MATERIA: Legislacininformtica

DIAGNSTICO JURDICO: LA PROTECCIN DE DATOS PERSONALES

UNIDAD4 ACTIVIDADDE APRENDIZAJE INTEGRADORA ASESOR: RAFALVCTORMALDONADOCUADRA ALUMNO: LUISFELIPESANJOSZELEDN 25/06/2011

CODIGO:206213774

DIAGNSTICO PERSONALES

JURDICO:

LA

PROTECCIN

DE

DATOS

INTRODUCCIN

La informacin es un importante activo que debe ser protegido y ms an si se trata de datos personales, que hoy en da al digitalizarse los archivos de informacin facilitan su manejo y difusin y pueden ser utilizados con fines distintos para los que fueron recabados y sin la autorizacin de la persona a quien pertenecen los datos o incluso para fines criminales como la extorsin, el secuestro, los fraudes, etc. Por otra parte cada vez son ms comunes las transacciones por medios electrnicos que requieren la garanta de la proteccin de los datos personales. Tambin es necesario considerar que todos tenemos el derecho a disfrutar de una vida privada libre, sin interrupciones o intrusiones indeseadas y el derecho a comunicarnos libremente con cualquier persona sin el temor a ser vigilados.

En este sentido se presentan diversos problemas en los que los datos de clientes son vendidos a otras empresas, al grado de que en meses pasados se report la venta de la base de datos del padrn electoral a una empresa extranjera, tambin se ha informado de la venta en Tepito de distintas bases de datos entre ella tambin la base de datos del IFE. Todos los das son publicados datos de personas en Internet sin la autorizacin de las personas, como por ejemplo hace poco era posible consultar las bases de datos del impuesto predial de distintos municipios y de esta manera era posible saber las propiedades que posea cualquier ciudadano de esos municipios, as como tambin era

posible investigar los vehculos que tena cualquier persona en los sistemas de pago de tenencia de los gobiernos estatales. Otro caso que tomo relevancia recientemente es de Facebook, que tuvo que endurecer sus sistemas de seguridad, despus de diversas quejas de que se haban obtenido datos personales para fines ilcitos a travs de esta red social, pero no fue sino hasta que hakearon la cuenta de su creador, que se decidieron a hacer cambios en sus medidas de seguridad. En nuestro pas la mayor parte de la poblacin hemos sido extorsionados telefnicamente utilizando datos personales. De esta manera podramos seguir enumerando una infinidad de problemas que tienen que ver con el tema de la proteccin de datos personales.

Este es un tema complejo, la proteccin de los datos personales en estos tiempos en donde el flujo de la informacin no tiene lmites y mucho menos fronteras fsicas y por consiguiente no hay fronteras tecnolgicas, pero tampoco jurdicas. Este fenmeno global resulta difcil de regularse, adems hoy en da la cantidad de datos personales existentes en infinidad de bases de datos es incuantificable. En este trabajo se proponen algunas soluciones jurdicas que por la naturaleza del problema requieren una serie de soluciones tcnicas. Estas soluciones no alcanzan a cubrir toda la complejidad del problema pero a nivel nacional podran disminuir considerablemente el problema, que de hecho es a nivel local en donde los datos personales pueden ser utilizados de maneras ms perjudiciales para sus titulares.

ASPECTOS TCNICOS DEL PROBLEMA El caso abordado no es una situacin en particular, se trata de la proteccin de datos personales en general, por lo tanto puede tener diversos aspectos tcnicos, principalmente todo lo relacionado con la seguridad de la informacin, ya que la violacin a la proteccin de datos personales, muy comnmente est relacionada con la falta de seguridad con la que las empresas y organizaciones resguardan los datos personales que recaban de sus clientes y usuarios. Este es un aspecto que complica an ms las soluciones jurdicas al problema, ya que las soluciones tcnicas representan la parte ms importante del problema, por lo tanto las soluciones jurdicas no pueden hacer a un lado la parte tcnica, mas bien deben conjugarse para poder establecer normas que conduzcan a una solucin amplia del problema.

Por otra parte son distintos sujetos los que pueden realizar un ilcito relacionado con la proteccin de datos personales, as como tambin son distintas las maneras en las que se puede, esta violacin la puede realizar una empresa que posee datos personales, un empleado de una empresa que posee datos personales, un hacker que sustrae informacin, un traficante de informacin (que puede ser cualquier persona fsica o moral que vende datos personales de gente que no ha dado su consentimiento para ello), una empresa o una persona que utiliza datos personales que ha adquirido sin la autorizacin de los titulares de los datos.

En este sentido pueden observarse tres tipos de actores en la violacin de la proteccin de datos personales:

1.-Quienes sustraen o acceden ilcitamente la informacin. 2.-Quienes trafican o venden datos personales. 3.-Quienes compran y/o utilizan datos personales sin la

autorizacin de los titulares de los datos

La sustraccin o acceso ilcito de informacin se da por falta de seguridad adecuada, generalmente por dejar huecos fsicos o lgicos por los que puede entrar un usuario no autorizado, ya sea de manera remota o bien de manera directa en el equipo en el que se resguarda la informacin, por lo tanto si realmente se quiere proteger la informacin, es necesario el establecimiento de barreras fsicas y lgicas que eviten los accesos no autorizados y el personal que si tiene acceso deber cumplir con estndares ticos exigentes, en general la seguridad de la informacin debera contemplar los siguientes aspectos:

Seguridad fsica y perimetral o Alarmas y videocmaras o Vigilancia fsica y restriccin de accesos o Concientizacin y capacitacin del personal o Implementacin de cdigos de tica

Seguridad lgica o Uso de Firewalls

o Uso de Antivirus o Criptografa o Contraseas seguras o Administracin segura de permisos

Los aspectos anteriores deben ser considerados antes de expedir nuevas normas para la proteccin de datos personales, las normas deben incluir la parte tcnica de la proteccin de la informacin, de otro modo ser difcil que una norma pueda resolver este problema que tiene un importante perfil tcnico.

