Guía de Apoyo para la Elaboración del Documento de Seguridad
En México, los organismos y entidades del sector público (denominados “Sujetos Obligados”) deben contar, de manera obligatoria, con un instrumento que describa y contenga, de manera general, las medidas de seguridad técnicas, físicas y administrativas adoptadas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que se encuentran en su posesión. Dicho instrumento recibe el nombre genérico de “Documento de Seguridad”. Lo anterior, en cumplimiento del artículo 35 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO).
Recientemente, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), el órgano garante en materia de protección de datos personales de México, publicó la “Guía de Apoyo para la Elaboración del Documento de Seguridad” (Guía), de 107 páginas. La Guía tiene las características siguientes:
- Es una referencia esquemática (guía orientadora) que describe el marco general de medidas y acciones que pueden considerarse para facilitar el cumplimiento de las obligaciones establecidas por la LGPDPPSO y los Lineamientos Generales de Protección de Datos Personales para el Sector Público (Lineamientos Generales), en particular, respecto a la elaboración del Documento de seguridad.
- Contiene diversas recomendaciones y sugerencias para la elaboración del Documento de Seguridad, las cuales no tienen carácter vinculante para los Sujetos Obligados.
- La Guía considera los elementos de un sistema de gestión que permita proveer los elementos y actividades de dirección, operación y control de los procesos de la organización para proteger de modo sistemático y continuo los datos personales que estén en su posesión.
- Recomienda que los Sujetos Obligados realicen las actualizaciones, adaptaciones y precisiones necesarias, según las características propias de los tratamientos de datos personales identificados en la organización, para elaborar o mejorar su Documento de Seguridad.
- Retoma y reitera la función de las Unidades de Transparencia de los Sujetos Obligados como asesoras principales en materia de protección de datos personales.
La Guía se compone de siete secciones, correspondientes a las siete etapas del proceso de elaboración del Documento de Seguridad (según lo establece el propio artículo 35 de la LGPDPPSO y los Lineamientos Generales), y de un anexo que contiene algunos formatos para la elaboración del “Inventario de Datos Personales y de Sistemas de Tratamiento”. Las siete secciones/etapas que incluye la Guía son las siguientes:
| Etapa 1 | El inventario de datos personales y de los sistemas del tratamiento. |
| Etapa 2 | Las funciones y obligaciones de las personas que traten datos personales. |
| Etapa 3 | El análisis de riesgos. |
| Etapa 4 | El análisis de brecha. |
| Etapa 5 | Plan de Trabajo. |
| Etapa 6 | Mecanismos de monitoreo y revisión de las medidas de seguridad. |
| Etapa 7 | Programa General de Capacitación. |
| Anexo A | Formato de Inventario de Datos Personales y Sistemas de Tratamiento. |
La Guía será de gran ayuda para los Sujetos Obligados que aún no cuenten con un Documento de Seguridad, o bien, para aquellos que deseen mejorarlo o adecuarlo conforme a las recomendaciones realizadas por el INAI. La Guía se encuentra disponible para consulta ingresando al vínculo electrónico siguiente: https://home.inai.org.mx//wp-content/documentos/DocumentosSectorPublico/Guia-apoyo-DS.pdf
