Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar todas las cookies" para disfrutar de esta web con todas las cookies, configura tus preferencias antes de aceptarlas, o utiliza el botón "Rechazar todas las cookies" para continuar sin aceptar.

Gestión de Cookies
Zona Privada Asociados   |   Boletines Compliance
 
FORMULARIO DE CONTACTO
Deseo suscribirme al Newsletter de la WCA
 

07/05/2024

La trascendencia del principio de información para el correcto tratamiento de datos personales en la empresa (México)

Por Javier Rioja Jaimes - World Compliance Youth Voices

Durante los últimos años, ha existido una constante evolución y avance en aspectos regulatorios que han influenciado la operación y toma de decisiones del día a día en el mundo corporativo. Dicha evolución, ha orientado a las empresas a buscar la innovación y las ha obligado a profundizar en el desarrollo e implementación de políticas internas y externas basadas en principios éticos y mejores prácticas que resulten en un impacto positivo en su operación y en el ámbito de sus negocios.

Dentro de esos aspectos regulatorios en constante evolución, destaca todo aquello relacionado con la protección y tratamiento de datos personales.

Hoy en día, la protección a los datos personales es un tema fundamental para las empresas, no solamente por el carácter de confidencial con el que los cataloga la legislación sino también porque los mecanismos por los que una empresa protege dicha información impactan de manera directa en la confianza en la misma, tanto de manera interna hacia las personas que la conforman, como de manera externa con sus clientes, proveedores, y cualquier tercero que deba poner su información a disposición de éstas. Esto, no solo causa que los datos personales puedan ser considerados como uno de los activos intangibles más importantes para una empresa, sino que también genera una necesidad inminente de políticas claras de protección al tener el riesgo de exponer a las empresas a daños reputacionales e incluso sanciones económicas frente a un mal tratamiento de los mismos.

Resulta lógico el buscar este tipo de mecanismos toda vez que la protección a datos personales tiene como base el derecho fundamental a la privacidad[1], misma que es definida por la Real Academia Española como “aquel ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión”[2].

La importancia del correcto tratamiento a los derechos personales y la protección al derecho a la privacidad asociada a dicho tratamiento aumenta considerando la importancia que ha cobrado la privacidad en la “era digital” en la que vivimos actualmente y las ventajas que aquello supone para obtener información sensible a la cual anteriormente no hubiera sido posible acceder.

Naturalmente, la precaución con la cual las personas comparten sus datos personales con terceros ha aumentado y de esto deriva la necesidad e importancia de la correcta implementación del principio de información, el cual, es el pilar para el entendimiento y aplicación del resto de los principios asociados a los datos personales (licitud, consentimiento, calidad, finalidad, lealtad, proporcionalidad y responsabilidad).

De acuerdo con el artículo 15 de la Ley Federal de Protección de los Datos Personales en Posesión de los Particulares, a la cual para efectos del presente se hará referencia como la Ley, el principio de información consiste en la obligación de hacer del conocimiento de los titulares de datos personales el tipo de información que les será recabada, el fin de solicitar sus datos personales, así como indicar claramente con quién se compartirán los mismos y cómo podrán ejercer los derechos correspondientes para tener acceso a ellos, poder rectificarlos, cancelarlos y oponerse a su uso[3]. Todo lo anterior, se materializa a través de la elaboración y puesta a disposición del aviso de privacidad.

Es de advertir que para alcanzar un nivel de cumplimiento óptimo, las políticas empresariales enfocadas en cumplir con el principio de información no deben de acotarse a lo dispuesto en la Ley, sino que deben buscar ir más allá para lograr brindar verdadera seguridad y protección a los titulares de los datos personales y de igual manera a las empresas (o a cualquier persona) ya sea en su calidad de responsables o encargados del tratamiento de datos personales, evitando las consecuencias negativas antes descritas.

No obstante, es bien sabido en el mundo empresarial que el incumplimiento a alguna de las obligaciones en materia de datos personales puede generar un impacto negativo de gran magnitud. En la práctica, un gran número de empresas siguen reutilizando en muchos casos avisos de privacidad de otras empresas que tengan un giro u objeto similar por resultar lo más sencillo. Esto es más frecuente cuando nos enfrentamos a empresas en crecimiento o empresas de reciente creación que pueden no contar con los recursos necesarios, tanto humanos como económicos para establecer propiamente un área de “Compliance”.

