• Print
  • Share

Protección de Datos Personales

La protección de los datos personales es una garantía individual contenida en nuestra Constitución, regulada por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su reglamento, los cuales contienen diversos requisitos a implementar dentro de toda la organización. Además de las sanciones y los delitos penales, las empresas que no implementen estas medidas se exponen a publicidad negativa y pérdida de confianza de sus empleados, clientes y proveedores.

En Crowe Horwath Gossler tenemos expertos en materia de cumplimiento de la Ley de Protección de Datos Personales en Posesión de los Particulares para ofrecerle soluciones encaminadas tanto al cumplimiento de la ley, a la generación de políticas, sistemas de seguridad adecuados y mecanismos para evitar contingencias, multas y litigios. Lo acompañamos en el diagnóstico, implementación, capacitación y seguimiento de los cambios y controles precisos.


Antecedentes:
La creciente necesidad de seguridad personal, los tratados internacionales celebrados por México, y un mundo donde cada día se genera más información, hizo indispensable crear un sistema jurídico acorde con tales necesidades, a nuestro entorno y a nuestros socios comerciales.

Al respecto el pasado 5 de julio de 2010 se publicó en el Diario Oficial de la Federación la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), cuyo principal objetivo es garantizar la protección de tales datos.

LA LFPDPPP es el resultado de la reforma efectuada a los artículos 16 y 73 de la Constitución Política de los Estados Unidos Mexicanos. Mediante el primer numeral se eleva a garantía informativa y mediante el segundo se otorgan facultades al Congreso de la Unión para legislar en la materia.

LA LFPDPPP protege los datos personales que permiten identificar a su titular, así como aquellos que detallan características personales; asimismo los clasifica en datos personales; datos personales sensibles y datos patrimoniales, donde para que otra persona, física o moral, distinta del titular, pueda tratarlos (i.e. obtenerlos, almacenarlos, transferirlos), se requiere la autorización del titular, sea tácita o por escrito, dependiendo el tipo de dato.

La ley regula los derechos que tiene el titular a acceder, rectificar, cancelar u oponerse a su tratamiento, conocidos como derechos ARCO, mismos que se denominan “derechos mínimos de protección al titular de datos personales”.

Dentro de los artículos transitorios de la Ley se estableció un plazo de 12 meses para que el Ejecutivo emitiera el reglamento de la ley, mismo que fue publicado en el Diario Oficial de la Federación el pasado 26 de diciembre de 2011. En ese mismo plazo, las empresas debían formular sus avisos de privacidad y nombrar una persona o un departamento encargado de atender las solicitudes de derechos ARCO. A partir de enero de 2012 todas las personas podrían ejercer sus derechos ARCO ante los responsables y a partir de marzo de 2012 toda persona podría interponer su queja ante el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) en caso de considerar vulnerado su derecho a la autodeterminación informativa por parte del responsable.

Entre 2012 y mayo de 2013, el IFAI ha abierto 94 procedimientos de protección de derechos, de ese total, 81 ya están concluidos y de éstos, en 16 se iniciaron procedimientos de imposición de sanciones, que van de los 40 mil a los 16 millones de pesos, multando tanto a personas físicas por un tratamiento incorrecto de datos personales sensibles, así como a empresas del sector financiero y de servicios.

Análisis de la Ley:

  • Son sujetos: personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales.
  • Tratamiento: recolección, uso, acceso, manejo, aprovechamiento, transferencia, disposición o almacenamiento de datos personales.
  • Bien jurídico tutelado: dato de carácter personal, que identifique o que haga identificable a una persona en los siguientes términos:
 
  • Los datos son siempre propiedad de la persona física.
  • Se exige su consentimiento para tenerlo, cederlo, tratarlo y archivarlos.
  • Incluye los datos relacionados.
  • Se prohíbe la creación de bases de datos especialmente sensibles como sexualidad y salud; religión, afiliación política.
  • Principio de calidad de los datos: estos deben ser ciertos.

