Desde la puesta en vigor del Reglamento General de Protección de Datos (GDPR por sus siglas en inglés), el 25 de mayo de 2018, se han realizado numerosos cambios a nivel de Protección de Datos personales a lo largo del mundo. Fuera de las fronteras del bloque de la Unión Europea, países como Andorra, Suiza, Israel, Japón, Corea del Sur, Nueva Zelanda, Canadá, Argentina, Uruguay y ahora Brasil tienen una legislación local acorde a la normativa europea.
En estos últimos años, han aparecido también normativas a nivel estatal en los Estados Unidos como CCPA/CPRA (California Consumer Privacy Act/California Privacy Rights Act) en el estado más próspero y CDPA (Consumer Data Privacy Act) en Virginia, centro político de la Unión Americana, durante este 2021 en puerta están al menos una docena de estados que tienen iniciativas similares de protección de datos por liberar acordes a GDPR: Washington, Oklahoma, Nueva York, Colorado, Florida, Alabama, Arizona, Minnesota, Illinois, Rhode Island, Connecticut, Maryland, Massachussets, New Jersey y Texas.
Si todos estos países ya tienen cumplimiento con GDPR, ¿Qué está pasando con México?
La comisión Europea tiene el poder para determinar, como está estipulado en el artículo 45 de la Regulación 2016/79, si un país fuera de la Unión Europea ofrece un nivel adecuado de protección de datos. Para lo cual se requiere:
- La propuesta de la Comisión Europea
- La opinión del Comité Europeo de Protección de Datos
- La aprobación de los representantes de los países en la Unión Europea
- La adopción de la decisión por parte de la Comisión Europea
En cualquier momento, el Parlamento Europeo y el Consejo pueden solicitar a la Comisión Europea que mantenga, enmiende o retire la decisión de alineación alegando que su acto excede las competencias de ejecución previstas en el reglamento.
El efecto de tal decisión se traduce en que los datos personales pueden fluir desde la UE a un tercer país sin que sea necesaria ninguna otra salvaguardia. En otras palabras, las transferencias al país en cuestión se asimilarán a las transmisiones de datos dentro de la UE.
Hasta el 30 de marzo de 2021 en que fue homologada la legislación de Corea del Sur con GDPR, México no está aún considerado como un país que tenga alineada su legislación a GDPR. En 2018 nuestro país fue invitado a firmar la Convención 108 del Consejo de Europa en materia de Protección de Datos y buscar alinear nuestra legislación al modelo europeo que como hemos platicado está siendo adoptado en muchos países con los que tenemos tratados comerciales.
Si ya tenemos legislación GDPR México para Protección de Datos personales, ¿Qué es lo que aún no cubre?
La Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) de 2010 abarca a Personas Físicas y la Ley Federal de Protección de Datos Personales en Posesión de Obligados Solidarios (LFPDPPOS) del 2017 amplía los alcances a Personas Morales, estas leyes tienen considerables similitudes con GDPR, sin embargo, nuestra legislación tiene un enfoque en la protección de datos mientras que la normativa europea se avoca a la privacidad y la protección del usuario. Esto no ha sido suficiente para que México sea avalado por la Comisión Europea como un país “seguro” para la protección de la privacidad de los usuarios y la seguridad de los datos personales se refiere.
Mientras no ha habido, legislativamente hablando, un cumplimiento estricto de GDPR México, países como los Estados Unidos habían contado con un mecanismo denominado de manera general Privacy Shield cuyo propósito es que, aunque legalmente en sus países las empresas no estén sujetas a cumplir con GDPR, contractualmente toman el compromiso. Desafortunadamente este mecanismo dejo de ser válido el 16 de julio de 2020 lo que nos devuelve de nueva cuenta a la necesidad de apegarse a la norma europea.
El espíritu bajo el cual se desarrolló nuestra legislación no contempla darle al ciudadano el derecho de decidir si está de acuerdo o no con que una empresa recabe sus datos para enviarle en algún momento información que considere pueda ser de su interés. El resultado es que hoy estamos bombardeados por llamadas de diferentes entidades de las cuales desconocemos cómo tuvieron acceso a nuestra información. Así, pueden llegar llamadas ofreciendo ampliaciones o cambio de plan tarifario, paquetes vacacionales, tarjetas de crédito de diversos bancos, e inclusive planes a perpetuidad de agencias funerarias entre muchas otras ofertas.
Mucha de esta actividad, una forma muy poco creativa en que las agencias de telemarketing y empresas de todo tipo, que busca promover productos y servicios resultan la mayor parte de las veces un verdadero dolor de cabeza para cualquier persona como usted o como yo que cada vez consideramos menos probable comprar por teléfono a alguien que no conocemos.
¿Qué falta hacer para que las leyes mexicanas estén adecuadamente alineadas con GDPR?
Uno de los puntos esenciales, explícitos en GDPR y a la que la normatividad mexicana debe dar más peso es al papel del Oficial de Protección de Datos (DPO). Esta figura es responsable de todas las actividades que tienen que ver con la protección de datos personales en la empresa, desde su diseño, los mecanismos de recabación de datos, las decisiones sobre su procesamiento, las protecciones que sean requeridas en materia de ciberseguridad, la notificación de compromiso cuando se produce un robo o un ataque a las partes afectadas y el manejo de las consecuencias legales que se desprenden de estos eventos.
Además de lo anterior las consecuencias deberían ser más contundentes. El plazo máximo para notificar las filtraciones de datos personales a las autoridades de control es de un máximo de 72 horas desde que la empresa es consciente del incidente. Las autoridades de control pueden poner en los casos más graves multas de hasta 20 millones de euros o el 4% de la facturación global anual de la empresa que incumpla con GDPR. La transparencia es fundamental y aunque a sus clientes les parezca un hecho que cause desconfianza y un riesgo a la reputación corporativa la notificación es obligatoria y la exposición al escrutinio público inminente.
Una forma de comenzar a afrontar esto es trabajar en la implementación de un Sistema de Gestión de Información de Privacidad apoyándose en el ISO 27701:2019 o el ISO 29100:2011 entre otras normas emergentes.
Con nuevas profesiones en las organizaciones como los Científicos de Datos, Arquitectos de Soluciones de Privacidad, Ingenieros de Protección de Datos entre otras, se está volviendo muy importante preparar a este nuevo grupo de profesionales en estos temas. La ISACA ha promovido muy fuertemente la credencial CDPSE para brindar elementos de conocimiento en Gobierno de la Privacidad, Arquitecturas y la Gestión del Ciclo de Vida de los datos personales.
Conclusiones
Con la generalización de GDPR en las diferentes regiones económicas de este mundo cada vez más globalizado, las organizaciones tendrán que implantar mecanismos de gestión de la privacidad y la protección de datos personales como una prioridad en sus procesos de negocio presentes y futuros, la falta de alineación a la normativa europea podría poner en riesgo sus capacidades de negocio, la reputación e imagen, además de las consecuencias económicas que podría traer el incumplimiento.
Conoce al autor de este artículo.
ESTEBAN SAN ROMÁN Profesional en Seguridad de la Información CISSP, CISA, CRISC, CDPSE, CEH, ITIL, ISO 27001 LA/LI |