Lic. Rosalba Bucio, colaboradora del despacho jurídico CYM al servicio de las empresas del grupo financiero Aserta
“El concepto más importante en el uso de las páginas web y los datos personales, es que hay dos formas en que se captan a través de las páginas web: uno es una forma evidente y abierta. Por ejemplo, cuando se despliega un cuestionario para que sea llenado con los datos; la otra, es silenciosa, en la que, no se tenía conocimiento hasta que entró en vigor la Ley Federal para la Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).”
“Existen las cookies, que son archivos de texto descargados automáticamente y almacenados en el disco duro y que permiten recordar al servidor de Internet algunos datos sobre este usuario, y los web beacons, imágenes insertadas en una página de Internet o correo electrónico que pueden ser utilizadas para monitorear el comportamiento de un visitante o almacenar información sobre su IP, ambos conceptos tecnológicos de difícil asimilación, pero de una presencia real. Ellos conservan la información de la navegación en las páginas que las contienen, facilitándoles conocer quiénes somos, qué hacemos, qué buscamos en la página, etc.”.
En ese entendido, lo que se debe buscar es navegar por Internet en forma segura, para lo cual debe asegurarse que la información que se provea para tal efecto será tratada con integridad, disponibilidad y confidencialidad; estos tres conceptos son el triángulo de la seguridad de la información.
Por otro lado, también es necesario revisar nuestra operación para detectar cuáles son los riesgos que tenemos, y consecuentemente, decidir qué hacer con ellos, cómo mitigarlos y si es pertinente asumirlos o transferirlos a un tercero; en este supuesto se compra un seguro de datos personales.
Para efectos del seguro, “hay que revisar muy bien las condiciones, ya que si no proviene la información de una fuente lícita, es decir, que cumpla con todos los principios de la LFPDPPP, no se obtendrá el pago en caso de un siniestro”.
En la normativa internacional se tienen dos estándares, uno es la ISO 27000, de tratamiento de información y datos personales, y la otra es la ISO 27018 sobre el manejo de cómputo en la nube, que a pesar de ser reciente, ya es manejada por grandes empresas.
En el intercambio de información en Internet, es menester considerar todas las situaciones en las que se realiza indebidamente, porque la mayoría de veces se debe a la ignorancia.
Debe procurarse verificar el nombre de dominio, pues este nos “da la certeza de quién es ese sitio web: quién está detrás de esa página. Cuando no se tiene un nombre de dominio, es muy fácil que alguien suplante a esa persona”.
Otro aspecto a mencionar es que “los datos nunca duermen; la información que está en línea, la que subimos en redes sociales, con la que realizamos compras. Es por ello que debemos cuidar con quien la compartimos. Todo lo que se sube a la red es una amenaza, y ejemplo de ello es el malware, phishing, el spearphishing y la ingeniería social”.
“Se han preguntado, ¿cuántas veces al día transfieren datos personales? La mayoría de las veces, el problema está en que se mezcla lo personal con lo profesional”.
Una recomendación para la elección de contraseñas es nunca utilizar números consecutivos, nombres propios, números telefónicos, fechas especiales, letras consecutivas en el teclado o palabras del diccionario.
“Por otro lado, es imperiosa la elaboración de políticas. Aun cuando no existe una disposición específica, es recomendable realizarlas, aun cuando no existe en el mercado una lista”.
En conclusión, es posible hacer las siguientes recomendaciones finales:
- detectar riesgos
- tener asesoría técnica para la gestión segura de la información
- contar con un plan de defensa que todos conozcan; hay que publicarlos, examinar y capacitar al personal
- buscar los avisos de privacidad y los legales
- solicitar la información estrictamente necesaria
- consultar a expertos
- si se cuenta con cookies, es menester avisarlo al usuario antes de que este navegue
- comunicar las prácticas de la privacidad a todos los empleados de la compañía, y
- reforzar los accesos a Internet o a cualquier equipo que se utilice
