México D.F., a 05 de diciembre de 2013. Versión Estenográfica de la Mesa Redonda del Foro Internacional Sobre Seguridad de Datos Personales: Las Recomendaciones del IFAI, efectuada en el Auditorio Alonso Lujambio, de este Instituto. Presentador: A continuación se presenta la mesa redonda, en donde nuestros invitados internacionales compartirán su opinión con relación a las recomendaciones en materia de seguridad de datos personales. Esta mesa es moderada por el señor Pablo Corona Fraga, de NYCE. Adelante. Pablo Corona Fraga: Corrijo un poco, es NYCE. Déjenme platicarles cuál es la intención de esta mesa. En el marco de este evento internacional el objetivo es identificar las distintas experiencias que hay a nivel internacional de otras personas y otras perspectivas con regulaciones también en protección de datos personales también enfocadas a esta seguridad de los datos y que nos platiquen un poco de su experiencia. Entonces, en ese sentido vamos a tener tres ponencias por parte de los expertos internacionales, que empezaré presentando a cada uno en el turno que le corresponda, cada uno de ellos tendrá 20 minutos para la platicarnos de su experiencia, cómo han implementado esas leyes de protección de datos o esas regulaciones de protección de datos y las medidas de seguridad correspondientes en sus países. Y por último, la opinión que tengan, ya todos tuvieron la oportunidad de revisar los documentos que está presentado el IFAI y entonces cuál es su opinión acerca de esta sugerencia, de estas recomendaciones que emite el IFAI. Vamos a iniciar con Luis de Salvador, Jefe del Área de Inspección de Datos de la Agencia Española de Protección de Datos. Me gusta empezar con él porque Europa ha sido uno de los países que ha tenido un mayor avance desde hace ya varios años en materia de protección de datos, él es doctor en Informática por la Universidad Politécnica de Madrid, master en Administración de Empresas por una UNED y master en Administración Pública de las TIC por el INAP

Ha tenido cursos de posgrado en distintas instituciones como el MIT, la UCLA y la Universidad Politécnica de la USAN. Es Jefe del Área de Inspección de Datos de la Agencia Española de Protección de Datos desde el 2008 y entre otras actividades ha realizado numerosas inspecciones en temas de especial sensibilidad, participando como experto en temas de tuning en la Unión Europea para la adecuación de la normativa y las autoridades de protección de datos en Israel, Albania, Bulgaria y Croacia y en programas de tyex en Macedonia y Moldavia. Muchas gracias Luis. Luis de Salvador: Muchas gracias, Pablo. Empiezo con mi primer

incidente de seguridad. Lo primero que quiero es dar las gracias al IFAI por la oportunidad que me da de compartir no sólo el análisis de estos documentos, sino también unos momentos con vosotros. Doy las gracias también por asistir a este evento, y quería presentar un poquito lo que es la Agencia Española para la Protección de Datos, para aquellos que no la conozcan, es la autoridad. En España tenemos 20 años de experiencia, está instaurada desde 1993, y si tuviese que describirla en pequeñas cifras, pues somos 165 personas, tramitamos 10 mil denuncias de ciudadanos al año. Llevamos a cabo mil procedimientos sancionadores al año, imponemos, con el cambio al peso, sería unos 400 millones de euros, de pesos en sanciones, todos los años. O sea, somos un ente regulador que tiene bastante presencia en la empresa pequeña y en la mediana empresa. Lo que yo puedo comentar es la experiencia que en estos 20 años hemos acumulado en relación precisamente a la implantación de medidas de seguridad y los procedimientos de medidas de seguridad que nosotros tenemos sugeridos o, mejor dicho, obligados en España. Lo primero que quiero hacer, antes de empezar, es felicitar a los que han realizado tanto las recomendaciones de medidas de seguridad como la metodología BAA, porque me ha parecido un trabajo muy interesante y muy profesional, que además nos va a servir a nosotros, a la Agencia Española, y en general a Europa, precisamente como un input muy interesante, teniendo en cuenta los cambios regulatorios que se nos avecinan. La experiencia que yo tengo es desde el punto de vista de la autoridad reguladora, no desde el punto de vista de la industria. En la

documentación presentada, como lo que se ha estado comentando aquí, se ha hablado del sistema de gestiones de seguridad de la información, es un concepto muy bien establecido en la industria, muy bien entendido, que tiene su base en la trinidad, confidencialidad, integridad, disponibilidad, más otros conceptos como no repudio, derecho de imagen, etcétera. Todo mundo sabe que define unos objetivos de seguridad, unos objetivos de control y unos controles implementarios. Indudablemente la implementación de un sistema de gestión de seguridad de la información, tiene que ir guiada por un análisis y una gestión del riesgo. Pero desde el punto de vista de la industria, naturalmente, ese análisis tiene que estar guiado por una optimización de la relación costo-beneficio. Se van a implementar una serie de medidas de seguridad para prevenir, para prevenir cualquier problema en los procesos de negocio que van a tener una repercusión negativa en los beneficios de la empresa. Entonces se van a implementar en la medida que están garantizando esos procesos de negocio. La visión que tenemos desde una autoridad reguladora en protección de datos, es que las medidas de seguridad que se deben implantar para garantizar la protección de datos, no tienen que ir guiadas por esa trinidad confidencialidad, integridad y disponibilidad, sino por los objetivos específicos de protección de datos. El objetivo final no es garantizar confidencialidad, integridad y disponibilidad, es garantizar la calidad de datos, la limitación del tratamiento, el consentimiento que ha dado el ciudadano para el tratamiento de sus datos, el deber de secreto, la proporcionalidad, el ejercicio de derechos, esos son los objetivos últimos de las medidas de seguridad desde el punto de vista del regulador. Indudablemente, para implementar esos objetivos lo que yo voy a tener es implementar controles que garanticen confidencialidad, integridad y disponibilidad y otros conceptos. Pero no es ese el objetivo último, el objetivo es precisamente garantizar a los sujetos de los datos los principios que están garantizados por la ley y si nos fuésemos a la norma 27001 hay una serie de controles, por poner ejemplos, controles sobre política de control de acceso, controles sobre los datos de prueba, controles sobre la reutilización o retirada de documentación de los equipos que vista desde la óptica de protección de datos tienen que matizarse. ¿Por qué? Porque la política de control de acceso no debe estar basada en requisitos empresariales, tiene que estar basada en la necesidad de que la gente de

la propia empresa tenga conocimiento de datos de carácter personal para realizar su tratamiento. La reutilización o retirada de equipos tiene que estar guiada por la retirada y la destrucción confidencial de datos personales, no sólo de datos de carácter sensibles para la empresa. Los datos de prueba no pueden ser datos de carácter personal. ¿Por qué? Porque los datos de carácter personal no tienen que correr el riesgo de ser tratados en sistemas de pruebas. Este concepto es un poco distinto, es un pequeño matiz, pero creo que es un pequeño matiz que es necesario explicar. Tanto las grandes corporaciones que ya están habituadas en la implementación de estándares de seguridad como la PYME, a las PYMES les tenemos que decir que tiene que seguir los objetivos de garantizar los sujetos de los ciudadanos y en particular hablando sobre la documentación yo creo que es a consecuencia para el sujeto de los datos tiene que ser el pilar fundamental que tiene que guiar precisamente la implantación de medidas de seguridad. Y así yo creo que está reflejado no sólo en la ley española, sino también en la ley y el reglamento de aquí, de México, en donde expresamente se toma, se dice explícitamente que se tendrán en cuenta las posibles consecuencias de los titulares. Ahí yo tengo un pequeño comentario, un pequeño comentario casi semántico porque eché de menos ver precisamente en la recomendación de metodología una mención expresa a eso que está en la ley, que no se ve en ningún punto ni de la recomendación, ni de la metodología, y yo creo que es importante hacerlo explícito, yo creo que implícitamente sí lo dice francamente, lo que pasa es que no dice de forma explícita que la guía fundamental es tener en cuenta las consecuencias que tiene para el sujeto de los datos, cualquier tipo de brecha de seguridad y de hecho cuando se hace la descripción en activo se habla con la información que tenga valor para la organización. Desde el punto de vista de protección de datos ese activo está en manos de la organización por puro préstamo. El activo, el dato de carta de personal pertenece a la persona, es su posesión y sólo la organización lo va a tratar para proporcionarle un servicio que previamente se ha consensuado con el sujeto de los datos y es muy distinto decir que ese activo tiene valor para la organización cuando ese activo lo que tiene es un valor para el sujeto de los datos, y la organización tiene la obligación de proteger ese valor que tiene para ese sujeto de los datos.

La regulación española a medida de seguridad aparece una mención a la seguridad realmente en dos artículos; hay un explícito que es de medida de seguridad que regula la implementación de medida de seguridad, y otro que ese artículo es de secreto, que regula el resultado de que no se cumplan las medidas de seguridad, que también son dos aspectos ligeramente diferente. Por un lado, estamos diciendo que existe obligación de implementar medidas de seguridad y, por otro lado, estamos dando esas medidas de seguridad un carácter finalista. ¿Qué quiere decir? Que se tienen que incumplir los principios de protección de datos que hemos enunciado antes, cuando se implementan esas medidas de seguridad. Las sanciones que podemos o que se está ahora mismo implantando, pues son sanciones entre los 700 mil o cinco millones 300 mil pesos mexicanos tanto por fallos de medidas de seguridad como por brechas de seguridad. Las aplicamos tanto al sector público como al sector privado. Y dentro del sector público, pues estamos hablando de todos, todo el ámbito público, desde la Casa Real hasta los Tribunales, exceptuando todos los ficheros que tienen información clasificada. Hay cierto conflicto con las Cámaras Nacionales de Seguridad, pero bueno, eso sería ya un poquito más largo de explicar. A diferencia de la regulación mexicana, nosotros sí tenemos unos controles específicos que se tienen que implementar por ley. No se deja al libre albedrío, a un análisis de riesgos el tipo de controles que se tienen que implementar en la empresa, sino que están guiados por la sensibilidad del tipo de datos, y además, es bastante rígido. Lo que en cierta manera también es un pequeño problema, como veremos más tarde. Si vemos un resumen de las medidas de seguridad, aquí están enumeradas en azul están las que no se tienen que implementar en ficheros no automatizados, están guiadas por niveles de seguridad que se fijan en función de la sensibilidad de los datos, y entre ellos quiero destacar, por ejemplo, hay unas genéricas aplicables a cualquiera, que es una mención expresa a los ficheros temporales, que también es algo que he hecho un poco de mención.

