El presente análisis del punto 6.6. del proyecto de Norma Oficial Mexicana NOM-037-STPS-2023, “Teletrabajo. Condiciones de seguridad y salud en el trabajo”, publicada en el Diario Oficial de la Federación el 8 de junio de 2023, que conlleva la atención de políticas y mecanismos de protección de datos e información por parte de las personas teletrabajadoras, pretende contribuir con las medidas necesarias para su efectivo cumplimiento.
En la NOM-037-STPS-2023 es sumamente importante revisar, analizar y comentar las medidas implícitas en su punto 6.6, debido a que constituyen una obligación de la persona teletrabajadora, quien debe cumplirlas, hacerlas cumplir y, subsecuentemente, exigir al patrón que se le provea tanto las políticas como los mecanismos para la protección de los datos utilizados en el desarrollo de sus funciones, así como atender las restricciones sobre su uso y su almacenamiento. Textualmente ese punto señala la obligación de “atender las políticas y los mecanismos de protección de datos e información establecidos por el patrón en el desempeño de sus actividades como persona teletrabajadora, así como las restricciones sobre su uso y almacenamiento”.1
Ante el desconocimiento o la nula observancia de los elementos que trae incluye este punto de la norma oficial mexicana, ¿cómo podría desempeñar correctamente la persona trabajadora sus funciones en el marco de esa normatividad sin la debida capacitación o sin las políticas y los mecanismos efectivos para su cumplimiento? El presente artículo analiza esa situación.
El capítulo XII bis, “Teletrabajo”, artículo 330-E, fracción I, de la Ley Federal del Trabajo vigente, se refiere a la obligación del patrón de “proporcionar, instalar y encargarse del mantenimiento de los equipos necesarios para el teletrabajo, como equipo de cómputo, sillas ergonómicas, impresoras, entre otros”; aquí se considera todo lo que se requiere para el teletrabajo, incluidas las medidas de seguridad de los equipos, como un antivirus. Para mejorar la ciberseguridad de la información de cualquier institución, pública o privada, se debe tener en cuenta lo siguiente: 1. arquitectura de seguridad, 2. programación segura/desarrollo seguro, 3. técnicas de robustecimiento de infraestructura/hardening, 4. seguridad en redes, 5. ciberseguridad y respuesta rápida a incidentes, 6. técnicas de pruebas de seguridad/hackeo ético/pentest, 7. análisis forense/cómputo forense, 8. revisión de seguridad de tecnología, 9. servidores, redes, aplicaciones, y 10. auditoría de la seguridad de la información.
Además de lo anterior debe contarse con un sistema de gestión de accesos e identidades de los usuarios a la información, a los sistemas y a los recursos de la organización.
Por otra parte, el artículo de referencia, la fracción V, indica la obligación del patrón de “implementar mecanismos que preserven la seguridad de la información y los datos utilizados por las personas trabajadoras en la modalidad del teletrabajo”. Si no se ha atendido esta obligación desde enero de 2021 hay que subrayar que se está incumpliendo una norma federal en materia de seguridad de la información.2
Para revisar los efectos que conlleva la protección de datos personales sería necesario retomar diversos tratados, convenios, cartas, pactos e incluso guías y manuales internacionales sobre el tema, todos tan importantes que no podríamos abordar aquí de manera detallada. Por eso sólo nos enfocaremos en la legislación de México.
Atendiendo la jerarquía de las normas, primero recurriremos a nuestra Constitución Política de los Estados Unidos Mexicanos, la cual reconoce la protección de los datos personales como un derecho fundamental o un derecho humano en sus artículos 6, y 16, párrafo segundo, en los cuales están incluidos los derechos de acceso, rectificación, cancelación y oposición, mejor conocidos por su acrónimo ARCO, 3, para cada uno de los cuales existe una regulación específica.
Analicemos específicamente el artículo 44 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, el cual aborda los parámetros para actuar y salvaguardar eficazmente la protección de datos en México, atendiendo a los principios de protección de la información personal: licitud, consentimiento, calidad, finalidad, lealtad, proporcionalidad y responsabilidad. Con base en esta legislación las empresas pueden implementar correctamente un excelente Sistema de Gestión de Datos Personales para responder a las obligaciones del punto 6.6 de la NOM-037-STPS-2022.
Para lograr lo anterior las empresas deberían poner en marcha un Sistema de Gestión de Datos Personales mediante el cual den seguimiento a cada fase de la protección de datos personales, tanto en las instalaciones de la empresa como en el ámbito del trabajo híbrido de sus empleados (una parte en la oficina y otra en casa o desde donde se realice el teletrabajo).
Con esto se pretende contribuir a que se atiendan las políticas y los mecanismos de protección de datos e información de manera correcta, conforme a la normatividad aplicable, implícita en el punto 6.6. de la norma oficial mexicana, así como que se vele por la confidencialidad, la integridad y la disponibilidad de la información, con base en dicho Sistema de Gestión de Datos Personales, que surge de los artículos 44 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y 79 a 86 de su reglamento, así como de los Parámetros de Autorregulación Vinculante en Materia de Protección de Datos Personales
Además de que cumplirían responsablemente con la normatividad vigente, las empresas aumentarían las probabilidades estratégicas para diseñar e implementar óptimas herramientas de seguridad de datos (sus activos esenciales) y para impulsar mejoras en los procesos que llevan a cabo todos sus colaboradores.
En el cuadro 1 se consignan sólo algunas medidas de seguridad de la información que se pueden implementar en las empresas y en las instituciones públicas. Es importante evaluar las necesidades específicas de cada organización y crear un adecuado plan de seguridad de la información.
j) En el ámbito familiar y fiscal: si un hijo que reside en México le regala un bien a su padre o a su abuelo, o a otro ascendiente en línea recta, no se causan impuestos federales por esa donación, siempre y cuando la persona que reciba ese regalo o esa donación informe a las autoridades fiscales en su declaración fiscal del ejercicio sobre esa situación y siempre y cuando la persona que reciba ese regalo no lo enajene o done a otra persona diversa a la que le dio originalmente ese regalo, porque en caso contrario, si el valor fuera superior a 500,000 pesos, sí causaría impuestos federales ese regalo o esa donación.
k) En el ámbito de negocios y fiscal: si alguien me presta más de 600,000 pesos debo presentar aviso a la autoridad fiscal en mi declaración del impuesto sobre la renta del ejercicio en el que recibí la cantidad prestada respecto de ese préstamo, porque si no lo hago hay consecuencias fiscales por esa omisión.
l) En el ámbito fiscal: si gano un premio con un valor mayor a 600,000 pesos debo informar a las autoridades fiscales en mi declaración fiscal del ejercicio respecto de ese premio que gané, porque si no lo hago hay consecuencias fiscales por esa omisión.
Por lo anterior, y por otros muchos casos contemplados en las leyes, es importante acudir con el notario de su confianza antes de celebrar operaciones de esa u otra índole para que nos informen sobre qué avisos debemos dar a las autoridades respecto de los actos en los que participemos, cuándo hay que dar esos avisos, cómo hay que darlos y el procedimiento relacionado con eso.
| Medida | Descripción |
| 1. Contraseñas fuertes | Las contraseñas deben ser largas y complejas, incluyendo letras mayúsculas y minúsculas, números y caracteres especiales; además, se deben cambiar periódicamente y no deben ser compartidas con otros. |
| 2. Autenticación de dos factores | Adicionalmente a la contraseña, se debe utilizar otro método de autenticación, como un código enviado por mensaje de texto o una huella dactilar para verificar la identidad del usuario. |
| 3. Encriptación | Utilizar un algoritmo para convertir la información en un código que sólo puede ser descifrado por aquellos que tienen la clave para hacerlo. |
| 4. Actualizaciones regulares | Asegurar que todos los sistemas y las aplicaciones estén actualizados con las últimas correcciones de seguridad. |
| 5. Backup de datos | Realizar copias de seguridad de los datos importantes y almacenarlos en un lugar seguro en caso de que se produzca una pérdida de datos. |
| 6. Control de acceso | Limitar el acceso a los datos sólo a aquellos usuarios que necesitan tenerlo. |
| 7. Auditorías regulares | Programar auditorías regulares para evaluar el cumplimiento de las políticas de seguridad de la información y detectar posibles problemas. |
| 8. Políticas de seguridad claras | Establecer políticas claras y comunicarlas a todos los empleados para asegurar que se sigan las mejores prácticas de seguridad de la información. |
| 9. Capacitación de los empleados | Proporcionar capacitación regular sobre seguridad de la información para garantizar que todos los empleados estén al tanto de las últimas amenazas y sepan cómo prevenirlas. |
| 10. Monitoreo de seguridad | Utilizar un software de monitoreo para detectar posibles amenazas a la seguridad y tomar medidas preventivas. |
Conclusiones
El presente artículo pretende brindar una muestra de la efectiva garantía de la protección de datos e información para el cumplimiento de la legislación vigente y del punto 6.6. de la Norma Oficial Mexicana. Lo anterior, para salvaguardar los datos y la información de la empresa o la organización y prevenir ciberdelitos, así como para evitar sanciones de las autoridades correspondientes.
