfera más íntima de su titular. Por ejemplo, se consideran sensibles los que puedan revelar aspectos como origen racial o étnico, estado de salud pasado, presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual, hábitos sexuales y cualquier otro cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave a la integridad del titular.

C) Nivel Especial

Esta categoría corresponde a los datos cuya naturaleza única, o bien debido a un cambio excepcional en el contexto de las operaciones usuales de la organización, pueden causar daño directo a los titulares, por ejemplo la Información adicional de tarjeta bancaria que considera el número de la tarjeta de crédito y/o débito mencionado anteriormente en combinación con cualquier otro dato relacionado o contenido en la misma, por ejemplo fecha de vencimiento, códigos de seguridad, datos de banda magnética o número de identificación personal (PIN).

Las categorías para los sistemas de tratamiento son sólo una orientación y es importante remarcar que ciertos datos personales que en principio no se consideran sensibles, podrían llegar a serlo dependiendo del contexto en que se trate la información.

En cada organización pública o privada que requiera datos se deberá contar con un responsable del tratamiento de éstos, y toma un papel preponderante y de gran responsabilidad en el uso, manejo y destino de esta información, especialmente cuando los datos personales se han vuelto uno de los activos más importantes de las empresas digitales hoy en día.

Las empresas o entes responsables del manejo de la información tienen que garantizar la seguridad de la misma así como su tratamiento, al mismo tiempo que el individuo pueda mantener el control de su información, toda persona debe tener la posibilidad de decidir qué información quiere compartir y cuál no.

El compartir nuestros datos personales puede servir para realizar transacciones, obtener servicios, incluso conseguir algún trabajo o inscribirse a un centro académico, entre muchos otros servicios, pero compartirlos también representa grandes riesgos y vulnerabilidad ante un posible mal uso de esta información, incluso la transgresión de la dignidad de la persona, de ahí la importancia de los niveles de seguridad que ofrecen las empresas o instituciones que requieren de nuestra información personal.

En México la Ley contempla una serie de acciones a seguir que buscan garantizar la seguridad en la gestión de la información otorgada por las personas, en territorio mexicano, pero en la actualidad también tiene que contemplar el cruce transfronterizo de información y garantizar la privacidad del ciudadano, sin importar a qué país viajó su información.

Existe actualmente una Red Iberoamericana de Protección de Datos Personales, a la que México se ha sumado en busca de esta estrategia de cuidar la identidad de los mexicanos. (Díaz, 2022)

En el 2022 realizamos una serie de encuestas sobre qué tanto conocen los ciudadanos las medidas de seguridad a la hora de compartir su información, si saben de las medidas de seguridad que deben tener las organizaciones con quién comparten su información personal, si conocen sus derechos ARCO y si ellos de manera personal implementan acciones para resguardar su información.

Cabe decir que el resultado de este ejercicio nos arrojó que más del 80% de los encuestados no conocían nada sobre el tema, a excepción de aquellos que por cuestiones laborales estaban relacionados con el tema. Es decir, los esfuerzos no son suficientes para prevenir e informar a la ciudadanía sobre sus derechos y sobre la importancia de prevenir el mal uso de la información que comparten y que pueden exponerse a ser víctimas de algún delito.

La Ley pareciera completa y profesional, pero mientras no haya acciones concretas para que la gente la conozca y la use como herramienta de seguridad, el esfuerzo realizado por las autoridades no se podrá considerar suficiente. Es una ventana de oportunidad para los profesionales de la protección de datos, especialmente si se habla de la importancia de crear una cultura de protección de datos entre los ciudadanos, quienes dicho sea de paso, también son responsables de cuidar sus información personal y saber con quién compartirla.

Es decir, se tiene que hacer un trabajo conjunto entre autoridades, sujetos obligados/particulares, ciudadanía, todos con el mismo objetivo de proteger la dignidad de las personas cuidando sus datos personales.