(¡Por fin!) Nueva Ley de Datos Personales para México

En este día, 26 de enero de 2017, ha sido publicado el Decreto de expedición de la tan esperada “Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados” (LGPD).

A reserva de analizar en otra oportunidad los aspecto más relevantes, las innovaciones que esta nueva ley supone, me gustaría responder de inmediato: ¿Y por qué dices tú que era tan esperada esta ley ?

 

La primera razón que me viene a la mente para responder a esa pregunta, es el sentido de igualdad de obligaciones que debe primar en materia de protección de datos. Al respecto, debemos recordar que México no incluyó como sujetos de obligaciones, en materia de protección de datos personales, a los que la LGPD ahora denomina SUJETOS OBLIGADOS.

Para no incluir a este grupo de SUJETOS OBLIGADOS en el mundo de obligaciones relacionadas con la protección de datos personales, muchos sabemos que incluso se recurrió a un ingenioso (y largo) nombre para la ley que fue publicada el  5 de julio de 2010: la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPD“).

Esta decisión trajo consigo un generalizado estado de malestar en el mundo de “los particulares”, quienes tras un breve análisis, preguntaban abiertamente: ¿Y por qué “el gobierno” no hace lo mismo?, ¿por qué no tienen que cumplir con esta ley? Ellos tienen mucha información, de millones y millones de personas, ¿el Gobierno no debe cumplir con todos los principios para proteger los datos?

Pero dejando atrás esta realidad y malestar, en parte porque es inevitable cumplir con la LFPD y “los particulares” ya son investigados y sancionados por su incumplimiento, concuerdo con la comisionada presidente del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), cuando señala que la LGPD es una ley “sin precedentes en México, que dotará al sector público de certeza jurídica y equilibrio regulatorio para la protección de ese derecho fundamental.”

Y esa es parte de la segunda razón por la que damos la bienvenida con entusiasmo a la LGPD, pues pienso en un previsible efecto expansivo de concientización y conocimiento que derivará de la aplicación y cumplimiento de la LGPD, tanto a nivel federal, estatal y municipal. Los estudios, acciones, planes, proyectos, programas e iniciativas que derivarán de su entrada en vigor, no pueden sino contribuir al desarrollo de la necesaria “cultura de la protección de datos”, que ya promueve desde hace tiempo el INAI.

Pero dicho lo anterior, y para centrar la atención en el efecto que considero debemos resaltar, digamos de una vez por todas que, AHORA SÍ, “el Gobierno” estará obligado a garantizar el derecho que tiene toda persona a la protección de sus datos personales.

Pero, como “el Gobierno” pueden ser muchas cosas, recurramos a la LGPD para aclarar a qué nos referimos; y comencemos por el concepto estrella.

Conforme al artículo 1 de la LGPD, “son sujetos obligados por esta Ley, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.”

También se indica en este primer artículo, con el objeto de evitar debates innecesarios, que “los sindicatos y cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal serán responsables de los datos personales, de conformidad con la normatividad aplicable para la protección de datos personales en posesión de los particulares.”

Y, de verdad, para no dejar duda, se cierra el artículo 1 con este sencillo párrafo: “En todos los demás supuestos diferentes a los mencionados en el párrafo anterior, las personas físicas y morales se sujetarán a lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Con lo anterior, debemos tener el circulo por cerrado: todos los posibles sujetos que pueden o deben tratar datos personales, cuentan ya con una normativa que en sus respectivos ámbitos, les regula y establece las obligaciones y principios que deben regir el tratamiento de esta información.

Por supuesto, habrá diferencias entre el régimen privado y el público, pero también podemos adelantar algunas coincidencia conceptuales, tales como: el aviso de privacidad, las bases de datos, el bloqueo (de datos personales), el consentimiento, los datos personales y los datos personales sensibles, los derechos ARCO, el encargado, la remisión, la transferencia, el tratamiento y, desde luego, el titular de los datos personales. Como es obvio, en la LGPD se describe al responsable como “los sujetos obligados a que se refiere el artículo 1 de la presente Ley que deciden sobre el tratamiento de datos personales.

Las diferencias específicas en la LFPD y la LGPD, que deberemos resumir en otras oportunidades, son varias, pero en este momento me gustaría anunciar como diferencia notable que los sujetos obligados que lleven a cabo “tratamientos intensivos o relevantes” de datos personales, deberán efectuar Evaluaciones de Impacto en la Protección de Datos Personales, conocidas también como PIAs (Privacy Impact Assessments).

