Por Mario Alberto Hernández
En México, los delitos más comunes de robo de datos personales incluyen phishing, estafas románticas en línea, fraude técnico o soporte falso, secuestro de cuentas y estafas de lotería o premios falsos.
Ya hemos dicho que en análisis de riesgos “el eslabón más débil es el humano”, por esta razón aquí le dejo algunas definiciones de los ciberdelitos más comunes y las recomendaciones para la correcta gestión de Datos Personales en su negocio:
Phishing: Engaño a través de correos electrónicos, mensajes o llamadas que aparentan ser de instituciones legítimas para obtener información personal, pero si usted o su personal, no los abren e interactúan son inofensivos.
Estafas románticas en línea: Engaño emocional a través de redes sociales o plataformas de citas para obtener dinero, a veces durante semanas o meses. Una política de prácticas permitidas y las que no lo son, pueden muy bien evitar estos riesgos en la empresa, incluso en la vida personal de sus empleados.
Fraude técnico o soporte falso: Llamadas o mensajes que simulan ser de empresas tecnológicas para convencer a la víctima de instalar software malicioso. Las políticas y la organización en la empresa, evitan perfectamente este tipo de prácticas que se pueden salir de control, si cualquiera tiene poder de decisión en estos casos.
Secuestro de cuentas: Acceso no autorizado a cuentas personales como correo electrónico, redes sociales o cuentas bancarias. Puede parecer inocente permitirle a un compañero usar la clave y/o el correo electrónico a otro, pero el riesgo es muy alto, tenga cuidado con estas malas prácticas.
Estas son los delitos más comunes, pero como puede ver el riesgo se puede mitigar si la empresa tiene procesos bien definidos, cadena de autoridad y políticas bien establecidas.
¿Qué debe hacer la empresa para una correcta gestión de Datos Personales?
1. Elabore y publique su Aviso de Privacidad. El aviso de privacidad no es solo un requisito legal (Art. 14, LFPDPPP), para hacerlo usted deberá tener claro políticas, procesos y en general el tratamiento que le dará a éstos.
2. Recabe sólo los datos de clientes, proveedores y empleados estrictamente necesarios. Aplique el principio de Proporcionalidad establecido en la Ley Menos datos es sinónimo de menos riesgo de exposición o uso indebido.
3. Capacite a su personal. El mejor antídoto para el riesgo, es una cultura de Protección de Datos Personales y ésta comienza con personal informado y capacitado.
4. Implemente medidas de seguridad físicas, técnicas y administrativas
Establezca controles para el acceso a archivos físicos y digitales, uso de contraseñas robustas, cifrado, y protocolos de custodia. El Reglamento de la LFPDPPP exige estas medidas.
5. Gestione los derechos ARCO con procesos claros Establezca sus procedimientos accesibles para que los titulares puedan ejercer sus derechos de Acceso, Rectificación, Cancelación y Oposición. Cumplir estos derechos fortalece tu cultura de cumplimiento.
6. Prepárese para incidentes: Tener un protocolo claro ante fugas y/o accesos no autorizados además de estar establecido en el Reglamento de la LFPDPPP, puede reducir el impacto legal y reputacional.
Ser empresario nos obliga al cumplimiento independientemente del tamaño de su negocio y como ciudadanos debemos conocer derechos y obligaciones consagrados en la ley.
Hagamos todos una cultura de cuidado de los Datos Personales.
Nos leemos la siguiente semana.
