MECANISMOS PARA CUMPLIR CON EL PRINCIPIO DE RESPONSABILIDAD
Se refiere a las acciones que el responsable del tratamiento debe implementar para
acreditar el cumplimiento de principios, deberes y obligaciones en materia de protección
de datos personales. También se cuenta con diversos mecanismos que permiten planear
y ejecutar acciones que den cumplimiento a dicho principio.
POLÍTICAS Y PROGRAMAS DE PROTECCIÓN DE DATOS PERSONALES
Obligación que el responsable del tratamiento debe implementar para adoptar
mecanismos a través de los cuales se acredite el cumplimiento de la legislación en
materia de protección de datos personales en posesión de sujetos obligados.
No solo es aplicable al responsable del tratamiento, pues de conformidad con lo dispuesto
por el artículo 46, párrafo segundo de los Lineamientos Generales, el principio de
responsabilidad también debe ser observado por los encargados del tratamiento y, en su
caso, por los responsables transferentes y receptores al ejecutar comunicaciones de
datos personales, a través de la figura de transferencias de datos personales, ya sean las
mismas, nacionales o internacionales.
Para que el principio de responsabilidad —también conocido como accountability o
responsabilidad proactiva (REGLAMENTO UE 2016, art. 24)— se vea verificado, el
artículo 30 de la LGPDPPSO se refiere a ocho mecanismos mínimos de cumplimiento,
cuyas fracciones I, II y IV se refieren a los programas y políticas de protección de datos
personales.
Informa
ción de
uso
�La LGPDPPSO en su artículo 47, señala: establecer los elementos y actividades de
dirección, operación y control de todos sus procesos que, en el ejercicio de sus funciones
y atribuciones, impliquen un tratamiento de datos personales a efecto de proteger éstos
de manera sistemática y continúa.
Los programas de manera general, son los instrumentos base de la organización para
proyectar la ejecución de un proyecto y las políticas de privacidad, podemos identificarlas
con instrumentos específicos que derivan de la implementación del programa de
privacidad.
Ahora bien, de conformidad con las fracciones I, II y IV del artículo 30 de la LGPDPPSO,
son tres obligaciones que deben ser observadas respecto de los programas y las
políticas de privacidad:
Destinar recursos, económicos, humanos, para instrumentación lo que implica desde
su conceptualización, diseño, creación y aplicación.
Dichos instrumentos serán elaborados y serán establecidos como obligatorios al
interior de la organización.
ser revisados periódicamente para, en su caso, ser mejorados.
Por ser dichos instrumentos los ejes rectores de las acciones que deben ser observables
al interior de la organización de que se trate, la legislación ha colocado un control para
prever su efectividad. Este se refiere a la intervención activa de los Comités de
Transparencia, pues ambos instrumentos deben ser aprobados por esta instancia.
Asimismo, tiene la obligación de coordinar su puesta en operación, y por supuesto, es
quien está facultado para vigilar y supervisar su cumplimiento.
Informa
ción de
uso
�CAPACITACIÓN Y ACTUALIZACIÓN DEL PERSONAL
Los operadores de las actividades que involucren el tratamiento de datos personales lo
realicen con plena conciencia de su carácter; esto es, desarrollen conocimientos,
habilidades, aptitudes y actitudes para ejecutar sus actividades siempre con apego al
cumplimiento al marco normativo que les es aplicable en materia de protección de datos
personales.
La fracción III del artículo 30 de la LGPDPPSO, dispone que los sujetos obligados deben
poner en práctica un programa anual de capacitación y actualización a su personal. El
artículo 48 de los Lineamientos Generales lo complementa, extendiendo la obligación de
capacitación a sus encargados.
Los Comités de Transparencia tienen un papel muy importante, pues el programa tiene
que estar aprobado, coordinado y supervisado por el mismo.
