Desafíos y Cumplimiento de la Regulación de Datos Personales en las Empresas de México

El Estudio de protección de datos personales entre usuarios y empresas de 2012, evaluó tanto a internautas mexicanos como empresas en territorio nacional.

El 44 % de las empresas evaluadas no poseen el conocimiento necesario sobre la LFPDPPP. En relación con el ejercicio de derechos ARCO, 50 % de empresas evaluadas no tiene el conocimiento necesario para su atención y, por lo tanto, podrían ser acreedoras a una sanción por el incumplimiento a las disposiciones de la LFPDPPP.

En el mismo tenor, 30 % de las empresas no conocen las acciones que han emprendido para realizar el cumplimiento de la citada ley y, del resto de empresas, 48 % han emprendido acciones de capacitación de personal dentro de su organización. Mientras 20% han contratado a una empresa legal especializada en esos temas, sólo 6% ha contratado a una persona especializada en la ley.

El 50 % de las empresas considera que el cumplimiento de la LFPDPPP genera gastos adicionales.

Es importante destacar que 74 % de empresas consideran que no se ha difundido apropiadamente el impacto de la ley en las empresas establecidas en México. Por lo anterior, se advierte que existe poca cultura de la protección de datos personales en posesión de las empresas establecidas en México, pues la legislación existente, en algunos puntos, se considera sobrerreguladora y obstáculo de la innovación. 

El modelo mexicano es un modelo híbrido, resultado de la incorporación de la visión europea en la protección de este derecho y de algunos elementos del derecho anglosajón. Esto toda vez que la protección de datos personales en nuestro país se eleva al valor de un derecho humano, pero también reconoce esquemas de autorregulación y legislación sectorial, por lo cual se hace más complejo el cumplimiento en la materia.

Las disposiciones en materia de protección de datos personales se encuentran señaladas principalmente en dos ordenamientos: el primero, para el sector privado (LFPDPPP) y de aplicación federal; el segundo, para el sector público (LGPDPPSO) y de aplicación en los tres órdenes de gobierno (federal, estatal y municipal). No obstante, existen excepciones sectoriales para la aplicación de estas dos leyes, atendiendo, por ejemplo, a si los datos son de carácter fiscal, financiero o clínicos.

Lo anterior se traduce en que los operadores jurídicos deberán conocer un cúmulo de legislación, que no refiere únicamente a la materia en específico, sino a documentos de interpretación, de orientación o vinculatorios. Éstos son emitidos por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Inai), órgano garante de la protección de datos personales en el país. Ejemplo de estos documentos son, por ejemplo, la Guía para el borrado seguro de datos personales, las Guías de atención a solicitudes de derechos ARCO, así como los criterios y resoluciones emitidas por este instituto.

Los elementos más relevantes de cumplimiento de la normativa en materia de protección de datos personales en posesión en empresas de servicios establecidas en México son:

• Elaboración de avisos de privacidad, cumpliendo con los requisitos de la ley, y redactados con un lenguaje claro y sencillo, que permita entender a los clientes, los alcances del consentimiento que está otorgando, respecto al tratamiento de sus datos personales.

• Una vez que el dato ha sido recabado, garantizar que, durante el ciclo del mismo, se cumplan con los requerimientos señalados en la normativa en la materia y que el tratamiento del dato se haga conforme los principios del derecho a la protección de datos personales.

• Garantizar procedimientos efectivos de ejercicio de derechos de acceso, rectificación, cancelación y oposición (ARCO).

• Establecer cláusulas de confidencialidad de la información, en los contratos que se celebren para establecer relaciones laborales, para que, los trabajadores no puedan sustraer, utilizar o transmitir datos personales o información de la empresa.

• Establecer mecanismos técnicos que limiten el acceso a los datos personales, de acuerdo a las funciones de los puestos de trabajo, así como sistemas de autenticación y esquemas de privacidad por diseño.

• Capacitar al personal que lleve a cabo tratamiento de datos personales, a fin de sensibilizarlo en las implicaciones que podría tener hacer un mal uso de la información y de que conozca la regulación jurídica en la materia.

• Verificar las medidas físicas y digitales de seguridad de la información al interior de la empresa, así como las políticas de ciber seguridad instrumentadas a la luz de la normativa en materia de protección de datos personales.

• Revisar que, en la contratación de servicios de almacenamiento de información se garantice, por lo menos: la obligación de dar aviso en caso de cualquier vulneración a las medidas de seguridad de la plataforma electrónica, la portabilidad y destrucción de los datos al término del contrato, mecanismos alternativos de resolución de controversias como la mediación electrónica, la reputación y políticas de transparencia de la empresa a contratar, que se privilegie la jurisdicción nacional en la prestación del servicio, las medidas compensatorias en caso de vulneraciones y mal uso de la información, así como evitar contratos de adhesión que no atiendan a las características de los datos a almacenar, de acuerdo al tipo de información, servicio y empresa.

• En caso de que sea necesario, contar con un Encargado de los datos personales, se deberá verificar que, en la relación contractual entre Responsable y Encargado, se garantice por lo menos: que el tratamiento de datos personales se hará conforme a las instrucciones del responsable, que no se traten datos personales para finalidades distintas a las instruidas por el Responsable, que se implementen las medidas de seguridad conforme a los instrumentos jurídicos aplicables, que se informe al Responsable cuando ocurra una vulneración a los datos personales que trata por sus instrucciones, que se guarde confidencialidad respecto de los datos personales tratados, que se suprima o devuelvan los datos personales objeto de tratamiento una vez cumplida la relación jurídica con el responsable, (siempre y cuando no exista una previsión legal que exija la conservación de los datos personales), y que se abstenga de transferir los datos personales salvo en el caso de que el Responsable así lo determine, o la comunicación derive de una subcontratación, o por mandato expreso de la autoridad competente.

• Existe la posibilidad de que un organismo certificador avale que las empresas cumplan con la efectiva protección de los datos personales en su poder.

• El artículo 83 del Reglamento de la LFPDPPP prevé un elemento que podrán incorporar los esquemas de autorregulación, al señalar que, "los esquemas de autorregulación vinculante podrán incluir la certificación de los responsables en materia de protección de datos personales. En caso de que el responsable decida someterse a un procedimiento de certificación, ésta deberá ser otorgada por una persona física o moral certificadora ajena al responsable, de conformidad con los criterios que para tal fin establezcan los parámetros a los que refiere el artículo 43, fracción V de la ley".

• El artículo 85 del citado ordenamiento señala que los parámetros de los esquemas de autorregulación "contendrán los mecanismos para acreditar y revocar a las personas físicas certificadoras, así como sus funciones; los criterios generales para otorgar certificados en materia de protección de datos personales".

• Derivado de lo anterior, la normalización y certificación electrónica (NYCE) es el organismo que el INAI y la Secretaría de Economía han acreditado para avalar que las empresas cumplan con la normativa en materia de protección de datos personales.

Referencias:

Estudio de Protección de Datos Personales entre Usuarios y Empresas", Asociación Mexicana de Internet. Recuperado de: https://www.asociaciondeinternet.mx/es/component/remository/Proteccion-de-Datos-Personales/Estudio-de-Proteccion-de-Datos-Personales-entre-Usuarios-y-Empresas/lang,es-es/?Itemid=

Pacto Internacional de Derechos Civiles y Políticos", Naciones Unidas, Derechos Humanos. Recuperado de: http://www.ohchr.org/SP/ProfessionalInterest/Pages/CCPR.aspx