Senado de la República.
LXIII Legislatura, Tercer Año de Ejercicio.
Jueves 19 de julio de 2018
Gaceta del Senado
    
    

¿Qué es la Gaceta?

La Gaceta es el órgano informativo  oficial del Senado. Depende de la Mesa Directiva y cuenta con un Consejo Directivo formado por los miembros de la propia Mesa y por los secretarios generales de  Servicios Administrativos y de Servicios Parlamentarios; el Presidente de la Mesa lo es del Consejo.

Artículo 306 del Reglamento del Senado de la República.

Leer más
Martes 26 de Junio de 2018
Gaceta: LXIII/3SPR-15/82040
Martes 26 de Junio de 2018
Gaceta: LXIII/3SPR-15/82040

Del Dip. José Hernán Cortés Berumen, del Grupo Parlamentario del Partido Acción Nacional, con proyecto de decreto por el que se reforma la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

INICIATIVA CON PROYECTO DE DECRETO, POR EL QUE SE REFORMA LA LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS, A CARGO DEL DIPUTADO JOSÉ HERNÁN CORTÉS BERUMEN, DEL GRUPO PARLAMENTARIO DEL PARTIDO ACCIÓN NACIONAL.

El suscrito, José Hernán Cortés Berumen, diputado integrante del Grupo Parlamentario del Partido Acción Nacional de la LXIII Legislatura del honorable Congreso de la Unión, con fundamento en lo dispuesto en los artículos 71, fracción II y 78 fracción III, de la Constitución Política de los Estados Unidos Mexicanos; 55, fracción II, del Reglamento para el Gobierno Interior del Congreso General de los Estados Unidos Mexicanos; los numerales séptimo, octavo y décimo segundo del Acuerdo Parlamentario relativo a las Sesiones y al Orden del Día, en la Comisión Permanente del honorable Congreso de la Unión durante el segundo receso del tercer año de ejercicio de la LXIII Legislatura, y 6, numeral 1, fracción I; 77, numeral 1, y 78 del Reglamento de la Cámara de Diputados, presenta a consideración de esta soberanía la presente iniciativa con proyecto de decreto por el que se reforma la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, en materia de protección de datos personales, conforme a la siguiente,

Exposición de Motivos

La seudonimización en materia de protección de datos personales es un procedimiento de gestión de datos donde se reemplazan campos de información personal dentro de un registro de datos por uno o más identificadores artificiales o seudónimos. Un seudónimo único por cada campo reemplazado, o grupo de campos reemplazados, hace cada récord de datos menos identificable mientras se queda apto para análisis de datos y procesamiento de datos.

Es decir, la seudonimización es una forma de tratamiento de datos que consiste en mantener separada la información original de una persona física de forma que no sea posible identificarla sin volver a asociar sus datos personales. La información adicional, necesaria para poder atribuir los datos a una persona, debe estar sujeta a medidas técnicas y organizativas que garanticen que los datos personales no se atribuyan a una persona física identificada o identificable. Por tanto, realizando el proceso inverso a la seudonimización podemos obtener nuevamente el dato de la persona física. [*]

Un matiz importante es que la seudonimización no es lo mismo que anonimato. La diferencia entre uno y otro radica en que la anonimidad implica la imposibilidad de conectar los datos con la persona a la que pertenecen. En el caso de la seudonimización, no es imposible conectar a la persona con sus datos. En otras palabras, se sustituyen diferentes datos por números, códigos o cualquier otro componente diferenciador. Así, no es posible identificar a la persona en cuestión, sin contar con alguna clase de información adicional que permita contrastar una información con la otra. En cuanto a la complejidad del proceso, dependerá del tipo de datos que se trate. Lógicamente cuando mayor sea el nivel de seguridad exigido, mayor será la dificultad de revertir el proceso de seudonimización. Y una vez más, el nivel de seguridad dependerá de la finalidad del tratamiento de dicha información.” [*]

“La seudonimización no es algo nuevo, sin embargo, son pocas las empresas que introducen esta beneficiosa medida en sus procesos de negocio. Para revertir esta situación, el Reglamento General de Protección de Datos, o GDRP, por sus siglas en inglés, de la Unión Europea, introduce explícitamente en su artículo 32, relativo a la seguridad en el tratamiento de los datos personales, la seudonimización como una medida apropiada para garantizar un nivel de seguridad adecuado al riesgo.

El GDRP es una ley que entró en vigor en la Unión Europea desde el 25 de mayo de 2016 para reemplazar las normas de sus países sobre tratamiento de datos en línea de los usuarios por parte de las empresas. Sin embargo, desde el 25 de mayo de 2018 es obligatoria, y las compañías que no la hayan incorporado recibirán multas de hasta 20 millones de euros. [*]

En los Considerandos del GDRP, respecto a la seudonimización señala a la letra:

(28) La aplicación de la seudonimización a los datos personales puede reducir los riesgos para los interesados afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protección de los datos. Así pues, la introducción explícita de la «seudonimización» en el presente Reglamento no pretende excluir ninguna otra medida relativa a la protección de los datos.

