Falta cultura de la protección de datos en México

Aunque desde enero del 2012 los mexicanos pueden ejercer, por derecho, el control de su información personal en manos de terceros, aún falta una cultura e interés por parte de los titulares para proteger sus datos que se suma a la lentitud en la aplicación de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

“El mexicano es de los menos preocupados por proteger los datos. Es un problema de cultura, de proceso de comunicación y de educación”, explicó en entrevista Eréndira Ramírez, editora general de IDC Asesor Jurídico y Fiscal.

“Es necesario capacitar, concientizar, empezando por el titular de los datos porque no somos conscientes del valor de la información personal”, agregó Isabel Davara, Socia del Despacho Davara Abogados, especialista en Derecho de las Tecnologías de la Información y de las Comunicaciones.

Con la mayor difusión de los casos de robo de identidad, fraudes electrónicos y la polémica que han generado sitios como Facebook en el manejo de la información de la identidad digital de los usuarios, Davara confía en que esto permitirá una mayor conciencia y avance en el manejo de los datos por parte del titular, y el ejercicio de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), contenidos en la legislación mexicana.

Y a la par, también deberán avanzar las capacidades del Instituto Federal de Acceso a la Información, autoridad encargada de ejecutar la normatividad de protección de datos personales, coincidieron las especialistas que estuvieron a cargo de la publicación de la guía “¿Y sus datos están Protegidos?”.

“Si todos ejerciéramos los derechos y denunciáramos a las empresas (que no cumplen con la normatividad), la autoridad se vería rebasada, pero creo que en el proceso, la autoridad va a tener que conciliar cómo va a ser más ágil sus procedimientos”, consideró Eréndira Ramírez.

La LFPDPPP entró en vigor el 6 de julio del 2010, donde se establecieron fechas para el cumplimiento de la normatividad. El 6 de enero del 2012 inició el ejercicio de los derechos ARCO y procedimientos para que los responsables de la información los garanticen a los titulares de los datos:

• Acceso: permite al ciudadano exigir al responsable de la información si sus datos están siendo utilizados, para qué fin y las personas que tienen acceso a su información.
• Rectificación: la corrección, modificación y cantidad de sus datos disponibles.
• Cancelación: la eliminación de la información de la base de datos.
• Oposición: el cese del tratamiento de la información por un administrador.

Esta legislación contempla que cada entidad que maneje información personal deberá contar con una ventanilla especial para atender las solicitudes relacionadas con los derechos ARCO, mimas que deberán responder en un plazo no mayor a 20 días, más 15 días para resolver la solicitud del titular.

PERSISTEN ATRASOS

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares llegó “un poco atrasada respecto a otros países, pero inició con el pie derecho”, consideró Eréndira Ramírez, de IDC Asesor Jurídico y Fiscal.

Observó que para aplicar esta normatividad, las empresas han tenido que invertir en análisis de procesos, investigación capacitación, adecuación de su logística interna, entre otras áreas, para identificar las áreas donde fluye la información de terceros y adecuar su manejo a la legislación. Pero el escenario de las pequeñas empresas es muy distinto:

“A las pequeñas empresas les preocupa esta normatividad pero no emprenden alguna acción. No saben por dónde iniciar y lo mucho lo ven como un costo adicional. No como una protección”, aseguró Ramírez.
Pero Isabel Davara, del despacho Davara Abogados”, resaltó: “cuando una empieza a adecuarse a la normativa, es una inversión para toda la vida de la empresa”.

LEGISLACIÓN SECTORIAL, LA SIGUIENTE FASE

Ambas especialistas ven que el futuro de la legislación para la protección de datos personales en la sectorialización, especialmente en educación, salud y telecomunicaciones, por lo que su aplicación requerirá la intervención de otras autoridades, además del IFAI.

Ejemplificaron que, en el caso de salud, la parte de historias clínicas tanto físicas como digitales, que afectan datos sensibles de las personas, requerirán regulaciones específicas.

También el caso de información de los alumnos y profesores que estén en posesión de las instituciones educativas; o para telecomunicaciones, una regulación concreta de los datos que tengan los proveedores de Servicios de Internet, así como recomendaciones de seguridad.

FUENTE:El Economista.com.mx

Michoacán, sin una ley estatal de protección de datos personales


En este momento no existe ninguna ley estatal que garantice seguridad a la ciudadanía con relación a sus datos personales, pues los michoacanos corren riesgo de que estos les sean robados.
El diputado César Morales Gaytán, entrevistado sobre la necesidad de una ley de protección de datos personales para Michoacán, consideró primordial proteger de la delincuencia organizada el domicilio y las cuentas bancarias, entre otros referentes.

