21572018 OF - Diario Ofcial de a Federacion RECOMENDACIONES en materia de seguridad de datos personales. ‘AT margen un sello con ol Escudo Nacional, que dice: Estados Unidos Mexicanos. Instituto Federal de Acceso a la Informacién y Proteccién de Datos. EI Pleno del Instituto Federal de Acceso a la Informacién y Proteccién de Datos, con fundamento en Io dispuesto por los articulos 419, 39, fraccién IV de la Ley Federal de Proteccisn de Datos Personales en Posesién de los Particulates; 58 del Reglamento de la Ley Federal de Proteccién de Datos Personales en Posesién de los Particulares; 15, fracciones ly XXI, 24, fraceién Il, y 30, fraccign Il del Reglamento Interior del Instituto Federal de Acceso a la Informacién y Proteccién de Datos, y CONSIDERANDO. Que uno de los deberes que rigen la proteccién de los datos personales os la implementacién de medidas de seguridad para la proteccién de a informacién que esta en posesién de los responsables y encargados del tratamiento de los datos personales; Que en ese sentido, el articulo 19 de la Ley Federal de Proteccién de Datos Personales en Posesién de los Particulares establece la obligacion para todo responsable que lleve a cabo el tratamiento de datos personales, de implementar y mantener medidas de seguridad administrativas, técnicas y fisicas que permitan proteger los datos personales contra dao, pérdida, alteracion, destruccién o ‘al uso, acceso o tratamiento no autorizado de los mismos; ‘Que el Capitulo Il del Reglamento de la Ley Federal de Proteccién de Datos Personales en Posesidn de los Particulares define de manera general los factores que deberan tomar en cuenta los responsables y encargados del tratamiento de datos personales para determinar las medidas de seguridad a implementar para la proteccién de los mismas, asi como las acciones que deberdn llevar a cabo los responsables y encargados para la implementacién de las medidas de seguridad; Que en los casos en que ocurra una vulneracién a la seguridad de los datos personales, el Instituto Federal de Acceso a la Informacién y Proteccién de Datos (IFAl o Instituto), en su caso, podré tomar en consideracién el cumplimiento de sus recomendaciones, para efectos del articulo 8 del Reglamento de la Ley Federal de Proteccién de Datos Personales en Posesion de los Particulares; Que, ademas de lo anterior, las recomendaciones del Instituto serviran de orientacién a los particulares para determinar los procedimientos y mecanismos a aplicar para la seguridad de los datos personales; ‘Que de conformidiad con el articulo 39, fracciones IV y V de la Ley Federal de Proteccién de Datos Personales en Posesién de los Particulares, el IFA tiene las atribuciones de emir recomendaciones para efectos de funcionamiento y operacién de esa ley, asi como para divulgar estandares y mejores practicas internacionales en materia de seguridad de la informacién; emite las presents RECOMENDACIONES EN MATERIA DE SEGURIDAD DE DATOS PERSONALES 1, RECOMENDACION GENERAL El articulo 19 de fa Ley Federal de Proteccién de Datos Personales en Posesién de los Particulares (en adelante, la Ley) establece que: Aticulo 19.- Todo responsable quo lleve a cabo tratamiento de datos personales debera establecer y mantener medidas do ‘seguridad administrativas, técnicas y fisicas que permitan proteger los datos personales contra dafo, pércida, alleracién, destruccién o el.uso, acceso o tratamiento no autorizado. Los responsables no adoptardn medidas de seguridad menores a aquellas que mantengan para el manejo de su informacion Asimismo se tomard en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensiblidad de los datos y el desarrollo tecnolégico. Por su parte, el Capitulo Ill del Reglamento de la Ley detalla las factores y acciones que deben tomar en cuenta los respensables y cencargados del tratamiento de datos personales para delerminar las medidas de seguridad aplicables a la informacién personal que cesté en su posesién, ano21572018 OF - Diario Ofcial de a Federacion Asimismo, el Instituto, en su caso, podré tomar en consideracién el cumplimiento de sus recomendaciones para efectos del artculo '58 del Reglamento de la Ley. En ese sentido, y en ejercicio de la facultad que la fraccién IV del articulo 39 de la Ley otorga al Instituto para emitircrterios y recomendaciones para el funcionamiento y operacién de la Ley; el IFAI emite las presentes recomendaciones, a fin de que los responsable y encargados tengan un marco de referencia respecto de las acciones que se consideran como las minimas necesarias, para la seguridad de los datos personales. RECOMENDACION GENERAL Para la seguridad de los datos personales, el IFA RECOMIENDA la adopcién de un Sistema de Gestion de Seguridad de Datos Personales (SGSDP), basado en el ciclo PHVA (Planear-Hacer Verificar-Actuar). Es importante que se tome en cuenta que el alcance del SGSDP es la proteccisn de los datos personales y su tratamiento legtimo, controlado @ informado, a efecto de garantizar la privacidad y el derecho ala autodeterminacién informativa de las personas, Por Io ual, el anals's de riesgos y las. medidas de seguridad implementadas como resultado del sequimiento do las. presentes recomendaciones, se deberan enfocar en la proteccin de datos personales contra dafio, pérdida, alteracién, destrccién o el uso, acceso 0 tratamiento no autorizado, asi como en evilar las vulneraciones descritas en el atculo 63 del Reglamento dela Ley. Esias recomendaciones se basan en la seguridad a través dela gestion de riesgo de ls datos personales, entendléndose de forma ener al lesao come una combinacisn de la probablidad de que un incidente ocuray de sus consecuencias desfavorabes; de modo {al que al determina el riesgo en in escenario especiic de la organizaién, se pueda evalua el impacto y realizar un estimado de las medidas de seguridad necesarias para preservar la informacion personal Es importante sefalar que la adopciin de las presents recomendaciones es de cardcter voluntario, por fo que ls responsables y cencargados podrén decicirlibremente qué metodologia conviene mas aplicar en su negocio para la seguridad de los datos personales. Asimismo, ef seguimiento de las presentes recomendaciones no exime a los responsables y encargados de su responsablidad con relacion a cualquier vulneracion que pudiera ccurtr a sus bases de dates, ya que la seguridad do cichas bases depende de una correcta implementacion de las medidas 0 conttoes de seguridad {A continuacién se explca lo que on estas recomendaciones se entiende por Sistema de Gestién de Seguridad de Datos, Personales,y las acciones minimas a considerar para su implementacién 2, SISTEMA DE GESTION DE SEGURIDAD DE DATOS PERSONALES 24 Conceptos clave ‘Active, La informacion, e conosimiento sobre los procesos, el personal, hardware, software y valu olro recurso involvcrado en ¢! tratamiento de los datos personales, que tenga valor para la organizacién Alta Direccién. Toda persona con poder legal de toma de decision en las polices de ta organizacion. Por ejemplo: la junta directva, ejecutives y trabsjadores experimentados, la persona a cargo del depertamento de datos porsoneles, fos socios de la ‘rgarizacién, el duefio de una empresa unipersonal o quien encabeza la organizacién Datos personales. Cualguierinformacin concemiente a una persona fisica identiicada o identiicable. Datos personales sensibles, Aquelos datos personales que afecten a la esfera més intima desu ilar, 0 cuya ulizackn indebida pueda dar origen a discrminacién 0 conileve un iesgo grave para éste. En patcular se consideran sensibles equals que pueden revelar aspecios como orign racial o étrico, estado de salud presente y futuro, informacién genética, creencas religiosas, flosoicas y morales, afilacion sindcal, opiniones poltias, referencia sexual Encargado, La persona fisica 0 moral, piblca 0 privada,ajena ala organizacién del responsable, que sola 0 conjuntamente con otras, trata datos personales por cuenta del responsable, como consecuencia de la exstenca de una relaciénjurcica que le vincula on el mismo y dlimita el mito de su actuacion para la hitpnww.det gob mxinata_detalle_popup.php?codigo=5320179 ano21572018 OF - Diario Ofcial de a Federacion prestacién de un servicio. Impacto, Una medida del grado de dafio a los activos 0 cambio adverso en el nivel de abjetivos alcanzados por una organizacién, Incidente. Escenario donde una amenaza explota una vulnerabilidad o conjunto de vulnerabilidades. ‘Amenaza, Circunstancia 0 evento con la capacidad de causar dafio a una organizacién. \Vulnerabilidad. Falta 0 debilidad de seguridad en un activo 0 grupo de activos que puede ser explotada por una o mas amenazas. Organizacién. Conjunto de personas e instalaciones con una disposicién de responsabilidades, autoridades y relaciones. Responsable, Persona fisica o moral de cardcter privado que decide sobre el tratamiento de los datos personales. Riesgo. Combinacién de la probabilidad de un evento y su consecuencia destavorable. Riesgo de seguridad. Potencial de que clerta amenaza pueda explotar las vulnerabllidades de un activo 0 grupo de activos en perjuicio de la organizacién. ‘Seguridad de la informacién. Preservacién de la confidencialidad, integridad y disponibilidad de la informacién, ast como otras propiedades delimitadas por la narmatividad aplicable. Confidencialidad. Propiedad de la informacién para no estar a disposicién o ser revelada a personas, entidades 0 procesos no autorizades. Disponibilidad, Propiedad de un activo para ser accesible y utlizable cuando lo requiera una entidad autorizada, Integridad. La propiedad de salvaguardar la exacttud y completitud de los activos, Sistema de Gestién de Seguridad de Datos Personales (SGSDP). Sistema de gestién general para establecer, implementar, ‘operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales en funcién del riesgo de los actives y de los principios basicos de licitud, consentimiento, informacién, calidad, finalidad, lealtad, proporcionalidad y responsabilidad previstos enla Ley, su Reglamento, normatividad secundaria y cualquier otro principio que la buena préctica internacional estipule en la materia, Titular. La persona fisica a quien corresponden los datos personales, Tratamiento. La obtencién, uso, divulgacién 0 almacenamiento de datos personales, por cualquier medio. E! uso abarca cualquier accién de acceso, manejo, aprovechamiento, transferencia o disposicién de datos personales. 2.2 Sistema de Gestion La gestién es un conjunto de actividades coordinadas para dirigir y controlar un proceso o tarea. Un sistema es un conjunto de elementos mutuamente relacionados o que interactian por un fin u objetivo. Por lo tanto, un Sistema de Gestién (SG) se define como ‘un conjunto de elementos y actividades interrelacionadas para establecer metas y los medios de accién para alcanzarlas. Asimismo, un sistema de gestién apoya a las organizaciones en la direccién, operacién y control de forma sistematica y transparente de sus procesos, a fin de lograr con éxito sus actividades, ya que esta disofiado para mejorar continuamente 6! desemperio de la organizacién, mediante la consideracion de las necesidades de todas las partes interesadas. Es importante tomar en cuenta que una organizacién tiene que definir y gestionar numerosas actividades para funcionar con eficiencia. Estas actividades se convierten en procesos que tienen la caracteristica de recivir elementos de entrada, los cuales se ¢gestionan para regresar al final de su ciclo, como elementos de salida (resultados). Por ejemplo, un proceso de Auditoria puede recibir como elementos de entrada objetivo, alcance y plan de auditoria, asi como el informe de resultados de la auditorfa anterior, y como elemento de salida un nuevo informe de auditoria. A menudo, la salida de un proceso se convierte directamente en la entrada del proceso siguiente, y la interconexién entre procesos genera sistemas que se retroalimentan para mejorar. En el caso de las presentes recomendaciones, el sistema de gestién propuesto se basa en el modelo denominado “Planificar- Hacer-Verificar-Actuar" (PHVA), através del cual se dirigen y controlan los procesos 0 tareas, como se puede ver en fa tabla 1 y figura 1 Elemento del SG Fase dal ‘etividades PHVA Me Planficar Se identfican