Llegó el día D para la aplicación de la LFPDPPP

Pues finalmente el Instituto Federal de Acceso a la Información Pública (IFAI) ha iniciado con los requerimientos para las empresas, principalmente del sector de servicios de comunicaciones, con el objetivo de revisar la forma en la que las organizaciones actúan ante peticiones particulares de ejercicios de derechos ARCO.

Estos requerimientos surgen a través de reportes enviados al Instituto por los titulares y que, al parecer, no se apegaron a los términos establecidos por la ley.

 
En los requerimientos, el IFAI solicita varios elementos:
 
  • Copia de los documentos donde se recaba el consentimiento expreso cuando se trata de datos sensibles.
     
  • La política de confidencialidad de la empresa según lo que expresa el Artículo 21 de la Ley.
  • El “Documento de Seguridad de los Datos Personales” y la forma como se actualiza.
  • El aviso de privacidad y la forma en la que se da a conocer a los titulares de los datos.
  • La forma en la que se garantiza la confidencialidad de los datos personales, (Procesos, políticas y sistemas).
  • Informar si han tenido o sufrido vulnerabilidad a la seguridad de sus sistemas y datos. Así como los reportes de riesgo que puedan preveer cualquier contingencia.
  • Manifestar qué personal de la organización tiene acceso a lo datos personales y de qué manera han sido controlados y concientizados sobre la importancia de los datos que manejan. En este punto solicitan también las responsivas correspondientes.
  • Informar sobre las medidas físicas, técnicas o administrativas que ha implementado para tratar los datos personales y en particular los que sean sensibles.
 
Para ello es importante realizar las siguientes acciones:
 
  • Identificar las fuentes y orígenes de datos personales.
  • Clasificar los datos, señalando los que sean sensibles -hay que recordar que son considerados así los que puedan poner en riesgo grave o puedan prestarse a discriminación del titular.
  • Hacer un análisis para establecer la finalidad con la que recabamos cada dato personal, recordando que si hay un dato que no nos sirve o no utilizamos, debemos dejar de recabarlo.
  • Poner especial atención en los expedientes de recursos humanos de empleados potenciales, actuales y pasados de la organización, así como en los de clientes que sean personas físicas, ya sean prospectos, actuales o pasados.
  • Generar y administrar nuestro “Documento de Seguridad de Datos Personales”.
  • Realizar un análisis de los riesgos a los que están expuestos los datos personales, considerando las posibles vulneraciones que contempla el Artículo 63 del reglamento.
  • Identificar los controles que requeriremos para minimizar los riesgos detectados.
  • Realizar una análisis de brecha sobre qué controles ya tenemos implementados y establecer un plan de trabajo para implementar los faltantes. Cabe destacar que tenemos hasta junio de 2013 para implementar estos controles.
  • Asegurarnos que contamos con un aviso de privacidad que esté alineado a los elementos señalados por el Art. 26 del reglamento y el 16º de la Ley. El aviso de privacidad debe contar con los datos de identificación de nuestra organización como responsable de proteger los datos, los datos personales que recabamos (señalando si se trata de datos sensibles y en su caso recabando el consentimiento expreso), así como las finalidades y los tratamientos a los que someteremos los datos personales, las organizaciones con las que podremos compartir datos (transferencias), y las vías de contacto para ejercer los derechos ARCO, para notificar cambios en el aviso de privacidad a los titulares y los medios que utilizamos para garantizar la confidencialidad de los datos.
 
También es necesario designar una persona o departamento responsable de la protección de datos personales al interior de nuestra organización.
 
Recordar que a partir del seis de enero de este año ya debemos contar con los mecanismos para atender solicitudes de ejercicio de derechos ARCO en los términos del capítulo VII del reglamento.
 
Por último, y no por ello menos importante, capacitar a nuestro personal, tanto al que recaba como al que maneja datos personales, identificando el ciclo de vida de los mismos, desde que son recopilados  hasta que son destruidos o cancelados para su uso.