Artículos

Responsabilidad social. El Contador Público y los datos personales

admin - 3 abril, 2012

C.P.C. Leobardo Brizuela Arce
Auditor de Gestión
IMCP

El conocimiento que ha permitido adquirir y trasmitir los avances tecnológicos, ha provocado abusos en el acceso e intercambio de información personal, utilizándola para fines distintos (comerciales, publicidad, etcétera) a su objeto primario, lo que ha afectado el derecho de confidencialidad y autodeterminación de la información, derecho que corresponde al titular de los datos personales. Esta situación ha originado que en años recientes se hayan emitido diversas leyes, tanto locales como federales, encaminadas a proteger la información personal en posesión de organismos públicos

Es un hecho que los excesos aludidos no
corresponden exclusivamente al sector público. El sector privado ha incurrido en los mismos abusos, lo cual ha provocado la difusión ilícita de información; asimismo, ha invadido la privacidad y provocado, en mayor o menor medida, violaciones a los derechos humanos. Por lo anterior, resulta un acierto la promulgación de la Ley Federal de Protección de Datos en Posesión de Particulares (LFPDPPP), la cual tiene como objeto, como de su propio nombre se deduce, la protección de los datos personales para regular su tratamiento legítimo, controlado e informado.

La relación del Contador Público con los datos personales
En la sociedad, la información desempeña un papel fundamental en donde todos somos titulares y/o usuarios en algún momento. Hablando de entidades económicas, el Contador Público se ha caracterizado por ser el principal usuario, ya sea para el registro contable, para analizar información y tomar decisiones o para examinar y emitir su opinión sobre esta. La necesidad de intercambiar esta información, haciéndola en mayor o menor grado disponible, además de darle el carácter público a nuestra profesión, le genera una responsabilidad implícita hacia la sociedad.
De acuerdo con la ley, los sujetos regulados por ella quienes participan para el logro del objetivo de proteger los datos personales, son los siguientes:

  • Titular. La persona física a quien corresponden los datos personales.
  • Responsable. Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
  • Tercero. La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos.
  • Encargado. La persona física o jurídica que sola o junto con otras trate datos personales por cuenta del responsable.
  • Instituto. Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), el cual se encargará de vigilar que se cumpla la ley.

Por lo que, en primera instancia, el Contador Público es titular de sus datos personales y, en consecuencia, es titular de los derechos protegidos que tendrá que ejercer y hacer valer ante las entidades públicas y privadas poseedoras de su información. En el ejercicio de su práctica profesional, adquiere otras calidades, tal es el caso del funcionario en entidades de los sectores privado o público quien adquiere la calidad de responsable o el sector independiente en donde puede adquirir la calidad de tercero al tener acceso a los datos personales que manejan las entidades auditadas.
Indudablemente, esta nueva legislación brinda la posibilidad de ampliar nuestro campo de acción: como asesor de negocios en esta materia; brindando servicios de supervisión y vigilancia externa, o como certificador de responsables en protección de datos personales, ya que la ley
y el reglamento permitirá a entidades privadas realizar tales funciones.

El Contador Público como funcionario de una organización pública o privada
En su práctica profesional, el Contador Público presta su servicio a personas, tanto físicas como morales, públicas y privadas, con y sin fin de lucro, desempeñando un papel importante para la toma de decisiones eficientes, y el buen manejo de sus recursos económicos y financieros.
Para lograr esta función, el Contador Público recopila información de todas las áreas de una entidad económica (nómina, clientes, proveedores, accionistas, impuestos, activos fijos, recursos humanos, etcétera). En parte de esta información se encuentran datos personales —hoy protegidos por la LFPDPPP—, por lo que la entidad a la cual presta sus servicios adquiere la calidad de responsable de la información personal y, por lo tanto, está obligada a cumplir con las disposiciones contenidas en la referida ley.
La implementación del sistema que garantice la protección de datos y el tratamiento legítimo, controlado e informado, requiere de coordinar, al menos, tres factores:

  • La estructura administrativa, ya que deberá asignarse un encargado, revistiéndolo de funciones y responsabilidades dentro de la organización.
  • El soporte jurídico, debido a que se requiere cumplir con diversos principios, tales como: consentimiento, licitud, responsabilidad, etcétera.
  • El soporte informático, ya que se deben establecer y mantener las medidas de seguridad técnicas para la protección de los datos personales establecidas en el reglamento de la LFPDPP.

