[MÚSICA] Hola. Hoy vamos a entrevistar a la señora Miriam Padilla Espinosa. Ella es directora en seguridad de datos personales en el INAI en la ciudad de México. Y también imparte una serie de clases relacionadas con protección de datos en el centro SIDEC. Vamos a ver con ella cuáles son los retos en el ámbito de protección de datos en México. Bueno, hola Miriam, muchísimas gracias por estar con nosotros hoy. Y sobre todo nos interesa muchísimo que nos expliques como experta en México, pues cómo está y cómo se vive todo el fenómeno de protección de datos allí. Y en concreto, me gustaría hacerte una pregunta que es, ¿si para ti es importante desde el punto de vista de México, conocer el reglamento general de protección datos? A pesar de ser un tercer Estado, y por tanto, no ser México parte de la Unión Europea. >> Antes que nada, muchísimas gracias por la invitación, Cristina. Sin duda, el conocer este reglamento europeo para el contexto mexicano, nos ayuda a nosotros a incorporar elementos de mejores prácticas para los programas de protección de datos personales, que en la actualidad tienen que ser cada vez más estructurados, más sólidos, pero sobre todo más flexibles, y adaptar todas estas mejores prácticas con el objetivo de realizar tratamientos que estén en cumplimiento con el reglamento que establece México. Pero también tomar estas propuestas, que en las diferentes regulaciones a nivel internacional ha hablado también del reglamento europeo, pues establecen. Y uno de los elementos importantes es que si hay tratamientos que estén impactados y que deban cumplir con lo que el reglamento establece, pues obviamente conocerlo para adecuar todos los elementos tanto de nuestro marco legal y nacional como los elementos internacionales que el reglamento establece, que tendrían las organizaciones que cumplir. Un ejemplo muy puntual son los sitios web con las políticas de cookies, que establezcan claramente lo que la regulación en materia del reglamento establece, y que pudieran ser sitios mexicanos, pero que realizan un tratamiento de ciudadanos de la Unión Europea. Entonces, es muy importante como especialistas ampliar ese campo de conocimiento para identificar que elementos de nuestro marco nacional se ven impactados al momento que tenemos que adecuar los programas de protección de datos. Y sobre todo considerando que cada vez todo este entorno digital, pues va haciendo que las organizaciones tengan que evolucionar, tengan que cumplir con regulaciones, que en este caso la característica particular del reglamento es que esta es la territorialidad que identificamos. También hay organizaciones en México que tienen que adherirse. De hecho, muchos esfuerzos se han hecho en el contexto mexicano con diferentes especialistas para hacer mapeos de la ley mexicana con respecto al reglamento, que ayuda a dar esa visión a las organizaciones cuando tienen que adherir sus políticas y cuando tienen que modificar procedimientos o medidas de seguridad que están implementando para justamente lograr ese cumplimiento. Entonces, sin duda, considero que conocer este reglamento a nosotros como especialistas en datos, pues nos abre el panorama y el mundo para identificar nuevas prácticas y nuevas mejoras que tenemos que incorporar en los programas de protección de datos. >> Miriam, otra pregunta. Yo sé que tú eres experta, sobre todo en seguridad de los datos. Entonces, tú, ¿cuáles son los principales elementos que tienes que tener en cuenta y que están implementados en el reglamento general de protección de datos cuando haces una auditoría de seguridad de los datos? >> En el caso, sin duda de seguridad, independiente de cuál sea el marco legal, uno de los puntos que yo he identificado, es que las medidas de seguridad que se implementan, ya sean administrativas, físicas o técnicas, siempre atienden a diferentes estándares, normas, marcos de referencia, que se adecuan de manera particular a lo que establece los diferentes marcos legales. Pero a fin de cuentas el tema de ciberseguridad, va incorporado en cualquier estrategia de protección de datos, y muchas veces se hace, me refuerzo con este tipo de normatividad adicional, que ayuda a complementar estas medidas. En el caso de una auditoría de protección de datos personales, los elementos que consideraría primero, pues sería, identificar ese alcance, ese contexto en el que se da el tratamiento todos aquellos elementos que me permita a mi saber cómo se está realizando el tratamiento de esa información. En el caso particular de México, se establece aún tener un inventario de datos que nos permita a nosotros conocer cuál es la trazabilidad, cuál es el ciclo de vida de los datos. ya una vez que se tiene ese panorama, pues identificar qué riesgos la organización ha detectado en ese tratamiento de datos personales, con el objetivo de identificar, pues justamente, cuáles amanezas pudieran afectar la seguridad de los datos y cómo la organización ha atendido o dando tratamiento a esos riesgos que ha identificado con las diferentes medidas de seguridad que pueden ser desde técnicas organizativas, y que permite saber justamente cómo esos riesgos ahora, pues van a ser atendidos por la organización. Conocer qué metodologías empleó. En el caso particular, siempre yo veo que en el tema de datos, la metodología que se emplee para realizar esta gestión adecuada de riesgos, es fundamental que la organización entienda cómo está funcionando, cómo ayuda a proteger no solamente los riesgos de la organización, sino también riesgos que están orientados a terceros. Y ya una vez que