TIC

Encargados renegados: ¡ESO YO NO TE LO FIRMO!

Hace algunos días, participé en la reunión de uno de mis clientes con su proveedor de servicios de call center.

Debo aclarar que desde hace un par de semanas estamos en proceso de renovación del contrato de prestación de servicios y del convenio de protección de datos que las partes firmaron como addendum después de haber sido asesorado mi cliente al respecto. Cabe señalar también que a este call center lo tenemos bajo la lupa, debido a la sospecha de fugas de datos que habrían ocurrido en su organización

El caso es que, lo que debió ser un ejercicio de aclaración de ideas, roles y responsabilidades, terminó convirtiéndose en una reunión tensa e inverosímil.

Esto es lo que pasó:

Dentro del proceso de renovación del contrato, comenzamos a solicitar al proveedor determinada información sobre el cumplimiento del servicio y mencionamos la existencia de información sobre una posible vulneración de seguridad. Además, le pedimos que proporcionara evidencia sobre la adopción de diversas medidas de seguridad administrativas y técnicas en relación con los sistemas de información en que procesa los datos personales que son responsabilidad de mi cliente.

Después de una actitud inicialmente cooperativa, el proveedor  comenzó a negar la entrega de información y, finalmente, solicitó que nos reuniéramos.

Para no hacer el cuento demasiado largo, vayamos al punto en el cual el proveedor presentó, de forma más o menos clara, cuál era su posición. Las siguientes afirmaciones resumen las ideas de nuestro encargado renegado:

  • Yo no tengo obligación de adoptar medidas de seguridad para el tratamiento de tus datos [*ojos abiertos];
  • De hecho, esa responsabilidad es de “los dueños de las plataformas” donde están tus datos (o sea, unos sub-contratistas), no de nuestra empresa [* ojos más abiertos];
  • Además, ustedes deberían participar en esta responsabilidad; nunca han revisado quiénes tienen acceso a su información cuando prestamos el servicio [*ojo cuadrado];
  • Mis empleados tampoco son responsables de lo que hacen con tus datos, porque ustedes no nos has dado un manual para saber cómo manejarlos [* boca abierta];
  • De hecho, en la próxima renovación del contrato (*nota: aún creen que habrá renovación) no vamos a firmar el convenio “ése” de los datos personales, porque nosotros no podemos ni queremos asumir esas responsabilidades, que más bien son de ustedes…

plop

Repuestos del PLOP, mi cliente preguntó al proveedor: ¿Y entonces, para qué te queremos? ¿para qué te hemos contratado?

Con dignidad un tanto fingida, el proveedor respondió: ¡Bueno! Nosotros les damos el servicio de call center, pero de sus datos no tenemos por qué responder… ustedes son los RESPONSABLES de ellos, ¿no?

En este punto intervine y pregunté: Pero tú sabes que la ley de datos personales establece que ustedes son un ENCARGADO, ¿verdad? Y también sabes que deben existir cláusulas para regular esta relación, para cumplir con este normativa, ¿verdad?

– Pues la verdad es que no estoy seguro de eso que me dices. Ustedes son el único cliente que me pide firmar esa especie de convenio; todos los demás clientes firman el contrato que les damos, y sólo negociamos las tarifas. Por eso no queremos firmar ese convenio en la siguiente renovación.

Ya estaba listo para otro PLOP, cuando mi cliente aún tuvo ganas de participar, y sacó a relucir mucho conocimiento de estos temas:

  • Vinimos con espíritu constructivo, por lo que de verdad, con todo respeto, debo decirte que no tienen idea de lo que están hablando; necesitan urgentemente una asesoría especializada [¡Zas!].
  • La firma del convenio de protección de datos que firmamos con ustedes la pedimos hace tiempo como parte de nuestra adecuación a la ley; su inclusión en un futuro contrato no es negociable, siempre debe formar parte del contrato de prestación de servicios con nosotros.
  • Como call center, cualquier cliente esperaría que USTEDES fueran los mejor preparados para cumplir con la ley de datos personales; ustedes son ENCARGADOS y forma parte de su actividad tener acceso a los datos de terceros.
  • Es verdad que como responsable de los datos mantenemos el control de esa información, y es verdad que su empresa debe seguir nuestras instrucciones, pero eso no tiene como consecuencia que deba ser mi empresa la que adopte o proporcione las medidas de seguridad para proteger los datos a los que tienes acceso; no tiene sentido… si así fuera,  ¿para qué externalizo este servicio?
  • Necesitan revisar el marco legal, el “nuevo” marco legal sobre datos personales; las cosas ya no son como antes, y nosotros no podemos mantener este servicio con una empresa que no asume su papel de encargado del tratamiento de esa información.

