Nuestra Política de Privacidad en Materia de Seguridad de Datos Personales como Profesionales del Derecho nos impone la secrecía de los datos personales, por lo que ninguno de ellos podrá ser ni revelado ni transmitido ni compartido con persona alguna y afines con esta obligación y privilegio exclusivo de nuestra profesión, seguimos además, las recomendaciones del Instituto Federal de Acceso a la Información y que da a conocer en el Diario Oficial de la Federación del día 30 de Octubre del año 2013, que son a la letra, las siguientes: Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Instituto Federal de Acceso a la Información y Protección de Datos. El Pleno del Instituto Federal de Acceso a la Información y Protección de Datos, con fundamento en lo dispuesto por los artículos 19, 39, fracción IV de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; 58 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; 15, fracciones I y XXI, 24, fracción III, y 30, fracción II del Reglamento Interior del Instituto Federal de Acceso a la Información y Protección de Datos, y CONSIDERANDO Que uno de los deberes que rigen la protección de los datos personales es la implementación de medidas de seguridad para la protección de la información que está en posesión de los responsables y encargados del tratamiento de los datos personales; Que en ese sentido, el artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece la obligación para todo responsable que lleve a cabo el tratamiento de datos personales, de implementar y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado de los mismos; Que el Capítulo III del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares define de manera general los factores que deberán tomar en cuenta los responsables y encargados del tratamiento de datos personales para determinar las medidas de seguridad a implementar para la protección de los mismos, así como las acciones que deberán llevar a cabo los responsables y encargados para la implementación de las medidas de seguridad; Que en los casos en que ocurra una vulneración a la seguridad de los datos personales, el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI o Instituto), en su caso, podrá tomar en consideración el cumplimiento de sus recomendaciones, para efectos del artículo 58 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; Que, además de lo anterior, las recomendaciones del Instituto servirán de orientación a los particulares para determinar los procedimientos y mecanismos a aplicar para la seguridad de los datos personales; Que de conformidad con el artículo 39, fracciones IV y V de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, el IFAI tiene las atribuciones de emitir recomendaciones para efectos de funcionamiento y operación de esa ley, así como para divulgar estándares y mejores prácticas internacionales en materia de seguridad de la información; emite las presentes: RECOMENDACIONES EN MATERIA DE SEGURIDAD DE DATOS PERSONALES 1. RECOMENDACIÓN GENERAL El artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, la Ley) establece que: Artículo 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. Los responsables no adoptarán medidas de seguridad menores a aquellas que mantengan para el manejo de su información. Asimismo, se tomará en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico. Por su parte, el Capítulo III del Reglamento de la Ley detalla los factores y acciones que deben tomar en cuenta los responsables y encargados del tratamiento de datos personales para determinar las medidas de seguridad aplicables a la información personal que esté en su posesión. Asimismo, el Instituto, en su caso, podrá tomar en consideración el cumplimiento de sus recomendaciones para efectos del artículo 58 del Reglamento de la Ley. En ese sentido, y en ejercicio de la facultad que la fracción IV del artículo 39 de la Ley otorga al Instituto para emitir criterios y recomendaciones para el funcionamiento y operación de la Ley; el IFAI emite las presentes recomendaciones, a fin de que los responsables y encargados tengan un marco de referencia respecto de las acciones que se consideran como las mínimas necesarias para la seguridad de los datos personales. RECOMENDACIÓN GENERAL Para la seguridad de los datos personales, el IFAI RECOMIENDA la adopción de un Sistema de Gestión de Seguridad de Datos Personales (SGSDP), basado en el ciclo PHVA (Planear-Hacer-Verificar-Actuar). Es importante que se tome en cuenta que el alcance del SGSDP es la protección de los datos personales y su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. Por lo cual, el análisis de riesgos y las medidas de seguridad implementadas como resultado del seguimiento de las presentes recomendaciones, se deberán enfocar en la protección de datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado, así como en evitar las vulneraciones descritas en el artículo 63 del Reglamento de la Ley. Estas recomendaciones se basan en la seguridad a través de la gestión del riesgo de los datos personales, entendiéndose de forma general al riesgo como una combinación