¿Cómo cuidar los datos personales que recaba tu organización?
Si no se incorpora desde los más básicos niveles de conciencia y educación que impida o disminuya la difusión incontrolable de información puede tener un potencial daño irreparable
Corporativo
uso que desconocemos, de ahí que los actores públicos o privados que los manejan deben hacerlo de forma lícita, leal y transparente, y garantizar su seguridad, destacó la American Chamber of Commerce.
Detalló que para garantizar la protección de datos personales, las organizaciones deben:
- planear estratégicamente de conformidad con los principios y deberes previstos en la normatividad, contemplando la creación de un programa interno de cumplimiento en la materia
- transitar de la etapa de contención permanente a la prevención de riesgos y la proyección a largo plazo
“En el entorno digital actual, no basta con respetar la ley, sino que es preciso tener en cuenta la dimensión ética de su tratamiento. La normatividad no puede avanzar al mismo ritmo que lo hace la tecnología, pero sí podemos y debemos asumir estándares éticos que permitan orientar el tratamiento que se da a los datos. Y el primero debe residir en el imperativo categórico más básico: ‘no hagas a los demás lo que no quieres que te hagan'. Si no se incorpora desde los más básicos niveles de conciencia y educación, no hay normatividad ni medida regulatoria posible que impida o disminuya la difusión incontrolable de información con el potencial de causar daños irreparables”, subrayó el organismo.
Por lo anterior, creó una guía de cumplimiento para empresas que establece que la Ley Federal de Protección de Datos Personales en Posesión de los Particulares requiere lo siguiente para las empresas:
1. Identificar el flujo lógico de los datos personales que trata la organización a través de un inventario de datos personales. En esta etapa se identifican también los tratamientos de datos existentes en la organización.
2. A partir de la identificación del flujo lógico de datos y tratamientos, crear los avisos de privacidad que la empresa requiera para legitimar el tratamiento de los datos personales, incluyendo cada uno de los elementos informativos previstos por la normatividad aplicable.
3. Cuando sea legalmente requerido, obtener el consentimiento tácito, expreso y/o expreso y por escrito del titular de los datos personales, quien a su vez podrá ejercer en cualquier momento los derechos de acceso, rectificación, cancelación y oposición (Derechos ARCO) al tratamiento de sus datos personales.
4. Designa una persona y/o Departamento al interior de la organización que sea responsable de atender los Derechos ARCO y fomentar la cultura de la protección de datos personales.
5. Utiliza los datos personales sólo para aquellos fines autorizados por los titulares de acuerdo con las finalidades informadas en el aviso de privacidad.
6. Tratar solo aquellos datos que resulten adecuados, relevantes y necesarios para cumplir con las finalidades del tratamiento.
7. Establecer procedimientos para:
- minimizar el tratamiento de datos personales
- que los datos tratados se encuentren correctos y actualizados en todo momento
- delimitar los periodos de conservación y bloqueo de datos personales de acuerdo con la normatividad aplicable. Una vez concluido el período de bloqueo, realizar la supresión segura de los datos personales
8. Identificar y regular las comunicaciones de datos personales con terceros, ya sea que se trate de una remisión (responsable a encargado) y/o una transferencia (entre dos responsables).
9. Identificar los tratamientos de datos de alto riesgo y realizar una evaluación de impacto en la protección de datos personales para determinar cuáles serán los riesgos que dichos tratamientos podrían implicar para los derechos y libertades de las personas.
10. Se deben dejar claras las acciones concretas y medidas especiales que tenga implementadas el responsable para garantizar la protección de datos personales de menores de edad y de personas en estado de interdicción y con capacidades diferentes determinadas por ley.
a. Implementar y revisar las medidas de seguridad administrativas, físicas y técnicas para proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
b. Para esto, se pueden considerar las recomendaciones emitidas por el INAI y los distintos estándares de seguridad de la información aplicables en el ámbito internacional como las reglas ISO o cualquier otro que resulte aplicable a la organización.
11. Sensibilizar y proporcionar capacitación al interior de la organización en temas de manejo y cuidado de datos personales.
12. Implementar políticas, procedimientos y cualquier mecanismo que permita acreditar el cumplimiento de las obligaciones previstas en la normatividad. Cumplir con la protección de datos implica una responsabilidad proactiva y demostrable por parte de cada organización que trata datos