la confidencialidad esta en todas partes
TRANSCRIPT
Lex Informática Aspectos Legales de las Tecnologías de la Información
La confidencialidad está en todas partes
Joel A. Gómez Treviño
Es hasta cierto punto común pensar que los deberes de confidencialidad nacen siempre en
virtud de un contrato relacionado con negocios, muchas veces de los conocidos como
“Non Disclosure Agreements” o “NDA’s”. Si bien es cierto que este tipo de acuerdos o
convenios son bastante comunes en los negocios, también es cierto que la fuente principal
de obligaciones de confidencialidad y secrecía es la ley. El problema radica en que la
mayor parte de gente de negocios no conoce estas leyes, y por lo tanto cree que solo se
obliga en los términos de los contratos de confidencialidad que firma.
Si uno incumple un contrato la mayoría de las veces está en las manos de su contraparte
la decisión de demandarlo o no, y si lo hace puede que pasen años antes de que tenga
una repercusión negativa. En cambio, el desconocimiento de las “leyes de
confidencialidad” puede costarles muy caro, pues la violación de las mismas puede
acarrearles consecuencias económicas serias (multas de hasta más de $19 millones de
pesos) o inclusive sanciones corporales (hasta 12 años de prisión).
Cuando usted realiza un negocio es importante analice todos los ángulos de
confidencialidad de la información: (a) contratos y cláusulas de confidencialidad con su
contraparte; (b) contratos y cláusulas de confidencialidad con sus empleados; (c)
contratos y cláusulas de confidencialidad con sus proveedores; y (d) contratos y cláusulas
de datos personales y avisos de privacidad que tenga su contraparte, entre otros.
Además de lo anterior, y con independencia a que esté usted realizando o no un negocio,
siempre es importante que conozca lo que establecen las leyes más importantes de la
materia en torno a obligaciones de confidencialidad:
Ley Reglamentaria
del Artículo 5°
Constitucional,
relativo al Ejercicio
de las Profesiones
en el D.F.
ARTICULO 36.- Todo profesionista estará obligado a guardar
estrictamente el secreto de los asuntos que se le confíen por sus
clientes, salvo los informes que obligatoriamente establezcan las
leyes respectivas.
Ley de la
Propiedad
Artículo 84.- La persona que guarde un secreto industrial podrá
transmitirlo o autorizar su uso a un tercero. El usuario autorizado
Industrial tendrá la obligación de no divulgar el secreto industrial por ningún
medio.
Artículo 85.- Toda aquella persona que, con motivo de su trabajo,
empleo, cargo, puesto, desempeño de su profesión o relación de
negocios, tenga acceso a un secreto industrial del cual se le haya
prevenido sobre su confidencialidad, deberá abstenerse de revelarlo
sin causa justificada y sin consentimiento de la persona que guarde
dicho secreto, o de su usuario autorizado.
Artículo 86.- La persona física o moral que contrate a un trabajador
que esté laborando o haya laborado o a un profesionista, asesor o
consultor que preste o haya prestado sus servicios para otra
persona, con el fin de obtener secretos industriales de ésta, será
responsable del pago de daños y perjuicios que le ocasione a dicha
persona.
Ley Federal de
Protección al
Consumidor
Artículo 76 bis.- Las disposiciones del presente Capítulo aplican a
las relaciones entre proveedores y consumidores en las
transacciones efectuadas a través del uso de medios electrónicos,
ópticos o de cualquier otra tecnología. En la celebración de dichas
transacciones se cumplirá con lo siguiente:
I. El proveedor utilizará la información proporcionada por el
consumidor en forma confidencial, por lo que no podrá difundirla o
transmitirla a otros proveedores ajenos a la transacción, salvo
autorización expresa del propio consumidor o por requerimiento de
autoridad competente;
II. El proveedor utilizará alguno de los elementos técnicos
disponibles para brindar seguridad y confidencialidad a la
información proporcionada por el consumidor e informará a éste,
previamente a la celebración de la transacción, de las
características generales de dichos elementos;
Ley Federal de
Protección de
Datos Personales
en Posesión de
Particulares
Artículo 19.- Todo responsable que lleve a cabo tratamiento de
datos personales deberá establecer y mantener medidas de
seguridad administrativas, técnicas y físicas que permitan proteger
los datos personales contra daño, pérdida, alteración, destrucción o
el uso, acceso o tratamiento no autorizado.
Artículo 21.- El responsable o terceros que intervengan en cualquier
fase del tratamiento de datos personales deberán guardar
confidencialidad respecto de éstos, obligación que subsistirá aun
después de finalizar sus relaciones con el titular o, en su caso, con
el responsable.
Artículos 63 y 64.- La multa por incumplir el deber de
confidencialidad respecto de cualquier fase del tratamiento de datos
personales puede ser de hasta $19,142,400 pesos (320,000 salarios
mínimos).