de la probabilidad de que un incidente ocurra y de sus consecuencias desfavorables; de modo tal que al determinar el riesgo en un escenario específico de la organización, se pueda evaluar el impacto y realizar un estimado de las medidas de seguridad necesarias para preservar la información personal. Es importante señalar que la adopción de las presentes recomendaciones es de carácter voluntario, por lo que los responsables y encargados podrán decidir libremente qué metodología conviene más aplicar en su negocio para la seguridad de los datos personales. Asimismo, el seguimiento de las presentes recomendaciones no exime a los responsables y encargados de su responsabilidad con relación a cualquier vulneración que pudiera ocurrir a sus bases de datos, ya que la seguridad de dichas bases depende de una correcta implementación de las medidas o controles de seguridad. A continuación, se explica lo que en estas recomendaciones se entiende por Sistema de Gestión de Seguridad de Datos Personales, y las acciones mínimas a considerar para su implementación. 2. SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES 2.1 Conceptos clave Activo. La información, el conocimiento sobre los procesos, el personal, hardware, software y cualquier otro recurso involucrado en el tratamiento de los datos personales, que tenga valor para la organización. Alta Dirección. Toda persona con poder legal de toma de decisión en las políticas de la organización. Por ejemplo: la junta directiva, ejecutivos y trabajadores experimentados, la persona a cargo del departamento de datos personales, los socios de la organización, el dueño de una empresa unipersonal o quien encabeza la organización. Datos personales. Cualquier información concerniente a una persona física identificada o identificable. Datos personales sensibles. Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual. Encargado. La persona física o moral, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras, trata datos personales por cuenta del responsable, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Impacto. Una medida del grado de daño a los activos o cambio adverso en el nivel de objetivos alcanzados por una organización. Incidente. Escenario donde una amenaza explota una vulnerabilidad o conjunto de vulnerabilidades. – Amenaza. Circunstancia o evento con la capacidad de causar daño a una organización. – Vulnerabilidad. Falta o debilidad de seguridad en un activo o grupo de activos que puede ser explotada por una o más amenazas. Organización. Conjunto de personas e instalaciones con una disposición de responsabilidades, autoridades y relaciones. Responsable. Persona física o moral de carácter privado que decide sobre el tratamiento de los datos personales. Riesgo. Combinación de la probabilidad de un evento y su consecuencia desfavorable. Riesgo de seguridad. Potencial de que cierta amenaza pueda explotar las vulnerabilidades de un activo o grupo de activos en perjuicio de la organización. Seguridad de la información. Preservación de la confidencialidad, integridad y disponibilidad de la información, así como otras propiedades delimitadas por la normatividad aplicable. – Confidencialidad. Propiedad de la información para no estar a disposición o ser revelada a personas, entidades o procesos no autorizados. – Disponibilidad. Propiedad de un activo para ser accesible y utilizable cuando lo requiera una entidad autorizada. – Integridad. La propiedad de salvaguardar la exactitud y completitud de los activos. Sistema de Gestión de Seguridad de Datos Personales (SGSDP). Sistema de gestión general para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales en función del riesgo de los activos y de los principios básicos de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad previstos en la Ley, su Reglamento, normatividad secundaria y cualquier otro principio que la buena práctica internacional estipule en la materia. Titular. La persona física a quien corresponden los datos personales. Tratamiento. La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales. 2.2 Sistema de Gestión La gestión es un conjunto de actividades coordinadas para dirigir y controlar un proceso o tarea. Un sistema es un conjunto de elementos mutuamente relacionados o que interactúan por un fin u objetivo. Por lo tanto, un Sistema de Gestión (SG) se define como un conjunto de elementos y actividades interrelacionadas para establecer metas y los medios de acción para alcanzarlas. Asimismo, un sistema de gestión apoya a las organizaciones en la dirección, operación y control de forma sistemática y transparente de sus procesos, a fin de lograr con éxito sus actividades, ya que está diseñado para mejorar continuamente el desempeño de la organización, mediante la consideración de las necesidades de todas las partes interesadas. Es importante tomar en cuenta que una organización tiene que definir y gestionar numerosas actividades para funcionar con eficiencia. Estas actividades se convierten en procesos que tienen la característica de recibir elementos de entrada, los cuales se gestionan para regresar