Sistema de Gestión de Seguridad de Datos Personales

Sector Público
Duración del curso: Tipo de curso: Público objetivo:
7 horas Autogestivo Servidores públicos
e integrantes de los
sujetos obligados

Presentación
Una de las principales actividades para la efectiva protección de los datos
personales en el sector público, es la implementación de un Sistema de Gestión
de Seguridad de Datos Personales (SGSDP), (artículo 34 de la Ley General), que
permita planificar, implementar, monitorear y mejorar las medidas de seguridad de
carácter administrativo, físico y técnico, a través de una serie de actividades
interrelacionadas y documentadas.
Así el responsable del tratamiento de datos personales podrá identificar las
medidas de seguridad que son necesarias o susceptibles de modificarse en el
caso particular de su institución. Esto con la confianza de que está trabajando sobre
una guía que fue elaborada tomando como referencia los más altos estándares de
calidad, nacionales e internacionales, en materia de protección de datos personales
y seguridad, para mayor referencia se enlistan los siguientes:
• BS 10012:2009 Data protection – Specification for a personal information
management system
• ISO/IEC 27001:2013, Information technology – Security techniques –
Information security management systems – Requirements
 • ISO/IEC 27002:2013, Information technology – Security techniques – Code
of practice for information security controls
• ISO/IEC 27005:2008, Information Technology – Security techniques –
Information security risk management
• ISO/IEC 29100:2011 Information technology – Security techniques –
Privacy framework
• ISO 31000:2009, Risk management – Principles and guidelines
• ISO GUIDE 72, Guidelines for the justification and development of
management systems standards
• ISO GUIDE 73, Risk management – Vocabulary ISO GUIDE 73, Risk
management – Vocabulary
• ISO 9000:2005, Quality management systems – Fundamentals and
vocabulary
• NIST SP 800-14 Generally Accepted Principles and Practices for Securing
Information Technology Systems
• OECD Guidelines for the Security of Information Systems and Networks –
Towards a Culture of Security
En ese contexto, con objeto de facilitar la elaboración de un sistema de gestión de
protección de datos personales en el sector público, el INAI ofrece, a través del
presente curso, un ejercicio de concreción, síntesis y armonización de referencias
nacionales e internacionales que lleva de la mano al responsable, en el
cumplimiento del deber de seguridad.
Los responsables, encargados y cualquier persona interesada en el tratamiento de
los datos personales, encontrará en esta guía los pasos claves para llevar a cabo la
implementación de un SGSDP.

Objetivo General
Proporcionar a los responsables del tratamiento de datos personales del sector
público, los conceptos básicos, e identificación de acciones de realización inmediata
para la implementación de un Sistema de Gestión de Seguridad de Datos
Personales. Este curso, pretende ser una de las herramientas que los responsables
del tratamiento de datos personales puedan utilizar para conocer sobre los aspectos
fundamentales en la implementación de un sistema de gestión previsto en el artículo
34, de la Ley General de Protección de Datos Personales en Posesión de Sujetos
Obligados. A través de la revisión de conceptos, definiciones básicas, y sus fases;
con la finalidad de que se identifique que, mediante un proceso de mejora continua,
es factible cumplir con los deberes de seguridad y confidencialidad que exige la
norma en el tratamiento de la información personal, incorporando las políticas,
procedimientos y medidas de seguridad con las que cuenta actualmente el
responsable.
Módulos del curso

Módulo 1. Aspectos Generales Módulo 2. Acciones para la

del Sistema de Gestión de seguridad de los datos
Seguridad de Datos Personales personales

Módulo 3. Implementación del Módulo 4.

SGSDP. Caso de Estudio Anexos
 Sistema de Gestión de Seguridad de Datos Personales Sector Público

Módulo 1. Aspectos Generales del Sistema de Gestión de

Seguridad de Datos Personales

Tema 1. ¿Qué es un Sistema de Gestión?

La gestión es un conjunto de actividades coordinadas para dirigir y controlar un

proceso o tarea. Un sistema es un conjunto de elementos mutuamente relacionados
o que interactúan por un fin u objetivo. Por lo tanto, un Sistema de Gestión (SG) se
define como un conjunto de elementos y actividades interrelacionadas para
establecer metas y los medios de acción para alcanzarlas.

Asimismo, un sistema de gestión apoya a las instituciones en la dirección, operación

y control de forma sistemática y transparente de sus procesos, a fin de lograr con
éxito sus actividades, ya que está diseñado para mejorar continuamente el
desempeño de la Institución, mediante la consideración de las necesidades de todas
las partes interesadas.

Es importante tomar en cuenta que el responsable, tiene que definir y gestionar

numerosas actividades para funcionar con eficiencia. Estas actividades se
convierten en procesos que tienen la característica de recibir elementos de entrada
(datos personales), los cuales se gestionan para regresar al final de su ciclo, como
elementos de salida (resultados).

Por ejemplo, un proceso de Auditoría puede recibir como elementos de entrada

objetivo, alcance y plan de auditoría, así como el informe de resultados de la
auditoría anterior, y como elemento de salida un nuevo informe de auditoría. A
menudo, la salida de un proceso se convierte directamente en la entrada del
proceso siguiente, y la interconexión entre procesos genera sistemas que se
retroalimentan para mejorar.

En este sentido, el sistema de gestión se basa en el modelo denominado “Planificar-

Hacer-Verificar-Actuar” (PHVA), a través del cual se dirigen y controlan los
procedimientos o tareas, como se puede ver en la Tabla 1. Sistema de Gestión y en
la Figura 1. Ciclo General del Sistema de Gestión de Seguridad de Datos
Personales:

Tabla 1. Sistema de Gestión

Elemento del SG Fase del PHVA Actividades

Metas Planificar Se identifican políticas,
objetivos, riesgos, planes,
procesos y procedimientos
necesarios para obtener el
resultado esperado por la
Institución (meta).
Medios de acción Hacer Se implementan y operan las
políticas, objetivos, planes,
procesos y procedimientos
establecidos en la fase
anterior.
Verificar Se evalúan y miden los
resultados de las políticas,
objetivos, planes, procesos y
procedimientos
implementados, a fin de
verificar que se haya logrado
la mejora esperada.
Actuar Se adoptan medidas
correctivas y preventivas, en
función de los resultados y de
la revisión, o de otras
informaciones relevantes,
para lograr la mejora
continua.

Figura 1. Ciclo General del Sistema de Gestión de Seguridad de Datos Personales

Tema 2. Introducción al Sistema de Gestión de
Seguridad de Datos Personales

En particular, el SGSDP tiene como objetivo proveer un marco de trabajo para el

tratamiento de datos personales que permita mantener vigente y mejorar la
protección de datos personales para el cumplimiento de la legislación y fomentar las
buenas prácticas.

Las fases del ciclo PHVA considera diferentes pasos y objetivos específicos para el
SGSDP, que pueden observarse en la siguiente tabla:

Tabla 2. Objetivos del SGSDP dentro de las fases del ciclo PHVA

Fases Pasos Objetivos Específicos

Planificar Planear el SGSDP 1. Alcance y objetivos Definir los objetivos,
2. Política de gestión de políticas, procesos y
datos personales procedimientos relevantes
3. Funciones y obligaciones del SGSDP para gestionar
de quienes traten datos los riesgos de los datos
personales personales, con el fin de
4. Inventario de datos cumplir con la legislación
personales sobre protección de datos
5. Análisis de riesgos de los y obtener resultados
datos personales acordes con las políticas y
6. Identificación de las objetivos generales de la
medidas de seguridad y Institución.
análisis de brecha
Hacer Implementar y operar 7. Implementación de las Implementar y operar las
el SGSDP medidas de seguridad políticas, objetivos,
aplicables a los datos procesos y procedimientos
personales del SGSDP, así como sus
controles o mecanismos
con indicadores de
medición.
Verificar Monitorear y revisar el 8. Revisiones y auditoría Evaluar y medir el
SGSDP cumplimiento del proceso
de acuerdo con la
legislación de protección
de datos personales, la
política, los objetivos y la
experiencia práctica del
 SGSDP, e informar los
resultados del Comité de
Transparencia para su
revisión.
Actuar Mejorar el SGSDP 9. Mejora continua y Para lograr la mejora
Capacitación continua se deben adoptar
medidas correctivas y
preventivas, en función de
los resultados obtenidos de
la revisión por parte del
Comité de Transparencia,
las auditorías al SGSDP y de
la comparación con otras
fuentes de información
relevantes, como
actualizaciones
regulatorias, riesgos e
impactos organizacionales,
entre otros.
Adicionalmente, se debe
considerar la capacitación
del personal.

Todos los responsables poseen de manera consciente o no, de manera

documentada o no, uno o más procesos que involucran el tratamiento de datos
personales; estos procesos deben ser identificados y controlados a partir de que la
información es recolectada y hasta que se bloquea, se borra o se destruye.

Más aún, en el marco de la Ley General y sus Lineamientos, los datos personales
son el principal activo de información. En consecuencia, a través del artículo 33 de
la LGPDPPSO se puede vislumbrar que una de las primeras acciones para llevar a
cabo su protección es tener bien identificado, definido y documentado el flujo de los
datos personales que se traten a través de diferentes procesos de la Institución.

Asimismo, durante el ciclo (PHVA) del Sistema de Gestión de Seguridad de Datos

Personales, se deben identificar los riesgos relacionados a los datos personales,
así como al resto de activos (información, el personal, hardware, software o recurso
involucrado en el tratamiento de los datos personales) que interactúan directamente
con ellos, y de ese modo determinar los controles de seguridad que pueden mitigar
los incidentes.

En el siguiente módulo, se detallarán las acciones que se recomiendan llevar a cabo

para la seguridad de los datos personales, basadas en el ciclo PHVA, considerando
que cada uno de los pasos del SGSDP debe mantener un adecuado registro
documental.
Tema 3. Síntesis de la implementación de un
SGSDP

A continuación, se presenta una síntesis de los pasos del proceso de

implementación de un SGSDP, para que los responsables la usen como una
referencia rápida.
1. Presentación. Alcances y objetivos del curso.
2. Sistema de Gestión de Seguridad de Datos Personales –SGSDP. Descripción
del Sistema de Gestión y su relación con la Seguridad de los Datos Personales.
2.1 ¿Qué es un Sistema de Gestión?
2.2 Introducción al SGSDP
2.3 Acciones para la Seguridad de los Datos Personales. En esta sección se
definen los pasos para la planeación, implementación, vigilancia y mejora de un
SGSDP.
Fase 1. Planear el SGSDP
Paso 1. Alcance y Objetivos.

Se debe definir el alcance y establecer los objetivos del sistema de gestión al interior
del responsable. Es decir, a partir del contexto general de la información y los
procesos de la Institución, se debe delimitar el ámbito de aplicación que involucra el
tratamiento relacionado con el flujo de los datos personales.
Paso 2. Política de Gestión de Datos Personales.

La coordinación, supervisión y ejecución de las acciones necesarias por parte el

Comité de Transparencia, para garantizar el derecho a la protección de los datos
personales en la organización del responsable.

Paso 3. Funciones y Obligaciones de Quienes Traten Datos Personales.

Asignación de responsabilidades para establecer, implementar, operar y mantener

el SGSDP.

Paso 4. Inventario de Datos Personales.

Se debe establecer y mantener actualizado un inventario que describa los tipos de

datos que se tratan y su flujo.

Paso 5. Análisis de Riesgo de los Datos Personales.

Se debe identificar el daño que cause mayor impacto sobre los datos personales
que se tratan a fin de identificar los controles más relevantes e inmediatos a
implementar, para lo que se debe considerar:

• Factores para determinar las medidas de seguridad. Conjunto de

consideraciones que las Instituciones deben plantear como directrices
para tratar el riesgo en función de sus alcances y objetivos.
• Valoración respecto al riesgo. Proceso de ponderación para identificar
los escenarios de riesgo prioritarios y darles tratamiento proporcional, se
compone de los siguientes pasos:
• Identificar Activos
• Identificar Amenazas
• Identificar Vulnerabilidades
• Identificar Escenarios de Vulneración y Consecuencias

Paso 6. Identificación de las Medidas de Seguridad y Análisis de Brecha.

Proceso de evaluación de las medidas de seguridad que ya existen en la Institución

del responsable contra las que sería conveniente tener. Los controles de seguridad,
sin que sean limitativos, deben considerar los siguientes dominios:

• Políticas del SGSDP

• Cumplimiento legal
• Estructura organizacional de la seguridad
 • Clasificación y acceso de los activos/datos personales
• Seguridad del personal
• Seguridad física y ambiental
• Gestión de comunicaciones y operaciones
• Control de acceso
• Desarrollo y mantenimiento de sistemas
• Vulneraciones de seguridad

Fase 2. Implementar y Operar el SGSDP

Paso 7. Implementación de las Medidas de Seguridad Aplicables a los Datos
Personales.
En este paso se deberán implementar las medidas de seguridad que hayan
resultado aplicables según el análisis de riesgos realizado en la fase de planeación.
Por lo que deberá revisar:

• Cumplimiento cotidiano de medidas de seguridad. Consideraciones

para el trabajo cotidiano con datos personales, así como el plan de
tratamiento del riesgo de los activos relacionados a los mismos.
• Plan de trabajo para la implementación de las medidas de seguridad
faltantes. Proceso en el que se decide y se implementa el tratamiento
adecuado para un riesgo o grupo de riesgos respecto al contexto de la
del sujeto obligado, dicho tratamiento considera:
o Opciones de Tratamiento de Riesgo
▪ Reducir el Riesgo
▪ Retener el Riesgo
▪ Evitar el Riesgo
▪ Compartir el Riesgo
o Aceptación del Riesgo Residual
o Comunicación del Riesgo

Fase 3. Monitorear y Revisar el SGSDP

Paso 8. Revisiones y Auditoría. Proceso en el que se evalúan y miden los
resultados de las políticas, planes, procesos y procedimientos implementados, a fin
de verificar que se haya logrado la mejora esperada. Revisión de los factores de
riesgo. Consideraciones para monitorear el estado del riesgo y aplicar las
modificaciones pertinentes para mejorar el SGSDP.

