Normalmente, usamos figuras como Convenio de Confidencialidad o Aviso de Privacidad para limitar toda divulgación, tratamiento o transmisión de información que puede o no contener datos personales, sin embargo, existe una tercera vía en el contrato de seguridad de la información.
El Acuerdo por el que se expide el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones, al igual que la norma ISO 27001 que especifica los requisitos para la implantación del Sistema de Gestión de Seguridad de la Información, establece que la seguridad de la información es la capacidad para preservar confidencialidad, integridad y disponibilidad de la información y datos importantes para una organización, independientemente del formato que tengan.
Por otro lado, el artículo 15 de la Ley Federal de Seguridad Privada, dispone que la seguridad de la información es una modalidad de servicio de seguridad privada, autorizada por la
Secretaría de Seguridad y Protección Ciudadana a través de la Dirección General de Registro y Supervisión a Empresas y Servicios de Seguridad Privada, que consiste en la preservación, integridad y disponibilidad de la información del prestatario, a través de sistemas de administración de seguridad, de bases de datos, redes locales, corporativas y globales, sistemas de cómputo, transacciones electrónicas, así como respaldo y recuperación de dicha información, sea ésta documental, electrónica o multimedia.
Además de cumplir los requisitos de un contrato de prestación de servicios, se necesita: a) identificar el tipo de información que se pretende proteger como los datos o secretos: i) de carácter: bancario, bursátil, comercial, confidencial, industrial, médico, personal, privilegiado, profesional, reservado, sensible, societario, técnico, o ii) que su naturaleza esté vinculada a temas de: comunicaciones, fabricación, privacidad, seguridad nacional, derechos del consumidor, etc.; b) definir que se considera información protegida; c) identificar el marco jurídico aplicable a la información y las obligaciones que tienen el emisor y el receptor; d) identificar todo riesgo en caso de que el receptor incumpla sus obligaciones y establecer controles o medidas concretas que permitan prevenir, mitigar o aceptar dichos riesgos; e) establecer medidas preventivas y reactivas ante un incumplimiento de obligaciones y f) dar seguimiento y evaluar el cumplimiento de obligaciones y las acciones realizadas para lograrlo.
Una cuarta opción viene a ser el Seguro de protección de datos y seguridad informática que cubre cuestiones relacionadas a: a) responsabilidad civil en relación a datos corporativos y personales al igual que contenido en páginas Web; b) gastos por vulneraciones de seguridad, reemplazo o reposición de activos; c) indemnización por daños y perjuicios con motivo de la pérdida de ganancias y recuperación de la reputación del Negocio del Asegurado; d) defensa jurídica y pago de sanciones, incluyendo acción legal en caso de extorsión[1].
A manera de conclusión, para garantizar la seguridad de la información debemos actualizar constantemente nuestro criterio para identificar los riesgos que esta labor implica.
[1] Seguro de Protección de Datos y Seguridad Informática, Disponible en: https://www.zurich.com.mx/-/media/project/zwp/mexico/docs/regulaciones/terminos-y-condiciones/daos-seguro-de-proteccion-de-datos-y-seguridad-informatica-data-protect.pdf.
