Veritas Online

Opinión

Persona o departamento de Datos Personales en la organización

marzo 01
13:43 2015

La normatividad vigente en Protección de Datos Personales en México establece dentro del artículo 30 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares que cualquier persona física o moral que realice tratamiento de datos personales (Responsable) deberá designar a una persona, o departamento de datos personales (Encargado).

Las funciones mínimas que debe establecer la organización para dicha persona o departamento de datos personales de acuerdo con el artículo antes citado, deben ser las siguientes:

  1. Dar trámite a las solicitudes de los titulares de datos personales, para el ejercicio de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), y
  2. Fomentar la protección de datos personales al interior de la organización del responsable.

 ¿PERSONA O DEPARTAMENTO DE DATOS PERSONALES?

La primera decisión que deberá tomar el responsable, implica:

A. En caso de ser una persona física, si va a realizar las funciones de protección de datos personales por sí mismo;

B. En caso de ser una persona física o moral, si designa a una persona en particular; o,

C. En caso de ser una persona física o moral, si dispone de un departamento para realizar estas tareas.

La decisión dependerá de las capacidades materiales y humanas con que cuenta el responsable para cumplir con esta obligación, se sugiere que el responsable contemple elementos adicionales al momento de determinar el esquema más conveniente a la organización, como serian las siguientes:

  • El valor que tengan los datos personales para la organización.
  • El tipo de datos personales a tratar,
  • Cantidad de datos personales a tratar,
  • La naturaleza y requerimientos del tratamiento, y
  • El número potencial de solicitudes que podrá recibir por parte de los titulares de datos personales.

FUNCIONES ESPECÍFICAS DE LA PERSONA DESIGNADA POR EL RESPONSABLE

Para establecer las funciones de protección de datos personales del encargado, la organización debe considerara, lo siguiente:

  1. La obligación de cumplir con el tratamiento de datos personales conforme a lo establecido en la Ley “Seguirá siendo en todo momento del responsable”, no obstante el nombramiento de un encargado, por lo que él responsable en todo momento estará obligado a responder sobre el desempeño de las funciones encomendadas al encargado;
  2. Que en el aviso de privacidad establezca con claridad los medios para que los titulares de los datos personales ejerzan los derechos previstos por la Ley, y
  3. Formalizar la relación con el encargado mediante un contrato o instrumento jurídico, en el cual se establezcan las obligaciones de ambos en torno a la protección de datos personales.

Las funciones específicas que son recomendables establecer en materia de atención a solicitudes de derechos, son las siguientes:

A. Definir, establecer y administrar procedimientos para la recepción, tramite, seguimiento y atención oportuna de las solicitudes para el ejercicio de los derechos ARCO, así como para la atención de quejas o solicitudes presentadas por los titulares relacionadas con las políticas y/o prácticas de protección de datos personales establecidas y ejercidas por la organización, y

B. Monitorear los avances o cambios normativos en materia de privacidad y protección de datos personales que pudieran impactar en la operación diaria de la organización, realizando las adecuaciones necesarias.

Tratándose del fomento a la protección de datos personales al interior de la organización, las funciones recomendadas, son las siguientes:

A. Diseñar y ejecutar una política y/o prácticas de protección de datos personales al interior de la organización, o bien, adecuar y mejorar las prácticas ya existentes en el marco de la Ley;

B. Alinear las política y/o prácticas, incluyendo objetivos, acciones estratégicas, líneas de acción, asignación de roles y responsabilidades generales y específicas y procedimientos;

C. Plazos de implementación- a los procesos internos de la organización que involucren el tratamiento de datos personales;

D. Establecer y desarrollar mecanismos para evaluar la eficacia y eficiencia de la política y/o prácticas realizadas por la organización;

E. Monitoreo y evaluación de los procesos internos de la organización vinculados con la obtención, uso, explotación, conservación, aprovechamiento, cancelación y transferencia de datos personales, a fin de asegurar que la información sea protegida, tratada conforme a los principios de la Ley;

F. Colaborar y coordinar acciones con otras áreas de la organización como la legal, de tecnologías, sistemas, seguridad de la información, mercadotecnia, atención al cliente, recursos humanos, entre otras, a efecto de asegurar el debido cumplimiento de la política y/o prácticas de privacidad en sus procesos internos, formatos, avisos, recursos y gestiones que se lleven a cabo;

G. Asegurar que la política y/o prácticas de protección de datos personales cumplan con la Ley y demás normatividad aplicable;

H. Difundir y comunicar la política y/o prácticas de protección de datos personales implementadas al interior de la organización, así como capacitar a todo el personal sobre las mismas;

I. Fomentar una cultura de protección de datos personales orientada a mejorar el nivel de concienciación del personal y terceros involucrados, como encargados, en el tratamiento de datos personales;

 J. Monitorear el cumplimiento de la política y/o prácticas de protección de datos personales de las sociedades subsidiarias o afiliadas bajo el control de común de la organización o cualquier sociedad del mismo grupo del responsable que opere y le sean aplicables estas prácticas;

K. Identificar e implementar mejores prácticas relacionadas con la protección de datos personales;

L. Promover la adopción de esquemas de autorregulación, y

M. Ser el representante de la organización en materia de protección de datos personales ante otros actores.

PERFIL Y ELEMENTOS DEL ENCARGADO DE LAS FUNCIONES DE PROTECCIÓN DE DATOS PERSONALES

A partir de las funciones establecidas en la Ley, así como de las sugeridas en el apartado anterior, se propone considerar el siguiente perfil y elementos requeridos para la persona que tenga a su cargo o bajo su responsabilidad, la función de protección de datos personales en posesión de la organización del responsable:

  1. Contar con conocimiento en materia de protección de datos personales y de seguridad de la información.
  2. Experiencia en la materia de protección de datos personales.
  3. Jerarquía o posición claramente establecida dentro de la organización, que le permitan el cumplimiento cabal de las funciones encomendadas.
  4. Recursos suficientes. Es fundamental que la persona o departamento de datos personales cuente con los recursos materiales, técnicos y humanos necesarios para el ejercicio de sus funciones y actividades establecidas.
  5. Visión y liderazgo.
  6. Enfoque Proactivo.
  7. Habilidades de organización, y
  8. Habilidades de  comunicación.

Adicionalmente a esto la organización deberá determinar elementos adicionales en base a su estructura, ideología, formas de operación, perfil de titulares en base a su mercado objetivo y requerimientos legales adicionales establecidos en el área o actividad en la cual desarrolle.

 

BIBLIOGRAFÍA

  • Ley Federal en Protección de datos Personales en Propiedad de los Particulares.
  • Recomendaciones para la designación de la persona o departamento de datos personales, Secretaria de Economía, Junio del 2011.

 

Lic. Sergio Salom Posselt

Socio Director de Neural Risk

ssalom@neuralrisk.com

Facebook Comments

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

A %d blogueros les gusta esto: