top of page

La Ley Federal de Protección de Datos Personales en Posesión de Particulares y cómo cumplir con ella

Actualizado: 18 abr 2023


Actualizado: 10 sept 2021

Datos en posesión de particulares A medida que una empresa crece y afronta nuevas oportunidades, también adquiere la obligación de garantizar el derecho que tienen sus clientes sobre la protección y manejo de sus datos como se menciona en el artículo 16 de la Constitución Política de los Estados Unidos Mexicanos, lo que aplica para todas las empresas debido a que sin duda toda empresa por muy pequeña que sea tiene algún tipo de información ya sea personal, financiera, patrimonial e incluso sensible de sus clientes [1-2]. Para el caso de particulares, sean personas físicas o morales de carácter privado en México, las normas y regulaciones de protección de datos son establecidas por la Ley Federal de Protección de Datos Personales en Posesión de Particulares, por sus siglas LFPDPPP. Esta ley tiene como objetivo además de proteger los datos personales, regular su tratamiento (obtención, uso, divulgación y almacenamiento) a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de los individuos. Esta ley es regulada por el organismo constitucional autónomo garante de la protección de datos personales, el Instituto Nacional de Acceso a la información (INAI) [1-2]. Figura 1. Tratamiento de datos personales [5] Los resultados del estudio son alarmantes para ese 48% de las empresas, ya que al incumplir con la LFPDPPP pueden ser acreedores a multas que van de los 100 a 160,000 días de salario mínimo vigente en la Ciudad de México y a perder clientes por no garantizar el adecuado tratamiento y protección de sus datos personales [1-2], [4]. Pero entonces, ¿Por qué resulta difícil cumplir con la LFPDPPP? Existen algunos denominadores comunes que a las empresas les resultan difícil cumplir con leyes locales e internacionales, el primero, se debe a la complejidad para administrar y tratar datos personales cuando son masivos [6]. Esta condición suele estar presente en empresas grandes, medianas y algunas pequeñas en México, ya que la cantidad de información de sus usuarios recopilada llega a ser tan alta que resulta todo un reto gestionar la información además de garantizar su seguridad. Otro factor es el tiempo, y es que en muchas ocasiones las organizaciones no cuentan con el suficiente tiempo de preparación para enfrentarse a los cambios repentinos en la forma de tratamiento de información personal [6], un ejemplo de esto es que con el auge de la tecnología y eventos como la pandemia por el COVID-19 las organizaciones han tenido que recopilar información de sus usuarios de forma remota usando medios electrónicos (digitales), principalmente correo electrónico y páginas web, así mismo usar, divulgar y almacenar la información con dispositivos como computadoras, servidores, la nube, etc. En este panorama digital con información masiva, se pueden hacer uso de herramientas tecnológicas para facilitar el tratamiento (obtención, uso, divulgación y almacenamiento) y seguridad de datos personales para cumplir con la LFPDPPP como es el caso de Securiti. Securiti® Securiti® es una plataforma centralizada en la nube que cuenta con diversas soluciones para la privacidad, seguridad e inteligencia de datos digitales [6]. Además, es líder en seguridad, privacidad, gobernanza y cumplimiento de datos basado en AI (inteligencia artificial) en entornos multi-nube, SaaS e híbridos con un historial probado en múltiples compañías internacionales [6]. En el presente blog, te presentamos cuatro soluciones de Securiti® que pueden ayudar y facilitar a su organización el cumplimiento de los principales artículos de la LFPDPPP orientados al tratamiento de datos personales de sus usuarios. 1. DSR Robotic Automation (DSR con derechos ARCO); 2. Universal Consent (Consentimiento en formularios y centros de preferencias); 3. Cookie Consent (Consentimiento en cookies) y 4. Privacy Policy/Notice Management (Avisos de privacidad). Figura 2. Caricatura en referencia a DSR [5]. DSR significa “Data Subject Rights (Derechos de sujeto de datos)”, donde “Data subject” hace referencia a cualquier persona cuyos datos personales son tratados por una organización. Por ende, al referirse a DSR, se entiende como los derechos que tiene una persona sobre el uso de sus datos personales por parte de una organización [6]. En México, la LFPDPPP establece en su artículo 28, que las personas tienen derecho a solicitar el: Acceso, Rectificación, Cancelación y Oposición al particular en cualquier momento, de los datos personales que le conciernen [1-2]. Figura 3. Derechos ARCO [5]. • El nombre del titular y algún medio para comunicarle la respuesta a su solicitud (ejemplo: por medio de correo electrónico). • Documentos que acrediten la identidad del usuario (ejemplo: comprobar la dirección del correo electrónico del usuario que tiene almacenado el particular). • La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos ARCO. • Cualquier