Reglamento de la
Ley Federal de
Protección de
Datos Personales
en Posesión de
Particulares
El artículo 2 define los siguientes términos:
V. Medidas de seguridad administrativas: Conjunto de acciones y
mecanismos para establecer la gestión, soporte y revisión de la
seguridad de la información a nivel organizacional, la identificación
y clasificación de la información, así como la concienciación,
formación y capacitación del personal, en materia de protección de
datos personales;
VI. Medidas de seguridad físicas: Conjunto de acciones y
mecanismos, ya sea que empleen o no la tecnología, destinados
para:
a) Prevenir el acceso no autorizado, el daño o interferencia a las
instalaciones físicas, áreas críticas de la organización, equipo e
información;
b) Proteger los equipos móviles, portátiles o de fácil remoción,
situados dentro o fuera de las instalaciones;
c) Proveer a los equipos que contienen o almacenan datos
personales de un mantenimiento que asegure su disponibilidad,
funcionalidad e integridad, y
d) Garantizar la eliminación de datos de forma segura;
VII. Medidas de seguridad técnicas: Conjunto de actividades,
controles o mecanismos con resultado medible, que se valen de la
tecnología para asegurar que:
a) El acceso a las bases de datos lógicas o a la información en
formato lógico sea por usuarios identificados y autorizados;
b) El acceso referido en el inciso anterior sea únicamente para que
el usuario lleve a cabo las actividades que requiere con motivo de
sus funciones;
c) Se incluyan acciones para la adquisición¸ operación, desarrollo y
mantenimiento de sistemas seguros, y
d) Se lleve a cabo la gestión de comunicaciones y operaciones de
los recursos informáticos que se utilicen en el tratamiento de datos
personales;
Capítulo III.- De las Medidas de Seguridad en el Tratamiento de
Datos Personales:
Alcance
Atenuación de sanciones
Funciones de seguridad
Factores para determinar las medidas de seguridad
Acciones para la seguridad de los datos personales
Actualizaciones de las medidas de seguridad
Vulneraciones de seguridad
Notificación de vulneraciones de seguridad
Información mínima al titular en caso de vulneraciones de
seguridad
Medidas correctivas en caso de vulneraciones de seguridad
Ley Federal del
Trabajo
Artículo 47.- Son causas de rescisión de la relación de trabajo, sin
responsabilidad para el patrón:
IX. Revelar el trabajador los secretos de fabricación o dar a conocer
asuntos de carácter reservado, con perjuicio de la empresa;
Artículo 134.- Son obligaciones de los trabajadores:
XIII. Guardar escrupulosamente los secretos técnicos, comerciales y
de fabricación de los productos a cuya elaboración concurran
directa o indirectamente, o de los cuales tengan conocimiento por
razón del trabajo que desempeñen, así como de los asuntos
administrativos reservados, cuya divulgación pueda causar
perjuicios a la empresa.
Código Penal
Federal
Artículo 210.- Se impondrán de treinta a doscientas jornadas de
trabajo en favor de la comunidad, al que sin justa causa, con
perjuicio de alguien y sin consentimiento del que pueda resultar
perjudicado, revele algún secreto o comunicación reservada que
conoce o ha recibido con motivo de su empleo, cargo o puesto.
Artículo 211.- La sanción será de uno a cinco años, multa de
cincuenta a quinientos pesos y suspensión de profesión en su caso,
de dos meses a un año, cuando la revelación punible sea hecha por
persona que presta servicios profesionales o técnicos o por
funcionario o empleado público o cuando el secreto revelado o
publicado sea de carácter industrial.
Artículo 211 Bis.- A quien revele, divulgue o utilice indebidamente o
en perjuicio de otro, información o imágenes obtenidas en una
intervención de comunicación privada, se le aplicarán sanciones de
seis a doce años de prisión y de trescientos a seiscientos días
multa.
Ley Federal de
Seguridad Privada
Artículo 15. Fracción V. Seguridad de la información. Consiste en la
preservación, integridad y disponibilidad de la información del
prestatario, a través de sistemas de administración de seguridad,
de bases de datos, redes locales, corporativas y globales, sistemas
de cómputo, transacciones electrónicas, así como respaldo y
recuperación de dicha información, sea ésta documental,
electrónica o multimedia.
Acuerdo por el que
se establece el
Esquema de
Interoperabilidad y
Artículo 2. Para los efectos del presente Acuerdo, se entenderá por:
Ciberseguridad: a la aplicación de un proceso de análisis y gestión
de riesgos relacionados con el uso, procesamiento, almacenamiento
y transmisión de información, así como con los sistemas y procesos
de Datos Abiertos
de la
Administración
Pública Federal
usados para ello, que permite llegar a una situación de riesgo
conocida y controlada;
Acuerdo por el que
se expide el
Manual
Administrativo de
Aplicación General
en Materia de
Tecnologías de la
Información y
Comunicaciones
1. Definiciones y Términos:
Seguridad de la información: La capacidad de preservación de la
confidencialidad, integridad y disponibilidad de la información.
Vulnerabilidad: La debilidad en la seguridad de la información
dentro de una organización que potencialmente permite que una
amenaza afecte a un activo de TIC.
SGSI: Sistema de Gestión de Seguridad de la Información, parte de
un sistema global de gestión que basado en el análisis de riesgos,
establece, implementa, opera, monitorea, revisa, mantiene y
mejora la seguridad de la información.
5.9.4 Administración de la seguridad de los sistemas informáticos
5.9.4.1 Objetivos del proceso
General: Establecer los mecanismos que permitan la administración
de la seguridad de la información de la Institución contenida en
medios electrónicos y sistemas informáticos.
Específicos: Establecer un Sistema de Gestión de Seguridad de la
Información (SGSI) que proteja la información de la
Institución contenida en medios electrónicos y sistema informáticos,
contra accesos y usos no autorizados, con la finalidad de conservar
su confidencialidad, integridad y disponibilidad.
Como puede apreciar, guardar la confidencialidad de la información es cosa seria. No tome
a la ligera estas obligaciones que nacen no solo por la vía contractual, sino también por
orden de ley en muy diversos ámbitos. Conozca sus obligaciones y busque la asesoría
adecuada para cumplirlas cabalmente.