DOF: 30/10/2013 |
DECRETO por el que se adiciona un artículo 97 Bis al Código Penal Federal.Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Presidencia de la República.
ENRIQUE PEÑA NIETO, Presidente de los Estados Unidos Mexicanos, a sus habitantes sabed:
Que el Honorable Congreso de la Unión, se ha servido dirigirme el siguiente
DECRETO
"EL CONGRESO GENERAL DE LOS ESTADOS UNIDOS MEXICANOS, D E C R E T A :
SE ADICIONA UN ARTÍCULO 97 BIS AL CÓDIGO PENAL FEDERAL.
Artículo Único.- Se adiciona un artículo 97 Bis al Código Penal Federal, para quedar como sigue:
Artículo 97 Bis.- De manera excepcional, por sí o a petición del Pleno de alguna de las Cámaras del Congreso de la Unión, el Titular del Poder Ejecutivo Federal podrá conceder el indulto, por cualquier delito del orden federal o común en el Distrito Federal, y previo dictamen del órgano ejecutor de la sanción en el que se demuestre que la persona sentenciada no representa un peligro para la tranquilidad y seguridad públicas, expresando sus razones y fundamentos, cuando existan indicios consistentes de violaciones graves a los derechos humanos de la persona sentenciada.
El Ejecutivo Federal deberá cerciorarse de que la persona sentenciada haya agotado previamente todos los recursos legales nacionales.
TRANSITORIO
Único. El presente Decreto entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Federación.
México, D.F., a 29 de octubre de 2013.- Sen. Raúl Cervantes Andrade, Presidente.- Dip. Ricardo Anaya Cortés, Presidente.- Sen. María Elena Barrera Tapia, Secretaria.- Dip. Fernando Bribiesca Sahagún, Secretario.- Rúbricas."
En cumplimiento de lo dispuesto por la fracción I del Artículo 89 de la Constitución Política de los Estados Unidos Mexicanos, y para su debida publicación y observancia, expido el presente Decreto en la Residencia del Poder Ejecutivo Federal, en la Ciudad de México, Distrito Federal, a 29 de octubre de 2013.- Enrique Peña Nieto.- Rúbrica.- El Secretario de Gobernación, Miguel Ángel Osorio Chong.- Rúbrica.
|
jueves, 31 de octubre de 2013
DECRETO por el que se adiciona un artículo 97 Bis al Código Penal Federal.
miércoles, 30 de octubre de 2013
RECOMENDACIONES en materia de seguridad de datos personales.
DOF: 30/10/2013 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
RECOMENDACIONES en materia de seguridad de datos personales.Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Instituto Federal de Acceso a la Información y Protección de Datos.
El Pleno del Instituto Federal de Acceso a la Información y Protección de Datos, con fundamento en lo dispuesto por los artículos 19, 39, fracción IV de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; 58 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; 15, fracciones I y XXI, 24, fracción III, y 30, fracción II del Reglamento Interior del Instituto Federal de Acceso a la Información y Protección de Datos, y
CONSIDERANDO
Que uno de los deberes que rigen la protección de los datos personales es la implementación de medidas de seguridad para la protección de la información que está en posesión de los responsables y encargados del tratamiento de los datos personales;
Que en ese sentido, el artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece la obligación para todo responsable que lleve a cabo el tratamiento de datos personales, de implementar y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado de los mismos;
Que el Capítulo III del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares define de manera general los factores que deberán tomar en cuenta los responsables y encargados del tratamiento de datos personales para determinar las medidas de seguridad a implementar para la protección de los mismos, así como las acciones que deberán llevar a cabo los responsables y encargados para la implementación de las medidas de seguridad;
Que en los casos en que ocurra una vulneración a la seguridad de los datos personales, el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI o Instituto), en su caso, podrá tomar en consideración el cumplimiento de sus recomendaciones, para efectos del artículo 58 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares;
Que, además de lo anterior, las recomendaciones del Instituto servirán de orientación a los particulares para determinar los procedimientos y mecanismos a aplicar para la seguridad de los datos personales;
Que de conformidad con el artículo 39, fracciones IV y V de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, el IFAI tiene las atribuciones de emitir recomendaciones para efectos de funcionamiento y operación de esa ley, así como para divulgar estándares y mejores prácticas internacionales en materia de seguridad de la información; emite las presentes:
RECOMENDACIONES EN MATERIA DE SEGURIDAD DE DATOS PERSONALES
1. RECOMENDACIÓN GENERAL
El artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, la Ley) establece que:
Artículo 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.
Por su parte, el Capítulo III del Reglamento de la Ley detalla los factores y acciones que deben tomar en cuenta los responsables y encargados del tratamiento de datos personales para determinar las medidas de seguridad aplicables a la información personal que esté en su posesión.