• Auditoría. Requerimientos para los procesos de auditoría

interna/externa.
• Vulneraciones a la Seguridad de la Información. Consideraciones en
caso de un incidente de seguridad como la identificación, notificación y
remediación. SGSDP.
Fase 4. Mejorar el SGSDP
Paso 9. Mejora Continua y Capacitación. En este paso se adoptan las medidas
correctivas y preventivas en función de los resultados de las revisiones o
verificaciones efectuadas, o de otras informaciones relevantes, para lograr la mejora
continua.

• Mejora Continua. La aplicación de medidas preventivas y correctivas

sobre el SGSDP.
• Capacitación. Programas de mejora en el personal para mantener la
vigencia del SGSDP
 Repaso

Para ayudarle a reafirmar sus conocimientos de lo revisado en este módulo,

resuelva el siguiente ejercicio de autoevaluación.

Pregunta. ¿Qué es un Sistema de Gestión (SG)?

Es cualquier acción de acceso, manejo, aprovechamiento, transferencia o
disposición de datos personales.

Es un conjunto de elementos mutuamente relacionados o que interactúan por

un fin u objetivo

Es un conjunto de actividades coordinadas para dirigir y controlar un proceso o

tarea

Es un conjunto de elementos y actividades interrelacionadas para establecer

metas y los medios de acción para alcanzarlas

Pregunta. ¿Qué le corresponde a un responsable y/o

sujeto obligado en un Sistema de Gestión?
Apoyar a la mejora continua de la institución

Definir los elementos y actividades interrelacionadas para establecer metas

Coordinarse para dirigir y controlar proceso o tarea

Definir y gestionar numerosas actividades para funcionar con eficiencia

recibiendo elementos de entrada (datos personales), y gestionado como
elementos de salida (resultados)
Pregunta. ¿En qué modelo se basa el Sistema de
Gestión?
Ciclo General del Sistema de Gestión de Seguridad de Datos Personales

Sistema de control de procedimientos o tareas

MM o Medios y Metas

PHVA que significa Planificar-Hacer-Verificar-Actuar

Pregunta. ¿Cuál es el orden correcto de las fases del

ciclo PHVA?
1. Actuar 2. Planificar 3. Hacer 4. Verificar

1. Planificar 2. Actuar 3. Hacer 4. Verificar

1. Planificar 2. Verificar 3. Hacer 4. Actuar

1. Planificar 2. Hacer 3. Verificar 4. Actuar

Pregunta. ¿Qué debe hacerse en los procesos que

involucren el tratamiento de datos personales?
Tener bien identificado, definido y documentado el flujo de los datos personales
que se traten

Definir los objetivos, políticas, procesos y procedimientos relevantes del

Sistema de Gestión

Mantener vigente y mejorar la protección de datos personales

Deben ser identificados y controlados a partir de que la información es

recolectada y hasta que se bloquea, se borra o se destruye
 Sistema de Gestión de Seguridad de Datos Personales Sector Público

Módulo 2. Acciones para la Seguridad de los Datos

Personales
Introducción

Tema 1. Fases y pasos del SGSDP

Fase 1. Planear el SGSDP

Como se señaló anteriormente, en la fase de planeación del Sistema de Gestión,

se requiere establecer los objetivos y procesos necesarios para la protección y
seguridad de los datos personales. Para ello, es necesario realizar, al menos, las
siguientes acciones, que se detallarán a continuación:

1. Establecer el alcance y los objetivos de la gestión de los datos

personales;
2. Elaborar una política de gestión de datos personales;
3. Establecer las funciones y obligaciones de quienes traten los datos
personales;
4. Elaborar un inventario de datos personales;
5. Analizar los riesgos a los que están sujetos los datos personales, y
6. Identificar las medidas de seguridad y realizar el análisis de brecha.
Paso 1. Establecer el Alcance y los Objetivos

El responsable debe definir el alcance y establecer los objetivos del sistema de

gestión. Es decir, a partir de los datos personales que obtienen y los procesos que
posee el responsable, se debe delimitar el ámbito de aplicación que involucra el
tratamiento relacionado con el flujo de los datos personales, considerando:

a) De dónde se obtienen los datos personales (directamente del titular, a

través de una transferencia o fuente de acceso público, entre otros);

b) Las funciones y obligaciones de las personas que traten datos personales;

c) Las finalidades del tratamiento;

d) Con quién se comparten los datos personales (encargados o

transferencias) y para qué se comparten;

e) En dónde y cómo se almacenan los datos personales;

f) Los procedimientos, mecanismos y tecnología utilizados para el

tratamiento;

g) Cuánto tiempo se conservan los datos personales, y

h) Los procedimientos para su destrucción.

Así como, los estatutos aplicables, regulatorios y contractuales; las

obligaciones organizacionales, las necesidades de las partes interesadas y
el nivel de aceptación del riesgo, en caso de que exista para la Institución.

Por otra parte, el responsable deberá considerar entre los objetivos del
SGSDP aquéllos que permitan el tratamiento legítimo, controlado e
informado de los datos personales, a efecto de garantizar la privacidad y el
derecho a la autodeterminación informativa de las personas (derecho que
tienen los individuos de decidir a quién y para qué proporcionan su
información personal). Los objetivos deben ser expresados generalmente
como metas medibles. Por ejemplo, reducir el número de vulneraciones a los
datos personales.

Para determinar el objetivo del SGSDP, se sugiere al responsable tomar en

cuenta los siguientes factores:
Factores contractuales: Estas obligaciones surgen de los acuerdos existentes
entre los diferentes actores del tratamiento de datos personales y sus interacciones,
en función del flujo de la información.

Los roles y responsabilidades específicas de los involucrados internos y

externos dentro de su organización, relacionadas con los tratamientos de
datos personales que se efectúen, es decir nombre y cargo de los servidores
públicos que participan en las líneas de responsabilidad.

Como puede observarse en la Tabla 3, donde DP representa Datos Personales,

cada escenario de flujo de información tiene diferentes implicaciones contractuales
y legales:

a) El Titular entrega DP al Responsable. Por ejemplo, cuando una persona se

registra para recibir un servicio.

b) El Responsable entrega DP al Encargado. Por ejemplo, cuando el

Encargado realiza un tratamiento de DP como parte de un contrato de
servicio.

c) El Titular entrega DP al Encargado. Por ejemplo, en una entrevista de

trabajo.

d) El Titular recibe DP a través del ejercicio de sus derechos ARCO

directamente con el Responsable.

e) El Titular recibe DP a través del ejercicio de derechos ARCO por medio

del Encargado que actúa en representación del .

f) El Encargado entrega DP al Responsable. Por ejemplo, por terminación

de contrato de servicios y migración de datos personales con otro proveedor.
g) El Responsable entrega DP a un Tercero. Por ejemplo, a través de
transferencias entre responsables.

h) El Encargado entrega DP a un Tercero. Por ejemplo, por una instrucción

del responsable.

Tabla 3. Tabla de Factores contractuales para definir objetivos en la Institución

Paso 2. Elaborar una Política de Gestión de Datos Personales

Una vez que han sido definidos los alcances y objetivos de la gestión de los datos
personales, el responsable directamente, o bien un equipo del Comité de
Transparencia autorizado por él, deberá emitir e implementar una política de gestión
y seguridad que ayude al logro de los objetivos planteados.

Será fundamental su seguimiento e implementación a través del tiempo y actualizar

o realizar ajustes a la misma cuando sea necesario. Asimismo, en función del
tamaño y necesidades del responsable y/o sujeto obligado, se podrían generar
equipos de trabajo adicionales para desarrollar tareas específicas como la
identificación de activos, procesos, funciones y responsabilidades.

La política debe tener muy bien definidos su alcance y objetivo, y recordar que aplica
a todos los datos personales que son tratados en la Institución dentro de los distintos
procesos y finalidades convenidas con los titulares. Dicha política debe ser
formalmente aprobada y apoyada por el Comité de Transparencia.

La política debe establecer el compromiso de cumplir con la legislación en

protección de datos personales por parte de todos los involucrados en el
tratamiento, por lo que debe ser comunicada a los mismos, e incluir al menos las
siguientes reglas:

a) El cumplimiento de todos los principios deberes y obligaciones,

conforme a lo que señala la Ley General, sus Lineamientos y demás
normativa aplicable;
b) Tratar y recabar datos personales de manera lícita, conforme a las
disposiciones establecidas por la Ley y demás normativa aplicable
(principio de licitud);
c) Sujetar el tratamiento de datos personales al consentimiento del titular,
salvo las excepciones previstas por la Ley (principio de
consentimiento);
d) Informar a los titulares de los datos, la información que se recaba de
ellos y con qué fines, a través del aviso de privacidad (principio de
información);
e) Procurar que los datos personales tratados sean correctos y
actualizados (principio de calidad);
f) Suprimir los datos personales cuando hayan dejado de ser necesarios
para el cumplimiento de las finalidades previstas en el aviso de
privacidad y para las cuales se obtuvieron (principio de calidad);
g) Tratar datos personales estrictamente el tiempo necesario para
propósitos legales, regulatorios o legítimos organizacionales (principio
de calidad);
h) Limitar el tratamiento de los datos personales al cumplimiento de las
finalidades previstas en el aviso de privacidad (principio de finalidad);
i) No obtener los datos personales a través de medios fraudulentos
(principio de lealtad);
j) Respetar la expectativa razonable de privacidad del titular (principio de
lealtad);
k) Tratar los menos datos personales posibles, y sólo aquéllos que
resulten necesarios, adecuados y relevantes en relación con las
finalidades previstas en el aviso de privacidad (principio de
proporcionalidad);
l) Velar por el cumplimiento de estos principios y adoptar las medidas
necesarias para su aplicación (principio de responsabilidad);
m) Establecer y mantener medidas de seguridad (deber de seguridad);
n) Guardar la confidencialidad de los datos personales (deber de
confidencialidad);
o) Identificar el flujo y ciclo de vida de los datos personales: por qué medio
se recaban, en qué procesos de la Institución se utilizan, con quién se
comparten, y en qué momento y por qué medios se suprimen;
p) Mantener un inventario actualizado de los datos personales o de sus
categorías que maneja la Institución;
q) Respetar los derechos de los titulares en relación con sus datos
personales;
r) Aplicar las excepciones contempladas en la normativa en materia de
protección de datos personales;
s) Desarrollar e implementar un SGSDP de acuerdo con la política de
gestión de datos personales.
t) Definir las partes interesadas y miembros de la Institución con
responsabilidades específicas y a cargo de la rendición de cuentas para
el SGSDP.
Paso 3. Establecer Funciones y Obligaciones de Quienes Traten
Datos Personales

Es importante señalar que el responsable deberá establecer y documentar los roles

y responsabilidades, así como la cadena de rendición de cuentas de todas las
personas que traten datos personales en su organización, conforme al sistema de
gestión implementado.

El responsable deberá establecer mecanismos para asegurar que todas las

personas involucradas en el tratamiento de datos personales en su organización
conozcan sus funciones para el cumplimiento de los objetivos del sistema de
gestión, así como las consecuencias de su incumplimiento.

El responsable debe determinar y proveer los recursos necesarios para establecer,

implementar, operar y mantener el Sistema de Gestión. Para asegurar que la
gestión de los datos personales sea parte de los valores de la Institución de manera
efectiva, el responsable debe:

a) Comunicar a todos los involucrados en el tratamiento de los datos personales

(internos y externos) la importancia de:
• cumplir la política de gestión de datos personales;
• conocer los objetivos del SGSDP, y
• mejorar el SGSDP de manera continua;
b) Definir los roles, responsabilidades, cadena de rendición de cuentas y estructura
organizacional para el SGSDP, y
c) Asegurar que todos los servidores públicos tengan claro sus roles y funciones
(ver Tabla 4), así como su contribución para el logro de los objetivos del SGSDP de
la Institución y las consecuencias del incumplimiento.
Paso 4. Elaborar un Inventario de Datos Personales

El responsable deberá elaborar un inventario con información básica de

cada tratamiento de datos personales, considerando al menos lo
siguiente:
• El catálogo de medios físicos y electrónicos a través de los cuales
se obtienen los datos personales;
• Las finalidades de cada tratamiento de datos personales;
• El catálogo de los tipos de datos personales que se traten,
indicando si son sensibles o no
 • El catálogo de formatos de almacenamiento, así como la
descripción general de la ubicación física y/o electrónica de los
datos personales;
• La lista de servidores públicos que tienen acceso a los sistemas
de tratamiento;
• En su caso, el nombre completo o denominación o razón social
del encargado y el instrumento jurídico que formaliza la prestación
de los servicios que brinda al responsable, y
• En su caso, los destinatarios o terceros receptores de las
transferencias que se efectúen, así como las finalidades que
justifican éstas.

