Brindar a tus clientes la opción de poder acceder, rectificar, cancelar u oponerse a cierto uso de sus propios datos es un derecho que por ley tienes que garantizar y que de no cumplir en su totalidad este año puede traerte importantes consecuencias negativas.
De acuerdo con la reglamentación actualmente ya deberías contar con un aviso de privacidad que debiste entregar a cada persona de la cual tengas sus datos, en él debería estar especificado la información qué solicitas y para qué fines vas a utilizarla.
Asimismo ya debería haber un responsable de la información, sin embargo el organismo Nyce ha identificado que muchas empresas aún no cumplen con los requisitos o al menos no adecuadamente pues optaron por copiar un aviso de privacidad de otra compañía, lo cual podría traerles problemas.
El Gerente de Certificación de Sistemas de Gestión de TI de NYCE, Pablo Corona, explicó, “aunque la ley se publicó hace unos meses y la mayoría de las empresas están empezando a implantar controles muchos trabajan con avisos no alineados a lo que pide la regulación mexicana, además uno de los mayores faltantes es el establecimiento de controles para que se haga buen uso de la información al interior de la organización”.
El experto señaló que las PyMEs no por ser pequeñas tienen menos datos ni responsabilidades, sin embargo cumplir con la reglamentación les ha representado retos especialmente al implementar medidas de seguridad, “aunque una de las cosas que menciona el reglamento es que los controles de seguridad y el diseño de la privacidad de datos estará en función del tamaño y operación de la empresa”, ello quiere decir que las PyMEs pueden buscar un sistema acorde a sus posibilidades.
Corona expuso los pasos que los negocios deben seguir para cumplir con la ley:
– Establecer el origen de las bases de datos, de dónde sacan la información y para qué la quieren, con ello es posible filtrar los datos sensibles que deben ser protegidos de manera más importante y eliminar los que no son necesarios.
– Realizar un análisis sobre el tratamiento de la información para establecer responsables, quién puede acceder a ella, quién modificarla o borrarla.
– Contar con mecanismos que les permita unificar las bases de datos, en caso de que ello no sea posible, buscar opciones compatibles que hablen entre sí de manera automática, para que en caso de cambio éste se vea reflejado en todas.
– Implementar controles de seguridad, para este punto Nyce propone la Norma ISO 27000 e ISO 27001 la primera con requisitos y la segunda con detalles sobre los controles de seguridad a implementar para mantener la seguridad de datos y garantizar la confidencialidad, disponibilidad e integridad de los mismos.
– Establecer roles y responsabilidades en la organización, ello implica capacitar a la gente y no sólo puestos gerenciales sino a quienes día a día recopilan la información.
El objetivo de estos puntos es garantizar que en caso de que un usuario solicite ejercer sus derechos ARCO (acceso, rectificación, cancelación y oposición) las empresas estén listas, pues de lo contrario podrían recibir una sanción por parte de IFAI que va desde los 400 mil pesos hasta los 72 millones de pesos en caso de reincidencia y dolo.
Ariadna Cruz
Información relacionada
[tubepress views=”false” title=”false” length=”false” video=”K534KoCU3yU”]
