35 Funciones Útiles Para Functions.php en Wordpress - Ayuda WordPress
informe sobre CONOCIMIENTO Y cumplimiento de la normativa...
-
Upload
truongminh -
Category
Documents
-
view
224 -
download
0
Transcript of informe sobre CONOCIMIENTO Y cumplimiento de la normativa...
INFORME SOBRE CONOCIMIENTO Y CUMPLIMIENTO DE LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES
JULIO 2015
Estado general de conocimiento y cumplimiento de la normativa de protección de datos personales en México; con información recabada a través de encuestas online.
TABLA DE CONTENIDO
ESTIMADO LECTOR ________________________________________________________ 1
Objetivo ___________________________________________________________________________ 1
Metodología ________________________________________________________________________ 1
Propiedad Intelectual ________________________________________________________________ 2
Filosofía ___________________________________________________________________________ 2
SOBRE LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES ______________ 3
PREGUNTAS Y RESPUESTAS ________________________________________________ 4
¿Considera que su empresa cumple con las “Recomendaciones sobre Medidas de seguridad de datos
personales” del (antiguo) IFAI? ________________________________________________________ 4
¿Cuenta su empresa con un inventario de base de datos personales… que identifique las finalidades
del tratamiento? ____________________________________________________________________ 6
¿Cuenta su empresa con un inventario de base de datos personales… que identifique las unidades de
su empresa que tratan los datos personales? _____________________________________________ 7
¿Cuenta su empresa con un inventario de base de datos personales… que identifique los recursos,
sistemas, programas y/o aplicaciones que tratan los datos personales? ________________________ 8
¿Cuenta su empresa con un inventario de base de datos personales… que identifique la sensibilidad de
los datos tratados? __________________________________________________________________ 9
¿Cuenta su empresa con un inventario de base de datos personales… que identifique la existencia de
transferencias de datos y/o encargos del tratamiento? ____________________________________ 10
¿Cuántas bases de datos, sujetas a la LFPD, ha identificado que existen en su empresa? _________ 11
Los Avisos de Privacidad de su empresa, ¿están actualizados conforme a los "Lineamientos del Aviso
de Privacidad"? ____________________________________________________________________ 12
Los Lineamientos regulan tres modalidades de Avisos de Privacidad. En su empresa se utilizan… __ 13
¿Existe en su empresa un procedimiento para la atención de los derechos ARCO, resolver solicitudes
de revocación del consentimiento, limitación y/o divulgación de los datos personales? ___________ 14
La adecuación de su empresa a la normativa de protección de datos personales… ______________ 16
Cuando transfiere datos personales a otros responsables… _________________________________ 18
¿Trata datos personales para finalidades de mercadotecnia, publicidad o prospección comercial? __ 19
TABLA DE CONTENIDO
¿Los Avisos de Privacidad correspondientes, prevén las finalidades de mercadotecnia, publicidad o
prospección comercial? ______________________________________________________________ 20
Además de la obligación de informar (Avisos de Privacidad), por favor indique los principios para el
tratamiento de datos personales cuyo cumplimiento de obligaciones ha sido implementado en su
empresa: _________________________________________________________________________ 22
TAMAÑO Y SECTOR DE ACTIVIDAD DE LAS ENTIDADES ENCUESTADAS ______________________ 24
ANÁLISIS DE RESULTADOS ________________________________________________ 25
NIVEL DE CONOCIMIENTO___________________________________________________________ 25
NIVEL DE CUMPLIMIENTO ___________________________________________________________ 25
CONSIDERACIONES PARTICULARES ___________________________________________________ 26
CONCLUSIONES (EXPECTATIVAS) _____________________________________________________ 26
INFORMACIÓN DE CONTACTO _____________________________________________ 27
1
ESTIMADO LECTOR
OBJETIVO
La publicación del presente Informe obedece a la filosofía de BGBG Abogados sobre difusión de
conocimientos e información actualizada relacionada con nuestras áreas de especialización. En esta
ocasión, corresponde a nuestra área de Protección de Datos Personales y Privacidad presentar los
resultados de una encuesta sobre conocimiento y cumplimiento de la normativa que los responsables de
datos personales deben cumplir.
Desde BGBG Abogados también asumimos con agrado el reto de participar en la conformación de una
“cultura de protección de datos personales” dentro de México, necesaria e incipiente dada la reciente
incorporación de este derecho fundamental en nuestra Constitución.
METODOLOGÍA
El presente Informe ha sido generado a partir de información recabada a través de cuestionarios online,
que fueron respondidos de forma voluntaria y anónima por aquellas entidades contactadas por BGBG
Abogados.
La herramienta de comunicación y recabo de información utilizada por BGBG Abogados
(SurveyMonkey®) permite que las respuestas brindadas a nuestras diversas preguntas puedan ser
presentadas a ustedes de la forma más concisa y gráfica posible. En todo caso, proporcionamos
información contextual respecto de la pregunta formulada a los encuestados.
