Los artículos relacionados a este tema son, (artículos 36 al 40 de la LPSDPPSO CDMX y artículos 36 al 40 del Reglamento de la IECM).
Algunos factores que pueden resultar útiles para determinar si estamos ante un sistema de datos personales son la finalidad, los usos previstos, las personas de las que se obtendrán los datos, la descripción de éstos y el órgano responsable del sistema.
Así, estaremos en presencia de un sistema de datos personales cuando el conjunto de datos se obtiene de un colectivo de personas para el cumplimiento de una finalidad determinada. Esta finalidad, comúnmente, está estrechamente vinculada al ejercicio de competencias legales y al cumplimiento de funciones administrativas. Entonces, serán las funciones y atribuciones normativas las que determinan se recabe información personal de las personas titulares y será esa base de datos la que darán lugar a la identificación de un sistema de datos personales [10].
Por ello, la identificación de los sistemas de datos personales existentes en un ente determinado debe realizarse a partir de las competencias administrativas, atribuciones normativas o funciones, que justifican el desarrollo de una actividad y la existencia de procesos de gestión pública donde se manejan datos personales [11].
Un sistema de datos personales se identifica, entonces, por el propósito o finalidad con la que se tratan los datos de carácter personal contenidos en éste, sobre el cual deberán cumplirse las obligaciones contenidas en la Ley de Protección de Datos Personales y demás normativa aplicable, tales como su registro ante el INFO y la adopción de las medidas de seguridad que correspondan según la categoría de datos que los sistemas incluyan.
Un principio fundamental que se regula en este BLOQUE de estudio, es la obligación de cumplir con el denominado “deber de información” o “derecho de información al interesado”, el cual constituye el fundamento previo necesario para el correcto funcionamiento de un esquema jurídico de protección de datos, ya que sería difícil que se puedan ejercer derechos tales como el de acceso o de oposición al tratamiento de sus datos, si previamente no conocemos en qué sistema y bajo qué parámetros serán tratados nuestros datos.
Los sujetos obligados, como el Instituto, tienen el deber de informar a los interesados, al momento de recabar datos personales de éstos, de forma expresa, precisa e inequívoca lo siguiente (artículo 22 y 23 de la LPDPPSO CDMX).
Los responsables están obligados a adoptar medidas de seguridad tan sólo por el hecho de contar con sistemas de datos personales y realizar tratamientos de datos, tanto de particulares, como de servidores públicos.
Las medidas de seguridad nos garantizan la confidencialidad, integridad y disponibilidad de los datos personales como nos dice a continuación el (Artículo 24 de la LPDPPSO CDMX).
Ilustraremos la importancia de las medidas de seguridad con un ejemplo:
Imagina que una persona compra los datos de tu credencial del INE y los utiliza para obtener una credencial falsificada. Posteriormente, el sujeto intenta utilizar dicha credencial para cerrar tu cuenta bancaria y poder robar todos tus ahorros. La mayoría de los bancos gestionan esta operación únicamente en tu sucursal. Lo anterior, toda vez que en la sucursal está tu ejecutivo de cuenta, quien tiene acceso en su computadora a toda tu información escaneada. En muchos bancos incluso tienen la política de llamar al celular del usuario para confirmar la transacción. Permitir que cualquier sucursal pudiese realizar este trámite implicaría otorgar permisos a todas las sucursales para que puedan consultar tu información personal.
Limitar el acceso a la información es un tipo de medida de seguridad administrativas y se conoce como compartimentación. Pero no solamente en los bancos se utilizan estas medidas, en el IECM la información de los aspirantes a cargos temporales se resguarda y todos los resultados se reportan utilizando un folio de registro, de esta manera no se publican los nombres de los aspirantes ni otros datos personales.
Tales medidas van desde disposiciones, garantías y sanciones jurídicas, hasta de naturaleza técnica como respaldos, claves y contraseñas, uso de equipos de cómputo ad hoc, y reglas internas de designación de responsables y usuarios de las bases de datos, horarios de uso, entre muchas otras.
Las medidas de seguridad deberán ser acordes a diversos factores: la tecnología en que se encuentra la base de datos, el tipo de datos personales en posesión y los riesgos de exposición por agentes externos personales o físicos [12].
Las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales deberán estar documentadas y contenidas en un sistema de gestión denominado documento de seguridad.
Este instrumento debe generarse para todos los sistemas de datos personales que existan en los sujetos obligados, ya que es un aspecto de seguridad aplicable a todos los niveles y su contenido variará dependiendo del nivel de cada sistema, por lo que una cuestión fundamental es identificar el tipo de datos contenidos en ellos.
La responsabilidad de la elaboración del documento de seguridad recae en el responsable del sistema de datos personales y, como ya se ha mencionado, es posible la adopción de medidas adicionales a las establecidas en la Ley de Protección de Datos Personales, que pueden ser plasmadas en este documento.
Su actualización debe realizarse anualmente, o cada vez que se produzcan cambios relevantes en el tratamiento que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas.
Las características de los SDP pueden ser: conjunto de elementos, dinámicamente relacionados, formando una actividad, para alcanzar un objetivo, operados sobre datos, en función de proveer información que facilite las acciones de que lleva a cabo el IECM, en el ámbito de su competencia.
Al respecto, le corresponde al INFO la instrumentación de un Registro Electrónico de Sistemas de Datos Personales, el cual concentra las características de los sistemas datos personales de todos los sujetos obligados, señalando sólo la información que es pública y que establece el Artículo 38 de la Ley de Protección de Datos: El Instituto habilitará un registro de sistemas de datos personales, donde los sujetos obligados inscribirán los sistemas bajo su custodia y protección.
¿Quieres saber cuántos sistemas de Datos Personales existen en el instituto, visita el siguiente link:
[9]LPDPPSO, artículo 3.
[10]INFODF, (2009), Manual de Autoformación sobre la Ley de Protección de Datos Personales para el Distrito Federal.
[11]Troncoso A. (2009), La declaración de los ficheros de datos personales: acerca de un modelo centralizado o descentralizado, (en línea). Madrid: “Opinión de los expertos” Revista digital: Datospersonales.org.
[12]MONTEREY. E, 2011, Retos de la Protección de datos Personales en el Sector Público, La protección de los datos personales, pág. 206, INFODF.