Por otro lado, y aunque algunos colegas usan el concepto para los particulares, a pesar de que la LFPD ni lo menciona, en la LGPD ya encontramos, de forma expresa, el concepto de “Documento de Seguridad“, definido como el “instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee“.

Y tal y como ya hiciera el Reglamento General de Protección de Datos de la Unión Europea, nuestra nueva LGPD introduce el concepto de la “portabilidad de los datos”, como un medio para que los titulares puedan obtener del responsable una copia de sus datos “en un formato electrónico estructurado y comúnmente utilizado“.

Ya a partir de estos tres conceptos, y sus implicaciones prácticas y de cumplimiento, podemos adelantar que los sujetos obligados de la LGPD tienen en el horizonte grandes ventanas de oportunidad en el momento en que decidan emprender acciones y proyectos de cumplimiento que, lo sé personalmente, redundaran en beneficios tanta para las propias entidades como para los titulares de los datos personales.

Finalmente y por ahora, señalemos que la LGPD entrará al día siguiente de su publicación en el Diario Oficial de la Federación. Además, tengamos presente que el artículo segundo transitorio de su Decreto de expedición, establece un plazo corto (y aplaudible) de seis meses para que Congreso de la Unión y las Legislaturas de las Entidades Federativas realicen las adecuaciones legislativas necesarias para ajustar las leyes federales y locales a las disposiciones previstas en la LGPD.

En el mismo numeral, se prevé que “en caso de que el Congreso de la Unión o las Legislaturas de las Entidades Federativas omitan total o parcialmente realizar las adecuaciones legislativas a que haya lugar, en el plazo establecido [de seis meses], resultará aplicable de manera directa la presente Ley, con la posibilidad de seguir aplicando de manera supletoria las leyes preexistentes en todo aquello que no se oponga a la misma, hasta en tanto no se cumpla la condición impuesta en el presente artículo.

Dicho todo lo anterior, y confesando que tengo tiempo esperando este momento, termino diciendo: ¡BIENVENIDA LA LGPD!

Hasta el próximo post…

Capacitación y principio de responsabilidad. Cuidando el eslabón más débil

Concluye el año y debo muchas entradas a este blog.

No quisiera que 2016 termine sin compartir con ustedes uno de los temas que durante todo este año surgió en mi trabajo, por más de una razón.

Y es que siendo nuestros empleados/colaboradores el “eslabón más débil de la cadena de seguridad de la información”, resulta indispensable hablar de manera directa y realista sobre la importancia de su capacitación en materia de protección de datos personales, como elemento necesario para disminuir el riesgo de un incorrecto (e ilegal) tratamiento de los datos personales en posesión de sus empleadores, es decir, los responsables de dicha información.

Recordemos que los artículos 6 y 14 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “LFPD) establecen, respectivamente, que “los responsables en el tratamiento de datos personales, deberán observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley”; y que “el responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por esta Ley, debiendo adoptar las medidas necesarias para su aplicación“.

Por su parte, el artículo 48 del Reglamento de la LFPD, de título “Medidas para el principio de responsabilidad“, establece en su fracción II que entre aquéllas que el responsable podrá adoptar para garantizar el debido tratamiento de los datos personales se encuentra la puesta en práctica de “un programa de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales”.

Al respecto, quiero señalar e ilustrar que la autoridad reguladora de México, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), ha dado y seguirá dando importancia a la capacitación del personal de los responsables, como un elemento de cumplimiento al principio de responsabilidad.

Y es que mientras en otros lares se preparan para las exigencias que el “accountability” traerá consigo, en nuestro país el INAI ya exige a los responsables que acrediten la existencia de programas de capacitación de su personal en materia de protección de datos personales… sin que muchos responsables aún presten atención a esta medida relacionada con la responsabilidad inherente a la posesión y tratamiento de datos personales..