Se debe establecer y mantener actualizado un inventario de los

sistemas de tratamiento de datos personales que utiliza una Institución.
Este inventario debe identificar o estar vinculado con la información
básica que permita conocer el tipo de tratamiento al que son sometidos
los datos personales, la cual se relaciona de manera directa con su flujo
o ciclo de vida, considerando:
• Obtención;
• Almacenamiento
• Uso:
o Acceso
o Manejo
o Aprovechamiento
o Monitoreo
o Procesamiento (incluidos los sistemas que se utilizan para
tal fin)
• Divulgación:
o Remisiones
o Transferencias
• Bloqueo;
• Cancelación, supresión o destrucción.
 Figura 2. Ciclo de vida de los datos personales

Por otra parte, es importante que el responsable tome en cuenta el riesgo inherente
de los datos personales en los sistemas mediante los cuales se tratan datos
personales, es decir, el valor significativo tanto para los titulares y responsables,
como para cualquier persona no autorizada que pudiera beneficiarse de ellos.
A continuación, se ofrecen ejemplos de categorías para los sistemas de tratamiento
de datos personales según su riesgo inherente:
a) Nivel estándar. Esta categoría considera información de identificación,
contacto, datos laborales y académicos de una persona física identificada o
identificable, tal como: nombre, teléfono, edad, sexo, RFC, CURP, estado
civil, dirección de correo electrónico, lugar y fecha de nacimiento,
nacionalidad, puesto de trabajo, lugar de trabajo, experiencia laboral, datos
de contacto laborales, idioma o lengua, escolaridad, trayectoria educativa,
títulos, certificados, cédula profesional, entre otros.
b) Nivel sensible. Esta categoría contempla los datos que permiten conocer la
ubicación física de la persona, tales como la dirección física e información
relativa al tránsito de las personas dentro y fuera del país.

También son datos de nivel sensible aquéllos que permitan inferir el

patrimonio de una persona, que incluye entre otros, los saldos bancarios,
estados y/o número de cuenta, cuentas de inversión, bienes muebles e
inmuebles, información fiscal, historial crediticio, ingresos, egresos, buró de
crédito, seguros, afores y fianzas. Incluye el número de tarjeta bancaria de
crédito y/o débito.

Son considerados también los datos de autenticación con información

referente a los usuarios, contraseñas, información biométrica (huellas
dactilares, iris, voz, entre otros), firma autógrafa y electrónica y cualquier otro
que permita autenticar a una persona.

Dentro de esta categoría se toman en cuenta los datos jurídicos tales como
antecedentes penales, amparos, demandas, contratos, litigios y cualquier
otro tipo de información relativa a una persona que se encuentre sujeta a un
procedimiento administrativo seguido en forma de juicio o jurisdiccional en
materia laboral, civil, penal o administrativa.

Finalmente, se contemplan los datos personales sensibles de la Ley, es decir,

aquéllos que afecten a la esfera más íntima de su titular. Por ejemplo, se
consideran sensibles los que puedan revelar aspectos como origen racial o
étnico, estado de salud pasado, presente y futuro, información genética,
creencias religiosas, filosóficas y morales, afiliación sindical, opiniones
políticas, preferencia sexual, hábitos sexuales y cualquier otro cuya
 utilización indebida pueda dar origen a discriminación o conlleve un riesgo
grave a la integridad del titular.

c) Nivel especial. Esta categoría corresponde a los datos cuya naturaleza única,
o bien debido a un cambio excepcional en el contexto de las operaciones usuales
del responsable, pueden causar daño directo a los titulares, por ejemplo la
Información adicional de tarjeta bancaria que considera el número de la tarjeta
de crédito y/o débito mencionado anteriormente en combinación con cualquier
otro dato relacionado o contenido en la misma, por ejemplo fecha de
vencimiento, códigos de seguridad, datos de banda magnética o número de
identificación personal (PIN). La Tabla 5 contiene la clasificación por nivel de
algunos tipos de dato:
Tabla 5. Ejemplos de categorización por tipo de dato

Tipo de sistema de tratamiento de datos Nivel

personales
Información adicional al número de tarjeta Especial
bancaria
Ubicación física Sensible
Patrimonio Sensible
Autenticación Sensible
Jurídicos Sensible
Salud, creencias, opiniones políticas Sensible
Identificación y contacto Estándar

El riesgo inherente en los sistemas de tratamiento de datos personales puede

incrementarse cuando se manejan grandes volúmenes de información personal,
cuando se relacionan distintos tipos de datos o se combinan bases de datos de
diferentes fuentes (cruces de información).

El nivel de riesgo en los sistemas de tratamiento de datos personales puede

disminuirse con mecanismos como:

Disociación: se aíslan los datos de manera que por sí mismos no aporten

información valiosa de un titular o éste no pueda ser identificable. De esta
manera el valor de la base de datos para una persona no autorizada se ve
disminuido.

Separación: se separan los activos de información grandes en otros más

pequeños, por ejemplo, una base de datos de clientes en dos bases de datos:
clientes corporativos y personas físicas. Entre mayor cantidad de información
tiene un activo, éste resulta más atractivo para una persona no autorizada.
Las categorías para los sistemas de tratamiento antes descritas son sólo una
orientación, ya que el Pleno del INAI no ha emitido criterios institucionales al
respecto, además es importante remarcar que ciertos datos personales que en
principio no se consideran sensibles, podrían llegar a serlo dependiendo del
contexto en que se trate la información.

Una vez que se han identificado las categorías de los sistemas de tratamiento de
datos personales, se tiene que definir su relación con el personal del responsable.
Es decir, considerando la figura 2 se debe identificar qué tipo de tratamiento efectúa
cada uno de ellos, así como el grado de responsabilidad, de modo que a través de
un registro documentado se puedan conocer los privilegios y límites que tiene cada
individuo. Esto ayuda a las Instituciones a ponderar, por ejemplo, aquellas áreas
que necesitan controles de seguridad o entrenamiento más específico. En caso de
una solicitud de derechos ARCO o una vulneración a la seguridad, es de utilidad
tener identificado quiénes dentro de la Institución pueden ayudar con estos
procesos.

Para documentar el cruce de información entre los sistemas de tratamiento y el

personal involucrado, se podría utilizar una matriz de responsabilidades o un
formato similar, como el mostrado en la Tabla 6.

Tabla 6. Ejemplo de esquema de privilegio sobre el tratamiento

Sistema de Tratamiento
Personal Relacionado Base de datos Base de datos Base de datos
Ciudadanos Prospectos Empleados
Empleado A OA U
Empleado B OA U
Departamento M OAUB
Área X BC

En el ejemplo se puede ver cómo el Empleado A puede obtener (O) y almacenar

(A) datos para la Base de datos de Ciudadanos y usar (U) los datos en la Base de
datos de Empleados, sin embargo, no tiene permisos sobre la Base de datos
Prospectos. Por su parte los empleados del Departamento M pueden obtener (O) ,
almacenar (A), usar (U) y bloquear (B) datos de la Base de datos de Prospectos,
pero no tienen privilegios sobre alguna de las otras dos bases de datos.

Se recomienda consultar el documento orientador que le ejemplificara de manera

más practica como elaborar su inventario de datos personales

• Página 11,12 y 13 del Documento Orientador y

• Anexo 1
Paso 5. Realizar el Análisis de Riesgo de los Datos Personales

La seguridad se basa en el entendimiento de la naturaleza del riesgo al que están

expuestos los datos personales, el riesgo no se puede erradicar completamente,
pero sí se puede minimizar a través de la mejora continua.

El objetivo de esta sección es que los responsables determinen las características

del riesgo que mayor impacto puede tener sobre los datos personales que tratan,
con el fin de que prioricen y tomen la mejor decisión respecto a los controles más
relevantes e inmediatos a implementar.

Factores para Determinar las Medidas de Seguridad

Las medidas de seguridad adoptadas por el responsable deberán

considerar:
I. El riesgo inherente por tipo de dato personal;
II. La sensibilidad de los datos personales tratados;
III. El desarrollo tecnológico, y
V. Las transferencias de datos personales que se realicen;
VI. El número de titulares;
VII. Las vulnerabilidades previas ocurridas en los sistemas de
tratamiento, y
VIII. El riesgo por el valor potencial cuantitativo o cualitativo que
pudieran tener los datos personales tratados para una tercera
persona no autorizada para su posesión.
Para poder definir un plan del riesgo a tratar y posteriormente implementar controles
de seguridad, se deben tener diferentes criterios de evaluación dentro del Sujeto
Obligado, que permitan delimitar el nivel de riesgo aceptable para los datos
personales. Estos criterios de evaluación del riesgo de la seguridad de los datos
personales deben considerar los factores establecidos en el Artículo 32 -
LGPDPPSO y de manera adicional, entre otros factores que pueden incidir en el
nivel de riesgo se encuentran los siguientes:

• Los requerimientos regulatorios y obligaciones contractuales que se usaron

para definir los objetivos y alcances.
• El valor de los datos personales, de acuerdo con su clasificación por tipo
definida previamente y su flujo.
• El valor y exposición de los activos involucrados con los datos personales.
• Expectativas de las partes interesadas, así como las consecuencias
negativas a la reputación del responsable, que pudieran derivar de una
vulneración.

Considerando los factores anteriores, el responsable puede establecer dos criterios

de evaluación del riesgo, los de impacto y los de aceptación. Los primeros
corresponden a todo el posible daño a los titulares, mientras que los de aceptación
se alinean de manera general a los niveles de riesgo que el responsable se fije como
meta respecto a sus alcances y objetivos, estos criterios se detallan a continuación:

Criterios de impacto. Se definen en términos del posible nivel de daño y perjuicio

al titular causado por un evento negativo a la seguridad de los datos personales,
considerando:

• El valor de los datos para el responsable

• El incumplimiento con las obligaciones legales y contractuales relacionadas
con el titular
• Vulneraciones de seguridad (art. 38 Ley General)
 • Daño a la integridad de los titulares de datos personales
• Daño a la reputación del Responsable

Criterios de aceptación del riesgo.

El responsable podría aceptar o no ciertos niveles de riesgo, siempre y cuando la

naturaleza del riesgo, sus consecuencias o su probabilidad sean consideradas
como muy poco significativas. Estos criterios dependen de las políticas y objetivos
del responsable de las partes interesadas, considerando que:

• Se debe expresar el beneficio o el riesgo estimado para el responsable,

aplicando diferentes criterios de aceptación correspondientes al riesgo. Por
ejemplo, riesgos que pueden resultar del incumplimiento a la Ley que no
pueden ser aceptados.
• Se deben incluir múltiples umbrales, correspondientes a diferentes niveles
de aceptación, previendo que los responsables acepten riesgos sobre esos
niveles en circunstancias específicas.
• Los criterios de aceptación del riesgo pueden incluir requerimientos para
una gestión futura, por ejemplo, un riesgo puede ser aceptado si hay
aprobación y el compromiso del Comité de Transparencia para tomar
acciones que permitan reducirlo a un nivel aceptable dentro de un periodo
definido más adelante.
• Para definir todo criterio de aceptación del riesgo es importante considerar:

o Política(s) del Responsable respecto al tratamiento de datos

personales
o Aspectos legales y regulatorios
o Operaciones
o Tecnología
o Finanzas
o Factores sociales y humanitarios

Estos criterios deberían estar formalmente documentados y ser utilizados como

directriz para valorar el riesgo.

Valoración Respecto al Riesgo

Cuando se tienen definidos criterios de evaluación del riesgo, por ejemplo ¿cuál
sería el riesgo estimado para el Responsable de no poner el aviso de privacidad a
disposición de los titulares de los datos personales? o ¿qué personas se verían
afectadas y de qué forma si se sustrajera la base de datos con la nómina del
Responsable? Se tiene que valorar el riesgo de forma cuantitativa, cualitativa o
ambas, para atenderlo en la fase de implementación.

La valoración del riesgo identifica los activos existentes, las amenazas aplicables, y
los escenarios de vulneración. Asimismo, determina las consecuencias potenciales
y prioriza los riesgos derivados respecto al contexto del sujeto obligado los criterios
de evaluación del riesgo.

Esta valoración del riesgo debe considerar:

• El establecimiento y mantenimiento de criterios de aceptación de riesgos.

• La determinación de los criterios para evaluar los riesgos.
• Asegurar que las diferentes evaluaciones del riesgo generen resultados
consistentes válidos y comparables.

Identificar Activos

Un activo es toda información, conocimiento sobre los procesos, personal,

hardware, software y cualquier otro recurso involucrado en el tratamiento de los
datos personales, que tenga valor para la organización. En términos del SGSDP
estos activos deberán ser aquéllos que estén relacionados con el ciclo de vida de
los datos personales previamente identificado y sus distintos tratamientos. Los
activos se deben identificar y ponderar con suficiente nivel de detalle para proveer
información que permita hacer la valoración del riesgo.

Art. 58, fracción IV de los Lineamientos Generales de

la LGPDPPSO:

El catálogo de formatos de almacenamiento, así como la

descripción general de la ubicación física y/o electrónica
de los datos personales.
Se pueden identificar dos tipos de activos:

Activos de información Activos de apoyo

• Activos de información, corresponden a la • Activos de apoyo, en los cuales
esencia de organización responsable y/o residen los activos de
sujeto obligado: información, como son:
▪ Información relativa a los datos ▪ Hardware
personales ▪ Software
▪ Información de procesos del ▪ Redes y
negocio o actividades sustantivas Telecomunicaciones
del sujeto obligado, en los que ▪ Personal
interviene el flujo de datos ▪ Estructura organizacional
personales ▪ Infraestructura adicional

Debe mantenerse actualizado el inventario de activos, así como los medios de

almacenamiento en que residen las bases de datos personales.

Después de identificar y describir los activos de información y de apoyo, se podrán

encontrar sus vulnerabilidades y posibles amenazas. Además, es importante definir
al custodio del activo, quien se quedará a cargo de proveer la adecuada rendición
de cuentas de cada uno de ellos, señalando que el custodio del activo no podrá
ejercer la propiedad de éste, pero tendrá responsabilidad sobre su mantenimiento y
seguridad. En el Anexo A.

