Ley Federal de Protección de Datos

Personales en Posesión de Particulares

Retos operativos y culturales para las empresas

¿Cómo impacta esta nueva ley

a las empresas en México?

La Ley Federal de Protección de Datos

Personales en Posesión de Particulares

(LFPDPPP) es aplicable para todas las

personas físicas o morales de carácter

privado que obtengan, usen, divulguen o

almacenen datos personales de sus clientes.

En términos prácticos, esta ley aprobada el

13 de Abril del 2010, y que su reglamento

final se publicó en Diciembre del 2011,

impacta a todo tipo y tamaño de empresas.

A algunas por su giro, les exigirá cambios

menores en su comunicación con clientes,

pero a otras empresas cuyo giro implique

la suscripción de los Clientes a su servicio o

las que deban dar seguimiento al Cliente a

través de toda la vida de su producto /

servicio, esta nueva ley les exigirá un

cambio sustantivo en sus procesos de

servicio y atención a clientes, y en el

manejo de la seguridad de la información.

A continuación mencionamos algunas de

las industrias que requerirán un mayor

esfuerzo operativo para el cumplimiento

de la ley:

Aseguradoras

Bancos y otros servicios financieros

Empresas de telecomunicaciones

(telefonía, cable, internet)

Instituciones educativas

Servicios básicos (gas)

www.bleinconsulting.com UNLEASH THE BIZ | p. 2

y en general todas aquellas empresas que

manejen una gran cantidad de información

personal de sus clientes y ofrezcan servicios

recurrentes.

Por su naturaleza esta ley tiene un mayor

impacto en áreas Comerciales, de Servicio a

Clientes, de Sistemas y de Operaciones

donde se involucre la información del

Cliente, que son típicamente aquellas que

requieren para alguna actividad, los datos

personales específicos de clientes,

prospectos, contactos, u otros actores,

independientemente de si se tiene una

relación jurídica con ellos.

En resumen, esta nueva ley impacta a las

empresas en 3 principales temas:

1. Seguridad en el manejo de la

información de los Clientes.

2. Habilitar los canales de

comunicación con los Clientes para

dar a conocer el aviso de privacidad y

recibir las solicitudes de los mismos

sobre acceso, rectificación, oposición

y cancelación. (Derechos ARCO).

3. Tener los procesos necesarios para

accesar la información de los Clientes

y resolver sus solicitudes de acceso,

rectificación, oposición y cancelación

en tiempo y forma.

Antecedentes de la Ley

Federal de Protección de Datos

Personales en Posesión de

Particulares (LFPDPPP)

La iniciativa de proteger la información

personal cuenta con una larga historia

legislativa. En los países europeos; fue en

1995 que se aprobó la directiva 95/46/CE en

el Parlamento Europeo bajo el nombre de

“Data Protection Directive”, la cual

buscaba no solo la protección de la

información personal de la gente, sino

también su libre circulación a través de los

países que constituyen la Unión Europea.

Mientras que en el año 2006, fue aceptada

en los Estados Unidos el acta 815 ILCS 530,

que fue llamada “Personal Information

Act”.

Es hasta en el año 2010 que se autoriza en

México la LFPDPPP, cuyo reglamento se

expidió en Diciembre del 2011.

En congruencia con las demás leyes (sobre

todo con la europea), busca el

cumplimiento de 8 principios mandatorios

para el aseguramiento de la información

personal:

Licitud

Consentimiento

Información

Calidad

Finalidad

Lealtad

Proporcionalidad

Responsabilidad

Son estos principios los que se buscan

cumplir en la ley y su reglamento, a través

de la implementación de acciones en la

empresa, donde uno de los más valiosos

conceptos para su entendimiento es el que:

“los datos personales le pertenecen a la

persona y no a la empresa que los trata”.

¿Qué elementos considera la

LFPDPPP?

