image text

Un Aviso de Privacidad

tiene como objetivo cuidar el tratamiento de los datos personales de cualquier persona en una organización

¿Qué debe tener mi Aviso de Privacidad?

El Aviso de Privacidad debe ser un documento hecho

a la medida de cada organización

y desde la perspectiva de los procesos que la hacen diferente

¿Debería tener un Aviso de Privacidad?

Todo aquel que recabe datos personales datos personales

está obligado a dar cumplimiento con la ley

Sabías que...

el INAI (antes IFAI), ha recaudado al día de hoy casi 100 millones de pesos

en multas a personas, micro, pequeñas, medianas y grandes empresas?







Aviso de Privacidad



¿Qué es?

El Aviso de Privacidad es la parte final de todo el trabajo que ya realizó la empresa, sea micro o grande, para dar cumplimiento con la Ley Federal de Protección de Datos Personales. En un estudio, propio de nuestra firma, realizado en el año 2015, descubrimos que el 98% de las empresas elaboran el Aviso de Privacidad antes de haber concluido el resto de procesos que la ley requiere.

En este punto debemos dejar algo claro: simplemente tener un Aviso de Privacidad no nos hace cumplir con la ley. ¿Qué queremos decir con esto?, muchos despachos y anuncios de diversas empresas nos han inculcado la idea errónea de creer que sólo tenemos que hacer un Aviso de Privacidad para cumplir con la ley, o que podemos encontrar una solución genérica, es decir, que quien nos la vende nos entrega a un precio muy bajo una solución que le ha vendido a sus demás clientes, pero que no es la idónea para ninguno de ellos.

Debemos ser especialmente cuidadosos con esta ley, pues representa las multas más altas del Gobierno Mexicano y lleva recabados, aproximadamente, 100 millones de pesos de empresas que no han elaborado una solución a su medida.

¿Por qué a mi medida? Sencillo, en cada organización hacemos las cosas diferentes y por lo tanto tenemos procesos diferentes. ¿Acaso hago exactamente lo mismo que mi competidor? o ¿Mi empresa es un clon exacto de otra?


Si debo hacer algo a la medida, ¿a quién busco o qué hago?

Lo más recomendable es tener como consultora a una firma especializada para cumplir con este tema, por una razón muy sencilla: cuando la firma consultora haga una evaluación para ver qué cosas desarrollar para su empresa, lo debe hacer con una visión objetiva. Adicional a ello, para saber si la firma que estamos contratando es la ideal, debe ofrecernos, al menos, lo siguiente:

  1. Tener personal calificado a nivel técnico (en seguridad informática y de la información), administrativo (especialistas en el diseño de políticas y procesos) y legal (consultores legales que sean especialistas en privacidad y otras leyes adicionales que deben compatibilizarse)
  2. Conocer los estándares y regulación que tenemos como empresa para no afectar su operación
  3. Desarrollar una solución a la medida. Un proyecto de privacidad debe adaptarse a nosotros y no adaptarnos nosotros a una solución prediseñada
  4. Debe documentar todos y cada uno de los procesos que tienen que ver con datos personales, no importa si son uno o 100 y, lo más importante, no debe dejar de lado uno solo de ellos. ¿Sabía que la mayoría de las empresas creen tener un solo proceso de contratación, pero, en nuestra experiencia, hemos encontrado siempre más de seis?
  5. Debe crear políticas de seguridad, manejo, mantenimiento y clasificación de los datos personales
  6. Desarrollar distintos grados de clasificación de datos personales
  7. Ayudar a saber cómo atender un ejercicio de Derechos ARCO
  8. Debe estar capacitado en los mismos cursos que los inspectores del INAI
  9. Debe tener experiencia en la materia y no ser un consultor oportunista
  10. Hacer un análisis técnico, administrativo y legal para aplicar los cambios y recomendaciones necesarios para evitar sanciones millonarias
  11. Desarrollar, al menos, 3 avisos de privacidad completamente diferentes y que son los que todas las empresas requieren

Esto no es todo lo que deben hacer, pero, de igual forma, es una buena base para poder buscar un experto en la materia y evitar contratar a personas que no están calificadas y que aprovecharon la necesidad de las empresas o que desarrollan cosas sin todos los conocimientos necesarios para no perder a su cliente.

¿Sabía usted que la mayoría de los consultores de las empresas prefieren decirle a usted que pueden ayudarlo y así evitar que usted contrate a un experto? Gran parte de la responsabilidad recae en el consultor que apoyará a la empresa a cumplir con la ley.

Si usted quiere saber si su empresa está cumpliendo con la ley, escríbanos y haremos sin costo un análisis instantáneo para darle un panorama simple que lo haga saber si está o no en riesgo.





image text

¿Qué debe
tener mi Aviso de Privacidad?



