El accountability o responsabilidad demostrada es un término anglosajón que se utiliza para definir la responsabilidad legal o económica; e implica responder o rendir cuentas de las actividades. Este concepto surge de la necesidad de contar con un seguimiento de las acciones y decisiones que se tomen en una empresa.
Naturalmente, este participa de una tendencia a nivel mundial como parte del compliance dentro de las empresas, por lo que el tema de la protección de datos no podía ser la excepción.
En ese sentido Nymity, compañía de investigación especializada en el cumplimiento normativo y en la implementación y gestión efectiva de Programas de Protección de Datos Personales (PPDP), lanzó el Programa Integral de Protección de Datos Personales basado en estándares de responsabilidad demostrada, junto con una serie de recomendaciones para ayudar a su implementación.1
Como resultado de sus investigaciones, Nymity concluye que los programas efectivos de protección de datos se basan en tres elementos:
- responsabilidad, entendida como el mantenimiento de un efectivo PPDP compuesto de actividades de gestión de información
- control, esto es, que un individuo dentro de la organización se adueñe y sea responsable por el monitoreo de las actividades relacionadas
- evidencia, que se produce como un subproducto del mantenimiento de las actividades de gestión de información y sirve para demostrar el cumplimiento legal además de la adopción de estándares de responsabilidad demostrada en la organización
A continuación retomamos parte de las prácticas recomendadas por Nymity al ser estas una excelente guía para realizar una verdadera gestión de protección de datos. Si bien varias de estas sugerencias parecieran aplicables a empresas que manejan grandes volúmenes de datos personales, es posible adaptarlas en lo conducente a pequeñas y medianas empresas, todo ello con el afán de disminuir los riesgos que implica su manejo inadecuado.
Como empezar la gestión de datos
En el documento “Una aproximación estructurada a la gestión de datos personales: Manual introductorio”, Nymity ofrece un cuaderno de trabajo realizado bajo la conducción de José Alejandro Bermúdez2para la elaboración de un plan que le conduzca a dilucidar por donde debe empezar.
Los retos para iniciar con un PPDP en una empresa son numerosos, no obstante, es posible a partir del análisis de tres puntos:
1. Estudio preliminar: identifique, entienda y documente el estado actual de la gestión de protección de datos a lo largo de la organización e identifique los recursos disponibles para ello, tales como personal, procedimientos, tecnología y herramientas.
El primer paso es determinar el estado actual de la gestión de datos personales a lo largo de la organización. Para hacer esto, debe entender la diferencia entre “gestión de datos personales” y “PPDP”; la gestión de datos personales se centra en las actividades controladas por el área dentro de un programa formal.
Mediante la identificación de estas actividades, será posible aprovechar los recursos existentes e influir en lo que ya está sucediendo
2. Estrategia: en esta etapa, solo tiene que escoger una estrategia, evitando iniciar con la selección de las actividades de gestión de información para su implementación, ya que esto es propio del siguiente paso.
Según sus necesidades, elija una de dos estrategias, de:
- cumplimiento: contempla un grupo de actividades de gestión de información que son obligatorias para el cumplimiento operacional en la organización. Como mínimo, reflejan un cumplimiento basado en leyes de privacidad y protección de datos, pero también pueden reflejar el cumplimiento con base en otras fuentes como códigos basados en principios, códigos voluntarios, políticas internas organizacionales de protección de datos y acciones legales.
En general, las organizaciones que buscan utilizar esta estrategia se identifican por:
- riesgo bajo o medio en relación con el tratamiento de datos
- riesgo mayor pero con recursos limitados para la gestión de datos personales
- ser nuevas en la gestión de datos personales y la estrategia de cumplimiento les da un punto de partida
- tener un Oficial de Protección de Datos (OPD) que no ha logrado un compromiso de la alta dirección con la estrategia de responsabilidad demostrada, y
- no haber enfrentado un incidente de datos personales mayor o no han sido investigados
Las ventajas de esta estrategia es que en general se requiere el mínimo de recursos y además es fácil de comunicar
- Responsabilidad Demostrada (Accountability): Para demostrar la responsabilidad se debe abordar el cumplimiento, pero a diferencia de la anterior, esta va más allá de observar de manera estricta los requisitos de la ley. Refleja la tendencia global de poner en práctica una gestión de datos personales robusta y estar preparado para probar una correcta gestión de datos personales. Se debe tomar en cuenta la estructura, escala, volumen y sensibilidad de las operaciones de la organización y extender la responsabilidad del tratamiento de datos personales más allá del área de protección de datos, mediante la asignación de responsabilidades a otras áreas de la organización que los traten. Esta estrategia generalmente exige un alto nivel de recursos