Hemos procesado un total de 266 respuestas, que en su conjunto ofrecen un panorama general sobre
el estado de conocimiento y cumplimiento de la normativa de protección de datos personales. La
información que aquí presentamos no ha sido procesada para generar una matriz de riesgos ni un análisis
de brecha sobre responsables o sectores económicos específicos.
La invitación para responder a nuestro cuestionario “de conocimiento y cumplimiento” se remitió por
correo electrónico a contactos de nuestra firma, previa autorización de su parte para participar en el
estudio. Con excepción del criterio de autorización, no se utilizó ningún otro filtro para definir el destino
del cuestionario, por lo que las respuestas han sido emitidas por todo tipo de sectores de actividad
económica y tamaño de empresa. La recolección de información se realizó entre mayo de 2014 y mayo
de 2015.
2
PROPIEDAD INTELECTUAL
El presente Informe se distribuye bajo licencia Creative Commons Reconocimiento-NoComercial-
CompartirIgual-4.0 Internacional.
“Informe sobre Cumplimiento de la Normativa de Protección de Datos Personales”
by BGBG Abogados is licensed under a
Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional License.
FILOSOFÍA
Hemos sido reconocidos internacionalmente como uno de los despachos líderes en México en materia de
protección de datos personales, y nuestra filosofía de trabajo en el área resume las expectativas que
nuestros clientes ven satisfechas con nuestros servicios:
Formación y experiencia internacional
para brindar soluciones prácticas y eficientes
de cumplimiento.
Héctor E. Guzmán Rodríguez
Socio – Protección de Datos Personales y Privacidad
BGBG Abogados 05/07/2015
3
SOBRE LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES
Las preguntas formuladas por BGBG Abogados cuyas respuestas y tendencia se presentan en el
presente Informe fueron diseñadas con base en la normativa de protección de datos personales vigente
al mes de mayo de 2014, y con base en las publicaciones del Instituto Nacional de Transparencia, Acceso
a la Información y Protección de Datos Personales (“INAI”), que a continuación se identifican:
Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD);
Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares
(Reglamento de la LFPD);
Lineamientos del Aviso de Privacidad (Lineamientos);
Recomendaciones en Materia de Seguridad de Datos Personales (Recomendaciones).
Las preguntas efectuadas a los encuestados no versaron sobre el contenido o alcance de las siguientes
disposiciones o publicaciones:
Acuerdo por el que se establece el sistema electrónico para la presentación de solicitudes de
protección de derechos y de denuncias, así como la sustanciación de los procedimientos previstos
en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares;
Recomendaciones para la Designación de la Persona o Departamento de Datos Personales;
Modelo de Aviso de Privacidad Corto para Video-Vigilancia;
Criterios Generales para la instrumentación de medidas compensatorias sin la autorización
expresa del IFAI, y
Parámetros de Autorregulación en materia de Protección de Datos Personales.
Tampoco fueron directamente consideradas ninguna de las Guías, Estudios o Encuestas publicados por el
INAI (antes IFAI) a través de su portal: ifai.org.mx.
4
PREGUNTAS Y RESPUESTAS
¿CONSIDERA QUE SU EMPRESA CUMPLE CON LAS “RECOMENDACIONES SOBRE MEDIDAS DE SEGURIDAD DE DATOS PERSONALES” DEL (ANTIGUO) IFAI?
Las Recomendaciones en materia de seguridad de datos personales fueron publicadas por el IFAI
(ahora INAI) en el Diario Oficial de la Federación de fecha 30 de octubre de 2013 en ejercicio de la
facultad que le otorga la fracción IV del artículo 19 de la LFPD. En el marco de las mismas y con el objeto
de que los responsables cuenten con un marco de referencia respecto de las acciones que se consideran
como las mínimas necesarias para la seguridad de los datos personales, el entonces IFAI emitió una
RECOMENDACIÓN GENERAL:
PARA LA SEGURIDAD DE LOS DATOS PERSONALES, EL IFAI RECOMIENDA LA ADOPCIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES (SGSDP), BASADO
EN EL CICLO PHVA (PLANEAR-HACER-VERIFICAR-ACTUAR).
La adopción de las recomendaciones es voluntaria, dejando a los responsables y encargados la capacidad
de decidir qué metodología conviene a ellos aplicar en función de su negocio, para la seguridad de los
datos personales en su posesión.
Cumple
Totalmente
Cumple
Parcialmente
No cumple
No sabe / No
contesta
0.0% 5.0% 10.0% 15.0% 20.0% 25.0% 30.0% 35.0% 40.0% 45.0%
41.4%
44.8%
10.3%
3.4%
5
La pregunta formulada a los encuestados no indaga sobre aspectos particulares de adopción de las
Recomendaciones, sino sobre su conocimiento y grado de “cumplimiento” dentro de su organización. Al
respecto, resalta que un 86.2% de los responsables encuestados declaran cumplir parcial o
totalmente con las Recomendaciones, en tanto que el resto indica que no cumple o no conoce las
Recomendaciones.
