Conforme a lo expresado en la tercera parte, las entidades gestionan los riesgos lo cual implica:
a) Identificar los elementos del riesgo y sus indicadores que explican cómo y en qué medida la entidad se puede encontrar expuesta a un incumplimiento de obligaciones.
Nombre del Riesgo | Principio de Cumplimiento | Área de Cumplimiento | Tipo de Evento de Riesgo |
Utilización indebida de datos personales y datos personales sensibles | Ley Federal de Protección de Datos Personales en Posesión de los Particulares | Seguridad de la información Protección de datos personales y datos personales sensibles en posesión de los particulares | Artículo 19 Ley Federal de Protección de Datos Personales en Posesión de los Particulares.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. |
Naturaleza | |||
Operativa, financiera y de cumplimiento. | |||
Alcance | Artículo | Evento de Riesgo | Detonante |
Vulnera a las áreas de recursos humanos, compras, ventas, tesorería, contabilidad, legal y recepción, por mencionar algunas pero prácticamente afecta a toda área que trata o transfiere datos personales en la entidad. | 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares | Obtención de datos personales y datos personales sensibles cuyos titulares son partes interesadas para su tratamiento y transferencia sin ninguna medida de seguridad que garantice que no sean explotados para fines distintos a los consentidos en el aviso de privacidad. | Se produce porque: No hay restricciones de acceso. No hay procesos documentados, roles de responsabilidad ni acciones para moderar el uso de los datos. No hay medidas de trazabilidad para saber quién trata o transfiere datos. La entidad no tiene medios para que los titulares ejerzan los derechos ARCO ni una estructura interna que gestione las peticiones. No se cuenta con proveedores de servicios de seguridad de la información y seguridad informática para aplicar las medidas de seguridad. |
b) Utilizar un método documentado de medición de riesgos inherentes, con información confiable, consistente y sustentada en procesos, políticas criterios, medidas y procedimientos, que establezca una relación entre indicadores cualitativos o cuantitativos y los elementos de cada riesgo valorado para su descripción a través de una escala o rango de calificación de cada indicador, la cual deberá representar la relación entre probabilidad de ocurrencia del riesgo y posible impacto.
Multa, Sanción o Riesgo | Probabilidad Inherente | Impacto Inherente | Riesgo Inherente |
Artículo 63.- Constituyen infracciones a esta Ley, las siguientes conductas llevadas a cabo por el responsable: (…) XI. Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable; | 4 | 5 Es legal, económico, operacional y de reputación | 20 |
Calificación de probabilidad inherente
5 Casi seguro
4 Probable
3 Posible
2 Improbable
1 Raro
Calificación de impacto inherente
5 Catastrófico
4 Alto
3 Intermedio
2 Menor
1 Insignificante
Además, las entidades deben establecer controles para asegurar el cumplimiento de las obligaciones a su cargo, lo cual se explicará en la quinta parte de este artículo.
Te puede interesar: Mecanismos legales de protección de la información