3. Plan: El siguiente paso es mejorar la gestión de datos personales en toda la organización basada en la estrategia elegida. En este, es menester priorizar las actividades de gestión de información deseadas, por lo que es imperioso comenzar identificando las actividades necesarias para la implementación de la estrategia, según un perfil de recursos:
Bajos | Medios | Altos |
Oficial de Protección de Datos (OPD) a tiempoparcial | Apoyo de la organización | Apoyo real de la altadirección y un área de protección de datos con recursosabundantes |
Organizaciones con una persona paraquien el rol de OPD essecundario. Obtienen un presupuestolimitado, porqueesunaorganizaciónpequeña o que no tratagrandesvolúmenes de datos | OPD de tiempocompleto, entusiasta y dedicado a la promoción de la PDD y del PPDP en toda la empresa | Un equipo con suficiente personal a disposiciónquerecurre a firmas de abogados o de consultoríaexterna. Plenocompromiso de lasunidadesoperativas y de negocio |
Características | ||
Dado que el OPD no es de tiempocompleto, tienepocoespaciodisponibleparaencargarse de lastareas | Cultura de cumplimiento legal (compliance), talcomosucede en lasindustriasaltamentereguladas | Alta aversión al riesgo y unacultura de cumplimiento legal y normativo |
Esunaorganización del sector público o del sector privado con limitacionespresupuestales | El tratamiento de datoses parte del negocio principal | La PDD ha llegado hasta la junta directiva, por lo que se le hanasignadorecursos y responsabilidadesdesdedichoórgano |
El riesgo de protección de datos se percibecomobajocomparativamente con otrosretos u oportunidades | Ha sufridoincidentes de seguridad y la altadirecciónestápreocupadasobreincidentesfuturos, el dañoreputacional y lasconsecuenciaslegales | Por lo general, ha ocurrido un incidente de seguridad de grandes magnitudes o esto le ha ocurrido a un competidor |
No se ha logradoobtenerrecursos de la mayoría de lasáreasoperativas tales comorecursoshumanos, tecnologías de la información o marketing | Obligacionescontractualesparaincluirbuenasprácticas al respecto | Han sidoobjeto de investigaciónpor parte de la autoridadcompetente en la materia |
Como crear un entorno de protección
La siguiente herramienta recomendada por Nymity es un Marco de Gobernanza en Privacidad y Protección de Datos Personales consistente en un listado de las actividades de gestión de información que pueden ser aplicados con independencia de la industria o actividad de la empresa.
1. Mantenga una estructura de gobernanza
Asegúrese de que haya personas encargadas de protección de datos, responsabilidad de directivos y procedimientos de reporte.
Acciones
- Asigne responsabilidades en protección de datos personales que no recaigan en un solo individuo o área sino en toda la compañía
- nombre un OPD independiente y con funciones de supervisión
- mantenga roles y responsabilidades para los responsables
- involucre en los asuntos de protección de datos a las partes interesadas dentro de la organización
- lleve a cabo una evaluación corporativa de riesgo en la materia e intégrela en los reportes de gestión de los riesgos del negocio
- dé continuidad a la estrategia, misión y visión del PPDP
- exija que los empleados reconozcan y se adhieran a las políticas de protección de datos
- involucre a los directivos
2. Realice un inventario de datos y de sus flujos
Se recomienda que elabore un listado de categorías de datos por tipos (qué datos personales son almacenados y en dónde).
Acciones
- Mantenga diagramas de flujo para los datos personales
- haga registros de los mecanismos usados para hacer transferencias internacionales de datos
- use contratos como mecanismo de transferencia de datos
- prefiera las herramientas aprobadas por las autoridades de protección de datos como mecanismos de transferencia de datos
3. Elabore una política de protección de datos
Asegúrese de que esta cumpla tanto con los requerimientos legales como con los relativos a los riesgos operacionales.
Acciones
- Cree una política de protección de datos de empleados
- documente las bases legales del tratamiento
- elabore códigos de conducta o manuales internos en el tratamiento de datos personales
4. Integre la protección en las operaciones
Procure que este tema no sea exclusivo del área encargada sino que se extienda a todas aquellas en las que se involucren datos personales.
Acciones
- Elabore procedimientos para la recolección y uso de datos personales sensibles (incluyendo datos biométricos de niños y menores de edad)
- establezca medidas para velar por: la calidad; anonimización; para revisar los tratamientos hechos total o parcialmente por medios automatizados; los usos secundarios; obtener válidamente el consentimiento, y la destrucción segura de datos personales
- integre la protección de datos en el uso de cookies y de mecanismos de rastreo y localización, así como en las prácticas de retención de registros, marketing directo y por vías telefónica y correo electrónico; contratación; los comités de trabajo; monitoreo de empleados; uso de sistemas de video-vigilancia
5. Promueva programas
Abarque la capacitación y concientización continua de la promoción del cumplimiento de la política de protección de datos y mitigación de los riesgos operacionales.
Acciones
- Lleve a cabo entrenamientos en protección de datos, e incluya contenidos específicos según los puestos de trabajo
- incorpore la protección de datos en otros programas de adiestramiento tales como recursos humanos, seguridad, call center, etc.