policas, _objelvos, fesgos, planes, _procesos Procedmiontos. necesarios para obtener el resultado eaperado por la brganizacion (mela. Medios de Hacer Se inplementan y operan las pallicas, abjalvos, planes, procesos y PROCESO acci6n Proved mientos establecidos en la fase anterior. Veriicar Se evalian y miden los resulados de las polices, objetives, planes, procesos y procedimientas implementades, afin de verfiar que se haya logrado la mejora esperada. ‘Rear Se adoptan medidas correcivas y preventivas, en Tuncién de los resultados Yy dela revsion,o de otas luents de informacion relevantes, para lograr la Imejora continua. Tabla T. Sistema de Gestion hitpnww.det gob mxinata_detalle_popup.php?codigo=5320179 ano21572018 DOF - Diario Ofcial de la Federacion Figura 1. Ciclo General del Sistema de Gestion de Seguridad de Datos Personales EI SGSOP tiene como objetivo proveer un marco de trabajo para el tratamiento de datos personales, que permita mantener vigente y mejorar el cumplimianto de la lagislacion sobre proteccién de datos personales y Hfomentar las buenas practicas. Las fases del ciclo PHVA considera diferentes pasos y objetivos especificos para el SGSDP, que pueden observarse en la siguiente tabla a¢——a= oa aan as as ee a 2c do svi so cam Perm amit oO gat Son So comple cola tgatcon cobs 8. fFunconas otigadones de prtecion da dteny tne reas artes ‘quienes traten datos personales Gon Jas politicas y objetivos generales de la ‘Invern de dca personales, pannel 5. ani de fongon oo aon pernnaie & idntcactn dens rads do ‘ogurady anion de ech Hacer Triplementary 7. Implementaciin de las medics Implementar_y_operar_as_poliicas,_objewvos ‘porarel” do seguridad. aplcables a 10s procesos, " procedimientos "y contoles. 0 SGSDP datos personales, ‘mecanismos del SGSDP, considarande insicadores de medion, Verifcar Monloreary 8 Rovsiones y auditor datos personales, ia potica, los objetvos la ‘experienc practica del SGSOP. & informar los Fesulados ala Aa Direceion para au rovsion, “Retuar Tjoraral 9, Mejra continua y Capacttacion, Para lograr la mejora continua ee deben adoplar SSDP medidas. corecvas y prevenvas, en funcién de Tos resultados obtenidos do la vovsién por parte de la Ala Dreccin, las aucitorias al SCSDP y de la comparacién con tas fuenles de informacn Felevantes, “como actualzaciones requlatoras, fiesgos e impacios organvzacionales, ene otros debe consiserar I capacitacion "Tabla 2 Objelives del SGSOP dentro de las Tases del ciclo PVA htpnwww.dot gob mxinata_detale_popup php?codigo=5320179 ano21572018 OF - Diario Ofcial de a Federacion La mayoria de las organizaciones poseen uno o més procesos que involucran el tratamiento de datos personales; estos procesos ddeben ser identificados y controlados a partir de que la informacion es recolectada y hasta que se bloquea, se borra o destruye. Mas atin, en el marco de la Ley y su Reglamento, los datos personales son el principal activo de informacién, En consecuencia, a través del articulo 61 del Reglamento se puede vislumbrar que una de las primeras acciones para llevar a cabo su proteccién es tener bien identificado, definide y dacumentado el flujo de los datos personales que se traten a través de los diferentes procesos de la organizacién. Asimismo, durante el ciclo del SGSDP se deben identiicar los riesgos relacionados a los datos personales, asi como al resto de activos que interactian directamente con ellos, y de ese modo determinar los controles de seguridad que pueden mitigar los incidentes. 