Contuve mis ganas de aplaudir al cliente… y guardé silencio, esperando la respuesta del proveedor.

– Hablaremos con nuestros abogados para que nos digan qué debemos hacer, pues sigo sin estar convencido que debamos aceptar “tanta” responsabilidad.

Y con ello terminó la reunión, sin acuerdo de por medio.

Mi cliente ya comenzó a buscar nuevo call center, y yo me quedé pensando varias cosas:

  1. Esto lo tengo que contar en el blog.
  2. Ya comenzó la etapa en que algunas empresas van a perder clientes porque creen que la ley de datos personales no les aplica (algo que no les incumbe) o de lo cual pueden escapar vía contractual. En el fondo, esta manera de pensar es más cotidiana de lo que uno quisiera admitir.
  3. Serán cada vez más los responsables de datos personales que asuman como “deber de diligencia” la elección de aquellos encargados que ofrezcan “garantías de cumplimiento” sobre las medidas de seguridad que implementan para la protección de esta información, que tratan en nombre de aquéllos
  4. Es deseable que en México se desarrollen, más pronto que tarde, directrices como las que recientemente emitieron, de manera conjunta, la Agencia Española de Protección de Datos, la Autoridad Catalana de Protección de Datos y la Agencia Vasca de Protección de Datos: Directrices para la elaboración de contratos entre responsables y encargados del tratamiento. Sería de mucha ayuda que no sólo unos cuantos abogados especializados fuésemos por ahí exigiendo la existencia de estos contratos/convenios/cláusulas.

Ustedes, ¿en qué lado de la mesa estarían en una situación similar?

¡Hasta el próximo post!

Imagen principal cortesía de pakorn en FreeDigitalPhotos.net

Anuncios

(¡Por fin!) Nueva Ley de Datos Personales para México

En este día, 26 de enero de 2017, ha sido publicado el Decreto de expedición de la tan esperada “Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados” (LGPD).

A reserva de analizar en otra oportunidad los aspecto más relevantes, las innovaciones que esta nueva ley supone, me gustaría responder de inmediato: ¿Y por qué dices tú que era tan esperada esta ley ?

 

La primera razón que me viene a la mente para responder a esa pregunta, es el sentido de igualdad de obligaciones que debe primar en materia de protección de datos. Al respecto, debemos recordar que México no incluyó como sujetos de obligaciones, en materia de protección de datos personales, a los que la LGPD ahora denomina SUJETOS OBLIGADOS.

Para no incluir a este grupo de SUJETOS OBLIGADOS en el mundo de obligaciones relacionadas con la protección de datos personales, muchos sabemos que incluso se recurrió a un ingenioso (y largo) nombre para la ley que fue publicada el  5 de julio de 2010: la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPD“).

Esta decisión trajo consigo un generalizado estado de malestar en el mundo de “los particulares”, quienes tras un breve análisis, preguntaban abiertamente: ¿Y por qué “el gobierno” no hace lo mismo?, ¿por qué no tienen que cumplir con esta ley? Ellos tienen mucha información, de millones y millones de personas, ¿el Gobierno no debe cumplir con todos los principios para proteger los datos?

Pero dejando atrás esta realidad y malestar, en parte porque es inevitable cumplir con la LFPD y “los particulares” ya son investigados y sancionados por su incumplimiento, concuerdo con la comisionada presidente del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), cuando señala que la LGPD es una ley “sin precedentes en México, que dotará al sector público de certeza jurídica y equilibrio regulatorio para la protección de ese derecho fundamental.”

Y esa es parte de la segunda razón por la que damos la bienvenida con entusiasmo a la LGPD, pues pienso en un previsible efecto expansivo de concientización y conocimiento que derivará de la aplicación y cumplimiento de la LGPD, tanto a nivel federal, estatal y municipal. Los estudios, acciones, planes, proyectos, programas e iniciativas que derivarán de su entrada en vigor, no pueden sino contribuir al desarrollo de la necesaria “cultura de la protección de datos”, que ya promueve desde hace tiempo el INAI.

Pero dicho lo anterior, y para centrar la atención en el efecto que considero debemos resaltar, digamos de una vez por todas que, AHORA SÍ, “el Gobierno” estará obligado a garantizar el derecho que tiene toda persona a la protección de sus datos personales.