Un aspecto fundamental contenido en la ley (Arts. 14, 15, 19, 20 y 30) son las obligaciones impuestas al responsable de la información, dentro de las cuales destacan las siguientes:

  • Velar por el cumplimiento de los principios de protección de datos personales establecidos por esta ley, debiendo adoptar las medidas necesarias para su aplicación.
  • Tomar medidas necesarias y suficientes para garantizar que el aviso de privacidad, dado a conocer al titular, sea respetado.
  • Informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, mediante el aviso de privacidad.
  • Establecer y mantener medidas de seguridad administrativa, técnica y física que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción, o el uso, acceso o tratamiento no autorizado.
  • No adoptar medidas de seguridad menores a aquellas que mantengan para el manejo de su propia información.
  • Cuando se vulnere la seguridad afectando derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular.
  • Guardar confidencialidad respecto de los datos personales. Esta obligación subsistirá aun después de finalizar sus relaciones con el titular.
  • Todo responsable deberá designar a una persona o departamento de datos personales, que dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición (derechos ARCO).

El Contador Público como independiente ante la regulación de datos personales
La principal actividad del Contador Público Independiente es la emisión de un dictamen o informe sobre la información examinada o revisada, según sea el caso, brindando confianza a los usuarios interesados de la información: accionistas, inversionistas, acreedores, organismos reguladores y autoridades fiscales.
En el desempeño de su actividad, el Contador Público Independiente utiliza información de su cliente para aplicar los procedimientos de auditoría que considera necesarios en las circunstancias, dentro de ella, tiene acceso a datos personales que en algunos casos podrían ser sensibles; por ejemplo, bases de datos de clientes personas físicas, tal es el caso del sector financiero, hospitales, clínicas, sector educativo, servicios, etcétera y, en general, todas las entidades que cuenten con personal a su servicio.
Por lo anterior, el Contador Público Independiente, cuando examine o revise información que incluya datos personales, deberá considerar lo siguiente:

  • El responsable, al transferir los datos personales a un tercero (auditor externo), deberá hacer de su conocimiento el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento (Art. 36, LFPDPPP). Esta obligación del responsable de la información deberá señalarse en el contrato de servicios profesionales.
  • El tratamiento de los datos, por parte del tercero (auditor externo), se hará conforme a lo convenido en el aviso de privacidad, el cual deberá contener una mención expresa en la que se indique si el titular acepta o no la transferencia de sus datos. La transferencia no podrá realizarse sin el consentimiento del titular; por lo tanto, en caso de negarse tendrán que evaluarse posibles limitaciones en el trabajo.
  • El auditor externo adquiere el carácter de responsable cuando examina o revisa información que incluya datos personales, ya que el Art. 72 del reglamento señala que el receptor de los datos personales será un sujeto regulado por la ley y el reglamento, en su carácter de responsable y, por lo tanto, sujeto de sanciones.
  • Se deberá dejar evidencia de la obtención del aviso de privacidad, ya que como lo señala el Art. 73 del Reglamento de la LFPDPPP, la transferencia deberá formalizarse mediante algún mecanismo que permita demostrar que el responsable transferente comunicó al responsable receptor las condiciones en las que el titular consintió el tratamiento de sus datos personales (estas condiciones deben incluirse en el aviso de privacidad).