otro elemento o documento que facilite la localización de los datos personales. La solución de Securiti® “DSR Robotic Automation”, permite a una organización crear un portal web donde se pueden gestionar las solicitudes de DSR de sus clientes de forma automatizada. Este portal se puede implementar por medio de una URL que se coloca en su(s) sitio(s) web (dominio). El portal por defecto se puede crear con diversas plantillas de regulaciones internacionales como la GDPR de Europa que ya vienen predefinidas por default, o bien crear plantillas que cumplan regulaciones locales de forma sencilla con opciones de personalización con: Formularios, cajas de texto para añadir descripciones, adjuntar archivos, casillas de multiselección y traducción de idioma automática. Un ejemplo es el que se observa en la figura 4, que muestra la implementación de una plantilla donde los usuarios pueden ejercer los derechos ARCO, cumpliendo así con los artículos 22 y 28 de la LFPDPPP [1]. Figura 4. Ejemplo de plantilla para realizar solicitudes de DSR. Además, una vez realizada la solicitud de DSR, la solución DSR Robotic Automation cuenta con un servicio de correo electrónico y plataforma web segura (comunicación cifrada) donde el usuario puede crearse una cuenta, ingresar y dar seguimiento en todo momento sobre su solicitud de DSR. (a) (b) Figura 5. (a) Correos de notificación de solicitud de DSR e ingreso al portal. (b) Portal web donde el usuario da seguimiento a su solicitud Mientras que el administrador, cuenta con una consola web centralizada donde puede gestionar múltiples solicitudes de DSR con diversas opciones como adjuntar archivos, crear reportes, añadir colaboradores y ejecutar la solicitud del usuario (en este caso, los ya mencionados derechos ARCO) dentro de su organización, cumpliendo así con los artículos 23, 24, 25 y 26 de la LFPDPPP [1]. Figura 6. Consola web centralizada de DSR Robotic Automation. 2. Consentimiento Figura 7. Ejemplo de otorgar consentimiento [5]. La LFPDPPP define al consentimiento como la manifestación de la voluntad del usuario (aceptar o rechazar) sobre la propuesta del tratamiento de sus datos personales [1-2]. Conforme al artículo 8 de la LFPDPPP, toda organización que busque dar tratamiento a los datos personales de sus usuarios está sujeta a la decisión del consentimiento de estos [1]. Actualmente el consentimiento se expresa mayormente por medios electrónicos, donde un usuario da su consentimiento al llenar un formulario para: recibir información de contacto, recibir publicidad, obtener pruebas de evaluación, crear una cuenta (como por ejemplo de correo), aceptar los fines del tratamiento de sus datos como se indica en el aviso de privacidad (se hablará más adelante) etc., dentro de una página web. Para estos fines, Securiti® ofrece la solución Universal Consent para la recopilación y sincronización automática del consentimiento de usuarios en formularios de páginas web. Para implementar esta solución solo basta ejecutar una extensión de navegador proporcionada por Securiti en el(los) formulario(s) de su(s) pagina(s) web, como el que se observa en la figura 8. Figura 8. Se escanean los datos del formulario por medio de una extensión de navegador. Como resultado del escaneo, se genera un script con los datos del formulario, que siguiendo el ejemplo de la figura 8 corresponderían a “nombre”, “teléfono”, “email”, “tu mensaje“ y el check de “Nos da su consentimiento…”, que puede ser colocado dentro del código fuente de su(s) página(s) web de forma sencilla, para así capturar de forma automática si el usuario otorgó o negó su consentimiento al responder/enviar el formulario y poder o no dar tratamiento a la información obtenida, cumpliendo así con los artículos 8 y 9 de la LFPDPPP [1]. Otra funcionalidad de la solución Universal Consent es la configuración y publicación de un Centro de preferencias. El centro de preferencias se puede crear a partir de plantillas predefinidas indicando los datos que se van a recopilar, permitiendo al usuario cambiar la decisión de su consentimiento en cualquier momento al acceder al portal y realizar una solicitud, como se observa en la figura 9, cumpliendo con el artículo 8 de la LFPDPPP [1]. Figura 9. Uso del centro de preferencias por parte de los usuarios. El centro de preferencias se puede implementar en su página web por medio de una URL que genera la solución. Finalmente, tanto el centro de preferencias como el código que recopila el consentimiento de los usuarios en formularios sincroniza la decisión del consentimiento en tiempo real a la consola central de Universal Consent como se observa en la figura 10. Figura 10. Consola centralizada de Universal Consent. Es importante no confundir los procedimientos de DSR derechos ARCO y el consentimiento en formularios, ambos realizados por usuarios, en el caso de las solicitudes de DSR una organización ya cuenta con datos personales tratados, mientras que, en las solicitudes de consentimiento, la organización aun no cuenta con datos personales. 