al final de su ciclo, como elementos de salida (resultados). Por ejemplo, un proceso de Auditoría puede recibir como elementos de entrada objetivo, alcance y plan de auditoría, así como el informe de resultados de la auditoría anterior, y como elemento de salida un nuevo informe de auditoría. A menudo, la salida de un proceso se convierte directamente en la entrada del proceso siguiente, y la interconexión entre procesos genera sistemas que se retroalimentan para mejorar. En el caso de las presentes recomendaciones, el sistema de gestión propuesto se basa en el modelo denominado «Planificar-Hacer-Verificar-Actuar» (PHVA), a través del cual se dirigen y controlan los procesos o tareas, como se puede ver en la tabla 1 y figura 1: PROCESO Elemento del SG Fase del PHVA Actividades Metas Planificar Se identifican políticas, objetivos, riesgos, planes, procesos y procedimientos necesarios para obtener el resultado esperado por la organización (meta). Medios de acción Hacer Se implementan y operan las políticas, objetivos, planes, procesos y procedimientos establecidos en la fase anterior. Verificar Se evalúan y miden los resultados de las políticas, objetivos, planes, procesos y procedimientos implementados, a fin de verificar que se haya logrado la mejora esperada. Actuar Se adoptan medidas correctivas y preventivas, en función de los resultados y de la revisión, o de otras fuentes de información relevantes, para lograr la mejora continua. Tabla 1. Sistema de Gestión El SGSDP tiene como objetivo proveer un marco de trabajo para el tratamiento de datos personales, que permita mantener vigente y mejorar el cumplimiento de la legislación sobre protección de datos personales y fomentar las buenas prácticas. Las fases del ciclo PHVA considera diferentes pasos y objetivos específicos para el SGSDP, que pueden observarse en la siguiente tabla: Ciclo Fases Pasos Objetivos Específicos Planificar Planear el SGSDP 1. Alcance y objetivos 2. Política de gestión de datos personales. 3. Funciones y obligaciones de quienes traten datos personales 4. Inventario de datos personales. 5. Análisis de riesgos de los datos personales. 6. Identificación de las medidas de seguridad y análisis de brecha. Definir los objetivos, políticas, procesos y procedimientos relevantes del SGSDP para gestionar los riesgos de los datos personales, con el fin de cumplir con la legislación sobre protección de datos y obtener resultados acordes con las políticas y objetivos generales de la organización. Hacer Implementar y operar el SGSDP 7. Implementación de las medidas de seguridad aplicables a los datos personales. Implementar y operar las políticas, objetivos, procesos, procedimientos y controles o mecanismos del SGSDP, considerando indicadores de medición. Verificar Monitorear y revisar el SGSDP 8. Revisiones y auditoría. Evaluar y medir el cumplimiento del proceso de acuerdo con la legislación de protección de datos personales, la política, los objetivos y la experiencia práctica del SGSDP, e informar los resultados a la Alta Dirección para su revisión. Actuar Mejorar el SGSDP 9. Mejora continua y Capacitación. Para lograr la mejora continua se deben adoptar medidas correctivas y preventivas, en función de los resultados obtenidos de la revisión por parte de la Alta Dirección, las auditorías al SGSDP y de la comparación con otras fuentes de información relevantes, como actualizaciones regulatorias, riesgos e impactos organizacionales, entre otros. Adicionalmente, se debe considerar la capacitación del personal. Tabla 2. Objetivos del SGSDP dentro de las fases del ciclo PHVA La mayoría de las organizaciones poseen uno o más procesos que involucran el tratamiento de datos personales; estos procesos deben ser identificados y controlados a partir de que la información es recolectada y hasta que se bloquea, se borra o destruye. Más aún, en el marco de la Ley y su Reglamento, los datos personales son el principal activo de información. En consecuencia, a través del artículo 61 del Reglamento se puede vislumbrar que una de las primeras acciones para llevar a cabo su protección es tener bien identificado, definido y documentado el flujo de los datos personales que se traten a través de los diferentes procesos de la organización. Asimismo, durante el ciclo del SGSDP se deben identificar los riesgos relacionados a los datos personales, así como al resto de activos que interactúan directamente con ellos, y de ese modo determinar los controles de seguridad que pueden mitigar los incidentes. 