Identificar Amenazas

Una amenaza tiene el potencial de dañar un activo y causar una vulneración a

la seguridad. Las amenazas pueden ser de origen natural o humano, y pueden ser
accidentales o deliberadas y además provenir de adentro o desde afuera del sujeto
obligado. Las amenazas deben ser identificadas considerando que algunas pueden
afectar a más de un activo al mismo tiempo.

Los custodios de los activos y sus usuarios pueden proporcionar asesoría para
identificar y estimar las amenazas relacionadas, por ejemplo, del área de recursos
humanos, de los administradores de tecnologías y seguridad, profesionales en
seguridad física, del departamento legal, externos como compañías de seguros,
gobiernos y autoridades nacionales entre otras fuentes informativas de
investigación. Los aspectos culturales también deben ser considerados dentro de
las amenazas.

En el Anexo B se pueden consultar ejemplos de amenazas.

Identificar Vulnerabilidades

Las vulnerabilidades son debilidades en la seguridad de los activos y pueden ser

identificadas en los siguientes ámbitos:

• Organizacionales
• De procesos y procedimientos
• De personal
• Del ambiente físico
• De la configuración de sistemas de información
• Del hardware, software o equipo de comunicación
• De la relación con prestadores de servicios
• De la relación con terceros

La presencia de vulnerabilidades no causa daño por sí misma, se requiere de

una amenaza que la explote. Una vulnerabilidad que no se encuentre expuesta a
una amenaza identificada posiblemente no requiera la implementación de un
control, pero debe ser reconocida y monitoreada constantemente, o bien, cuando
surja algún cambio. Por ejemplo, un equipo de cómputo o un archivero con
información personal es vulnerable a inundaciones si se encuentra instalado en un
sótano por el que pasan las tuberías del servicio de suministro de agua. De manera
inversa, la amenaza de inundación se descarta si el equipo de cómputo o el
archivero con datos personales se localiza en la parte más alta del edificio, lejos de
tuberías de agua y de amenazas ambientales relacionadas.

Los controles usados incorrectamente o con una mala implementación son una
causa de vulnerabilidades. Un control puede ser entonces efectivo o no efectivo
dependiendo del contexto en el cual opera. Las vulnerabilidades pueden estar
relacionadas a propiedades de los activos que pueden ser usadas para otros
propósitos distintos a los que se habían destinado originalmente. Deben
considerarse vulnerabilidades y amenazas provenientes de diferentes fuentes, por
ejemplo, la posibilidad de que un correo electrónico sea interceptado por un
atacante o que un empleado envíe información confidencial a su cuenta personal.

En el Anexo C se pueden consultar ejemplos de vulnerabilidades asociadas a

amenazas.

Identificar Escenarios de Vulneración y Consecuencias

Se deben identificar las consecuencias de las posibles vulneraciones

contempladas en el artículo 38 LGPDPPSO.

Un escenario de vulneración proviene de una amenaza que explota cierta

vulnerabilidad o conjunto de vulnerabilidades. El impacto se determina
considerando el grado de daño en los activos o los cambios en el nivel de objetivos
definidos por el Responsable, que pueden afectar a más de un activo total o
parcialmente. Las consecuencias pueden ser de naturaleza temporal, por ejemplo,
la caída del servicio o de naturaleza permanente, por ejemplo, la destrucción de
información escrita en documentos. El responsable debe identificar las
consecuencias de una posible vulneración considerando los criterios para la
evaluación del riesgo establecidos previamente, de forma que pueda priorizar los
riesgos identificados.

El análisis de riesgo deberá arrojar como resultado un valor del riesgo para cada
uno de los activos identificados con respecto a cada una de las vulneraciones
mencionadas en el artículo 38 LGPDPPSO, de forma que se identifiquen los
escenarios que podrían llevar a cada uno de los activos a las posibles vulneraciones
y se seleccionen los controles y medidas de seguridad que permitan tratar dichos
riesgos.

Con el conocimiento de los activos de información y de los controles existentes se

puede realizar una ponderación de los escenarios de riesgo más importantes,
considerando que el riesgo es la combinación de los factores: amenaza,
vulnerabilidad e impacto.

Por ejemplo, al considerar dos escenarios sobre activos:

Escenario 1. Expediente de Paciente (papel)

Escenario 2. Expediente de Paciente (electrónico)

Un hospital puede tener como control un sistema anti-incendio pero no tener un

antivirus, esto afectaría de manera distinta a los activos y, por tanto, a la evaluación
del riesgo:

Tabla 7. Comparación de escenarios de riesgo

Activo Amenaza Vulnerabilidad Daño/Impacto Potencial/Probabilidad

Expediente de Virus Computadoras Borrado Muy probable
Paciente sin antivirus permanente de
(electrónico) información
Expediente de Incendio Material Pérdida Poco probable
Paciente susceptible al definitiva de
(papel) fuego información

Como puede observarse en la Tabla 7, la falta de un antivirus hace muy probable

que pueda ocurrir un daño permanente a los expedientes electrónicos de pacientes,
mientras que la amenaza de incendio tiene menor importancia puesto que existe un
control (sistema anti-incendio) para mitigar ese riesgo.
Paso 6. Identificación de las medidas de seguridad y Análisis de Brecha

Con base en el análisis de riesgos se deberán seleccionar e implementar las

medidas de seguridad administrativas, técnicas o físicas que permitan disminuir los
riesgos, y podrán ser seleccionadas del listado mostrado en el Anexo D. Dichos
controles de seguridad se han agrupado en 10 dominios principales que son:

1. Políticas del SGSDP

2. Cumplimiento legal
3. Estructura organizacional de la seguridad
4. Clasificación y acceso de los activos
5. Seguridad del personal
6. Seguridad física y ambiental
7. Gestión de comunicaciones y operaciones
8. Control de acceso
9. Desarrollo y mantenimiento de sistemas
10. Vulneraciones de seguridad

Los principios establecidos en el artículo 16, de la Ley General pueden utilizarse

como base para la selección de medidas de seguridad que estén alineadas a la
protección de datos personales. En particular, se pueden tomar en cuenta los
siguientes criterios para elegir las medidas de seguridad efectivas que:

• Protejan los datos personales contra daño, pérdida, destrucción o

alteración.
• Eviten el uso, acceso o tratamiento no autorizado.
• Impidan la divulgación no autorizada de los datos personales.

Una vez identificados los activos y procesos relacionados a los datos personales,
así como las amenazas, vulnerabilidades y escenarios de incidentes relacionados,
se puede proceder al análisis de brecha de las medidas de seguridad.

El análisis de brecha consiste en identificar:

• Las medidas de seguridad existentes

• Las medidas de seguridad existentes que operan correctamente
• Las medidas de seguridad faltantes
• Si existen nuevas medidas de seguridad que puedan remplazar a uno o
más controles implementados actualmente.

Es importante tener claro cuáles son los controles que ya están funcionando en un
responsable de manera efectiva, con su respectivo nivel de madurez, así como las
medidas identificadas como faltantes, para constituir un programa de trabajo que
refleje los recursos designados, los responsables, y las fechas compromiso para su
implementación. De manera que se pueda medir la eficacia del SGSDP con
respecto de los riesgos tratados.

La madurez de los controles puede ser identificada en uno de los siguientes

niveles:

• Documentado. Se ha plasmado en un documento las características y

objetivos del control, así como las medidas que soportan su
cumplimiento.
• Implementado. El control ya se encuentra puesto en marcha a través
de una o más medidas de seguridad.
• Registros. Se generan registros de la operación del control y de sus
medidas de seguridad.
• Monitoreo. Se han establecido métricas que permiten dar
seguimiento a la eficacia del control.
• Indicadores Clave de Rendimiento (Key Performance Indicators, KPI)
e Informes. Se han identificado las métricas más significativas y son
reportadas a las Partes Interesadas para la toma de decisiones.
• Mejora continua. Se toman las acciones necesarias para incrementar
la eficacia de los controles con respecto al monitoreo realizado.
• Automatizado. El control requiere poca o nula interacción de una
persona, en su operación, monitoreo o ajustes.

Se recomienda utilizar la herramienta informática Evaluador de Vulneraciones para

realizar el análisis de brecha correspondiente.

El Evaluador de Vulneraciones es una herramienta informática desarrollada por el

INAI para sistemas operativos Windows, esta herramienta no es de uso obligatorio
y no almacena, extrae ni comparte ninguna respuesta del usuario.
(http://inicio.ifai.org.mx/SitePages/Evaluador-Vulneraciones.aspx)
 Fase 2. Implementar y Operar el SGSDP

Como se señaló anteriormente, en esta fase se implementan y operan las políticas,

procesos, procedimientos y controles o mecanismos del SGSDP. En el caso que nos ocupa,
en esta fase se deberán implementar las medidas de seguridad que hayan resultado
aplicables según el análisis de riesgos realizado en la fase de planeación.

Paso 7. Implementación de las Medidas de Seguridad Aplicables a los

Datos Personales

Cumplimiento Cotidiano de Medidas de Seguridad

El responsable deberá considerar un conjunto de indicadores para identificar de

manera oportuna, cualquier cambio en el contexto de la Institución y así mantener
una visión general de la imagen del riesgo, entre más pronto se realice esta
detección, las partes interesadas podrán tomar decisiones más efectivas para
proteger los datos personales. La naturaleza de los indicadores puede variar
dependiendo del tipo de activo. Por ejemplo, vigilar la actitud de un empleado
inconforme o que se dejen documentos con información personal en las impresoras
o fotocopiadoras. Los monitoreos de estos indicadores conllevan una detección
temprana de posibles amenazas, y así lograr una respuesta a incidentes efectiva.
Deberá designarse un miembro del equipo del responsable para la rendición de
cuentas de la gestión de los datos personales dentro de la Institución del sujeto
obligado, de modo que tanto el cumplimiento de la legislación en protección de
datos, como la política de gestión y seguridad de datos personales, puedan ser
demostrados.

El oficial de protección de datos personales o en su caso, el comité de transparencia

o el designado por estos al interior del sujeto obligado para la protección de datos
personales, deberá estar a cargo del cumplimiento de la política en el día a día. Esta
función debe tener, al menos, las siguientes responsabilidades:

a) Compromiso total del cumplimiento de la política;

b) Desarrollo y revisión de la política;
c) Asegurar la implementación de la política;
d) Revisiones de la gestión de la política;
e) Entrenamiento y concienciación necesaria de la política;
f) Aprobación de procedimientos donde sean tratados los datos personales,
como:
 o La administración y comunicación de noticias de privacidad;
o El manejo de solicitudes de los titulares;
o La recolección y manipulación de datos personales;
o Manejo de quejas;
o La gestión de incidentes de seguridad;
o Contratación de servicios externos y prestación;

g) Enlace con las personas a cargo del manejo de riesgos y asuntos de

seguridad dentro de la del sujeto obligado;
h) Provisión de asesoramiento en asuntos ante el INAI y en relación con
proyectos que involucren temas de seguridad de los datos personales, como
puede ser compartirlos o transferirlos fuera del responsable;
i) Interpretación de las exenciones aplicables al tratamiento de los datos
personales;
j) Asegurar que el sujeto obligado tenga acceso a actualizaciones legislativas y
a una orientación apropiada de acuerdo a la legislación en protección de datos;
k) Revisar que el SGSDP refleje los cambios en legislación, práctica y tecnología
a través una comunicación continua y proactiva del riesgo a las partes
interesadas;
l) Completar, emitir, y gestionar notificaciones ante el INAI y los titulares de datos
personales cuando sea requerido según la normatividad aplicable; y
m) En su caso, implementar las prácticas relacionadas al tratamiento de datos
personales marcadas por cualquier normativa.

Cuando el responsable posee múltiples departamentos o sistemas que procesan

información personal, debería determinar si es apropiado establecer una red de
representantes en protección de datos personales, los cuales:

a) representen departamentos o sistemas que sean reconocidos como

relevantes, ya sea por el tipo de proceso o por el tipo de dato personal que
manejan en relación con la gestión de información; y

b) ayudar a los trabajadores con las responsabilidades diarias para el

cumplimiento de la política.

En otros casos, el responsable podría tomar la decisión de contratar los servicios

de una persona física o moral, especialista en la materia para llevar a cabo las
funciones o responsabilidades relacionadas con el SGSDP. No obstante, cabe
señalar que el responsable tiene la obligación de velar y responder por el
tratamiento de los datos personales que se encuentren bajo su custodia o por
aquéllos que haya comunicado a un encargado.
Plan de Trabajo para la Implementación de las Medidas de Seguridad
Faltantes

Se deben seleccionar los controles de seguridad faltantes identificados en el análisis

de brecha y en el plan de tratamiento del riesgo, tomando en cuenta la ponderación
hecha en la valoración. Existen cuatro posibilidades comunes para tratar el riesgo:
mitigar o reducir el riesgo, retener el riesgo, evitar el riesgo y compartir el riesgo.
La Figura 3 ilustra el tratamiento del riesgo dentro del proceso de un SGSDP.

Figura 3. Tratamiento del Riesgo

Las opciones de tratamiento del riesgo deben ser seleccionadas con base en el
resultado de la valoración del riesgo, los costos estimados, y los beneficios
esperados de implementar estas opciones.

Si se obtiene una considerable reducción del riesgo con un costo relativamente bajo,
esto es una combinación a considerar para implementar los controles. En general,
las consecuencias adversas de los riesgos deben reducirse lo más razonablemente
posible con independencia de cualquier criterio absoluto, por ejemplo, se deben
considerar los riesgos que no ocurren con frecuencia pero que serían severos, en
cuyo caso también se deben implementar controles.

Los cuatro tipos de tratamiento de riesgo no son mutuamente excluyentes, a veces

las Instituciones pueden beneficiarse sustancialmente de la combinación de
opciones, como reducir la probabilidad de un riesgo, reducir sus consecuencias,
compartir o retener el riesgo residual.