Para ilustrar el punto (y con la debida confidencialidad) comparto ejemplos de requerimientos de información/documentación que hemos recibido por parte del INAI, indagando precisamente sobre la existencia de dicha capacitación:

capacitacion

 

A más inri, debo indicar que cuando el INAI requiere a los responsables acreditar la capacitación de su personal en materia de protección de datos personales, no lo hace para llevar una mera estadística, sino para resolver sobre el cumplimiento o incumplimiento del principio de responsabilidad, tal y como lo indica en varios de sus considerandos conocidos. Aquí un ejemplo:

considerando

Y si los responsables son incapaces de acreditar la capacitación de su personal en la materia, el INAI sancionará por ello, sin lugar a dudas:

resolucion

Es por lo anterior que la implementación de medidas y acciones de cumplimiento de la normativa de protección de datos personales debe incluir la capacitación y actualización del personal en esta materia, más allá de una serie de cursos esporádicos, puesto que la normativa vigente se refiere a la puesta en práctica de un programa, entendido desde nuestro punto de vista como un “proyecto ordenado de actividades”.

Este programa deberá definirse en función de la naturaleza, tamaño y estructura de los propios responsables, y deberá tomar en cuenta las diversas unidades que tienen acceso a datos personales dentro de la organización responsable, así como la naturaleza de los datos personales tratados y sus diversas finalidades de tratamiento; la permanencia o continua rotación del personal también deberán ser tomadas en cuenta a la hora de definir un programa de capacitación, actualización y concientización en esta materia.

Todo lo anterior, además, con vocación u orientación de servir con evidencia o prueba de la existencia de nuestro programa, y de su puesta en práctica al interior de la entidad responsable de los datos.

Como no puede ser de otra forma en esta materia, deberemos asumir la inexistencia de reglas generales que nos brinden soluciones únicas para definir un programa de capacitación que de manera infalible pueda convencer al INAI de nuestro cumplimiento al respecto; será el análisis de cada caso en concreto y la experiencia y conocimiento de los profesionales a cargo, quienes deberán definir la idoneidad de un programa u otro, así como su periodicidad recomendada y  los perfiles de empleados que deban recibir determinada capacitación.

Como resumen a todo lo anterior, podemos concluir, al menos, que:

  • Existe un principio de responsabilidad, que todo responsable de datos personales debe cumplir,
  • La normativa prevé que una de las medidas para cumplir con dicho principio es la puesta en práctica de programas de capacitación del personal, en materia de protección de datos personales,
  • El INAI investiga y verifica la existencia de dichos programas de capacitación.
  • El INAI puede sancionar la inexistencia de capacitación al personal con acceso a datos personales; lo ha hecho y seguirá haciéndolo en muchos casos que se le presenten.
  • Como responsables (y encargados), debemos asumir dicha obligación y preparar a nuestra organización para adoptar las medidas necesarias que permitan la implementación de programas de capacitación en materia de protección de datos personales.

Finalmente, desear a todos los que hayan llegado a este punto una Feliz Navidad y un exitoso 2017.

Hasta el próximo post…

 

Imagen cortesía de Pressfoto, vía Freepik.com

Imagen: Chris Vickery

#INEgate. ¿Nuevos lineamientos para la entrega de datos personales? Recuento de daños y reflexiones. Primera parte.

Ha sido noticia internacional, y por lo tanto muchos ya están enterados de que la Lista Nominal de Electores (LNE) en que constan múltiples datos de millones de mexicanos, estuvo expuesta de forma insegura, y accesible para su descarga sin controles de seguridad.

Aunque se ha intentado vender lo contrario, la información disponible apunta a que la LNE estuvo al descubierto debido a una incorrecta configuración de la base de datos que la contenía y que estaba alojada, para más inri, en un servidor ubicado en los Estados Unidos de América.

Tres fueron las fuentes originales de esta noticia, que durante el viernes 22 de abril de 2016 se expandió, en parte, gracias a las redes sociales:

  1. Este video de MacKeeper: Massive Data Breach of Mexican Voter Data,
  2. Esta entrada de Chris Vickery: BREAKING: Massive Breach of Mexican Voter Data, y
  3. Esta entrada desde el blog especializado en vulneraciones de seguridad “DataBreaches.net”: Personal info of 93.4 million Mexicans exposed on Amazon.

Desde entonces y hasta el día de hoy, se ha dado a conocer mucha información que, en algunos casos, puede resultar confusa.