El elevado grado de “cumplimiento” que los responsables declararon durante la encuesta permitiría
anticipar resultados similares respecto de otros aspectos de cumplimiento de la normativa de protección
de datos personales; sin embargo, el resto de respuestas aportadas durante la encuesta induce a creer
que la adopción de las Recomendaciones no está tan extendida entre los responsables como aparenta la
primera información disponible.
6
¿CUENTA SU EMPRESA CON UN INVENTARIO DE BASE DE DATOS PERSONALES… QUE IDENTIFIQUE LAS FINALIDADES DEL TRATAMIENTO?
La información recabada permite apreciar que más de la mitad de los encuestados no reconoce, al interior
de su organización, la existencia de un Inventario de Bases de Datos Personales (artículo 61,
fracción I del Reglamento de la LFPD) en el que se identifiquen las diversas finalidades para las cuales se
lleva a cabo el tratamiento de este tipo de información; finalidades que pueden abarcar un espectro
amplísimo de posibilidades, tales como:
0.0%
5.0%
10.0%
15.0%
20.0%
25.0%
30.0%
35.0%
40.0%
45.0%
50.0%
Sí No No sabe / No contesta
48.1%
33.3%
18.5%
FINALIDADES DEL TRATAMIENTO
Relación con clientes / proveedores
Recursos Humanos / Procesos de selección de personal
Videovigilancia
Marketing
Redes sociales
Directorio de contactos
Control de visitantes, etc.
7
¿CUENTA SU EMPRESA CON UN INVENTARIO DE BASE DE DATOS PERSONALES… QUE IDENTIFIQUE LAS UNIDADES DE SU EMPRESA QUE TRATAN LOS DATOS PERSONALES?
Los resultados de esta pregunta se colocan en consonancia con los de la pregunta precedente. Más de la
mitad de los encuestados (55.5%) no reporta una identificación precisa, a través de un Inventario de
Bases de Datos, de las unidades de su organización que tratan datos personales.
Se trata, en suma, de la identificación precisa de Direcciones, Gerencias, Jefaturas o cualquier otra unidad
relevante de la organización que para el desarrollo de sus actividades manejan este tipo de información.
Aunar finalidades con unidades organizativas conlleva, además, la identificación de los sistemas de
información (automatizados, no-automatizados o mixtos) que se utilizan para el tratamiento de datos
personales (ver el siguiente gráfico).
Sí
No
No sabe / No
contesta
0.0%10.0%
20.0%30.0%
40.0%50.0%
44.4%
40.7%
14.8%
UNIDADES QUE TRATAN LOS DATOS PERSONALES
8
¿CUENTA SU EMPRESA CON UN INVENTARIO DE BASE DE DATOS PERSONALES… QUE IDENTIFIQUE LOS RECURSOS, SISTEMAS, PROGRAMAS Y/O APLICACIONES QUE TRATAN LOS DATOS PERSONALES?
Nuevamente, el 55.5% de los encuestados declara no contar con un Inventario de Bases de Datos en el
que se identifiquen los sistemas, programas o aplicaciones utilizados en su organización para tratar datos
personales.
La falta de centralización de esta información, en un Inventario como el previsto por el artículo 61, fracción
I del Reglamento de la LFPD, induce a pensar que el control de las medidas de seguridad aplicables a
dichos sistemas de información no estaría debidamente controlado y actualizado dentro de las
organizaciones encuestadas, lo cual puede llevar a suponer que las Recomendaciones del INAI tampoco
son adoptadas de forma uniforme o completa dentro de las organizaciones de los responsables.
0.0%
5.0%
10.0%
15.0%
20.0%
25.0%
30.0%
35.0%
40.0%
45.0%
SÍ NO NO SABE / NO CONTESTA
44.4%
37.0%
18.5%
RECURSOS, SISTEMAS, PROGRAMAS Y/O APLICACIONES QUE TRATAN LOS DATOS
PERSONALES
9
¿CUENTA SU EMPRESA CON UN INVENTARIO DE BASE DE DATOS PERSONALES… QUE IDENTIFIQUE LA SENSIBILIDAD DE LOS DATOS TRATADOS?
Desconocer o carecer de controles sobre las bases de datos a partir de la sensibilidad de los datos
personales que en ellas se contienen incrementan las probabilidades de incumplimiento de la normativa
aplicable. Durante la encuesta, sólo el 33.3% de los responsables dijo contar con información relacionada
con la sensibilidad de los datos que se tratan en sus bases de datos; ello puede significar, por una parte,
que los datos personales sensibles y/o los datos patrimoniales y financieros no sean tratados dentro de
sistemas de información que cumplan con las medidas de seguridad aplicables a este tipo de información
y, por otra parte, que dichos datos no sean recabados cumpliendo con los requisitos exigidos por la
normativa vigente.
