¿Tu empresa está lista para una auditoría de protección de datos personales?

Tras la entrada en vigor de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“Ley de Datos Personales”), hace casi 9 años y su reglamento en 2012, muchas de las empresas responsables del tratamiento de los datos personales de sus clientes, trabajadores, proveedores, etc., aún no cumplen ni siquiera con el 10% de las obligaciones que dispone dicho ordenamiento jurídico. Lo que es una realidad y a la ves presupone un riesgo inminente, es que hoy en día encontramos que las empresas creen cumplir con dicha ley con ta solo elaborar un Aviso de Privacidad.

Al respecto, es importante enfatizar qué el Aviso de Privacidad es simplemente un elemento de muchos otros con los que deben de cumplir las empresas responsables en el tratamiento de información personal.

Para comenzar, es importante mencionar que para poder acreditar que cumplimos con la Ley de Datos Personales, lo primero que debemos preguntarnos es: ¿Cumplimos con los 8 principios que establece la ley (licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad)? ¿Cumplimos con los dos deberes (seguridad y confidencialidad)?

Si la respuesta es correcta, no hay duda de que vamos por un buen camino y en caso de una auditoría o verificación contamos con elemento idóneos para una buena defensa, pero si la respuesta es negativa, aquí es donde tenemos que preocuparnos.

Pero, ¿por qué preocuparme si llega el INAI a la puerta de mi empresa a verificar el cumplimiento la Ley de Datos Personales?

Para poder conocer cuáles son los riesgos de una auditoría o verificación por parte del INAI, lo primero que debemos saber es que la ley tiene diversos procedimientos los cuales operan de forma distinta y se abren por distintas razones. El primero de ellos es el Procedimiento de Protección de Derechos, el cual se inicia generalmente por una inconformidad y/o falta de respuesta del responsable al titular frente al ejercicio de uno de sus derechos ARCO, por otro lado, tenemos el Procedimiento de Verificación y el Procedimiento de Imposición de Sanciones, y es precisamente en estos dos últimos en los que quiero concentrarme.

De conformidad con el artículo 59 de la Ley de Datos Personales, el INAI podrá en cualquier momento verificar el cumplimiento de esta ley y de la normatividad que de ella derive. Esta verificación podrá iniciarse de oficio o a petición de parte.   La verificación de oficio procederá cuando se dé el incumplimiento a resoluciones dictadas con motivo de procedimientos de protección de derechos o se presuma fundada y motivadamente la existencia de violaciones a la Ley de Datos Personales.

Asimismo, de conformidad a lo dispuesto por el artículo 60 de la Ley de Datos Personales, en el procedimiento de verificación el INAI tendrá acceso y podrá solicitar la información y documentación que considere necesaria. Esto es, el INAI podrá requerir todo tipo de información para poder determinar si la empresa responsable en el tratamiento de datos personales cumplió o no con la Ley de Datos Personales.

En mi experiencia, de diversos procedimientos que me ha tocado llevar, el INA se concentra en requerir información relacionada a los principios y deberes, y en particular al principio de responsabilidad y deber de seguridad, solicitando a las empresas responsables generalmente la siguiente información:

  • Oficio de designación del encargado del departamento de protección de datos personales.
  • Inventario de datos personales y de los sistemas de tratamiento.
  • Funciones y obligaciones de las personas que traten datos personales.
  • Análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales.
  • Medidas de seguridad aplicables a los datos personales e identificar aquéllas implementadas de manera efectiva.
  • Análisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales.
  • Plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha.
  • Resultado de revisiones o auditorias.
  • Constancias de capacitación –modo, tiempo y lugar– al personal que efectúe el tratamiento.
  • Registro de los medios de almacenamiento de los datos personales.
  • Aviso de Privacidad.

Como podemos observar de lo anteriormente expuesto, el Aviso de Privacidad no lo es todo, y debemos tomar en cuenta que, en una revisión por parte del INAI, además del Aviso de Privacidad, la autoridad verificará que cumplamos con cada elemento por mas mínimo que sea que esté en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento.

Debido a lo anterior, en caso de que el INAI determine que se incumplió con algún elemento de la Ley de Datos Personales, abrirá el procedimiento de Imposición de Sanciones, el cual tiene por objeto determinar el monto de la sanción, tomando como base a naturaleza del dato; la notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, el carácter intencional o no, de la acción u omisión constitutiva de la infracción; la capacidad económica del responsable, y la reincidencia.

No omito señalar que las sanciones económicas por no cumplir con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares van desde los $10,268.00 y hasta los $32’857,600 MDP, sin considerar el impacto reputacional que sufrirá la empresa, el cual, muchas veces deriva en la quiebra o una posible responsabilidad penal de la misma.

Al respecto, es importante mencionar que la carga de la prueba siempre recae en la empresa responsable del tratamiento, por lo que, para concluir, pregunto: ¿Tu empresa tiene evidencias suficientes para acreditar el cumplimiento a los 8 principios y 2 deberes de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares?

Si la respuesta es negativa, recomiendo la implementación de un Sistema de Gestión de Seguridad de Datos Personales, este sistema nos ayudará a cumplir con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y a mitigar el riesgo de un incumplimiento que derive en una sanción.

COMPARTIR

Artículos

RELACIONADOS