La primera información oficial disponible proviene del propio Instituto Nacional Electoral (INE), que el 25 de abril de 2016 publicó una Nota de Prensa, de la cual extraemos:

  • “INE actuó con diligencia y prontitud para proteger datos personales de la ciudadanía”.
  • “Instruyó a la Unidad Técnica de lo Contencioso Electoral apresurar investigación y conocer resultados”.
  • “… el profesionalismo con el que se ha actuado nos ha permitido identificar la huella electrónica, la huella digital, que corresponde a la Lista que ilegalmente fue puesta a disposición pública en un portal de internet.”
  • “Gracias al profesionalismo con el que se actuó, la información de nosotros los mexicanos que nos hemos inscritos en el Padrón Electoral está salvaguardada y el acceso a la base de datos está cerrada”.
  • “Tanto la Unidad de lo Contencioso como la Fiscalía Especializada para la Atención de Delitos Electorales cuentan con todos los elementos jurídicos para resolver este asunto en breve e imponer las sanciones administrativas, por lo que corresponde al INE, y aplicar las responsabilidades penales por parte de la Fiscalía”

Como puede leerse, el propio INE se encargó de indicar en sus primeras declaraciones oficiales que había identificado al partido político que habría sido responsable de la fuga de información, si bien se abstuvo de hacer pública dicha identificación. Se indicó, eso sí, que la LNE filtrada correspondería a una copia electrónica entregada por mandato legal a dicho partido político.

El día 27 de abril de 2016 el partido Movimiento Ciudadano levantó la mano para reconocer que la LNE filtrada era “la suya”, para argumentar, en el mismo acto, que los servidores de Amazon Web Services donde habían decidido alojar esta información habían sido atacados por “hackers profesionales”. Aquí pueden acceder al “posicionamiento” que este partido difundió en la fecha indicada: Posicionamiento de Movimiento Ciudadano: Lista Nominal.

Personalmente, ya opiné bastante en Twitter sobre la información y la posición de “víctima” con que Movimiento Ciudadano ha querido aparecer en este grave incidente, sin menor reconocimiento por su parte respecto de la inexistencia de un procedimiento de gestión de la información en ese partido, que explicase con mediana lógica no sólo por qué habían decidido “subir” esta información a una “nube pública”, sino también por qué la base de datos alojada en los servidores de Amazon lo fue sin que la LNE hubiese sido previamente cifrada.

En todo caso, lo que sí merece opinión y reprobación es la actitud “maten al mensajero” que dicho partido adoptó como “defensa” de su negligencia, según la cual, en clara estrategia de distracción, era necesario tratar a Chris Vickery como sospechoso del “hackeo” que supuestamente sufrió Amazon, ya que este experto en seguridad fue quien dio con la filtración y, “obvio”, en lugar de callar su descubrimiento tuvo a bien anunciar lo que estaba ocurriendo.

La respuesta de Chris Vickery a las acusaciones de Movimiento Ciudadano se puede escuchar en esta entrevista, donde aquél aclara la forma en que accedió al archivo “padron2015” que contenía la LNE, sin necesidad de haber hackeado ningún sistema de información.

Entre el 27 y 28 de abril, diversos medios mexicanos publicaron que Amazon negaba oficialmente haber sido hackeado, indicando dichos medios, en casi todos los casos, lo siguiente:

  • Lista nominal que subió MC, “almacenada de manera no segura”: Amazon”,
  • MC guardó de forma “no segura” el padrón: Amazon”, o
  • Lista nominal se almacenó de manera insegura: Amazon”.

Por su parte, el blog “DataBreaches.net” publicó un artículo en el cual explica paso a paso cómo pudo accederse a dicha información, sin necesidad de atacar ningún sistema; simplemente porque la información había sido guardada de forma no segura. El título del artículo lo dice todo: Accessing Movimiento Ciudadano’s database was as easy as 1, 2, 3. Para acceder a toda la información, debe solicitarse una contraseña al responsable del blog.

Por no hacer el cuento grande respecto a Movimiento Ciudadano, indiquemos que actualmente la posición de este partido político se resume en dos boletines que, marcados con fecha 2 de mayo de 2016, aparecen en su web:

La primera consecuencia de la filtración de la LNE, con independencia de los actos de escapismo que hemos resumido, tomó forma el pasado 4 de mayo de 2016, cuando se anunció que el Consejo General del INE aprobaba los “lineamientos para el acceso, verificación y entrega de los datos personales en posesión del Registro Federal de Electores, a los integrantes de los Consejos General, Locales y Distritales; las Comisiones de Vigilancia y los Organismos Públicos Locales”.