  • Deben generarse manuales, políticas y procedimientos. 
  • Determinar la finalidad para el tratamiento de los datos personales.
  • Realizar un análisis jurídico de contratos, solicitudes de ingreso. 
  • Generar documentación soporte.
  • Designar una persona o departamento a cargo de los datos personales, establecer los mecanismos para dar respuesta a los derechos ARCO. 
  • Generar los avisos de privacidad que correspondan. 
  • Capacitar al personal.


Todo lo anterior debe realizarse desde una perspectiva jurídica, de procedimientos y de seguridad de la información para cubrir todos los aspectos de la ley.

Nuestras soluciones están creadas para evitar a nuestros clientes multas y sanciones en caso de una revisión por parte del IFAI, así como la pérdida de confianza de sus empleados y clientes en el tratamiento de datos personales, además de una mala publicidad. El IFAI está efectuando revisiones en varias empresas para comprobar el cumplimiento de la ley. Nuestros servicios generan mejores políticas en la organización, apoyan en el cabio de la cultura organizacional alineada al cumplimiento de las disposiciones, crean consciencia en el uso de datos personales, provocan una depuración de los datos que se tienen, apoyan en el análisis de brechas e inventario de datos y mejoran la seguridad de la información.

Nuestra perspectiva
Nuestra metodología comprende a todas las organizaciones y a cada una de sus áreas: cómo obtiene los datos, cómo los almacena, cómo los transmite y cómo los protege.

Soluciones de cumplimiento de la LFPDPPP:

  • Diagnóstico: Apoyamos a la organización en identificar los datos que está sometiendo a tratamiento, sus fuentes, mapeo y clasificación tanto para determinar si son de empleados o de clientes, si son datos sensibles o patrimoniales y la forma en la que documenta el consentimiento y el cumplimiento de los principios de la ley. Revisión de contratos y documentación legal a fin de determinar si contienen cláusulas de protección de datos, revisión de su aviso de privacidad si lo tienen, revisión de políticas y procedimiento. 
  • Implementación del proyecto de protección de datos: Una vez realizado el diagnóstico, trabajamos en elaboración de los documentos legales necesarios para demostrar el exacto cumplimiento de las disposiciones legales, los diversos avisos de privacidad que se requieran, apoyamos al cliente en creación de un departamento encargado de datos personales, elaboramos manuales para su funcionamiento, elaboramos políticas internas para el tratamiento y destrucción de los datos personales, realizamos el inventario de datos personales y los apoyamos en el análisis de brechas. 
  • Capacitación: Impartimos cursos de capacitación para sus empleados, esto con la finalidad de generar un nuevo ambiente organizacional consciente de la importancia de la protección de datos personales, esto ayuda a evitar malos entendidos por parte de algunos empleados que quisieran usar las quejas al IFAI en contra de la organización. Se genera un plan de capacitación permanente y se da apoyo en la redacción para generar material informativo. De la misma forma, se genera un plan de capacitación para el departamento encargado de datos personales con la finalidad de que tenga toda la información necesaria para atender los requerimientos de los titulares para el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición al tratamiento de sus datos personales.
  • Auditorías anuales: Una vez implementado un proyecto, es necesario realizar una revisión periódica, de preferencia anual, a fin de determinar que las circunstancias sobre las cuales se implementó el proyecto prevalecen, se aplican los controles y políticas adecuados, no ha habido cambio en la finalidad del tratamiento de los datos personales y realizar la debida actualización, para, en su caso, sugerir las adecuaciones y las actualizaciones necesarias al nuevo entorno de la empresa.

Beneficios de la implantación correcta del cumplimiento de la LFPDPPP:
  1. Ser una organización responsable en el manejo de datos personales.
  2. Generar confianza en empleados, proveedores y clientes.
  3. Buena reputación.
  4. Cumplir con una obligación legal.
  5. Identificar riesgos, generar políticas y procedimientos.
  6. Tener bajo control los riesgos.
  7. Realizar una depuración de datos.
  8. Evitar multas y sanciones.
  9. Prevenir el daño a la reputación de la marca.