REVISTA .SEGURIDAD | 1 251 478, 1 251 477 | REVISTA BIMESTRAL

Modelo de autorregulación como parte del sistema de protección de datos personales-II

En la primera parte de este documento se comentó sobre el marco jurídico en México para la protección de datos personales en posesión de los particulares, éste busca garantizar la privacidad de nuestros datos personales y el derecho y control sobre nuestra información personal frente a la posesión por terceros.
 
En particular se habló sobre el artículo 44 de la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) que establece que los particulares responsables de datos personales podrán convenir esquemas de autorregulación vinculante a través de los cuales crearán el compromiso de proteger los datos personales mediante el cumplimiento con lo dispuesto por la Ley, el Reglamento y demás disposiciones aplicables.
 
Se comentó que los esquemas deben estar constituidos por dos elementos básicos: el tipo de esquema de autorregulación vinculante (principios, normas, procedimientos a observar y cumplir) y los mecanismos de control necesarios para la aplicación de tales normas. Finalmente se describieron los objetivos mínimos que debe buscar el esquema de autorregulación:
  • Consolidar una cultura de autoevaluación y autorregulación.
  • Desarrollar un sistema de evaluación permanente.
  • Fortalecer los mecanismos establecidos para la protección de datos.
  • Dar a conocer las acciones encaminadas al cumplimiento de la ley y la protección de datos.
  • Conocer las áreas de oportunidad o mejora en esta materia.
  • Análisis de brecha (gap analisys) sobre el cumplimiento.
  • Mejora continua.
  • Conocer la situación con relación al cumplimiento de la LFPDPPP y su reglamento.

Para alcanzar los objetivos del esquema de autorregulación es conveniente que éste se construya considerando tres fases principales:

Autorregulación

Es el reconocimiento que debe realizar toda organización que tenga en su posesión datos de carácter personal (con base en un diagnóstico y una introspección o percepción interna de la organización) para desarrollar la capacidad reflexiva y así poder observar sus potencialidades, destrezas, habilidades, debilidades y oportunidades con relación a la protección de los datos personales y al cumplimiento de las disposiciones de la LFPDPPP.
 

Autoevaluación

Constituye un acto consciente de apreciación y de valoración de las actividades realizadas. Está relacionada con los instrumentos y mecanismos orientados a identificar, conocer y analizar los elementos fundamentales utilizados para dar cumplimiento a la protección de datos personales, a la LFPDPPP y a su Reglamento.
 
Es por ello que la autoevaluación sobre la efectividad de las medidas de protección de datos personales se entiende como una forma tanto de retroalimentación como de control sobre la correcta aplicación de las medidas físicas, técnicas y administrativas establecidas para la protección de los datos personales, el cumplimiento de la LFPDPPP y su Reglamento, lo que resulta un requisito esencial para el proceso de toma de decisiones.
Durante la autoevaluación se identifica y evalúa la existencia de estos mecanismos y su relación con los propósitos u objetivos asociados a la protección de los datos, la capacidad para aplicar dichos mecanismos en forma sistemática y gestionada, así como el grado en que éstos permiten ejecutar planes para el cumplimiento de la LFPDPPP. Al mismo tiempo permite desarrollar procesos de aprendizaje institucional.
 
Su resultado es la emisión racional y consciente de un juicio acerca de su propio desenvolvimiento en relación a la protección de los datos personales y al cumplimiento de las disposiciones de la LFPDPPP.

 Acreditación

 Un proceso voluntario mediante el cual una organización es capaz de medir la efectividad de sus mecanismos de protección de datos personales y los controles establecidos para el cumplimiento de las disposiciones de la LFPDPPP, además del rendimiento de los mismos frente a estándares reconocidos a nivel nacional o internacional. El proceso de acreditación implica la autoevaluación de la organización, así como una evaluación en detalle por un equipo de expertos externos.
Imagen 1. Ciclo de vida de un esquema de autorregulación vinculante
 
El desarrollo de un esquema de autorregulación inicia con un proceso de autoevaluación en materia de protección de datos personales, permite establecer un sistema de aseguramiento integrado por mecanismos para medir la eficacia en la protección de los datos, consecuencias y medidas correctivas eficaces en caso de incumplimiento. Este esquema corresponde a la autorregulación como máxima expresión del cumplimiento de la LFPDPPP.
 
