Security Management Planning as a Governance and Compliance Instrument

Introduction Security management planning is a critical organizational process that enables the structured creation, implementation, and enforcement of an information security policy. While often treated as a technical or operational concern, security management planning performs a broader governance function by establishing how organizations protect information assets, physical facilities, personnel, and

The Security Function: Building Measurable, Effective, and Strategic Protection

In today’s interconnected business environment, information security is no longer a peripheral concern—it is a strategic function essential to protecting assets, maintaining trust, and enabling growth. A mature security program aligns with business objectives through strong governance, measurable outcomes, and ongoing improvement (ISACA, 2018). The Role of Security

California’s Delete Act (SB 362)

Enacted in October 2023, California’s Delete Act—Senate Bill 362—creates a centralized deletion mechanism for consumers, administered by the California Privacy Protection Agency (CPPA). 1. Introduction and Legislative Overview Senate Bill 362 (the Delete Act) was signed into law on October 10, 2023. The Act transfers data-broker registration

The FACTA Disposal Rule: Statutory Basis and Regulatory Scope

Abstract The Fair and Accurate Credit Transactions Act of 2003 (FACTA) amended the Fair Credit Reporting Act (FCRA) to expand consumer protections against identity theft. Section 216 of FACTA directed the Federal Trade Commission (FTC) and other federal agencies to issue regulations requiring “reasonable measures” for the proper disposal of

The Dodd-Frank Act: Financial Stability, Consumer Protection, and Regulatory Challenges

The Dodd-Frank Wall Street Reform and Consumer Protection Act of 2010 represents the most sweeping financial reform in the United States since the Great Depression. Enacted in response to the 2008 financial crisis, the statute sought to restore financial stability, eliminate “too big to fail,” enhance transparency, and protect consumers.

Safeguarding Consumer Information under the Gramm–Leach–Bliley Act (the Safeguards Rule’s Core Objectives)

Introduction The Gramm–Leach–Bliley Act (GLBA) of 1999 introduced a comprehensive legal framework to regulate how financial institutions manage consumer information. A key component, the Federal Trade Commission’s (FTC) Safeguards Rule, sets forth explicit objectives designed to protect the security, confidentiality, and integrity of customer data. Information privacy

Identity Theft and the Red Flags Rule

The Federal Trade Commission (FTC) estimates that identity theft affects millions of Americans each year, causing not only financial losses but also significant reputational and operational harm. For businesses, the consequences can include regulatory exposure, litigation risk, and erosion of customer trust. Identity theft generally involves the unauthorized use of

NIST SP 800-66 Rev. 2: From HIPAA Compliance to Risk-Based Security Governance

The publication of NIST Special Publication 800-66 Revision 2 represents a deliberate shift in how HIPAA Security Rule compliance should be understood and implemented. Rather than functioning as a prescriptive compliance checklist, the document positions itself as a practical, risk-based guide that connects legal obligations under HIPAA with contemporary cybersecurity

Overview of the HIPAA Privacy Rule

The document from which this text is drawn is only a summary and should not substitute for the full legal requirements of the Rule. In cases of conflict, the official Privacy Rule provisions take precedence. Purpose The HIPAA Privacy Rule, established by the U.S. Department of Health and Human

El acceso a las condiciones y generalidades del tratamiento de los datos personales

La posibilidad de acceder a datos personales es un derecho de las personas físicas o naturales. Generalmente, este derecho se ejerce a través de la presentación de una solicitud de acceso que está destinada a obtener de una organización (responsable del tratamiento), una respuesta a preguntas como: ¿Qué información tienes

¿Generan confianza los avisos de privacidad?

Introducción: entre cumplimiento formal y percepción de seguridad Los avisos de privacidad ocupan un lugar central en los marcos de protección de datos personales. Desde una perspectiva jurídica, su función es clara: comunicar la identidad y datos de contacto del responsable, informar las finalidades del tratamiento, describir los derechos de

Proceso de Respuesta a una Solicitud de Acceso a Datos Personales

Recientemente, la Oficina de la Autoridad de Protección de Datos (The Office of the Data Protection Authority) de Guernsey adopto el documento denominado “Guidance: Data Subject Access Request” (for Controllers), el cual expone una serie de consideraciones que podrían ser de gran ayuda para responder a solicitudes para el ejercicio