3. Otros tipos de consentimiento Figura 11. Caricatura en referencia al consentimiento en las “cookies” [7]. Un tipo de recopilación de datos personales y que comúnmente pasa desapercibida por los usuarios, es el uso de “cookies” en la(s) página(s) web por parte de una organización. Debido a que una “cookie” recopila información del usuario, conforme al artículo 8 de la LFPDPPP se debe preguntar por el consentimiento del usuario al momento que acceda a la página web y posteriormente con base en su decisión, recopilar o no su información con las “cookies” ya sean propias o de terceros [1-2], [7]. Securiti® ofrece la solución Cookie Consent que permite escanear, detectar y clasificar automáticamente todas las cookies existentes en su sitio web, para este proceso solo se necesita colocar la(s) URL de su(s) sitio(s) web dentro de la consola de esta solución y automáticamente se obtiene la lista de todas las cookies de su dominio con sus respectivas descripciones y categorizadas en grupos como esenciales, de publicidad, de funcionamiento, por mencionar algunos, donde el administrador puede personalizar estos resultados [6]. Figura 12. Proceso de escaneo y recopilación de cookies de un sitio web. Posteriormente la solución Cookie Consent permite implementar un banner de cookies personalizado según la ubicación e idioma del usuario para recopilar su consentimiento. La solución también contiene varias plantillas predefinidas para cambiar el formato y ubicación del banner, enlaces a los que puede redireccionar como el aviso de privacidad (se hablara más adelante) y el tipo de consentimiento que elige el usuario (aceptar o no las cookies). Como último paso, la solución Cookie Consent permite crear un script, que el administrador de la(s) pagina(s) web solo debe añadir en su código fuente de forma sencilla, para implementar la lista completa de cookies categorizadas y el banner de cookies, como se observa en la figura 13: Figura 13. Ejemplo de implementación de la solución Cookie Consent. De la figura 13, la funcionalidad “Preferencias de Cookies” del banner, permite al usuario conocer las cookies que tiene la página web que está visitando y que información se va a recopilar. Además, al dar clic en el centro de preferencias, el usuario puede otorgar o no su consentimiento sobre cookies específicas como se observa en la figura 14, cumpliendo así con el artículo 8 de la LFPDPPP [1]. Cabe destacar que, si se añade una nueva cookie o se elimina alguna cookie en su página web, los cambios se reflejan de forma automática en “Preferencias de Cookies”, sin necesidad de realizar alguna configuración adicional. Figura 14. El usuario puede conocer las cookies de la página web que visita y otorgar o no su consentimiento sobre las mismas. La solución de Cookie Consent también cuenta con una consola centralizada web donde el administrador puede ver en tiempo real si los usuarios que visitan su(s) pagina(s) web, dan o no su consentimiento sobre “cookies” especificas. Figura 15. Consola centralizada de Cookie Consent. 4. Avisos de Privacidad Figura 16. Respuestas que se deben contestar en el aviso de privacidad [5]. Conforme al artículo 15 de la LFPDPPP se establece que cualquier organización tiene la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través de un aviso de privacidad. Además, el aviso de privacidad debe indicar principalmente [1-2]: • Los medios para ejercer los derechos ARCO. • Que todo tratamiento de datos personales estará sujeto al consentimiento de su titular, el cual podrá ser revocado en cualquier momento. Para revocar el consentimiento, el particular debe establecer los mecanismos y procedimientos para ello. • Que el tratamiento de datos personales se limita al cumplimiento de las finalidades previstas en el aviso de privacidad. Si el titular pretende tratar los datos para un fin distinto al establecido, se requerirá obtener nuevamente el consentimiento del titular. • Que el titular tomará las medidas necesarias y suficientes para garantizar que el aviso de privacidad sea respetado en todo momento por él o por terceros. • Cuando se tratara con datos personales sensibles. • El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios y/o actualizaciones al aviso de privacidad. Securiti® ofrece la solución Privacy Policy & Notice Management para el desarrollo, administración y publicación de políticas de avisos de privacidad de forma electrónica en una consola web centralizada [6]. En el desarrollo de los avisos de privacidad, la solución permite usar templates predefinidos con regulaciones internacionales como la LGDP o bien, usar un template por default para personalizarlo conforme a la regulación que se desee cumplir, como por ejemplo la LFPDPPP. Por medio del template se pueden configurar secciones preestablecidas como: “Información de la empresa”, “Definiciones”, “Cookies”, “Uso compartido de datos”, “Solicitudes DSR”, “Actualización del aviso de privacidad”, por mencionar algunos, como se observa en la figura 17. Figura 