PROPUESTA DE SOLUCIN JURDICA Esta propuesta est encaminada principalmente a normar la

proteccin de datos de manera preventiva para evitar la sustraccin o robo de informacin y para castigar a quienes trafican con datos personales. De esta propuesta debera hacerse una iniciativa de reforma a la Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares, la Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental. La propuesta es la siguiente:

Se deber reformar la Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares, para mencionar los siguientes puntos:

Se deber hacer del conocimiento del Titular de los datos, al momento de recabarlos y de forma escrita, el fundamento y motivo de la solicitud, as como los propsitos para los cuales se utilizarn los datos.

Obligar mediante la ley de proteccin de datos personales al uso de los ms altos estndares de seguridad informtica a los poseedores de datos personales, imponiendo multas severas a aquellas que estn en posesin de datos personales y no cuenten con medidas de seguridad suficientes.

Los

poseedores

de

datos

personales

debern

pagar

indemnizaciones a los titulares de los datos, en caso de que

sean robados o dados a conocer a otros, sobretodo en los casos en que los titulares de los datos sufran algn perjuicio.

Las indemnizaciones consideradas en los puntos anteriores debern ser fijadas por los jueces penales ante quien se interpongan las demandas correspondientes.

Asignar en la ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental la facultad al IFAI para poder hacer inspecciones y verificaciones a las empresas y todo tipo de organismos que soliciten o resguarden datos personales, asimismo en esta ley y en la Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares se deber asignar a este instituto, la facultad de poder imponer y cobrar multas a las empresas y organismos pblicos o privados por infracciones relativas a la proteccin de datos personales.

Considerar como un delito la divulgacin de datos personales sin autorizacin expresa del titular de los datos y sancionar penalmente dicho delito, con penas que no alcancen el derecho a fianza cuando la violacin sea grave.

Los datos personales debern utilizarse nicamente para el fin para el que fueron obtenidos, la utilizacin con un fin distinto debera considerarse como delito y tener una sancin penal.

Adems de lo anterior, la Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares deber contemplar tambin los datos en posesin de organismos gubernamentales, en los cuales las sanciones debern ser an mayores cuando la infraccin la cometan servidores pblicos que en el caso de los particulares.

Si durante las inspecciones que realice el IFAI a organismos y empresas poseedoras de datos personales detecta que no cumplen con los estndares tcnicos vulnerabilidades, se deber imponer una multa e instar a corregir las vulnerabilidades en un periodo de una semana, periodo durante el cual se deber monitorear que no existan ataques ni robos de informacin.

En caso de que las empresas u organismos no corrijan sus conductas o vulnerabilidades en los plazos establecidos o bien si han proporcionado datos personales a terceros sin la autorizacin del titular o lo titulares, se deber prohibir definitivamente que capten datos personales.

Las multas se debern imponer tomando en cuenta la gravedad de la omisin y del riesgo en que est la informacin, as como el volumen de datos expuestos.

Las inconformidades por las multas impuestas se podrn impugnar ante juzgados administrativos. En caso de

reincidencia el IFAI podr sancionar con la prohibicin de recabar y almacenar datos personales.

El IFAI podr certificar empresas que podrn prestar el servicio de captacin y almacenamiento de datos personales, asegurando su proteccin, de esta manera una empresa que no tenga la capacidad tcnica para almacenar los datos personales y requiera hacerlo podr contratar los servicios de una empresa certificada en manejo de datos personales.

En caso de detectarse que se divulg, entreg o vendi informacin personal sin autorizacin del titular de los datos adems de lo anterior se deber interponer una denuncia penal ante el ministerio pblico federal.

Cualquier particular que detecte que sus datos han sido proporcionados a un tercero sin su autorizacin o cualquier empresa que detecte que le han sustrado datos personales de sus clientes o usuarios deber interponer una denuncia penal ante el ministerio pblico federal.

Las medidas jurdicas anteriores debern estar acompaadas por acciones tcnicas como se propone a continuacin:

El IFAI deber redactar estndares tcnicos para el manejo de datos personales que garanticen la seguridad de los mismos y

que deban ser observados por todos los poseedores de datos personales.

En todas aquellas instituciones que posean datos personales de sus clientes o usuarios, el acceso a las bases de datos que contengan los datos personales deber estar restringido solo a personal autorizado, que se haya comprometido a salvaguardar dicha informacin, que est bien capacitado para hacerlo y que deber ser supervisado constantemente.

Las

empresas

que

resguarden

datos

personales

debern

establecer medidas de seguridad perimetral y contar con cmaras de vigilancia continua.

Las conexiones a la base de datos que contengan datos personales debern hacerse utilizando sistemas de contraseas robustas y los distintos usuarios debern tener solo los permisos necesarios para hacer exclusivamente lo que les corresponde.

La informacin contenida en estas bases de datos deber estar cifrada bajo algoritmos robustos de cifrado y los cuales debern ser auditados peridicamente por verificadores del IFAI.