3. ACCIONES A IMPLEMENTAR PARA LA SEGURIDAD DE LOS DATOS PERSONALES Las acciones mínimas a realizar en el Sistema de Gestión de Seguridad de Datos Personales son las siguientes: FASE 1. PLANEAR EL SGSDP PASO 1. Alcance y Objetivos. Consideraciones respecto al tratamiento de datos personales y el modelo de negocios de la organización. PASO 2. Política de Gestión de Datos Personales. El compromiso formal documentado de la Alta Gerencia hacia el tratamiento adecuado de datos personales en la organización. PASO 3. Funciones y Obligaciones de Quienes Traten Datos Personales. Asignación de responsabilidades para la implementación del SGSDP. PASO 4. Inventario de Datos Personales. Identificación de los tipos de datos y su flujo. PASO 5. Análisis de Riesgo de los Datos Personales. · Factores para Determinar las Medidas de Seguridad. Conjunto de consideraciones que las organizaciones deben plantear como directrices para tratar el riesgo en función de sus alcances y objetivos. · Valoración Respecto al Riesgo. Proceso de ponderación para identificar los escenarios de riesgo prioritarios y darles tratamiento proporcional. PASO 6. Identificación de las Medidas de Seguridad y Análisis de Brecha. Proceso de evaluación de las medidas de seguridad que ya existen en la organización contra las que sería conveniente tener. Los controles de seguridad, sin que sean limitativos, deben considerar los siguientes dominios: o Políticas del SGSDP o Cumplimiento legal o Estructura organizacional de la seguridad o Clasificación y acceso de los activos o Seguridad del personal o Seguridad física y ambiental o Gestión de comunicaciones y operaciones o Control de acceso o Desarrollo y mantenimiento de sistemas o Vulneraciones de seguridad FASE 2. IMPLEMENTAR Y OPERAR EL SGSDP PASO 7. Implementación de las Medidas de Seguridad Aplicables a los Datos Personales. · Cumplimiento Cotidiano de Medidas de Seguridad. Consideraciones para el trabajo cotidiano con datos personales, así como el plan de tratamiento del riesgo de los activos relacionados a los mismos. · Plan de Trabajo para la Implementación de las Medidas de Seguridad Faltantes. Proceso en el que se decide y se implementa el tratamiento adecuado para un riesgo o grupo de riesgos respecto al contexto de la organización. FASE 3. MONITOREAR Y REVISAR EL SGSDP PASO 8. Revisiones y Auditoría. Proceso de revisión del funcionamiento del SGSDP respecto a la política establecida, cada vez que exista un cambio en el contexto del alcance y objetivos del SGSDP. · Revisión de los Factores de Riesgo. Consideraciones para monitorear el estado del riesgo y aplicar las modificaciones pertinentes para mejorar el SGSDP. · Auditoría. Requerimientos para los procesos de auditoría interna/externa. · Vulneraciones a la Seguridad de la Información. Consideraciones en caso de un incidente de seguridad. FASE 4. MEJORAR EL SGSDP PASO 9. Mejora Continua y Capacitación. Consideraciones para incluir la protección de datos en la cultura de la organización y mantener siempre actualizado el SGSDP. · Mejora Continua. La aplicación de medidas preventivas y correctivas sobre el SGSDP. · Capacitación. Programas de mejora en la capacitación al personal para mantener la vigencia del SGSDP. La siguiente imagen muestra gráficamente el ciclo de estas acciones: Para la implementación de estas acciones y en general del Sistema de Gestión de Seguridad de Datos Personales, el IFAI recomienda la consulta de los siguientes estándares internacionales, en los que se basan las Recomendaciones: · BS 10012:2009, Data protectionSpecification for a personal information management system. · ISO/IEC 27001:2005, Information TechnologySecurity techniquesInformation security management systems Requirements. · ISO/IEC 27002:2005, Information TechnologySecurity techniquesCode of practice for security management. · ISO/IEC 27005:2008, Information TechnologySecurity techniquesInformation security risk management. · ISO/IEC 29100:2011, Information technologySecurity techniquesPrivacy framework. · ISO 31000:2009, Risk managementPrinciples and guidelines. · ISO GUIDE 72, Guidelines for the justification and development of management systems standards. · ISO GUIDE 73, Risk managementVocabulary. · ISO 9000:2005, Quality management systemsFundamentals and vocabulary. · NIST SP 800-14, Generally Accepted Principles and Practices for Securing Information Technology Systems. · OECD Guidelines for the Security of Information Systems and NetworksTowards a Culture of Security. Por último, a continuación se ofrece un cuadro de análisis que permite comparar cuáles de estas acciones ayudan a cumplir con las obligaciones que establece el Capítulo III del Reglamento de la Ley: Tabla Comparativa entre el Capítulo III del Reglamento de la Ley y las Recomendaciones Capítulo III De las Medidas de Seguridad en el Tratamiento de Datos Personales Recomendación que ayuda a cumplir con la disposición Alcance Artículo 57. El responsable y, en su caso, el encargado deberán establecer y mantener las medidas de seguridad administrativas, físicas y, en su caso, técnicas para la protección de los datos personales, con arreglo a lo dispuesto en la Ley y el presente Capítulo, con independencia del sistema de tratamiento. Se entenderá por medidas de seguridad para los efectos del presente Capítulo, el control o grupo de controles de seguridad para proteger los datos personales. Lo anterior sin perjuicio de lo establecido por las disposiciones vigentes en materia de seguridad emitidas por las autoridades competentes al sector que corresponda, cuando éstas contemplen una protección mayor para el titular que la dispuesta en la Ley y el presente Reglamento. · Recomendación