0.0% 10.0% 20.0% 30.0% 40.0% 50.0% 60.0%
Sí
No
No sabe / No
contesta
33.3%
51.9%
14.8%
SENSIBILIDAD DE LOS DATOS TRATADOS
10
¿CUENTA SU EMPRESA CON UN INVENTARIO DE BASE DE DATOS PERSONALES… QUE IDENTIFIQUE LA EXISTENCIA DE TRANSFERENCIAS DE DATOS Y/O ENCARGOS DEL TRATAMIENTO?
Como en el caso del control anterior, sólo un tercio de los responsables encuestados (33.3%) declara
contar con un Inventario que respalde el control de las comunicaciones de datos personales que pueden
llevar a cabo (sean éstas transferencias o remisiones). Esta ausencia de control puede llevar a la comisión
de infracciones graves, que podrían evitarse mediante la identificación adecuada de aquellas situaciones
en las cuales cada responsable debe o desea llevar a cabo transferencias o remisiones de datos personales
(con o sin el consentimiento de los titulares, según sea el caso).
0.0%
10.0%
20.0%
30.0%
40.0%
50.0%
Sí
No
No sabe / No contesta
33.3%44.4%
22.2%
TRANSFERENCIAS DE DATOS Y/O ENCARGOS DEL
TRATAMIENTO?
11
¿CUÁNTAS BASES DE DATOS, SUJETAS A LA LFPD, HA IDENTIFICADO QUE EXISTEN EN SU EMPRESA?
Más de la mitad de los encuestados (51.9%) identifica un máximo de 5 bases de datos personales dentro
de su organización. Menos del 15% declaró la identificación de más de 10 bases de datos sujetas a la
LFPD.
Por otro lado, un 18.5% de encuestados declaran no haber identificado ninguna base datos, sujeta a la
LFPD, dentro de su organización. Este número guarda consistencia con otras respuestas brindadas
durante la encuesta, relacionadas con el desconocimiento o incumplimiento de otros requisitos
establecidos por la normativa.
Cabe señalar que la experiencia de BGBG Abogados sitúa el promedio de bases de datos de una salo
entidad (responsable) en un mínimo de 6.
Ninguna
1 a 5
6 a 10
Más de 10
18.5%
51.9%
14.8%
14.8%
BASES DE DATOS IDENTIFICADAS AL INTERIOR DE LA EMPRESA
12
LOS AVISOS DE PRIVACIDAD DE SU EMPRESA, ¿ESTÁN ACTUALIZADOS CONFORME A LOS "LINEAMIENTOS DEL AVISO DE PRIVACIDAD"?
Tras varios años desde la publicación y entrada en vigor de la LFPD, se da por supuesto que toda
organización cuenta con, al menos, un Aviso de Privacidad. Es por ello que la encuesta propuesta
da por sentado el cumplimiento de este requisito “mínimo”.
Con posterioridad a la entrada en vigor de dicho ordenamiento fueron publicados el Reglamento de la
LFPD y los Lineamientos del Aviso de Privacidad, disposiciones que han supuesto la definición al
detalle de los requisitos que deben cumplir los Avisos de Privacidad y las modalidades que pueden
adoptarse en función del momento y forma de obtener los datos personales de los titulares.
En la práctica, el tiempo transcurrido entre la entrada en vigor de la LFPD y la publicación de los
Lineamientos ha supuesto para muchos responsables la desactualización de sus primeros Avisos de
Privacidad; la encuesta de BGBG Abogados, sin embargo, indica que más del 60% de los encuestados
considera que sus Avisos sí están actualizados conforme a los Lineamientos.
0.0%
10.0%
20.0%
30.0%
40.0%
50.0%
60.0%
70.0%
Sí No No sabe / No contesta
63.0%
25.9%
11.1%
¿Avisos de Privacidad
13
LOS LINEAMIENTOS REGULAN TRES MODALIDADES DE AVISOS DE PRIVACIDAD. EN SU EMPRESA SE UTILIZAN…
Los resultados de esta pregunta son consistentes con las respuestas brindadas a la pregunta precedente.
El mismo 37% que dice desconocer las modalidades de Avisos de Privacidad que se utilizan en su
organización se corresponde con el 37% de encuestados que en su conjunto indican que sus Avisos de
Privacidad no están actualizados o declaran no saberlo con certeza.
El 63% restante utiliza alguna modalidad de Aviso de Privacidad en su empresa, siendo un mínimo
porcentaje de encuestados (7.4%) el que manifiesta utilizar únicamente Avisos de Privacidad Integrales.
En su conjunto, las respuestas brindadas a esta pregunta permiten deducir un conocimiento amplio
respecto de la existencia de las modalidades de Avisos de Privacidad que la normativa vigente contempla.
25.9%
11.1%
18.5%7.4%
37.0%
Avisos Integrales, Simplificados y Cortos.
Avisos Integrales y Simplificados.
