El incumplimiento de las normas sobre protección de datos personales incrementa el riesgo de vulneraciones, afectando a clientes y su confianza en tu empresa.

 

 

Por Rodrigo Orenday

PUBLICIDAD

 

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares fue expedida hace cuatro años, y aún hoy día gran cantidad de empresas y personas obligadas a observar sus disposiciones y las de su Reglamento no han tomado acciones adecuadas para cumplir con dichos ordenamientos. Luego de algunos años de trabajar y dar conferencias sobre la materia en distintos foros, comparto con varios colegas la impresión de que no se ha tomado conciencia de la importancia y valor del tema, motivo por el cual aprovecho esta oportunidad para comunicar algunas ideas al respecto.

 

La protección de datos personales (o la falta de) puede impactar a la empresa

Forbes reportó sobre la filtración de fotografías íntimas de múltiples celebridades almacenadas en la “nube” de Apple, incidente llamado CelebGate, ocurrido días antes del lanzamiento del iPhone 6 y el Apple Watch, y que motivó temores sobre cómo podría afectar a la empresa. Hace tres años, el robo de información de usuarios de Sony PlayStation impactó negativamente sus acciones en un 6%; el año pasado, el robo de información de clientes de la minorista estadounidense Target motivó la dimisión de su chief information officery vicepresidente ejecutiva de Servicios de Tecnología; en Corea del Sur, un incidente similar motivó la renuncia de los directores ejecutivos de KB Financial Group, NongHyup Card y Lotte Card.

Las vulneraciones pueden ocurrir en cualquier país, en cualquier momento, y la omisión en el cumplimiento de las normas sobre protección de datos personales y seguridad de la información incrementan el riesgo de que ocurran, afectando a los clientes o consumidores, quienes pierden confianza en la empresa, lo cual puede representarle importantes repercusiones a ella y a su directiva, en adición a las cuantiosas multas que el Instituto Federal de Acceso a la Información y Protección de Datos puede imponer.

 

¿Cómo se implementa la protección de datos personales?

En términos muy generales, las acciones a tomar pueden resumirse de la siguiente manera:

Análisis. Es preciso identificar los canales por donde se captan y fluyen los datos personales; los Titulares de quienes se captan, las Finalidades a las que se destinan; los datos personales que son tratados por la empresa; los repositorios donde son almacenados o tratados y las personas externas a la empresa a quienes les son comunicados, ya sean prestadores de servicios (“Encargados”), o bien socios comerciales u otros (“Terceros”).

Designar a un privacy officer/department. Dependiendo de la sofisticación de la empresa podría ser necesario estructurar un área multidisciplinaria (ie. Admón., Legal, IT/Sistemas), o bastar con designar a un funcionario que implemente y aplique la política de privacidad de la empresa.

Formalidades documentales. Éstas no se limitan a un aviso de privacidad; la Ley y su Reglamento exigen varias más:

  • Aviso de Privacidad. Hay 3 modalidades, Integral, Simplificado y Corto, con más o menos requisitos; no basta uno solo, pues las Finalidades de Tratamiento de los datos de un cliente no son las mismas de un colaborador, ni de las referencias de éstos.
  • Procedimiento ARCO. En paralelo debe diseñarse el procedimiento para atender solicitudes de derecho de Acceso, Rectificación, Cancelación u Oposición al Tratamiento de datos personales, así como para expresar la negativa a o limitación de dicho Tratamiento, y para revocar el consentimiento que hubiera sido otorgado para ello, pues son elementos que deben constar en el aviso de privacidad.
  • Documentar relaciones con terceras personas. Es preciso distinguir entre Encargados, que prestan servicios de Tratamiento de Datos Personales a la empresa, de los Terceros, a los que se “comunican” esos datos personales y que hacen uso de ellos para sus propios fines, como un “socio comercial” en un cobranding.
  • Política de Privacidad. Es un documento normativo de la empresa, que detalla los procedimientos para el tratamiento y aseguramiento de los datos personales. Debe ser obligatorio y contar con elementos para medir su cumplimiento, así como sanciones por su incumplimiento.

Seguridad. Se divide en física, administrativa y técnica. Dependiendo de la sofisticación de la empresa y del sector en que opere, podrían requerirse medidas más o menos complejas, certificaciones (ie. ISO 27000), etcétera. Debe analizarse el margen entre las medidas existentes y en operación, y aquellas faltantes que fueran necesarias.

Física. Aun cuando no se emplee seguridad perimetral o vigilancia privada, es preciso asegurarse de que expedientes y carpetas sean debidamente resguardados en locales cerrados, y que activos como equipo de cómputo, servidores, etcétera, no puedan ser fácilmente retirados por personas no autorizadas.

Administrativa. El acceso del personal debe ser segmentado de acuerdo con los requerimientos de correspondientes labores. Adicionalmente, los contratos de trabajo o prestación de servicios deben prever la obligación de confidencialidad respecto de los datos personales de manera indefinida, aun cuando el personal se separe de la empresa o deje de prestarle sus servicios.

Técnica. Podría variar considerablemente, pero hay denominadores comunes, como que los sistemas cuenten con cortafuegos y programas contra malware(no solamente antivirus), que el personal establezca factores de autenticación (nombres de usuario y/o passwords) conforme a reglas de sintaxis robustas, que de ser necesario se recurra a la encriptación de la información (como un certificado SSL en una página de comercio electrónico, o de las máquinas del personal), etcétera.

Finalmente, es fundamental considerar que la protección de datos no es un proyecto, sino un proceso en constante evolución, ya sea porque se desarrollen nuevos productos y servicios que requieran privacy by design, se den noticias del surgimiento de vulnerabilidades antes desconocidas, o se lleve a cabo una operación corporativa por la que la responsabilidad sobre las bases de datos deba ser transferida.

 

Rodrigo Orenday es abogado y maestro en derecho, certificado como profesional en protección de datos personales, nivel senior. Su práctica se especializa en cumplimiento normativo incluyendo protección de datos personales.

 

 

Contacto:

Twitter: @orendayabogados

Blog: Orenday Serratos Abogados

 

 

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.

 

Siguientes artículos

Red anticorrupción
Por

Se acordó la creación de una red de agencias anticorrupción. Su propósito, en general, es negar refugio a cualquier pers...