La seguridad y confidencialidad de la información es obligación de todos

Nos guste o no, tenemos que reconocer que nuestra información está en todas partes. Los datos personales de nuestros clientes, proveedores, amigos y familia se andan paseando en emails, teléfonos inteligentes, tabletas electrónicas, laptops, tarjetas de memoria, usb drives y hasta en “la nube”; datos financieros y patrimoniales de empleados y clientes sufren la misma suerte, incluyendo hojas olvidadas en impresoras “públicas” por horas y la impresión en papel “reciclado”; nuestros nombres, teléfonos y direcciones desfilan por incontables mesas de recepción de restaurantes y ventanillas bancarias; y obviamente todo lo que hacemos en tanto en internet, como en nuestras computadoras y teléfonos, deja un rastro digital.

Independientemente de que los “convenios o contratos de confidencialidad” (NDA’s por sus siglas en inglés) no solo existen, sino son ampliamente conocidos por la comunidad de negocios, estos no son la única fuente, ni la más importante, de obligaciones de confidencialidad y seguridad de la información. De hecho, el único objetivo de un NDA es y debe ser la confidencialidad de la información; este instrumento no debe usarse como medio para buscar la “seguridad de la información” ni para satisfacer requisitos de otras leyes, como la de protección de datos personales.

La seguridad y confidencialidad de la información son dos cosas distintas; de hecho desde una perspectiva práctica podríamos considerar a la seguridad como el género y a la confidencialidad como la especie. La madre de todas las tareas universitarias (Wikipedia) define a “Seguridad de la Información” como: todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma.

Por otro lado, la confidencialidad de la información en su sentido positivo (punto de vista técnico) significa que “el acceso a la información únicamente se realice por personas que cuenten con la debida autorización”. En su sentido negativo (punto de vista legal), confidencialidad de la información significa que la misma no debe divulgarse o compartirse con terceros, sin autorización expresa de las partes involucradas.

Muchas leyes nos obligan a mantener la confidencialidad y/o seguridad de la información:

  • Si eres profesionista, la Ley General de Profesiones te obliga a guardar estrictamente el secreto de los asuntos que tus clientes te confíen;
  • Si eres empleado, la Ley Federal del Trabajo te obliga a guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurras directa o indirectamente, o de los cuales tengas conocimiento por razón del trabajo que desempeñas, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa;
  • A toda aquella persona que, con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, la Ley de la Propiedad Industrial lo obliga a abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado.
  • Si eres una persona física o moral y contratas a un trabajador que esté laborando o haya laborado, o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de ésta, la Ley de la Propiedad Industrial establece que serás responsable del pago de daños y perjuicios que le ocasione a dicha persona (física o moral).
  • Si tienes una página web (incluyendo sitios móviles) en donde se realizan transacciones comerciales electrónicas, la Ley Federal de Protección al Consumidor te obliga a:
    • Utilizar la información proporcionada por el consumidor en forma confidencial, por lo que no podrás difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente;
    • Utilizar alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informarás a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos.
    • Si eres persona física o moral y tienes una base de datos o das tratamiento a  datos personales, tanto en el plano físico como electrónico, la Ley Federal de Protección de Datos Personales en Posesión de Particulares te obliga a establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
    • La misma ley establece que:
      • Si eres responsable o tercero que interviene en cualquier fase del tratamiento de datos personales, deberás guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.
      • Si los datos personales son vulnerados (si se te pierden, si hay un acceso no autorizado, si te hackean), deberás informar de forma inmediata a los titulares de los datos, a fin de que ellos puedan tomar las medidas correspondientes a la defensa de sus derechos.

Espero que ahora nos quede claro una idea muy simple: ¡la seguridad y confidencialidad de la información es obligación de todos! No importa si tienes o no firmado un contrato o cláusula de confidencialidad, la ley te obliga en la mayoría de los casos a proteger la confidencialidad, disponibilidad e integridad de la información.

 

Artículo originalmente publicado en: http://www.merca20.com/la-seguridad-y-confidencialidad-de-la-informacion-es-obligacion-de-todos/

Tu sitio web… ¿cumple con la ley de protección al consumidor?

Cuando creamos un sitio web, en nuestro proceso de planeación solemos pensar típicamente en: 1) contratar servicios de hosting, 2) registrar el nombre de dominio, 3) contratar a un equipo de trabajo consistente en: diseñador, webmaster, mercadólogo digital, un experto en SEO y tal vez hasta un community manager. Pero alguna vez nos detenemos a pensar: ¿cumple mi sitio web con la ley?