Avisos Integrales y Cortos.
Sólo utilizamos Avisos Integrales.
No sabe / No contesta
MODALIDADES DE AVISOS DE PRIVACIDAD
14
¿EXISTE EN SU EMPRESA UN PROCEDIMIENTO PARA LA ATENCIÓN DE LOS DERECHOS ARCO, RESOLVER SOLICITUDES DE REVOCACIÓN DEL CONSENTIMIENTO, LIMITACIÓN Y/O DIVULGACIÓN DE LOS DATOS PERSONALES?
En oposición a los resultados obtenidos en respuestas previas, resulta notable que menos de una tercera
parte (29.6%) de los encuestados haya indicado que dentro de su organización sí cuentan con un
procedimiento para la atención de los derechos ARCO y del resto de solicitudes indicadas.
Es importante recordar que los artículos TERCERO y CUARTO Transitorios del Decreto por el que se
expidió la LFPD otorgaron una importancia significativa a dos cuestiones relacionadas con la pregunta
formulada por BGBG Abogados; por un lado, se otorgó a los responsables hasta un año desde la entrada
en vigor de la LFPD para designar a la persona o departamento de datos personales a que se refiere el
artículo 30 de esta ley federal y, por el otro, se estableció que 18 meses después de la entrada en vigor
de la LFPD los titulares de datos personales podrían ejercer sus derechos ARCO ante los responsables.
Las respuestas brindadas por los encuestados indicarían que más de la mitad de las organizaciones
(55.6%) no cumplen con las disposiciones normativas plenamente vigentes, relacionadas con la necesidad
de contar con una persona o departamento de datos personales para dar trámite a las solicitudes de los
titulares relacionadas con el ejercicio de los derechos previstos en la LFPD.
SÍ
NO
NO SABE / NO
CONTESTA
0.0%20.0%
40.0%60.0%
29.6%
55.6%
14.8%
Atención de derechos
ARCO, revocación del
consentimiento,
limitación y/o
divulgación de los datos
personales
¿Existe un procedimiento
en su empresa?
15
Sin embargo, la experiencia de BGBG Abogados al respecto indica que varios responsables sí han
designado a una persona o departamento “de datos personales” para atender este tipo de solicitudes;
pero la misma experiencia también demuestra que dentro de este grupo de responsables no se ha
establecido un procedimiento formal y debidamente documentado que, entre otros, identifique
y asigne los roles y tareas de todas las áreas o personas que dentro de una organización deben participar
en la correcta atención del ejercicio de los derechos previstos en la LFPD, dentro de los plazos
establecidos.
Esta situación puede conllevar (y de hecho así sucede aún), a que un responsable deje de atender en
tiempo y forma a una solicitud de ejercicio de derechos ARCO debido a que:
Fue recibida a través de un canal distinto al establecido para tales fines,
Las unidades del responsable que tratan los datos personales no proporcionaron toda la información
de que disponían de un titular específico,
Alguna unidad del responsable que trataba datos personales de un titular no fue consultada para
comprobar si en “su base de datos” existía información de dicho titular,
Alguna unidad no comprobó o aseguró que los datos personales hubiesen sido actualizados después
de solicitarlo un titular, entre otros.
16
LA ADECUACIÓN DE SU EMPRESA A LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES…
57.7%
19.2%
34.6%
15.4%
7.7%
11.5%
3.8%
11.5%
0.0%
11.5% 11.5%
30.8%
3.8%
19.2%
0.0%
10.0%
20.0%
30.0%
40.0%
50.0%
60.0%
70.0%
17
La percepción sobre la existencia (o inexistencia) de beneficios o resultados positivos derivados de
acciones de cumplimiento de la normativa de protección de datos personales al interior de las
organizaciones es diversa.
Por una parte, menos de un tercio (30.8%) de los encuestados manifiesta percibir un cambio positivo
en la imagen corporativa de su empresa como resultado de acciones de cumplimiento de la normativa;
menos de un 20% percibe que éstas hayan supuesto algún cambio siquiera y encontramos que existe un
3.8% que incluso considera que las acciones de cumplimiento han traído consigo un cambio negativo
para la imagen corporativa de la organización.
Un pequeño porcentaje de los encuestados (15.4%) percibe que la adecuación a la normativa de
protección de datos ha supuesto una inversión para su organización, en tanto que un porcentaje aún
menor (7.7%) la califica como un gasto innecesario.
Ningún encuestado asocia el cumplimiento de la normativa a la reducción de costos de operación en
su organización, mientras que el 11.5% identifica un aumento en sus costos de operación o ninguna
alteración de los mismos, respectivamente.
Finalmente, cabe resaltar que del total de encuestados, un 57.7% ha indicado que la adecuación a la
normativa de protección de datos personales fue realizada por un equipo propio (o interno) de su
organización, en tanto que el 19.2% manifiesta haber encargado a un equipo externo la realización de
esta tarea; dentro de aquellos que respondieron a esta pregunta, el 34.6% reconoce que su adecuación
a la normativa no ha sido integral.
