Go to Top

Las 5 claves para cumplir con la Ley Federal de Protección de Datos Personales por parte de las empresas

Por: Jorge Molet

¡HACKEO A LIVERPOOL! Si, en diciembre del año pasado, una de las cadenas departamentales más grandes de México sufrió un ataque a sus bases de datos electrónicas que, según los analistas, podría costarles  al menos 107 millones de pesos, por eventuales multas y resarcimiento de daños a sus clientes, ya que los criminales sustrajeron los nombres, domicilios, RFC, teléfonos y  números de crédito de “algunos” clientes, sin que hasta ahora se sepan cuantos. Tomando en cuenta que Liverpool es el tercer emisor de tarjetas de crédito en México con 3.6. millones de plásticos, resulta ser un ataque de alto riesgo para los titulares de los datos, ya que fácilmente podrían ser sujetos de suplantación de identidad, robo a la cuenta bancaria publicada, acoso u extorsión.

Un dato interesante es que en México, el año pasado, unas 100 mil pequeñas y medianas empresas sufrieron un ataque cibernético, y a nivel global los bancos sumaron 2 millones de intentos de intromisión a sus bases de datos.

Éste artículo pretende darle 5 sencillos consejos para estar preparado para una situación como ésta, con base en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDP o la Ley

  • Crear una carpeta de cumplimiento y el Departamento de Protección de Datos.

 

Si bien la LFPDP habla de una protección a los datos personales, lo que en realidad se protege es el dueño o Titular (persona física) propietaria de éstos datos personales. Por éste motivo, en la mayor parte de los casos, le Ley protege al Titular de éstos datos, por lo que el Responsable está obligado a acreditar el cumplimiento que da a sus obligaciones.

La forma de acreditar éste cumplimiento, es por medio de documentos que contengan en forma clara, las acciones que ha tomado el Responsable para cumplir con los diferentes aspectos de la Ley. Ésta carpeta deberá contener desde las listas de asistencia a las capacitaciones, las entrevistas a las diferentes áreas para obtener la información sobre los diferentes datos, sistemas de tratamiento y transferencias, los avisos de privacidad, políticas en materia de protección de datos personales, contratos de remisión o transferencia de datos, la creación del Departamento de Protección de Datos Personales y en general todas aquellas actividades tendientes a cumplir con la Ley.

Para conseguir apoyo en éste ejercicio, y capacitarte para lograrlo, puedes visitar  http://www.protecciondedatospersonales.org/taller-practico-para-implementar-la-ley-de-proteccion-de-datos-en-mi-organizacion/

 

  • Capacitación al interior de la organización

 

Uno de los principales objetivos de la Ley, es permear la política de privacidad a toda la organización, ya que si bien el Responsable de la información es la empresa y ésta puede ser sancionada administrativamente en caso de un incumplimiento a la Ley, los autorizados a tener acceso a las bases de datos, pueden cometer un delito en caso de vulnerar estas bases de datos o recolectar datos en forma engañosa y obtener un lucro de ello.[1]

Asimismo, es sabido que más del 80% de las vulneraciones de información en las empresas, se da desde el interior de la organización y no desde el exterior, por lo que resulta particularmente importante llevar a cabo capacitaciones constantes en la materia, a efecto de que nuestros empleados sepan las consecuencias del mal uso de los datos personales que trabajan, tanto para la empresa como para ellos mismos.

Excelentes contenidos y capacitación, podrán encontrar en http://www.protecciondedatospersonales.org/taller-practico-para-implementar-la-ley-de-proteccion-de-datos-en-mi-organizacion/

  • Crea tu aviso de Privacidad.

 

Por la forma en que ha sido manejado por parte del IFAI, el aviso de privacidad resulta ser un instrumento fundamental para el cumplimiento de ésta regulación. Vale la pena mencionar que el aviso de privacidad debiera ser el último eslabón de una serie de actividades de análisis de los datos que se tratan al interior de la empresa, así como de los diferentes sistemas de tratamiento, entre otras actividades, del cual obtendríamos la información necesaria para elaborar el aviso de privacidad. No olvidemos que éste documento es un contrato, por lo que crear  y poner a disposición un aviso de privacidad crea derechos para el Titular  y obligaciones para el Responsable de los mismos, obligaciones que debemos tener muy presentes.