Tratándose de “compliance” existen dos leyes cuya observancia es obligatoria para sitios web que realizan actividades de comercio electrónico y/o tratan datos personales: la Ley Federal de Protección al Consumidor y la Ley Federal de Protección de Datos Personales en Posesión de Particulares (y su Reglamento). En esta ocasión trataremos los requisitos de la primera ley, que aparecen en el Capítulo VII BIS, denominado “De los derechos de los consumidores en las transacciones efectuadas a través del uso de medios electrónicos, ópticos o de cualquier otra tecnología”.

En primera instancia, nótese que el título de este capítulo de la ley de protección al consumidor es bastante amplio, por lo que aplica tanto a comercio electrónico tradicional (realizado en “sitios web”), como a aquél realizado a través de dispositivos móviles (m-commerce).

En la celebración de transacciones electrónicas realizadas entre proveedores y consumidores, el proveedor de bienes o servicios deberá cumplir lo siguiente:

I. Utilizará la información proporcionada por el consumidor en forma confidencial, por lo que no podrá difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente;

II. Utilizará alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informará a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos;

III. Deberá proporcionar al consumidor, antes de celebrar la transacción, su domicilio físico, números telefónicos y demás medios a los que pueda acudir el propio consumidor para presentarle sus reclamaciones o solicitarle aclaraciones;

IV.- Evitará las prácticas comerciales engañosas respecto de las características de los productos;

V. Dará a conocer toda la información sobre los términos, condiciones, costos, cargos adicionales, en su caso, formas de pago de los bienes y servicios ofrecidos por el proveedor;

VI. Respetará la decisión del consumidor en cuanto a la cantidad y calidad de los productos que desea recibir, así como la de no recibir avisos comerciales; y

VII. Se abstendrá de utilizar estrategias de venta o publicitarias que no proporcionen al consumidor información clara y suficiente sobre los servicios ofrecidos, en especial tratándose de prácticas de mercadotecnia dirigidas a la población vulnerable, como los niños, ancianos y enfermos, incorporando mecanismos que adviertan cuando la información no sea apta para esa población.

Muchos de estos requisitos se cumplen a través de un documento que los abogados solemos llamar “Términos y Condiciones de Uso”. Este documento no requiere una forma especial, pero sí debe contener al menos la información señalada en las fracciones I, II, III y V. También es importante resaltar que antes de celebrar la transacción electrónica, es importante haber informado al consumidor sobre las características de los elementos de seguridad y confidencialidad, así como el domicilio físico y números telefónicos para atender reclamaciones, aclaraciones y quejas.

Aunque es una tendencia de derecho anglosajón, deberás decidir si adoptas el mecanismo “browse wrap” o “click wrap” para demostrar el consentimiento de los consumidores. El primero se da cuando el consumidor acepta tus términos y condiciones de uso solo por navegar en él (de ahí el término “browse wrap”). El segundo opera cuando el consumidor tiene que aceptar dichos términos y condiciones de uso haciendo clic en algún botón que diga “Acepto”, “De Acuerdo” o frases similares (“click wrap”). En mi opinión, el mecanismo “browse wrap” es apto para sitios web que no celebran transacciones electrónicas ni recopilan datos personales. El mecanismo “click wrap” es idóneo para sitios que realizan transacciones electrónicas y/o tratan datos personales.

Después de leer lo anterior, usando la caja de comentarios que aparece abajo me podrás responder la pregunta: “Tu sitio web… ¿cumple con la ley de protección al consumidor?”. Si tu respuesta es negativa no hay nada de qué preocuparse, ¡esto va a quedar entre tu y yo solamente!

 

Artículo publicado originalmente en: http://www.merca20.com/tu-sitio-web-cumple-con-la-ley-de-proteccion-al-consumidor/

 

Imagen de: http://www.freedigitalphotos.net/images/view_photog.php?photogid=2365

Riesgos Legales en el Cloud Computing

En el “Cloud Computing” los usuarios pueden acceder a los servicios disponibles en la nube de Internet sin ser expertos en la gestión de los recursos que usan. En este esquema de servicios informáticos la información se almacena de manera permanente en servidores en Internet. Los ejemplos más simples de cómputo en la nube son: GoogleDocs, Dropbox, Picasa, etc. Los usuarios almacenan todo tipo de documentos y archivos (y acceden a ellos) en internet. Desde luego que existen aplicaciones profesionales para un uso corporativo o de negocios de estos servicios informáticos.

