Veritas Online

Opinión

Los diez principales errores al implementar un sistema de gestión para el cumplimiento de la LFPDPPP

Los diez principales errores al implementar un sistema de gestión para el cumplimiento de la LFPDPPP
diciembre 20
11:38 2016

No solo se debe contar con el punto de vista legal: la Ley de Protección de Datos requiere integrar un sistema de gestión eficaz con conocimiento y colaboración.

Al implementar un sistema de gestión para el cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) en nuestras organizaciones, generalmente se cometen errores, los cuales se derivan de:

  • Desconocimiento respecto de los alcances de la ley, su reglamento y demás normatividad aplicable, la cual establece que el cumplimiento implica sus ocho principios (Información, Proporcionalidad, Licitud, Lealtad, Consentimiento, Finalidad, Calidad y Responsabilidad) y sus dos deberes y obligaciones (Seguridad y Confidencialidad),
  • Falta de información por parte de las organizaciones, y
  • Mal asesoramiento, entre otras.

Para cumplir a cabalidad con la LFPDPPP se requiere establecer un eficaz sistema de gestión que incluya los procesos, procedimientos y protocolos de actuación al momento de realizar tratamientos de datos personales.

depositphotos_126723946_m-2015

Los principales errores que encontramos en las organizaciones que “creen” que cumplen adecuadamente con la LFPDPPP y su normatividad vigente son los siguientes:

  1. Que para cumplir la ley solo se necesita del aviso de privacidad.
  2. Que los avisos de privacidad no son específicos, claros y fáciles de entender por los titulares.
  3. No contar con o no poner a disposición de los titulares el aviso de privacidad previamente a la obtención y tratamiento de los datos personales.
  4. Capacitar al encargado y olvidarse del sistema de gestión. Esto es un grave error, ya que esta capacitación no implica poner en marcha los elementos y mecanismos requeridos por la empresa para el cumplimiento de la ley.
  5. No pedir el consentimiento expreso al tratamiento de datos sensibles o de riesgo alto. Es obligatorio el consentimiento expreso y por escrito por parte de los titulares. No es suficiente considerar que, si una persona no manifiesta su negativa al tratamiento de datos, está expresando su consentimiento tácito y con eso cumplimos con la normatividad vigente. De hecho, es obligación del responsable del tratamiento de datos personales y sus encargados el demostrar que se dio ese consentimiento expreso al tratar datos personales sensibles y de alto riesgo, considerándose ilícitos los tratamientos de datos en los casos en que no exista.
  6. Falta de transparencia en la finalidad del tratamiento de los datos personales. Cuando los titulares proporcionan sus datos a una organización para la obtención de un determinado producto o servicio, en muchas ocasiones no se informa adecuadamente del uso que les darán ni de la finalidad para la cual son obtenidos.
  7. Mecanismos de seguridad insuficientes. Para cumplir eficazmente con la ley, las organizaciones deben contar con estándares de seguridad al momento de realizar el tratamiento de los datos. En la mayoría de los casos, estas medidas de seguridad no se cumplen, bien por falta de procesos debidamente establecidos o por falta de interés de los trabajadores.
  8. Que solo el encargado de protección de datos personales esté capacitado y tome los cursos de protección de datos. La formación de los trabajadores en materia de protección de datos es imprescindible si se pretende que cumplan con los estándares de seguridad de nuestra organización. No sirve para nada formar al trabajador solo con base en la normatividad vigente si no sabe cómo aplicarla a su trabajo diario y al recolectar los datos personales.
  9. Cuando la organización externaliza servicios a terceros para que efectúen tratamiento de datos personales, se debe garantizar la realización de los servicios contratados, siguiendo estrictamente las indicaciones y que se comprometan con las medidas de seguridad y privacidad exigidas en la normatividad vigente. Esto se debe realizar por medio de un contrato de servicios, mismo que suele faltar.
  10. Cuando las empresas ceden los datos a otras organizaciones por cualquier motivo. La cesión de datos solamente puede producirse en el caso de que el responsable haya informado previamente al titular de los datos afectado y se cuente con su consentimiento.

Contar con una correcta asesoría profesional e integral es imprescindible para cumplir correctamente con la normatividad vigente en materia de protección de datos personales. No solo se debe contar con el punto de vista legal, ya que la LFPDPPP, para su debido cumplimiento, requiere la integración de un sistema de gestión eficaz que involucre diversas áreas de conocimiento y la colaboración de la mayoría de las áreas de la organización.

Lic. Sergio Salom Posselt

Socio Director de Neural Risk

ssalom@neuralrisk.com

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

A %d blogueros les gusta esto: