Regresar
-
7 min.

Datos personales sensibles: qué son y cómo protegerlos

¿Qué es Delta Protect?

Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐

Conoce más

Introducción

Todas las personas tienen una serie de datos que las identifican. Algunos las hacen más vulnerables que otros, dependiendo de quién tiene acceso a esa información y el uso que le da. Aprende a diferenciar los datos personales de los datos sensibles y conoce qué leyes debes cumplir para protegerlos.

¿Qué son los datos sensibles?

La Ley Federal de Protección de Datos Personales establece dos definiciones de datos que se deben diferenciar: datos personales y datos personales sensibles.

Un dato personal es cualquier información concerniente a una persona física que permita ser identificada o identificable.

Un dato personal sensible es aquel que afecta el ámbito más íntimo del titular, cuya utilización indebida puede dar origen o conlleva un riesgo grave para la persona. 

Aunque tienden a confundirse, a continuación puedes observar que los datos personales y los datos personales sensibles no son lo mismo:

Datos personales

  • Nombre
  • Número de documentos, como CURP
  • Sexo
  • Pasaporte
  • Número de teléfono
  • Dirección
  • Correo electrónico
  • Licencia de conducir

Datos personales sensibles

  • Origen racial o étnico
  • Estado de salud presente y futuro
  • Creencias religiosas, filosóficas y morales
  • Información genética
  • Afiliación sindical
  • Datos relativos a la vida sexual u orientación sexual
  • Opiniones políticas
  • Aspectos biométricos

Principios fundamentales de la protección de datos

Para el fortalecimiento de la seguridad de la información que está contenida en una base de datos y a la que se tiene acceso por medios electrónicos, te presentamos 7 principios en materia de protección de datos personales sensibles mencionados en la ley anterior y que debes aplicar:

Lealtad con el interesado

En el tratamiento de los datos personales sensibles, la prioridad es el interés del titular de los datos que son recabados y usados por particulares, empresas o el Estado.

Transparencia

Toda la información y comunicación relacionada con el tratamiento de los datos personales sensibles es de fácil acceso y entendimiento para todos los involucrados. Cuando los responsables del tratamiento actúan con transparencia, todos están capacitados para ejercer control sobre los datos personales y velar por su seguridad. 

Licitud o legitimación del tratamiento

Los datos personales y los datos sensibles se deben recabar siempre de acuerdo a la ley, por medios justos y bajo el conocimiento del titular de los datos. 

Limitación de la finalidad

Se debe especificar el objetivo del tratamiento de los datos personales y su uso estará limitado al alcance de esas metas que fueron notificadas. 

Exactitud

Los datos personales sensibles deberán ser exactos, correctos, completos y relevantes para el fin que se quiere lograr.

Limitación del plazo de conservación

Se debe definir por cuánto tiempo la entidad, empresa o particular conservará la información personal. 

Integridad y confidencialidad

Las entidades deben establecer garantías en la seguridad de los datos para evitar el acceso de personas ajenas y su uso no autorizado. Aquí se pueden incluir mecanismos de autenticación distintos a las contraseñas, tales como la firma electrónica o datos biométricos.

Protección de datos sensibles en México

La privacidad y la protección de datos en México están contempladas en la Constitución Política y otras leyes. En mayo de 2018 entró en vigencia el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, para regular la recopilación y el uso de los datos de los miembros de los residentes de esa comunidad.

También existen dos leyes sobre el tratamiento de los datos y las medidas de seguridad que se deben seguir:

  • Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP): su publicación en el Diario Oficial de la Federación fue el 5 de julio de 2010. Esta ley regula a los particulares, sean personas físicas o morales, de carácter privado, con excepción de quienes almacenen datos para uso exclusivo personal y las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables.
  • Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados: se publicó en el Diario Oficial de la Federación el 26 de enero de 2017. Esta ley garantiza el tratamiento de los datos personales y las atribuciones y deberes de los sujetos que tienen estos datos personales.

Por sujetos se entiende cualquier autoridad, entidad u organismo de los Poderes Ejecutivo, Legislativo y Judicial, los partidos políticos, fideicomisos, órganos autónomos y fondos públicos. 

Derechos ARCO 

Garantizar la protección de la información no solo depende de quien tiene este tipo de datos. Las personas también pueden decidir quién, cuándo, cómo y hasta qué punto se puede usar su información al ejercer lo que se conoce como Derechos ARCO. 

Las siglas corresponden a los derechos de Acceso, Rectificación, Cancelación y Oposición. 

  • Acceso: poder acceder a sus datos personales y conocer las condiciones y generalidades de su tratamiento. 
  • Rectificación: rectificar sus datos personales en caso de que sean inexactos, incompletos o no estén actualizados. 
  • Cancelación: cancelar sus datos personales de los registros, expedientes y sistemas del responsable.
  • Oposición: oponerse al tratamiento de datos personales o exigir el cese del mismo por perjuicio, daño al titular de los datos personales o efectos jurídicos indeseados.

[Te puede interesar: ¿Qué es la información de identificación personal (PII)?]

¿Cómo protegerse de posibles ataques?

Debemos destacar que los principales sectores con gestión de datos sensibles son el financiero y el de la salud. Para disminuir las vulnerabilidades y riesgos, se plantearon normativas que trabajan en pro de la seguridad de datos. Estas son:

  • PCI DSS: el Payment Card Industry Data Security Standard (PCI DSS) o Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago, es un conjunto de controles de seguridad que establecen las condiciones necesarias para proteger los datos personales de los titulares de las tarjetas de crédito y débito.
  • HIPAA: The Health Insurance Portability and Accountability Act o la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA por sus siglas en inglés) es una legislación creada en 1996 para la protección de datos confidenciales de pacientes médicos. 

El cumplimiento de estas normativas, la aplicación de antimalwares y firewalls y la constante actualización de información respecto a ciberseguridad ayudarán con la seguridad de datos sensibles.

Por esta razón, en Delta Protect contamos con nuestra solución Apolo. No solo brindamos las actualizaciones necesarias sobre ciberseguridad, sino que también procuramos que los empleados de cada empresa que decida implementarlo, se mantengan informados para evitar vulnerabilidades en la seguridad de información. ¡Pasa por nuestra web y conoce más detalles!

Conclusiones

Bibliografía

Sigue aprendiendo

👋 ¡Déjanos tu correo
para tener acceso al E-Book!
🙌 ¡Gracias por dejarnos tu correo!

Si el E-Book no se descarga automaticamente, haz click 👉 aquí.
Oops! Something went wrong while submitting the form.