AI & Technology

Guía sobre Tecnologías para la mejora de la Privacidad

(Privacy-enhancing tecnhologies / PETs) El Information Commissioner’s Office (ICO) del Reino Unido emitió el documento denominado “Privacy-enhancing technologies” (PETs), que podría traducir la expresión “Tecnologías para la mejora de la privacidad”. Se trata de una guía dirigida a las personas que fungen como oficiales de protección de datos en organizaciones

Data Protection

La Protección de Datos Personales no es una Moda

La protección de los datos personales y la defensa de la privacidad en línea (y fuera de ella) no es una moda, ni un estandarte que deba ser utilizado por las empresas del sector privado y entidades del sector público para simular que cumplen mínimamente con sus obligaciones en la

Regulatory Compliance

Coherencia y plenitud como elementos esenciales en el diseño de una Ley de Protección de Datos Personales

Es ampliamente conocido que la “protección de datos personales” (mejor definida como el derecho a la protección de las personas físicas respecto al tratamiento de sus datos personales), al menos en Europa y en Latinoamérica, es un derecho fundamental, reconocido constitucionalmente, o bien, elevado con tal carácter a través de

AI & Technology

Una aproximación a la Filosofía de la Tecnología

El propósito de esta aportación es modesto. De ninguna manera pretende ubicarse como una disertación filosófica de alto nivel, sino más bien una breve reseña sobre el enfoque de la “filosofía de la tecnología”, así como de algunos de sus objetos de estudio, simplificados al extremo por cuestión de espacio

Risk & Governance

La importancia de la Misión y Visión en el establecimiento de un Programa de Privacidad

El establecimiento de una misión y una visión son esenciales para cualquier organización (pública o privada). Ambas forman parte de la base filosófica organizacional junto con el establecimiento de los valores y las políticas institucionales o corporativas. Tanto la definición de la misión como de la visión forman parte del

Information Security Management

Guía de Apoyo para la Elaboración del Documento de Seguridad

En México, los organismos y entidades del sector público (denominados “Sujetos Obligados”) deben contar, de manera obligatoria, con un instrumento que describa y contenga, de manera general, las medidas de seguridad técnicas, físicas y administrativas adoptadas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que se encuentran

Risk & Governance

Nivel de Madurez de un Programa de Privacidad

(Modelo AICPA – CICA) Una forma de medir la sofisticación o desarrollo general de un programa de privacidad de una organización es determinando su nivel de madurez. Inicialmente desarrollado por el Instituto Americano de Contadores Públicos Certificados (American Institute of Certified Public Accountants - AICPA) y el Instituto Canadiense de Contadores

Privacy

La Digital Advertising Alliance y el Programa “YourAdChoices”

La Digital Advertising Alliance (DAA) es un consorcio de grupos comerciales de publicidad y marketing digital que ha desarrollado el sistema “YourAdChoices”. YourAdChoices proporciona a las personas consumidoras la posibilidad de optar por no (opt-out) recibir anuncios en línea basados en intereses. La DAA ha establecido una serie de Principios

Privacy

La Expectativa Razonable de Privacidad

La expresión “expectativa razonable de privacidad” (reasonable expectation of privacy) ha cobrado mayor influencia y relevancia en diversos círculos que centran su atención en el estudio de los derechos a la privacidad y la protección de datos personales. En Latinoamérica, este concepto ha permeado en diversas legislaciones, incluyendo las leyes

Privacy

El concepto de Privacidad de William Parent

Esta aportación la dedicaremos a analizar brevemente el enfoque de uno de los expositores más sobresalientes y paradigmáticos del enfoque de la privacidad concebida como control sobre información personal. Las ideas de William Parent han influenciado de manera significativa a una gran cantidad de teóricos de la privacidad, tanto para

Data Protection

El ámbito territorial del Reglamento General de Protección de Datos (criterio del “establecimiento”)

Contenido * Criterio del “establecimiento” * Un “establecimiento en la Unión” * Tratamiento de datos personales realizado “en el contexto de las actividades de” un establecimiento * Aplicación del RGPD al establecimiento de un responsable o un encargado en la Unión * Aplicación del criterio de establecimiento al responsable y al encargado * Referencias El artículo

Surveillance & Monitoring

Guía sobre el uso de drones (Irlanda)

La Comisión de Protección de Datos de Irlanda (Data Protection Commission) publicó recientemente en su sitio web una Guía sobre el uso de drones (Guidance on the use of drones). Según refiere la Guía, los drones comprenden una categoría amplia de sistemas aéreos no tripulados (Unmanned Aerial Systems – UAS) de