- desarrolle un boletín de protección de datos o incorpore la materia en las comunicaciones corporativas existentes
- publique materiales para crear conciencia sobre protección de datos
- mida la participación en las actividades de entrenamiento en protección de datos
6. Gestione los riesgos de seguridad
Para realizarlo tome como base todos los requerimientos legales, junto con los resultados que arrojen sus evaluaciones de riesgos periódicas.
Acciones
Integre la protección de datos en una política de seguridad de la información (incluya la salvaguarda de las instalaciones físicas y de activos tangibles al implementar medidas tecnológicas para tal efecto)
- designe medios para encriptar los datos personales
- restrinja el acceso a información personal
- cree planes de respaldo y continuidad del negocio
- elabore una estrategia de prevención de pérdida de datos
- lleve a cabo exámenes regulares de las condiciones de seguridad de los datos personales
- obtenga y conserve una certificación de seguridad
7. Administre los riesgos con terceros
Celebre contratos y acuerdos con externos que sean consistentes con su política de protección de datos, los requerimientos legales y sus niveles de riesgo operacional tolerables.
Acciones
- Provea requerimientos de protección de datos personales para sus clientes, proveedores, encargados, afiliados, etc.
- realice procesos de debida diligencia de las prácticas de protección de datos y seguridad de la información de los potenciales proveedores/encargados, incluso de los terceros que suministran información personal a su corporación
- redacte una política para contratar a los prestadores de servicios en la nube
- revise los contratos de largo plazo para detectar posibles vulneraciones de protección de datos nuevos o en evolución
8. Mantenga avisos de privacidad
Procure que estos siempre estén disponibles y que cubran todas las características previstas por la ley.
Acciones
- Cree un aviso que detalle las prácticas de la organización en el manejo de datos personales
- capacite a sus empleados para explicar o dar a conocer el aviso de privacidad en cualquier momento
- ponga a disposición el aviso de privacidad en medios visibles como letreros y carteles, además en las comunicaciones de marketing
- inserte el aviso de privacidad en todos los contratos que ofrezca, junto con los términos de uso
- procure una certificación de privacidad o un sello de confianza para incrementar la confianza de los clientes
9. Atienda las peticiones y quejas
Para lograrlo instaure procedimientos efectivos que le permitan interactuar con los titulares de los datos personales.
Acciones
- Construya procesos para dar seguimiento puntual a las peticiones, quejas y reclamos, inclusive para dar respuesta a las solicitudes de acceso, actualización o corrección, eliminación o restricción de datos personales
- establezca procedimientos para responder las solicitudes relacionadas con el derecho al olvido o borrado de datos
- rastree y reporte las mediciones de las quejas de protección de datos
10. Monitoree las nuevas prácticas comerciales
Esto le permitirá identificar los riesgos que representen los productos o prácticas novedosos y garantizar la implementación de los principios de privacidad en cada uno de ellos.
Acciones
- Implemente guías y formatos para las evaluaciones de impacto de privacidad y de protección de datos para nuevos programas, sistemas y procesos, o en el caso de que se realicen cambios
- involucre a los interesados externos
- identifique y tome medidas para enfrentar problemas de protección de datos detectados
11. Mantenga programas de gestión
En estos deberá incluir tanto a los incidentes como a las vulneraciones de los datos personales.
Acciones
- Elabore un plan de respuesta a incidentes/brechas de datos personales
- cree un protocolo de notificación para los titulares afectados sobre este tipo de inconvenientes
- mantenga un registro para rastrear incidentes/brechas, junto con un sistema de seguimiento y reporte
- lleve a cabo pruebas periódicas del plan de respuesta a este tipo de situaciones
- involucre a un equipo de investigación forense
- obtenga un seguro con cobertura de incidentes de datos personales
12. Revise las prácticas de manejo de datos
Acciones
- Mantenga certificaciones, acreditaciones o sellos de protección de datos para demostrarle a las autoridades el cumplimiento legal
- autoevalúe su gestión de datos personales auditando (interna y externamente) sus programas
- revise frecuentemente sus procedimientos y compárelos con los eventos externos mediante las quejas, incidentes o brechas que hubiese recibido o detectado
- recolecte la evidencia para probar el cumplimiento legal o la responsabilidad demostrada
13. Siga los criterios externos
Haga un seguimiento continuo a los nuevos requerimientos de cumplimiento, expectativas y buenas prácticas.
Acciones
Comentario final
La protección de datos y a la autodeterminación informativa (uso y destino) son derechos humanos resguardados por la Constitución Política de los Estados Unidos Mexicanos, por lo que es de vital importancia que la empresa tenga el control y resguardo de los datos: el contar con herramientas para hacerlo facilita el cumplimiento.
Las recomendaciones brindadas por Nymity (aliado estratégico en México de Davara Abogados, S.C.) están basadas en los resultados obtenidos en sus investigaciones a nivel mundial sobre el cumplimiento legal en la protección de datos, que aun cuando no están enfocadas a una legislación específica, su uso se extiende a cualquier jurisdicción, industria o sector, por lo que si las observa podrá mitigar el riesgo; prepárese en lugar de reaccionar.