REVISTA .SEGURIDAD | 1 251 478, 1 251 477 | REVISTA BIMESTRAL

Modelo de autorregulación como parte del sistema de protección de datos personales – Parte I

Modelo de autorregulación como parte del sistema de protección de datos personales, portada

En junio de 2006 se publica en el Diario Oficial de la Federación la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (LFTAIPG), incorporando la protección de datos personales en el campo de estudio del derecho informático mexicano y considerando como sujetos obligados a los poderes de la unión, los órganos constitucionales autónomos o con autonomía legal y a cualquier otra entidad federal. En julio de 2010 se publica la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) considerando como sujetos obligados a los particulares de carácter privado, sean personas físicas o morales, que lleven a cabo el tratamiento de datos personales.

El tratamiento de datos personales se refiere a la obtención, uso, divulgación o almacenamiento de datos personales por cualquier medio. Su uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

Ambas leyes tienen como objeto garantizar privacidad de nuestros datos personales y nos otorga el derecho y control sobre nuestra propia información personal frente a la posesión por terceros, para que su tratamiento sea legítimo sin importar si es automatizado, manual o por parte de las entidades del sector público o privado. Es decir, no sólo aplica sobre aquella información albergada en sistemas computacionales, sino en cualquier medio (soporte) que permita su utilización a través de la generación, acceso, almacenamiento, procesamiento, transferencia y disposición final.

En este artículo nos referiremos en particular al marco jurídico vigente para la protección de datos personales en posesión de los particulares, el cual está integrado por:

  • Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP)
  • Reglamento de la LFPDPPP
  • Criterios Generales para la Instrumentación de las Medidas Compensatorias sin la Autorización Expresa del IFAI
  • Lineamientos sobre el Contenido y Alcance de los Avisos de Privacidad
  • Parámetros para el Correcto Desarrollo de los Esquemas de Autorregulación Vinculante
  • Recomendaciones en Materia de Seguridad de Datos Personales

Marco jurídico para la protección de datos personales en posesión de particulares-Revista .Seguridad

Fig. 1 Marco jurídico para la protección de datos personales en posesión de los particulares

 

Como punto de partida tomaremos el artículo 44 de la LFPDPPP que establece que los particulares responsables de datos personales podrán convenir entre ellos o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante, una actividad a través de la cual los responsables se comprometen a la protección de datos personales mediante el cumplimiento con lo dispuesto por la Ley, el Reglamento y demás disposiciones aplicables.

Dichos esquemas de autorregulación vinculante deberán contener mecanismos para medir su eficacia en la protección de los datos y las posibles consecuencias, así como las medidas correctivas eficaces en caso de incumplimiento. Se debe contar con reglas o estándares específicos que permitan armonizar los tratamientos de datos personales efectuados por los adheridos, facilitar el ejercicio de los derechos de los titulares de los datos personales, además de prever consecuencias y medidas correctivas eficaces en caso de incumplimiento.

Los esquemas deben estar constituidos por dos elementos básicos: por un lado, el tipo de esquema de autorregulación vinculante en el que se recogen los principios, normas y procedimientos que los miembros adheridos se comprometen a observar y cumplir y, por otro lado, los mecanismos de control necesarios para la aplicación de tales normas.

El Reglamento en su Capítulo VI: Incentivos establece que la incorporación de esquemas de autorregulación como parte de las medidas de protección de datos personales será tomada en consideración para determinar la atenuación de sanciones. El IFAI podrá determinar mecanismos que faciliten procesos administrativos ante el mismo, así como otros incentivos.

En el Capítulo VI indica que los objetivos de la autorregulación están orientados a coadyuvar al cumplimiento del principio de responsabilidad, establecer procesos y prácticas para la protección de datos, además de establecer políticas, procesos y buenas prácticas. De forma voluntaria, el responsable puede obtener certificaciones o constancias de cumplimiento de la Ley para identificar si cuenta con políticas de privacidad alineadas al cumplimiento de la LFPDPPP.

También indica que la adopción de estos esquemas facilita la coordinación entre esquemas de autorregulación reconocidos internacionalmente, promueve el compromiso de los responsables, encauza mecanismos de solución alternativa de controversias y permite las transferencias de datos personales entre responsables con esquemas de autorregulación como puerto seguro.

Puerto Seguro consta de siete principios básicos: i) notificación (información a los afectados), ii) opción (posibilidad de oposición de los afectados), iii) transferencia a terceros, iv) seguridad, v) integridad de los datos, vi) aplicación (procedimientos para la satisfacción de los derechos de los afectados) y vii) derecho de acceso.  

En enero de 2013 se publican los Parámetros para el Correcto Desarrollo de los Esquemas de Autorregulación Vinculante en el Diario Oficial de la Federación, su finalidad es crear las bases necesarias para que los particulares, sean éstos personas físicas o morales, cuenten con elementos para la elaboración, conformación y aplicación de los esquemas de autorregulación vinculante en materia de protección de datos personales con apego a lo previsto por la LFPDPPP.

