portal foro jurídico fintech

Recomendaciones en materia de datos personales para las FINTECH

Con la entrada en vigor de la Ley para Regular las Instituciones de Tecnología Financiera (“Ley Fintech”), las Instituciones de Financiamiento Colectivo (crowdfunding) y de Fondos de Pago Electrónico (wallets) han estado trabajando considerablemente para cumplir con cada aspecto regulatorio de la denominada Ley Fintech, pero, ¿se estarán olvidando de cumplir con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares? de ser así, ¿cuál sería el riesgo de no cumplir con esta norma?¿Les es aplicable?

En respuesta a la pregunta de si la Ley Federal de Protección de Datos Personales en Posesión de los Particulares les es aplicable a las Instituciones de Tecnología Financiera (“ITFs”), la respuesta es sí, las ITFs son reconocidas como sujetos obligados a cumplir con esta norma toda vez que son personas morales de carácter privado que llevan a cabo el tratamiento de datos personales y en consecuencia deberán de cumplir con todas y cada una de las obligaciones que emanan de dicho ordenamiento.

Al respecto, el pasado mes de febrero de 2021, el Instituto Nacional de Transparencia, Acceso a la información y Protección de Datos Personales (“INAI”) emitió una serie de recomendaciones particulares para las ITFs con el objeto de orientarlas a cumplir con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su reglamento.

En este sentido, a continuación, se exponen de manera general y sintetizada, las recomendaciones emitidas por el INAI, las cuales se encuentran categorizadas de acuerdo con las principales operaciones que las ITFs llevan a cabo:

1. Alta de Clientes (on boarding digital):

  • Las ITFs, deberán de contar con un inventario de datos personales por actividad o producto ofrecido.
  • Asimismo, deberán implementar medidas de seguridad físicas, tecnológicas y administrativas que permitan al usuario entablar una comunicación segura o cifrada a través del dispositivo con el que se conecta con la plataforma en la que la institución le facilita sus productos.

2. Identificación de Clientes (Know Your Customer):

  • Las ITFs, deberán realizar un tratamiento prudente de la información de sus clientes a fin de no causar algún tipo de discriminación sobre sus condiciones financieras.  Esto a efecto de cumplir, con los principios de proporcionalidad y calidad, entre otros.
  • Es indispensable que las ITFs, se abstengan de generar nuevos mecanismos en los que se soliciten más datos personales de los que fueron solicitados de inicio a efecto de garantizar el acceso al servicio solicitado por el cliente. Recordemos que, en cumplimiento al principio de proporcionalidad, los responsables sólo podrán recabar la información de manera proporcional y justificada frente a la finalidad para la cual dichos datos fueron recabados al titular.

3. Transferencias de Datos Personales para el Otorgamiento de un Servicio:

  • Respecto a las transferencias de datos, se deberán habilitar canales de comunicación para actividades específicas derivadas de los servicios de las ITFs y que involucren la atención personalizada con sus clientes con el propósito de garantizar que cualquier comunicación únicamente pueda ser realizada mediante la plataforma de la ITF.

4. Monitoreo de las Operaciones de los Clientes de la ITF:

  • Respecto a la conservación y reportes –derivados del cumplimiento de una obligación–, estos deberán ser sólo respecto de sólo aquellos datos que por ley están obligados a presentar a las autoridades correspondientes. En consecuencia, no deberán realizar el tratamiento de datos personales adicionales a los que se encuentren debidamente plasmados y justificados en el aviso de privacidad de la ITF.

5. Clasificación de Clientes por Grado de Riesgo:                                                                                 

  • Es importante que –de conformidad al principio de calidad– las ITFs se aseguren de que no existan inconsistencias entre la información que incorporen y la que obre en sus sistemas autorizados y utilizar la información correspondiente únicamente el periodo necesario, por lo que se recomienda hacer un ejercicio en el que se determine el ciclo de vida de cada dato sometido a tratamiento, y una vez cumplido el ciclo, se proceda a la supresión de manera segura.

