La Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) impacta a todo tipo y tamaño de empresas, y la publicación final de su reglamento el 21 de Diciembre del 2011, exige prestar atención a esta nueva regulación y acelerar la implementación de cambios operativos, tecnológicos, técnicos, jurídicos y físicos, para evitar sanciones e impactos negativos en la atención, servicio y transparencia frente a los clientes.
A continuación presentamos un reporte elaborado por BLEIN que sintetiza esta nueva regulación, sus implicaciones operativas y donde además damos algunas sugerencias prácticas para facilitar su adopción.
Ley de protección de datos y su impacto en los procesos de la empresa.
1. Ley Federal de Protección de Datos
Personales en Posesión de Particulares
Retos operativos y culturales para las empresas
¿Cómo impacta esta nueva ley través de toda la vida de su producto /
servicio, esta nueva ley les exigirá un
a las empresas en México? cambio sustantivo en sus procesos de
servicio y atención a clientes, y en el
La Ley Federal de Protección de Datos
manejo de la seguridad de la información.
Personales en Posesión de Particulares
(LFPDPPP) es aplicable para todas las A continuación mencionamos algunas de
personas físicas o morales de carácter las industrias que requerirán un mayor
privado que obtengan, usen, divulguen o esfuerzo operativo para el cumplimiento
almacenen datos personales de sus clientes. de la ley:
En términos prácticos, esta ley aprobada el
13 de Abril del 2010, y que su reglamento Aseguradoras
final se publicó en Diciembre del 2011, Bancos y otros servicios financieros
impacta a todo tipo y tamaño de empresas. Empresas de telecomunicaciones
A algunas por su giro, les exigirá cambios (telefonía, cable, internet)
menores en su comunicación con clientes, Instituciones educativas
pero a otras empresas cuyo giro implique Servicios básicos (gas)
la suscripción de los Clientes a su servicio o
las que deban dar seguimiento al Cliente a
2. y en general todas aquellas empresas que buscaba no solo la protección de la
manejen una gran cantidad de información información personal de la gente, sino
personal de sus clientes y ofrezcan servicios también su libre circulación a través de los
recurrentes. países que constituyen la Unión Europea.
Mientras que en el año 2006, fue aceptada
Por su naturaleza esta ley tiene un mayor en los Estados Unidos el acta 815 ILCS 530,
impacto en áreas Comerciales, de Servicio a que fue llamada “Personal Information
Clientes, de Sistemas y de Operaciones Act”.
donde se involucre la información del
Cliente, que son típicamente aquellas que Es hasta en el año 2010 que se autoriza en
requieren para alguna actividad, los datos México la LFPDPPP, cuyo reglamento se
personales específicos de clientes, expidió en Diciembre del 2011.
prospectos, contactos, u otros actores,
independientemente de si se tiene una En congruencia con las demás leyes (sobre
relación jurídica con ellos. todo con la europea), busca el
cumplimiento de 8 principios mandatorios
En resumen, esta nueva ley impacta a las para el aseguramiento de la información
empresas en 3 principales temas: personal:
1. Seguridad en el manejo de la Licitud
información de los Clientes. Consentimiento
2. Habilitar los canales de Información
comunicación con los Clientes para Calidad
dar a conocer el aviso de privacidad y Finalidad
recibir las solicitudes de los mismos Lealtad
sobre acceso, rectificación, oposición Proporcionalidad
y cancelación. (Derechos ARCO). Responsabilidad
3. Tener los procesos necesarios para
accesar la información de los Clientes Son estos principios los que se buscan
y resolver sus solicitudes de acceso, cumplir en la ley y su reglamento, a través
rectificación, oposición y cancelación de la implementación de acciones en la
en tiempo y forma. empresa, donde uno de los más valiosos
conceptos para su entendimiento es el que:
Antecedentes de la Ley “los datos personales le pertenecen a la
persona y no a la empresa que los trata”.
Federal de Protección de Datos
Personales en Posesión de ¿Qué elementos considera la
Particulares (LFPDPPP) LFPDPPP?