SISTEMAS DE SUPERVISIÓN Y VIGILANCIA
Las medidas que se implementan al interior de cada sujeto obligado deben ser
supervisadas y vigiladas con respecto a la verificación y medición de nivel de
cumplimiento. Resulta necesario que existan programas de vigilancia o auditoría, cuyos
objetivos sean la revisión del cumplimiento del marco normativo aplicable.
Las fracciones IV y V del artículo 48 de la LGPDPPSO se refieren a la obligación de la
revisión de las políticas y programas de seguridad, así como al establecimiento de un
sistema de supervisión y vigilancia para comprobar el cumplimiento de las políticas en la
materia. La supervisión y vigilancia puede ser realizada, entre otras actividades, por
auditorías, las que, a su vez, indica que pueden ejecutarse de manera interna y/o externa,
por lo que no restringe a que cualquier tercera parte ajena a la organización efectúe tal
revisión.
Informa
ción de
uso
�Aplicar la Norma ISO 19011, que consiste en un conjunto de directrices para que la
misma sea realizada, entre las cuales destacan:
Los criterios para la selección de auditores, considerando las características que los
mismos deben tener:
Ser independiente y contar con capacidad técnica.
Su actuación debe desarrollarse de manera íntegra, objetiva competente, diligente,
confidencial y profesionalmente.
Durante la auditoría se deben observar los principios de auditoría:
Integridad.
Presentación ecuánime.
Cuidado profesional.
Confidencialidad.
Independencia.
Enfoques basados en evidencias.
Procedimiento de auditoría:
Inicio de la auditoría.
Preparación de las actividades de auditoría.
Ejecución de la auditoría.
Preparación y distribución del reporte.
Finalización de la auditoría.
Seguimiento a la auditoría.
El sistema de supervisión y vigilancia debe ser ejecutado, por regla general, al
menos cada dos años. Sin embargo, la misma puede realizar antes si existieran
modificaciones sustanciales (LGPDPPSO 2017, art. 75) a los tratamientos de los
datos personales.
Informa
ción de
uso
�ATENCIÓN DE DUDAS Y QUEJAS
La Unidad de Transparencia de cada uno de los sujetos obligados es la instancia que
tiene como función brindar auxilio y orientación a los titulares en relación con la protección
de sus datos personales (LGPDPPSO 2017, art. 85). Ahora bien, la fracción VI del artículo
30 de la misma ley indica como una obligación el establecimiento de procedimientos para
la recepción y atención de dudas y quejas de los titulares.
El artículo 50 de los Lineamientos Generales, establecen que dichos procedimientos
deben cumplir con las siguientes características:
Deben ser de fácil acceso y con la mayor cobertura posible.
Debe considerar el perfil de los titulares y la forma en que se mantienen en contacto o
comunicación directa o cotidiana con ellos.
Debe estar en todo momento habilitado.
Es de suma importancia que se identifique si las mismas se tratan del ejercicio del
derecho de acceso, al que, aunque nos referiremos en el siguiente tema, es ahora preciso
distinguir que, si la duda se relaciona con las condiciones y generalidades del tratamiento
de sus datos, la misma debe ser clasificada como un derecho de acceso, de conformidad
con lo dispuesto por el artículo 44 de la LGPDPPSO.
Es menester identificar que el procedimiento que se establezca por cada sujeto obligado
debe atender a otras características:
IDENTIDAD identificar casos en los que es necesario que el titular se identifique y, en
su caso, si las dudas o quejas, pueden ser realizadas por un tercero.
ATENCIÓN OPORTUNA. Deben fijarse plazos que deben considerar supuestos de
urgencia en su atención.
CONFIDENCIALIDAD. Deben fijarse medidas que permitan la secrecía del quejoso,
pues es necesario, en todo caso, salvaguardar su integridad y seguridad, toda vez que
incluso el mecanismo puede adoptar un canal de denuncia.