Algunos tratamientos pueden atender a más de un riesgo, por ejemplo, el

entrenamiento y concienciación del personal. El plan de tratamiento del riesgo tiene
que establecer prioridades de atención de riesgos específicos y su periodo, dicha
prioridad puede establecerse equilibrando la valoración del riesgo y el análisis costo-
beneficio de la implementación en relación con el presupuesto.

Una vez que se ha definido el plan de tratamiento, se requiere determinar el riesgo

residual. Si el riesgo residual no cubre los niveles de aceptación del responsable,
se deberá realizar otra valoración del tratamiento del riesgo antes de proceder a la
aceptación del riesgo.

Es importante señalar que cada Sujeto Obligado deberá contar con un

Comité de Transparencia, el cuál es la autoridad máxima en materia de
protección de datos personales, además de integrar y funcionar con forme
a lo dispuesto por la Ley General de Transparencia y Acceso a la
Información Pública.
De acuerdo con la normatividad aplicable se recomienda verificar las
funciones del comité de transparencia (Art. 83,84 y 85 de la LGPDPPSO) así
como la designación del titular.

Finalmente se deben implementar los controles correspondientes, así como

documentar todas las acciones derivadas de la planeación e implementación del
tratamiento del riesgo.
Opciones de Tratamiento de Riesgo

Reducir el Riesgo

El objetivo es seleccionar los controles apropiados y justificados para satisfacer los

requerimientos especificados por la valoración del riesgo. Los controles pueden
proporcionar uno o más de los siguientes tipos de protección:

• Corrección
• Eliminación
• Prevención
• Minimización del impacto
• Disuasión
• Recuperación
• Monitoreo
• Concienciación.

Durante la selección de controles es importante ponderar el costo de adquisición,

implementación, administración, operación, monitoreo y mantenimiento de los
controles contra el valor del activo a proteger. Adicionalmente, se debe tener en
consideración el conocimiento y habilidades especiales necesarias para definir e
implementar nuevos controles o modificar los existentes.

Existen factores que pueden afectar la selección de controles. Límites técnicos,

como requerimientos de rendimiento, capacidad de gestión (soporte operacional
necesario) y los asuntos de compatibilidad, pueden obstaculizar el uso de ciertos
controles o pueden inducir a errores humanos nulificando el control, dando un falso
sentido de seguridad o incrementando el riesgo más allá del control, por ejemplo,
exigir contraseñas complejas sin previo entrenamiento, llevando a los usuarios a
escribir las contraseñas en papel. Los responsables deben identificar las soluciones
que satisfagan sus requerimientos y que garanticen suficiente seguridad de los
datos personales.

En el Anexo D se puede consultar un listado de controles comunes, así como su

área de aplicación.
 Retener el Riesgo

Se puede tomar la decisión de retener el riesgo sin considerar medidas adicionales

si a través de la evaluación del riesgo se determina que no hay necesidad inmediata
de implementar controles adicionales o que estos controles se pueden implementar
posteriormente. Por ejemplo, el equipo de cómputo actual falla, pero se genera un
respaldo de esa información al final del día, por lo que se decide retener ese riesgo
durante un mes y esperar para cambiar el equipo de cómputo por uno nuevo.

Evitar el Riesgo

Cuando el riesgo identificado es muy alto o los costos de tratamiento exceden a los
beneficios, se debe tomar una decisión para evitar el riesgo, retirándose de las
actividades actuales o cambiando las condiciones bajo las cuales operan dichas
actividades. Por ejemplo, para un riesgo causado por la naturaleza podría ser más
eficiente en costo mover físicamente el site de datos a una ubicación donde no
exista el mismo riesgo o que se pueda mantener bajo control.

Evitar el Riesgo

Implica tomar la decisión de compartir el riesgo con un prestador de servicio que

pueda gestionarlo, es decir, un tercero interviene para mitigar los posibles efectos
de un riesgo, por ejemplo, al contratar un seguro o un proveedor que administre la
seguridad del responsable.

Cabe mencionar que cuando un responsable comparte un riesgo no deja de ser

responsable por la protección de los datos personales, además, es importante que
se considere que involucrar a un nuevo actor en los procesos de la Institución
siempre representa un riesgo que debe ser analizado.

Un ejemplo de compartir riesgos asociados a la protección de datos personales es

la adquisición de servicios del denominado cómputo en la nube, para lo cual deberá
observarse lo establecido en el Artículo 64 LGPDPPSO.

No se debe confundir el concepto de Transferencia de datos personales con el de

Compartir el Riesgo.
 Artículo 3 fracción XXXII - LGPDPPSO:

Transferencia: Toda comunicación de datos personales

dentro o fuera del territorio mexicano, realizada a
persona distinta del titular, del responsable o del
encargado;

Si, por ejemplo, un responsable determina que su centro de datos es inseguro y

decide contratar a un proveedor de cómputo en la nube para que ellos se encarguen
de la gestión y seguridad de los datos personales, en este caso la relación
contractual convierte al proveedor de cómputo en la nube en un Encargado que
actúa sobre los datos a cuenta del Responsable, en tal caso se está compartiendo
el riesgo sin que exista una transferencia de datos personales.

Cualquier transferencia de datos personales que no se sujete a las figuras del

responsable y encargado deberá sujetarse a lo previsto por la Ley General y sus
Lineamientos.

Aceptación del Riesgo Residual

Al llegar al punto de aceptar el riesgo se deben asumir y registrar formalmente las

decisiones sobre el plan de tratamiento del riesgo, así como el riesgo residual, el
plan de tratamiento del riesgo debe describir cómo se tratarán los riesgos valorados
para alcanzar los niveles de aceptación. Es importante que el Comité de
Transparencia apruebe y revise tanto los planes de tratamiento, como el riesgo
residual. Del mismo modo, deberá registrarse cualquier condición asociada con tal
aprobación.

Aceptar el riesgo implica que el riesgo residual no entre en conflicto con

los criterios previamente establecidos en los objetivos y alcances del
responsable, por ejemplo, el riesgo residual no puede considerar la
aceptación de un riesgo relacionado al cumplimiento de la LGPDPPSO si
ésta forma parte de las metas planteadas en el SGSDP.
Comunicación del Riesgo

Comunicar el riesgo es la actividad que resulta de alcanzar los acuerdos sobre el

cómo administrar los riesgos, considerando su naturaleza, forma, probabilidad,
severidad, tratamiento y aceptación.

La comunicación efectiva entre los involucrados es muy

importante pues impacta en las decisiones que se deban tomar, de
ahí que tendría que ser bidireccional para asegurar que los
involucrados en la implementación del SGSDP y las partes interesadas
entiendan los criterios en los que se basan las decisiones.

La comunicación del riesgo se debe realizar para alcanzar los siguientes objetivos:

Objetivos:

• Ofrecer garantías sobre la gestión del riesgo

• Recolectar información sobre el riesgo
• Compartir los resultados de la valoración y el plan de tratamiento del riesgo
• Evitar o reducir las vulneraciones de seguridad por desconocimiento entre
los involucrados en el SGSDP
• Dar soporte a la toma de decisiones
• Obtener nuevo conocimiento sobre la seguridad de la información
• Que los responsables de datos personales coordinen con los encargados y
terceros, los planes de respuesta en caso de una vulneración
• Dar a los a los custodios y a las partes interesadas sentido de
responsabilidad sobre el riesgo
• Incrementar la conciencia del riesgo en el Sujeto Obligado
El Responsable debe desarrollar planes de comunicación del riesgo para las
operaciones normales, así como para casos de emergencia, es decir, la
comunicación del riesgo es una actividad continua.

Un método de comunicación entre los custodios y las partes interesadas es a través

de comités para debatir acerca del riesgo, su tratamiento y aceptación, entre otros
asuntos relacionados.

El responsable deberá notificar al titular y al Instituto las vulneraciones de seguridad

que de forma significativa aféctenlos derechos patrimoniales o morales del titular
dentro de un plazo máximo de setenta y dos horas a partir de que se confirme la
ocurrencia de éstas y el responsable haya empezado a tomar las acciones
encaminadas a mitigar la afectación (Art. 66 LGPDPPSO).

Artículo 40 - LGPDPPSO

Artículo 40. El responsable deberá informar sin dilación alguna al

titular, y según corresponda, al Instituto y a los Organismos garantes
de las Entidades Federativas, las vulneraciones que afecten de forma
significativa los derechos patrimoniales o morales, en cuanto se
confirme que ocurrió la vulneración y que el responsable haya
empezado a tomar las acciones encaminadas a detonar un proceso
de revisión exhaustiva de la magnitud de la afectación, a fin de que
los titulares afectados puedan tomar las medidas correspondientes
para la defensa de sus derechos.
 Fase 3. Monitorear y Revisar el SGSDP

En esta fase, como se señaló anteriormente, se evalúan y miden los resultados de

las políticas, planes, procesos y procedimientos implementados, a fin de verificar
que se haya logrado la mejora esperada.

Paso 8. Revisiones y Auditoría

Revisión de los Factores de Riesgo. Se debe monitorear y revisar el riesgo con sus
factores relacionados, es decir, el valor de los activos, las amenazas,
vulnerabilidades, el impacto, y la probabilidad de ocurrencia, para identificar en una
etapa temprana cualquier cambio en el contexto del alcance y objetivos del SGSDP
del responsable y así mantener una visión general de la imagen del riesgo.

El riesgo no es estadístico: Las amenazas, vulnerabilidades, probabilidad y

consecuencias pueden cambiar abruptamente sin previo aviso. Esta situación exige
la revisión de cada riesgo por separado, así como la suma de ellos, para conocer el
impacto potencial acumulado de las amenazas. Por lo tanto, se requiere de
constante monitoreo para detectar esos cambios, por ejemplo, se pueden apoyar
de servicios externos que provean información respecto a las amenazas o
vulnerabilidades. Las Instituciones deben asegurar que los siguientes puntos estén
continuamente monitoreados:

• Nuevos activos que se incluyan en los alcances de la gestión de riesgo.

• Modificaciones necesarias a los activos, por ejemplo, cambio o migración
tecnológica.
• Nuevas amenazas que podrían estar activas dentro y fuera de la Institución
del Responsable y que no han sido valoradas.
• La posibilidad de que vulnerabilidades nuevas o incrementadas sean
explotadas por las amenazas correspondientes.
 • Vulnerabilidades identificadas para determinar aquéllas expuestas a
amenazas nuevas o pasadas que vuelven a surgir.
• Cambio en el impacto o consecuencias de amenazas valoradas,
vulnerabilidades y riesgos en conjunto, que resulten en un nivel inaceptable
de riesgo.
• Incidentes y vulneraciones de seguridad.

Los factores que determinan la probabilidad de ocurrencia y consecuencias podrían

cambiar, lo que afectaría la conveniencia y costos de las opciones de tratamiento.
Los cambios mayores que afectan al responsable deben ser revisados de manera
específica, no obstante que las actividades de monitoreo requieren de regularidad
y periodicidad.

El resultado del monitoreo de riesgo puede afectar su tratamiento y aceptación, y

en consecuencia el contexto que se establezca en la siguiente iteración del ciclo del
SGSDP de la Institución.

Auditoría

Se debe contar con un programa de auditoría interna para monitorear y revisar la

eficacia y eficiencia del SGSDP. Este programa debe planearse, establecerse y
mantenerse tomando en cuenta la política de gestión de datos personales.

Se deben establecer previamente los objetivos del programa de auditoría, el cual

debe incluir el alcance e indicar explícitamente cualquier tratamiento de datos
personales interno y externo al sujeto obligado, custodios, recursos, criterios a
utilizar durante la auditoría, así como los procesos y/o áreas que serán auditadas.

La objetividad e imparcialidad del programa de auditoría debe ser asegurado por la

apropiada selección de auditores y la conducción de la auditoría.

Las auditorías deben llevarse a cabo en intervalos de tiempo planeados para

determinar si el SGSDP:

a) está operando de acuerdo con la política de gestión de datos

personales y con los procedimientos establecidos, y
b) ha sido implementado y mantenido de acuerdo con los requerimientos
tecnológicos.

Se debe proporcionar del Comité de Transparencia los reportes de las auditorías

sobre el SGSDP, detallando cualquier desviación significativa de la política de
gestión de datos personales, como pueden ser asuntos relacionados con los
procesos de seguridad que puedan afectar su cumplimiento.
La auditoría debe ofrecer al responsable, información detallada respecto a cambios
ocurridos en el SGSDP, además se debe realizar una auditoría inmediatamente
después de la implementación de modificaciones mayores en el SGSDP o en los
procesos críticos del responsable respecto al tratamiento de datos personales.

Como resultado de una auditoría se deben obtener observaciones sobre riesgos

existentes para aplicar medidas preventivas, es decir, controles para que no ocurra
una vulneración, así como observaciones sobre puntos que requieren medidas
correctivas inmediatas.

Los Sujetos Obligados de manera voluntaria podrán solicitar una auditoria por parte
de Instituto o los Organismos garantes con el fin de verificar la eficiencia de los
controles, medidas y mecanismos implementados en la Protección de Datos
Personales, así como la de identificar deficiencias en su sistema y proponer
acciones o recomendaciones correctivas que en su caso correspondan (Art. 151
LGPDPPSO).

Así mismo es importante que el responsable lleve una bitácora de las vulneraciones
a la seguridad en la que se describa, la fecha en la que ocurrió, el motivo de ésta y
las acciones correctivas implementadas de forma inmediata y definitiva (Art. 40
LGPDPPSO).