Nuevos campos de acción para la profesión
Un aspecto fundamental para la profesión, derivada de la aplicación de la LFPDPPP, es el hecho de que para su implementación se abren nuevos campos de acción en nuestra práctica profesional, dentro de los que podemos destacar los siguientes:

  • Asesor en la implementación del sistema que garantice la protección de datos y el tratamiento legítimo, controlado e informado.
  • Asesor en el establecimiento de la Autorregulación Vinculante para grupos de empresa u organizaciones civiles. El Art. 79 del Reglamento de la LFPDPPP establece la posibilidad que las personas físicas y morales puedan convenir entre ellas o con organizaciones civiles, esquemas de autorregulación vinculante en materia de protección de datos personales, que complementen lo dispuesto por la ley. Tales esquemas de autorregulación podrán traducirse en códigos deontológicos o de buenas prácticas profesionales, sellos de confianza, políticas de privacidad, reglas de privacidad corporativas u otros mecanismos que incluirán reglas o estándares específicos, buscando diversos objetivos concretos entre los que destacan:
    • Establecer procesos y prácticas cualitativos en el ámbito de la protección de datos personales que complementen lo dispuesto en la Ley;
    • Promover que los responsables de manera voluntaria cuenten con constancias o certificaciones sobre el cumplimiento de lo establecido en la Ley, y mostrar a los titulares su compromiso con la protección de datos personales;
    • Auspiciar mecanismos para implementar políticas de privacidad, incluyendo herramientas, transparencia, supervisión interna continua, evaluaciones de riesgo, verificaciones externas y sistemas de remediación.

Para la promoción de este servicio, es importante tomar en cuenta que los responsables que adopten y cumplan con un esquema de autorregulación, contarán con incentivos, entre ellos, la posibilidad de atenuar las sanciones en caso de verificarse algún incumplimiento. Es necesario recordar que la LFPDPPP se caracteriza por tener multas bastante onerosas, que van de 100 a 320,000 días de Salario Mínimo General del Distrito Federal (SMGDF) y tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta el doble.

  • Servicios de supervisión y vigilancia externos. De acuerdo con la ley, los esquemas de autorregulación deben considerar diversos parámetros para el correcto desarrollo de este tipo de mecanismos y medidas de autorregulación, dentro de los que destaca la necesidad de establecer sistemas de supervisión y vigilancia internos y externos.
  • Certificador de responsables en protección de datos personales. El artículo 83 del Reglamento de la LFPDPPP, establece que los esquemas de autorregulación vinculante podrán incluir la certificación de los responsables en materia de protección de datos personales, emitida por una persona física o moral certificadora ajena al responsable.

Tales personas tendrán la función principal de certificar que las políticas, programas y procedimientos de privacidad instrumentados por los responsables que de manera voluntaria se sometan a su actuación, aseguren el debido tratamiento y que las medidas de seguridad adoptadas son las adecuadas para su protección. Para ello, los certificadores podrán valerse de mecanismos como verificaciones y auditorías.
Estos certificadores deberán garantizar la independencia e imparcialidad para el otorgamiento de certificados, así como el cumplimiento de los requisitos y criterios que se establezcan.
La dinámica social, fuerza generadora de modificaciones legales, ha provocado que hoy los datos personales sean objeto de protección, en virtud de una nueva Ley Federal, buscando preservar un derecho humano tutelado por la Ley Suprema: “El derecho a la autodeterminación de la información”. El Contador Público, en el ejercicio de su profesión, no puede mantenerse al margen de los cambios que se le presentan en un entorno en el que él mismo está inmerso, debido a que su perfil no solo debe ser técnico profesional, sino también humano y social.
Afortunadamente, nuestra profesión ha dado muestras de su capacidad para adaptarse a los medios cambiantes, a los entornos sociales, a las necesidades y a sus nuevos requerimientos, respondiendo a ellos, no solo reconociendo las nuevas medidas, si no aportando conocimiento para satisfacer las necesidades sociales en un entorno determinado, al ser partícipes con nuestra práctica profesional en la protección de derechos humanos consagrados en nuestra constitución.
El verdadero servicio que puede prestar el Contador Público a la sociedad es anticipar, detectar problemas donde aparentemente no existen; recomendar nuevas medidas de mejora tan pronto como sea posible para prolongar la vida saludable de las empresas, preservando fuentes de empleo y buscando una mejor calidad de vida de todos sus integrantes y de la sociedad.