Asimismo, el Instituto, en su caso, podrá tomar en consideración el cumplimiento de sus recomendaciones para efectos del artículo 58 del Reglamento de la Ley.
En ese sentido, y en ejercicio de la facultad que la fracción IV del artículo 39 de la Ley otorga al Instituto para emitir criterios y recomendaciones para el funcionamiento y operación de la Ley; el IFAI emite las presentes recomendaciones, a fin de que los responsables y encargados tengan un marco de referencia respecto de las acciones que se consideran como las mínimas necesarias para la seguridad de los datos personales.
Es importante que se tome en cuenta que el alcance del SGSDP es la protección de los datos personales y su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. Por lo cual, el análisis de riesgos y las medidas de seguridad implementadas como resultado del seguimiento de las presentes recomendaciones, se deberán enfocar en la protección de datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado, así como en evitar las vulneraciones descritas en el artículo 63 del Reglamento de la Ley.
Estas recomendaciones se basan en la seguridad a través de la gestión del riesgo de los datos personales, entendiéndose de forma general al riesgo como una combinación de la probabilidad de que un incidente ocurra y de sus consecuencias desfavorables; de modo tal que al determinar el riesgo en un escenario específico de la organización, se pueda evaluar el impacto y realizar un estimado de las medidas de seguridad necesarias para preservar la información personal.
Es importante señalar que la adopción de las presentes recomendaciones es de carácter voluntario, por lo que los responsables y encargados podrán decidir libremente qué metodología conviene más aplicar en su negocio para la seguridad de los datos personales. Asimismo, el seguimiento de las presentes recomendaciones no exime a los responsables y encargados de su responsabilidad con relación a cualquier vulneración que pudiera ocurrir a sus bases de datos, ya que la seguridad de dichas bases depende de una correcta implementación de las medidas o controles de seguridad.
A continuación se explica lo que en estas recomendaciones se entiende por Sistema de Gestión de Seguridad de Datos Personales, y las acciones mínimas a considerar para su implementación.
2. SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES
2.1 Conceptos clave
Activo. La información, el conocimiento sobre los procesos, el personal, hardware, software y cualquier otro recurso involucrado en el tratamiento de los datos personales, que tenga valor para la organización.
Alta Dirección. Toda persona con poder legal de toma de decisión en las políticas de la organización. Por ejemplo: la junta directiva, ejecutivos y trabajadores experimentados, la persona a cargo del departamento de datos personales, los socios de la organización, el dueño de una empresa unipersonal o quien encabeza la organización.
Datos personales. Cualquier información concerniente a una persona física identificada o identificable.
Datos personales sensibles. Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.
Encargado. La persona física o moral, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras, trata datos personales por cuenta del responsable, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la
prestación de un servicio.
Impacto. Una medida del grado de daño a los activos o cambio adverso en el nivel de objetivos alcanzados por una organización.
Incidente. Escenario donde una amenaza explota una vulnerabilidad o conjunto de vulnerabilidades.
- Amenaza. Circunstancia o evento con la capacidad de causar daño a una organización.
- Vulnerabilidad. Falta o debilidad de seguridad en un activo o grupo de activos que puede ser explotada por una o más amenazas.
Organización. Conjunto de personas e instalaciones con una disposición de responsabilidades, autoridades y relaciones.
Responsable. Persona física o moral de carácter privado que decide sobre el tratamiento de los datos personales.
Riesgo. Combinación de la probabilidad de un evento y su consecuencia desfavorable.
Riesgo de seguridad. Potencial de que cierta amenaza pueda explotar las vulnerabilidades de un activo o grupo de activos en perjuicio de la organización.
Seguridad de la información. Preservación de la confidencialidad, integridad y disponibilidad de la información, así como otras propiedades delimitadas por la normatividad aplicable.
- Confidencialidad. Propiedad de la información para no estar a disposición o ser revelada a personas, entidades o procesos no autorizados.
- Disponibilidad. Propiedad de un activo para ser accesible y utilizable cuando lo requiera una entidad autorizada.
- Integridad. La propiedad de salvaguardar la exactitud y completitud de los activos.
Sistema de Gestión de Seguridad de Datos Personales (SGSDP). Sistema de gestión general para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales en función del riesgo de los activos y de los principios básicos de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad previstos en la Ley, su Reglamento, normatividad secundaria y cualquier otro principio que la buena práctica internacional estipule en la materia.
Titular. La persona física a quien corresponden los datos personales.
Tratamiento. La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.
2.2 Sistema de Gestión
La gestión es un conjunto de actividades coordinadas para dirigir y controlar un proceso o tarea. Un sistema es un conjunto de elementos mutuamente relacionados o que interactúan por un fin u objetivo. Por lo tanto, un Sistema de Gestión (SG) se define como un conjunto de elementos y actividades interrelacionadas para establecer metas y los medios de acciónpara alcanzarlas.
Asimismo, un sistema de gestión apoya a las organizaciones en la dirección, operación y control de forma sistemática y transparente de sus procesos, a fin de lograr con éxito sus actividades, ya que está diseñado para mejorar continuamente el desempeño de la organización, mediante la consideración de las necesidades de todas las partes interesadas.
Es importante tomar en cuenta que una organización tiene que definir y gestionar numerosas actividades para funcionar con eficiencia. Estas actividades se convierten en procesos que tienen la característica de recibir elementos de entrada, los cuales se gestionan para regresar al final de su ciclo, como elementos de salida (resultados). Por ejemplo, un proceso de Auditoría puede recibir como elementos de entrada objetivo, alcance y plan de auditoría, así como el informe de resultados de la auditoría anterior, y como elemento de salida un nuevo informe de auditoría. A menudo, la salida de un proceso se convierte directamente en la entrada del proceso siguiente, y la interconexión entre procesos genera sistemas que se retroalimentan paramejorar.
En el caso de las presentes recomendaciones, el sistema de gestión propuesto se basa en el modelo denominado"Planificar-Hacer-Verificar-Actuar" (PHVA), a través del cual se dirigen y controlan los procesos o tareas, como se puede ver en la tabla 1 y figura 1:
Tabla 1. Sistema de Gestión
Las fases del ciclo PHVA considera diferentes pasos y objetivos específicos para el SGSDP, que pueden observarse en la siguiente tabla:
Tabla 2. Objetivos del SGSDP dentro de las fases del ciclo PHVA
La mayoría de las organizaciones poseen uno o más procesos que involucran el tratamiento de datos personales; estos procesos deben ser identificados y controlados a partir de que la información es recolectada y hasta que se bloquea, se borra o destruye.
Más aún, en el marco de la Ley y su Reglamento, los datos personales son el principal activo de información. En consecuencia, a través del artículo 61 del Reglamento se puede vislumbrar que una de las primeras acciones para llevar a cabo su protección es tener bien identificado, definido y documentado el flujo de los datos personales que se traten a través de los diferentes procesos de la organización.
Asimismo, durante el ciclo del SGSDP se deben identificar los riesgos relacionados a los datos personales, así como al resto de activos que interactúan directamente con ellos, y de ese modo determinar los controles de seguridad que pueden mitigar los incidentes.
3. ACCIONES A IMPLEMENTAR PARA LA SEGURIDAD DE LOS DATOS PERSONALES
Las acciones mínimas a realizar en el Sistema de Gestión de Seguridad de Datos Personales son las siguientes:
La siguiente imagen muestra gráficamente el ciclo de estas acciones:
Para la implementación de estas acciones y en general del Sistema de Gestión de Seguridad de Datos Personales, el IFAI recomienda la consulta de los siguientes estándares internacionales, en los que se basan las Recomendaciones:
· BS 10012:2009, Data protectionSpecification for a personal information management system.
· ISO/IEC 27001:2005, Information TechnologySecurity techniquesInformation security management systems Requirements.
· ISO/IEC 27002:2005, Information TechnologySecurity techniquesCode of practice for security management.
· ISO/IEC 27005:2008, Information TechnologySecurity techniquesInformation security risk management.
· ISO/IEC 29100:2011, Information technologySecurity techniquesPrivacy framework.
· ISO 31000:2009, Risk managementPrinciples and guidelines.
· ISO GUIDE 72, Guidelines for the justification and development of management systems standards.
· ISO GUIDE 73, Risk managementVocabulary.
· ISO 9000:2005, Quality management systemsFundamentals and vocabulary.
· NIST SP 800-14, Generally Accepted Principles and Practices for Securing Information Technology Systems.
· OECD Guidelines for the Security of Information Systems and NetworksTowards a Culture of Security.
Por último, a continuación se ofrece un cuadro de análisis que permite comparar cuáles de estas acciones ayudan a cumplir con las obligaciones que establece el Capítulo III del Reglamento de la Ley:
Tabla Comparativa entre el Capítulo III del Reglamento de la Ley y las Recomendaciones
Así lo acordó el Pleno del Instituto Federal de Acceso a la Información y Protección de Datos, en sesión celebrada el día veintitrés del mes de octubre del año dos mil trece, ante el Secretario de Protección de Datos Personales.- El Comisionado Presidente, Gerardo Laveaga Rendón.- Rúbrica.- Los Comisionados: Sigrid Arzt Colunga, Jacqueline Peschard Mariscal,María Elena Pérez-Jaén Zermeño y Ángel Trinidad Zaldívar.- Rúbricas.- El Secretario de Protección de Datos Personales,Alfonso Oñate Laborde.- Rúbrica.
|
Suscribirse a:
Entradas (Atom)