Artículos

Cultura organizacional. Cómo administrar los datos personales

admin - 2 abril, 2012

Eduardo Cocina Hernández, CISA, CGEIT, CRISC
Socio de Riesgos de Tecnología de Información
Deloitte, México

Carlos Narváez Hasfura
Director Jurídico y Chief Privacy Officer
Deloitte, México

El tratamiento indebido de datos personales ha dado lugar a la comisión de diversos delitos y afectaciones a la privacidad de los individuos, por lo que la protección de estos ha sido reconocida en diversas jurisdicciones como un derecho fundamental; por ejemplo, así lo establece el Art. 8 de la Carta de los Derechos Fundamentales de la Unión Europea

La protección de los datos personales es un derecho de la más alta jerarquía al tener rango constitucional. Con base en la Fracc. XXIX-O del Art. 73 de la Constitución Política de los Estados Unidos Mexicanos, el Congreso de la Unión legisló en la materia y el 6 de julio de 2010 entró en vigor la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), concebida bajo el principio de autodeterminación informativa de los titulares de los datos.
Es decir, los titulares de los datos deciden libremente a quién le proporcionarán su información y para qué efectos. En consecuencia, las organizaciones privadas (en su carácter de “responsables”) deben obtener y mantener el consentimiento de los titulares para el tratamiento de sus datos personales, por lo que la LFPDPPP impone dos obligaciones básicas para los responsables a este respecto:

  • Expedición de avisos de privacidad. Por este medio se obtiene el consentimiento de los titulares para el tratamiento de sus datos, que podrá ser tácito o expreso, según el tipo de dato. De conformidad con el Art. 15 de la LFPDPPP, el aviso de privacidad debe contener, por los menos, la siguiente información: Identidad y domicilio del responsable que los recaba; finalidades del tratamiento de datos; las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos; los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición; en su caso, las transferencias de datos que se efectúen, y el procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad. Fecha límite de cumplimiento establecida por la LFPDPPP: 6 de julio de 2011.
  • Designación de la persona o departamento de datos personales. El Art. 30 de la LFPDPPP establece esta obligación como medio para velar por la protección de los datos personales al interior de las organizaciones, en los términos dispuestos por la ley y su reglamento (publicado en el DOF del 21 de diciembre de 2011, en lo sucesivo “reglamento”), lo que incluye la atención de las solicitudes para el ejercicio de los derechos de los titulares. Fecha límite de cumplimiento establecida por la LFPDPPP: 6 de julio de 2011.

La LFPDPPP otorga a los titulares la facultad de ejercer los denominados derechos ARCO, los cuales tienen su fundamento constitucional en el artículo 16 de nuestra Carta Magna y son los siguientes:

  • Acceso. Es el derecho de los titulares para solicitar a los responsables que les informen si obran en su poder datos personales de los referidos titulares y, en su caso, conocer el aviso de privacidad al que está sujeto su tratamiento. (Véase el Art. 23 de la LFPDPPP y los Art. 101 y 102 del reglamento.)
  • Rectificación. Es el derecho de los titulares para solicitar a los responsables que corrijan, complementen o actualicen los datos personales de dichos titulares. (Véase el Art. 24 de la LFPDPPP y los Art. 103 y 104 del reglamento.)
  • Cancelación. Es el derecho de los titulares para solicitar a los responsables la cancelación de sus datos personales cuando los mismos ya no son necesarios para cumplir con las finalidades para las cuales fueron recabados, o no están siendo tratados de conformidad con los principios y estipulaciones de la LFPDPPP y su reglamento. (Véase el Art. 25 de la LFPDPPP y los Art. 105 y ss. del reglamento.)
  • Oposición. Es el derecho de los titulares para solicitar a los responsables que se abstengan de utilizar los datos personales para ciertas finalidades, por ejemplo, para propósitos publicitarios. (Véase el Art. 27 de la LFPDPPP y los Art. 109 y 110 del reglamento). La fecha de inicio para el ejercicio de los derechos ARCO: 6 de enero de 2012.

Asimismo, las obligaciones jurídicas que las compañías deben cumplir de conformidad con la ley y su reglamento, involucran también medidas de seguridad técnicas, físicas y administrativas, que aseguren la adecuada protección de los datos personales. Por tal motivo, resulta relevante que las empresas lleven a cabo un diagnóstico de sus avances en este proceso de adopción, o bien, inicien con él con el objetivo de capitalizar los beneficios de esta regulación y evitar futuras sanciones.