Por su parte, Ricardo Villagómez Villafuerte, presidente consejero del Instituto para la Transparencia y Acceso a la Información Pública del Estado de Michoacán (Itaimich), explicó que aunque existe una ley que se publicó en el Diario Oficial de la Federación a mediados de 2010, solo ocho entidades de la República cuentan con una ley propia.

“Esa ley lo que establece es que todos los particulares tienen que estar obligados a proteger los datos de los ciudadanos, todas las empresas tienen que resguardar los datos que por alguna situación les fueron concedidos”.

El Congreso ya trabaja en la materia
La diputada Rosa María Molina Rojas aseguró que ya trabajan en el tema para evitar que se continúe utilizando los datos personales con fines distintos a los que fueron destinados.

Adelantó que a nivel estatal también se impondrán sanciones para los infractores en caso de que publiquen, transfieran, faciliten o permitan la obtención de datos personales sin contar con autorización previa.

“Ya estamos en reuniones, pero también queremos convocar a la sociedad civil para que participe y en este sentido nos exponga qué es lo que más les molesta y preocupa de que sus datos sean públicos”.

El tema preocupa a los empresarios
El sector empresarial también se dijo interesado por participar en la creación de dicha ley, para el resguardo de sus datos personales. El presidente de la Cámara Nacional de Comercio (Canaco) y Servicios Turísticos de Morelia (Servitur), José Maldonado López, dijo que es fundamental proteger la privacidad de las personas como un derecho humano y por seguridad.

“Puede llegar a casos de extorsión o de secuestro, porque a veces hasta se venden bases de datos de ciertos clientes y de ciertas empresas y pues eso sí nos afecta, eso es para cuestiones referentes a promociones de bancos o de tarjetas, pero si esos datos llegan a manos no adecuadas nos afectaría. No cualquier individuo debe tener nuestra información”.

Instituciones financieras, quienes más datos divulgan
Domingo Ruiz López, abogado fiscalista y especialista en la materia, dijo que los entes que más incurren en este tipo de acciones de transferencia de datos son las empresas dedicadas a los servicios financieros, como las tarjetas de crédito.

“Sí hay una atropello sistemático a la violación de datos personales, de pronto lo llama un promotor para vendernos una tarjeta de crédito, nos llama un domingo a las 7 de la mañana y nos preguntamos de dónde sacó el nombre y los teléfonos de las personas”.

FUENTE:Diario Provincia

Defensa informática
ISSA: Perú necesita un “cibercomando” contra ataques informáticos


Entrevista. Roberto Pullo Valladares, ingeniero en Computación y Sistemas, presidente de la Information Systems Security Association (ISSA) – Capítulo Peruano. Propone un mayor desarrollo en la defensa informática del país. Para él, los ciber activistas de Anonymous son un “quinto poder” necesario

¿En qué se sustenta la idea de que los peruanos tienen “escasa conciencia en términos de la protección y riesgos en materia de seguridad informática”, como dice su nota de prensa?

Perú es uno de los países que poco ha legislado en temas de seguridad de la información y seguridad informática y, sobretodo, en planeamiento de ciber defensa y ciber seguridad. No solamente hablamos de proteger una página web, sino estrategias de seguridad nacional.  Actualmente existen artículos como el 207 A, B y C del Código Penal, el proyecto de ley de ciber delitos, la Ley de Protección de Datos Personales, pero no existen lineamientos de ciber seguridad.

¿Significa esto que falta lo teórico?

Falta ver el tema de la defensa cibernética de manera estructurada a nivel del Gobierno, existen entidades gubernamentales como Ongei (…) en las Fuerzas Armadas existen profesionales muy preparados en temas de protección cibernética, lo que falta es el espacio para poder fusionar estas fuerzas, colocar elemento académico y privado y crear una estrategia nacional.

¿Y cómo se define la ciber guerra?

Normalmente clasificamos los ataques bélicos en aire mar y tierra, es el territorio físico, pero nos estamos olvidando del terreno cibernético; allí es donde los países que quieren atacar a otros utilizan este espacio (…) para obtener así beneficios diversos o solo para que el país objetivo se pueda paralizar u obtener información privilegiada.

¿Entonces los ataques a puntos vitales digitales definen la ciber guerra?

