Ante la reciente aprobación de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, que regula y protege la información personal manejada por particulares, expertos de Deloitte México afirman que se vuelve fundamental el control del “ciclo de vida del dato” en las organizaciones, es decir: vigilar cómo viaja la información entre sus distintos departamentos, dónde se duplica, cómo se almacena, a quién se envía y, finalmente, cómo y cuándo se destruye.
Con base en el punto de vista de Deloitte México llamado “Ley Federal de Protección de Datos Personales en Posesión de los Particulares” , la entrada en vigor de esta Ley significa para las empresas nuevas obligaciones jurídicas, técnicas, físicas y organizacionales, e implica revisar minuciosamente el tratamiento que se le da a los datos personales , así como una mayor atención a aspectos que tradicionalmente no se cuidaban, como podrían ser la seguridad en los puestos de trabajo y el empleo de artículos de oficina usados para reproducir o portar información, como podrían ser el uso del fax, escáner, fotocopiadoras, memorias USB, entre otros.
“Para lograr alinearse a los nuevos requerimientos, las empresas necesitan observar tres macroprocesos en el manejo de la información: la obtención, mantenimiento y cancelación de datos, y a partir de esto, realizar un análisis de brechas en cada uno, apoyados en la aplicación de las mejores prácticas y marcos de referencia que controlen y administren la seguridad y privacidad de los datos, tal como lo requiere la nueva legislación”, comentó Eduardo Cocina, Socio de la práctica de Riesgos de TI en Deloitte México.
Lo anterior, no puede llevarse a cabo sin el compromiso y participación del recurso humano de las propias empresas, es decir, con los diferentes actores involucrados para implementar y gestionar la seguridad de la información, donde los roles se dividirían en tres áreas:
Legal.- El punto de contacto con las autoridades y las áreas internas. Es importante su participación en el diseño, implementación y gestión de las actividades para el cumplimiento de los requerimientos.
Proceso de negocio.-El punto de contacto de los titulares para dar respuesta, entre otras, a las solicitudes ARCO (acceso, rectificación, cancelación y oposición). Participan en la obtención de la información (aviso de privacidad, consentimiento).
Tecnología.- Es necesaria para la implementación de medidas administrativas, técnicas y físicas para proteger la seguridad de los datos, basadas en un análisis de riesgos. Es relevante para la administración de disponibilidad, vulnerabilidades e incidentes.
Multas severas a infractores
Bajo este contexto, siendo que la Ley entró en vigor al otro día de su publicación en el Diario Oficial de la Federación el 5 de julio de 2010, las empresas cuentan con un plazo entre 12 y 18 meses a partir de esta fecha para implementar políticas y procedimientos, así como los mecanismos necesarios en las áreas de recursos humanos, legal, tecnología y procesos para dar inicio al procedimiento de protección de derechos (ARCO).
Las sanciones que se han anunciado para quienes infrinjan la seguridad de datos personales van desde multas económicas, que van desde 100 hasta 320 mil días de salario mínimo general vigente, hasta la privación de la libertad por meses o años, para quien lucre con la información personal de los titulares.
Finalmente, las fechas importantes marcadas por la Ley que se deberán tener presentes para lograr su cumplimiento en los tiempos determinados y evitar sanciones son:
5 de julio de 2011: Designación de Persona o Departamento de Datos Personales. Avisos de privacidad a los titulares.
5 de enero de 2012: Ejercicio de derechos ARCO. Inicia el procedimiento de protección de derechos.
Redacción
