Ley de protección de datos y su impacto en los procesos de la empresa.
-
Upload
blein-consulting -
Category
Business
-
view
2.250 -
download
2
description
Transcript of Ley de protección de datos y su impacto en los procesos de la empresa.
Ley Federal de Protección de Datos
Personales en Posesión de Particulares
Retos operativos y culturales para las empresas
¿Cómo impacta esta nueva ley
a las empresas en México?
La Ley Federal de Protección de Datos
Personales en Posesión de Particulares
(LFPDPPP) es aplicable para todas las
personas físicas o morales de carácter
privado que obtengan, usen, divulguen o
almacenen datos personales de sus clientes.
En términos prácticos, esta ley aprobada el
13 de Abril del 2010, y que su reglamento
final se publicó en Diciembre del 2011,
impacta a todo tipo y tamaño de empresas.
A algunas por su giro, les exigirá cambios
menores en su comunicación con clientes,
pero a otras empresas cuyo giro implique
la suscripción de los Clientes a su servicio o
las que deban dar seguimiento al Cliente a
través de toda la vida de su producto /
servicio, esta nueva ley les exigirá un
cambio sustantivo en sus procesos de
servicio y atención a clientes, y en el
manejo de la seguridad de la información.
A continuación mencionamos algunas de
las industrias que requerirán un mayor
esfuerzo operativo para el cumplimiento
de la ley:
Aseguradoras
Bancos y otros servicios financieros
Empresas de telecomunicaciones
(telefonía, cable, internet)
Instituciones educativas
Servicios básicos (gas)
www.bleinconsulting.com UNLEASH THE BIZ | p. 2
y en general todas aquellas empresas que
manejen una gran cantidad de información
personal de sus clientes y ofrezcan servicios
recurrentes.
Por su naturaleza esta ley tiene un mayor
impacto en áreas Comerciales, de Servicio a
Clientes, de Sistemas y de Operaciones
donde se involucre la información del
Cliente, que son típicamente aquellas que
requieren para alguna actividad, los datos
personales específicos de clientes,
prospectos, contactos, u otros actores,
independientemente de si se tiene una
relación jurídica con ellos.
En resumen, esta nueva ley impacta a las
empresas en 3 principales temas:
1. Seguridad en el manejo de la
información de los Clientes.
2. Habilitar los canales de
comunicación con los Clientes para
dar a conocer el aviso de privacidad y
recibir las solicitudes de los mismos
sobre acceso, rectificación, oposición
y cancelación. (Derechos ARCO).
3. Tener los procesos necesarios para
accesar la información de los Clientes
y resolver sus solicitudes de acceso,
rectificación, oposición y cancelación
en tiempo y forma.
Antecedentes de la Ley
Federal de Protección de Datos
Personales en Posesión de
Particulares (LFPDPPP)
La iniciativa de proteger la información
personal cuenta con una larga historia
legislativa. En los países europeos; fue en
1995 que se aprobó la directiva 95/46/CE en
el Parlamento Europeo bajo el nombre de
“Data Protection Directive”, la cual
buscaba no solo la protección de la
información personal de la gente, sino
también su libre circulación a través de los
países que constituyen la Unión Europea.
Mientras que en el año 2006, fue aceptada
en los Estados Unidos el acta 815 ILCS 530,
que fue llamada “Personal Information
Act”.
Es hasta en el año 2010 que se autoriza en
México la LFPDPPP, cuyo reglamento se
expidió en Diciembre del 2011.
En congruencia con las demás leyes (sobre
todo con la europea), busca el
cumplimiento de 8 principios mandatorios
para el aseguramiento de la información
personal:
Licitud
Consentimiento
Información
Calidad
Finalidad
Lealtad
Proporcionalidad
Responsabilidad
Son estos principios los que se buscan
cumplir en la ley y su reglamento, a través
de la implementación de acciones en la
empresa, donde uno de los más valiosos
conceptos para su entendimiento es el que:
“los datos personales le pertenecen a la
persona y no a la empresa que los trata”.