Con la intención de informar y desde un

punto de vista práctico, podemos englobar

los principales elementos de la ley en 7

temas:

1. 8 Principios básicos

2. Aviso de privacidad

www.bleinconsulting.com UNLEASH THE BIZ | p. 3

3. Derechos ARCO

4. Relaciones con terceros

5. Seguridad de la información

6. Auto-regulación

7. Sanciones

A continuación presentamos un resumen

de los temas principales de la ley, aunque

para un entendimiento detallado, la

LFPDPPP y el reglamento se pueden

descargar de manera gratuita en

www.ifai.org

1. 8 Principios básicos

La LFPDPPP busca el cumplimiento de 8

principios mandatorios para el

aseguramiento de la información personal:

Licitud

Consentimiento

Información

Calidad

Finalidad

Lealtad

Proporcionalidad

Responsabilidad

2. Aviso de Privacidad

Para poder formar el Aviso de Privacidad,

el reglamento nos marca la necesidad de

que la empresa (“responsable”) determine

claramente los motivos por los cuales son

necesarios para su operación los datos

personales del Cliente, es decir, las

finalidades. Adicionalmente, se deberá

enunciar también quién es la empresa que

tiene estos datos, y los medios por los

cuales el Cliente puede hacer contacto con

ésta para ejercer sus derechos. El aviso de

privacidad deberá darse a conocer a través

de diferentes medios de contacto con los

Clientes, y dependiendo del tipo de

información con la que cuente la

organización (datos personales sensibles o

no sensibles) y los fines para los cuales se

recabaron, se deberá de considerar el

consentimiento tácito o expreso del cliente

para el manejo de su información.

3. Derechos ARCO

Toda persona que haya proporcionado sus

datos personales, tiene derecho al Acceso

de su información, Rectificación, que es la

actualización o cambio de sus datos,

Cancelación del uso de uno o varios datos

personales a través de eliminar esa

información, y Oposición a algún

tratamiento o acción derivada del uso de la

información. Estos son los derechos ARCO,

y la empresa (responsable) deberá

proporcionar a la persona los medios

gratuitos para poder ejercer estos

derechos, y deberá también tomar en

cuenta los lineamientos establecidos para

cumplir en tiempo y forma a cualquier

solicitud de la persona referente a sus

derechos, y así evitar sanciones.

4. Relaciones con Terceros

Si la empresa (responsable), comparte

información con alguna persona u

organización para el tratamiento de datos

personales, la empresa receptora será vista

ante la ley como un “encargado”, el cual

tiene importantes responsabilidades

incluyendo la de cumplir cabalmente con el

aviso de privacidad de la empresa

(responsable) y las finalidades enunciadas

en él, así como el cumplimiento de las

medidas de seguridad requeridas. Esto

aplica para proveedores de mensajería u

otras empresas de outsourcing que en

algún momento manejen la información

de los clientes, y donde ambas empresas

tendrán que cumplir con el reglamento y la

ley.

www.bleinconsulting.com UNLEASH THE BIZ | p. 4

5. Seguridad de información

Toda persona en la organización que esté

en contacto con la información de los

clientes, deberá de conocer los principios

básicos de la ley y apegarse al reglamento.

El IFAI ha publicado dentro de su sitio web

algunas guías y bases a considerar al

momento de definir los sistemas y procesos

de seguridad, incluyendo el acceso del

personal a las instalaciones, la capacidad

de consultar y guardar la información

personal en dispositivos móviles, así como

los relacionados con el manejo de bases de

datos de clientes.

6. Auto-regulación

Se plantea dentro de la ley una forma de

ayudar a la atenuación de sanciones si es

que la empresa incurre en alguna falta.