La iniciativa de proteger la información Con la intención de informar y desde un
personal cuenta con una larga historia punto de vista práctico, podemos englobar
legislativa. En los países europeos; fue en los principales elementos de la ley en 7
1995 que se aprobó la directiva 95/46/CE en temas:
el Parlamento Europeo bajo el nombre de
“Data Protection Directive”, la cual 1. 8 Principios básicos
2. Aviso de privacidad
www.bleinconsulting.com UNLEASH THE BIZ | p. 2
3. 3. Derechos ARCO información con la que cuente la
4. Relaciones con terceros organización (datos personales sensibles o
5. Seguridad de la información no sensibles) y los fines para los cuales se
6. Auto-regulación recabaron, se deberá de considerar el
7. Sanciones consentimiento tácito o expreso del cliente
para el manejo de su información.
A continuación presentamos un resumen
de los temas principales de la ley, aunque 3. Derechos ARCO
para un entendimiento detallado, la
LFPDPPP y el reglamento se pueden Toda persona que haya proporcionado sus
descargar de manera gratuita en datos personales, tiene derecho al Acceso
www.ifai.org de su información, Rectificación, que es la
actualización o cambio de sus datos,
Cancelación del uso de uno o varios datos
personales a través de eliminar esa
1. 8 Principios básicos información, y Oposición a algún
tratamiento o acción derivada del uso de la
La LFPDPPP busca el cumplimiento de 8
información. Estos son los derechos ARCO,
principios mandatorios para el
y la empresa (responsable) deberá
aseguramiento de la información personal:
proporcionar a la persona los medios
Licitud gratuitos para poder ejercer estos
Consentimiento derechos, y deberá también tomar en
Información cuenta los lineamientos establecidos para
Calidad cumplir en tiempo y forma a cualquier
Finalidad solicitud de la persona referente a sus
Lealtad derechos, y así evitar sanciones.
Proporcionalidad
4. Relaciones con Terceros
Responsabilidad
Si la empresa (responsable), comparte
2. Aviso de Privacidad
información con alguna persona u
Para poder formar el Aviso de Privacidad, organización para el tratamiento de datos
el reglamento nos marca la necesidad de personales, la empresa receptora será vista
que la empresa (“responsable”) determine ante la ley como un “encargado”, el cual
claramente los motivos por los cuales son tiene importantes responsabilidades
necesarios para su operación los datos incluyendo la de cumplir cabalmente con el
personales del Cliente, es decir, las aviso de privacidad de la empresa
finalidades. Adicionalmente, se deberá (responsable) y las finalidades enunciadas
enunciar también quién es la empresa que en él, así como el cumplimiento de las
tiene estos datos, y los medios por los medidas de seguridad requeridas. Esto
cuales el Cliente puede hacer contacto con aplica para proveedores de mensajería u
ésta para ejercer sus derechos. El aviso de otras empresas de outsourcing que en
privacidad deberá darse a conocer a través algún momento manejen la información
de diferentes medios de contacto con los de los clientes, y donde ambas empresas
Clientes, y dependiendo del tipo de tendrán que cumplir con el reglamento y la
ley.
www.bleinconsulting.com UNLEASH THE BIZ | p. 3
4. 5. Seguridad de información gravedad de la falta y del tipo de datos
que estén involucrados (sensibles o no
Toda persona en la organización que esté sensibles).
en contacto con la información de los
clientes, deberá de conocer los principios Otra afectación al no cumplimiento de la
básicos de la ley y apegarse al reglamento. ley es el deterioro de la confianza del
Cliente, que pudiera tener una posible
El IFAI ha publicado dentro de su sitio web exposición en medios informativos, redes
algunas guías y bases a considerar al sociales, o el simple “word of mouth”, y
momento de definir los sistemas y procesos afectar negativamente la imagen de la
de seguridad, incluyendo el acceso del empresa (responsable).
personal a las instalaciones, la capacidad
de consultar y guardar la información
personal en dispositivos móviles, así como
los relacionados con el manejo de bases de
datos de clientes.