Pero, como “el Gobierno” pueden ser muchas cosas, recurramos a la LGPD para aclarar a qué nos referimos; y comencemos por el concepto estrella.

Conforme al artículo 1 de la LGPD, “son sujetos obligados por esta Ley, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.”

También se indica en este primer artículo, con el objeto de evitar debates innecesarios, que “los sindicatos y cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal serán responsables de los datos personales, de conformidad con la normatividad aplicable para la protección de datos personales en posesión de los particulares.”

Y, de verdad, para no dejar duda, se cierra el artículo 1 con este sencillo párrafo: “En todos los demás supuestos diferentes a los mencionados en el párrafo anterior, las personas físicas y morales se sujetarán a lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Con lo anterior, debemos tener el circulo por cerrado: todos los posibles sujetos que pueden o deben tratar datos personales, cuentan ya con una normativa que en sus respectivos ámbitos, les regula y establece las obligaciones y principios que deben regir el tratamiento de esta información.

Por supuesto, habrá diferencias entre el régimen privado y el público, pero también podemos adelantar algunas coincidencia conceptuales, tales como: el aviso de privacidad, las bases de datos, el bloqueo (de datos personales), el consentimiento, los datos personales y los datos personales sensibles, los derechos ARCO, el encargado, la remisión, la transferencia, el tratamiento y, desde luego, el titular de los datos personales. Como es obvio, en la LGPD se describe al responsable como “los sujetos obligados a que se refiere el artículo 1 de la presente Ley que deciden sobre el tratamiento de datos personales.

Las diferencias específicas en la LFPD y la LGPD, que deberemos resumir en otras oportunidades, son varias, pero en este momento me gustaría anunciar como diferencia notable que los sujetos obligados que lleven a cabo “tratamientos intensivos o relevantes” de datos personales, deberán efectuar Evaluaciones de Impacto en la Protección de Datos Personales, conocidas también como PIAs (Privacy Impact Assessments).

Por otro lado, y aunque algunos colegas usan el concepto para los particulares, a pesar de que la LFPD ni lo menciona, en la LGPD ya encontramos, de forma expresa, el concepto de “Documento de Seguridad“, definido como el “instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee“.

Y tal y como ya hiciera el Reglamento General de Protección de Datos de la Unión Europea, nuestra nueva LGPD introduce el concepto de la “portabilidad de los datos”, como un medio para que los titulares puedan obtener del responsable una copia de sus datos “en un formato electrónico estructurado y comúnmente utilizado“.

Ya a partir de estos tres conceptos, y sus implicaciones prácticas y de cumplimiento, podemos adelantar que los sujetos obligados de la LGPD tienen en el horizonte grandes ventanas de oportunidad en el momento en que decidan emprender acciones y proyectos de cumplimiento que, lo sé personalmente, redundaran en beneficios tanta para las propias entidades como para los titulares de los datos personales.

Finalmente y por ahora, señalemos que la LGPD entrará al día siguiente de su publicación en el Diario Oficial de la Federación. Además, tengamos presente que el artículo segundo transitorio de su Decreto de expedición, establece un plazo corto (y aplaudible) de seis meses para que Congreso de la Unión y las Legislaturas de las Entidades Federativas realicen las adecuaciones legislativas necesarias para ajustar las leyes federales y locales a las disposiciones previstas en la LGPD.

En el mismo numeral, se prevé que “en caso de que el Congreso de la Unión o las Legislaturas de las Entidades Federativas omitan total o parcialmente realizar las adecuaciones legislativas a que haya lugar, en el plazo establecido [de seis meses], resultará aplicable de manera directa la presente Ley, con la posibilidad de seguir aplicando de manera supletoria las leyes preexistentes en todo aquello que no se oponga a la misma, hasta en tanto no se cumpla la condición impuesta en el presente artículo.

Dicho todo lo anterior, y confesando que tengo tiempo esperando este momento, termino diciendo: ¡BIENVENIDA LA LGPD!

Hasta el próximo post…

Capacitación y principio de responsabilidad. Cuidando el eslabón más débil

Concluye el año y debo muchas entradas a este blog.

No quisiera que 2016 termine sin compartir con ustedes uno de los temas que durante todo este año surgió en mi trabajo, por más de una razón.