 

Con este fenómeno informático surgen muchas dudas y riesgos en el ámbito legal. Algunos de ellos son los siguientes:

 

—        Sub-contrantes (outsourcing en la nube). ¿Bajo qué condiciones el proveedor puede subcontratar partes del servicio de computación en nube? Puede usted estar negociando con “súper empresas”, con una extraordinaria reputación en el mercado… de esas que usted no podría concebir una falla sustancial en el servicio. ¿Pero qué pasa si esas empresas sub-contratan parte de los servicios en la nube? ¿Los sub-contratistas se obligarán con el contratista en los mismos términos y condiciones en que lo hizo con usted? ¿Tendrán los sub-contratistas los mismos niveles de seguridad, confidencialidad y de servicio (SLA) que la empresa con quien usted está contratando?

—        Transferencia y/o Borrado de la información. Durante el noviazgo todo es color de rosa, pero… ¿qué pasa si te divorcias de tu proveedor de cómputo en la nube? ¿Cómo operará la transferencia de tu información… en el plano físico, electrónico o en ambos? ¿Estará tu proveedor actual obligado a colaborar en el proceso de transferencia con otro proveedor? Sabemos que es práctica común en la industria de IT el hacer respaldos de la información. Una vez que termines la relación con tu proveedor, ¿qué garantías tienes de que realmente no se quedó con una copia de tu información? ¿Presenciaste o auditaste el proceso de eliminado electrónico (confiable) de tu información?

—        Ubicación de la información. Una de las características principales de los servicios de cómputo en la nube, es la flexibilidad con que se pueden brindar (“bajo demanda”), diseñando casi un traje a la medida para cada cliente. Parte de esa flexibilidad implica que el proveedor podrá decidir en cualquier momento dónde o en qué servidores podrá estar tratando y almacenando su información. ¿Qué sucede si su proveedor hoy tiene su información en servidores mexicanos, pero mañana decide moverlos a un servidor estadounidense, europeo o asiático? En el terreno legal, un lugar físico significa jurisdicción. Si su información está en un servidor Alemán, probablemente estará sujeta a las leyes alemanas. Autoridades extranjeras podrían no solo auditar, sino eventualmente “confiscar” su información, ante un incumplimiento de leyes locales. El proveedor debe obligarse a no transferir la información a otros países, sin el previo consentimiento del cliente.

—        Protección de datos personales. Este es un tema íntimamente ligado al anterior. Solo como ejemplo, la Unión Europea tiene los más altos estándares en materia de protección de datos personales, mientras los Estados Unidos tiene un modelo sectorial flexible y poco riguroso (comparado con el estándar europeo). México ya cuenta con una Ley Federal de Protección de Datos Personales en Posesión de Particulares. El tratamiento de datos personales en bases de datos es cada vez más sensible y está tremendamente fiscalizado en muchos países. Si usted no adopta las medidas contractuales necesarias, podría toparse con un serio problema no deseado.

—        Pérdida de la información. Ante un escenario trágico de pérdida de su información por negligencia, culpa o dolo de su proveedor, ¿cuáles son los recursos legales que usted dispone? ¿Hay penas convencionales o pago daños y perjuicios? ¿Existe en el contrato algún límite de responsabilidad para el proveedor?

—        Medidas de seguridad de la información. ¿Está encriptada? ¿Libre de virus / spyware? ¿Es segura la transferencia o solo el almacenamiento? ¿Tiene su proveedor un Plan de Recuperación en Caso de Desastre (DRP) o BCP? No olvide obligar a su proveedor a revelarle cualquier incidente de seguridad que involucre sus datos, particularmente aquellos en que su información haya podido ser vulnerada, copiada o alterada por terceros no autorizados.

—        Auditorias. El usuario debe poder verificar que el proveedor está cumpliendo con lo pactado. Pudiere haber auditorias gubernamentales, en las que ambas partes deberán cooperar para salir bien librados de ellas.

 

Para concluir solo me resta agregar que a la fecha no hay ninguna ley –ni a nivel nacional ni internacional- que regule al Cloud Computing, ni las habrá en muchos años seguramente. Esto significa que la única manera de regular este fenómeno es por la vía contractual. Lea bien los contratos de sus proveedores, y asegúrese de que su abogado entienda el tema.

 

Publicado originalmente en: http://www.empresasydinero.com/riesgos-legales-en-el-cloud-computing/

 

Image: scottchan / FreeDigitalPhotos.net