Vulneraciones a la Seguridad de la Información

Artículo 38 - LGPDPPSO

Además de las que señalen las leyes respectivas y la normatividad

aplicable, se considerarán como vulneraciones de seguridad, en
cualquier fase del tratamiento de datos, al menos, las siguientes:

I. La pérdida o destrucción no autorizada;

II. El robo, extravío o copia no autorizada;
III. El uso, acceso o tratamiento no autorizado, o
IV. El daño, la alteración o modificación no autorizada.
Las revisiones y auditorías, así como diferentes indicadores y alertas en el SGSDP
pueden avisar la ocurrencia de vulneraciones a la seguridad de los datos personales
en cualquier fase del tratamiento.

El responsable debe contar con procedimientos para tomar acciones que permitan
el manejo de las vulneraciones de seguridad que puedan ocurrir, considerando al
menos:

1) Identificación de la vulneración. En caso de un incidente de seguridad, el

responsable debe identificar:

a. Los activos afectados junto con el personal a cargo

b. Los titulares afectados
c. Partes interesadas que requieran estar informadas y/o puedan tomar parte
en la toma de decisiones para mitigar las consecuencias de la vulneración.

2) Notificación de la vulneración. Una vez identificada la vulneración, ésta se debe

comunicar a los titulares de los datos personales para que puedan tomar medidas
que mitiguen o eviten una posible afectación.

Dependiendo del riesgo que implique para los titulares, la notificación de una
vulneración puede ser a través de medios masivos como un anuncio en su página
web, periódico, radio y televisión o bien, de manera personalizada.
 Artículo 40 - LGPDPPSO

El responsable deberá informar sin dilación alguna al titular, y según

corresponda, al Instituto y a los Organismos garantes de las
Entidades Federativas, las vulneraciones que afecten de forma
significativa los derechos patrimoniales o morales, en cuanto se
confirme que ocurrió la vulneración y que el responsable haya
empezado a tomar las acciones encaminadas a detonar un proceso
de revisión exhaustiva de la magnitud de la afectación, a fin de que
los titulares afectados puedan tomar las medidas correspondientes
para la defensa de sus derechos.

El Responsable podrá considerar notificar a las autoridades de protección de datos

y/o impartición de justicia, entre otras partes interesadas que pudieran auxiliar en el
proceso de mitigar el incidente. Además de la información pertinente sobre la
vulneración, como puede ser la naturaleza del incidente y los datos personales
comprometidos, se debe notificar de las acciones inmediatas que se tomen, así
como proporcionar mecanismos de atención para que los titulares estén informados
y reciban recomendaciones para reducir su afectación.

Artículo 41 - LGPDPPSO

El responsable deberá informar al titular al menos lo siguiente:

I. La naturaleza del incidente;

II. Los datos personales comprometidos;
III. Las recomendaciones al titular acerca de las medidas que
éste pueda adoptar para proteger sus intereses;
IV. Las acciones correctivas realizadas de forma inmediata, y
V. Los medios donde puede obtener más información al
respecto.
3) Remediación del incidente. Una vez identificada la vulneración y después de
haber realizado la respectiva notificación, se debe profundizar en el análisis de las
causas del incidente para establecer medidas correctivas, las cuales incluyen
medidas inmediatas para reducir los efectos de la vulneración, así como medidas a
largo plazo por ejemplo, implementar controles técnicos o actualizar las políticas del
SGSDP para evitar que incidentes similares o relacionados vuelvan a ocurrir.

Artículo 37 - LGPDPPSO

En caso de que ocurra una vulneración a la seguridad, el responsable

deberá analizar las causas por las cuales se presentó e implementar
en su plan de trabajo las acciones preventivas y correctivas para
adecuar las medidas de seguridad y el tratamiento de los datos
personales si fuese el caso a efecto de evitar que la vulneración se
repita.

Las revisiones, auditorías y los tratamientos de una vulneración a la seguridad al

SGSDP deben estar debidamente documentados, incluyendo un resumen de los
hallazgos y los planes para aplicar medidas preventivas y correctivas con objeto de
contar con evidencia suficiente para mostrar al Instituto su diligencia en tomar las
acciones necesarias para evitar o mitigar una vulneración a la seguridad de los
datos personales, además de que estos procesos proporcionan información que
sirve como entrada para los procesos de mejora continua del SGSDP.
 Fase 4. Mejorar el SGSDP

Paso 9. Mejora Continua y Capacitación

En esta fase, se adoptan las medidas correctivas y preventivas en función de los

resultados de la revisión o verificación efectuadas, o de otras informaciones
relevantes, para lograr la mejora continua. Una parte fundamental de la fase de
Mejora es la capacitación al personal.

Mejora Continua

El monitoreo de los factores de riesgo, así como los resultados de las auditorías
proporcionan información para demostrar la eficacia del SGSDP, pero también
presentan las áreas de oportunidad donde éste puede ser mejorado. Los puntos de
mejora del SGSPDP pueden corresponder a dos tipos de acciones: correctivas o
preventiva
La implementación de las acciones preventivas o correctivas puede establecerse en
un periodo inmediato a la detección y análisis del punto de mejora (por ejemplo, en
respuesta a los resultados de una auditoría de certificación) o calendarizarse para
una futura revisión del SGSDP en función de la importancia de la mejora y los
recursos disponibles. La eficacia de las acciones preventivas y correctivas se evalúa
considerando la reducción de los niveles de riesgo en los resultados del monitoreo
a los SGSDP o de auditorías posteriores. En función de las acciones correctivas y
preventivas, así como de la actualización del contexto del responsable y el resultado
del monitoreo del riesgo, se deben establecer o mejorar los planes de capacitación.

Capacitación

La mejor medida de seguridad contra posibles vulneraciones es contar con personal

consciente de sus responsabilidades y deberes respecto a la protección de datos
personales y que identifiquen cuál es su contribución para el logro de los objetivos
del SGSDP. Por ello, se deben establecer y mantener programas de capacitación
que mantengan vigente al SGSDP como:
 a) Concienciación: programas a corto plazo para la difusión en general de la
protección de datos personales en la Institución;
b) Entrenamiento: programas a mediano plazo que tienen por objetivo capacitar
al personal de manera específica respecto a sus funciones y responsabilidad
en el tratamiento y seguridad de los datos personales y;
c) Educación: programa general a largo plazo que tiene por objetivo incluir la
seguridad en el tratamiento de los datos personales dentro de la cultura de la
Institución.

Se debe realizar una detección de necesidades para identificar el nivel y tipo de

capacitación necesaria para el personal, de acuerdo con las responsabilidades
asignadas y tomando en cuenta su perfil de puesto, especialmente de aquéllos
involucrados en el tratamiento de datos personales. Estos programas de
capacitación deben tomar en cuenta elementos como:

A. Requerimientos y actualizaciones al contexto del SGSDP, considerando

principalmente:

• 1. La administración y comunicación de noticias de privacidad;

• 2. El manejo de solicitudes y quejas de los titulares;
• 3. La recolección y manipulación de datos personales;
• 4. La gestión de incidentes y vulneraciones de seguridad, y
• 5. La gestión de seguridad con terceros.

B. La legislación en protección de datos personales y mejores prácticas relacionadas al

tratamiento de datos aplicables a la Institución.

C. Las consecuencias del incumplimiento de los requerimientos legales o requisitos

organizacionales.

D. Las herramientas tecnológicas relacionadas o utilizadas para el tratamiento de datos

personales y para la implementación de medidas de seguridad, y

E. Instructores expertos en la materia.

Finalmente se debe evaluar la eficiencia y eficacia de la capacitación, esta
evaluación se puede llevar a cabo mediante la aplicación de exámenes teóricos o
prácticos que permitan indicar el grado de conocimiento y/o entendimiento de la
capacitación proporcionada o difusión realizada. Se deben establecer criterios de
evaluación que determinen el nivel de competencia aceptado por la Institución, y
mantener un registro de los programas seguidos por cada empleado, así como de
sus habilidades, experiencia y calificaciones.
 Tema 2. Tabla comparativa entre el Capítulo III
de la Ley General y acciones para cumplir con la
disposición

Tabla comparativa

Capítulo II De los Deberes Acción que ayuda a cumplir con la disposición

Alcance

Artículo 31. Con independencia del tipo de sistema en

el que se encuentren los datos personales o el tipo de
tratamiento que se efectúe, el responsable deberá Adopción de un SGSDP.
establecer y mantener las medidas de seguridad de
carácter administrativo, físico y técnico para la
• Paso 1. Alcance y Objetivos.
protección de los datos personales, que permitan
protegerlos contra daño, pérdida, alteración, • Paso 2. Política de Gestión de Datos Personales.
destrucción o su uso, acceso o tratamiento no
autorizado, así como garantizar su confidencialidad,
integridad y disponibilidad.

Funciones de seguridad

Artículo 33. Para establecer y mantener de manera

efectiva las medidas de seguridad, el responsable • Paso 3.
deberá realizar, al menos, las siguientes actividades Funciones y Obligaciones de Quienes Traten Datos
interrelacionadas: Personales. Asignación de responsabilidades para
la implementación del SGSDP.
I. Crear políticas internas para la gestión y
tratamiento de los datos personales, que tomen
• Paso 7.
en cuenta el contexto en el que ocurren los
Implementación de las Medidas de Seguridad
tratamientos y el ciclo de vida de los datos
Aplicables a los Datos Personales.
personales, es decir, su obtención, uso y
o Cumplimiento Cotidiano de Medidas
posterior supresión;
de Seguridad.
II. Definir las funciones y obligaciones del personal
involucrado en el tratamiento de datos
personales;
Capítulo II De los Deberes Acción que ayuda a cumplir con la disposición

III. Elaborar un inventario de datos personales y de

los sistemas de tratamiento;
IV. Realizar un análisis de riesgo de los datos
personales, considerando las amenazas y
vulnerabilidades existentes para los datos
personales y los recursos involucrados en su
tratamiento, como pueden ser, de manera
enunciativa más no limitativa, hardware,
software, personal del responsable, entre otros;
V. Realizar un análisis de brecha, comparando las
medidas de seguridad existentes contra las
faltantes en la organización del responsable;
VI. Elaborar un plan de trabajo para la
implementación de las medidas de seguridad
faltantes, así como las medidas para el
cumplimiento cotidiano de las políticas de
gestión y tratamiento de los datos personales;
VII. Monitorear y revisar de manera periódica las
medidas de seguridad implementadas, así como
las amenazas y vulneraciones a las que están
sujetos los datos personales, y
VIII. Diseñar y aplicar diferentes niveles de
capacitación del personal bajo su mando,
dependiendo de sus roles y responsabilidades
respecto del tratamiento de los datos
personales.

Factores para determinar las medidas de seguridad

Artículo 32. Las medidas de seguridad adoptadas por

el responsable deberán considerar:

I. El riesgo inherente a los datos personales

tratados;
II. La sensibilidad de los datos personales tratados; • Paso 5.
III. El desarrollo tecnológico; Realizar el Análisis de Riesgo de los Datos Personales.
IV. Las posibles consecuencias de una vulneración o Factores para Determinar las Medidas de
para los titulares; Seguridad.
V. Las transferencias de datos personales que se
realicen;
VI. El número de titulares;
VII. Las vulneraciones previas ocurridas en los
sistemas de tratamiento, y
VIII. El riesgo por el valor potencial cuantitativo o
cualitativo que pudieran tener los datos
 Capítulo II De los Deberes Acción que ayuda a cumplir con la disposición

personales tratados para una tercera

persona no autorizada para su posesión.

Acciones para la seguridad de los datos personales

Artículo 35. De manera particular, el responsable

deberá elaborar un documento de seguridad que Adopción de un SGSDP.
contenga, al menos, lo siguiente:

• Fracción I.
• Paso 4.
El inventario de datos personales y de los sistemas
Elaborar un Inventario de Datos Personales.
de tratamiento;

• Fracción II. • Paso 3.

Las funciones y obligaciones de las personas que Establecer Funciones y Obligaciones de Quienes Traten
traten datos personales; Datos Personales.

• Fracción III. • Paso 5.

El análisis de brecha; Realizar el Análisis de Riesgo de los Datos Personales.

• Paso 6.
• Fracción V.
Identificación de las medidas de seguridad y Análisis de
El análisis de brecha;
Brecha.

• Paso 7.
Implementación de las Medidas de Seguridad Aplicables a
• Fracción VI.
los Datos Personales.
El plan de trabajo;
o Plan de Trabajo para la Implementación de
las Medidas de Seguridad Faltantes.
 Capítulo II De los Deberes Acción que ayuda a cumplir con la disposición

• Fracción VII
• Paso 8.
Los mecanismos de monitoreo y revisión de las
Revisiones y Auditoría.
medidas de seguridad, y

• Paso 9.
• Fracción VIII.
Mejora Continua y Capacitación.
El programa general de capacitación.
o Capacitación.

Actualizaciones de las medidas de seguridad

Artículo 36.
El responsable deberá actualizar el documento de
seguridad cuando ocurran los siguientes eventos:

I. Se produzcan modificaciones sustanciales al

tratamiento de datos personales que deriven en un
cambio en el nivel de riesgo;
• Paso 8.
II. Como resultado de un proceso de mejora continua,
Revisiones y Auditoría.
derivado del monitoreo y revisión del sistema de
gestión;
III. Como resultado de un proceso de mejora para
mitigar el impacto de una vulneración a la seguridad
ocurrida, y
IV. Implementación de acciones correctivas y
preventivas ante una vulneración de seguridad.

Vulneraciones de seguridad
 Capítulo II De los Deberes Acción que ayuda a cumplir con la disposición

Artículo 38.
Además de las que señalen las leyes respectivas y la
normatividad aplicable, se considerarán como
vulneraciones de seguridad, en cualquier fase del
tratamiento de datos, al menos, las siguientes: • Paso 5.
Realizar el Análisis de Riesgo de los Datos Personales.
I. La pérdida o destrucción no autorizada;
II. El robo, extravío o copia no autorizada;
III. El uso, acceso o tratamiento no autorizado, o
IV. El daño, la alteración o modificación no autorizada.

