Datos Personales, Documento de Seguridad, Seguridad de la Información

Guía de Apoyo para la Elaboración del Documento de Seguridad

(Elaborada por el INAI – México)

En México, los organismos y entidades del sector público (denominados “Sujetos Obligados”) deben contar de manera obligatoria con un instrumento que describa y contenga de manera general las medidas de seguridad técnicas, físicas y administrativas adoptadas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que se encuentran en su posesión. Dicho instrumento recibe el nombre genérico de “Documento de Seguridad”. Lo anterior, en cumplimiento al artículo 35 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO).

Recientemente, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), el órgano garante en materia de protección de datos personales de México, publicó la “Guía de Apoyo para la Elaboración del Documento de Seguridad” (Guía), compuesta de 107 páginas. La Guía tiene las características siguientes:

  • Es una referencia esquemática (guía orientadora) que describe el marco general de medidas y acciones que pueden considerarse para facilitar el cumplimiento de las obligaciones que establece la LGPDPPSO y los Lineamientos Generales de Protección de Datos Personales para el Sector Público (Lineamientos Generales), en particular, respecto a la elaboración del Documento de seguridad.
  • Contiene diversas recomendaciones y sugerencias para la elaboración del Documento de Seguridad, las cuales no poseen un carácter vinculante para los Sujetos Obligados.
  • La Guía considera los elementos de un sistema de gestión que permita proveer los elementos y actividades de dirección, operación y control de los procesos de la organización para proteger de modo sistemático y continuo los datos personales que estén en su posesión.
  • Recomienda que los Sujetos Obligados realicen las actualizaciones, adaptaciones y precisiones necesarias según las características propias de los tratamientos de datos personales que se identifiquen en la organización, para elaborar o mejorar su Documento de Seguridad.
  • Retoma y reitera la función de las Unidades de Transparencia de los Sujetos Obligados como asesoras principales en materia de protección de datos personales.

La Guía se conforma de siete secciones, correspondientes a las siete etapas distintas en el proceso de elaboración del Documento de Seguridad (según lo establece el propio artículo 35 de la LGPDPPSO y los Lineamientos Generales), y un anexo que contiene algunos formatos para la elaboración del “Inventario de Datos Personales y de Sistemas de Tratamiento”. Las siete secciones/etapas que incluye la Guía son las siguientes:

Etapa 1El inventario de datos personales y de los sistemas del tratamiento.  
Etapa 2Las funciones y obligaciones de las personas que traten datos personales.  
Etapa 3El análisis de riesgos.  
Etapa 4  El análisis de brecha.
Etapa 5Plan de Trabajo.  
Etapa 6Mecanismos de monitoreo y revisión de las medidas de seguridad.  
Etapa 7Programa General de Capacitación.  
Anexo AFormato de Inventario de Datos Personales y Sistemas de Tratamiento.  

La Guía será de gran ayuda para los Sujetos Obligados que aún no cuenten con un Documento de Seguridad, o bien, para aquellos que deseen mejorarlo o adecuarlo conforme a las recomendaciones realizadas por el INAI. La Guía se encuentra disponible para consulta ingresando al vínculo electrónico siguiente: https://home.inai.org.mx//wp-content/documentos/DocumentosSectorPublico/Guia-apoyo-DS.pdf