Con la entrada en vigor de la Ley para Regular las Instituciones de Tecnología Financiera (“Ley Fintech”), las Instituciones de Financiamiento Colectivo (crowdfunding) y de Fondos de Pago Electrónico han estado trabajando considerablemente para cumplir con cada punto regulatorio de esta llamada Ley Fintech, pero, ¿se estarán olvidando de cumplir con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares? de ser así, ¿cuál sería el riesgo de no cumplir con esta norma?
Aunque es lógico que cumplir con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares –en adelante identificada como “Ley de Datos Personales”– no es un tema prioritario para las Fintech, en consecuencia del momento que viven, es sumamente importante que tomen en cuenta esta norma, pues no hacerlo acarrea un riesgo importante para este tipo de empresas en la que el flujo de información personal es esencial para su operación en el día a día. Pudiendo ser sujetos a una sanción de hasta 54 millones de pesos.
Pero, ¿cómo y por qué cumplir con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares?
De conformidad al artículo 2 de la Ley de Datos Personales, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales deberán de cumplir con todas y cada una de las obligaciones que emanan de este ordenamiento.
Es una realidad que tras la publicación de esta Ley se han generado diversas dudas respecto a las medidas que tiene que implementar una empresa para cumplir con la Ley de Datos Personales, entre ellas las Fintech.
En la actualidad se cree que el Aviso de Privacidad es el elemento fundamental para cumplir con esta Ley, lo cual trae un riesgo para quienes así lo consideren, pues el Aviso de Privacidad debe ser “a la medida”; el Aviso de Privacidad representa el resultado de un proceso complejo al interior de la organización, que va desde documentar un inventario de datos personales, conocer el ciclo de vida de los datos, documentar el flujo de la información, establecer las reglas de su tratamiento, establecer las reglas para compartir la información (remisiones y transferencias), capacitar al personal, desarrollar políticas internas, documentar la eliminación de los datos cuando ya no son necesarios, así como informar a los titulares las finalidades del tratamiento de sus datos personales, entre mucho otros que veremos más adelante.
Una de las cuestiones mas importante para las FINETCH en su carácter de responsables de los datos personales de sus trabajadores, clientes, prospectos, proveedores, etc., es precisamente cumplir con el “principio de responsabilidad”. Debido a ello, el Reglamento de la Ley de Datos Personales en su artículo 48 dispone que los responsables deberán implementar un Sistema de Gestión de Seguridad de Datos Personales, el cuál comprende, las siguientes actividades:
- Elaborar políticas de protección de datos personales obligatorios y exigibles al interior de la empresa.
- Poner en práctica un programa de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales.
- Establecer un sistema de supervisión y vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento.
- Destinar recursos para la instrumentación de los programas y políticas de privacidad.
- Instrumentar un procedimiento la evaluación de impacto por la implementación de nuevos productos, servicios, tecnologías y modelos de negocios, así como para mitigarlos.
- Revisar periódicamente las políticas y programas de seguridad.
- Establecer procedimientos para recibir y responder dudas y quejas de los titulares.
- Disponer de mecanismos para el cumplimiento de las políticas y programas de privacidad, así como de sanciones por su incumplimiento.
- Establecer medidas para el aseguramiento de los datos personales.
- Establecer medidas para la trazabilidad de los datos personales.
Por otra parte, en relación con la obligación de establecer medidas para el aseguramiento de los datos personales por parte de los responsables, el Reglamento de la Ley de Datos Personales en su artículo 61 enlista las acciones que deberán llevarse a cabo para cumplir con dichas obligaciones, las cuales, se mencionan a continuación:
- Elaborar un inventario de datos personales y de los sistemas para su tratamiento.
- Determinar las funciones y obligaciones de las personas que traten datos personales.
- Realizar un análisis de riesgos de datos personales.
- Establecer las medidas de seguridad.
- Realizar un análisis de brecha.
- Elaborar un plan de trabajo para la implementación de las medidas de seguridad.
- Llevar a cabo revisiones o auditorías.
- Capacitar al personal que efectúe tratamiento de datos personales.
- Realizar un registro de los medios de almacenamiento de los datos personales.
Como podemos observar, el cumplimiento a la Ley de Datos Personales no es un tema sencillo. La clave está en generar una estrategia para cumplir con los 8 principios (licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad) y los dos deberes (seguridad y confidencialidad). Esta estrategia debe ser –reitero– “a la medida” de cada Fintech, pues en mi experiencia he podido observar que varias Fintech realizan un “copy”- “paste” de Avisos de Privacidad que encuentran en Internet, lo cual, no quiere decir que sean correctos y de conformidad con los artículos 63 y 64 de la Ley de Datos Personales, esto pudiera ser sancionado con hasta 27 millones de pesos; sin dejar de lado que el incumplimiento a dicha norma pudiera acarrear una sanción de hasta 54 millones de pesos aproximadamente.
Debido a lo anterior, es importante que las Fintech consideren, o por lo menos, tengan en el radar cumplir con la Ley de Datos Personales, de preferencia a la par de este proceso de regularización que están viviendo, pues la ley Fintech obliga a las Instituciones de Tecnología Financiera a desarrollar políticas y procesos que tienen un impacto significativo en materia de datos personales, y tener que modificarlos a futuro para cumplir con la Ley de Datos Personales, generaría un costo operativo que pudiera ser significativo para la empresa.