Favor de notar, tal y como aclaro más adelante, que esta materia no es nueva para el INE, pues existen Lineamientos previos sobre esta materia, publicados en el Diario Oficial de la Federación (DOF) en febrero de 2013 y un Procedimiento de Entrega de la Lista Nominal de Electores, publicado en el mismo medio en junio de 2015.

En su nota de prensa, decíamos, el INE informó que

  • Los Lineamientos establecen que para los procesos electorales 2017-2018 se entregará a los partidos políticos, para su labor de verificación de la Lista Nominal, los datos de los mexicanos como son: nombre completo, entidad, distrito, municipio y sección, y podrán acceder a los demás datos personales no entregados físicamente a través de los centros de consulta dispuestos en las oficinas del Registro Federal de Electores y en las Juntas Locales y Distritales.”,
  • “Se trata de que los partidos políticos sigan contribuyendo a la calidad del Padrón Electoral, y de eliminar cualquier posibilidad de que la secrecía de datos personales como el domicilio, la clave de elector y el campo conocido como OCR, puedan ser divulgados, difundidos o utilizados”,
  • “… el reto consiste en que “los partidos y la autoridad electoral nos ajustemos a los desafíos que nos impone un tema que hace 25 años era desconocido para todos, que es el de la protección de los datos personales”.”
  • “dichos lineamientos [los nuevos] responden a tres principios fundamentales como son “la protección de datos personales es una garantía constitucional del ciudadano; el derecho de los partidos políticos de acceder a las bases de datos personales del padrón y el contenido de las listas nominales para su revisión; y el cuidado de los datos personales que se tienen en el Padrón como una responsabilidad del Estado que recae en el INE y en los partidos políticos”.”

 

Conforme a lo anterior, en los siguientes procesos electorales los partidos políticos no podrán contar con una copia de la LNE en la que conste el domicilio de los votantes mexicanos y la clave de elector que individualiza a cada persona frente al INE.

Cabe señalar, sin embargo, que la nota de prensa publicada por el INE no se refiere a las siguientes cuestiones, las cuales quedarían en este momento sin resolver:

  • ¿Qué sucederá con todas las Listas Nominales de Electores que ya han sido entregadas a los partidos políticos?; ¿deberán devolverlas al INE?; ¿deberán destruirlas los partidos políticos?; ¿en ese caso, deberán acreditar la destrucción de dichas listas, de manera fehaciente?
  • En caso de que no exista obligación de devolver las listas actualmente en posesión de los partidos políticos, ¿se ordenará a éstos que implementen medidas de seguridad para asegurar que no ocurran, en la medida de lo posible, filtraciones como la que ocasionó el partido Movimiento Ciudadano?
  • ¿Serán considerados y aplicados por el INE los “Lineamientos para el acceso, verificación y entrega de los datos personales en posesión del Registro Federal de Electores por los integrantes de los Consejos General, Locales y Distritales, las Comisiones de Vigilancia del Registro Federal de Electores, los partidos políticos y los organismos electorales locales”, publicados en el DOF el pasado 12 de febrero de 2013?
  • ¿Ha definido el INE si dichos Lineamientos continúan vigentes y, por lo tanto, si deben ser observados por los partidos políticos en 2016?
  • En caso de considerarse vigentes (como apunta su Acuerdo INE/CG249/2014), ¿qué consecuencias acarrearía la inobservancia de estos lineamientos por parte de cualquier persona o institución obligada a su cumplimiento?
  • Será considerado y aplicado por el INE el “Procedimiento de Entrega de la Lista Nominal de Electores para su Revisión, a los representantes de los Partidos Políticos acreditados ante las Comisiones de Vigilancia, en el marco del Proceso Electoral Federal 2014-2015“, publicado en el DOF el pasado 1 de junio de 2015?

Como puede observarse, nos encontramos con que a pesar de la “novedad” de la última noticia sobre esta materia, en nuestro sistema jurídico ya existen disposiciones especiales que regulan el acceso, verificación y entrega de los datos personales contenidos en la Lista Nominal de Electores (para su revisión).