18
CUANDO TRANSFIERE DATOS PERSONALES A OTROS RESPONSABLES…
La información del gráfico anterior permite deducir que un porcentaje elevado de responsables (38.5%)
no asegura el cumplimiento de ninguno de los requisitos establecidos por la normativa aplicable para
efectuar transferencias (nacionales o internacionales) de datos personales; menos de la mitad (46.2%)
afirma comunicar al “responsable receptor” el Aviso de Privacidad que regula las finalidades a las
cada titular ha sujetado el tratamiento de sus datos personales (art. 36 de la LFPD).
De la información obtenida, también resalta que menos de una cuarta parte de los encuestados (23.1%)
verifica alguna de las siguientes condiciones: (a) que la transferencia de datos esté exenta del
consentimiento de los titulares, o (b) que ha obtenido el consentimiento de los titulares para
efectuar la transferencia que desea llevar a cabo.
Finalmente, se aprecia a poco más de un cuarto de los encuestados (26.9%) que se aseguran de
documentar las condiciones en que se realizan las transferencias de datos personales desde su
organización hacia otros responsables.
En suma, los resultados obtenidos indican que aún es necesario mejorar la regulación de las transferencias
al interior de las organizaciones-responsables.
23.1%
23.1%
26.9%
46.2%
38.5%
0.0% 10.0% 20.0% 30.0% 40.0% 50.0%
Ha confirmado que la transferencia está
exenta del consentimiento de los titulares.
Si el consentimiento es necesario, se
asegura de haberlo obtenido
adecuadamente.
Regula la transferencia por escrito u otro
medio que acredite las condiciones de la
misma.
Comunica el Aviso de Privacidad
correspondiente al responsable receptor.
Ninguna de las anteriores.
19
¿TRATA DATOS PERSONALES PARA FINALIDADES DE MERCADOTECNIA, PUBLICIDAD O PROSPECCIÓN COMERCIAL?
El tratamiento de datos personales para finalidades de mercadotecnia, publicidad o prospección comercial
constituye un elemento distintivo de la normativa de protección de datos personales mexicana, frente a
otras legislaciones que regulan el uso de los datos para estos fines a través de leyes o reglamentos
relacionados con el comercio electrónico.
A grandes rasgos, encontramos que el uso de datos personales para estas finalidades puede tener carácter
original y necesario (primario) o tratarse de una finalidad adicional (secundario). En cualquiera de ambos
casos, los Lineamientos requieren expresamente que los responsables identifiquen estos fines en el listado
de finalidades que debe contener todo Aviso de Privacidad.
Las respuestas obtenidas indican que más de la mitad de los encuestados (53.8%) no utilizan datos
personales para este tipo de finalidades, y que sólo un 34,6% está seguro de que utiliza este tipo de
información para dichos propósitos.
0.0%
10.0%
20.0%
30.0%
40.0%
50.0%
60.0%
Sí No No sabe / No contesta
34.6%
53.8%
11.5%
¿MERCADOTECNIA, PUBLICIDAD O PROSPECCIÓN COMERCIAL?
20
¿LOS AVISOS DE PRIVACIDAD CORRESPONDIENTES, PREVÉN LAS FINALIDADES DE MERCADOTECNIA, PUBLICIDAD O PROSPECCIÓN COMERCIAL?
55.6%
11.1%
33.3%
0.0%
10.0%
20.0%
30.0%
40.0%
50.0%
60.0%
Sí No No sabe / No contesta
44.4%
33.3%
22.2%
0.0%
5.0%
10.0%
15.0%
20.0%
25.0%
30.0%
35.0%
40.0%
45.0%
50.0%
Sí No No sabe / No contesta
EN SU CASO, ¿OFRECE UN MECANISMO PARA QUE LOS TITULARES
MANIFIESTEN SU NEGATIVA PARA QUE SUS DATOS SEAN TRATADOS PARA ESA
FINALIDAD?
21
Aquellos encuestados que indicaron tratar datos personales para finalidades de mercadotecnia, publicidad
o prospección comercial (el 34.6%) fueron cuestionados sobre dos aspectos adicionales. Por una parte,
que indicaran si sus Avisos de Privacidad prevén esta finalidad de forma expresa y, cuando ello fuera
necesario, si ofrecen a los titulares un mecanismo para que estos manifiesten su negativa para el
tratamiento de sus datos con esta finalidad.
Ambas preguntas revisten un grado de conocimiento amplio sobre la normativa aplicable, dado que la
necesidad de incluir esta finalidad (sea primera o secundaria) en los Avisos de Privacidad no aparece
ampliamente difundida entre los responsables de datos personales; y porque en aquéllos casos en que
esta finalidad no es necesaria para la relación jurídica entre el responsable y el titular, tampoco está
ampliamente difundido que imperativamente debe ofrecerse al titular la posibilidad de negarse al
tratamiento de sus datos para cualquiera de estas finalidades.