6. Auto-regulación
Se plantea dentro de la ley una forma de
ayudar a la atenuación de sanciones si es
que la empresa incurre en alguna falta.
Esta alternativa consiste en la adopción y
documentación de medidas para que la 7 principales temas de la LFPDPPP
empresa pueda regular su cumplimiento de
manera interna. Algunas medidas a tomar ¿Qué necesito hacer en mi
internamente que podrían ayudar a la empresa para cumplir con la
atenuación de sanciones son:
LFPDPPP?
Auditorías internas sobre el
cumplimiento de la ley Con base en la experiencia obtenida en la
Documentación de procesos para la implementación de proyectos de alineación
atención a los derechos ARCO operativa para el cumplimiento de esta ley,
Capacitación y comunicación damos las siguientes recomendaciones
organizacional sobre la ley prácticas (no limitativas):
Documentación de las políticas de
Entender la Ley y su aplicación en
seguridad en el manejo de
la empresa de acuerdo al giro y
información y bases de datos
tratamiento de información de
7. Sanciones clientes.
Contar con los medios de
Las repercusiones del no cumplimiento van comunicación “suficientes” para
desde los 100 días de salario mínimo dar a conocer el aviso de
($6,233 MN aprox.) hasta los 320,000 días privacidad.
de salario mínimo ($20,000,000 MN Mejorar los procesos de Servicio al
aprox.). Las sanciones dependerán de la Cliente, ya que se tienen tiempos
www.bleinconsulting.com UNLEASH THE BIZ | p. 4
5. límite y responsabilidades que b) Identificación de los procesos y
deben ser cumplidas de acuerdo a tratamientos actuales de los datos
los derechos ARCO. personales del Cliente.
Formalizar convenios / contratos c) Análisis de riesgos y desviaciones en
con Proveedores o Vendedores, los procesos, y priorización de áreas
donde se destaque su compromiso de oportunidad y planes de mejora
y responsabilidad con la seguridad de acuerdo a los requerimientos de
de la información compartida. la ley.
Aplicar regulaciones, procesos y d) Aprobación y compromiso del plan
controles para la seguridad interna de mejora de los Directores clave.
(empresa) y externa (proveedores).
Comunicar a las personas que Uno de los retos más importantes es el del
manejen información de clientes entendimiento de la Ley y el Reglamento y
sobre la ley, para asegurar su sus implicaciones en los procesos de la
entendimiento. empresa, ya que se requiere identificar de
Mejorar la capacidad de los manera detallada y concreta la cantidad de
sistemas de información actuales actividades que existen con relación a los
para responder adecuadamente a datos personales del Cliente.
los requerimientos de los Clientes
relacionados con el manejo de su Sirve hacerse las siguientes pregunta como
información y a la seguridad punto de partida:
requerida.
Revisar y adecuar los procesos ¿Cuáles son los datos personales que
involucrados en el cumplimiento a manejamos de los clientes?
los derechos ARCO. ¿Dónde están los datos personales de los
Clientes?
¿Qué tan bien puedo responder a una
¿Cómo BLEIN apoyó a una solicitud de los derechos ARCO?
¿Qué tan buenos mecanismos de
institución financiera a comunicación tengo para que el cliente
mejorar sus procesos para pueda hacer valer sus derechos ARCO?
¿Qué medidas de seguridad existen en la
cumplir con la LFPDPPP?
empresa para el manejo de información de
El proyecto para lograr una Alineación clientes.