17. Template predefinido para crear avisos de privacidad. Conforme a la LFPDPPP, la solución Privacy Policy & Noticie Management ofrece las opciones de: Adjuntar un acceso directo a la tecnología de DSR Robotic Automation para realizar una solicitud de derechos ARCO (artículo 22 y 28 LFPDPPP). Adjuntar un acceso directo de la tecnología de “Universal Consent” donde el usuario puede otorgar o rechazar su consentimiento en todo momento (Centro de preferencias) para el tratamiento de sus datos personales por parte de la empresa (artículo 8 y 9 LFPDPPP). o Adicional, el aviso de privacidad en la sección de “Cookies” contiene información del consentimiento de las cookies que pide(n) su(s) pagina(s) web, esta información se muestra actualizada de forma automática. La sección de “Actividades de procesamiento” dentro del aviso de privacidad donde la empresa establece la finalidad del tratamiento de datos (artículo 11, 12 y 15 LFPDPPP). La sección de “Uso compartido de datos” permite establecer si su organización compartirá o no los datos personales con terceros (artículo 14 LFPDPPP). El aviso de privacidad ante cualquier cambio muestra en todo momento la última vez que fue actualizado y tiene la opción de notificar al usuario los cambios en el aviso de privacidad por medio de correo electrónico (artículo 16 LFPDPPP). Figura 18. Ejemplo de implementación de un aviso de privacidad. (a) (b) Figura 19. (a) Integración automática de información de cookies en el aviso de privacidad. (b) Integración automática de solicitud de DSR en el aviso de privacidad. Por medio de las opciones anteriores, la solución Privacy Policy & Noticie Management permite administrar múltiples avisos de privacidad de forma centralizada, por lo que puede gestionar dinámicamente los avisos de privacidad en cada uno de sus dominios en caso de que se presenten cambios en el procesamiento de datos. El aviso de privacidad finalmente se puede publicar e implementar por medio de una URL que se integra en la(s) página(s) web de una organización y se puede traducir a varios idiomas de forma automática. Figura 20. La solución de Privacy Policy & Notice Management permite gestionar múltiples avisos de privacidad. A modo de conclusión: Al adoptar las cuatro soluciones tecnológicas de Securiti® mencionadas, se obtienen múltiples ventajas para sus usuarios y para su organización. A los usuarios se les brinda los medios necesarios para que puedan ejercer sus derechos sobre la protección y manejo de sus datos, mientras que para la organización se brindan herramientas para realizar el tratamiento (obtención, uso, divulgación y almacenamiento) de datos personales de sus usuarios de forma digital, masiva, sencilla, eficiente, automática y segura conforme a los lineamientos establecidos en la LFPDPPP. Además, al cumplir con la LFPDPPP se evita de costosas multas y aumenta la confianza con sus clientes al ser una empresa con responsabilidad social. Es muy importante que si consideras estás siendo víctima de un ciberataque contacta a tu área de seguridad o TI. Nosotros podemos ayudarte a diseñar e implementar la estrategia de seguridad más adecuada para tu empresa, déjanos ser tu aliado. Si requieres más información puedes contactarnos: Llámanos 5570413454 Escríbenos WA 5576564248 Envíanos correo a info@protectme.mx Visita nuestra página www.protectme.mx Visita nuestras redes sociales. https://www.facebook.com/ProtectMeMx/ TW: @ProtectMeMx Linkedln @ProtectmeMx Por: José Antonio Maldonado, Ingeniero de Ciberseguridad Fuentes [1]. CÁMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIÓN. (2010). LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES, de Secretaría de Servicios Parlamentarios Sitio web: http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf [2]. Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. (2016). Guía para cumplir con los principios y deberes de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, de Coordinación de Protección de Datos Personales Sitio web: https://home.inai.org.mx/wp-content/documentos/DocumentosSectorPrivado/Guia_obligaciones_lfpdppp_junio2016.pdf [3]. Gabriela Chávez. (2020). Empresas en México aún son débiles para proteger datos personales, de EXPANSION Sitio web: https://expansion.mx/tecnologia/2020/01/28/empresas-en-mexico-aun-son-debiles-para-proteger-datos-personales [4]. Fernando Román. (2017). Estudio de la privacidad en México 2016: más allá de los compromisos, de PwC Sitio web: https://www.pwc.com/mx/es/risk-assurance-services/archivo/20170605-pg-flyer-estudio-privacidad.pdf [5]. CONFERENCIA MEXICANA PARA EL ACCESO A LA INFORMACIÓN PÚBLICA. (2013). El abc de los Datos Personales, de COMAIP Sitio web: http://www.idaipqroo.org.mx/archivos/institucion/publicaciones/abc_datospersonales.pdf [6]. Securiti® (2021), Documentación y recursos adicionales, Sitio web: https://securiti.ai/blog/ [7] Daniel Lutz. (2021). ¿Qué es una cookie?, Sitio web: https://daniel.lutz.is/teaching/cookies/

14 visualizaciones0 comentarios

Comments


bottom of page