El proceso de autorregulación comprende ocho aspectos previos a la autoevaluación propiamente dicha, los cuales se especifican a continuación:
  • Diagnóstico situacional. Permite producir conocimientos para la acción y toma de decisiones adecuadas a la realidad y el contexto sobre la protección de los datos personales.
  • Acciones de mejora inmediata. Son acciones que no requieren un proceso de análisis exhaustivo ni una programación detallada. Se desprenden por la sola aplicación del Instrumento de Autoevaluación, no necesitan recursos adicionales y pueden llevarse a cabo en el plazo inmediato. Sólo requieren la determinación de realizarse (decisión). Ejemplo de ello son: la formalización de un procedimiento, diseño y aplicación de un formulario, conformación de un equipo de tarea, etc.
  • Evaluación interna. Se debe realizar en forma permanente y bajo supervisión.
  • Ponderación de factores. Dan soporte para cumplir con la Ley.
  • Recolección de información. Aviso de privacidad, derechos ARCO, medidas y gestión de protección de datos.
  • Juicios valorativos. Basados en indicadores y métricas.
  • Elaboración de gap y plan director (planes de mejora).
  • Evaluación interna y externa (Auditoría).
El sistema de autorregulación debe proporcionar información para demostrar la eficacia en la protección de los datos personales y presentar las áreas de oportunidad donde éste puede ser mejorado. Los puntos de mejora de las medidas de protección de los datos personales pueden corresponder a dos tipos: 
a) Acciones correctivas. Son las acciones encaminadas a eliminar las causas de fallas o incidentes ocurridos en las medidas de protección, su objetivo es prevenir que vuelvan a ocurrir. Las acciones deben ser proporcionales a la gravedad del incidente. 
b) Acciones preventivas. Son las acciones encaminadas a eliminar las causas de fallas o incidentes posibles en las medidas de protección, dichas acciones deben ser proporcionales a las amenazas potenciales. 
Para asegurar la obtención de dicha información es recomendable la asesoría de expertos especializados en la materia, existen en México empresas con experiencia en implementación de estos sistemas de autorregulación.

Recomendaciones

  • Convenir esquemas de autorregulación en grandes empresas o grupos de empresas.
  • Focalizar el esfuerzo en la creación de un sistema y una cultura de autoevaluación para fortalecer los mecanismos de protección.
  • Utilizarlo para conocer la situación sobre el cumplimiento de la Ley, su Reglamento y la normatividad vigente al identificar áreas de oportunidad o mejora y desplegar planes de acción. 
  • Someter su instrumentación a un modelo de madurez.
  • A mayor tratamiento de datos personales, mayor riesgo, para mitigar el impacto obtener los incentivos que establece el Reglamento.
  • Extrapolar los esfuerzos hacia la seguridad de la información, entre otros.

Conclusiones finales

  • Aplicable en grandes empresas o grupos de empresas.
  • Su objetivo, fortalecer los mecanismos de protección de datos.
  • Autorregulación como instrumento de apoyo para la gestión del riesgo.
  • La autorregulación incrementa la efectividad del sistema de gestión de protección de datos personales y el cumplimiento de la legislación en esta materia.
  • Autorregulación como parte de la visión estratégica para crear valor.
  • Utilizar la autorregulación como ventaja competitiva.

Si quieres saber más consulta:

 

 

UNAM

[ CONTACTO ]

Se prohíbe la reproducción total o parcial
de los artículos sin la autorización por escrito de los autores

 

Hecho en México, Universidad Nacional Autónoma de México (UNAM) © Todos los derechos reservados 2017.