Es muy importante hacer una mención expresa a los ficheros temporales, sobre todo teniendo en cuenta la forma de tratar ahora mismo los datos de carácter personal de una empresa. Ya no tenemos un ordenador central, ya tenemos sistemas no sólo distribuidos, sino que nosotros mismos distribuimos la información, trabajamos en entornos de nube, parte de la información nuestra empezaba en entornos de nube, se está entendiendo la técnica del bring on or divice, y es muy importante que se fije la necesidad de también regular todos esos ficheros temporales que se salen de la estructura, casi del sistema de información de la empresa. Yo creo que es importante también que esa mención esté expresa en las medidas de seguridad a implementar. Claro, comparado con las medidas aquí establecidas, esto es muy rígido, porque le estamos diciendo a las empresas cuál es el mínimo que tienen la obligación de implementar, no el máximo, el mínimo y que es obligatorio, y que es obligatorio por ley. Si revisamos los casos que hemos tenido de medidas de seguridad, les puedo decir que aproximadamente en la historia de la agencia hemos tenido 615 procedimientos sancionadores por medidas de seguridad. Eso no quiere decir, es mucho mayor el número de denuncias y el número de investigaciones, 615, fueron aquellos que se investigaron, se encontraron evidencias y se han sancionado, lo que supone un 12 por ciento aproximadamente de las infracciones graves. Como he dicho antes, es sancionable el mero incumplimiento, el mero incumplimiento en relación a la tabla que habíamos visto anteriormente; por tanto, eso también crea un cierto problema, porque permite la instrumentalización de las denuncias. Hemos tenido muchas denuncias de ex trabajadores que directamente han denunciado a su ex empresa porque no tenía las medidas de seguridad, lo sabían internamente. No se había producido ninguna brecha, pero no tenía las medidas de seguridad implementadas. ¿Cuáles han sido el tipo de brechas de seguridad más comunes que hemos sancionado? La primera, la no destrucción confidencial de soportes físicos, y cuando hablo de soportes físicos no estoy hablando de pen drive ni de discos duros, estoy hablando de papel, de información en papel.

Hemos tenido muchísimos casos sobre todo de arrojar directamente a la basura lo que son historiales clínicos, esos son casos muy comunes, historiales clínicos en basura, facturas de cualquier negocio o empresa, registros de usuarios, etcétera. Otro muy común son los errores de configuración o de uso de las propias aplicaciones por los usuarios, que esos son las más comunes cuando hay una brecha de seguridad, en particular en relación a los sistemas P2P y todas estas cosas y errores de configuración de correo. El robo, el mal uso de la información por los propios usuarios. Casos muy comunes son gente que trabajan para las fuerzas y cuerpos de seguridad de Estado, que trabajan en centros médicos o que trabajan en centros educativos y que tienen acceso a una información y utilizan esa información, ¿para qué? Caso típico, recogen la información porque su nueva pareja tiene una expareja, están metidos en un procedimiento de divorcio y esa información la recogen para distribuirla a directores de colegio, a juzgados y en procedimientos judiciales, etcétera. Medias de autentificación insuficientes o mal configuradas. No hay usuario y password, el usuario y password es el mismo para todo el mundo en toda la empresa o simplemente es que venía por defecto. Como éstos hemos tenido, por ejemplo, un moda que tuvimos en España de instalar webcams para vigilar tu propio negocio, tú instalabas una pequeña webcam, tú podías vigilar tu propio negocio a distancia. Una webcam que, claro, tú ponías el nombre y el nombre de la marca, de la webcam en Google y había indexado las webcam que había en España y tú sólo tendrías que meter dentro y poner admin-admin y ya estabas viendo a la gente cambiarse el zapato en una tienda de Córdova. Eso me parece que fueron más de 20 sitios que fueron localizados, fue una exploración muy exhaustiva. Errores en la configuración del servidor web, pongo información excesiva al alcance en la web, o algo muy común que le ocurre a las operadoras de telefonía y que también le ha está ocurriendo a los bancos, que es todavía más sangrante, es que los sistemas transaccionales tienen una serie de errores que cuando accedes a tu área de usuario estás viendo el área de usuario de otro señor, así de sencillo. Por eso, éstas son las más comunes.

¿Qué puedo decir? Que la figura del atacante que existe en alguno de los procedimientos que hemos empleado es una figura escasa. Muchas veces el número de la mayoría de brechas que tenemos no son debidas a que hay un atacante, no hay un atacante. Hay un error de uso por parte de los usuarios. Yo creo que en la metodología el concepto atacante habría que aplicarlo, ¿cuál es el principal atacante? El usuario, tu usuario, no el usuario externo, el usuario interno. Ese es tu principal atacante, y el segundo principal atacante es el gerente que genera los procedimientos en la empresa, que son procedimiento erróneos. Por eso se hace una, yo creo que en la metodología se hace un énfasis demasiado grande en el beneficio, además, del atacante. Cuando muchas veces no veo en lo que diariamente estamos tratando, ni que haya atacante ni que haya beneficio. Atacante desde el punto de vista de atacante puro, realmente el atacante siempre está dentro. Si ahora en vez de ponerme al lado del regulador y me pongo del lado de la empresa, cuando se fijan unas medidas de seguridad y unas limitaciones al tratamiento debido a las medidas de seguridad, a veces tenemos que tener en cuenta que estamos imponiendo ciertas condicionantes y limitaciones a cómo puede tratar la información un usuario. Y voy a dar el caso del cifrado de las comunicaciones. Nosotros tenemos en el reglamento la obligación de cifrar las comunicaciones de datos sensibles, de datos médicos, y claro, hemos tenido denuncias, la típica denuncia de un señor que reclama a su médico por correo electrónico que le envíe su historial clínico, o el historial clínico de su hermano, o el historial clínico de otro, y se lo transite en un pdf. Claro, nosotros ahí estamos un poquito atados, nuestro reglamento es claro: no ha cifrado la comunicación, tiene que cifrar el pdf., ¿pero tiene que cifrar el pdf que incluye o también tiene que cifrar el contenido del mensaje? ¿O también tiene que cifrar el asunto? O el saber el origen y el destino ya me está diciendo algo sobre el tratamiento que tu estas recibiendo, porque en la dirección de origen y en la dirección de destino se puede intuir por qué se está poniendo en contacto contigo. O sea, imponer una medida de seguridad tiene un impacto y puede tener que modificar ciertos procedimientos en empresas en empresa, y lo comento en relación a, por ejemplo, el riesgo de tipo 4 y 5 que aparece en la metodología, aparecen esas áreas blancas que hay que estudiar,

realmente hay que estudiar si hay aplicaciones ahora mismo o servicios que entran dentro de esas áreas blancas, para que no haya el problema que nos estamos encontrando seguro. Y por otro lado, en relación a las medidas de seguridad, claro, si sancionamos la brecha ¿dónde está la seguridad jurídica del responsable del fichero? El responsable del fichero quiere una seguridad jurídica, “oye, yo he hecho una inversión, he impuesto unas medidas de seguridad, y habido una brecha, no me vas a sancionar”. Nosotros tuvimos un caso paradigmático, que fue un centro español que se dedica precisamente a certificación, que estaba certificado, tenía todas las certificaciones que se pueden tener, y tuvo una brecha con los de seguridad, con datos personales, un problema muy concreto. Entonces ese es un capítulo también que todavía queda pendiente, queda un poco pendiente el fijar, el fijar cómo darle una seguridad a esa persona que está implantando unas medidas de seguridad, de que realmente no va a ser sancionado en el futuro, y luego estas cosas también se van complicando, tuvimos nosotros nuestros problemas con anónimos y con anónimos empezaron a aparecernos nuevos roles y no sólo estaba el responsable o el encargado del tratamiento que tenían unas misiones de la misión de proteger nuestros datos personales, estaba el intruso que no tiene ahí un beneficio que a veces no es un intruso, es un señor que está entrando y que está diciendo: Oye, mira, es que tú no estás implementando medidas de seguridad correctas, es un hack genético que además normalmente va a distribuir la información a través de una web de un tercero en alguna cosa de esas. Entonces, ahí empiezan a aparecer los nuevos roles de responsabilidad que también es necesario ir teniendo en cuenta. Para concluir, cuando se plantea implementar una medida de seguridad también hay que ver qué implica para la autoridad, porque claro, la autoridad tiene que hacer cumplir esa medida de seguridad, unas capacidades técnicas y de autoridad para poder hacerlas cumplir, y hacer una auditoría de seguridad es una cosa muy complicada, que requiere mucho tiempo. Por tanto, eso tiene una gran complicación. De hecho ahora mismo nos encontramos que en las investigaciones que estamos haciendo nosotros limitamos el ámbito de la inspección a aquello que ha sido estrictamente denunciado porque es muy complicado y más aquí adelante, sobre todo ahora que se está implementando en España ya la comunicación de

brechas de seguridad, directamente no al sujeto de los datos, sino también le ha dado autoridad para que tome medidas. Y dejar a la autoridad y a la hora de hacer un procedimiento sancionador es muy importante tener evidencias suficientes para fundamentar la infracción. ¿Por qué? Porque a la hora de la verdad una brecha puede ser muy evidente, pero a la hora de realizar la resolución sancionadora hay que especificar muy claramente dónde dice en la ley que eso es sancionable. Por lo tanto, es muy importante que la ley esté especificando de forma muy clara cuáles son las obligaciones para luego poder fundamentar esas sanciones. Por eso una recomendación que yo creo que es bastante importante, es establecer unas obligaciones muy claras de documentación. Documentación de las medidas de seguridad, documentación de la auditoría y documentación del análisis de riesgos. Por qué, porque eso da muchísimas evidencias. Gran parte de las inspecciones que nosotros hemos resuelto en medidas de seguridad se han resuelto de la siguiente manera: deme usted el documento de seguridad que es obligatorio en estos reglamentos y además tiene que tener un índice, que ya se lo he dicho. “No lo tengo”, se acabó la inspección. Y yo tengo, y yo tengo, no, y además se fundamenta jurídicamente muy bien. En el reglamento pone muy claro que usted tiene que tener un documento de seguridad porque, qué seguridad va a tener si no la tiene documentada. Pero en cambio nosotros tenemos una obligación de que el responsable de los datos realice auditorías bienales, pero no le obligamos a que tenga documentadas ni el resultado ni el seguimiento de las auditorías. Por lo tanto, ese artículo para nosotros es papel mojado, por qué, porque no puedes tener, no tienes nada sobre lo que fundamentar. Hace usted auditorías cada dos años. Sí. Los resultados. No los tengo. Pero la ley no dice que las tiene que tener. Y comentaba uno de vuestros compañeros, que bueno, que la metodología no forma parte integral del documento. ¡Hombre! Espero que en el futuro sí forme parte integral del documento, yo creo que es bueno. Yo creo que es bueno que la metodología forme parte. Yo creo que es bueno que las cosas estén claras.