6.  Inspección, Vigilancia e Intercambio de Información:

  • Crear sistemas informáticos que permitan monitorear de manera no invasiva la información guardada y generada por sus clientes. Al igual que el inventario de datos, es relevante documentar en un sistema de gestión el inventario de sistemas de tratamiento, a efecto de que las ITFs tengan visibilidad de los sistemas que realizan el tratamiento de datos personales.

7. Presentación de Reportes a la Secretaría de Hacienda y Crédito Público (“SHCP”) por conducto de la CNBV:

  • Informarles a los titulares que las comunicaciones de su información personal será́ realizada dentro del marco normativo que regula a las ITFs. Como tal, no es necesario requerir su consentimiento, no obstante, es indispensable que se encuentre contemplado dentro del Aviso de Privacidad y que se cumpla con todos los elementos de este. 

8. Conservación de Archivos:  

  • Cumplir con los periodos de conservación establecidos, ya se por disposición legal o de conformidad al ciclo de vida de cada dato en particular.
  • Una vez transcurridos dichos periodos, contar con mecanismos de borrado seguro de la información de sus usuarios, la información que otorgaron los usuarios y la referente a las actividades realizadas derivadas de la contratación de un servicio.

9. Medidas generales aplicables:

Una de las cuestiones mas importante para las ITFs es precisamente cumplir con el “principio de responsabilidad”. Debido a ello, el Reglamento de la Ley de Datos Personales en su artículo 48 dispone que los responsables deberán implementar un Sistema de Gestión de Seguridad de Datos Personales, el cuál comprende, las siguientes actividades:

  1. Elaborar políticas de protección de datos personales obligatorios y exigibles al interior de la empresa.
  2. Poner en práctica un programa de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales.
  3. Establecer un sistema de supervisión y vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento.
  4. Destinar recursos para la instrumentación de los programas y políticas de privacidad.
  5. Instrumentar un procedimiento la evaluación de impacto por la implementación de nuevos productos, servicios, tecnologías y modelos de negocios, así como para mitigarlos.
  6. Revisar periódicamente las políticas y programas de seguridad.
  7. Establecer procedimientos para recibir y responder dudas y quejas de los titulares.
  8. Disponer de mecanismos para el cumplimiento de las políticas y programas de privacidad, así como de sanciones por su incumplimiento.
  9. Establecer medidas para el aseguramiento de los datos personales.
  10. Establecer medidas para la trazabilidad de los datos personales.

Por otra parte, en relación con la obligación de establecer medidas para el aseguramiento de los datos personales por parte de los responsables, el Reglamento de la Ley de Datos Personales en su artículo 61 enlista las acciones que deberán llevarse a cabo para cumplir con dichas obligaciones, las cuales, se mencionan a continuación:

  1. Elaborar un inventario de datos personales y de los sistemas para su tratamiento.
  2. Determinar las funciones y obligaciones de las personas que traten datos personales.
  3. Realizar un análisis de riesgos de datos personales.
  4. Establecer las medidas de seguridad.
  5. Realizar un análisis de brecha.
  6. Elaborar un plan de trabajo para la implementación de las medidas de seguridad.
  7. Llevar a cabo revisiones o auditorías.
  8. Capacitar al personal que efectúe tratamiento de datos personales.
  9. Realizar un registro de los medios de almacenamiento de los datos personales.

El INAI en el documento de referencia, emite recomendaciones adicionales en materia de seguridad de la información consisten en que las ITFs implementen controles internos  que procuren cumplir con los deberes de seguridad y confidencialidad establecido en la propia ley, a saber, las siguientes:

1. Que cada uno de sus componentes realice las funciones para las que fue diseñado, desarrollado o adquirido.

2. Que sus procesos, funcionalidades y configuraciones, incluyendo su metodología de desarrollo o adquisición, así́ como el registro de sus cambios, actualizaciones y el inventario detallado de cada componente de la Infraestructura Tecnológica, estén documentados.  

