Lic. Rosalía Castañeda Vivar
Socia de Consultoría
PwC
Los impactos que tendrá la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su reglamento en las organizaciones serán muy relevantes, debido a que implicará nuevas obligaciones, multas, delitos, publicidad negativa, acciones legales por daño moral y pérdida de la confianza de clientes y empleados. Las áreas dentro de la organización que se verán afectadas serán las que recopilen, transfieran o les cedan datos personales y personales sensibles para otorgar un servicio o producto
Situación actual en las organizaciones
Existen hoy en la mayoría de las organizaciones una variedad de canales para captar información y políticas internas de tratamiento de datos; sin embargo, las finalidades con las que se tratan estos datos son poco claras o, excepcionalmente, hay un tratamiento de datos con fines específicos por área y políticas diversas de tratamiento de datos.
Por otra parte, hay desconocimiento sobre la transferencia de datos a terceros, falta de contratos con cláusulas específicas sobre la responsabilidad del tratamiento de esos datos, que si bien se tienen cláusulas con acuerdos de confidencialidad, no son suficientes para el tratamiento de datos personales y personales sensibles, poco control sobre información transferida; asimismo, falta de evidencias del consentimiento de los titulares, falta de procesos para dar atención a las solicitudes de derechos ARCO.
Algunos de los riesgos en el tratamiento de datos son:
- Datos inexactos.
- Fines imprecisos en la recopilación de datos personales y personales sensibles.
- Información desproporcionada conforme al fin.
- Ineficiencia de las Tecnologías de la Información (TI).
- Falta de consentimiento del titular.
Acciones principales para estar en cumplimiento con la ley y el reglamento
El diagnóstico multidisciplinario ayudará a las organizaciones a tener la visibilidad del grado de esfuerzo en recursos, tiempo y costo para implementar las acciones que resulten de este diagnóstico.
Entre los aspectos a llevar acabo desde el punto de vista jurídico son:
- Determinar las políticas para el tratamiento.
- Aprovechar las excepciones que nos brinda la legislación para evitar costos operativos.
- Identificar responsables y garantizar que la organización logre incidir en la conducta de proveedores y socios comerciales.
- Generar una cultura en la organización que permita generar evidencia de cumplimiento a fin de limitar riesgos de sanciones o demandas.
En materia de medidas de seguridad de la información será deseable que el responsable o quien lleve a cabo el tratamiento de datos personales tiene ciertas obligaciones con la finalidad de proteger los datos personales contra:
- Daño.
- Pérdida.
- Alteración.
- Destrucción y uso.
- Acceso o tratamiento no autorizado.
Lo anterior obliga a establecer y mantener ciertas medidas de seguridad en tres dimensiones, veamos el siguiente cuadro:
Asimismo, cabe destacar que las medidas de seguridad no deberán ser menores a las que la organización utiliza para el manejo de su información, en general. Para determinar las medidas de seguridad que se ajusten a las necesidades de la organización, deberá realizarse un análisis de riesgos existentes, las posibles consecuencias que estas medidas de seguridad tengan para los titulares, la sensibilidad de los datos y si se requerirá de desarrollos tecnológicos para la protección y tratamiento de los datos personales y personales sensibles.
En relación con los procesos de negocio se deberán identificar las áreas involucradas en el tratamiento de datos personales y personales sensibles, así como confirmar el alcance en cuanto al flujo, ciclo y tratamiento de datos.
El responsable o departamento de protección de datos tiene dos funciones críticas:
- Dar tratamiento a las solicitudes de los titulares, mediante el análisis de la procedencia de solicitudes de Acceso, Rectificación, Cancelación y Oposición al tratamiento (lo que en la ley y el reglamento se le conoce como derechos ARCO).
- Fomentar la protección de datos personales al interior de la organización a través de programas de capacitación a empleados, sensibilización de clientes, proveedores y socios de negocio.
Finalmente, será necesario determinar los procesos que por su propia naturaleza se verán afectados por esta ley y su reglamento, así como de las áreas involucradas en ellos, con la finalidad de analizar junto con estas si el flujo, ciclo y tratamiento, que hoy se da a los datos, es suficiente para la protección de datos y si se genera la evidencia necesaria al respecto, para cumplir con los requerimientos que el reglamento en materia de protección de datos nos requiere.
Sin duda, es un esfuerzo que las organizaciones tendrán que realizar en el primer trimestre del año, ya que en los meses que restan deberán dedicarlo a la implementación de todas las acciones a realizar para estar en tiempo y cumplir con la nueva cultura de tratamiento de protección de datos personales y personales sensibles.