Principalmente (sí). Ya hubo situaciones como la del gusano Stuxnet que arrasó sobre los sistemas informáticos de empresas industriales.

¿Qué tanto dependen los servicios básicos peruanos, como el agua y electricidad, de las redes, en caso de ser atacados en una ciber guerra?

Estos sistemas tienen un software que los monitoriza, y están programados en un lenguaje determinado (…) Este lenguaje de programación si es vulnerado podría colapsar: o no distribuir energía o distribuirla mal o paralizarla y no activarse, etc.

¿Han ocurrido ataques de ese tipo en Latinoamérica?

Registrados, no.

¿Qué tan actualizados están los programas que controlan estas plantas?

En lo que es software normalmente no hay conciencia ni criterio o experiencia en el común de profesionales de tecnología de información (TI) respecto a estos temas.

¿Entonces no están actualizados?

Pueden estar programados (los sistemas), pero que exista personal profesional que los proteja con códigos seguros o que esos sistemas de control sean protegidos, sí hay una gran brecha.

¿Es suficiente el conocimiento que se imparte de ciber defensa en Perú?

Hay muchas brechas. Existen algunas carreras en las universidades, es un curso por allí de seguridad informática pero todavía no hay ese impulso que debería haber de adiestrar a los profesionales de TI en el desarrollo seguro.

¿Dónde termina un hackeó y dónde empieza la ciber guerra?

Paralizar una página web con una denegación de servicio (DDOS) por un tema de protesta es distinto a invertir dinero para crear software malicioso exclusivamente para atacar la infraestructura crítica de un Estado…

¿Los objetivos del atacante determinan si hay o no una ciber guerra?

Exactamente.

Hay una frase muy conocida que dice “la mejor defensa es un buen ataque” ¿qué necesita este país para hacer un ataque cibernético?

Para empezar: lineamientos, estrategia y crear –que es la propuesta de ISSA Perú- un ciber comando, y no solamente hablamos de militares metidos en defensa cibernética, sino de juntar a todos los muy buenos profesionales peruanos que tenemos aquí relacionados a la seguridad de la información, reclutarlos, efectuarles una buena propuesta económica (…) y unir este ciber comando ante una posible amenaza.

¿Sería tanto para defender sitios del Estado como atacar, cierto?

Se pueden hacer miles de cosas, pero si no los tenemos reunidos, no los tenemos en constante capacitación y entrenamiento (no se podrá).

Anonymous mencionó que si este país busca asesoramiento en ciber guerra es perder el tiempo ¿Qué opina de esto?

La verdad es que nada es seguro, pero no tener nada es peor. Ahora, sobre el actuar de Anonymous y del grupo de activistas mi comentario es que todo organismo necesita elementos de desfogue, elementos de protección. Para mí (Anonymous) es un quinto poder que tiene que estar allí. Pero de protestar contra la ley SOPA a pasar al hecho delictivo, atacar una nación, es diferente.

Este año Anonymous filtró documentos del ministerio de Relaciones Exteriores, es más, también difundió correos electrónicos de la Divindat. ¿Qué nos dice el hecho de ver la Policía Informática pasar por esto?

Para que el Perú pueda tener una buena base de protección, requiere inversión. Requiere que los entes protectores tengan dinero para educarse y tener herramientas. Se requiere de una constante capacitación y estrategias. Ahora bien, que se expongan datos de páginas web del Estado yo analizaría bien el asunto y preguntaría de quién es la culpa. ¿Del analista, del ingeniero, del experto en seguridad informática que ve una libertad expuesta en internet y simplemente ingresa o la responsabilidad de quien no protegió adecuadamente la página?

¿Y para usted de quién es la culpa?

Es una gran pregunta que la dejo a los lectores.

Hay webs con la etiqueta de Anonymous que promueven ataques DDOS (para sobrecargar páginas) entre sus seguidores, para quienes no es difícil hacer caso. ¿Qué se puede hacer cuando los gobiernos son atacados por sus propios ciudadanos?

El Gobierno y entidades públicas y privadas deben estar preparados para soportar cualquier embestida…

Pero si hablamos de embestidas de 500 computadoras o 100…

Hay temas que no vamos a poder solucionarlos de la noche a la mañana…

¿Pero es posible frenar estos ataques?

Hay herramientas y, principalmente, estrategias para sortear el tema, pasa también por un asunto de codificación de sitios web. Son dos asuntos que van de la mano, pero nada es infalible.