Notificación de vulneraciones de seguridad

Artículo 40.
El responsable deberá informar sin dilación alguna al
titular, y según corresponda, al Instituto y a los
Organismos garantes de las Entidades Federativas, las
vulneraciones que afecten de forma significativa los
• Paso 8.
derechos patrimoniales o morales, en cuanto se
Revisiones y Auditoría.
confirme que ocurrió la vulneración y que el
responsable haya empezado a tomar las acciones
encaminadas a detonar un proceso de revisión
exhaustiva de la magnitud de la afectación, a fin de
que los titulares afectados puedan tomar las medidas
correspondientes para la defensa de sus derechos.

Información mínima al titular en caso de vulneraciones de seguridad

Artículo 41.
El responsable deberá informar al titular al menos lo
siguiente:

I. La naturaleza del incidente;

• Paso 8.
II. Los datos personales comprometidos;
Revisiones y Auditoría.
III. Las recomendaciones al titular acerca de las
o Vulneraciones a la Seguridad de la
medidas que éste pueda adoptar para proteger sus
Información
intereses;
IV. Las acciones correctivas realizadas de forma
inmediata, y
V. Los medios donde puede obtener más información
al respecto.
 Capítulo II De los Deberes Acción que ayuda a cumplir con la disposición

Medidas correctivas en caso de vulneraciones de seguridad

Artículo 42.
El responsable deberá establecer controles o
mecanismos que tengan por objeto que todas aquellas
personas que intervengan en cualquier fase del • Paso 9.
tratamiento de los datos personales, guarden Mejora Continua y Capacitación.
confidencialidad respecto de éstos, obligación que o Capacitación.
subsistirá aún después de finalizar sus relaciones con
el mismo. Lo anterior, sin menoscabo de lo establecido
en las disposiciones de acceso a la información
pública.

Consultar el Anexo 0 del documento orientador que permitirá identificar los

cumplimientos conforme a la LGPDPPSO.

http://inicio.ifai.org.mx/DocumentosdeInteres/AnexosDocumentoOrientador.zip
 Repaso

Pregunta. ¿Cuáles son los mecanismos que permiten disminuir el riesgo en los sistemas
de tratamiento de datos personales?

Disociación y separación

Autenticación de la información

Aprovechamiento y monitoreo

Combinación de bases de datos de distintas fuentes

Pregunta. ¿Cuáles son las categorías en el tratamiento de datos personales según su

riesgo inherente?

Datos personales, datos de autenticación, datos jurídicos

Nivel estándar, nivel sensible y nivel especial

Acceso, manejo y aprovechamiento

Cancelación, supresión o destrucción

Pregunta. ¿En qué se basa la seguridad de los datos personales?

En dónde y cómo se almacenan los datos personales

En entender la naturaleza del riesgo al que están expuestos los datos personales, el
riesgo no se puede erradicar completamente, pero sí se puede minimizar a través de la
mejora continua.

En determinar las características del riesgo que mayor impacto puede tener sobre los
datos personales

Definir los objetivos, políticas, procesos y procedimientos relevantes del Sistema de

Gestión
Pregunta. Al establecer criterios de evaluación del riesgo ¿a qué corresponde el
criterio de impacto?

Cuando la naturaleza del riesgo, sus consecuencias o su probabilidad sean

consideradas como muy poco significativas

Definir un plan del riesgo a tratar y posteriormente implementar controles de seguridad

A considerar los datos personales dependiendo del contexto en que se trate la

información

Al posible nivel de daño y perjuicio al titular causado por un evento negativo a la

seguridad de los datos personales

Pregunta. Cuando el sujeto obligado posee múltiples departamentos o sistemas

que procesan información personal, ¿qué debe considerar?

Ayudar a los trabajadores con las responsabilidades diarias para el cumplimiento de la

política

Contratar los servicios de una persona física o moral, especialista en la materia para
llevar a cabo las funciones o responsabilidades relacionadas con el SGSDP

Establecer una red de representantes en protección de datos personales, los cuales

representen departamentos o sistemas que sean reconocidos como relevantes, ya sea
por el tipo de proceso o por el tipo de dato personal que manejan en relación con la
gestión de información

Todas las opciones

Pregunta. ¿Cuál de estos es un criterio para elegir medidas de seguridad

efectivas?

Establecer métricas que permiten dar seguimiento a la eficacia del control

Identificar escenarios de vulneración y consecuencias

Impedir la divulgación no autorizada de los datos personales

Identificar las medidas de seguridad existentes que operan correctamente

Pregunta. ¿Cuáles son las acciones que permiten el manejo de las vulneraciones
de seguridad que puedan ocurrir?

Modificaciones necesarias a los activos, por ejemplo, cambio o migración tecnológica

Identificación de la vulneración, notificación de la vulneración, remediación del

incidente

Revisión de los factores de riesgo, auditoría, vulneración a la Seguridad de la

Información

Las revisiones, auditorías y los tratamientos de una vulneración a la seguridad

Pregunta. ¿Qué es la política de Gestión de Datos Personales?

La asignación de responsabilidades para la implementación del SGSDP

La identificación de los tipos de datos y su flujo

El compromiso formal documentado del Comité de Transparencia hacia el tratamiento

adecuado de datos personales en la Institución del Sujeto Obligado

Las consideraciones respecto al tratamiento de datos personales y el modelo de

negocios de la Institución

Pregunta. ¿Cuál de estas acciones forma parte de la fase de planeación del

Sistema de Gestión?

Elaborar una política de gestión de datos personales

Establecer las funciones y obligaciones de quienes traten los datos personales

Todas las opciones

Establecer el alcance y los objetivos de la gestión de los datos personales

Pregunta. ¿A qué se refiere la fase de mejora del SGSDP?

Contar con personal consciente de sus responsabilidades y deberes respecto a la

protección de datos personales y que identifiquen cuál es su contribución para el logro de
los objetivos del SGSDP
 Adoptar las medidas correctivas y preventivas en función de los resultados de la
revisión o verificación efectuadas, o de otras informaciones relevantes, para lograr la
mejora continua

Realizar las revisiones, auditorías y los tratamientos de una vulneración a la seguridad

al SGSDP

Eliminar las causas de fallas o incidentes ocurridos en el SGSDP, con objeto de

prevenir que vuelvan a ocurrir, dichas acciones deben ser proporcionales a la gravedad
del incidente
 Sistema de Gestión de Seguridad de Datos Personales Sector Público

Módulo 3. Implementación del SGSDP

Tema 1. Caso de Estudio

Nota aclaratoria: El presente Caso de Estudio es un ejemplo didáctico con datos y

procesos ficticios.

Introducción

El Ministerio de Desarrollo Social creó el programa denominado “REGISTRO DE

NECESIDADES PARA PUEBLOS INDÍGENAS” a través de sus Reglas de Operación, a
fin de determinar los sectores más vulnerables del país e incluirlos en el eje transversal
denominado “Cruzada por el Desarrollo Social”, dando prioridad a dichos sectores de la
población en todos los programas sociales del Gobierno Federal.

En el lanzamiento de dicho programa social, el titular del Ministerio de Desarrollo Social

instó al Ministerio de los Pueblos Indígenas a colaborar de manera estrecha con la
implementación del nuevo programa social. De esta manera, los titulares de ambas
dependencias firmaron en carácter de responsables conforme a la legislación de protección
de datos personales, un Convenio de colaboración considerando las funciones de cada
una, así como las reglas mínimas para el tratamiento de los datos personales que se
recaben, destacando que al ser ambos sujetos obligados, de manera automática les
aplicará la Ley General de Protección de Datos Personales en Posesión de Sujetos
Obligados, esto con el objetivo de lograr la debida ejecución del programa “REGISTRO DE
NECESIDADES DE PUEBLOS INDÍGENAS”.
Como parte de los acuerdos del convenio, se estableció un organigrama del personal
involucrado en los trabajos a realizar tanto del Ministerio de Desarrollo Social como del
Ministerio de los Pueblos Indígenas, el cual se muestra a continuación:

Organigrama del personal involucrado en la firma del Convenio

El Ministerio de Desarrollo Social, a través de su Dirección General de Registro

tendrá a cargo los censadores, personal eventual que se encargará de realizar el
levantamiento de información entre los integrantes de las comunidades, a fin de
crear el Padrón Único de Comunidades Indígenas.

A su vez, el Ministerio de los Pueblos Indígenas, a través de la Dirección General

de Traducciones, dará el apoyo con personal que fungirá como traductor en las
entrevistas que se realicen a las comunidades indígenas para la obtención de la
información personal.
Para el levantamiento del censo, se cuenta con 100 dispositivos arrendados por
parte del Ministerio de Desarrollo Social, a la empresa Soluciones
Tecnológicas AC, mediante un contrato con duración de un año.

Asimismo, se ha instalado en cada uno de los dispositivos la aplicación móvil

“Hagamos Patria”, desarrollada por la Universidad del Pueblo, la cual contiene un
cuestionario denominado Formato Único de Necesidades para recabar la
información personal que integrará el Padrón Único de Comunidades
Indígenas.

Padrón Único

Para la debida conformación del Padrón Único, los censadores con auxilio de los
traductores asisten a sitio a efecto de levantar la siguiente información personal:
nombre(s), apellido paterno, apellido materno, edad, sexo, estado civil, domicilio,
teléfono, CURP, firma, descripción de necesidades, nivel socioeconómico,
pertenencia a un sector definido como vulnerable para los nuevos programas
sociales (personas con discapacidad, personas de la tercera edad, niños, niñas o
adolescentes, pueblos indígenas, enfermedades crónicas, etc.), mapa de ubicación
física del beneficiado, fotografías de la identificación oficial y de la fachada del lugar
donde viven, notas, huellas dactilares del dedo índice y pulgar para completar su
expediente. Cabe señalar que dicha información se almacena en los Formatos
Únicos de Necesidades que se encuentran cargados en los dispositivos
electrónicos.

Una vez que los censadores terminan su jornada laboral, deben descargar toda la
información que obtuvieron en una computadora para conformar el Padrón Único,
imprimir todos los registros que realizaron con la documentación y fotografías
recabadas, a fin de generar un expediente en formato físico por beneficiado y
entregarlo a su supervisor.

Finalmente, los supervisores resguardan los dispositivos electrónicos y los

expedientes de manera física y mediante un respaldo, en la computadora de las
oficinas regionales que el Ministerio de Desarrollo Social ha determinado.
 Funciones de los actores principales en el tratamiento de datos personales

Traductores

Traducción verbal de la entrevista a los titulares de los datos personales en las

comunidades indígenas.

Censadores

• Captura de información en dispositivo electrónico

• Toma de fotografías
• Descarga de información y fotografías en computadora
• Imprimir información para generar expediente físico

Supervisores

• Resguardo de expedientes en físico

• Resguardo de dispositivos
• Realización de respaldos

Comunicación de Datos

Para cumplir con las disposiciones establecidas por el Ministerio de la Función

Pública relativas al Sistema Integral de Información de Padrones de Programas
Gubernamentales, el Ministerio de Desarrollo Social debe compartir a través de
archivos electrónicos comprimidos el Padrón Único de Comunidades Indígenas.

Conforme a las políticas y procedimientos establecidos, todos los supervisores

cargan en el sistema del Ministerio de la Función Pública, la información
correspondiente, utilizando una cuenta única de usuario y contraseña, por lo que no
es posible saber quiénes son los supervisores que intervienen en la comunicación
de datos personales de los titulares inscritos en el Padrón Único en comento.

El titular del Ministerio de Desarrollo Social, comparte su usuario y contraseña

con los supervisores a fin de cargar información adicional de cada comunidad
indígena, cabe destacar que dicho usuario en razón de ser del titular de la
dependencia, cuenta con diversos permisos entre los que se encuentran la carga y
descarga de los padrones de los demás programas sociales a cargo de la misma
dependencia.

Contexto de la Seguridad por proceso

1) Padrón Único

• La aplicación utilizada no cifra la información que se captura, el Ministerio

de Desarrollo Social indicó que el cifrado de la información no se
requiere ya que no se transmiten datos vía web.
• La computadora donde se descarga la información está protegida con
usuario y contraseña, sin embargo, los censadores conocen ese usuario
y contraseña.
• Los supervisores pueden ver y modificar los datos de encuestas que
hayan realizado los censadores en virtud de contar con permisos de
administrador.
• En la computadora asignada para cada Centro de Desarrollo Rural, el
supervisor realiza los respaldos de la información obtenida, no obstante,
se ha identificado que en los últimos ejercicios fiscales no se ha destinado
el recurso suficiente para el mantenimiento de los inmuebles que ocupan
los Centros de Desarrollo Rural, por lo que, en ciertas temporadas, se filtra
el agua de lluvia, acumulando humedad en las paredes. Del mismo modo,
 no se cuenta con detectores de humo ni sistemas antiincendio instalados.
Por otro lado, se detectó que, en algunos de los Centros de Desarrollo
Rural, no se cuenta con protección en las ventanas.
• El Centro de Desarrollo Rural cuenta con archiveros y oficinas bajo llave.
• Se identificó que ciertas comunidades indígenas, se encuentran cerca de
asentamientos serranos de crimen organizado y no todos los Centros de
Desarrollo Rural cuentan con personal de vigilancia para resguardar los
inmuebles.
• El Convenio de colaboración no contempla capacitación para el uso y/o
funcionamiento de los equipos electrónicos y de la aplicación.

