¿Cómo cuidar los datos personales que recaba tu organización?

Si no se incorpora desde los más básicos niveles de conciencia y educación que impida o disminuya la difusión incontrolable de información puede tener un potencial daño irreparable

.
 .  (Foto: iStock)
Durante 2018 cada persona generaba 1.7 MB  de datos por segundo, todos estos datos  constituyen nuestra identidad digital y la estamos proporcionando para un  

uso que desconocemos, de ahí que los actores públicos o privados que los manejan deben hacerlo de forma lícita, leal y transparente, y garantizar su seguridad, destacó la American Chamber of Commerce. 

Detalló que para garantizar la protección de  datos personales, las organizaciones deben: 

  • planear estratégicamente de conformidad con los principios y deberes previstos en la normatividad, contemplando la creación de un programa interno de cumplimiento  en la materia
  • transitar de la etapa de contención permanente a la prevención de  riesgos y la proyección a largo plazo

“En el entorno digital actual, no basta con respetar la ley, sino que es preciso tener en cuenta la dimensión ética de su tratamiento. La normatividad no puede avanzar al mismo ritmo que lo hace la tecnología, pero sí podemos  y debemos asumir estándares éticos que permitan orientar el tratamiento que se da a los datos. Y el primero debe residir en el imperativo categórico más básico: ‘no hagas a los demás lo que no quieres que te hagan'. Si no se incorpora desde los más básicos niveles de conciencia y educación, no hay normatividad ni medida  regulatoria posible que impida o disminuya la difusión incontrolable de información con el potencial de causar  daños irreparables”, subrayó el organismo. 

Por lo anterior, creó una guía de cumplimiento para empresas que establece que la Ley Federal de Protección de Datos Personales en Posesión de los Particulares requiere lo siguiente para las empresas:

1. Identificar el flujo lógico de los datos personales que trata la organización a través de un inventario de datos personales. En esta etapa se identifican también los tratamientos de datos existentes en la  organización. 

2. A partir de la identificación del flujo lógico de datos y tratamientos, crear los avisos de privacidad  que la empresa requiera para legitimar el tratamiento de los datos personales, incluyendo cada  uno de los elementos informativos previstos por la normatividad aplicable. 

3. Cuando sea legalmente requerido, obtener el consentimiento tácito, expreso y/o expreso y por escrito del titular de los datos personales, quien a su vez podrá ejercer en cualquier momento los derechos  de acceso, rectificación, cancelación y oposición (Derechos ARCO) al tratamiento de sus datos personales. 

4. Designa una persona y/o Departamento al interior de la organización que sea responsable de atender  los Derechos ARCO y fomentar la cultura de la protección de datos personales. 

5. Utiliza los datos personales sólo para aquellos fines autorizados por los titulares de acuerdo con las  finalidades informadas en el aviso de privacidad. 

6. Tratar solo aquellos datos que resulten adecuados, relevantes y necesarios para cumplir con las  finalidades del tratamiento.

7. Establecer procedimientos para: 

  • minimizar el tratamiento de datos personales
  • que los datos tratados se encuentren correctos y actualizados en todo momento
  • delimitar los periodos de  conservación y bloqueo de datos personales de acuerdo con la normatividad aplicable. Una vez  concluido el período de bloqueo, realizar la supresión segura de los datos personales

8. Identificar y regular las comunicaciones de datos personales con terceros, ya sea que se trate de una  remisión (responsable a encargado) y/o una transferencia (entre dos responsables). 

9. Identificar los tratamientos de datos de alto riesgo y realizar una evaluación de impacto en la protección de datos personales para determinar cuáles serán los riesgos que dichos tratamientos podrían implicar para los derechos y libertades de las personas. 

10. Se deben dejar claras las acciones concretas y medidas especiales que tenga implementadas el  responsable para garantizar la protección de datos personales de menores de edad y de personas en  estado de interdicción y con capacidades diferentes determinadas por ley. 

a. Implementar y revisar las medidas de seguridad administrativas, físicas y técnicas para proteger los  datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no  autorizado. 

b. Para esto, se pueden considerar las recomendaciones emitidas por el INAI y los distintos estándares  de seguridad de la información aplicables en el ámbito internacional como las reglas ISO o cualquier otro que resulte aplicable a la organización. 

11. Sensibilizar y proporcionar capacitación al interior de la organización en temas de manejo y cuidado  de datos personales. 

12. Implementar políticas, procedimientos y cualquier mecanismo que permita acreditar el cumplimiento  de las obligaciones previstas en la normatividad. Cumplir con la protección de datos implica una  responsabilidad proactiva y demostrable por parte de cada organización que trata datos