LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS
CÁMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIÓN
Nueva Ley DOF 26-01-2017
Secretaría General
Secretaría de Servicios Parlamentarios
IV.
Las posibles consecuencias de una vulneración para los titulares;
V.
Las transferencias de datos personales que se realicen;
VI.
El número de titulares;
VII.
Las vulneraciones previas ocurridas en los sistemas de tratamiento, y
VIII.
El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos
personales tratados para una tercera persona no autorizada para su posesión.
Artículo 33. Para establecer y mantener las medidas de seguridad para la protección de los datos
personales, el responsable deberá realizar, al menos, las siguientes actividades interrelacionadas:
I.
Crear políticas internas para la gestión y tratamiento de los datos personales, que tomen en
cuenta el contexto en el que ocurren los tratamientos y el ciclo de vida de los datos
personales, es decir, su obtención, uso y posterior supresión;
II.
Definir las funciones y obligaciones del personal involucrado en el tratamiento de datos
personales;
III.
Elaborar un inventario de datos personales y de los sistemas de tratamiento;
IV.
Realizar un análisis de riesgo de los datos personales, considerando las amenazas y
vulnerabilidades existentes para los datos personales y los recursos involucrados en su
tratamiento, como pueden ser, de manera enunciativa más no limitativa, hardware, software,
personal del responsable, entre otros;
V.
Realizar un análisis de brecha, comparando las medidas de seguridad existentes contra las
faltantes en la organización del responsable;
VI.
Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, así
como las medidas para el cumplimiento cotidiano de las políticas de gestión y tratamiento de
los datos personales;
VII.
Monitorear y revisar de manera periódica las medidas de seguridad implementadas, así como
las amenazas y vulneraciones a las que están sujetos los datos personales, y
VIII.
Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo
de sus roles y responsabilidades respecto del tratamiento de los datos personales.
Artículo 34. Las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos
personales deberán estar documentadas y contenidas en un sistema de gestión.
Se entenderá por sistema de gestión al conjunto de elementos y actividades interrelacionadas para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los
datos personales, de conformidad con lo previsto en la presente Ley y las demás disposiciones que le
resulten aplicables en la materia.
Artículo 35. De manera particular, el responsable deberá elaborar un documento de seguridad que
contenga, al menos, lo siguiente:
14 de 52