5 July, 2012

Siete líneas de acción urgentes para cumplir con la LFPDPPP

Por
BSC/II 2012 ›

Isabel Davara, abogada experta en protección de datos

Ciudad de México.- El Instituto Federal de Acceso a la Información ya comenzó a trabajar y revisar el cumplimiento de la Ley de Protección de Datos Personales en Posesión de Particulares y miles de empresas aún deben pasar del simple paso de publicar su aviso de privacidad y colocar un par programas de seguridad.

Así lo explicó Isabel Davara, socia fundadora de Davara Abogados y especialista en protección de información al remarca que es urgente que las empresas comiencen a realizar un proceso de conciencia sobre el valor y significado de proteger datos personales.

“Antes de querer proteger los datos de los terceros, primer tenemos que ser conscientes de nuestros datos personales como personas, sólo hasta que  pensemos en los datos como si fueran nuestros comprenderemos el valor de esas identidades digitales que la ley nos manda a resguardar”, apuntó Davara.

La experta en derecho informático explicó que una vez completada el proceso de conciencia, las organizaciones deben iniciar un proceso de definición del tipo de, motivos y valor jurídico de los datos recabados.

De no hacerlo el gasto en sistemas de seguridad podría ser inútil si primero no se definen los mecanismos de protección basados en manuales y políticas alienadas con la regulación mexicana.

“No se finge por si son grandes o pequeñas empresas, piensen en sus bases de datos definan qué tipo de datos están recolectando, en dónde y con que finalidades jurídicas los estamos obteniendo, con base en ello es con lo que el IFAI va actuar, no por su tamaño o facturación anual”, advirtió.

Para aquellas empresas que busquen alinear de forma urgente a lo establecido por la regulación la abogada especialista recomendó siete líneas de acción urgentes.

La primera consiste en la Identificación y descripción de bases de datos personales, que requiere que cada una de las áreas que tratan datos personales deben identificar las bases de datos personales desde su finalidad jurídica, y no tanto desde su tratamiento lógico o físico, los procesos de recolección y uso de los datos conforme a lo establecido por la ley.

El segundo paso trata de definir y publicar su Aviso de privacidad conforme al tipo de datos que recolecta y el uso que dará a los datos.

Estas notificaciones pueden ser Aviso simplificado, que resume el objetivo de la recolección; Aviso completo, el cual contenga todos los puntos los requisitos previstos por la normatividad de forma resumida y escueta y la Política de Privacidad, la cual es opcional y tiene el objetivo de mostrar como la organización cumple a cabalidad con la ley.

La tercera línea de acción es el  Análisis de Contratos con Terceros en donde la empresa tiene la obligación de analizar cada uno de las relaciones contractuales que tenga con terceros, pues estos documentos y contratos están sujetos a la normatividad.

Como cuarto paso está definir obligaciones del responsable de privacidad, las cuáles van desde decidir quién o qué departamento será,  modelos de formación y funciones y obligaciones a desempeñar.

La definición de un documento de seguridad vendría como quinta línea de acción. Este archivo permite establecer las medidas de seguridad físicas, técnicas y administrativas necesarias para salvaguardar la integridad de los datos personales.

Junto con el documento técnico la empresa también tiene que desarrollar un Manual de atención y creación de ventanilla (sexta línea de acción), un documento que tiene el objetivo de definir los procesos de atención a todos los titulares que soliciten el cambio o cese del uso de sus datos personales.

Finalmente Davara definió la creación de un Código de mejores prácticas que actúe como una herramienta para poder mejorar de manera constante el tratamientos de los datos personales al interior de la empresa