3, ACCIONES A IMPLEMENTAR PARA LA SEGURIDAD DE LOS DATOS PERSONALES Las acciones minimas a realizar en el Sistema de Gestién de Seguridad de Datos Personales son las siguientes: PASO 1 Paso 2, PASO. PASO 4. PASO 5. PASO 6. Paso 7. FASE 1, PLANEAR EL SGSDP Alcance y Objetives. Consideraciones respecto al tratamiento de datos personales y el modelo de negocios de la organizacién Politica de Gestién de Datos Personales. E! compromiso formal documentado de la Alta Gorencia hacia el tratamiento adecuado de datos personales en la organizacién, Funciones y Obligaciones de Quienes Traten Datos Personales. Asignacién de responsabllidades para la implementacién del SGSOP. Inventario de Datos Personales. Identficacién de los tos de datos y su flujo. Analisis de Riesgo de los Datos Personales. ‘+ Factores para Determinar las Medidas de Seguridad. Conjunto de consideraciones que las, ‘organizaciones deven plantear como directrices para tratar el riesgo en funcién de sus alcances y objetivos. ‘+ Valoracién Respecto al Riesgo. Proceso de ponderacién para identiicar los escenarios de riesgo prioitarios y darles tratamiento proporcional Identificacion de las Medidas de Seguridad y Analisis de Brecha. Proceso de evaluacién de las medidas de seguridad que ya existen en la organizacién contra las que seria conveniente tener. Los controles de seguridad, sin que sean limitativos, deben ‘considerar os siguientes dominios: Pollticas del S6SDP Cumplimiento legal Estructura organizacional de la seguridad Clasificacion y acceso de los actives ‘Seguridad del personal Seguridad fisica y ambiental Gestion de comunicaciones y operaciones. Control de acceso Desarrollo y mantenimiento de sistemas ‘Vulneraciones de seguridad FASE 2, IMPLEMENTAR Y OPERAR EL SGSDP Implementacién de las Medidas de Seguridad Aplicables a los Datos Personales. ‘+ Cumplimiento Cotidiano de Medidas de Seguridad. Consideraciones para el trabajo cotidiano con datos personales, asi como el plan de tratamiento del riesgo de los activos relacionados a los mismos. sno21572018 OF - Diario Ofcial de la Federacion ‘= Plan de Trabajo para la Implementacién de las Medidas de Seguridad Faltantes. Proceso fen el que se decide y se implementa el tratamiento adecuado para un riesgo 0 grupo de riesgos respecto al contexto de la organizacion. FASE 3, MONITOREAR Y REVISAR EL SGSDP. PASO 8. Revisiones y Auditoria. Proceso de revisién del funcionamiento del SGSDP respecto a la politica establecida, cada vez que exista un cambio en el contexto del aleance y objetivos del SGSOP, Revisién de los Factores de Riesgo. Consideraciones para monitorear el estado del riesgo y ‘aplicar las modificaciones pertinentes para mejorar el SGSDP. ‘Auditoria. Reauerimientos para los procesos de auditoriainternalextema. Vulneraciones a de seguridad. ‘Seguridad de la Informacién. Consideraciones en caso de un incidente FASE 4, MEJORAR EL SGSDP. PASO 8. Mejora Continua y Capacitacién. Consideraciones para inclur la proteccién de datos en la cultura de la organizacién y mantener siempre actualizado el SGSDP. Mejora Continua. La aplicacién de medidas preventivas y correctivas sobre el SGSDP. * Capacitacién, Programas de mejora en la capacitacion al personel para mantener la vigencia del SGSOP, La siguiente imagen muestra gréficamente el ciclo de estas acciones: hitpnww.det gob mxinata_detalle_popup.php?codigo=5320179 eno21572018 OF - Diario Ofeial de la Federacion Cia os Para la implementacién de estas acciones y en general del Sistema de Gestién de Seguridad de Datos Personales, el IFAI recomienda Ia consulta de los siguientes esténdares intemacionales, en los que se basan las Recomendaciones: 3S 10012:2008, Data protectionSpecifcation for a personal information management system. SOIIEC 27001:2008, information TechnologySecurity techniquesinformation security management systems Requirements, SONIEC 27002:2008, Information TechnologySecurty techniquesCode of practice for securty management SO/IEC 27005:2008, Information TechnologySecurity techniquesinformation security risk management ‘SOIIEC 29100:2011, Information technologySecurty techniquesPrivacy framework ‘SO 31000:2009, Risk managementPrinciples and guidelines, 80 GUIDE 72, Guidelines for the justification and de. SO GUIDE 73, Risk managementVocabulery Jopment of management systems standards, ‘SO 9000:2005, Quality management systemsFundamentals and vocabulary. NIST SP 800-14, Generally Accepted Principles and Practices for Securing Information Technology Systems, htpnwww.dot gob mxinata_detale_popup php?eodigo=5320179 m021572018 DOF - Diario Ofc! de ls Federacion DECD Guidelines for the Security of Information Systems and NetworksTowards a Culure of Security: Por aitimo, a continuacién se ofrece un cuadro de andlisis que permite comparar cudles de estas acciones ayudan a cumplir con las obligaciones que establece el Capitulo Ill del Reglamento de la Ley: ‘Tabla Comparativa entre 6! Capitulo Ill del Reglament ito de la Ley y las Recomendaciones Capitulo De tas Medidas de Seguridad en Recomendacién que ayuda a cumplir con la disposicién ‘cance ‘Aficulo B7_ El responsable y, on su caso, ol encargado daberan establoces ‘mantener las medidas de seguridad administatvas, liens y, en su caso, técnieas para a proteccién de los daos personales, con aruglo alo dspuesto on la Ley yal preserte Capitulo, con independencia del sistema de tratamiento. Se entondera por ‘adidas de seguridad para ls efectos del presente Capo, el contol o grupo controles de seguridad para proteger los dats personales, Lo anterior sin periulio de fo estableciso por as alsposicones vigantes on materia ‘do Seguridad mitdas por las autordades compotentes al sector que corresponda, ‘ando éstae contemplen una prolaceln mayor para el ular que la depuesta eh Ia Ley ye presente Reglamento jacomendacién General jaso 1. Alanco y Objatvos. faso 2. Politica de Gestion de Datos Personales. “Rtenuaclén de Sanciones “Aicule 58. En Termine de lo dispuesto en el arioule 65, Faccin Il dela Loy ere los casos en que ocurra una vulneracin a la seguridad de lo datos personales, o! Inttuto poded tomar en consideracién ol cumplimionto de sus roeomendaciones para determinar la atonuacién de la sancién que corresponda, jecomendacién General Fanciones de seguridad ‘Aniculo 59. Para eslabiecer y mantener de manera efecva las medidas de seguridad, el responsable podré desarrliar las funciones de seguridad por si mismo, o ben, conratar @ una persona fisica © moral para tal fin aso 3. Funciones y Obigaciones de Quienes Traten Datos Personales. Asignacion de resporsabiidades para ia Implementacion del SGSOP, faso 7, Implementacién de las Medias de Seguridad Aplcables @ tos Datos Personales. CCumplimiento Coticiano de Madidas de Seguridad Factores para determinar las medidas de seguridad "Aficulo 60. £l responsable dotorminard las medidas de soguidad aploables a a datos personales que irate, consigeranco los siguientes factores: Fracelén |! lesgoinherente por tipo de dato personal ° Fraccién La sensibidad de lo datos personales tratados; Fraccién Il El desarala tecnolégico, y Fraceién IV Las posbles consecuencias de una vulneracién para os ttulares. De manera asicional, 61 responsable procuraré tomar en cuenta los siguientes menos |. El pdimoro de tare |. Las vulnerabildades previas ocutidas en los sistemas de tratamiento I, EI esgo por el valor potencial cuantiavo 0 cualtativo que puderan tener los datos ‘personales Watados para na lercera persona no auiorzada para si posesion,y jaso 5. Realzar ol Andlsis de Riosgo de los Datos Personales. Factores para Determinar las Medidas de Seguridad. ano21572018 DOF - Diario Ofeial de la Federacion “Aniculo 61, A fin do esiablocer y mantener Ta seguridad de Tos datos personales oh Fesporsable debera considerar las siguientes acciones: ;comendacién general Fraceion 1 tratamiento; laborer un inventario de datos personales y de los sistemas de faso 4, Elaborar un Inventario de Datos Personales Fracclén I Determinar ls funciones y obligadiones de las parsonas que Waten personales; aso 3. Establocer Funciones y Oblgaciones de Quienes Traten Datos Personales, Fraccién I Contar con un andls de reagas de datos personales que consis en Identifcarpeigros y estimar los resgos alos datos personales; Paso 5. Realzar el Anlisis de Riesgo de los Oatos Personales, Fraccién WV. Esiablecer las medidas de sogurdad apicables a los datos personales 6 idoniicar aquéias implementadas de manora ofecva aso 6, Wentficacion de las medidas de seguridad y Analisis e Brecha, Paso 7, Implementacisn de las Medidas de Seguridad Aplicabes alos Datos Personales, Fracclén V. Realiza’ ol andlss de brecha que consate ena diferencia de las medidas 4 seguridad existentes y aquélasfatantes que resuian necesatias para la proteccién {e los datos