(29) Para incentivar la aplicación de la seudonimización en el tratamiento de datos personales, debe ser posible establecer medidas de seudonimización, permitiendo al mismo tiempo un análisis general, por parte del mismo responsable del tratamiento, cuando este haya adoptado las medidas técnicas y organizativas necesarias para garantizar que se aplique el presente Reglamento al tratamiento correspondiente y que se mantenga por separado la información adicional para la atribución de los datos personales a una persona concreta. El responsable que trate datos personales debe indicar cuáles son sus personas autorizadas.

(85) Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida.

(156) El tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos debe estar supeditado a unas garantías adecuadas para los derechos y libertades del interesado de conformidad con el presente Reglamento. Esas garantías deben asegurar que se aplican medidas técnicas y organizativas para que se observe, en particular, el principio de minimización de los datos. El tratamiento ulterior de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos ha de efectuarse cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita, siempre que existan las garantías adecuadas (como, por ejemplo, la seudonimización de datos). Los Estados miembros deben establecer garantías adecuadas para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. Debe autorizarse que los Estados miembros establezcan, bajo condiciones específicas y a reserva de garantías adecuadas para los interesados, especificaciones y excepciones con respecto a los requisitos de información y los derechos de rectificación, de supresión, al olvido, de limitación del tratamiento, a la portabilidad de los datos y de oposición, cuando se traten datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. Las condiciones y garantías en cuestión pueden conllevar procedimientos específicos para que los interesados ejerzan dichos derechos si resulta adecuado a la luz de los fines perseguidos por el tratamiento específico, junto con las medidas técnicas y organizativas destinadas a minimizar el tratamiento de datos personales atendiendo a los principios de proporcionalidad y necesidad. El tratamiento de datos personales con fines científicos también debe observar otras normas pertinentes, como las relativas a los ensayos clínicos.

Derivado de lo anterior, el GDRP estipula:

Artículo 4

Definiciones

A efectos del presente Reglamento se entenderá por:

1) a 4) …

5)   «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

Artículo 32

Seguridad del tratamiento

1.   Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a)         la seudonimización y el cifrado de datos personales;

b)         la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

c)         la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

d)         un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2.   Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

3.   La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.

4.   El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.”

Para la firma Price Water & Cooper, “esta figura supone una nueva herramienta que permite cumplir con mayor facilidad con ciertas exigencias del GDRP y con uno de los mayores retos incluidos en el mismo, el del control del riesgo. Es decir, mediante técnicas de seudonimización podremos probar que hemos adoptado medidas tendentes al control de dicho factor. Adicionalmente, despliega otra serie de efectos beneficiosos. Por ejemplo, en caso de que nuestro tratamiento de los datos no esté basado en el consentimiento del individuo, la seudonimización puede ayudar a que dicho tratamiento sea lícito con base legal en un fin de interés legítimo, ya que es uno de los factores citados que ayuda a determinar la compatibilidad del tratamiento.

Sirve de criterio delimitador en otras figuras como en Privacy by Design, al establecer qué tratamientos deben contener un análisis de impacto de privacidad previo. La correcta aplicación de esta figura podrá probarse a través de los mecanismos voluntarios de certificación. Por el contrario, ayudando a limitar el riesgo y considerándose una medida de seguridad, puede tener consecuencias gravosas para las compañías en los casos en que haya una reversión no autorizada de la seudonimización. Es una herramienta que, aportando ventajas evidentes, debe ser cuidadosamente valorada para determinar su aplicabilidad.” [*]

Aunque un dato seudonimizado no permite identificación directa de la persona, no olvidemos que se trata de datos personales. Por lo tanto, es objeto de protección de la normativa de Protección de Datos, mediante diversas técnicas disponibles para ello. “Las técnicas de seudonimización más habituales son:

  • Cifrado con clave secreta, un tipo de encriptación en el que el poseedor de la clave de desencriptación puede revertir el proceso en cualquier momento. 
  • Cifrado determinista o función hash con clave de borrado de clave; genera un número aleatorio a modo de seudónimo para cada atributo de la base de datos y, posteriormente, al borrado de la tabla de correspondencia 
  • Descomposición en tokens. Remplaza los números de identificación de tarjetas por valores que son de poca utilidad para aquellos que quieran acceder de forma fraudulenta a los datos personales 
  • Función hash. Los hash o funciones de resumen son algoritmos que consiguen crear a partir de una entrada (ya sea un texto, una contraseña o un archivo, por ejemplo) una salida alfanumérica de longitud normalmente fija que representa un resumen de toda la información que se le ha dado (es decir, a partir de los datos de la entrada crea una cadena que solo puede volverse a crear con esos mismos datos). 
  • Función con clave almacenada. Es un tipo de función hash que hace uso de una clave secreta a modo de valor de entrada suplementario (la ejecución de la función se podría reproducir con el atributo y la clave secreta).” [*]  