General. · Paso 1. Alcance y Objetivos. · Paso 2. Política de Gestión de Datos Personales. Atenuación de Sanciones Artículo 58. En términos de lo dispuesto en el artículo 65, fracción III de la Ley, en los casos en que ocurra una vulneración a la seguridad de los datos personales, el Instituto podrá tomar en consideración el cumplimiento de sus recomendaciones para determinar la atenuación de la sanción que corresponda. · Recomendación General. Funciones de seguridad Artículo 59. Para establecer y mantener de manera efectiva las medidas de seguridad, el responsable podrá desarrollar las funciones de seguridad por sí mismo, o bien, contratar a una persona física o moral para tal fin. · Paso 3. Funciones y Obligaciones de Quienes Traten Datos Personales. Asignación de responsabilidades para la implementación del SGSDP. · Paso 7. Implementación de las Medidas de Seguridad Aplicables a los Datos Personales. o Cumplimiento Cotidiano de Medidas de Seguridad. Factores para determinar las medidas de seguridad Artículo 60. El responsable determinará las medidas de seguridad aplicables a los datos personales que trate, considerando los siguientes factores: Fracción I El riesgo inherente por tipo de dato personal; Fracción II La sensibilidad de los datos personales tratados; Fracción III. El desarrollo tecnológico, y Fracción IV. Las posibles consecuencias de una vulneración para los titulares. De manera adicional, el responsable procurará tomar en cuenta los siguientes elementos: I. El número de titulares; II. Las vulnerabilidades previas ocurridas en los sistemas de tratamiento; III. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión, y IV. Demás factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o regulación aplicable al responsable. · Paso 5. Realizar el Análisis de Riesgo de los Datos Personales. o Factores para Determinar las Medidas de Seguridad. Acciones para la seguridad de los datos personales Artículo 61. A fin de establecer y mantener la seguridad de los datos personales, el responsable deberá considerar las siguientes acciones: · Recomendación general. Fracción I. Elaborar un inventario de datos personales y de los sistemas de tratamiento; · Paso 4. Elaborar un Inventario de Datos Personales. Fracción II. Determinar las funciones y obligaciones de las personas que traten datos personales; · Paso 3. Establecer Funciones y Obligaciones de Quienes Traten Datos Personales. Fracción III. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales; · Paso 5. Realizar el Análisis de Riesgo de los Datos Personales. Fracción IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas implementadas de manera efectiva; · Paso 6. Identificación de las medidas de seguridad y Análisis de Brecha. · Paso 7. Implementación de las Medidas de Seguridad Aplicables a los Datos Personales. Fracción V. Realizar el análisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales; · Paso 6. Identificación de las medidas de seguridad y Análisis de Brecha. Fracción VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha; · Paso 7. Implementación de las Medidas de Seguridad Aplicables a los Datos Personales. o Plan de Trabajo para la Implementación de las Medidas de Seguridad Faltantes. Fracción VII. Llevar a cabo revisiones o auditorías; · Paso 8. Revisiones y Auditoría. Fracción VIII. Capacitar al personal que efectúe el tratamiento, y · Paso 9. Mejora Continua y Capacitación. o Capacitación. Fracción IX. Realizar un registro de los medios de almacenamiento de los datos personales. · Paso 5. Realizar el Análisis de Riesgo de los Datos Personales. El responsable deberá contar con una relación de las medidas de seguridad derivadas de las fracciones anteriores. · Acciones a implementar para la seguridad de los datos personales documentadas. Actualizaciones de las medidas de seguridad Artículo 62. Los responsables deberán actualizar la relación de las medidas de seguridad, cuando ocurran los siguientes eventos: I. Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la política de seguridad del responsable; II. Se produzcan modificaciones sustanciales en el tratamiento que deriven en un cambio del nivel de riesgo; III. Se vulneren los sistemas de tratamiento, de conformidad con lo dispuesto en el artículo 20 de la Ley y 63 del presente Reglamento, o IV. Exista una afectación a los datos personales distinta a las anteriores. En el caso de datos personales sensibles, los responsables procurarán revisar y, en su caso, actualizar las relaciones correspondientes una vez al año. · Paso 8. Revisiones y Auditoría. Vulneraciones de seguridad Artículo 63. Las vulneraciones de seguridad de datos personales ocurridas en cualquier fase de tratamiento son: I. La pérdida o destrucción no autorizada; II. El robo, extravío o copia no autorizada; III. El uso, acceso o tratamiento no autorizado, o IV. El daño, la alteración o modificación no autorizada. · Paso 5. Realizar el Análisis de Riesgo de los Datos Personales. Notificación de vulneraciones de seguridad Artículo 64. El responsable deberá informar al titular las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, en cuanto confirme que ocurrió la vulneración y haya tomado las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, y sin dilación alguna, a fin de que los titulares afectados puedan tomar las medidas correspondientes. · Paso 9. Mejora Continua y Capacitación. o Vulneraciones a la Seguridad de la Información. Información mínima al titular en caso de vulneraciones de seguridad Artículo 65. El responsable deberá informar al titular al menos lo siguiente: I. La naturaleza del incidente; II. Los datos personales comprometidos; III. Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para proteger sus intereses; IV. Las acciones correctivas realizadas de forma inmediata, y V. Los medios donde puede obtener más información al respecto. · Paso 9. Mejora Continua y Capacitación. o Vulneraciones a la Seguridad de la Información. Medidas correctivas en caso de vulneraciones de seguridad Artículo 66. En caso de que ocurra una vulneración a los datos personales, el responsable deberá analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y de mejora para adecuar las medidas de seguridad correspondientes, a efecto de evitar que la vulneración se repita. · Paso 9. Mejora Continua y Capacitación. o Mejora Continua. Así lo acordó el Pleno del Instituto Federal de Acceso a la Información y Protección de Datos, en sesión celebrada el día veintitrés del mes de octubre del año dos mil trece, ante el Secretario de Protección de Datos Personales.- El Comisionado Presidente, Gerardo Laveaga Rendón.- Rúbrica.- Los Comisionados: Sigrid Arzt Colunga, Jacqueline Peschard Mariscal, María Elena Pérez-Jaén Zermeño y Ángel Trinidad Zaldívar.- Rúbricas.- El Secretario de Protección de Datos Personales, Alfonso Oñate Laborde.- Rúbrica. (R.- 378152) Nota importante sobre el tratamiento de datos y Google Analytics Esta página web utiliza Google Analytics, un servicio de análisis web de Google Ireland Limited. En caso de que el responsable del tratamiento de datos sobre esta página web resida en un país fuera del Espacio Económico Europeo o Suiza, el tratamiento de datos de Google Analytics se realiza a través de Google LLC. Google LLC y Google Ireland Limited serán referidos en lo sucesivo como “Google”. Google Analytics utiliza las llamadas “Cookies”, archivos de texto que se almacenan en el dispositivo del visitante de la página y que posibilitan un análisis del uso de la página web del visitante. La información generada por la Cookie sobre el uso de esta página web (incluyendo la dirección IP acortada) se transmite y se almacena normalmente por Google. Google Analytics se utiliza en esta página web únicamente con la extensión «_anonymizeIp()». Esta extensión asegura la anonimización de la dirección IP mediante el acortamiento y excluye cualquier referencia personal directa. Mediante la extensión, la dirección IP del visitante es acortada previamente por Google dentro de los países miembros de la Unión Europea o en otros países parte del acuerdo del Espacio Económico Europeo. Solo en casos excepcionales se transmite la dirección IP completa a un servidor de Google en EE.UU. y, una vez allí, es acortada. La dirección IP transmitida por el navegador correspondiente, en el marco de las acciones de Google Analytics, no se combina con otros datos de Google. En nombre del dueño de la página, Google utilizará la información generada para analizar el uso de la página, realizar informes sobre las actividades de la página web y para llevar a cabo otros servicios relacionados con el uso de Internet o de la página web para el dueño de la página (Art. 6 apart. 1 letra f RGPD). El interés legítimo del tratamiento de datos radica en la optimización de la página web, el análisis del uso de la página web y la adaptación del contenido. Los intereses del usuario están garantizados adecuadamente mediante la pseudominización de sus datos. Google LLC garantiza el mantenimiento de un nivel adecuado de protección de datos en base a las cláusulas contractuales estándares europeas. La información enviada y vinculada a las cookies de Google Analyticas, p.ej., las ID de usuarios o los identificadores de publicidad se eliminarán automáticamente tras 50 meses. La supresión de los datos que alcanzan su período de retención se realiza de manera automática una vez al mes. El visitante de la página web puede rechazar el uso de cookies configurando los ajustes correspondientes en su navegador. Asimismo, el visitante puede impedir la recopilación de información mediante cookies (incluida su dirección IP) y su procesamiento descargando e instalando el siguiente plugin en su navegador: http://tools.google.com/dlpage/gaoptout El visitante de la página puede desactivar el uso de datos de Google Analytics haciendo clic en este enlace. A continuación, se activará una Opt-Out-Cookie que bloqueará el uso de sus datos al visitar esta página web. Más información sobre el uso de datos por Google, las opciones de configuración y anulación se puede encontrar en la Política de Privacidad de Google (https://policies.google.com/privacy?hl=es), así como en los Ajustes