¿En líneas generales qué proponen para fortalecer la defensa informática del Estado?

Establecer una estrategia relacionada a la ciber guerra donde se deben tener vínculos entre centros de estudios, Gobierno y militares.

¿Si este país es tan vulnerable en el sentido  digital, no sería mejor revalorar el papel como soporte de información?

El tema de tener información en papel, con todo lo que se viene, está tendiendo a desaparecer. Estaríamos aislados del mundo. No usar el papel reduce brechas, actos de corrupción, porque el papel que tú podías falsificar  es electrónico. ¿Nosotros vamos a quitar esos avances? Creo que no. Debiéramos reforzar los elementos para proteger la parte electrónica.

Dato:

El jueves 12 de abril ISSA Perú llevará a cabo el congreso "Cybersecurity Government", evento que mostrará los riesgos, vulnerabilidades, retos, amenazas, avances sobre defensa tecnológica en materia de la seguridad informática. Más información en issaperu.org

FUENTE:LaRepública.pe

Reglamento de Protección de Datos Personales: Que no hay que hacer

La semana pasada hubo una reunión en la SNI (Sociedad Nacional de Industrias) para discutir sobre el reglamento de la ley de "Protección de Datos Personales". Erick Iriarte, Coordinador del Grupo de Aspectos Legales del Comite de TICs de la SNI, nos facilitó siete puntos que han determinado. Asimismo, invita al público a enviar sus ideas y comentarios para mejorar el reglamento hasta el día 12 de abril.


Que no hay que hacer (con el reglamento)
vía Erick Iriarte (@coyotegris)


Está próximo a publicarse el borrador o reglamento de la ley de Protección de Datos Personales, ley que estaba inspirada en un equilibrio entre un modelo reglamentarista y un modelo abierto que respete al usuario y que brinde la posibilidad de seguir creciendo económicamente, facilitando el desarrollo a una industria que vele por la privacidad de los usuarios. En este contexto escribo las siguientes líneas de lo que "No se debe hacer" con el reglamento:


A) No debe afectar la competitividad del país. La Meta 45 de la Agenda de Competitividad dice: "Permitir que los datos de registro de personas y empresas sean de acceso abierto para todo el sector público", siendo con ello necesario para el desarrollo de las actividades de todos los sectores, se debe establecer claramente los parámetros de "bases de acceso público".


B) No debe impedir la innovación y el desarrollo de la industria en todas sus vertientes. Es decir, antes que normas restrictivas y taxativas se debe dar fuerza a la innovación en la gestión de datos, permitiendo el crecimiento de servicios que le sean útiles al ciudadano, respetando su privacidad pero basados en la libertad contractual de los individuos.


C) No debe buscar un reglamentarismo exagerado que termine afectando actividades vigentes. Se debe respetar el principio de especialidad y sectorialización, respetando la ley de protección de datos, pero reconociendo las peculiaridades de los diversos sectores.


D) No debe crear elementos contrarios a la libertad de los individuos. Siendo entonces que el individuo debe estar informado de sus derechos y sus deberes en relación a sus datos personales, pero también generarle opciones para que vía contractual pueda compartir libremente su información.


E) No debe impedir el uso de medios electrónicos para manifestar la voluntad. El reconocimiento explícito del articulo 141A del Código Civil debe ser norte del Reglamento, de esta manera se facilitara mucho de los servicios que brinda el sector público y privado.


F) No debe ir contra la corriente en la apertura de "open data" para la transparencia. La lucha contra la corrupción y el acceso a la información pública son el otro lado de la moneda de la protección de datos personales, no son una confrontación sino que debemos velar que no se abuse de la protección de datos personales para impedir una lucha contra la corrupción y sobre todo se impida un adecuado "control y veeduría ciudadana" sobre los actos gubernamentales.


G) No debe olvidar que estamos insertos en APEC. Y con ello debemos crear una reglamentación abierta y pensando en los acuerdos que ya hemos firmado y estamos firmando, que nos piden normativa sobre Protección de Datos en el Marco del Privacy Framework de APEC.


La Ley de Protección de Datos Personales y su reglamentación es una oportunidad para demostrar que el Perú es punto de encuentro en la Cuenca del Pacífico con Europa, un modelo a seguir en la región para su equilibrio y sobre todo un instrumento para continuar con el desarrollo humano de todos y todas. ¿Será entonces que el Reglamento reflejará esta importante misión que tiene?

FUENTE:Perú21