Más allá de la importancia propia de contar con un área o personal encargado de “Compliance” independientemente del tamaño de la empresa, es importante señalar que la responsabilidad sobre el tratamiento de datos personales no debe ser acotada a un área específica y que es un hecho que, hoy en día, el tema en particular no ha logrado llamar el interés e inquietud suficiente en áreas de la empresa distintas a aquellas que se enfocan directamente en este tipo de cumplimiento.

Para lograr generar dicho interés, es esencial que las áreas de la empresa que tengan contacto con datos personales cuenten con la capacitación necesaria para entender y conocer la importancia que tiene el tratamiento de los mismos y la forma en la que deben actuar al estar en contacto con esta información; además, es importante que entiendan que su forma de actuar o falta de acción podrá tener como consecuencia un impacto positivo o negativo de gran magnitud en la empresa.

Por otro lado, también resulta esencial la elaboración de manuales de buenas prácticas que aborden en su totalidad el proceso y tratamiento al que estarán sujetos los datos personales, es decir, desde el momento en el que se recaban, las finalidades para las cuales serán utilizados, así como su bloqueo, conservación y/o destrucción. Todo lo anterior resulta esencial y debe ser considerado y plasmado al momento de redactar y poner a disposición de los titulares el aviso de privacidad.

Un aviso de privacidad propiamente implementado es la primera impresión que refleja de manera directa e inmediata el cumplimiento de una empresa con el principio de información, generando, desde su lectura, confianza ante el titular de la información que está siendo recabada; asimismo, proveerá al titular de la información y transparencia necesaria respecto a la información directamente relacionada con su derecho a la privacidad, dando certeza en que la misma será protegida, trazable, utilizada de manera apropiada y que dichos datos podrán ser bloqueados y eliminados de manera segura. Esto es de suma importancia ya que brindar seguridad y certeza al titular permite, además de evitar potenciales sanciones económicas, proyectar una imagen ética y responsable de la empresa.

Si bien el aviso de privacidad es una primera impresión esencial de la empresa, no hay que dejar de lado aquellas disposiciones que regularán la manera en la cual se llevará a cabo la eliminación segura de los datos personales tratados por el responsable. Si bien muchas empresas cuentan con métodos a través de los cuales llevan a cabo dicha destrucción o eliminación, no siempre dichos métodos serán idóneos o contarán con la seguridad necesaria para salvaguardar la confidencialidad, integridad y disponibilidad de dichos datos frente a terceros no autorizados. En ese sentido, de conformidad con la Guía para el Borrado Seguro de Datos Personales, todo borrado debe ser irreversible, es decir, el proceso debe garantizar que no exista un proceso que permita recuperar la información; los medios de almacenamiento se deben de tratar durante el borrado con la misma seguridad y confidencialidad con que se han mantenido durante su existencia y, finalmente, el método de borrado debe producir el mínimo de emisiones y desperdicios para evitar afectaciones al medio ambiente[4].

Tomando en cuenta lo anterior, la correcta implementación del principio de información no deberá limitarse al conocimiento de los requisitos básicos que debe contener un aviso de privacidad, sino que será nuestra responsabilidad como empresarios, emprendedores o colaboradores, sin importar el área de negocio en la que nos desarrollemos, el dotar a este tema de la importancia y responsabilidad que el mismo conlleva mediante la implementación de políticas institucionales y capacitación del personal involucrado en todos los niveles.

Con lo anterior se tendrían elementos suficientes para actuar de forma ética y construir una ruta crítica clara que indique el inicio y fin del tratamiento de los datos personales que el titular nos confía, asegurando la integridad de los mismos durante todo el tratamiento, permitiendo crear un impacto positivo en y por parte de la empresa, logrando que el “deber ser” y el “ser” encuentren un punto de equilibrio.



[1] https://groups.csail.mit.edu/mac/classes/6.805/ar9cles/privacy/Privacy_brand_warr2.html

[2] https://dle.rae.es/privacidad

[3] https://microsi9os.inai.org.mx/guias9tulares/INAIvolumen02_LT/3_3.html

 

[4] http://transparencia.inaes.gob.mx/doctos/pdf/transparencia/Guias/Gu%EDa_Borrado_Seguro_DatosPersonales.pdf

 


 
Patrocinadores
Colaboradores
Entidades Asociadas