Fuentes
Bibliografía
Bustamante García, S., M. Á Valles Coral, I. E. Cuéllar Rodríguez y D. Lévano Rodríguez, (2021), “Políticas basadas en la iso 27001:2013 y su influencia en la gestión de seguridad de la información en municipalidades de Perú” Enfoque UTE, 12(2), pp. 69-79. Disponible en https://doi.org/10.29019/enfoqueute.743.
Estrada Esponda, R. D., j. L. Unás-Gómez y O. E. Flórez-Rincón (2021), “Prácticas de seguridad de la información en tiempos de pandemia. Caso Universidad del Valle, sede Tuluá”, Revista Logos, Ciencia & Tecnología, 13(3), pp. 98-110. Disponible en https://doi.org/10.7440/res64.2018.03.
Nieves-Lahaba, Y. R., y G. Ponjuan-Dante (2021), “Tratamiento de datos personales y acceso a la información. Visiones a partir de la academia”, Universitas-XXI. Revista de Ciencias Sociales y Humanas, 35, pp. 167-185. Disponible enhttps://doi.org/10.17163/uni.n35.2021.08.
Legislación
Diario Oficial de la Federación (2022), “Norma oficial mexicana NOM-037-STPS-2022, punto 6.6, ‘Teletrabajo. Condiciones de seguridad y salud en el trabajo’”. Disponible en https://www.dof.gob.mx/nota_detalle.php?codigo=5691672&fecha=08/06/2023#gsc.tab=0.
——— (2021), “Acuerdo por el que se emiten las políticas y disposiciones para impulsar el uso y aprovechamiento de la informática, el gobierno digital, las tecnologías de la información y comunicación, y la seguridad de la información en la administración pública federal”.
Cámara de Diputados del Congreso de la Unión (2022), “Ley Federal del Trabajo”. Disponible en diputados.gob.mx, https://www.diputados.gob.mx/LeyesBiblio/pdf/LFT.pdf.
——— (2010), “Ley Federal de Protección de Datos Personales en Posesión de los Particulares”. Disponible en diputados.gob.mx, http://www.diputados.gob.mx/LeyesBiblio/pdf/lfpdppp.pdf.
- Diario Oficial de la Federación (2022), “Norma oficial mexicana NOM-037-STPS-2022, punto 6.6, ‘Teletrabajo. Condiciones de seguridad y salud en el trabajo’”. Disponible en https://www.dof.gob.mx/nota_detalle.php?codigo=5691672&fecha=08/06/2023#gsc.tab=0.[↩]
- Para conceptualizar el término seguridad de la información incluido en la normatividad mexicana, véase la fracción XIII del “Acuerdo por el que se emiten las políticas y disposiciones para impulsar el uso y aprovechamiento de la informática, el gobierno digital, las tecnologías de la información y comunicación, y la seguridad de la información en la administración pública federal’, que a la letra señala: “Seguridad de la información: la capacidad de preservar la confidencialidad, integridad y disponibilidad de la información, así como la autenticidad, confiabilidad, trazabilidad y no repudio de la misma”.[↩]
- Para mayor información, véase Ley Federal de Protección de Datos Personales en Posesión de los Particulares, capítulo III y IV. En el primero se incluyen los derechos ARCO, y en el segundo, los mecanismos por medio de los cuales se implementaría cada uno de esos derechos.[↩]