Estos parámetros incluyen:

  • Contenido mínimo. Complementariedad, armonización, normatividad aplicable, requisitos, forma de administración, sistema de supervisión y vigilancia, consecuencias, medidas correctivas y compromisos adicionales.
  • Contenidos complementarios. Mecanismos alternativos de solución de controversias, medidas de seguridad adicionales a las establecidas en la Ley y el Reglamento, cláusulas tipo para la obtención del consentimiento, ya sea para el tratamiento o la transferencia de los datos personales, cláusulas tipo para informar a los titulares del tratamiento de sus datos personales cuando éstos no sean obtenidos de manera personal o directa; o avisos de privacidad estándar que resulten aplicables a un sector o industria y cuya única diferencia sea el tipo de tratamientos exclusivos a los que los responsables someten los datos personales de los titulares.
  • Relacionado al sistema de certificación en materia de protección de datos personales.

Un esquema de autorregulación en materia de protección de datos personales se puede considerar como máxima expresión del cumplimiento de la LFPDPPP, ya que es un sistema de aseguramiento integrado por mecanismos para medir la eficacia en la protección de los datos, determina las consecuencias del incumplimiento de las medidas de protección y establece medidas correctivas eficaces.

El esquema de autorregulación puede traducirse en códigos deontológicos o de buena práctica profesional, sellos de confianza u otros mecanismos, asimismo puede contener reglas o estándares específicos que permitan armonizar los tratamientos de datos y facilitar el ejercicio de los derechos de los titulares.

El enfoque que debemos dar a la creación de un esquema de autorregulación vinculante en materia de protección de datos personales es principalmente el de establecer las medidas que nos van a permitir direccionar, sensibilizar, establecer, supervisar, mantener e incrementar la efectividad de las medidas de protección físicas, técnicas y administrativas para la protección de los datos personales y a su vez, asegurar el cumplimiento de las obligaciones establecidas por la LFPDPPP.

 

Aspectos que debe cumplir el modelo de autorregulación vinculante

Fig. 2 Aspectos que debe cubrir el esquema de autorregulación vinculante para dar cumplimiento con la ley en materia de protección de datos personales

Los principios torales (principios que sostienen el modelo de autorregulación) que deben ser observados en el esquema de autorregulación son:

I. Voluntariedad en la adhesión o adopción del esquema de autorregulación vinculante.

II. Obligatoriedad, ya que el esquema de autorregulación vinculante constriñe a quien se adhiere o lo adopta.

III. Transparencia relativa a las prácticas que siguen en materia de protección de datos personales, salvo aquellos aspectos que los responsables señalen como confidenciales o reservados.

IV. Responsabilidad, materializa la obligación de velar por el cumplimiento de los principios de protección de datos personales previstos por la LFPDPPP (licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad) en relación con los datos personales que posee o que haya comunicado.

V. Imparcialidad, los esquemas de autorregulación vinculante deben organizarse y operar de forma que salvaguarden la objetividad e imparcialidad de sus actividades.

 

Principios torales del esquema de autorregulación vinculante - Revista .Seguridad

Fig. 3 Principios torales del esquema de autorregulación vinculante

 

Los objetivos mínimos que debe buscar el esquema de autorregulación son:

Descarga Revista .Seguridad en PDF

  • Consolidar una cultura de autoevaluación y autorregulación en materia de protección de datos personales.
  • Desarrollar un sistema de evaluación permanente con referencia a la protección de datos de carácter personal.
  • Fortalecer permanentemente los mecanismos físicos, tecnológicos y administrativos establecidos para la protección de datos de carácter personal y obtener el reconocimiento por parte de los grupos de interés[1] como una empresa que protege los datos personales que le son confiados.
  • Dar a conocer a la comunidad de la empresa las acciones encaminadas al cumplimiento de la LFPDPPP y la protección de datos de carácter personal.
  • Conocer las áreas de oportunidad o mejora para posteriormente priorizarlas y desplegar planes de acción.
  • Articular los resultados de la evaluación con análisis de brecha (gap analisys) sobre el cumplimiento y el plan director para instrumentar de forma ordenada las acciones de mejora encaminadas a la protección de los datos de las personas.
  • Mejorar la protección de los datos personales en forma continua y creciente mediante acciones tendientes a reforzarlas.
  • Informar al grupo responsable de la gestión de la protección de los datos personales y al grupo directivo sobre cómo se está gestionando la protección de datos personales.
  • Conocer en qué situación está la organización con relación al cumplimiento de la LFPDPPP y su reglamento a través de diagnósticos de cumplimiento y auditorías.

Para lograr estos objetivos mínimos, es necesario implementar un plan de acción en tres fases, éstas se detallarán en la próxima entrega de este artículo, junto con una serie de recomendaciones finales y conclusiones.


[1] El término grupo de interés (stakeholders) se ha ido imponiendo progresivamente para designar a todas las personas, grupos u organizaciones que mantienen una relación directa o indirecta con la empresa; están dentro y fuera de la empresa y pueden afectar o ser afectadas por las actividades de la empresa, positiva o negativamente. Las empresas con su actividad generan impacto directo o indirecto que afecta a sus grupos de interés, a los cuales es necesario identificar y analizar. (http://rse.xunta.es/index.php?option=com_content&view=article&id=19&Item...)

Si quieres saber más consulta:

UNAM

[ CONTACTO ]

Se prohíbe la reproducción total o parcial
de los artículos sin la autorización por escrito de los autores

 

Hecho en México, Universidad Nacional Autónoma de México (UNAM) © Todos los derechos reservados 2017.