El Economista (México) - Reporte Especial
Soluciones que podemos aprender de la experiencia internacional
Resulta innegable que la importancia de la protección de los datos personales y de la privacidad ha aumentado en los últimos años como resultado de tres fenómenos generales: la emisión de nuevas leyes en la materia (donde el nuevo Reglamento General de Protección de Datos de la Unión Europea ocupa un lugar relevante), el crecimiento exponencial de los servicios digitales y la presencia de vulneraciones a la seguridad que han puesto en riesgo los datos personales de millones de individuos.
Frente a esta realidad, crece en México el interés y la necesidad por comprender cuáles son las medidas legales, técnicas y organizativas que debemos adoptar para cumplir con el objeto de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
Las organizaciones más sofisticadas han asimilado que dicha protección no se brinda a través de un aviso de privacidad, dado que este documento sólo comprende el cumplimiento del principio de información relativo al tratamiento de datos personales. Las organizaciones con políticas sólidas reconocen la existencia de otros principios y obligaciones que deben ser atendidos para alcanzar un nivel integral de cumplimiento dirigido a la protección de este activo.
Debemos destacar que cualquier responsable de datos personales debe adoptar medidas para el cumplimiento del principio de responsabilidad, que en su nivel más elemental se constituye como “la obligación de velar y responder por el tratamiento de los datos personales que se encuentren bajo su custodia o posesión, o por aquellos que haya comunicado a un encargado (artículo 47 del Reglamento de la LFPDPPP). El mismo numeral de referencia dispone que para cumplir con esta obligación “el responsable podrá valerse de estándares, mejores prácticas internacionales, políticas corporativas, esquemas de autorregulación o cualquier otro mecanismo que determine adecuado para tales fines”.
Pero, ¿en qué consisten las mejores prácticas internacionales? ¿Existen fuentes o referencias para encontrarlas? ¿Cualquiera de ellas será útil para mi organización?
En gran medida, las mejores prácticas internacionales han sido desarrolladas e impulsadas por autoridades de protección de datos y por organizaciones cuyo objeto comprende la promoción de la seguridad de la información y de los datos personales. También es posible encontrar mejores prácticas desarrolladas por empresas privadas, que tienden a estar orientadas a su propia actividad.
En el presente espacio deseamos brindar al lector referencias para la búsqueda de mejores prácticas relacionadas con actividades de tratamiento específicas, que han sido desarrolladas por autoridades y organizaciones internacionales. La lista que acompaña este artículo no es exhaustiva, pero demuestra el nivel de especialización que es posible alcanzar en la búsqueda de acciones y medidas para la protección de los datos personales relacionadas con determinadas actividades y colectivos.
En todos los casos, siempre será recomendable que nuestra organización determine su nivel de cumplimiento global y, en su caso, aquel relacionado con actividades o colectivos específicos que resulten esenciales para el negocio.