Y es que siendo nuestros empleados/colaboradores el “eslabón más débil de la cadena de seguridad de la información”, resulta indispensable hablar de manera directa y realista sobre la importancia de su capacitación en materia de protección de datos personales, como elemento necesario para disminuir el riesgo de un incorrecto (e ilegal) tratamiento de los datos personales en posesión de sus empleadores, es decir, los responsables de dicha información.

Recordemos que los artículos 6 y 14 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “LFPD) establecen, respectivamente, que “los responsables en el tratamiento de datos personales, deberán observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley”; y que “el responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por esta Ley, debiendo adoptar las medidas necesarias para su aplicación“.

Por su parte, el artículo 48 del Reglamento de la LFPD, de título “Medidas para el principio de responsabilidad“, establece en su fracción II que entre aquéllas que el responsable podrá adoptar para garantizar el debido tratamiento de los datos personales se encuentra la puesta en práctica de “un programa de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales”.

Al respecto, quiero señalar e ilustrar que la autoridad reguladora de México, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), ha dado y seguirá dando importancia a la capacitación del personal de los responsables, como un elemento de cumplimiento al principio de responsabilidad.

Y es que mientras en otros lares se preparan para las exigencias que el “accountability” traerá consigo, en nuestro país el INAI ya exige a los responsables que acrediten la existencia de programas de capacitación de su personal en materia de protección de datos personales… sin que muchos responsables aún presten atención a esta medida relacionada con la responsabilidad inherente a la posesión y tratamiento de datos personales..

Para ilustrar el punto (y con la debida confidencialidad) comparto ejemplos de requerimientos de información/documentación que hemos recibido por parte del INAI, indagando precisamente sobre la existencia de dicha capacitación:

capacitacion

 

A más inri, debo indicar que cuando el INAI requiere a los responsables acreditar la capacitación de su personal en materia de protección de datos personales, no lo hace para llevar una mera estadística, sino para resolver sobre el cumplimiento o incumplimiento del principio de responsabilidad, tal y como lo indica en varios de sus considerandos conocidos. Aquí un ejemplo:

considerando

Y si los responsables son incapaces de acreditar la capacitación de su personal en la materia, el INAI sancionará por ello, sin lugar a dudas:

resolucion

Es por lo anterior que la implementación de medidas y acciones de cumplimiento de la normativa de protección de datos personales debe incluir la capacitación y actualización del personal en esta materia, más allá de una serie de cursos esporádicos, puesto que la normativa vigente se refiere a la puesta en práctica de un programa, entendido desde nuestro punto de vista como un “proyecto ordenado de actividades”.

Este programa deberá definirse en función de la naturaleza, tamaño y estructura de los propios responsables, y deberá tomar en cuenta las diversas unidades que tienen acceso a datos personales dentro de la organización responsable, así como la naturaleza de los datos personales tratados y sus diversas finalidades de tratamiento; la permanencia o continua rotación del personal también deberán ser tomadas en cuenta a la hora de definir un programa de capacitación, actualización y concientización en esta materia.

Todo lo anterior, además, con vocación u orientación de servir con evidencia o prueba de la existencia de nuestro programa, y de su puesta en práctica al interior de la entidad responsable de los datos.

Como no puede ser de otra forma en esta materia, deberemos asumir la inexistencia de reglas generales que nos brinden soluciones únicas para definir un programa de capacitación que de manera infalible pueda convencer al INAI de nuestro cumplimiento al respecto; será el análisis de cada caso en concreto y la experiencia y conocimiento de los profesionales a cargo, quienes deberán definir la idoneidad de un programa u otro, así como su periodicidad recomendada y  los perfiles de empleados que deban recibir determinada capacitación.

Como resumen a todo lo anterior, podemos concluir, al menos, que:

  • Existe un principio de responsabilidad, que todo responsable de datos personales debe cumplir,
  • La normativa prevé que una de las medidas para cumplir con dicho principio es la puesta en práctica de programas de capacitación del personal, en materia de protección de datos personales,
  • El INAI investiga y verifica la existencia de dichos programas de capacitación.
  • El INAI puede sancionar la inexistencia de capacitación al personal con acceso a datos personales; lo ha hecho y seguirá haciéndolo en muchos casos que se le presenten.
  • Como responsables (y encargados), debemos asumir dicha obligación y preparar a nuestra organización para adoptar las medidas necesarias que permitan la implementación de programas de capacitación en materia de protección de datos personales.

Finalmente, desear a todos los que hayan llegado a este punto una Feliz Navidad y un exitoso 2017.

Hasta el próximo post…

 

Imagen cortesía de Pressfoto, vía Freepik.com