Adrián Alfonso Paredes Santana

Licenciado en Contaduría Pública y
en Derecho por la Universidad de Guadalajara;
Maestro en Impuestos por el Instituto de Especialización para Ejecutivos, S.C.; Diplomado en Estudios Avanzados y Doctorando en Derecho Administrativo por la Universidad San Pablo CEU Madrid y catedrático de la Universidad Panamericana y del Instituto de Especialización para Ejecutivos, S.C.
Twitter: @RCEmx

Antes de comenzar con la redacción del presente artículo, es importante recordar que, el «Compliance Officer» u Oficial de Cumplimiento tiene como función principal la observancia en el cumplimiento de norma, pero de una óptica imparcial, sólo así es como se podrá alcanzar el objetivo. Siempre comenzaré a escribir tomando en cuenta los mandatos de ley, al caso lo referente a la «Ley Federal para la Protección de Datos en Posesión de Particulares» en adelante LFPDPP, pero sin dejar atrás el carácter organizativo que tiene, se exceden en el ámbito de la protección y se introduce en el mundo de los sistemas de gestión de riesgos. Esto se materializa según los incumplimientos de determinadas obligaciones normativas o en el compromiso voluntario o contractual adquirido, y que éstos a su vez conllevan un perjuicio para las empresas.

El cumplimiento en materia de protección de datos es una de las mayores preocupaciones de las organizaciones. Los ordenamientos actuales en el país permiten observar importantes similitudes entre su regulación y otros sistemas de «Compliance», como lo es el sistema de «Anticorrupción». Así, uno de los principios fundamentales es el de «responsabilidad proactiva», según el cual, por un lado, son las propias empresas las que tienen que tomar las medidas adecuadas para reducir al máximo los riesgos y garantizar el cumplimiento de la LFPDPP, y por otro lado, tienen que poder demostrarlo, es decir, generar una trazabilidad suficiente de su revisión diligente para lograrlo.

Para alcanzar lo anterior, se deben aplicar las medidas de privacidad como lo señala la LFPDPP que es la «privacy by default», y en su primera oportunidad plantear la implementación de un tratamiento más sofisticado de datos, conocido como «privacy by design», dónde se pone fin al «todo vale», se determina que es necesario antes de la construcción de un nuevo aparato o servicio pensar en qué impacto potencial tiene para la privacidad. Para una correcta aplicación de este principio de responsabilidad proactiva se exige, entre otras cuestiones, que se evalúen los riesgos que entrañan aquellas actividades de incumplimiento en la protección de datos, y establecer las medidas necesarias para minimizar dichos riesgos.

En el mundo se ha establecido la creación de mecanismos de certificación en materia de protección de datos, de sellos y marcas de protección de datos, que en México hemos adoptado la ISO 27001, la cual es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. Se desprende perfectamente de la redacción en el texto de la Ley Federal de Metrología y Normalización que, las certificaciones del tipo NMX no resultan de la normativa obligatoria, aunque no asumirlas puede conllevar que quede fuera de determinados mercados, o ser incapaz, llegado el caso, de probar la existencia de mecanismos de prevención y control frente a los incumplimientos en tratando de protección de datos. Sin embargo, es importante evaluar el tamaña y capacidad de la organización para efectuar la adopción de una norma ISO, sino el Oficial de Cumplimiento debe acatar cuando menos las exigencia de la Ley, mismas que han sido abordadas en otras colaboraciones en: www.coem.mx.

Es necesario que se establezca una cultura de compliance en las empresas que se relacionan con el compromiso de la organización respecto a la protección de datos, se debe implementar diferentes metodologías para minimizar el riesgo de incumplimiento, que se encuentra dotados de diferentes personas que cuentan con autonomía en cuanto a responsabilidad y control para el mantenimiento de la estructura de compliance que sea adecuada para conseguir sus objetivos.

Para finalizar, es importante tener en cuenta la importancia de cumplir con los requisitos de Seguridad de la Información, esta parte de la norma ISO 270001:2013 indica que se debe planificar, implementar y controlar los procesos de la organización, hacer una valoración de los riesgos de la seguridad de la Información y un tratamiento determinado. Por lo tanto, se debe tener siempre presente la necesidad y forma de llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la dirección del sistema de gestión de seguridad de la información, para asegurar que funciona según lo planificado. En definitiva, en materia de protección de datos se observan mecanismos de regulación que tradicionalmente se han utilizado para controlar el cumplimiento en otras áreas específicas, como «Responsabilidad Penal» o «Medio Ambiente», de manera que, la tendencia en este ámbito se encamina, como en otras áreas de «Compliance», a la autorregulación primando el análisis en función del riesgo y la supervisión por medio de figuras autónomas e independientes.

Print Friendly, PDF & Email

Dejar respuesta

Please enter your comment!
Please enter your name here