Yo no, desde mi punto de vista, no lo veo como un ataque a la neutralidad tecnológica, establecer unos mínimos que tiene que fijar el responsable de los datos, por qué, porque el responsable de los datos, como es normal y como es su obligación, el análisis de riesgos siempre lo va a enfocar desde el punto de vista de coste-beneficios y es normal. El análisis de riesgos lo tiene que hacer la autoridad para él decirle sí, tienes que imponerle estas medidas. No son rentables para ti, pero son rentables para el ciudadano. Porque los que estamos aquí evaluando, no es tu riesgo. Estamos evaluando el riesgo del ciudadano, no el tuyo. Por eso esta metodología, ahora que va a venir el nuevo reglamento europeo, para nosotros va a ser muy interesante, porque el nuevo reglamento europeo sí hace cambios, sí introduce el análisis de riesgos. Lo hace también, hablando de una dimensión un poquito más elevada, de empezar análisis de riesgos por establecer la necesidad de recolectar información, por la de establecer la necesidad de conocer del sujeto de (…) datos, la necesidad de procesar esa información y la necesidad de retener esa información. Y luego entrar el análisis de riesgos técnico, que es lo que dice que va a entrar, pero todavía no ha entrado y quiero que quede muy claro, que me ha parecido muy interesante la metodología y como en España, me voy a aprovechar de eso, de que, además de descargarme canciones, me voy a descargar la metodología para usarla didácticamente precisamente a mis alumnos, soy profesor también en algún master y me parece un trabajo muy interesante y muy serio. Y muchísimas gracias. Pablo Corona Fraga: Muchas gracias, Luis. Creo que como conclusiones de tu abordación es importante señalar el enfocarnos en las consecuencias hacia los titulares, esa es una cosa muy importante que creo que sucedió en tu plática. La obligatoriedad de controles y el que haya un mínimo de controles, creo que, bueno, mi opinión también es que debería haber algo así. Que el atacante está dentro y que no siempre eran atacantes externos, también es un punto muy importante. Las capacidades técnicas que debe tener un revisor también no nada más es llegar y decir: ¿Hiciste análisis de riesgos? Y ponerle palomita. Y bueno, tener evidencia, obviamente.

Entonces, muchas gracias por las aportaciones. De todas manera al final haremos una Sesión de Preguntas y Respuestas hacia cada uno de ellos para que ustedes puedan darnos sus comentarios o hacer preguntas hacia ellos. Déjenme continuar, ahora con un caso distinto de, si bien en Europa y España ha sido de los pioneros en protección de datos, ahora vamos a pasar al caso de Colombia. Aida Lucia Hurtado Bejarano, que es Jefe de Ingeniería de la Delegatura de Protección de Datos Personales de Colombia, es ingeniera en Sistemas, especialista en Evaluación Social de Proyectos de la Universidad de Los Andes; auditora líder en seguridad de la información ISO27000; auditora interna de calidad y actualmente apoya la actividad de supervisión técnica de la Dirección de Investigación de Protección de Datos Personales, en la Superintendencia de Industria y Comercio y participa en la definición y análisis del sistema de supervisión inteligente basado en riesgos, SISI; trabajó en espacio de 18 años en el Instituto Nacional Penitenciario y Carcelario, desempeñando cargos como Coordinador de Desarrollo de Software, Coordinadora de Soporte Técnico y Telecomunicaciones, así como cargos como jefe de la Oficina de Tecnología Informática y Subdirectora de Tecnología y Comunicaciones. El caso de Colombia es interesante porque ellos, al contrario, están más bien empezando a tener un alcance hacia la Ley de Protección, bueno, a una Ley de Protección de Datos Personales. Entonces, Lucia, platícanos tu experiencia. Gracias. Aida Lucia Hurtado Bejarano: Gracias, buenos días. Empezando por agradecerles la invitación, excelente todo el tema logístico, el evento como tal me parece muy interesante. Son espacios en los que es muy importante compartir todas estas experiencias porque a todos nos aportan mucho. Cuando yo llegué por primera vez a la Superintendencia, las primeras tareas que tuve fue la de construir una guía de seguridad para los vigilados. Obviamente que cuando uno se enfrenta por primera vez a la delegatura es muy joven, realmente nació hace menos de tres años, realmente dos. La ley salió, fue sancionada en diciembre de 2012, apenas está cumpliendo un año y el decreto reglamentario en abril de este año.

Entonces, obviamente estamos empezando toda la tarea y somos muy poquitos. La Delegatura como tal tiene apenas 22 personas y la Dirección de Investigaciones, en el grupo de investigaciones administrativas somos cinco personas. Entonces, realmente hay que enfocar esos recursos porque, primero, los vigilados, el universo de vigilados es un poquito indeterminado. Cuando a nosotros nos dicen: tiene que hacer supervisión sobre todas las bases de datos que tienen información personal en todo el país, públicas y privadas, naturales y jurídicas, entonces uno dice: Uy, pero éstos cuántos son. Es muy complicado. Sin embargo, empieza toda la tarea investigativa. Tenemos con recámaras que es donde se hace el registro mercantil, hay alrededor de tres millones inscritos. Consideramos que al menos tendrán un registro de clientes, un registro de empleados, y de pronto un registro de proveedores. Entonces si multiplicamos uno alrededor de 10 millones de bases de datos que tendríamos que ir a visitar con cinco personas, entonces ¿qué podríamos hacer? Precisamente fue cuando surgió la idea y es importante focalizar esos pocos recursos en un sistema que nos permitiera priorizar ¿y cómo se prioriza? Precisamente buscando, encontrando el riesgo de cada una de esas bases de datos. Entonces fue cuando nació el Sistema Integral de Supervisión Inteligente, basado en riesgos. Entonces la primera parte, el insumo principal es el Registro Nacional de Base de Datos, que está en el Artículo 25 de la Ley de Protección de Datos Personales, y será el insumo para que realmente nosotros podamos encontrar ese foco, ese foco de vigilancia. Entonces todo esto que hemos visto hoy, yo les voy a contar un poquito que se ha hecho del otro lado, del lado de vigilancia, para poder encontrar y para poder priorizar ese recurso. Entonces no sé si podamos ver. Bueno, primero podemos ver, esto es un esquema general de lo que es el SISI, vemos que tiene interacción con otros sistemas internos de la superintendencia, pero el insumo principal es el Registro Nacional de Base de Datos. La idea es que nosotros tenemos una serie de etapas, en la parte de recopilar información, el monitoreo, la priorización, la inspección y finalmente los actos administrativos, lo que resulte de esa inspección,

después de hacer toda esa tarea de priorización e identificación de riesgos. El año pasado que empezamos con el tema de visitas, hicimos 40 visitas, en todas las visitas hubo recomendaciones de seguridad de la información. Son temas que realmente la gente no tiene la conciencia que tenga que hacer. La ley dice en forma general: “Implementar las medidas de seguridad para garantizar todos los derechos del titular”, el acceso no autorizado, la pérdida, la fuga. Entonces cuando encontramos que no tiene ni siquiera un acuerdo de confidencialidad, que los contratos con terceros carecen de ese acuerdo de confidencialidad, entonces hacemos de pronto el llamado de atención y la persona dice “no, pero es que yo trabajo hace 20 años así y nunca ha pasado nada”. Vamos a ver qué tanto ha pasado si es que realmente lo ha medido o no, ¿y qué tanto lo ha medido? Pues nosotros sí podemos medirlo con las denuncias, con las llamadas que todo el tiempo recibe la gente, con que sabemos que en la esquina están vendiendo las bases de datos de no se sabe dónde. ¿Por qué? Porque no hay controles. Entonces empezamos como a hacer esa primera parte que es la concientización de las personas, de los responsables para garantizar ese derecho. Entonces, el primer paso que hemos hecho en este tipo es dar a conocer la ley y en paralelo buscar una herramienta que nos permita garantizar en forma preventiva ese derecho, porque también está el tema reactivo, que es el tema de las quejas, es el tema que en el momento que sucede qué es lo que más se ha estado trabajando, inclusive desde cuando nació la Ley de Financiero, que es lo que más se ha trabajado en Colombia, ya llevamos desde 2008 con la ley que el tema de reporte a centrales de riesgo para el tema de crediticio. Ese sí es el que conoce la gente, pero en realidad tenemos dos líneas de capacitación para los responsables garantizar el derecho y para los titulares que es lo más importante para que ellos conozcan sus derechos y los puedan hacer. Entonces, en el registro nacional vamos a solicitar una serie de información que nos va a permitir precisamente priorizar esa vigilancia, focalizarnos e ir a los sitios, inclusive in situ dependiendo el nivel que quede clasificado.