Esta alternativa consiste en la adopción y

documentación de medidas para que la

empresa pueda regular su cumplimiento de

manera interna. Algunas medidas a tomar

internamente que podrían ayudar a la

atenuación de sanciones son:

Auditorías internas sobre el

cumplimiento de la ley

Documentación de procesos para la

atención a los derechos ARCO

Capacitación y comunicación

organizacional sobre la ley

Documentación de las políticas de

seguridad en el manejo de

información y bases de datos

7. Sanciones

Las repercusiones del no cumplimiento van

desde los 100 días de salario mínimo

($6,233 MN aprox.) hasta los 320,000 días

de salario mínimo ($20,000,000 MN

aprox.). Las sanciones dependerán de la

gravedad de la falta y del tipo de datos

que estén involucrados (sensibles o no

sensibles).

Otra afectación al no cumplimiento de la

ley es el deterioro de la confianza del

Cliente, que pudiera tener una posible

exposición en medios informativos, redes

sociales, o el simple “word of mouth”, y

afectar negativamente la imagen de la

empresa (responsable).

7 principales temas de la LFPDPPP

¿Qué necesito hacer en mi

empresa para cumplir con la

LFPDPPP?

Con base en la experiencia obtenida en la

implementación de proyectos de alineación

operativa para el cumplimiento de esta ley,

damos las siguientes recomendaciones

prácticas (no limitativas):

Entender la Ley y su aplicación en

la empresa de acuerdo al giro y

tratamiento de información de

clientes.

Contar con los medios de

comunicación “suficientes” para

dar a conocer el aviso de

privacidad.

Mejorar los procesos de Servicio al

Cliente, ya que se tienen tiempos

www.bleinconsulting.com UNLEASH THE BIZ | p. 5

límite y responsabilidades que

deben ser cumplidas de acuerdo a

los derechos ARCO.

Formalizar convenios / contratos

con Proveedores o Vendedores,

donde se destaque su compromiso

y responsabilidad con la seguridad

de la información compartida.

Aplicar regulaciones, procesos y

controles para la seguridad interna

(empresa) y externa (proveedores).

Comunicar a las personas que

manejen información de clientes

sobre la ley, para asegurar su

entendimiento.

Mejorar la capacidad de los

sistemas de información actuales

para responder adecuadamente a

los requerimientos de los Clientes

relacionados con el manejo de su

información y a la seguridad

requerida.

Revisar y adecuar los procesos

involucrados en el cumplimiento a

los derechos ARCO.

¿Cómo BLEIN apoyó a una

institución financiera a

mejorar sus procesos para

cumplir con la LFPDPPP?

El proyecto para lograr una Alineación

Operativa y mejora de procesos para el

cumplimiento de la LFPDPPP fue dividida

en 2 etapas:

1. Entendimiento, situación actual y

análisis de riesgo operativo

a) Buscar el entendimiento completo de

la ley y sus implicaciones para la

organización.

b) Identificación de los procesos y

tratamientos actuales de los datos

personales del Cliente.

c) Análisis de riesgos y desviaciones en

los procesos, y priorización de áreas

de oportunidad y planes de mejora

de acuerdo a los requerimientos de

la ley.

d) Aprobación y compromiso del plan

de mejora de los Directores clave.

Uno de los retos más importantes es el del

entendimiento de la Ley y el Reglamento y

sus implicaciones en los procesos de la

empresa, ya que se requiere identificar de

manera detallada y concreta la cantidad de

actividades que existen con relación a los

datos personales del Cliente.

Sirve hacerse las siguientes pregunta como

punto de partida:

¿Cuáles son los datos personales que

manejamos de los clientes?

¿Dónde están los datos personales de los

Clientes?

¿Qué tan bien puedo responder a una

solicitud de los derechos ARCO?

¿Qué tan buenos mecanismos de

comunicación tengo para que el cliente

pueda hacer valer sus derechos ARCO?

¿Qué medidas de seguridad existen en la

empresa para el manejo de información de

clientes.

y basado en la ley y el reglamento,

puntualizar el tipo de información, si es o

no sensible y el tratamiento actual y

requerido, así como los principales riesgos

y desviaciones.