2) Comunicación de Datos

• No se han realizado actualizaciones al software de la aplicación desde

que fue instalada en los dispositivos electrónicos.
• El contrato que se firmó entre el Ministerio de Desarrollo Social y la
empresa Soluciones Tecnológicas se encuentra extraviado y está próximo
a vencerse. Por lo que la nueva administración desconoce las condiciones
establecidas en el mismo.
• Se desconoce si los dispositivos electrónicos funcionan en condiciones
extremas tales como temperaturas altas o bajas, resistencia al agua y a
la humedad.
• No se especificó una cláusula de confidencialidad en el Convenio
aplicable entre los censadores y traductores.
• No existen centros de carga suficientes en las localidades. Asimismo, por
la diversidad del clima, estas localidades, padecen de cortos a la
electricidad de manera recurrente.
• Respecto a los servicios de resguardo y comunicación de datos,
el Ministerio de Desarrollo Social manifiesta que no existe un contrato
de prestación de servicios que indique la información que se resguarda
en equipos de cómputo, en qué medios de almacenamiento y si existe una
política y/o procedimiento para el respaldo y recuperación de la
información.

Ejercicio 1
Realice el inventario de datos personales

Realice el inventario de datos personales del "REGISTRO DE NECESIDADES

PARA PUEBLOS INDÍGENAS”.
 Ejercicio 2

Realice el análisis de riesgo

Realice el análisis de riesgo a fin de identificar las amenazas y vulnerabilidades

del "REGISTRO DE NECESIDADES PARA PUEBLOS INDÍGENAS”.

De la información proporcionada en la sección Contexto de la Seguridad por

proceso, identifica y ordena los Activos, Amenazas y Vulnerabilidades, para
crear un escenario de riesgo.

Ejemplo:

Escenario: El activo expedientes en papel es susceptible a la amenaza de

incendio debido a que tiene la vulnerabilidad de ser un material susceptible al
fuego, lo que podría tener por impacto la pérdida definitiva de la información.

Ejercicio 3

Conforme al Contexto de la Seguridad por proceso, identifica las medidas de

seguridad para cada uno de ellos, complementando la siguiente tabla:
 Ejercicio 4

Realice una propuesta de plan de trabajo

Conforme al resultado del análisis de brecha del ejercicio tres, elabore una
propuesta de plan de trabajo, apoyándose de la herramienta informática Evaluador
de Vulneraciones.

http://inicio.ifai.org.mx/SitePages/Evaluador-Vulneraciones.aspx
 Repaso

Para ayudarle a reafirmar sus conocimientos de lo revisado en este módulo,

resuelva el siguiente ejercicio de autoevaluación.

Pregunta. ¿Qué implica un Plan de trabajo para la implementación de medidas de

seguridad faltantes?

Comunicar el riesgo es la actividad que resulta de alcanzar los acuerdos sobre

el cómo administrar los riesgos, considerando su naturaleza, forma, probabilidad,
severidad, tratamiento y aceptación

Seleccionar los controles de seguridad faltantes identificados en el análisis de

brecha y en el plan de tratamiento del riesgo, tomando en cuenta la ponderación
hecha en la valoración

Seleccionar los controles apropiados y justificados para satisfacer los

requerimientos especificados por la valoración del riesgo

Atender a más de un riesgo, por ejemplo, el entrenamiento y concienciación del

personal

Pregunta. ¿Qué se requiere antes de proceder al análisis de brecha de las medidas

de seguridad?

Seleccionar e implementar las medidas de seguridad administrativas, técnicas o

físicas que permitan disminuir los riesgos

Identificar los activos y procesos relacionados a los datos personales, así como
las amenazas, vulnerabilidades y escenarios de incidentes relacionados

Tomar en cuenta los criterios para elegir las medidas de seguridad efectivas que
protejan los datos personales contra daño, pérdida, destrucción o alteración

Identificar las medidas de seguridad existentes que operan correctamente

Pregunta. ¿Qué identifica un inventario de datos personales?

Las obligaciones surgen de los acuerdos existentes entre los diferentes actores
del tratamiento de datos personales y sus interacciones

La información básica que permita conocer el tipo de tratamiento al que son

sometidos los datos personales, la cual se relaciona de manera directa con su flujo
o ciclo de vida

La divulgación, así como las remisiones y transferencia de la información

Los sistemas de tratamiento de datos personales que utiliza una Institución

Pregunta. ¿En qué artículo de la Ley General de Protección de Datos Personales

en Posesión de Sujetos obligados se establecen los criterios de evaluación de
riesgo de la seguridad de datos personales?

En el Artículo 3

En el Artículo 32

En el Artículo 64

En el Artículo 38
Sistema de Gestión de Seguridad de Datos Personales Sector Público

Módulo 4. Anexos
Consulte el Glosario de términos para ampliar su comprensión de los
conceptos empleados a lo largo del curso.

Consulte aquí:

Ley General De Protección De Datos Personales En Posesión De

Sujetos Obligados

Lineamientos Generales de Protección de Datos Personales para el

Sector Público

y descarga el PDF o consulta el DOF:

Diario Oficial de la Federación

Nota: el glosario de términos retoma definiciones de la Ley General de Protección
de Datos Personales en Posesión de Sujetos Obligados, la Guía para implementar
un Sistema de Gestión de Seguridad de Datos Personales y el Diccionario de
Protección de Datos Personales:

• Activo: La información, el conocimiento sobre los procesos, el personal,

hardware, software y cualquier otro recurso involucrado en el tratamiento de
los datos personales, que tenga valor para la Institución.
• Bases de datos: Conjunto ordenado de datos personales referentes a una
persona física identificada o identificable, condicionados a criterios
determinados, con independencia de la forma o modalidad de su creación,
tipo de soporte, procesamiento, almacenamiento y organización;
• Comité de Transparencia: Instancia a la que hace referencia el artículo 43
de la Ley General de Transparencia y Acceso a la Información Pública;
• Datos personales: Cualquier información concerniente a una persona física
identificada o identificable. Se considera que una persona es identificable
cuando su identidad pueda determinarse directa o indirectamente a través de
cualquier información;
• Datos personales sensibles: Aquellos que se refieran a la esfera más
íntima de su titular, o cuya utilización indebida pueda dar origen a
discriminación o conlleve un riesgo grave para éste. De manera enunciativa
más no limitativa, se consideran sensibles los datos personales que puedan
revelar aspectos como origen racial o étnico, estado de salud presente o
futuro, información genética, creencias religiosas, filosóficas y morales,
opiniones políticas y preferencia sexual;
• Encargado. La persona física o moral, pública o privada, ajena a la
organización del responsable, que sola o conjuntamente con otras, trata
datos personales por cuenta del responsable, como consecuencia de la
existencia de una relación jurídica que le vincula con el mismo y delimita el
ámbito de su actuación para la prestación de un servicio
• Evaluación de impacto en la protección de datos personales:
Documento mediante el cual los sujetos obligados que pretendan poner en
operación o modificar políticas públicas, programas, sistemas o plataformas
informáticas, aplicaciones electrónicas o cualquier otra tecnología que
 implique el tratamiento intensivo o relevante de datos personales, valoran los
impactos reales respecto de determinado tratamiento de datos personales, a
efecto de identificar y mitigar posibles riesgos relacionados con los principios,
deberes y derechos de los titulares, así como los deberes de los
responsables y encargados, previstos en la normativa aplicable;
• Impacto. Una medida del grado de daño a los activos o cambio adverso en
el nivel de objetivos alcanzados por una Institución.
• Incidente. Escenario donde una amenaza explota una vulnerabilidad o
conjunto de vulnerabilidades.
o Amenaza. Circunstancia o evento con la capacidad de causar daño a
una Institución.
o Vulnerabilidad. Falta o debilidad de seguridad en un activo o grupo
de activos que puede ser explotada por una o más amenazas.
• Medidas de seguridad: Conjunto de acciones, actividades, controles o
mecanismos administrativos, técnicos y físicos que permitan proteger los
datos personales;
o Medidas de seguridad administrativas: Políticas y procedimientos
para la gestión, soporte y revisión de la seguridad de la información a
nivel organizacional, la identificación, clasificación y borrado seguro
de la información, así como la sensibilización y capacitación del
personal, en materia de protección de datos personales;
o Medidas de seguridad físicas: Conjunto de acciones y mecanismos
para proteger el entorno físico de los datos personales y de los
recursos involucrados en su tratamiento. De manera enunciativa más
no limitativa, se deben considerar las siguientes actividades: a)
Prevenir el acceso no autorizado al perímetro de la organización, sus
instalaciones físicas, áreas críticas, recursos e información; b)
Prevenir el daño o interferencia a las instalaciones físicas, áreas
críticas de la organización, recursos e información; c) Proteger los
recursos móviles, portátiles y cualquier soporte físico o electrónico que
pueda salir de la organización, y d) Proveer a los equipos que
contienen o almacenan datos personales de un mantenimiento eficaz,
que asegure su disponibilidad e integridad;
o Medidas de seguridad técnicas: Conjunto de acciones y
mecanismos que se valen de la tecnología relacionada con hardware
y software para proteger el entorno digital de los datos personales y
los recursos involucrados en su tratamiento. De manera enunciativa
más no limitativa, se deben considerar las siguientes actividades: a)
Prevenir que el acceso a las bases de datos o a la información, así
como a los recursos, sea por usuarios identificados y autorizados; b)
Generar un esquema de privilegios para que el usuario lleve a cabo
las actividades que requiere con motivo de sus funciones; c) Revisar
la configuración de seguridad en la adquisición, operación, desarrollo
y mantenimiento del software y hardware, y d) Gestionar las
comunicaciones, operaciones y medios de almacenamiento de los
recursos informáticos en el tratamiento de datos personales;
• Programa Nacional de Protección de Datos Personales: es el instrumento
rector, acordado por los integrantes del Sistema Nacional de Transparencia,
Acceso a la Información Pública y Protección de Datos Personales (SNT),
para impulsar y desarrollar la política pública de protección de datos
personales, en los sujetos obligados del sector público considerados por la
Ley General de Protección de Datos Personales en Posesión de Sujetos
Obligados.
• Remisión: Toda comunicación de datos personales realizada
exclusivamente entre el responsable y encargado, dentro o fuera del territorio
mexicano;
• Responsable: Los sujetos obligados a que se refiere el artículo 1 de la
presente Ley que deciden sobre el tratamiento de datos personales;
• Riesgo. Combinación de la probabilidad de un evento y su consecuencia
desfavorable.
• Riesgo de seguridad. Potencial de que cierta amenaza pueda explotar las
vulnerabilidades de un activo o grupo de activos en perjuicio de la Institución.
o Valorar el riesgo. Proceso para asignar valores a la probabilidad y
consecuencias del riesgo.
o Comunicar el riesgo. Compartir o intercambiar información entre el
comité de transparencia, custodios y demás involucrados acerca del
riesgo.
o Tratar el riesgo: Procesos que se realizan para modificar el nivel de
riesgo.
o Aceptar el riesgo. Decisión informada para coexistir con un nivel de
riesgo.
o Compartir el riesgo. Proceso donde se involucra a terceros para
mitigar la pérdida de información generada por un riesgo en particular,
sin que el dueño del activo afectado reduzca su responsabilidad.
o Evitar el riesgo. Acción para retirarse de una situación de riesgo o
decisión para no involucrarse en ella.
o Reducir el riesgo. Acciones tomadas para disminuir la probabilidad,
las consecuencias negativas, o ambas, asociadas al riesgo.
o Retención del riesgo. Aceptación de la pérdida generada por un
riesgo en particular. Esta acción implica monitoreo constante del
riesgo retenido.
o Riesgo residual. El riesgo remanente después de tratar el riesgo.
• Seguridad de la información. Preservación de la confidencialidad,
integridad y disponibilidad de la información, así como otras propiedades
delimitadas por la normatividad aplicable.
o Confidencialidad. Propiedad de la información para no estar a
disposición o ser revelada a personas, entidades o procesos no
autorizados.
o Disponibilidad. Propiedad de un activo para ser accesible y utilizable
cuando lo requieran personas, entidades o procesos autorizados.
o Integridad. La propiedad de salvaguardar la exactitud y completitud
de los activos.
• Sistema de Gestión de Seguridad de Datos Personales (SGSDP). Es
aquel que permite planificar, establecer, implementar, operar, monitorear,
mantener, revisar y mejorar las medidas de seguridad de carácter
administrativo, físico y técnico aplicadas a los datos personales; tomando en
consideración los estándares nacionales e internacionales en materia de
protección de datos personales y seguridad.
• Sistema de Tratamiento: Conjunto de elementos mutuamente relacionados
o que interactúan, para la obtención, uso, registro, organización,
conservación, elaboración, utilización, comunicación, difusión,
almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación,
transferencia o disposición de datos personales, en medios físicos o
electrónicos.
• Supresión: La baja archivística de los datos personales conforme a la
normativa archivística aplicable, que resulte en la eliminación, borrado o
destrucción de los datos personales bajo las medidas de seguridad
previamente establecidas por el responsable;
• Titular: La persona física a quien corresponden los datos personales;
• Tratamiento: Cualquier operación o conjunto de operaciones efectuadas
mediante procedimientos manuales o automatizados aplicados a los datos
personales, relacionadas con la obtención, uso, registro, organización,
conservación, elaboración, utilización, comunicación, difusión,
almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación,
transferencia o disposición de datos personales, y
• Transferencia: Toda comunicación de datos personales dentro o fuera del
territorio mexicano, realizada a persona distinta del titular, del responsable o
del encargado;

1 Diccionario de Protección de Datos Personales, conceptos fundamentales. Isabel Davara F. de

Marcos, coordinadora. INAI, 1ra. Ed. noviembre 2019. Página 731.