para la publicidad de Google(https://adssettings.google.com/authenticated). reCAPTCHA Utilizamos el servicio reCAPTCHA de Google LLC (Google) para proteger los datos enviados a través de los formularios de las páginas de nuestros usuarios. Este servicio permite diferenciar los datos enviados por personas de los mensajes automatizados y supone la transmisión de la dirección IP y otros datos requeridos por Google para el uso del servicio reCAPTCHA. Con tal finalidad, los datos serán transmitidos a Google para poder ser utilizados. La dirección IP será encriptada por Google en los estados miembros de la Unión Europea así como en los estados asociados al espacio económico europeo. Solo en algunos casos excepcionales, las direcciones IP serán transmitidas al servidor de Google en los Estados Unidos para su encriptación. En nombre del propietario de este sitio web, Google va a utilizar estas informaciones para evaluar el uso del servicio por parte de los usuarios. La dirección IP transmitida por reCAPTCHA se mantendrá separada de otros datos de Google. Para estos datos es válida la política de privacidad de Google. Todos los detalles acerca de la política de privacidad de Google se pueden leer en la página https://policies.google.com/privacy?hl=es Al utilizar el servicio reCAPTCHA, el usuario consiente el tratamiento de los datos sobre él de los que Google dispone en la forma y propósitos arriba establecidos.
Términos y Condiciones
Terms and ConditionsWelcome to Abogados Palma & Mendoza!These terms and conditions outline the rules and regulations for the use of Abogados Palma & Mendoza’s Website, located at https://abogadospalmaymendoza.com.mx/.By accessing this website, we assume you accept these terms and conditions. Do not continue to use Abogados Palma & Mendoza if you do not agree to take all of the terms and conditions stated on this page.Cookies:The website uses cookies to help personalize your online experience. By accessing Abogados Palma & Mendoza, you agreed to use the required cookies.A cookie is a text file that is placed on your hard disk by a web page server. Cookies cannot be used to run programs or deliver viruses to your computer. Cookies are uniquely assigned to you and can only be read by a web server in the domain that issued the cookie to you.We may use cookies to collect, store, and track information for statistical or marketing purposes to operate our website. You have the ability to accept or decline optional Cookies. There are some required Cookies that are necessary for the operation of our website. These cookies do not require your consent as they always work. Please keep in mind that by accepting required Cookies, you also accept third-party Cookies, which might be used via third-party provided services if you use such services on our website, for example, a video display window provided by third parties and integrated into our website.License:Unless otherwise stated, Abogados Palma & Mendoza and/or its licensors own the intellectual property rights for all material on Abogados Palma & Mendoza. All intellectual property rights are reserved. You may access this from Abogados Palma & Mendoza for your own personal use subjected to restrictions set in these terms and conditions.You must not:Copy or republish material from Abogados Palma & MendozaSell, rent, or sub-license material from Abogados Palma & MendozaReproduce, duplicate or copy material from Abogados Palma & MendozaRedistribute content from Abogados Palma & MendozaThis Agreement shall begin on the date hereof.Parts of this website offer users an opportunity to post and exchange opinions and information in certain areas of the website. Abogados Palma & Mendoza does not filter, edit, publish or review Comments before their presence on the website. Comments do not reflect the views and opinions of Abogados Palma & Mendoza, its agents, and/or affiliates. Comments reflect the views and opinions of the person who posts their views and opinions. To the extent permitted by applicable laws, Abogados Palma & Mendoza shall not be liable for the Comments or any liability, damages, or expenses caused and/or suffered as a result of any use of and/or posting of and/or appearance of the Comments on this website.Abogados Palma & Mendoza reserves the right to monitor all Comments and remove any Comments that can be considered inappropriate, offensive, or causes breach of these Terms and Conditions.You warrant and represent that:You are entitled to post the Comments on our website and have all necessary licenses and consents to do so;The Comments do not invade any intellectual property right, including without limitation copyright, patent, or trademark of any third party;The Comments do not contain any defamatory, libelous, offensive, indecent, or otherwise unlawful material, which is an invasion of privacy.The Comments will not be used to solicit or promote business or custom or present commercial activities or unlawful activity.You hereby grant Abogados Palma & Mendoza a non-exclusive license to use, reproduce, edit and authorize others to