Es prioritario para las empresas de nuestro país adecuar sus políticas de protección de datos personales y avisos de privacidad a la denominada “nueva normalidad”.
Es un hecho que la pandemia generada por el COVID-19 tomó al mundo por sorpresa. Muchas de las empresas de nuestro país no estaban preparadas para trabajar de forma remota, muchas de ellas salieron de sus oficinas de emergencia, autorizando a sus colaboradores a sacar las computadoras y llevarlas a casa, autorizando el uso de correos electrónicos en dispositivos personales, entregando contraseñas y accesos a plataformas privadas, todo esto sin percatarse que el control de sus bases de datos se iba perdiendo poco a poco y que las mismas podían estar –o están– en riesgo.
Pero ahora, ahora se piensa en el regreso. Es una realidad que hoy las empresas ya planean reactivar sus actividades en esta “nueva normalidad”. Un regreso que sin duda será diferente, un regreso en el que toman relevancia temas como el de la transformación digital, la seguridad de la información, la privacidad y la protección de datos personales.
En virtud de lo anterior, es indispensable conocer el impacto jurídico que tendrá este nuevo regreso en la organizaciones y conocer sus riesgos.
Ahora bien, por lo que hace al cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, desde su publicación en el año 2010 se obliga a las empresas que traten datos personales –entre otras– a contar con un Aviso de Privacidad en el que se informen qué datos personales de los titulares recaban y las finalidades de su tratamiento.
Posteriormente, con la entrada en vigor del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, podemos observar realmente el alcance normativo de dicho ordenamiento y todo lo que se tiene que hacer para cumplir con el mismo. Destacando la obligación de cumplir con los deberes de seguridad y confidencialidad así como los principios de información, licitud, lealtad, finalidad, consentimiento, responsabilidad, calidad y proporcionalidad.
Al respecto, el propio reglamento para cumplir con el principio de responsabilidad obliga a los responsables, es decir, a las empresas que tratan datos personales, a tener y aplicar políticas de protección de datos, llevar a cabo programas de capacitación al interior de la empresa, establecer sistemas de auditoría y vigilancia para el cumplimiento de las políticas, establecer medidas de seguridad físicas, técnicas y administrativas, entre otras.
Ahora bien, en el aspecto práctico y realista del asunto que nos ocupa, sabemos que dentro de las medidas de seguridad sanitaria que se proponen para un regreso seguro está el tomar la temperatura a todas las personas antes de ingresar a edificios, oficinas, plantas laborales, etc. Esta toma de temperatura –por ejemplo– puede ser realizada a través de dispositivos o termómetros comunes que no guardan registros, o bien, mediante arcos que miden la temperatura corporal e incluso pueden llegar a contar con tecnología de reconocimiento facial y si guardar los registros. Otras medidas que seguramente se implementarán en este regreso es recabar información sobre las actividades de los trabajadores fuera de los establecimientos de trabajo para conocer su nivel de riesgo por exposición, antecedentes de familiares de los trabajadores que hayan podido haber estado contagiados o que estén expuestos, datos necesarios para detectar grupos vulnerables, pruebas a través de oximetros e incluso pruebas médicas de COVID-19 y/o inmunidad.
Sobre el particular, si hacemos un análisis de nuestro Avisos de Privacidad actual –en su mayoría– nos daremos cuenta que las empresas no solían recabar este tipo información, simple y sencillamente por que no era necesaria. En consecuencia a ello, al recabar datos personales nuevos, para finalidades distintas e incluso muchos de ellos datos de carácter sensible, los responsables (empresas) deberán modificar sus Avisos de Privacidad y adaptarlos a su nueva realidad. Debiendo incluso –cuando aplique– recabar de nuevo el consentimiento expreso y por escrito de los titulares en los nuevos Avisos de Privacidad.
Por otra parte, es importante aclarar que esto no solo puede impactar a los Avisos de Privacidad, sino a todo el entorno de la organización como las políticas y procesos internos, razón por la cual será de suma importancia hacer un profundo análisis de las Políticas de Seguridad de la Información, Privacidad y Protección de Datos Personales de la empresa, pues también es una realidad que el regreso –en parte– será escalonado y eso quiere decir que el home office o trabajo remoto continuará, e incluso, en muchos caso será permanente. Es por ello que es indispensable hacer una evaluación de impacto al respecto, recuperar lo antes posible el control de la información de la empresa y cumplir con Ley Federal de Protección de Datos Personales en Posesión de Particulares y demás normativa en la materia.
Asimismo, muchas empresas comenzarán a desarrollar nuevos productos o servicios que les permitan ser mas competitivos y atender los retos de la crisis que el mundo enfrenta. Muchos de estos productos o estrategia de negocio como pueden ser incluso la digitalización de sus bases de datos y automatización de procesos, pueden tener un impacto importante en temas de protección de datos personales y seguridad de la información. Razón por la cual se recomienda también hacer una evaluación del impacto sobre estas estrategias de negocio y considerarlas para el debido cumplimiento a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su reglamento.
No quiero dejar de lado el riesgo que conlleva no cumplir. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares dispone de diversas sanciones a los responsable que no cumplan con lo que esta norma dispone. En particular, las sanciones pueden ser desde una amonestación, hasta multas económicas que pueden alcanzar los cincuenta y cinco millones de pesos. Además, no podemos dejar de mencionar sobre el riesgo de sufrir un impacto en la reputación de la empresa y las posibles responsabilidades de carácter penal por la inobservancia de medidas y controles que pudieran propiciar algún delito de los establecidos en la propia Ley Federal de Protección de Datos Personales en Posesión de Particulares.