Esta nueva figura no existe como tal en la mayoría de los países europeos, aunque hay figuras similares. Por ejemplo en España, no existe el término, ni en la legislación ni en el diccionario de la Real Academia de la Lengua Española, sin embargo, la Agencia Española de Protección de Datos equipara anonimizar y seudonimizar en algunos documentos doctrinales, como en su informe jurídico 2015-0364 “Distinción entre depuración y segmentación.-Uso de hash para comunicar base de datos”, y en las conclusiones de la guía “Orientación y garantías en los procedimientos de anonimización de datos personales”. [*] Por ello, distintos actores académicos especialistas en la materia,  pugnan por homologar el término en la legislación española futura y en la vigente, equiparando “seudonimizar” con el concepto “anonimizar”, aunque técnicamente pudiera ser términos distintos.

En este tenor, proponemos que, sin menoscabo de las disposiciones vigentes en la materia, se incorpore la figura en la legislación mexicana, específicamente en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, de la siguiente forma:

En el artículo 3, que es el glosario de la Ley, dentro de las Medidas de Seguridad técnicas, que refiere de manera enunciativa más no limitativa, las actividades que deben hacerse, se incorpora la seudonimización y su definición.

En el artículo 33, en las medidas de seguridad para la protección de los datos personales, se establece que el responsable deberá realizar, entre la actividades interrelacionadas, la seudonimización.

La seudonimización, es pues, la sustitución de un atributo por otro en un registro, de tal forma que aunque siga existiendo la posibilidad de vincular a la persona física de manera indirecta con el conjunto de datos origen, sea mas complejo hacerlo de forma irregular.

Ante la acelerada evolución tecnológica nos plantea nuevos retos para la protección de los datos personales, es necesario que nuestra legislación avance a la par internacional y con la mayor eficacia posible en su aplicación.

Para un mayor entendimiento de la presente propuesta, se compara el texto vigente con el proyecto de decreto planteado:


LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS

Texto Vigente

Texto propuesto

Artículo 3. Para los efectos de la presente Ley se entenderá por:

I. a XXII. …

Artículo 3. Para los efectos de la presente Ley se entenderá por:

I. a XXII. …

XXIII. Medidas de seguridad técnicas: Conjunto de acciones y mecanismos que se valen de la tecnología relacionada con hardware y software para proteger el entorno digital de los datos personales y los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se deben considerar las siguientes actividades:

a) a b) …

XXIII. …

a) a b) …

c) Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware, y

d) Gestionar las comunicaciones, operaciones y medios de almacenamiento de los recursos informáticos en el tratamiento de datos personales.

c) Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware;

d) Gestionar las comunicaciones, operaciones y medios de almacenamiento de los recursos informáticos en el tratamiento de datos personales, y

Sin correlativo.

XXIV. a XXXIV. …

e) La seudonimización, entendida como el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

XXIV. a XXXIV. …

Artículo 33. Para establecer y mantener las medidas de seguridad para la protección de los datos personales, el responsable deberá realizar, al menos, las siguientes actividades interrelacionadas:

I. a VI. …

Artículo 33. …

I. a VI. …

VII. Monitorear y revisar de manera periódica las medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los datos personales, y

VIII. Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales.

VII. Monitorear y revisar de manera periódica las medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los datos personales;

VIII. Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales, y

Sin correlativo.

IX. La seudonimización y el cifrado de datos personales.

Por las consideraciones expuestas, es que se somete a la consideración de esta Asamblea el siguiente,

PROYECTO DE DECRETO POR EL QUE SE REFORMA LA LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS

ARTÍCULO ÚNICO. Se REFORMAN las fracciones c) y d) de la fracción XXIII del artículo 3, y las fracciones VII y VIII del artículo 33; y se ADICIONA un inciso e) a la fracción XXIII del artículo 3 y una fracción IX al artículo 33, todos de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, para quedar como sigue:

Artículo 3.

I. a XXII. …

XXIII. …

a) a b) …

c) Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware;

d) Gestionar las comunicaciones, operaciones y medios de almacenamiento de los recursos informáticos en el tratamiento de datos personales, y

e) La seudonimización, entendida como el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

XXIV. a XXXIV. …

Artículo 33.

I. a VI. …

VII. Monitorear y revisar de manera periódica las medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los datos personales;

VIII. Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales, y

IX. La seudonimización y el cifrado de datos personales.

ARTÍCULO TRANSITORIO

Único. El presente decreto entrará en vigor el día siguiente al de su publicación en el Diario Oficial de la Federación.

Dip. José Hernán Cortés Berumen

En la Ciudad de México a 22 de junio de 2018.


[*] https://www.sigea.es/que-es-la-seudonimizacion/ Consultado el 29 de mayo de 2018.

http://www.senado.gob.mx:80/index.php?ver=sp&mn=2&sm=2&id=82040