3. Que se hayan considerado aspectos de seguridad de la información en la definición de proyectos para adquirir o desarrollar cada uno de sus componentes, tales como:

  • Segregación lógica, o lógica y física de las diferentes redes.
  • Configuración segura considerando al menos, puertos y servicios, permisos otorgados bajo el principio de mínimo privilegio, uso de medios extraíbles de almacenamiento, listas de acceso, actualizaciones del fabricante y reconfiguración de parámetros de fabrica.
  • Mecanismos de seguridad en las aplicaciones que procuren que, durante su ejecución se protejan de ataques o intrusiones.

4. Que cada uno de sus componentes sea probado antes de ser implementado o modificado.

5. Que cuente con las licencias o autorizaciones de uso, en su caso.

6. Que cuente con medidas de seguridad para su protección, así como para el acceso y uso de la información que sea recibida, generada, transmitida, almacenada y procesada en la propia Infraestructura Tecnológica, tales como:  

  • Mecanismos de identificación y autenticación de los usuarios.       
  • Cifrado de la información conforme al grado de sensibilidad o clasificación.                                                     
  • Claves de acceso con características de composición que eviten accesos no autorizados.
  • Controles para terminar automáticamente sesiones no atendidas, así como para evitar sesiones simultáneas con un mismo identificador de Usuario.
  • Mecanismos de seguridad, tanto de acceso físico, como de controles ambientales y de energía eléctrica.
  • Medidas de validación para garantizar la autenticidad de las transacciones ejecutadas.

7. Que cuente con mecanismos de respaldo y procedimientos de recuperación de la información.  

8. Que mantenga registros de auditoría íntegros, incluyendo la información detallada de los accesos o intentos de acceso y la operación o actividad efectuada por los usuarios.                                                                           

9. Que para la atención de los Eventos de Seguridad de la Información e Incidentes de Seguridad de la Información se cuente con procesos de gestión que aseguren la detección, clasificación, atención y contención, investigación y, en su caso, análisis forense digital, diagnóstico, reporte a áreas competentes, solución, seguimiento y comunicación a autoridades, clientes y contrapartes.

10. Que sea sometida a la realización de ejercicios de planeación y revisión anuales que permitan medir su capacidad para soportar su operación.         

11. Que cuente con controles automatizados o, en ausencia de estos, que se realicen controles compensatorios, tales como doble verificación y conciliación que, previo o posteriormente a la realización de la operación de que se trate, minimicen el riesgo de eliminación, exposición, alteración o modificación de información.

12. Que tenga controles que permitan detectar la alteración o falsificación de libros, registros y documentos digitales relativos a las Operaciones.           

13. Que cuente con procesos para medir y asegurar los niveles de disponibilidad y tiempos de respuesta, que garanticen la ejecución de las operaciones realizadas.

14. Que cuente con dispositivos o mecanismos automatizados para detectar y prevenir eventos de seguridad de la información e incidentes de seguridad de la información, así como para evitar conexiones y flujos de datos entrantes o salientes no autorizados y fuga de información considerando, entre otros, medios de almacenamiento removibles.

15. Que se proteja la integridad de la Infraestructura Tecnológica, así como la integridad, confidencialidad y disponibilidad de la información recibida, generada, procesada, almacenada y transmitida por la ITF.

Por último, es imperante enfatizar respecta a la importancia de cumplir con lo expuesto, toda vez que las sanciones por incumplir con la Ley de Datos Personales pudiera acarrear una sanción de hasta aproximadamente 54 millones de pesos, sin descartar que los delitos en la materia y el impacto reputacional a la entidad.

Te puede interesar: Reformas sobre Teletrabajo. Desconexión Digital, Derechos de la Personalidad y Seguridad de la Información

COMPARTIR

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Artículos

RELACIONADOS

EL FORO DONDE SE DIFUNDEN Y ANALIZAN LAS NOTICIAS

Recibe noticias semanales

Suscríbete a nuestro boletín

Foro Jurídico © 2021