Entonces, ¿qué fue lo que primero hicimos como tal? ¿Cuáles son los riesgos asociados al tratamiento de datos personales y cómo encontramos las variables? Obviamente cuando yo leí el documento que nos enviaron de aquí gratamente sorprendida de por qué estamos trabajando en forma paralela pero los resultados vienen siendo los mismos, cambiamos un poquito de enfoque, pero como tal el riesgo inherente tenemos la misma materia prima, son datos personales, es un derecho constitucional, hay responsables, hay encargados, entonces realmente por eso hay que trabajar, así sea en forma independiente vemos que los resultados vienen siendo prácticamente los mismos. Ahorita vamos a ver cómo identificamos esas variables de riesgo, pues mirando en cada proceso de la organización donde se traten datos personales, en el ciclo del dato porque es cada etapa del dato tiene un riesgo asociado. Entonces, empezamos por la recolección, el almacenamiento, tenemos el uso, la conservación, si la vamos a compartir o qué vamos a hacer con ese dato hasta que lleguemos finalmente a su destrucción segura. Entonces, en cada una de esas etapas empezamos a visualizar cuáles podrían ser los riesgos empezando en casa. La formamos fácil de hacer porque en todas las entidades públicas privadas, en las empresas de alguna manera así seamos conscientes o no, tenemos un trato de información personal y eso es lo que muchas veces los responsables no visualizan en un documento, dicen eso es muy difícil para mí, si usted pronto lo aterriza un poco a lo que está haciendo, así sea muy sencillo, ve que todos los elementos y los componentes están ahí, es simplemente evaluar y mirar, cada una de esas etapas y ver que efectivamente tiene unos riesgos asociados. ¿Por qué? Porque tenemos tipos de datos. En nuestro caso los tipos de datos, públicos, privados, semi-privados, sensibles los tenemos clasificados también para darles una calificación y tenemos que hacer también el inventario de ese tipo de dato para poder identificar los riesgos y también los activos que interactúan con esa información. ¿Cuáles tenemos? Inclusive aquí tenemos puntos que son los mismos, tenemos el volumen que son las personas registradas en la base de datos que ustedes están viendo. Está identificado, es obvio. Ustedes lo enfocaron por el lado que es más beneficio para el atacante, más

interesante. Nosotros los vimos por el lado que el impacto es mayor, porque hay más titulares involucrados. Entonces, por el tema de impacto. En cuanto a finalidad, qué pasa. También le dimos una calificación porque si yo tengo en una base de datos una identificación y un nombre, pueda que los dos datos como tal sean un simple, sean públicos, sean de bajo interés, de bajo riesgo. Pero qué pasa si esa base de datos la finalidad es tener almacenado a las personas con diagnóstico de VIH positivo. Entonces, inmediatamente la finalidad, así que la base de datos ya sea sensible. Entonces por eso tenemos una variable adicional como la finalidad. En el tipo de dato vimos que realmente el tema de criticidad, lo cambiamos por, es el dato sensible pero resulta que el mismo dato sensible, la ley por ejemplo nos dice que todo el tema de salud es sensible, pero es diferente tener un dato del sistema de seguridad social que tengo asociado al diagnóstico psiquiátrico que tengo. Entonces, a pesar de que la clasificación sigue siendo sensible, la criticidad me va a variar. Entonces, a medida que yo voy señalando dentro de registro que tengo de una categoría o de otra, entonces eso me va sumando o me va restando algunos puntos, para priorizar. Adicionalmente tengo el tema de trazabilidad, que ustedes también lo mencionan en el tema de que si yo tengo un dato asociado con otro, pues me crece el nivel de riesgo. Aquí nosotros de pronto no lo distinguimos, si es una personalidad o no, para nosotros pues todos son iguales, pero sí es, tengo de diferente categorías, si tengo identificación, además tengo ubicación, además tengo dato sensible, además tengo dato financiero, entonces qué quiere decir, que sí tengo un mayor nivel de trazabilidad para ubicar más fácil a la persona, lo puedo identificar y ubicar. Entonces, también tenemos como clasificación el tema de trazabilidad. Finalmente, el tema de quejas registradas ya no es como inherente, sino que me va, después de que yo tengo clasificados los sujetos a los que voy a focalizar, puedo reclasificar como un altísimo nivel de supervisión, si llego efectivamente a ver que las quejas contra ese sujeto obligado, de pronto tengo, me puede marcar un hito, me pueden dar un mayor interés de supervisión, así como de pronto incidentes reiterativos de seguridad sobre el mismo tema.

Entonces, como aquí también se van a quedar registrados, entonces voy a tener la posibilidad de que después que clasifiqué el riesgo inherente, además del impacto y la posibilidad, entonces pueda tener un mayor nivel de interés de supervisión. Inicialmente teníamos como los tipos de datos, entonces habíamos pensado que nos dijeran: “oiga, pero usted tiene, dentro de los datos públicos tiene nombres, el estado civil, tiene salud”, decíamos no, pero es que no vamos a tener el universo de los datos, es imposible. Entonces, ¿qué hicimos? La categorización de esos datos. En la categorización de los datos, por ejemplo, tenemos datos de identificación. Lo que está a la izquierda es simplemente una codificación interna que tenemos, pero ¿qué pasa? En nuestra legislación los datos biométricos son de carácter sensible, pero para nosotros no todos los datos biométricos podrían tener la misma criticidad y la misma trazabilidad si estuvieran combinados con otros datos. Entonces, a pesar de que la clasificación de todos los datos sería cuatro, para nosotros que es el más alto, la criticidad varía, la trazabilidad varía y la criticidad puede variar en algún momento. En este caso están los tres, pero aquí nos da cambios en la trazabilidad. ¿Por qué? Porque si yo tengo unos datos de la persona para reconocimiento, simplemente que el que entró es el mismo que salió, pero no tengo otros datos asociados, pues la trazabilidad llame a un nivel más bajo. Mientras que si ya son personas para verificación o para identificación se mantendría la clasificación un poco más alta. Lo mismo pasa con los datos de ubicación. Los datos de ubicación como tal si son del ámbito comercial, de la actividad comercial de la persona, la clasificación es uno, para nosotros es público. Pero si ya son de actividad privada de las personas, pues ya una clasificación semiprivada, porque no le interesa a todas las personas. La criticidad también varía y la trazabilidad sí sería la misma, porque puede ubicar a la persona. Entonces, toda esta información como tal podemos ver datos sensibles, una cosa es tener las fechas de afiliación a EPS, la IPS, cuándo entró, cuándo fue, diferentes cosas, que a pesar de la clasificación es sensible; la criticidad es menor y la trazabilidad también.

En cambio, los datos relacionados con salud ya si son un diagnóstico especializado que aquí no está el ejemplo, al final tiene uno de cuatro, cuatro, cuatro, que ya sería el nivel máximo donde ya tengo unos datos que son altamente sensibles, esto me va sumando cuando yo registro, dentro de mi base de datos ese tipo de información. Finalmente, tenemos las variables que tendríamos para hacer la clasificación de seguridad inicialmente, que es basado en el riesgo, que es el volumen, la trazabilidad y la finalidad y la criticidad del dato. Eso nos da una serie con un modelo matemático también de combinación y nos va a dar, puede ser por cuartiles o por percentiles, dependiendo de. En este momento tenemos 250 combinaciones, con un valor mínimo, un valor máximo y los niveles clasificatorios. Cuando ya tenemos la base de datos clasificada en un nivel de seguridad le vamos a decir, según el nivel en que haya quedado los controles mínimos, pero como que usted debe cumplir solamente eso, es que le vamos a preguntar, nos van a salir una serie de controles a la persona que está registrando, a ver si tiene al menos unos controles, pero no la estamos limitando, porque esa fue una de las primeras preocupaciones. Si nosotros les decimos que hasta aquí y ahí se genera una vulnerabilidad, entonces va a decir “es que usted me dijo que era hasta ahí, nada más”. Entonces por eso, nosotros simplemente es para el nivel de supervisión, para poder focalizar y decir “al menos este responsable debería tener estos controles”. Si fallan algunos y en alguno me dice “no”, entonces yo le voy a enviar, como por ser proactivo le voy a enviar un mensaje que diga “usted debería revisar controles relacionados con”, pero si todo lo tiene, yo no le voy a decir “usted está cumpliendo”, porque no lo voy a limitar. Simplemente para mí como interés de supervisión ya baja ese enfoque, ya me voy a focalizar en otros donde me contestó que no, y podemos entonces mejorar y ayudarle a mejorar. Finalmente, pues aquí tenemos unas estrategias que faciliten ese cumplimiento en materia de datos personales, porque lo primero que se dice es “pero es que cómo vamos a llegar a todas partes, es muy complicado llegar a todos los responsables”. Entonces, iniciar con las empresas estructuradas, que manejen el concepto como tal de enfoque en procesos, porque no es tan fácil a las empresas unipersonales, la idea es que todo sea a nivel de campañas, de capacitación. Esa parte que ustedes están pensando en MiPyMES me

parece excelente, ahí hay que llegar, porque todos tenemos la forma de implementar controles básicos que me garanticen irradiar con los encargados, los encargados son muy importantes en este tema porque vamos como, esto es como una red, a medida que vamos ampliando, vamos cubriendo, damos más cobertura al tema de cumplimiento. Y el mínimo a cumplir por un responsable, nosotros tenemos el ciclo PHBA, definitivamente es la forma de atacar cada una de las etapas de un proceso donde se planee una política, porque si no sabemos para dónde vamos, cualquier ruta nos sirve, entonces sí es importante focalizar los esfuerzos para cumplir un objetivo, para cumplir una política. La cotidianeidad y los planes a corto y largo plazo para implementar las medidas de seguridad, hacer las revisiones. Recuerdo mucho que cuando plantee el tema auditoría fue, bueno, ¿pero cómo vamos a hacer para obligarles a tener una auditoría? Pues es que esto depende también de los niveles y del tipo de información que se esté manejando como tal, y se requiere definitivamente de una mejora continua y entrenamiento de la capacitación del personal, porque muchas veces nos focalizamos en los ataques externos y donde más tenemos la vulnerabilidad es en el personal, en el personal cerquita, el que está manejando los datos a diario. Entonces, como conclusión tenemos que la capacidad de cumplimiento del responsable en el tema de seguridad de los datos personales se debe medir no por la estructura organizacional, sino por el derecho del titular para la protección de sus datos personales. Es como la premisa que nosotros tenemos para la vigilancia. Pablo Corona Fraga: Muy bien, muchas gracias, Lucía. Creo que, como bien decías, que se ha trabajado de manera paralela, las coincidencias han sido gratas y muchas, y como conclusiones de lo que nos comentas, una cosa que se me hizo interesantísima es este sistema para priorizar los riesgos creo que es vanguardista y ojalá luego nos comunicamos, porque creo que eso es interesante para poder hacerse en otros lugares. La forma de la predicción, el tener procesos que identifiquen las distintas manos por las que pasan este ciclo de vida los datos e identificar todas las personas o áreas procesos que dan tratamiento a los datos creo que es muy importante, así como tener un inventario. La relación entre los datos creo que es muy importante, o sea, la clasificación que tienen ustedes y la diferencia entre criticidad y sensibilidad es muy importante, el reglamento y la ley pusieron ejemplos en México sobre qué cosas se consideran datos personales, pero hay una definición, que la definición es aquella cosa que tenga la discriminación o