Respecto a la primera cuestión (inclusión en el Aviso de Privacidad), el 55.6% de los encuestados indicaron
que sí informan sobre esta finalidad a los titulares de datos personales, un tercio (33.3%) no pudo
contestar con seguridad a la cuestión, y un escaso 11.1% aseguró que no habían incluido esta información
en sus Avisos de Privacidad.
En cuanto a la existencia de un mecanismo para permitir a los titulares manifestar su negativa para el
tratamiento de sus datos en estos casos, se aprecia que el número de encuestados que indican no cumplir
con este requisito se triplica en relación con la pregunta anterior (33.3%), resultando así que menos de
la mitad (44,4%) declaran cumplir con esta disposición normativa.
Cabría indicar que la pregunta efectuada por BGBG Abogados no clarificó aquellos supuestos en los
cuales es necesario poner a disposición de los titulares el mecanismo para manifestar su negativa, lo cual
podría explicar en cierta medida el aumento de encuestados que indicaron no cumplir con esta obligación
(cuando ella resulta aplicable).
22
ADEMÁS DE LA OBLIGACIÓN DE INFORMAR (AVISOS DE PRIVACIDAD), POR FAVOR INDIQUE LOS PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES CUYO CUMPLIMIENTO DE OBLIGACIONES HA SIDO IMPLEMENTADO EN SU EMPRESA:
Indiquemos, en primer lugar, que un 23.1% de los encuestados no sabe si en su organización se cumplen
o se han implementado acciones de cumplimiento de los principios rectores de la protección de datos
personales; que sumados al 15.4% que respondió no cumplir con ninguno de ellos, arroja un 38.5% de
posibles infractores (dentro del universo de encuestados) por incumplimiento de alguno de los
principios establecidos en la LFPD (ver artículo 63, fracción IV de dicho ordenamiento).
Dentro de las características destacables de nuestra normativa de protección de datos personales, incluso
frente a la normativa europea vigente que le sirve de referencia, destaca la existencia del principio de
responsabilidad, que se sintetiza en la obligación del responsable de velar y responder por el
tratamiento de los datos que se encuentran en su posesión, mediante la adopción de las medidas que
sean necesarias para cumplir con todos los principios establecidos por la LFPD. Al respecto,
destaca en nuestra encuesta que un 46.2% de los encuestados manifiesta cumplir con dicho principio;
resultado que contrasta con el resto de respuestas, ya que ningún otro de los principios reporta un nivel
de cumplimiento similar.
0.0%
10.0%
20.0%
30.0%
40.0%
50.0%
34.6%
38.5%
26.9%30.8%
23.1%
15.4%
46.2%
15.4%
23.1%
RESTO DE PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS
PERSONALES
23
En nuestra opinión, se trata de una imperfecta apreciación del contenido y alcance del principio de
responsabilidad, cuyo cumplimiento práctico viene a significar, a su vez, el cumplimiento conjunto y
cabal de los principios de licitud, consentimiento, información, calidad, finalidad, lealtad y
proporcionalidad; sumados a la obligación de todo responsable de adoptar las medidas técnicas, físicas y
administrativas que garanticen la seguridad de los datos personales.
Una conclusión provisional derivada de las respuestas otorgadas a esta pregunta podría ser, en todo caso,
que es indispensable que toda organización debe ser consciente de la existencia de todos los principios
aplicables a la protección de los datos personales, que desde luego van más allá de la obligación de contar
con “un” Aviso de Privacidad.
24
TAMAÑO Y SECTOR DE ACTIVIDAD DE LAS ENTIDADES ENCUESTADAS
11.5%
46.2%
19.2%
19.2%
3.8%
Hasta 10 trabajadores.
11 hasta 50 trabajadores.
51 hasta 250 trabajadores.
Más de 250 trabajadores.
No sabe / No contesta.
0.0% 10.0% 20.0% 30.0% 40.0% 50.0%
POR FAVOR, INDIQUE EL TAMAÑO DE SU ORGANIZACIÓN
3.8%
3.8%
73.1%
7.7%
19.2%
0.0% 10.0% 20.0% 30.0% 40.0% 50.0% 60.0% 70.0% 80.0%
Sector primario.
Sector secundario.
Sector terciario (o de servicios).
Sector cuaternario (o de información).
No sabe / No contesta.
POR FAVOR, INDIQUE A QUÉ SECTOR O SECTORES DE ACTIVIDAD
PERTENECE SU EMPRESA:
25
ANÁLISIS DE RESULTADOS
NIVEL DE CONOCIMIENTO
Las respuestas brindadas por el universo de organizaciones que contestaron a la encuesta de BGBG
Abogados permite concluir que entre los diversos sectores de actividad en que participan dichas
entidades (mayoritariamente el sector servicios, con el 73.1%) existe un conocimiento general de la
normativa de datos personales.