use, reproduce and edit any of your Comments in any and all forms, formats, or media.Hyperlinking to our Content:The following organizations may link to our Website without prior written approval:Government agencies;Search engines;News organizations;Online directory distributors may link to our Website in the same manner as they hyperlink to the Websites of other listed businesses; andSystem-wide Accredited Businesses except soliciting non-profit organizations, charity shopping malls, and charity fundraising groups which may not hyperlink to our Web site.These organizations may link to our home page, to publications, or to other Website information so long as the link: (a) is not in any way deceptive; (b) does not falsely imply sponsorship, endorsement, or approval of the linking party and its products and/or services; and (c) fits within the context of the linking party’s site.We may consider and approve other link requests from the following types of organizations:commonly-known consumer and/or business information sources;dot.com community sites;associations or other groups representing charities;online directory distributors;internet portals;accounting, law, and consulting firms; andeducational institutions and trade associations.We will approve link requests from these organizations if we decide that: (a) the link would not make us look unfavorably to ourselves or to our accredited businesses; (b) the organization does not have any negative records with us; (c) the benefit to us from the visibility of the hyperlink compensates the absence of Abogados Palma & Mendoza; and (d) the link is in the context of general resource information.These organizations may link to our home page so long as the link: (a) is not in any way deceptive; (b) does not falsely imply sponsorship, endorsement, or approval of the linking party and its products or services; and (c) fits within the context of the linking party’s site.If you are one of the organizations listed in paragraph 2 above and are interested in linking to our website, you must inform us by sending an e-mail to Abogados Palma & Mendoza. Please include your name, your organization name, contact information as well as the URL of your site, a list of any URLs from which you intend to link to our Website, and a list of the URLs on our site to which you would like to link. Wait 2-3 weeks for a response.Approved organizations may hyperlink to our Website as follows:By use of our corporate name; orBy use of the uniform resource locator being linked to; orUsing any other description of our Website being linked to that makes sense within the context and format of content on the linking party’s site.No use of Abogados Palma & Mendoza’s logo or other artwork will be allowed for linking absent a trademark license agreement.Content Liability:We shall not be held responsible for any content that appears on your Website. You agree to protect and defend us against all claims that are raised on your Website. No link(s) should appear on any Website that may be interpreted as libelous, obscene, or criminal, or which infringes, otherwise violates, or advocates the infringement or other violation of, any third party rights.Reservation of Rights:We reserve the right to request that you remove all links or any particular link to our Website. You approve to immediately remove all links to our Website upon request. We also reserve the right to amend these terms and conditions and its linking policy at any time. By continuously linking to our Website, you agree to be bound to and follow these linking terms and conditions.Removal of links from our website:If you find any link on our Website that is offensive for any reason, you are free to contact and inform us at any moment. We will consider requests to remove links, but we are not obligated to or so or to respond to you directly.We do not ensure that the information on this website is correct. We do not warrant its completeness or accuracy, nor do we promise to ensure that the website remains available or that the material on the website is kept up to date.Disclaimer:To the maximum extent permitted by applicable law, we exclude all representations, warranties, and conditions relating to our website and the use of this website. Nothing in this disclaimer will:limit or exclude our or your liability for death or personal injury;limit or exclude our or your liability for fraud or fraudulent misrepresentation;limit any of our or your liabilities in any way that is not permitted under applicable law; orexclude any of our or your liabilities that may not be excluded under applicable law.The limitations and prohibitions of liability set in this Section and elsewhere in this disclaimer: (a) are subject to the preceding paragraph; and (b) govern all liabilities arising under the disclaimer, including liabilities arising in contract, in tort, and for breach of statutory duty.As long as the website and the information and services on the website are provided free of charge, we will not be liable for any loss or damage of any nature.
Abogados Palma & Mendoza 