al riesgo grave, y no solamente la religión o los datos médicos te llevan a eso, sino algunos otros que por estar correlacionados entre ellos tiene este y creo que es una buena aportación. Y también tener controles mínimos de supervisión que igual que en España ustedes sí implementaron y creo que puede ser muy interesante aunque aclarar que no son máximos y empezar por las estructuras o las empresas que ya están estructuradas y con esquemas de calidad puede ser también muy interesante. Muchas gracias. Vamos a continuar ahora con el tercer punto de vista, que ya escuchamos el punto de vista de dos gobiernos distintos, uno precursor en materia de datos personales y uno que está iniciando, igual que nosotros, un poquito después pero también iniciando en materia de datos personales. Y ahora el punto de vista también de España, pero de la iniciativa privada. Antoni Bosch Pujol es Director del Master en Auditoría de Seguridad, Gobierno y Derecho de las TICS en la Universidad Autónoma de Madrid, Presidente Fundador de ISACA en Barcelona, socio director de N+1 Inteligente and Researce, licenciado en Ciencias Físicas por la Universidad de Barcelona, tiene un diplomado en alta dirección de empresas por la ESADE, máster en auditoría informática, técnico superior en prevención de riesgos laborales, un diplomado en managine information tecnology, y posee certificaciones varias en seguridad como experto en protección de datos, CISA, CISM, IT Governance, estrategia e innovación de TICS. Tiene especialidades en Ciber-seguridad contra privacidad, derecho penal de las TICS, aula digital, prevención de ciber-bulling, con más de 30 años de experiencia en el mundo de la ciber-seguridad, privacidad y buen gobierno de los sistemas de información. Ha sido asesor de distintas empresas y administraciones públicas, así como director y ponente en numerosos cursos, masters, jornadas y seminarios internacionales. Entonces, Antoni platícanos tu experiencia de la iniciativa privada, cómo se ve esto desde afuera. Antoni Bosch Pujol: Muy bien. Muchísimas gracias, un placer estar acá,

volver a saludar a viejos compañeros que nos vimos hace poco, nos vemos yo creo que desde junio que tuvimos la ocasión de vernos en el Congreso de Santa Martha, pues hemos estado en Perú, en lo de la red, y la verdad, pues que para mí, es mi primer viaje acá a México. Realmente, gratamente sorprendido y además la magnífica organización y las

magníficas instalaciones del IFAI, que comentábamos con el representante de la agencia española, que nos gustaría tenerlas allá, pero bueno. Pero en fin, yo creo que todo eso andará, hay que ver. Bien, un poco comentaba Pablo, es decir, mi misión aquí, yo creo que soy bastante privilegiado, primero por estar acá, desde luego. Pero lo otro porque, en estos momentos tengo una visión yo creo que a nivel de, concretamente, pues tanto Colombia, como Perú, como el caso de México, sin olvidar el tema de España, soy de los históricos que también, que llevamos muchísimos años de protección de datos, empecé en estos mundos en año 92, o 93; 92, tuvimos la primera ley. Y no es que sepamos muchos, simplemente porque bueno, como llevamos tiempo, pues yo creo que hemos visto de todos los colores, como mentaba Luis. Y la visión nuestra es un poco de explicar y decir, también desdramatizar un poco el tema. Es decir, sí caen en las obligaciones importantes, sí que es una carga inicial para las empresas, pero realmente cuando entras a valorarlo, cuando entras en profundidad, no es tanta carga. Y siempre decimos una cosa. Es decir, sí que puede parecer, cualquier ley es farragosa, todos tenemos que cumplir con nuestras obligaciones, con el fisco, etcétera; pero lo que tiene la Ley de Protección de Datos es que nos protegen a nosotros como personas, y eso es lo que tenemos que tener muy claro. Es decir, y como empresarios que tenemos que actuar, que tenemos que empezar a implementar medidas y esas ostras. Es que esto, pues al final rascarse el bolsillo a todos nos cuesta. Pero, siempre digo lo mismo. Es decir, hagamos una reflexión nosotros mismos. Es decir, cuando nosotros vayamos a tratar los datos, como bien decía Luis, somos custodios de esos datos. Esos datos de esas personas, de esas personas naturales no son nuestros. A nosotros nos los dan prestado, y nosotros vamos a tratarlos, tenemos que cuidarlos con la debida y el máximo cuidado, pero no son nuestros. Bueno, pues pensemos simplemente que nosotros tenemos que tratar esos datos como cundo nosotros vamos a nuestra entidad financiera, vamos a realizar cualquier cargo con nuestra tarjeta bancaria, hacemos una compra, pagamos el peaje, etcétera. Entonces nos gustaría que esos datos que son nuestros, que los estamos prestando, que nos los traten bien. Pues simplemente apliquemos esa máxima.

Y eso nos va a ayudar realmente a reducir lo que sería esa carga farragosa, que lo es, que luego la vamos complicando. Yo si me permiten, he preparado una presentación, por lo que sé, siempre me toca al último, pues son aquellas cosas y justo es siempre antes de comer, porque vamos, yo creo que todos, los últimos que les comentaba pues es aplicar lo mismo que digo también siempre. Dices, bueno, cuando te toquen esos casos, cuando has tenido además unos ponentes tan brillantes que te han precedido, pues mantiene un tono de voz, suficientemente alto para que la gente que tenga a bien seguirte, pues te pueda seguir, pero la que en su perfecto derecho ha decidido desconectar, que no la molestes demasiado. Pues bien, pues aplicando esa máxima, vamos a intentarlo. Bien, si me permiten, dicen bueno, cómo. Pues estas son las noticias que nos desayunamos. Lo han comentado anteriores exponentes. Es decir, pues qué más podré decir, tenemos el tema con las redes sociales. Las redes sociales es un gran quebradero de cabeza porque nosotros somos muy comunicativos y vamos a colgarlo todo y lo subimos todo. Pero, claro, el problema es cuando no subes sólo tus datos, sino que además estás subiendo datos dentro de la organización. El tema, lo que comentábamos, el tema del CiberBullying, del Child Drowning, del acoso en la red. No sabemos nuestros hijos qué está pasando, pero a veces nosotros sin querer en nuestra organización podemos dar acceso y pueden entrar estos temas. El tema, por ejemplo, de la convocatoria que tienen las redes sociales, imaginemos todos los hechos que estamos a nivel mundial, si no hubiese sido por las redes sociales, por Twitter, etcétera, qué pasaría. El problema es que también tiene problemas, es decir, el caso de una política española que tuvo que cerrar su cuenta en Twitter porque se estaba acosando a sus hijos. Realmente cuando pensamos en redes sociales pensamos en éstas, más o menos, en Europa hay unas que tienen más tendencia, el panorama es éste. Es el problema. Es decir, esto podemos controlarlo paulinamente. Por ejemplo, estas son las discusiones que tiene además a las autoridades de control, pero esto es que imposible y éstas no son todas, porque sellaron lo que había en la pantalla, si no, hubiesen sido pixeles, pero bueno, no era el caso.

El otro problema que tenemos y que no hay que olvidarlo, la velocidad a la que van las transacciones hoy en día. Estamos hablando que se están realizando transacciones bancarias de Bolsa del orden de una transacción cada 37 microsegundos, es decir, para ponerlo el So-Fa, estamos hablando de 6 mil 756 veces más rápido que byte, y eso es a lo que nos estamos enfrentando y esa es la realidad. Luego veremos con los temas de metodología que están bien, pero es que esa es nuestra realidad y no hablemos ya que estamos hablando de criptografía cuántica, estamos hablando ya de un entorno de ordenadores cuánticos que ya están en forma muy incipiente, como estábamos en los años 60, pues teníamos los famosos sistemas IBM con ficha perforada, pero estamos en ese entorno. Con los ordenadores cuánticos todo esto se nos desaparece, es decir, olvídense ya de criptografía clásica porque eso es otra dimensión, y ahí vamos a tener problemas. Es decir, ya no nos van a servir los temas de sistema digital, los de firma digital, lo que ahora tienen que emitamos, se va a romper las claves en nada, con lo cual estamos resistiendo otro paradigma. No estoy queriendo meter miedo, ni muchísimo ,menos, simplemente es poner la realidad donde estamos. ¿Qué ocurre además? Es muy fácil atacar a las empresas y es muy fácil sin tener ningún conocimiento técnico, simplemente lanzando bulos por la red, por las redes sociales es suficiente para emponzoñar directamente la imagen de una empresa o de una persona, que critica algo que da, bueno, pues eso. Y eso es lo que tenemos. Al final lo estamos viviendo ahí, es decir, es verdad, sí, estamos bajo el dictado de las máquinas, díganme ya que estamos hablando de dogmáticas, estamos hablando de sistemas inteligentes, todo mundo tenemos nuestra PDA, sincronizamos. ¿Qué nos pasa cuando dejamos de sincronizar? Madre de Dios o cuando ya no tenemos cobertura, qué ha pasado. Ya no somos nadie. ¿Qué hacemos? El GPS. Dices: Y ahora por dónde voy. Si el coche me dice: Aquí. Pero hay un precipicio. No, no. Pero el GPS te dice que vayas por aquí, pues tira.

Si acá nos dice el GPS, pues yo sí he caído no es culpa mía, voy a pedir responsabilidad al satelital. Sacamos el GPS, pues Bueno, no sé, cada uno que haga lo que quiera, yo prefiero frenar y dar la vuelta. ¿Al final qué ocurre? El empresario, nos estamos encontrando con esto. Es decir, tenemos una cantidad de terminología, de palabras, decía un amigo mío, y es así, tenemos que lidiar con eso. Eso no quiere decir que no tengamos que lidiar, no, pero seamos conscientes. Final, lo que se ha reducido o lo que recomiendo un poco de lo que estamos hablando, estamos hablando de esto, cuando hablamos de seguridad, lo comentaba Luis, sí que es finalista, pero tienes que cumplir esto. Es decir, estamos hablando de que cuando hablamos de seguridad tenemos que armar una serie de procedimientos que nos garanticen estos tres parámetros: confidencialidad de los datos, es decir, que solo, no quiere decir que alguien pueda acceder, ojo, que en eso se confunde, que solo pueda acceder quien está autorizado a acceder. Primer punto. Segundo. La integridad, es decir, integridad hablamos de dos cosas, de integridad de los sistemas, es decir, que quien pueda acceder a modificar los sistemas, cambiar algo, tiene que estar autorizado y luego tendremos control de cambios, se tiene que poner, y la integridad de los datos, es decir, podemos entrar directamente a los datos. Si vemos que antes hablamos de informática centralizada, estamos hablando de informática distribuida, pero permítanme, estamos hablando ahora de informática desparramada. ¿Por qué es así? Porque esto tiene muchísima más potencia de cálculo que cualquier ordenador de hace 10 años, y esa es la realidad, esto va con nosotros. Luego tenemos problema, y claro, nuestra legislación en España dice “todo dispositivo móvil de datos tiene que ir encriptado”. Si tiene datos, cuántos de ustedes, bueno, no hago la pregunta, iba a decir ¿cuántos tienen encriptados los celulares? Mejor no pregunto. O los computadores, o los famosos pen drive, o USB’s, son armas de destrucción masiva, aparecen y desaparecen por todas partes, y como son baratos, gratis, porque muchas veces te los regalan, dicen “no, no tengo”, ¿qué hago? Cojo otro, tomo otro, lo cargo, lo enchufo y ya está. ¿Y qué ha pasado con ese? Vaya usted a saber. Se lo dejo a mi hijo porque tenía un trabajo en clase. Y se lo

lleva para el trabajo en clase, mejor ten un expediente del despacho, porque tomado del pen drive he cargado esa información, eso es lo que hay que vigilar. Y luego hablamos de disponibilidad, que tengo que tener una información cuando la necesite. Evidentemente, cuando hablamos de análisis de riesgos, bueno, yo también, permiten que hago siempre la misma broma, pero los señores que están sentados aquí delante de mí son agentes de riesgo, es decir, las autoridades de control son realmente, no iba a decir atacantes, porque sería malo, pero son riesgosos, ¿por qué? Porque si no hubiese las sanciones probablemente no haríamos ciertas cosas, que hay que hacerlas porque tenemos que cumplir, sí. Pero bueno, si te dan una pequeña ayudadita, pero si no lo haces tienes algún problema, digamos que esto lo que hace es activar un poco el tema de cumplimiento. Básicamente, bueno, y permítanme ser un poco rápido, cuando nosotros hablamos de análisis de riesgos, lo que tenemos que preguntar es el what is, es decir, ¿qué pasa si hay una pérdida de esos atributos? Y lo que tenemos que hacer nosotros es, bueno, hay un pequeño desincronismo, lo que tenemos que hacer nosotros es plantearnos, sobre diferentes escenarios qué pasaría si hay esa diferencia, esa pérdida de atributos. Es decir, en primer lugar qué ocurre si hay una pérdida de confidencialidad, una pérdida de integridad o una pérdida de disponibilidad sobre un tema concreto, es decir, bueno, tenemos las leyes, temas contractuales, por lo tanto hay que ver qué brechas nos ocasionan, directamente ha atentado contra la intimidad, daños personales, imagínense, por ejemplo, sistemas de cuidados intensivos, de hospitales pues que te haga una mezcla diferente o no te marque bien los parámetros, etcétera, pues tiene un problema directamente de muerte, incorrecta realización de actividades, decir que no podamos hacer nuestras tareas. Y ha salido con un tema de la metodología, es decir, el tema reputacional de negativos en relaciones externas y pérdidas económicas. Si me permiten voy a hacer un pequeño divertimento, si nos lo cargan y es para desdramatizar un poco la complejidad en la que estamos viviendo, pueden cargarlo ¿sí o no? Perfecto. Supongo que esto no necesita más explicación porque se necesita, pero bueno, se acuerdan cuando estudiamos los logaritmos y estas historias, bueno, realmente el segundo serial del tema de Pitágoras y luego estamos un poco más avanzado el sumatorio de N igual a cero hasta infinito, uno partido por dos, pues este sumatorio nos da dos, con lo cual tenemos ya

una primera forma, un poquito más elegante de representar el 1+1 igual a dos. ¿Les suena eso con todos los temas de brechas, luego análisis? Me voy a meter, pero bueno, no olviden eso, es decir, lo importante es no olvidar que estamos arriba, estamos en 1+1 igual a dos, pero de todas manera esto queda poco, es decir, tenemos pocos factores, tenemos pocos sumandos. Se acuerdan, un hiperbólico, la gente cuadrada, además el número es se acuerdan cuando hacíamos número E con nuestros logaritmos, etcétera. No me negarán que es un poco más coherente y más elegante, la de abajo claro, simplemente es cuestión de ir mezclando y sumando, no vamos a complicarnos más. Se acuerdan de los números factoriales, de las permutaciones, combinaciones, alguno que hizo matemática avanzada pues hablábamos de las matrices, se acuerdan que había que la traspuesta de la inversa de la matriz es igual a la inversa de la traspuesta como acuerdo al final, si la restas te queda cero y teniendo cero factorial, todo esto lo factorizamos y digamos que nos queda. En definitiva la exposición de abajo sólo me dice que cero factorial es igual a uno, tampoco no estamos haciendo ninguna maravilla acá. Sí, pero como luego la gente está, no es que aquí sea, te pierdes con la sincronización, entonces ya, apaga y vámonos. En definitiva, la expresión de abajo que era la principal, uno más uno igual a dos, la hemos convertido en la expresión de arriba. De eso estamos hablando. Es decir, cuando vean esa complejidad tan grande, no olviden que al final estamos hablando de esto. Bien, muy rápido y me van a permitir ahora, también en tono distendido y jocoso, pues darle un poco al tema de seguridad. Entiendo que ya hemos superado la barrera del antivirus y que hay que actualizarlo. Entiendo que ya estamos en la etapa del firewall, ya no entraré en temas de desmilitarización y etcétera. Eso se queda para otro punto.

Ahorita estamos, nos vamos a quedar en firewall. Bien, el problema cuál es. Junta directiva, Consejo de Administración, dices, yo he tenido una brecha, porque estamos hablando de brechas de seguridad, en definitiva. Llega la primera pregunta y dices, hombre, a mí, lo de antivirus ya sé que no va por ahí, pero de firewall, sí que me suena. Y la pregunta es por qué el firewall no me bloqueó la entrada. Vale. Respuesta, hombre, es que el atacante era muy listo, tenía muchos medios, hizo la valoración. Entonces hablamos lo que está dispuesto a poner el atacante. No es crítica a la metodología, sino esto es muy anterior. En definitiva. Lo que hacemos es nuestra valoración y decimos, bueno, es que lo iba a obtener con lo que gastó, pues o sea, es que yo no podía hacer nada más. -Me queda igual. Perdona, pero es que yo sigo sin entender por qué no bloqueo la entrada. -¡Hombre!, a ver, yo te he explicado el qué, pero tienes que hacer un análisis de riesgos. -No. Bueno. Ah, vale, o sea, empezamos ya a marcar, es decir, quién entera, tipo de amenazas, cómo estamos, qué es lo que ocurre, es decir, entramos en diferentes metodologías. Se ha utilizado aquí la del NYCE, etcétera, dices bueno, hacemos nuestro cálculo, impacto por probabilidad, vale. -Perdonarme, pero yo sigo sin entender por qué el firewall no bloqueó la entrada. -Es que no gestionaste el riesgo. Tú sabías lo que pasaba. Pero tienes que gestionarlo. -Ah, bueno, aquí lo que transferimos el riesgo, valoramos, miramos a ver qué controles ponemos. Tal. Ah, vale. -Perdona, es que yo soy de pueblo, no entiendo, pero no sé por qué no bloqueó la entrada. -Es que no montaste el sistema de gestión de seguridad. -Ah, bueno, el plan du checa, el PH, da igual. -Vale, perfecto. Pero el problema sigue siendo, estando sin resolver.

