De acuerdo con Pink Elephant, pese a que la Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) entró en vigor desde el 6 de julio de 2010, aún son muchas las empresas que no han entendido totalmente esta regulación. En julio de 2013 vence el plazo para cumplir con dicha ley.
“Como consultor he observado que muchas empresas aún no están del todo enteradas del objetivo fundamental de la LFPDPPP, el cual es proteger los Datos Personales regulando su tratamiento legítimo, con el objetivo de garantizar la privacidad y el derecho de autodeterminación de las personas. Nosotros como dueños de nuestros propios datos tenemos el derecho de decidir qué hacer con ellos, cuántos de nosotros no recibimos correos “spam” y otros que realmente no queremos recibir y ni siquiera sabemos cómo obtienen nuestra información”, señala Carlos Kornhauser, director de Consultoría en Seguridad de Pink Elephant México.
Cabe recordar que los datos personales se dividen en dos categorías. Datos personales, la información que hace a una persona identificable como fotografías, nombre, lugar de residencia, sexo, dirección, CURP, RFC, entre otros. Y datos personales sensibles, los cuales pudieran provocar discriminación o alerta de secuestro, como los datos patrimoniales, biométricos y el estado de salud.
Asimismo, la LFPDPPP requiere la administración de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), revisión de cómo se realiza la transferencia de información, la gestión de incidentes, plan de contingencias y procesos de eliminación de las bases de datos, entre otros.
En caso de no cumplir con estos requerimientos, las organizaciones pueden ser sujeto de penalizaciones que van de los cien a los 320 mil días de salario mínimo vigente en el Distrito Federal, y cuyo monto se podría duplicar en caso de reincidencias. De igual forma, el tratamiento indebido de los datos personales puede ser penalizado con tres meses a cinco años de prisión.
A decir de Pink Elephant, su empresas deben siempre tener el consentimiento del titular de los datos, informarle del tratamiento que se dará a sus datos (aviso de privacidad), implementar medidas de seguridad para evitar la modificación, pérdida, tratamiento o acceso no autorizado a la información, y establecer procedimientos y facilidades para que el titular pueda ejercer sus derechos ARCO, así como cumplir con todos los requerimientos en materia de seguridad de bases de datos y archivos electrónicos.
“Para una correcta administración de la información que nos brindan nuestros clientes, debemos identificar la brecha, desarrollar un plan de acción, qué es lo que nos hace falta, ya cumplimos con todos los requerimientos ahora, ¿qué sigue?, gestionar la LFPDPPP, cumplir con nuestro Aviso de Privacidad, cumplir con el Reglamento”, indicó la compañía en un comunicado.
“En las empresas debemos tomar en cuenta que nuestro personal de TI, aquel que esté encargado de llevar y salvaguardar esta información debe de estar capacitado adecuada y responsablemente sobre la administración de los derechos ARCO y la seguridad de la información, crear una concientización interna sobre esto, ya que muchas veces es en esta área donde manejan datos de esta categoría y es de suma importancia saber cómo tratarlos y protegerlos”, añadió Kornhauser.
Por último, recomendó no olvidar implementar las medidas de seguridad adecuadas, ya sean auditorías internas de manera periódica con un manejo de calidad y seguridad adecuado, analizar los hallazgos y realizar una mejora continua.