¿Qué elementos considera la
LFPDPPP?
Con la intención de informar y desde un
punto de vista práctico, podemos englobar
los principales elementos de la ley en 7
temas:
1. 8 Principios básicos
2. Aviso de privacidad
www.bleinconsulting.com UNLEASH THE BIZ | p. 3
3. Derechos ARCO
4. Relaciones con terceros
5. Seguridad de la información
6. Auto-regulación
7. Sanciones
A continuación presentamos un resumen
de los temas principales de la ley, aunque
para un entendimiento detallado, la
LFPDPPP y el reglamento se pueden
descargar de manera gratuita en
www.ifai.org
1. 8 Principios básicos
La LFPDPPP busca el cumplimiento de 8
principios mandatorios para el
aseguramiento de la información personal:
Licitud
Consentimiento
Información
Calidad
Finalidad
Lealtad
Proporcionalidad
Responsabilidad
2. Aviso de Privacidad
Para poder formar el Aviso de Privacidad,
el reglamento nos marca la necesidad de
que la empresa (“responsable”) determine
claramente los motivos por los cuales son
necesarios para su operación los datos
personales del Cliente, es decir, las
finalidades. Adicionalmente, se deberá
enunciar también quién es la empresa que
tiene estos datos, y los medios por los
cuales el Cliente puede hacer contacto con
ésta para ejercer sus derechos. El aviso de
privacidad deberá darse a conocer a través
de diferentes medios de contacto con los
Clientes, y dependiendo del tipo de
información con la que cuente la
organización (datos personales sensibles o
no sensibles) y los fines para los cuales se
recabaron, se deberá de considerar el
consentimiento tácito o expreso del cliente
para el manejo de su información.
3. Derechos ARCO
Toda persona que haya proporcionado sus
datos personales, tiene derecho al Acceso
de su información, Rectificación, que es la
actualización o cambio de sus datos,
Cancelación del uso de uno o varios datos
personales a través de eliminar esa
información, y Oposición a algún
tratamiento o acción derivada del uso de la
información. Estos son los derechos ARCO,
y la empresa (responsable) deberá
proporcionar a la persona los medios
gratuitos para poder ejercer estos
derechos, y deberá también tomar en
cuenta los lineamientos establecidos para
cumplir en tiempo y forma a cualquier
solicitud de la persona referente a sus
derechos, y así evitar sanciones.
4. Relaciones con Terceros
Si la empresa (responsable), comparte
información con alguna persona u
organización para el tratamiento de datos
personales, la empresa receptora será vista
ante la ley como un “encargado”, el cual
tiene importantes responsabilidades
incluyendo la de cumplir cabalmente con el
aviso de privacidad de la empresa
(responsable) y las finalidades enunciadas
en él, así como el cumplimiento de las
medidas de seguridad requeridas. Esto
aplica para proveedores de mensajería u
otras empresas de outsourcing que en
algún momento manejen la información
de los clientes, y donde ambas empresas
tendrán que cumplir con el reglamento y la
ley.
www.bleinconsulting.com UNLEASH THE BIZ | p. 4
5. Seguridad de información
Toda persona en la organización que esté
en contacto con la información de los
clientes, deberá de conocer los principios
básicos de la ley y apegarse al reglamento.
El IFAI ha publicado dentro de su sitio web
algunas guías y bases a considerar al
momento de definir los sistemas y procesos
de seguridad, incluyendo el acceso del
personal a las instalaciones, la capacidad
de consultar y guardar la información
personal en dispositivos móviles, así como
los relacionados con el manejo de bases de
datos de clientes.
6. Auto-regulación
Se plantea dentro de la ley una forma de
ayudar a la atenuación de sanciones si es
que la empresa incurre en alguna falta.
