(CNNExpansión) ¿Tienes un negocio y pides datos personales a tus clientes? No importa lo pequeño o grande de tu empresa, debes cumplir con la Ley Federal de Protección de Datos Personales en Posesión de Particulares.
El incumplimiento de la ley expone a las empresas a sanciones que pueden ir desde 100 (6,476 pesos) hasta 320,000 días de salario mínimo vigente en el Distrito Federal (20.7 millones de pesos), según la severidad de la falta.
Sin embargo, 84% de las empresas desconoce las obligaciones derivadas de la ley, aunque ésta entró en vigor el 6 de julio del 2011, según los resultados de la Encuesta Nacional sobre Protección de Datos Personales de 2012 que elaboró Ipsos Bimsa.
"Las empresas o incluso personas físicas que soliciten a sus clientes información tan básica como nombre y correo electrónico, ya se encuentran obligadas a cumplir con la Ley", dijo Gustavo Parra, abogado consultor especialista en temas de privacidad.
En esta categoría entran desde una tintorería que pide nombre y teléfono a sus clientes hasta un contador o un doctor que, a través de los expedientes médicos, no sólo maneja datos personales, sino información sensible.
Las faltas que ameritan una sanción para las empresas pueden ir desde actuar con negligencia en la tramitación de solicitudes de acceso, rectificación, cancelación u oposición de datos personales hasta recabar o transferir la información sin el consentimiento del dueño, según el artículo 63 de la Ley.
Hasta el momento, el Instituto Federal de Acceso a la Información y Protección de Datos (Ifai) ha emitido 14 resoluciones y ha sancionado a empresas como Banamex, Sport City, Telcel, Afore XXI Banorte, Universidad Intercontinental, entre otras.
"Tratándose de infracciones cometidas en el tratamiento de datos sensibles, como origen racial o étnico, estado de salud, creencias religiosas, preferencias sexuales u otros datos cuyo uso indebido pudiera generar discriminación, las sanciones podrán duplicarse", comentó Jorge Molet, director Jurídico de la empresa consultora ProDato.
El aviso no lo es todo
Las empresas que manejan datos personales deben entregar a los titulares de la información un aviso de privacidad, que es un documento en que informan cómo serán tratados sus datos personales.
Sin embargo, aunque el aviso es un paso importante, es uno de los pasos intermedios o finales que se deben realizar. Para generarlo la empresa debe hacer previamente un análisis sobre el flujo los datos que recaba la empresa, qué tratamiento les dará, las transferencias que harán de ellos y el propósito, explicó Jorge Molet.
La claridad en el proceso ayudará al responsable de manejar los datos a estar preparado en caso de que alguno de sus clientes quiera conocer qué pasa con sus datos, así como desahogar los procedimientos de ejercicio de derechos ARCO -Acceso, Rectificación, Cancelación y Oposición- que tienen los titulares de esta información.
¿Cómo saber si estoy obligado?
El simple almacenamiento de datos es considerado como manejo de datos personales, por lo que si solicitas nombre y correo electrónico a tus clientes, por ejemplo, estás obligado a cumplir con esta legislación, coincidió Jorge Sales Boyoli, socio fundador del Bufete Sales Boyoli.
"La definición de dato personal es cualquier información de una persona identificada o identificable a partir de los datos que solicitó", dijo Alejandro López, director de Innovación de ProDato.
Los datos más solicitados por las empresas a sus clientes y empleados son nombre, dirección y teléfono, 90% de ellas pide nombre completo, 77% domicilio y 76% teléfono. Además, 20% pide estados de salud, tipo de sangre y alergias, según la encuesta de Ipsos Bimsa.
El decálogo cumplidor
Para cumplir con la ley, esto es lo que debes hacer:
1. Reconoce que eres responsable. El simple almacenamiento de datos ya significa que eres sujeto obligado. Antes de elaborar tu aviso de privacidad, lee la Ley a fin de conocer los principios y deberes que regulan la protección de los datos. Puedes encontrar información en la página web del IFAI.
2. Identifica las actividades y/o procedimientos en los que utilizas dichos datos personales.
3. Identifica cómo obtienes los datos personales. ¿En qué etapa de tus actividades solicitas esa información? ¿A través de formatos impresos, electrónicos, verbales?
4. ¿Cuál es el flujo de los datos? Conoce su trayectoria dentro de tu organización, desde su entrada hasta su muerte o eliminación.
5. Determina para qué fines utilizas la información.
6. ¿Realizas transferencias de datos? ¿A quiénes? ¿Cuál es el propósito o finalidades de las transferencias? Es muy importante incluir este dato en el aviso de privacidad.
7. Detalla el perfil de los titulares de los datos personales para adaptar el contrato para definir un medio de difusión que resulte pertinente, buscar la redacción según la edad, nivel escolar, profesión, intereses, entre otros.
8. Delinea los mecanismos para que los titulares decidan sobre sus datos personales. ¿Qué mecanismo se implementará para recibir y dar seguimiento a las solicitudes que hagan sus clientes sobre el tratamiento de sus datos personales?
9. Redacta tu aviso de privacidad. Se sugiere elaborar primero el aviso de privacidad integral, ya que de la información ahí contenida se podrá redactar el aviso de privacidad simplificado y/o corto.
10. El IFAI desarrolló una herramienta para generar avisos de privacidad. Aquí puedes conocer más detalles sobre los distintos modelos que permite la ley y los elementos que debe contener.
Fuente: CNNExpansión / Por: Ilse Santa Rita
Publicado por: TuDecides.com.mx
Edición: Adrián Soltero
Contacto: dir@tudecides.com.mx
Nota: Por lo general todos los artículos cuentan con fuente y autor del mismo. Si por alguna razón no se encuentra, lo hemos omitido por error o fue escrito por la redacción de TuDecides.com.mx.