¿Cumples con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares?

cumplimiento_mexicoPor Rodrigo Santisteban Maza

Existen una gran diferencia entre cumplir de forma o fondo con la normatividad de protección de datos personales vigente en nuestro país, la primera puede ayudarte a generar una aparente ventaja competitiva, pero puede generar una disminución importante en las utilidades; y la segunda no sólo puede generar una ventaja competitiva, sino que además puede ayudar al crecimiento del negocio, con el consabido crecimiento a corto y mediano plazo de las utilidades.

Pero ¿cómo se determina sí la empresa, o consultorio o negocio cumplen de fondo con la normatividad de protección de datos personales? la respuesta no es tan sencilla, primero se debe recordar que, el cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares no se centra con tener un aviso de privacidad y una política de privacidad que se encuentran guardas en un cajón de la oficina acumulando polvo.

Supongamos que la empresa, o consultorio, o negocio cuentan con esos dos elementos básicos señalados en el párrafo anterior y que demanda la citada Ley, veamos si con eso se cumple de fondo la normatividad de protección.

El Aviso de Privacidad nos ayuda a cumplir con múltiples principios contemplados en la Ley, pero en específico el de información, que implica, comunicar al titular de los datos personales las finalidades por las que se requieren su información, así como, los datos que serán recabados.

Pero ¿cómo determinar si el Aviso de Privacidad que actualmente cuentan cumple de fondo con lo requerido por la normatividad vigente en materia de protección de datos personales? la respuesta es fácil, el Aviso de Privacidad debe estar dando respuesta a las siguientes preguntas:

  • ¿Quién recaba los datos personales? (el responsable).
  • ¿Cuál es su domicilio?
  • ¿Por qué se requieren los datos personales? (finalidad)
  • ¿Qué datos se requieren?
  • En caso de recabar o dar tratamiento a datos personales de tipo patrimoniales o sensibles ¿cuenta con una casilla de oposición o el señalamiento de un procedimiento para manifestar su oposición?
  • ¿A quién se pueden transferir los datos personales?
  • ¿Cuáles son los motivos de esa transferencia?
  • ¿Cuál es el país de destino en dónde se encuentra la empresa que recibirá los datos personales?
  • ¿Cómo se puede oponer el titular a las transferencias?
  • ¿Cómo y ante quién se ejercitan los Derechos ARCO y revocación del consentimiento?
  • ¿Cómo pueden los titulares de los datos personales controlarlos una vez que se hubieren entregado?

La respuesta que se den a esas preguntas, permitirán dar respuesta a una pregunta recurrente que nos hacen ¿cuántos Aviso de Privacidad se requieren?, la cual, se dará a partir de la respuesta que se de a la pregunta ¿por qué se requieren los datos personales?, con la que se podrá fragmentar el grupo poblacional a los que se recaban los datos personales y cada grupo debe contar con su Aviso de Privacidad, esto con el fin de evitar, tener un aviso de privacidad que confunda a los titulares, ya que no son las mismas finalidades y datos que se requieren en el proceso de selección y reclutamiento de personal, que los que se requieren de un cliente.

Teniendo establecido el alcance de los Aviso de Privacidad, es de recordar que estos no son diseñados para ser guardados en alguna gaveta, sino que se deben poner en práctica, y ser sometidos a revisiones periódicas.

Ahora bien, el segundo elemento de fondo es la política de privacidad, la cual, debe dar evidencia de todos y cada uno de los elementos que establece el artículo 47 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, así como, los procesos de gestión de los datos personales, los cuales, deben estar alineados a las políticas de seguridad y de procesamiento del resto de la información, y a la cultura de Responsabilidad Empresarial o Códigos de Ética.

Adecuarse a la normatividad de datos vigente en nuestro país, significa haber introducido cambios en los procesos de gestión, así como la adopción de una cultura preventiva de riesgos y una socialización del tema entre las personas que colaboran en la empresa, consultorio o negocio.

Esa adecuación, no se limita a dar vida a los Aviso de Privacidad y a la Política de Privacidad, sino que además implica la adopción, en su caso, de convenios de transferencias, de confidencialidad en materia de protección de datos personales aunado a las cartas responsivas, así como a los procesos para la atención de los Derechos ARCO y Revocación del Consentimiento, de atención de brechas de seguridad, de limitación de instalación de cookies en las páginas de internet, etc.

Estos son algunos elementos de fondo que se deben tener en cuenta para determinar si la empresa, negocio, o consultorio, cumplen con la Ley, en caso contrario, se está enfrente de un gran riesgo monetario y de imagen corporativa.

Fuente de la imagen: Potencial PyMES.