Esta alternativa consiste en la adopción y
documentación de medidas para que la
empresa pueda regular su cumplimiento de
manera interna. Algunas medidas a tomar
internamente que podrían ayudar a la
atenuación de sanciones son:
Auditorías internas sobre el
cumplimiento de la ley
Documentación de procesos para la
atención a los derechos ARCO
Capacitación y comunicación
organizacional sobre la ley
Documentación de las políticas de
seguridad en el manejo de
información y bases de datos
7. Sanciones
Las repercusiones del no cumplimiento van
desde los 100 días de salario mínimo
($6,233 MN aprox.) hasta los 320,000 días
de salario mínimo ($20,000,000 MN
aprox.). Las sanciones dependerán de la
gravedad de la falta y del tipo de datos
que estén involucrados (sensibles o no
sensibles).
Otra afectación al no cumplimiento de la
ley es el deterioro de la confianza del
Cliente, que pudiera tener una posible
exposición en medios informativos, redes
sociales, o el simple “word of mouth”, y
afectar negativamente la imagen de la
empresa (responsable).
7 principales temas de la LFPDPPP
¿Qué necesito hacer en mi
empresa para cumplir con la
LFPDPPP?
Con base en la experiencia obtenida en la
implementación de proyectos de alineación
operativa para el cumplimiento de esta ley,
damos las siguientes recomendaciones
prácticas (no limitativas):
Entender la Ley y su aplicación en
la empresa de acuerdo al giro y
tratamiento de información de
clientes.
Contar con los medios de
comunicación “suficientes” para
dar a conocer el aviso de
privacidad.
Mejorar los procesos de Servicio al
Cliente, ya que se tienen tiempos
www.bleinconsulting.com UNLEASH THE BIZ | p. 5
límite y responsabilidades que
deben ser cumplidas de acuerdo a
los derechos ARCO.
Formalizar convenios / contratos
con Proveedores o Vendedores,
donde se destaque su compromiso
y responsabilidad con la seguridad
de la información compartida.
Aplicar regulaciones, procesos y
controles para la seguridad interna
(empresa) y externa (proveedores).
Comunicar a las personas que
manejen información de clientes
sobre la ley, para asegurar su
entendimiento.
Mejorar la capacidad de los
sistemas de información actuales
para responder adecuadamente a
los requerimientos de los Clientes
relacionados con el manejo de su
información y a la seguridad
requerida.
Revisar y adecuar los procesos
involucrados en el cumplimiento a
los derechos ARCO.
¿Cómo BLEIN apoyó a una
institución financiera a
mejorar sus procesos para
cumplir con la LFPDPPP?
El proyecto para lograr una Alineación
Operativa y mejora de procesos para el
cumplimiento de la LFPDPPP fue dividida
en 2 etapas:
1. Entendimiento, situación actual y
análisis de riesgo operativo
a) Buscar el entendimiento completo de
la ley y sus implicaciones para la
organización.
b) Identificación de los procesos y
tratamientos actuales de los datos
personales del Cliente.
c) Análisis de riesgos y desviaciones en
los procesos, y priorización de áreas
de oportunidad y planes de mejora
de acuerdo a los requerimientos de
la ley.
d) Aprobación y compromiso del plan
de mejora de los Directores clave.
Uno de los retos más importantes es el del
entendimiento de la Ley y el Reglamento y
sus implicaciones en los procesos de la
empresa, ya que se requiere identificar de
manera detallada y concreta la cantidad de
actividades que existen con relación a los
datos personales del Cliente.
Sirve hacerse las siguientes pregunta como
punto de partida:
¿Cuáles son los datos personales que
manejamos de los clientes?
¿Dónde están los datos personales de los
Clientes?
¿Qué tan bien puedo responder a una
solicitud de los derechos ARCO?
¿Qué tan buenos mecanismos de
comunicación tengo para que el cliente
pueda hacer valer sus derechos ARCO?
¿Qué medidas de seguridad existen en la
empresa para el manejo de información de
clientes.
y basado en la ley y el reglamento,
puntualizar el tipo de información, si es o
no sensible y el tratamiento actual y
requerido, así como los principales riesgos
y desviaciones.
