En el marco del Día Internacional de la Protección de Datos Personales —conmemorado el 28 de enero— recomendamos analizar el camino que han recorrido las empresas en esta materia, considerando que, si bien hay muchos avances, aún hay acciones por llevar a cabo, sobre todo en perspectiva a la implementación de la reforma de teletrabajo en nuestro país. Es indispensable que aquellas compañías que hoy operan a través de un modelo de home office y que desean mantener ese esquema, conozcan sus procesos de negocio desde un enfoque de privacidad.
El 12 de enero de 2021 entró en vigor la reforma a la Ley Federal del Trabajo, la cual reconoce el desempeño de actividades remuneradas en lugares distintos al establecimiento del patrón, por lo que no se requiere la presencia física en el centro de trabajo. Con ello, las empresas que ofrezcan home office a sus empleados estarán obligadas a —entre otras cosas— preservar la seguridad de la información y de los datos. Por su parte, los trabajadores tendrán ciertas obligaciones, como atender las políticas y los mecanismos de protección de datos utilizados en el desempeño de sus actividades, así como las restricciones sobre su uso y almacenamiento.
Si bien esta reforma es reciente, es importante recalcar que las obligaciones en torno al cumplimiento específico en materia de protección de datos personales, regulado por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento, se encuentran vigentes desde el 2010 y es un tema al que muchas organizaciones no habían prestado la atención debida.
En el contexto actual, recomendamos a las empresas enfocar sus esfuerzos en los siguientes puntos clave:
- Llevar cabo una evaluación o un análisis de sus procesos de protección de datos
- Desarrollar un roadmap de cumplimiento, es decir, un listado detallado de los pasos a seguir o acciones a implementar
- Implementar las acciones identificadas a través de:
(a) La emisión de avisos de privacidad diseñados para cada titular (ya sean clientes, proveedores, empleados, visitantes, página web).
(b) La creación e implementación de una política de privacidad que contenga disposiciones relativas a (I) la definición y categorización de los datos personales cuyo tratamiento se lleva a cabo —esto es: si son generales, financieros o patrimoniales y/o sensibles—; (II) el tipo de finalidades para el tratamiento de los datos personales; (III) la remisión o transferencia de datos personales; (IV) la persona o el departamento encargado de la protección de datos personales dentro de la organización; (V) la emisión de avisos de privacidad para clientes, proveedores, empleados, visitantes, página web, video grabación, etc.; (VI) el ejercicio de derechos ARCO de los titulares; (VII) medios para notificar cualquier incidente o violación en materia de privacidad; (VIII) medios de obtención del consentimiento de los titulares para el tratamiento de sus datos personales; (IX) la retención o eliminación de datos personales; entre otros.
(c) La creación e implementación de un reglamento de trabajo en el cual se prevean, entre otros puntos, el tipo de dispositivos válidos para efectuar el trabajo, sea este presencial o home office, los sistemas y controles de acceso autorizados, las responsabilidades y obligaciones del personal de trabajo respecto de la protección de datos personales de cliente, proveedores, visitantes y otros empleados de la organización; los medios y procedimientos implementados por la organización para denunciar cualquier violación o incidente en materia de protección de datos personales, penalidades en caso de violación a los preceptos implementados en materia de protección de datos personales por parte del personal de la organización.
(d) La elaboración de un inventario de datos personales.
(e) Vendor Due Diligence como procedimiento necesario en la elección y contratación de prestadores de servicios cuya relación comercial conlleve el tratamiento de datos personales.
(f) Capacitación constante en materia de protección de datos personales al personal de la organización.
Cabe mencionar que también habrá que considerar una serie de medidas electrónicas y técnicas, encaminadas a un desarrollo más eficiente y seguro de los esquemas de trabajo virtuales; por ejemplo, en relación con el uso de correo electrónico, intranet, redes sociales, uso de dispositivos, uso de software de terceros, plataformas para videoconferencias, entre otros.
Sin duda, la protección de datos personales es un tema que, a razón de los acontecimientos actuales a nivel global y los cambios que se han venido generando a raíz de la pandemia en las relaciones tanto comerciales como laborales de las organizaciones, cobra aún más importancia y requiere mayor atención y estricto cumplimiento. Aún hay mucho por hacer.