-Es que no te certificaste. -Ah, claro, ISO 27001, 27002, controles, tal. -Sí, pero yo estoy igual. Es decir, perdona, pero sigo sin entender. -Ya, es que tú pusiste sistema de gestión de seguridad, pero te faltaba poner gestión de servicios, es decir, temas de acuerdo de nivel de servicio, controles. -Ah, claro, a 20000. (…) Ya, pero yo sigo sin entenderlo, es decir, sí, pero yo no sé por qué no bloqueó la entrada. ¡Hombre! Es que te faltaban más estándares. ¡Ah! Los estándares de seguridad, lista, vamos, no está todavía. Entonces, son reales, sacados de la ISO27000, bueno, del Subcomité 27 de gestiones. Son algunos de los estándares que tienen seguridad, es que la gente a veces se piensa que el estándar te quedas en la 27000, no; tienes unos cuantos más, todos son pantallas diferentes. Claro, yo tenía, ¿se acuerdan ustedes cuando éramos pequeñitos y estudiamos el teorema del punto y de la recta y lo teníamos todo muy claro? Es decir, tú sabías que por un punto te pasan infinitas rectas. Si tú quieres control y poner seguridad de que sólo te pase una, pues lo que tienes que marcar son dos puntos y sólo te pasa una recta, con lo cual problema solucionado. Esto es nuestra época de la informática centralizada que tirábamos punto a punto y ahí no entraba nadie, no había ningún problema. ¿Cuál es el problema? El problema es esto. Es que hemos pasado del teorema del punto y la recta, al teorema del punto gordo y la recta astuta. ¿Qué dice el teorema del punto gordo? Claro, yo centralizo, dices, pero el problema es que me están entrando es un coladero. El punto gordo dice que por dos puntos pasan infinitas rectas, siempre que uno de ellos sea suficientemente gordo para contenerlas a todas. Claro, pero ante el teorema del punto gordo, ¿qué tengo que hacer yo, qué medidas? La recta astuta, decir, por tres puntos que no están alineados

pasa una recta, siempre que sea suficientemente astuta para cambiar de dirección, con lo cual problema solucionado. ¿La cruda realidad cuál fue del Firewall? Supongo que la estaban esperando, ¿no? Es por qué no bloqueo la entrada, porque el atacante tenía el password. ¡Hombre! Ya, después de todos sistemas que he armado y tal. Claro, ¿y por qué tenía el password? Porque se lo di a mi empleado. ¿Por qué se lo dio? Porque no era consciente del peligro. ¿Por qué no era consciente del peligro? Por algo tan banal, nadie se lo dijo, nadie se lo explicó. Y claro, resulta que nadie lo formó en seguridad ni en protección de datos personales, porque la formación no es importante, porque es muy cara y muy costosa, y bueno. ¿Qué podemos hacer? ¿Podemos hacer cosas? Sí, cosas que está haciendo ya el IFAI con los que estamos acá, es decir, hablado, ya se publicó la ley, medidas de seguridad, ¿la metodología no entra? Con toda la metodología. En definitiva, tenemos que empezar a tomar decisiones. Primero, tenemos que tener claro qué decisiones hemos de tomar, esto ya daría para otro tema. Segundo. ¿Quién las ha de tomar? Tercero. ¿Quién nos da la información para tomar las decisiones?, y eso no es ningún punto baladí. Cuarto. Tenemos que tener claro cómo se han de tomar, cuándo se han de tomar y, finalmente, tenemos que armar sistemas para monitorizar y controlar. ¿Y quién se encarga? Pues la figura que ya está. Y en Europa estamos en esa figura con el DPO, aquí, en España se ha llamado como el delegado de tratamiento, estamos con el reglamento, y en definitiva lo que tenemos que hacer es formar profesionales que tengan esa doble vertiente, técnico y jurídico, porque es que no va a haber otra manera. Y luego tener muy claro algo: seguridad total, costo infinito. Muchísimas gracias.

Pablo Corona Fraga: Creo que Antoni fue muy claro en que debemos hacer muchas. Tratando de resumir esto y la verdad es que en un punto de vista bastante fácil de entender pero con mucha profundidad, creo que una de las cosas importantes que dijiste al principio, y espero no pase desapercibida, es tomar en cuenta que la ley protege nuestros datos y quisiera tomar esa relación como algo que leí de tu presentación, que es: “Trata a los datos de los otros como quisieras que traten los tuyos”. Creo que esa es una base importante. El otro es cuidar el altísimo volumen de transacciones que existen hoy día y que cada vez es mayor, y la capacidad de procesamiento de los equipos es muy importante, y la facilidad para perpetrar un ataque, que no necesitas ser un experto hacker para hacer una cosa de estas. Y una cosa bien importante sobre el análisis de riesgos que mencionas, que tiene que ir a la causa-raíz, basado en estos, ¿qué pasa si?, es una visión estratégica. A veces la gente de sistemas que pueden hacer análisis de riesgos, y es el que menos sabe cuáles son los verdaderos riesgos, quiere resolver todo a maquinazos y con balas de plata y con una sola cosa, “quiero poner una política que sea infalible, una máquina que sea infalible”, y se necesita una visión más estratégica que considere todos estos porqué y quién va a hacer, basado en estas posibles vulneraciones, en qué pasa si se pierde la confidencialidad, es más, las cuatro vulneraciones que están planteadas en el reglamento están justamente alineadas a eso, ¿no? Hay algunas que son la potencial pérdida de la confidencialidad, hay otras que ya son la pérdida de la confidencialidad o la destrucción de los datos de la pérdida de la integridad o de la disponibilidad. Entonces al final está alineado a esto, el punto es entender esa visión estratégica y no tratar de resolverlo a maquinazos, que creo que es un buen acercamiento. Muchas gracias por tu participación. Vamos a pasar a algunas preguntas del público que están dirigidas directamente a ustedes, y me voy a ir una por una. Carina Carreño dice: En materia de cobranza donde las bases de datos resultan indispensables para lograr el contacto del deudor, ¿cómo se controla en sus países la seguridad de estos datos cuando en manos de los gestores? ¿Quién se anima a responder?

Luis de Salvador: En principio se aplican las medidas de seguridad que

está exponiendo mi presentación y que son obligatorias en nuestro reglamento, nosotros tenemos un reglamento que se desarrolla en la ley que tiene un título que es el título 8 específicamente para la regulación de medidas de seguridad. En el caso de información financiera se exige que las medidas de seguridad sean de nivel medio y entonces hay una relación del conjunto de medidas de seguridad que se tienen que implantar como son la exigencia de un documento de seguridad con una estructura determinada en donde se van a desarrollar todos los controles obligatorios que se fijan la asistencia de un responsable de seguridad, una determinada política tanto de control de acceso, de autenticación, de control de soportes, etcétera. Pablo Corona Fraga: ¿Algo que quieran agregar? Aida. Aida Lucia Hurtado Bejarano: En el caso nuestro realmente hay un control sobre la finalidad para la cual se entregaron esos datos; sin embargo, como en general son datos públicos porque son datos del nombre y de pronto la ubicación comercial, entonces hay muchas personas que dicen: No, pero es que esta información como tal la tomé de un medio público y finalmente lo que se exige es una conservación básica pero siempre y cuando la finalidad para la que fue entregada esté contemplada en el tema de cobranza. Pablo Corona Fraga: Gracias. ¿Algo que quieras agregar?

Antoni Bosch Pujol: Bueno, en el caso de los ficheros son ficheros sensibles, el problema es que las entidades de cobro son muy agresivas, con lo cual lo que hacen es sacar información de todas partes. Entonces, lo que hay que tener muy presente ya ha habido algunas sanciones con el interés de cobro que han de ser muy diligentes, es decir, cuando se incluyen en ficheros demorosos es obligatorio en España que primero lo comuniquen al titular de SEDATU por si evidentemente la ley nos garantiza nuestro derecho a saber qué se está haciendo con nuestros datos, pero difícilmente voy a poder preguntarle a alguien qué está haciendo con mis datos y no sé qué tienen esos datos. Por tanto, fue tema en los principios de muchísimas sanciones por parte de la agencia española.

Y el otro es que no toda la información que recaba es válida, es decir, hasta qué punto el hecho de que yo sea deudor pueden estar incordiando mi antigua mujer por ejemplo, o a mi madre o al cuñado de no sé quién que una vez dio la tarjeta o el número de teléfono; es decir, ahí sí que y en el caso es bueno, yo creo que además, bueno, fue por otro tema, pero Colombia hace muy poco se sancionó a una entidad crediticia, bueno, una entidad de cobranza, pero bueno, entre otras cosas porque estaban enseñando, cuando hacían la demostración pública de las maravillas de la información que tenía, la estaban haciendo con datos reales y dicen, “oye, tienes alguien que te interese, que veamos cómo es. Pues mira, entra aquí y sale”. Pero bueno. Pablo Corona Fraga: De hecho, en México acaba de pasar algo similar.

Fue sancionada una empresa de comunicaciones, justamente por usar los datos de los contactos a los que llamaba alguien para cobrarle al contacto para poder localizarlo. Entonces, creo que hay tener cuidado. Antonio Bosch Pujol: Lo has dicho tú, no yo. Pablo Corona Fraga: La siguiente pregunta está dirigida a Luis, directamente. Y es Adrián Cervantes, de la Asociación Nacional de Hospitales Privados. Básicamente son dos preguntas, en realidad. El primero es qué porcentaje de las historias clínicas de salud ya están en formato electrónico. Y el segundo es, qué datos sensibles son los que se solicitan para generar inconformidades en el tratamiento médico. Luis de Salvador: Voy a ver si lo he entendido bien. Por un lado me, nosotros no tenemos datos para determinar cuál es el volumen de historias clínicas que están digitalizadas, por qué, porque bueno, porque no sólo incluyen las historias clínicas de hospitales públicos o privados, sino que también eso va a incluir las historias clínicas de cualquier otro servicio sanitario que haya en España. Incluyendo desde una ortopedia a un masajista. Segundo. Las brechas más importantes que hemos tenido en relación a datos clínicos no han sido porque estuviesen digitalizadas, sino más bien precisamente por lo contrario, porque no estaban digitalizadas, y la gente no, estaban implementados pues, unos procedimientos para destrucción confidencial de información. Simplemente, pues como he comentado antes, se arrojaban a la basura.