Genera tu aviso de privacidad en http://www.protecciondedatospersonales.org/crea-tu-aviso-de-privacidad-2/

  • Derechos ARCO.

 

Los derechos de acceso, rectificación, cancelación y oposición (ARCO), son los derechos que tiene todo Titular de datos personales, los cuales pueden ser ejercidos en cualquier momento por éste o su representante legal ante el Responsable. El aviso de privacidad debe señalar claramente el procedimiento para el ejercicio de éstos derechos.

Es importante saber que como Responsable de las bases de datos, la Ley nos obliga a contar con un procedimiento específico, disponible en todo momento a los Titulares para su ejercicio. En caso de recibir una solicitud de ésta naturaleza, te recomendamos: (i) Evita contestar en forma inmediata; (ii) Si cuentas ya con un Departamento de Protección de Datos Personales, él o ella es la persona que deberá dar contestación a la misma, si no lo tienes, busca asesoría profesional; (iii) Verifica que se cumplan los requisitos que exige la ley para éstos procedimientos (Nombre del Titular de los datos y algún medio para notificarle la respuesta; Poder en caso de que se ejerza por medio de un representante legal; Descripción de los datos sobre los cuales se busca ejercer el derecho y cualquier elemento adicional que ayude a la localización de la información);  (iii) Limítate a contestar lo que se te solicita.

Puedes obtener tu Kit de Cumplimiento en materia de desahogo de derechos ARCO en http://www.protecciondedatospersonales.org/kit-de-proteccion-de-datos/ o participa en nuestros webinar  especializados en http://www.protecciondedatospersonales.org/producto/curso-express-como-dar-respuesta-las-solicitudes-de-derechos-arco/

  • Medidas de seguridad.

 

El reglamento de la Ley contiene un capítulo específico para determinar y documentar las medidas de seguridad físicas, administrativas y técnicas que la empresa implementa.[2] Estos controles o grupos de controles de seguridad para proteger los datos personales, deben de vincularse con las recomendaciones en materia de seguridad de datos personales que ha emitido la autoridad.[3]

Para determinar las medidas de seguridad al interior de la empresa, se deben tomar en cuenta factores como: (i) El riesgo inherente por tipo de dato personal; (ii) La sensibilidad de los datos personales tratados; (iii) El desarrollo tecnológico; (iv) Las posibles consecuencias de una vulneración para los titulares; (v) El número de titulares; (vi) Las vulnerabilidades previas ocurridas en los sistemas de tratamiento; (vii) El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión; y (viii) Demás factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o regulación aplicable al Responsable.

Al determinar lo anterior, el Responsable deberá considerar, documentar y actualizar recurrentemente acciones tales como: (i) La elaboración de un inventario de datos personales y de los sistemas de tratamiento; (ii) Documentar las funciones y obligaciones de las personas que traten datos personales; (iii) Contar con un análisis de riesgos de datos personales; (iv) IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas implementadas de manera efectiva; (v) Realizar el análisis de brecha; (vi) Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes; (vii) Llevar a cabo revisiones o auditorías; (viii) Capacitar al personal que efectúe el tratamiento; y (ix) Realizar un registro de los medios de almacenamiento de los datos personales.

Herramientas muy útiles para lograr éste objetivo, los encontrarás en http://www.protecciondedatospersonales.org/kit-de-proteccion-de-datos/

Ya tenemos 4 años y medio con la LFPDP en México y el mismo está comenzando a evolucionar de un tema consultivo o cuestiones litigiosas, en las que cada vez con más frecuencia, coloca a las empresas en situaciones difíciles en caso de no tomar medidas para cumplir con la Ley.

[1] Arts. 67 y 68 LFPDP.

[2] Ref. Capítulo III del Reglamento de la LFPDP.

[3] Ref. DOF. 30 de octubre de 2013. Recomendaciones en materia de seguridad de datos personales.

, , , , ,

Deja un comentario