Otro aspecto clave es el de conocer la

aplicación y repercusiones de cada artículo

de la ley y el reglamento, en las distintas

áreas y procesos de la empresa. Donde se

www.bleinconsulting.com UNLEASH THE BIZ | p. 6

deberá de buscar un involucramiento de

distintas áreas y personas clave (legal,

comercial, servicio a clientes, contraloría,

gobierno de datos, sistemas, etc.) para

llevar a cabo un ejercicio multi-

disciplinario que facilite responder a

múltiples preguntas de distintas

especialidades (bases de datos,

proveedores, formatos, sistemas de

información involucrados, normas de

seguridad, políticas de servicio al cliente,

normas específicas de la industria, etc.), y

con un entendimiento de la ley soportado

por algún especialista jurídico, sin perder

un enfoque práctico y de servicio y manejo

del Cliente.

2. Proyecto de implementación

a) Plan para la implementación de

controles y normas de seguridad en

el manejo de información de

clientes.

b) Comunicación del Aviso de

privacidad a los Clientes y estrategia

de comunicación organizacional.

c) Re-diseño de los procesos clave para

la atención de los derechos ARCO

dentro del modelo integral de

Servicio a Clientes.

d) Diseño e implementación de

prácticas auto regulatorias

(proceso de auditoría, controles y

documentación).

El involucramiento de diferentes áreas en

la 1era etapa, es un eje fundamental para

la implementación, ya que la

concientización de los Directores clave, y la

participación de los puestos operativos

involucrados, se debe de dar para que se

pueda aspirar a implementar los cambios

requeridos para el cumplimiento operativo

de la ley.

Aprendizajes y

Recomendaciones

La Ley Federal para la Protección de Datos

Personales en Posesión de Particulares es

un mandato dictado por las autoridades

que debe ser respetado. Sin duda, habrá

los recursos legales para intentar obtener

una atenuación o derogación de sanciones,

y empresas dedicadas a ello; sin embargo,

la inclusión de esta ley marca la

incorporación de México a una clara

intención global de dar seguridad a las

personas que proporcionan sus datos

personales, y de regular a las empresas que

necesitan hacer uso de la información para

su operación.

Nuestra visión es que las empresas que

lleven a cabo un esfuerzo formal para

hacer frente a la responsabilidad de

manejar adecuadamente la información de

los clientes, y responder de manera ágil a

sus solicitudes de atención y servicio,

podrán sacar ventaja de esta regulación en

términos de confianza, transparencia y

destreza operativa.

El presente documento es parte de la

plataforma de conocimiento de BLEIN, y su

intención es la de compartir conceptos y

experiencias prácticas valiosas.

www.bleinconsulting.com

Unleash the power of your business

through process innovation, technology &

change.

www.bleinconsulting.com UNLEASH THE BIZ | p. 7

BLEIN Consulting es la empresa líder en la implementación de proyectos de cambio crítico,

especializada en lograr transformaciones efectivas en la operación del negocio con impacto

directo en los resultados. Apoyamos a empresas de distintas industrias a mejorar su operación y

procesos clave para generar más valor al cliente, incrementar los ingresos, reducir costos,

mejorar la eficiencia y lograr mayores utilidades y rentabilidad.

Nuestro método de trabajo no se limita a dar recomendaciones o planes, acompañamos a

nuestros clientes en la implementación del cambio en niveles Directivos, Gerenciales y

Operativos, para asegurar que se generen nuevas capacidades y beneficios tangibles. Para más

información visita: www.bleinconsulting.com

El entorno competitivo actual exige una renovada atención en los procesos con alto énfasis en

las personas, en organizaciones ágiles, responsables, innovadoras, inteligentes y con capacidad

de cambio y adaptación. Esto es Critical Business Change.

www.bleinconsulting.com UNLEASH THE BIZ | p. 8

UNLEASH THE BIZ

01 800 25 BLEIN

www.bleinconsulting.com

info@bleinconsulting.com