Hemos tenido algún problema muy sonado con historias digitalizadas. Un caso muy sonado que tuvimos fue cuando una médico instaló EMULE. ¿Conocéis EMULE? Una red, un P2P en el ordenador donde tenía alojadas las historias clínicas. Y por lo tanto, empezó a distribuir un fichero con historias clínicas. Tampoco eran tan importantes, era una clínica abortista. Estaba en el país vasco, había datos de señoras que no tenían que estar ahí. Pues eso es una complicación. Esos casos son bastante corrientes, bastante más corrientes de lo que parecen. ¿Y la segunda parte de la pregunta era? Pablo Corona Fraga: Qué datos sensibles se utilizan o se solicitan para

generar inconformidades en el tratamiento médico. Luis de Salvador: Tú lo que no puedes, a la hora de proporcionar un servicio, ya sea un servicio ya sea un servicio médico o un servicio cualquiera, tú tienes que recoger los datos necesarios, naturalmente para la prestación de ese servicio y ya está. De que una proporcionalidad en la recogida de datos. Si tú vas a una clínica en la que tú tienes una enfermedad específica, te van a tener que recoger los datos relativos a esa enfermedad específica y todo lo que hay alrededor para su tratamiento y tienen que ser empleados simplemente para eso, porque tú has cedido datos con un propósito definido, que me traten a mí esa enfermedad y no te pueden reclamar más datos que los necesarios para ello y no los puede usar para otra cosa que no sea precisamente para tratar a esa persona. Pero eso ocurre con los datos sanitarios y con los datos de cualquier otro servicio. Por eso una de las primeras cosas que se tienen que hacer y que he comentado que tiene que formar parte del primer paso del análisis es: Oye, estoy recogiendo más datos de los necesarios. Hay cierta paranoia en la recogida de datos, en la acumulación de información. No, tú no puedes recoger, no tienes que recoger, a lo mejor es que no necesitas, recoger tanto datos. Pero la ley, si no quiere ser razonable, la ley te lo va indicar, la ley te dice que tú tienes que recoger los datos proporcionales para proporcionar un servicio y durante, la prestación de ese servicio, y luego ya no necesitas retenerlos, al menos que otra ley obligue a ciertas retenciones. No sé si he contestado a la pregunta.

Antoni Bosch Pujol: Ahí yo sé que has tocado el tema sanitario en otro

blog, bueno, colaboramos mucho, ya lo habéis visto. Con el tema de las historias clínicas fue un tema que nos llevó muchísimos debates porque el tema estaba, en primer lugar, la historia clínica es del paciente o es del médico o del hospital, pero dices: primera respuesta del paciente, sí. Pero, ¿y las anotaciones de expertise que está haciendo cada profesional médico en base a unos datos objetivos, analíticas, exploraciones, que a partir de ahí él concluye un diagnóstico, eso de quién es parte? Es decir, tiene que ser accesible a todo mundo o no? El otro problema, qué ocurre cuando tienes en hospitales que diferentes médicos, diferentes profesionales están accediendo a la historia clínica, es decir, cada profesional tiene que acceder a toda la historia clínica, como comentaba Luis, el tema de esa clínica abortista, eso puede ser que en algún caso de síntomas, pueda ser necesario saberlo, pero sí me he medicar por un problema de dolor de cabeza por qué tiene que acceder a todo mi historial ginecológico. Eso nos llevó, precisamente, y lo que contaba Luis, donde están los problemas siempre, casi siempre suelen hacer la historia clínica en papel, porque no puedes controlar. Es decir, tú decías una historia digital, con todos los problemas que luego puede tener de comunicación de esa información, el acceso, ha de ser un acceso seguro, pero tú puedes de alguna manera bloquear que sólo accedan a unas partes de la historia clínica. En cambio, si es una historia clínica un dossier, o tú das el dossier o no, o has de empezar a tachar, a marcar, y luego con las historias clínicas en formato papel no olviden algo. Repito, esto es arma de destrucción masiva para todo. Cuántas fotos puedo hacer aquí de una historia clínica, las que ustedes quieran y además si me apuran hasta la conecto, las subo al a red y a partir ahí, pues me las guardo en Dropbox o en cualquier sistema de almacenamiento, por tanto hay que tener muchísimo cuidado. Y es un debate que aún no lo tenemos cerrado, porque luego está el tema qué ocurre cuando es, no sé aquí cómo está el sistema de salud, pero tenemos nosotros, en el caso español tenemos sistema sanitario privado y sistema sanitario público. El sanitario público se puede compartir la información, pero si tú haces una exploración en el sistema sanitario privado, no puedes compartirla. Es más, el médico de la privada no puede acceder al historial clínico de la pública, porque como es un dato que son regulaciones

diferentes, tienes que volver a hacer otra analítica para poder acceder, con lo cual estás encareciendo los servicios. Es un debate que aquí los temas de privacidad son importantes, muchísimo muy importantes, pero los temas de eficiencia y eficacia también. Pablo Corona Fraga: Gracias, Antonio.

La siguiente pregunta es: bajo el escenario que en México el 97 por ciento de las empresas son microempresas y que actualmente ocupamos el lugar 63 en el uso de las TIC’s, ¿qué recomendación se le puede dar a estas empresas para que puedan implementar medidas de seguridad y protección de datos, sin implicar un costo que sobrepasa su capital de inversión? Déjenme contestar un poco, yo, hace rato la presentación, Adriana y Armando ya nos platicaban que están por publicar una guía de recomendaciones, bueno, un manual para micro, pequeñas y medianas empresas, que seguramente tendrá estratos, y no es lo mismo los controles que tendrá que implementar una empresa unipersonal, porque una empresa unipersonal tiene solamente una persona y no necesita definir roles y responsabilidad, y permisos y privilegios, porque básicamente todo mundo tiene acceso a todos, es uno- Pero si es una empresa que tiene un poco más de gente, tendrá que ir implementando de manera incremental distintos controles. Creo que dijeron que en enero estará listo, bueno, a principios de año estará listo el documento, entonces creo que habrá que esperar a esto, pero vendrán las recomendaciones de parte del IFAI para microempresas. Tenemos todavía cinco preguntas más, ¿cómo estamos de tiempo? ¿Hacemos una más? Bueno, creo que se van a tener que quedar en el aire, pero los ponentes van a estar por aquí todavía, si los agarran en el pasillo. Bueno pues muchas gracias a todos, muchas gracias a los ponentes de la mesa y a los asistentes por su participación. Gracias. Moderador: Aprovechamos este Foro para anunciarles que desde

septiembre está disponible en la página de Internet del IFAI el generador de avisos de privacidad en donde pueden generar avisos de privacidad de manera automática.

Ahora le pedimos al Comisionado Presidente del Instituto Federal de Acceso a la Información y Protección de Datos, Gerardo Laveaga, proceda a la clausura de este Foro Internacional Sobre Seguridad de Datos Personales. Comisionado Presidente Gerardo Laveaga Rendón: Qué tal, buenas tardes. Antes de hacer la clausura formal quisiera hacer una pequeña referencia sobre el gran tema que está preocupando tanto a México en todos los sectores. Este equilibrio tan importante, primero entre acceso y protección de datos, porque el IFAI como ustedes sabe tiene las dos responsabilidades; por un lado garantizar que todos tengamos acceso a la información, pero por otro proteger la seguridad, proteger los datos personales. En la medida en que nosotros mantengamos ese equilibrio el IFAI está cumpliendo con su labor. Hace poco, y permítanme quitarles un par de minutos, tuvimos una fuerte discusión los cinco comisionados del IFAI, aquí está una de las más importantes conocedoras de protección de datos en México, la Comisionada Sigrid Arzt, gracias por acompañarnos, Comisionada; está el Secretario General de Protección de Datos del IFAI, el maestro Alfonso Oñate; señor Secretario, gracias por estar aquí, y felicidades por este evento, eh, otro éxito más de su Secretaría General; y de pronto nos decían los comisionados, bueno ustedes conocen la tragedia terrible que pasó en el ABC, donde murieron varios niños, donde algunos fueron calcinados y de pronto alguien dice cuánto dinero se le dio a cada familia por cada asunto que ocurrió ahí. ¿Debe darse esa información? Primera pregunta. Tenemos que discutirlo los comisionados, es dinero público, el Estado dio dinero a usted que perdió a una hija, a usted que perdió a un hijo, a usted que se le quemó tanto dinero, ¿se debe dar y se debe decir por qué se dio? Y algunos decir, claro es dinero público, tiene que informarse cada centavo que se gasta. Pero por la otra parte decían se vale estigmatizar a la familia, usted recibió por esta tragedia que sufrió de cualquier magnitud 100 mil pesos o dos millones de pesos y tuvimos una discusión intensa, difícil y finalmente decidimos dar los montos y los nombres desasociados, y alguien lo aplaudió y alguien lo criticó, alguien dijo se quedaron cortos, alguien dijo no tenían que haber dicho nada.

Es un derecho absolutamente nuevo y la idea de que los datos son nuestros datos tienen 30 años en el mundo, la agencia de protección de datos cuántos tiene, ¿10? Es una agencia relativamente nueva cuando yo platico con José Luis Rodríguez, el Presidente de la Agencia de Protección de Datos me confiesa lo que yo tengo que confesarles a todos ustedes, seguimos aprendiendo. No es algo que todos sepamos y que todos manejemos. A la hora de imponer multas, lo que hace el IFAI, discutimos, ¿se vale?, ¿no es mucho?, ¿no es poco? Tenemos que lograr un equilibrio, como lo decía la Comisionada Arzt, en la inauguración de este evento, entre estos grandes temas. Sí acceso, sí protección de datos, pero también tenemos que equilibrar y saber decir, bueno, hasta dónde tenemos, como dice el foro proteger y brindar seguridad, y al mismo tiempo, mantener esta confidencialidad, cómo se protege, cuál es la mejor forma de hacerlo. Estamos aprendiendo, seguimos aprendiendo. No quiero abrumarlos más, quiero simplemente subrayar que el trabajo del IFAI no es multar. El trabajo del IFAI es básicamente conciliar. Y la gran mayoría de los procesos que enfrentamos se resuelven a través de la conciliación. Ese es el gran punto, conciliar. Pero hay veces que no se logra conciliar, y la cultura de la protección de datos, la cultura de saber mis datos, son mis datos, es algo nuevo. Ayer nada menos tuvimos una, pueden verlo ustedes en internet, tuvimos una discusión. ¿Se vale entregar un expediente médico testando datos? Aunque yo no sepa que pertenecen los datos a María Gómez, ¿se vale que lo entregue? Y tuvimos una discusión muy ardua y al final por tres votos se dijo “no”. Dos Comisionados dijeron “debe entregarse”. Es algo nuevo. Es algo repito, y perdón que insista tanto, en que estamos aprendiendo. En fin. Siendo las dos, las 14 horas con 15 minutos de este 5 de diciembre, quiero declarar formalmente clausurado el Foro Internacional Sobre Seguridad de Datos Personales. Agradezco mucho a los ponentes internacionales que estuvieron con nosotros. Agradezco mucho a todos ustedes que estamos aprendiendo en este ejercicio, y lo declaro, repito, formalmente clausurado. Gracias.

- - -o0o- - -