identificaron esa medidas, pues que se encuentren planeadas que tengan un plan estructurado, que se identifiquen los tiempos en lo que se van a implementar esas medidas, que se identifiquen las personas que van a atender y ser responsables en implementar esas medidas. Y sobre todo, que también la organización tenga claramente establecida métodos que va a emplear para poder medir que esas medidas de seguridad fueron implementadas de manera adecuada. De tal forma, que pues los procesos de auditoría aquí se vuelven importantes o los mecanismos que ellos emplearon para revisar esas medidas de seguridad, y saber que están cumpliendo con el objetivo de atender los riesgos. Otro punto importante, saber cómo la organización gestiona las vulneraciones de datos. O sea, vivimos en un entorno donde cada vez es más frecuente que se presenten vulneraciones a la seguridad de datos. Es importante saber si tienen procedimientos, si cumplen esos procedimientos con los tiempos establecidos por el reglamento, si se tiene un plan de acción y en el caso de notificación hacia la autoridad correspondiente, si se tienen protocolos para realizar esa notificación. Y sobre todo, considerando que la notificación es una claridad y una muestra del compromiso de la organización en ser transparente en demostrar que tiene procedimientos adecuados para gestionar estas vulneraciones y sobre todo, refleja una confianza hacia los titulares que proporcionaron sus datos a estas entidades. Otro punto importante que siempre se considera como la parte del eslabón más débil de la cadena a los titulares. Sin embargo, pues el tema de capacitación y concientización es un esfuerzo que también se tienen que evaluar para saber qué estrategias ha empleado la organización, qué mecanismos tiene para llegar a la gente y sumarlos a este esfuerzo de protección de datos. A veces es mucho cuando se implementan los programas, pasa que la gente no se siente parte de toda esta estrategia, sino lo ve como una carga adicional de trabajo. La idea es jalarlos con los diferentes esfuerzos, hacerlos parte de estas medida de seguridad, y sobre todo, que en la parte de auditoría se evalúe que realmente sea efectiva esa estrategia que se implementó para cumplir con la regulación. >> Gracias Miriam. Y por último tengo una pregunta para ti, que es un poquito más subjetiva, pero muy relevante. ¿Tú hasta qué punto crees que México, pues en algún momento en el futuro podemos llegar a pensar que podrá tener una ley de protección de datos alineada con el reglamento general, o incluso poder, pues contar con una decisión de adecuación por parte de la comisión europea en protección de datos? >> En el caso del marco mexicano, tiene una buena aproximación a los elementos que se establecen como requisitos para la transferencia de datos, tales que nuestra ley, en el caso del sector privado, y también se han incorporado elementos en el sector público ya establecen, pues esta comunicación de datos que se pueden realizar a nivel de transferencias, llamándose a un responsable con otro responsable, o una remisión, que es un responsable que se comunica con estos datos con un encargado, considerando en ambos rumbos que se pueda dar de manera internacional. Y se establecen medidas, obviamente para que cuando se realice esa transferencia de datos garanticemos que en el marco legal, pues se establecen obligaciones de que el responsable debe de identificar cómo esas medidas también se están cumpliendo por la parte que recibe estos datos personales. Entonces, son elementos que ya muestran un claro compromiso por la parte de la ley mexicana de establecer obligaciones con respecto a la transferencia. Además de ello, pues establece como norma general el tema del consentimiento por parte de los titulares, que deben de tener claro que se van a transferir su información y dar el consentimiento, salvo ciertas excepciones que se encuentran consideradas en la ley. Y en el caso yo veo como más tecnológico, pues la cuestión de las transferencias que se realizan para proveedores de computo en la nube, Nuestra ley y nuestro reglamento establecen artículos que hablan de las responsabilidades que deben de considerar el responsable, para que que cuando se realice esa transferencia de datos para utilizar estos servicios, pues se adecue a las obligaciones. Entonces, todos estos puntos que nuestra ley ya incluye, sin duda son iniciativas previas para ir alineando a lo que establecen otras normatividades en el caso del reglamento europeo. México además ha sido parte del convenio 108 desde 2018. Nos muestra, pues justamente, ese camino hacia la armonización de las reglas mexicanas para permitir un flujo tras fronterizo de datos adecuado a lo que se establece ya en el entorno internacional. Y además en el año 2013, en el caso de la autoridad mexicana fue reconocida como integrante del Sistema de Reglas de Privacidad Transfronteriza, que es un CBPRs, como parte de la cooperación con el foro APEC. Entonces, estos diversos elementos, pues muestran que se va en algún momento trabajar para adecuar estos elementos que permitan una transferencia de datos personales de manera alineada y armonizada con lo que se establece en la Unión Europea. >> Pues sí, Miriam. Yo coincido contigo, que México está yendo por el buen camino, con esos pequeños pasos. Y que seguramente en un futuro no muy lejano, podemos ver un reglamento también de protección de datos en México. Muchísimas gracias por esta entrevista, por darnos tu punto de vista como experta, y esperamos verte en otras ocasiones. Un saludo y hasta pronto. [MÚSICA]