Operativa y mejora de procesos para el
cumplimiento de la LFPDPPP fue dividida y basado en la ley y el reglamento,
en 2 etapas: puntualizar el tipo de información, si es o
no sensible y el tratamiento actual y
1. Entendimiento, situación actual y requerido, así como los principales riesgos
análisis de riesgo operativo y desviaciones.
a) Buscar el entendimiento completo de Otro aspecto clave es el de conocer la
la ley y sus implicaciones para la aplicación y repercusiones de cada artículo
organización. de la ley y el reglamento, en las distintas
áreas y procesos de la empresa. Donde se
www.bleinconsulting.com UNLEASH THE BIZ | p. 5
6. deberá de buscar un involucramiento de Aprendizajes y
distintas áreas y personas clave (legal,
comercial, servicio a clientes, contraloría, Recomendaciones
gobierno de datos, sistemas, etc.) para
La Ley Federal para la Protección de Datos
llevar a cabo un ejercicio multi-
Personales en Posesión de Particulares es
disciplinario que facilite responder a
un mandato dictado por las autoridades
múltiples preguntas de distintas
que debe ser respetado. Sin duda, habrá
especialidades (bases de datos,
los recursos legales para intentar obtener
proveedores, formatos, sistemas de
una atenuación o derogación de sanciones,
información involucrados, normas de
y empresas dedicadas a ello; sin embargo,
seguridad, políticas de servicio al cliente,
la inclusión de esta ley marca la
normas específicas de la industria, etc.), y
incorporación de México a una clara
con un entendimiento de la ley soportado
intención global de dar seguridad a las
por algún especialista jurídico, sin perder
personas que proporcionan sus datos
un enfoque práctico y de servicio y manejo
personales, y de regular a las empresas que
del Cliente.
necesitan hacer uso de la información para
su operación.
2. Proyecto de implementación
a) Plan para la implementación de Nuestra visión es que las empresas que
controles y normas de seguridad en lleven a cabo un esfuerzo formal para
el manejo de información de hacer frente a la responsabilidad de
clientes. manejar adecuadamente la información de
b) Comunicación del Aviso de los clientes, y responder de manera ágil a
privacidad a los Clientes y estrategia sus solicitudes de atención y servicio,
de comunicación organizacional. podrán sacar ventaja de esta regulación en
c) Re-diseño de los procesos clave para términos de confianza, transparencia y
la atención de los derechos ARCO destreza operativa.
dentro del modelo integral de
Servicio a Clientes.
d) Diseño e implementación de
prácticas auto regulatorias
(proceso de auditoría, controles y
documentación).
El involucramiento de diferentes áreas en
la 1era etapa, es un eje fundamental para El presente documento es parte de la
la implementación, ya que la plataforma de conocimiento de BLEIN, y su
concientización de los Directores clave, y la intención es la de compartir conceptos y
participación de los puestos operativos experiencias prácticas valiosas.
involucrados, se debe de dar para que se
pueda aspirar a implementar los cambios www.bleinconsulting.com
requeridos para el cumplimiento operativo
de la ley.
Unleash the power of your business
through process innovation, technology &
change.
www.bleinconsulting.com UNLEASH THE BIZ | p. 6
7. BLEIN Consulting es la empresa líder en la implementación de proyectos de cambio crítico,
especializada en lograr transformaciones efectivas en la operación del negocio con impacto
directo en los resultados. Apoyamos a empresas de distintas industrias a mejorar su operación y
procesos clave para generar más valor al cliente, incrementar los ingresos, reducir costos,
mejorar la eficiencia y lograr mayores utilidades y rentabilidad.
Nuestro método de trabajo no se limita a dar recomendaciones o planes, acompañamos a
nuestros clientes en la implementación del cambio en niveles Directivos, Gerenciales y
Operativos, para asegurar que se generen nuevas capacidades y beneficios tangibles. Para más
información visita: www.bleinconsulting.com
El entorno competitivo actual exige una renovada atención en los procesos con alto énfasis en
las personas, en organizaciones ágiles, responsables, innovadoras, inteligentes y con capacidad
de cambio y adaptación. Esto es Critical Business Change.
www.bleinconsulting.com UNLEASH THE BIZ | p. 7
8. UNLEASH THE BIZ
01 800 25 BLEIN
www.bleinconsulting.com
www.bleinconsulting.com info@bleinconsulting.com BIZ | p.
UNLEASH THE 8