Informa
ción de
uso
� SEGURIDAD. Se deben establecer parámetros de disponibilidad e integridad de los
mecanismos de interposición de dudas y quejas
PROTECCIÓN DE DATOS PERSONALES POR DISEÑO
Acciones que desde el diseño de nuevos servicios o productos consideren el
cumplimiento de la protección de las personas a quienes se dirigirán y fueron establecidos
7 principios fundamentales:
Proactivo, no reactivo; preventivo, no Protocolos que deben observarse para
correctivo evitar conflictos de cumplimiento durante
el tratamiento de ciclo de los datos
personales, lo que conlleva a la adopción
de medidas que previenen daños, en lugar
de realizar correcciones derivadas de
fallas que comprometen la protección de
los datos personales sometidos a
tratamiento.
La privacidad como configuración Adopción de medidas que garanticen al
predeterminada. titular de datos personales niveles
máximos de la protección de sus datos
personales. Debido
Privacidad incorporada en la fase de Desde las primeras etapas del proyecto
diseño. que implique tratamiento de datos
personales, debe ser considerado como
un requisito obligatorio de cumplimiento la
exigibilidad del requisito no funcional de
privacidad.
Funcionalidad total: pensamiento “todos Una prestación del bien o servicio con
ganan”. perspectiva integral, en la que no sea
sacrificada la privacidad, a cambio de la
obtención de mayores beneficios de
usabilidad o funcionalidad.
Aseguramiento de la privacidad en todo el Debe asegurarse que se cumpla con cada
ciclo de vida. una de las obligaciones aplicables para
proteger la privacidad de los titulares que
Informa
ción de
uso
� correspondan.
Visibilidad y transparencia. La adopción de las medidas que protegen
los datos personales a ser tratados debe
ser documentadas y puestas a disposición
de los titulares, y en su caso, de las
autoridades de control. Lo anterior se logra
a través de avisos de privacidad y políticas
de privacidad.
Respeto por la privacidad de los usuarios: Debe considerarse la protección de la
mantener un enfoque centrado en el privacidad de los titulares de quiénes será
usuario. tratada información que los identifica o que
los hace identificables.
Para el tratamiento de datos personales en la incorporación de nuevos ciclos de vida
deben ser adoptadas medidas físicas, técnicas o administrativas que, desde el diseño, se
enfoquen en el cumplimiento de los principios, deberes y obligaciones en la materia, lo
cual debe verse reflejado en su políticas, programas, servicios, sistemas o plataformas
informáticas, aplicaciones electrónicas o de cualquier tecnologías (LGPDPPSO 2017, art.
30).
De conformidad con el segundo párrafo del artículo 51 de los Lineamientos Generales,
para el establecimiento de dichas medidas, se deberá considerar, al menos:
Los avances tecnológicos.
1. Los costos de implementación.
2. Las circunstancias del tratamiento.
3. Los riesgos en torno al tratamiento
PROTECCIÓN DE DATOS PERSONALES POR DEFECTO
Deben adoptarse medidas técnicas y administrativas orientas a resguardar la aplicación
irrestricta de los principios de proporcionalidad y calidad. Artículo 53 de los Lineamientos
Generales
Informa
ción de
uso
�CARGA DE LA PRUEBA DEL CUMPLIMIENTO DEL PRINCIPIO
El principio de responsabilidad abarca el cumplimiento de todos y cada uno de los
principios en materia de protección de datos personales, de modo que, de conformidad
con lo dispuesto por el artículo 54 de los Lineamientos generales, la prueba del
cumplimiento de estos recae en todo momento en el responsable del tratamiento.
Para el principio de responsabilidad un elemento importante de cumplimiento es la
supervisión y vigilancia, la que, para realizarse requiere de la inspección de evidencia del
cumplimiento de la norma, por lo tanto, si el responsable del tratamiento cumple con tal
mecanismo, de manera natural contará con evidencias que demuestren el cumplimiento
general de los principios en materia de protección de datos personales.
Informa
ción de
uso