El promedio de respuestas indicando que el encuestado desconocía el estado de cumplimiento de su
organización fue del 18.8%, resaltando el grado máximo de desconocimiento del 37% de los encuestados
que fueron cuestionados sobre las modalidades de Avisos de Privacidad (integrales, simplificados y cortos)
implementadas o utilizadas en su organización.
En este sentido, el promedio de conocimiento de los aspectos normativos sobre protección de datos, tal
y como fueron propuestos por BGBG Abogados a través de nuestra encuesta, ha superado el 80%.
NIVEL DE CUMPLIMIENTO
El análisis de las respuestas proporcionadas permite deducir que un 43.9% de los encuestados
cumpliría de forma integral con todas las obligaciones sobre las cuales fueron cuestionados. El
restante 56.1% ha contestado que su organización no cumple con las obligaciones puestas a su
consideración o manifestaron desconocer si dentro de la misma se cumplían.
Conforme a lo anterior, se considera que el nivel de cumplimiento integral analizado durante el período
de un año que duró nuestra encuesta podría ser superior al anteriormente indicado, tomando en
consideración que aquéllos que respondieron a las preguntas de BGBG Abogados podrían haber
carecido de información actualizada en el preciso momento de remitir sus respuestas.
No obstante, debe resaltarse que nuestra encuesta arroja un promedio del 34.7% de encuestados que
de forma definitiva informaron no cumplir con los controles sobre los cuales fueron cuestionados,
encontrando que el mayor índice de incumplimiento (55.6%) fue reconocido en relación con la
existencia de un procedimiento implementado por los responsables para atender adecuadamente a las
solicitudes de ejercicio de los titulares relacionadas con los derechos que les reconoce la LFPD.
26
CONSIDERACIONES PARTICULARES
A la vista de la metodología empleada por BGBG Abogados para el desarrollo de Proyectos de
Adecuación a la LFPD, que incluye controles previstos por la ISO 27001:2013, consideramos
indispensable resaltar la importancia que reviste el conocimiento de todas las obligaciones que la
normativa de protección de datos personales establece a cargo de responsables y encargados.
Desde la publicación de dicha normativa en nuestro país, hemos comunicado a nuestros clientes y
contactos: “No todo son Avisos de Privacidad”. Y en este sentido, los resultados aquí publicados
confirman nuestra convicción sobre la necesidad de incidir en la difusión de aquellos principios adicionales
al de información y la obligación de contar con medidas de seguridad adecuadas para la protección de
los datos personales.
En este sentido, el conocimiento y aceptación sobre la necesidad de contar con procedimientos y
políticas para proteger esta información, en todo tipo de organizaciones, constituye uno de los retos que
la novedad de esta normativa impone a firmas como BGBG Abogados, cuya asesoría legal comprende
aspectos mucho más amplios que la sola emisión de aquéllos avisos, brindando a sus clientes evaluaciones
integrales sobre su estado de cumplimiento.
CONCLUSIONES (EXPECTATIVAS)
Los resultados obtenidos por BGBG Abogados a través de las respuestas analizadas y aquí publicadas,
superaron nuestras expectativas iniciales sobre el conocimiento y estado de cumplimiento de la normativa
de protección de datos personales (y eso, es una buena noticia).
Sin embargo, los mismos resultados obligan a replantearnos la estrategia de difusión sobre el contenido
de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y el resto de normativa
aplicable, pues aún persiste un porcentaje de desconocimiento e incumplimiento que no debería resultar
aceptable, por tratarse de un derecho fundamental el que persigue proteger dicha normativa (y nuestra
propia Constitución).
La experiencia internacional demuestra que el cumplimiento extendido de una normativa como la de
protección de datos personales, y la sensibilidad de los ciudadanos para exigir el respeto de su privacidad
y la protección de sus datos personales, requiere de tiempo y esfuerzo. Se trata, como hemos indicado
en la introducción de este Informe, de formar una “cultura de protección de datos personales” en nuestro
país. Desde BGBG Abogados esperamos que este Informe contribuya al crecimiento de dicha cultura,
con la convicción de que el siguiente que elaboremos demostrará que todos hemos mejorado.
27
INFORMACIÓN DE CONTACTO
HÉCTOR GUZMÁN SOCIO
MIGUEL GALLARDO SOCIO
CARLOS BELLO SOCIO
Tel. +52 (55) 5292 5232
Tel. +34 91 192 0017
Tel. +52 (55) 5292 5232
Tel. +52 (55) 5292 5232
CIUDAD DE MÉXICO
AGUSTÍN MANUEL CHÁVEZ 1-001 CENTRO DE CIUDAD DE SANTA FE MÉXICO, D.F., 01210
TEL. +52 (55) 5292 5232
BGBG.MX
MADRID
AVENIDA DE BRASIL, 29 – 1, 28020
MADRID, ESPAÑA
TEL. +34 911 920 017
BGBG.ES
bgbg.mx
bgbg.es