Tras la publicación de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) se han generado diversas dudas respecto a las medidas que tiene que implementar una empresa para cumplir con esta norma.
En general, se creía que el Aviso de Privacidad era el elemento fundamental para cumplir con la LFPDPPP, lo cual trae un riesgo para quienes así lo consideren, pues el Aviso de Privacidad no resuelve todos los problemas, ya que el Aviso únicamente presupone una obligación de muchas otras, como, por ejemplo, contar con un Data Privacy Officer (DPO) o departamento encargado de la protección de datos personales al interior de una empresa.
Esta obligación deriva del artículo 30 de la LFPDPPP, el cual a la letra refiere lo siguiente:
“Artículo 30. Todo responsable deberá designar a una persona, o departamento de datos personales, quien dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere la presente Ley. Asimismo fomentará la protección de datos personales al interior de la organización.”
En razón de lo anterior, las empresas deberán consagrar formalmente un departamento o designar un DPO que se encargue del cabal cumplimiento a la LFPDPPP, su reglamento, y demás normativa aplicable.
¿Qué riesgos existen si no tengo un DPO?
De conformidad con el artículo 63 de la LFPDPPP, no contar con un DPO constituye una de las causales de incumplimiento de la LFPDPPP; por lo que en caso de una revisión y/o auditoría de cumplimiento por parte de la autoridad correspondiente, la empresa (en su calidad de responsable o encargado) podría ser sujeta a una sanción económica, así como a un desgaste reputacional considerable, sin dejar de lado la responsabilidad penal en la que pudiera incurrir.
¿Cuáles son las funciones de un DPO?
El DPO tiene diversas funciones, dentro de las cuales destacan las siguientes:
- Tramitar las solicitudes que los titulares hagan respecto al ejercicio de sus derechos de Acceso, Rectificación, Cancelación u Oposición (derechos ARCO).
- Supervisar el cumplimiento de las obligaciones que se dispongan en materia de Protección de Datos Personales.
- La concientización y formación del personal que trate los datos.
- Capacitar a todas las áreas o departamentos de la organización involucrados en el tratamiento de datos personales.
- Capacitar a todas las áreas o departamentos de la organización involucrados en el tratamiento de datos personales para el uso de los documentos como Avisos de Privacidad, Políticas, Manuales.
- Elaborar y difundir la política de privacidad y protección de datos personales implementada al interior de la empresa.
- Análisis de riesgo y política de prevención.
- Conservación de evidencias de cumplimiento.
- Implementar, operar, monitorear, revisar, mantener y mejorar el Sistema de Gestión de Seguridad de Datos Personales (SGSDP).
- Estudiar los avances o cambios legislativos en materia de privacidad y protección de datos personales que pudieran impactar en el SGSDP que ha implementado la organización.
- Ser el representante de la organización en materia de protección de datos.
- Actuar como punto de contacto con la autoridad.
- Instrumentar y administrar procedimientos para la atención de dudas y quejas formuladas por los titulares, relacionadas con las políticas y prácticas de privacidad y protección de datos personales de la organización.
- Instrumentar y administrar procedimientos para la revocación del consentimiento de los titulares, así como para la solicitud de limitación del uso y divulgación de datos personales.
¿El DPO puede ser agente externo?
La ley no prohíbe o limita que un DPO pueda ser externo, esta responsabilidad puede recaer en un profesional de la propia plantilla de la compañía o empresa, especializado naturalmente en estas responsabilidades; o bien, puede ser un experto o empresa externa cuya figura y funciones deben quedar claramente determinadas mediante contrato.
Se recomienda que si el DPO es externo, haya una persona al interior de la empresa del responsable que funcione como canal o puente de comunicación para que, de manera conjunta, supervisen el flujo de la información, realicen las auditorías correspondientes, actualicen los programas y políticas de privacidad, capaciten al personal, hagan el análisis de brecha y riesgo, actualicen avisos de privacidad y atiendan cualquier ejercicio de derecho o cualquier procedimiento en materia de protección de datos personales, entre otras actividades.