¿Cómo administrar de manera adecuada los datos personales?
La entrada en vigor de esta ley y su reglamento, pone en perspectiva a las organizaciones en México respecto a cómo se están administrando los datos personales. Por ello, es necesario determinar los mecanismos mediante los cuales las empresas pueden garantizar a sus diversas audiencias un manejo adecuado de este tipo de información.
De acuerdo con el estudio “Termómetro: Privacidad de Datos” elaborado por Deloitte México, existen diversos factores que si no son correctamente identificados y administrados, pueden vulnerar a las empresas, por medio del robo de información vía dispositivos móviles.
Posterior a la publicación de la LFPDPPP, 58% de las 214 compañías representadas en la encuesta afirmó estar preparada para administrar la información de carácter personal, de acuerdo con los lineamientos establecidos por dicho ordenamiento. De igual forma, 53% de los participantes señaló contar con los avisos de privacidad necesarios, pero aunque las compañías se están preparando, todavía no se han visto los avances esperados.
Con esta información como antecedente, resulta importante entender cuáles son los elementos clave que las empresas deben considerar en este proceso de adopción de una nueva manera de hacer las cosas en términos de cultura organizacional.
Como primer paso se debe partir de un análisis amplio de cuatro elementos importantes al interior de la organización:

  • Tipo de industria.
  • Volumen de datos.
  • Tipo de datos.
  • Importancia de esos datos para terceros.

Posteriormente, resulta necesario determinar las medidas adecuadas para tratar la información, protegerla y gestionar los derechos ARCO.
Una vez determinados los tipos de datos que tiene la empresa se deben identificar las fuentes de información y los tres estados del dato:

  • Obtención.
  • Tratamiento
  • Cancelación.

Asimismo, será indispensable reconocer las medidas de seguridad administrativa, técnicas y físicas que hay en la organización para proteger los datos. Con base en ello se podrán reconocer las brechas existentes, establecer el nivel de cumplimiento que se tiene con respecto a la ley, y diseñar las medidas para cerrar las brechas encontradas en el análisis comparativo.
Después de haber realizado el análisis mencionado —con el objetivo de obtener los resultados esperados— es importante que las organizaciones desarrollen un modelo de privacidad que considere aspectos sobre tratamiento administrativo y legal, manejo técnico y físico de la información y procesos de evaluación efectiva.
Cabe destacar que el proceso de implementación debe ser un trabajo multifuncional alineado con una estrategia común que involucre la experiencia de diversas áreas dentro de la empresa. Las áreas directivas responsables del desarrollo y ejecución de los programas de protección de datos, según los participantes del estudio de Deloitte México, son:

  • Dirección de Sistemas: 67%.
  • Dirección General y de Finanzas: ambas con 54%.
  • Dirección Jurídica: 53%.

Como parte del proceso de atención a los derechos ARCO, las empresas deben establecer esquemas efectivos que permitan desahogar las solicitudes de los titulares, seguir procesos bien definidos y dar respuesta en el plazo establecido por la ley.
De igual forma, es importante que las compañías establezcan mecanismos de medición y aseguramiento por medio de auditorías internas, capacitación y reporte. Involucrar al área de Auditoría Interna permitirá revisar los reportes que se obtengan a fin de ofrecer certeza en los indicadores de efectividad del área de atención a los derechos ARCO.
Finalmente, las compañías deberán presentar los resultados obtenidos ante los interesados, compartiendo la información con accionistas o socios, la alta dirección, los titulares (clientes y empleados) y las autoridades.

Más allá del cumplimiento normativo
El cumplimiento de la ley ayuda a las organizaciones a incrementar los niveles de confianza de los clientes hacia la empresa, aumentando la confidencialidad, calidad y precisión de la información; factores que se traducen en ventajas competitivas para las compañías, sobre todo, en términos de reputación.
En resumen, la ley, más allá de un tema de cumplimiento, representa una nueva manera de establecer relaciones entre las empresas, sus usuarios y empleados, basadas en la confianza y lealtad de estos hacia la organización.
Desde esta perspectiva, dichos factores cobrarán mayor relevancia, conforme la cultura de protección de datos en el país se vaya fortaleciendo. En este sentido, los empresarios participantes en la encuesta de Deloitte México, señalan que los rubros con mayor importancia para los encuestados para establecer un programa de protección de datos son:

  • Incrementar o mantener la confianza de los clientes: 77%.
  • Asegurar el cumplimiento regulatorio: 74%.

Asimismo, esta muestra considera que la fuga de información podría ocasionar un impacto en términos de imagen y reputación (65%), seguido por aspectos legales (59%) y económicos (53%).
Conforme la cultura de privacidad de datos crezca, mayor deberá ser la preparación de las compañías para cumplir con los requisitos que establece la ley. Cabe destacar que los empresarios mexicanos identifican una importante oportunidad en la ley para generar vínculos con sus diversas audiencias (clientes, proveedores y empleados), lo cual representa un importante avance en este rubro en México.
Es relevante sensibilizar a las organizaciones y sus empleados ante la importancia de estos procesos, a fin de diseñar estrategias adecuadas para cumplir con la norma aplicable, estableciendo, además, mejores parámetros en el manejo de datos personales en nuestro país.