Artículo 26 de la LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DE LA CIUDAD DE MÉXICO
Explicado en lenguaje simple
En palabras simples
Para proteger los datos que tienen de ti, las empresas deben hacer varias cosas. Primero, crear reglas internas sobre cómo usan y borran tu información, según el caso. También tienen que definir quién hace qué con tus datos y hacer una lista de toda la información que guardan. Además, deben analizar los riesgos (como fallas en su equipo o errores de su personal) y checar qué medidas de seguridad les faltan. Por último, tienen que armar un plan para corregir lo que falte, revisar seguido que todo funcione y capacitar a su equipo según lo que cada quien haga con tus datos.
Texto oficial
Artículo 26. Para establecer y mantener las medidas de seguridad para la protección de los datos personales, el responsable deberá realizar, al menos, las siguientes actividades interrelacionadas: I. Crear políticas internas para la gestión y tratamiento de los datos personales, que tomen en cuenta el contexto en el que ocurren los tratamientos y el ciclo de vida de los datos personales, es decir, su obtención, uso y posterior supresión; II. Definir las funciones y obligaciones del personal involucrado en el tratamiento de datos personales; III. Elaborar un inventario de datos personales contenidos en los sistemas de datos; IV. Realizar un análisis de riesgo de los datos personales, considerando las amenazas y vulnerabilidades existentes para los datos personales y los recursos involucrados en su tratamiento, como pueden ser, de manera enunciativa más no limitativa, hardware, software, personal del responsable, entre otros; V. Realizar un análisis de brecha, comparando las medidas de seguridad existentes contra las faltantes en la organización del responsable; VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, así como las medidas para el cumplimiento cotidiano de las políticas de gestión y tratamiento de los datos personales; VII. Monitorear y revisar de manera periódica las medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los datos personales; y VIII. Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales.
Esta explicación es informativa y no constituye asesoría legal. Consulta siempre el texto oficial y, si lo necesitas, a un profesional.