Y es de hacer notar que en el “Procedimiento de Entrega” publicado hace menos de un año, ya se hace constar, entre otras cuestiones, que:

  • Desde la Dirección de Operaciones del Centro de Cómputo y Resguardo Documental y la Coordinación de Procesos Tecnológicos del INE…
    • deberá asignarse una marca de rastreabilidad a los archivos y que todo archivo generado deberá contener una marca de rastreabilidad para diferenciarlo.
    • deberán asignarse nombres a los archivos, considerando el ámbito de la Comisión de Vigilancia, la entidad de los registros que contiene, y el partido político al que se entregará.
    • deberán cifrarse los archivos que integran la marca de rastreabilidad.
    • deberán generarse claves de accesos únicas por archivo. Para los archivos a entregar a las representaciones ante la Comisión Nacional de Vigilancia (CNV), se utilizará una clave única por partido político.
    • Deberán transferirse los archivos cifrados a un servidor de distribución.

Cabe también señalar que en la Tabla 3 del “Procedimiento de Entrega” al que nos referimos, “se describen los mecanismos de seguridad y control que serán aplicados en las actividades del procedimiento para la generación y entrega de la Lista Nominal de Electores para Revisión, así como el objetivo específico de cada uno de dichos controles, teniendo como objetivo en su conjunto el asegurar la confidencialidad y la protección de los datos personales proporcionados por los ciudadanos al Registro Federal de Electores.

Puede verificarse todo lo anterior en la siguiente transcripción (parcial) del Procedimiento de Entrega de la Lista Nominal de Electores para su Revisión, a los representantes de los Partidos Políticos acreditados ante las Comisiones de Vigilancia, en el marco del Proceso Electoral Federal 2014-2015:

Tabla 1

Procedimiento de entrega de la LNER a las representaciones partidistas ante las Comisiones de Vigilancia

NO. ACTIVIDAD ÁREA
RESPONSABLE
PERIODO DE
EJECUCIÓN
ESTIMADO

Preparación del insumo a partir de la base de datos central

1 Generación del corte del Padrón Electoral y de la Lista Nominal de Electores, del día 15 de enero de 2015. CPT/CECYRD 15 ene 2015

Asignación de elementos distintivos

5 Asignación de la marca de rastreabilidad a los archivos por entidad federativa. Todo archivo que se genere con este corte de información contendrá una marca de rastreabilidad para diferenciarlo. CPT/CECYRD 28-30 ene 2015
7 Registro de las marcas de rastreabilidad asignadas a cada archivo, y resguardo por el área que sea designada para tal efecto. El área designada deberá ser un área distinta a la DO-CECYRD. CPT/CECYRD 30 ene 2015

Cifrado de archivos y generación de claves de acceso

9 Cifrado de los archivos que integran la marca de rastreabilidad. CPT/CECYRD 02-06 feb 2015
10 Generación de claves de acceso únicas por archivo. Para los archivos a entregar a las representaciones ante la CNV, se utilizará una clave única por partido político. Las actividades 9 y 10 se realizarán simultáneamente mediante un procedimiento automatizado. Las claves de acceso se almacenarán directamente en una carpeta con acceso exclusivo para el área que sea designada en la actividad 12. CPT/CECYRD 02-06 feb 2015
11 Transferencia de archivos cifrados al servidor de distribución. CPT/CECYRD 07-08 feb 2015
12 Recepción de claves de acceso por parte del área designada para su entrega a través del esquema más conveniente, en función de la seguridad y eficiencia en el envío a los usuarios autorizados de las representaciones partidistas para la entrega de la información. Se automatizará este procedimiento para reducir al mínimo la intervención del personal en el manejo y entrega de las claves de acceso, sin embargo, se especificará en el formato de entrega delas llaves el nombre y área del o los funcionarios que hayan participado en las actividades de generación y entrega. CPT/DITA 06 feb 2015

 

Tabla 3.

Mecanismos de seguridad y control a ser aplicados en el procedimiento

MECANISMOS DE SEGURIDAD Y CONTROL OBJETIVO ESPECÍFICO
Control de acceso a
la base de datos
central.
·    Acceso a la base de datos únicamente para elusuario autorizado, de acuerdo a sus funciones.

·    Acceso a la base de datos mediante clave deusuario y contraseña.

·    Área de trabajo con acceso exclusivo para elusuario autorizado.

Asegurar que únicamente elusuario autorizado puedaacceder a la base de datos y al área de trabajo creadapara la generación de laLNER.

Como ya hemos alargado mucho esta entrada, en su continuación seguiremos analizando el escenario legal que hemos “descubierto” tras los sucesos que rodean al #INEgate.

Mientras ello sucede, agradezco su atención a este tema, que afortunadamente ha generado interés en la ciudadanía en relación con el tratamiento adecuado de sus datos personales.

Imagen: Chris Vickery