La autoregulación en la protección de datos personales

Conoce qué son y cómo operan los Esquemas de Autorregulación Vinculante como una forma más sencilla y fácil de cumplir con la Ley Federal de Protección de Datos Personales     Por Rodrigo Orenday*   El programa ProSoft de Secretaría de Economía, IFAI y Normalización y Certificación Electrónica recién concluyeron una gira por el interior de la República, en la que tuvimos oportunidad de colaborar, para difundir los esquemas de autorregulación vinculante (“EAVs”) y dar a conocer los beneficios que ello representa para los obligados al cumplimiento de la Ley Federal de Protección de Datos Personales. El conocimiento de esta figura es importante por los considerables beneficios prácticos que puede ofrecer a dichos obligados y a las organizaciones gremiales o profesionales que los agrupan, y que se exponen someramente a continuación.   ¿Qué es un esquema de autorregulación vinculante? La Ley de Protección de Datos prevé la posibilidad de que los Responsables (del Tratamiento de Datos Personales) convengan entre ellos, o con organizaciones como las Cámaras de Comercio, EAVs que complementen lo previsto en dicha Ley, contengan reglas para armonizar el tratamiento de datos efectuados por sus adherentes y faciliten el ejercicio de los derechos de los titulares, mediante códigos, buenas prácticas, sellos de confianza u otros mecanismos. La citada Ley es general y conceptualizada como el mínimo nivel de cumplimiento en materia de protección de datos, pero no es el único ordenamiento que los Responsables deban observar al dar Tratamiento a Datos Personales; por mencionar algunas, la Ley General de Salud y sus Reglamentos, la Ley Federal del Trabajo, la Ley para la Transparencia y Ordenamiento de los Servicios Financieros y las Disposiciones de Profeco y Condusef contienen normas que también son aplicables al manejo de Datos Personales. Los EAVs son útiles en tanto que pueden incluir principios, normas y procedimientos para adecuar y armonizar la normatividad aplicable en materia de protección de datos a los sectores específicos y resolver situaciones particulares no previstas por la norma general. Hay 3 tipos de EAVs previstos:

1. “De Armonización”, que adaptan la normativa de protección de datos personales a un sector en particular.
2. “Con Validación”, evaluados por el IFAI, que elevan los estándares de protección de datos personales y buscan adoptar las mejores prácticas en la materia, y
3. “Con Certificación Reconocida” igualmente evaluados por el IFAI, pero además certificados por un organismo de certificación en materia de protección de datos personales.

  ¿Qué debe contener un EAV? Primero debe determinarse el alcance del EAV, que puede ser TOTAL, si abarca el cumplimiento de todos los Principios, deberes y obligaciones previstos por la Ley, su Reglamento, los Parámetros y demás normatividad aplicable al/los Responsable(s) que se sujeten a él, o PARCIAL, si sólo se establece con respecto a algunos de ellos. En ambos casos pueden establecerse para la operación de un solo Responsable o Encargado, o para un grupo de ellos, como el caso de los miembros o afiliados a una Cámara u otro grupo empresarial. Si el EAV es aplicable a un grupo de Responsables o Encargados, debe nombrarse a un Administrador para que lo coordine, gestione su inscripción ante el IFAI, verifique el cumplimiento de quienes se adhieran al EAV, aplique sanciones por su incumplimiento, etc., y ello es una oportunidad interesante para dichas Cámara, Asociaciones y agrupaciones, puesto que un EAV es un servicio de valor agregado que puede serle ofrecido a sus miembros o afiliados, e incluso incrementar su afiliación o membrecía. Los EAVs deben además incluir un Sistema de Gestión de Datos Personales (“SGDP”), que rija la dirección, operación y control de procesos para proteger sistemática y continuamente los datos personales en su posesión. Además pueden incluirse en el EAV medios alternativos de solución de controversias con los Titulares de los Datos Personales utilizados, a fin de ofrecer vías de solución que no involucren a la autoridad, lo cual podría prevenir el riesgo de una acción por parte de ésta. Tratándose de EAVs con certificación reconocida, además es necesario determinar el organismo de certificación que se encargará de verificar el cumplimiento de los adherentes a un EAV con lo requerido por tal esquema y, en su caso, de otorgar la certificación correspondiente.   ¿Qué beneficios ofrece un EAV? El primero y más obvio es la atenuación, por disposición expresa del Reglamento de la Ley, de las sanciones que pudieran ser impuestas por el IFAI al Responsable que, no obstante ser participante en un EAV hubiera incurrido en una violación a la Ley, su Reglamento o las normas del EAV. Como Segundo la mayor certidumbre en cuanto a sus obligaciones en materia de protección de datos, puesto que además de la normatividad en la materia la gran mayoría deben cumplir con la normatividad de sus sectores, ya sean servicios financieros, de salud, educativos, etc., y parte esencial de los EAVs consiste en armonizar ambos grupos de disposiciones. Un tercero son los distintivos o certificaciones que los adherentes que cumplan con ellos podrán ostentar, según se trate de EAVs con validación o certificación reconocida, y que transmitirán una imagen de cumplimiento que mejorará su imagen tanto ante el público, generando mayor confianza de sus clientes o usuarios, como ante las autoridades tanto de protección de datos como las sectoriales que rijan sus actividades. Como cuarto está que al adherirse a un EAV los Responsables o Encargados no tendrán que desarrollar por sí solos el cumplimiento normativo en materia de protección de datos, puesto que el SGDP habrá sido determinado por el Administrador; el trabajo a realizar se limitará a su implementación respecto del adherente y las auditorías para verificar o certificar que en efecto cumplan con lo requerido para obtener el distintivo o certificado correspondiente. De acuerdo con los Parámetros para los EAVs publicados en el Diario Oficial de la Federación el 29 de mayo de este año, el IFAI deberá comenzar a tramitar las solicitudes para su validación y reconocimiento, y pondrá en operación el Registro respectivo entre los meses de marzo y abril del año entrante, lo cual da la oportunidad para ser proactivos en el tema, comenzar con el diseño e implementación de estos medios de cumplimiento en este 2015 que pronto iniciará.     *Rodrigo Orenday es abogado y maestro en derecho, certificado como profesional en protección de datos personales, nivel senior. Su práctica se especializa en cumplimiento normativo incluyendo protección de datos personales.     Contacto: Twitter: @orendayabogados Blog: Orenday Serratos Abogados       *Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.