Otro aspecto clave es el de conocer la
aplicación y repercusiones de cada artículo
de la ley y el reglamento, en las distintas
áreas y procesos de la empresa. Donde se
www.bleinconsulting.com UNLEASH THE BIZ | p. 6
deberá de buscar un involucramiento de
distintas áreas y personas clave (legal,
comercial, servicio a clientes, contraloría,
gobierno de datos, sistemas, etc.) para
llevar a cabo un ejercicio multi-
disciplinario que facilite responder a
múltiples preguntas de distintas
especialidades (bases de datos,
proveedores, formatos, sistemas de
información involucrados, normas de
seguridad, políticas de servicio al cliente,
normas específicas de la industria, etc.), y
con un entendimiento de la ley soportado
por algún especialista jurídico, sin perder
un enfoque práctico y de servicio y manejo
del Cliente.
2. Proyecto de implementación
a) Plan para la implementación de
controles y normas de seguridad en
el manejo de información de
clientes.
b) Comunicación del Aviso de
privacidad a los Clientes y estrategia
de comunicación organizacional.
c) Re-diseño de los procesos clave para
la atención de los derechos ARCO
dentro del modelo integral de
Servicio a Clientes.
d) Diseño e implementación de
prácticas auto regulatorias
(proceso de auditoría, controles y
documentación).
El involucramiento de diferentes áreas en
la 1era etapa, es un eje fundamental para
la implementación, ya que la
concientización de los Directores clave, y la
participación de los puestos operativos
involucrados, se debe de dar para que se
pueda aspirar a implementar los cambios
requeridos para el cumplimiento operativo
de la ley.
Aprendizajes y
Recomendaciones
La Ley Federal para la Protección de Datos
Personales en Posesión de Particulares es
un mandato dictado por las autoridades
que debe ser respetado. Sin duda, habrá
los recursos legales para intentar obtener
una atenuación o derogación de sanciones,
y empresas dedicadas a ello; sin embargo,
la inclusión de esta ley marca la
incorporación de México a una clara
intención global de dar seguridad a las
personas que proporcionan sus datos
personales, y de regular a las empresas que
necesitan hacer uso de la información para
su operación.
Nuestra visión es que las empresas que
lleven a cabo un esfuerzo formal para
hacer frente a la responsabilidad de
manejar adecuadamente la información de
los clientes, y responder de manera ágil a
sus solicitudes de atención y servicio,
podrán sacar ventaja de esta regulación en
términos de confianza, transparencia y
destreza operativa.
El presente documento es parte de la
plataforma de conocimiento de BLEIN, y su
intención es la de compartir conceptos y
experiencias prácticas valiosas.
www.bleinconsulting.com
Unleash the power of your business
through process innovation, technology &
change.
www.bleinconsulting.com UNLEASH THE BIZ | p. 7
BLEIN Consulting es la empresa líder en la implementación de proyectos de cambio crítico,
especializada en lograr transformaciones efectivas en la operación del negocio con impacto
directo en los resultados. Apoyamos a empresas de distintas industrias a mejorar su operación y
procesos clave para generar más valor al cliente, incrementar los ingresos, reducir costos,
mejorar la eficiencia y lograr mayores utilidades y rentabilidad.
Nuestro método de trabajo no se limita a dar recomendaciones o planes, acompañamos a
nuestros clientes en la implementación del cambio en niveles Directivos, Gerenciales y
Operativos, para asegurar que se generen nuevas capacidades y beneficios tangibles. Para más
información visita: www.bleinconsulting.com
El entorno competitivo actual exige una renovada atención en los procesos con alto énfasis en
las personas, en organizaciones ágiles, responsables, innovadoras, inteligentes y con capacidad
de cambio y adaptación. Esto es Critical Business Change.
www.bleinconsulting.com UNLEASH THE BIZ | p. 8
UNLEASH THE BIZ
01 800 25 BLEIN
www.bleinconsulting.com