personales; faso 6. Wentiicacion de las medidas de seguridad y Andie ce Brecha, Fraceién Vi, Elaborar un plan de trabajo para ls mplementacion de las medidas ge seguridad faltantes, cerivadas del analisis de brecha, Paso 7. Implementacién de las Medidas de Seguridad ‘Aplicables alos Datos Personales. © | Plan do Trabajo para la Implementacin de las Madidas do Seguridad Faltantes. Fraceién Vil, Lievar a cabo revisonea 0 audioras, * Faso 8 Revisiones y Audtoria, Fraccién Vl. Gapadiar al personal que elect * Hse 9, Mejora Continua y Capactacin, © | Capacitacion Fraccién 0X Realzar un regis de los medios de aimacenamiento de los Gaps personales, Paso 5. Realzar ol Andlsls de Ricsgo do los Datos Persondies. El responsable deberd contar con une relacin de las medidas de seguridad Gorvades {de las fracciones anteriores jones a implementar para la seguridad de los datos personales documentadas. ‘Retuallzaciones de laa mac fas de seguridad ‘Seguridad, cuando ocurran los siguientes eventos |. Se modifiquen las medidas 0 procesos de seguridad para su mejora continue, ervado de [as rovsiones a fe poltea de seguridad del responsable, 1, Se produzcan modficaciones sustanciales en el tratamiento que deriven en un ‘ambi del nivel de riesgo I Se vulneren los sistemas de tratamiento, de conformidad con lo dispuesto en ol arfculo 20 dela Loy y 83 dol presente Reglamento, 0 IV, Exista una atectacin a los datos personales distnta alas anteriores, En al caso de datos personales sensibles, los responsables procuraran revsary, en su 260, acvalizar ls relaciones corespondientes una vez al fo. ‘Aficulo 62. Los responsables deboran aclualzar la rolacion de las medidas ded faso 8. Rovisiones y Audtora eno21572018 OF - Diario Ofcial de a Federacion Vulneraciones de segurld ‘Aficulo 63. Los wilneradones do seguridad de dalos personales ocurdas en cualeuir fase de tratamiento son: |. La pérdida 0 destruccién no autorzads: 1.1 robo, extravia © copia no autorzade; i IV. El dafo, la akeracién 6 modiicaclin no autorzada, Eluso, accoso o tratamiento ne atorzado, 0 Paso 6, Realzar el Andlse de Riesgo de los Datos Personaios. Wollicacion de valneraclones d sguridad “Aicuto 64, El responsable dobord informar al Wular Ws vulneraciones que afecten lee forma signficatva sus derechos palrimoriales © morales, en cuanto confrme que ‘cus la vuneracon y haya tomado las acciones encaminadas a detonar un proasso e revision exhaustiva de la magnitud de la afectacion, y sin dlaion alguna, a fin de (qe ls tilares afectados puedan tomar las medidas covrespondientes, jase 8, Mejora Continua y Capactacon, Vutneraciones a la Seguridad de ls Informacion Tnformacion minim titular en eas de vulneraciones de seguridad “Anicule 65, El responsable debord informar al lular al mena To Sigulente |. La naturaleza del incident: Los datos personales comprometios; IU Las recomendaciones al titular acerca de las macidas que éste pueda adoptar para proteger sus mtereses: Mu acciones correcivasrealizadas de forma inmediat y Los macios donde puede obloner mas informacién al ospacto, jaso 8, Mejora Continua y Capacitacén, Vutneraciones a la Seguridad do la informacion ‘adidas correctivas en caro de vulneraciones de seguridad ‘Ariculo 66. En caso de que ocura una wilieracion a los datos personales. «=H resporsable debera analizar las causas por las cuales se presento e implementar fas acciones correctvas, preventvas y de mejora para adecuar las medidas de segurdiad Correspordiantes, a afecto de avtar que la vulneracion se rept, fasa 9, Mejora Continua y Capacitacén, Mejora Conta, Asi lo acordé el Pleno del Instituto Federal de Acceso a la Informacién y Proteccién de Datos, en sesién celebrada el dia veinttrés del mes de octubre del afio dos mil trece, ante el Secrelario de Proteccion de Di Laveaga Rendén.- Ribrica.- Los Comisionados: Sigrid Arzt Colunga, Jacq Zermefio y Angel Trinidad Zaldivar.- Rubricas.- El Secretario de Proteccién de Jatos Personales.~ El Comisionado Presidente, Gerardo jueline Peschard Mariscal, Maria Elena PérezJaén Datos Personales, Alfonso Ofate Laborde. Rubrica (R.-378152) so10