Los elementos fundamentales de un Aviso de Privacidad son varios, de acuerdo con el giro de la empresa y el tipo de procesos que se hacen en su día a día, pero los que son la base de construcción de un Aviso son los siguientes:

  1. Mi aviso de privacidad debe contener las razones sociales de mi empresa que tratan datos personales
  2. Debe tener una dirección postal específica y donde haya un experto que pueda atender cualquier cuestión relacionada con la protección de datos personales
  3. Debe tener la lista específica de datos personales que piden todas las áreas o personas que trabajan en la empresa (no es válido tener clasificaciones generales como "datos laborales" o "datos de identificación del cliente")
  4. Debe dejar claro qué se hará con esos datos personales
  5. Debe separar mis finalidades primarias de las secundarias
  6. Tiene que establecer un método rápido de oposición a las finalidades que no son principales
  7. Debe haber una sección sobre cómo ejercer los Derechos ARCO
  8. Debe proporcionar un medio de contacto para resolver dudas
  9. Debe considerar que sólo puede estar enfocado a un perfil
  10. La información tiene que ser entendida por cualquier persona que lo lea, es decir, no debe ser redactado como si fuera un contrato o instrumento legal que únicamente comprende alguien con conocimientos legales
  11. Debe evitar lo que está en la sección “Causas comunes para una multa”
No son los únicos puntos, pero podemos decir que son los que principalmente debemos analizar en nuestro Aviso para saber si vamos por buen camino.


Eres responsable de lo que tus empleados saben


Haga una encuesta breve para saber si cumple con la ley



Para saber si cumple con la ley

¿Tenemos, al menos, 3 avisos de privacidad en la empresa?
¿Implementamos políticas de protección de datos personales?
¿Nos han auditado para conocer nuestro nivel de cumplimiento?
¿Tenemos clasificados los datos personales en niveles de criticidad?
¿Hemos tomado cursos de capacitación certificados en materia de datos personales?
¿Nuestro aviso de privacidad fue copiado del sitio del INAI (antes IFAI) o de un formato ya hecho?

Si contestó que No en al menos una de las primeras cinco preguntas o contesto que Sí en la última, entonces su empresa está en riesgo de ser multada por la autoridad o (como ya ha sucedido) de ser extorsionada por terceros para no denunciarla ante el INAI.






¿Debo tener un Aviso de Privacidad?

Todo aquel que recabe datos personales está obligado a dar cumplimiento con la ley, independientemente de que ésta sea una empresa o una persona, se encuentre en cualquier estado de la República o si trata datos de mexicanos fuera del país.

Algunos ejemplos son:

  • Las tiendas departamentales
  • Los establecimientos comerciales de cualquier tipo
  • Las escuelas
  • Los hospitales o doctores
  • Los hoteles o agencias de viajes
  • Las agencias de publicidad
  • Las tiendas de autoservicio
  • Los talleres mecánicos
  • Las asociaciones de vecinos (de fraccionamientos o edificios, independientemente de estar constituidos o no)
  • Los comercios que vendan por Internet
  • Los despachos de abogados
  • Los notarios
  • Los emprendedores
  • Los establecimientos o casas con videovigilancia
  • Las personas que tengan actividades comerciales o de servicios de cualquier tipo (desde plomeros hasta contadores)
  • Las iglesias o en general las asociaciones religiosas
  • Las asociaciones civiles
  • Los veterinarios
  • Los laboratorios
  • Las exposiciones y eventos
  • Los bancos o cajas de ahorro
  • Las funerarias
  • Las personas que rentan casas
  • Las tintorerías
  • Los gimnasios o clubes deportivos
  • Las estéticas o barberías
  • Los restaurantes
  • Los cines
  • Los bares, antros y similares
  • Las empresas de telecomunicaciones
  • En general, cualquier empresa que solicite datos personales, desde el nombre de una persona hasta sus datos fiscales

Información del INAI (Antes IFAI)









Sanciones y
Multas

Personas, micro, pequeñas, medianas y grandes empresas

El INAI (antes IFAI), ha recaudado al día de hoy casi 100 millones de pesos en multas a personas, micro, pequeñas, medianas y grandes empresas por diversas cuestiones, que van desde haber contratado a un consultor que no tenía expertos en la materia y desarrollaron un proyecto deficiente que los hizo incumplir con la ley, hasta empresas que copiaron un Aviso de Privacidad de otro lugar sin darse cuenta que no se adecuaba a lo que requerían.

¿Sabía usted que desde 2014 a la fecha ha incrementado el índice de empresas que denuncian anónimamente a su competencia o de personas que extorsionan a las empresas que no cumplen con la ley?

La multa promedio que pone el INAI ronda los $250,000.00 MXN

Las principales causas son:

  1. Mi aviso de privacidad fue copiado de otro lugar
  2. Lo bajé de Internet en algún sitio que tiene avisos prediseñados (pagado o gratuito)
  3. Lo copié del sitio del INAI (antes IFAI)
  4. Lo hizo alguna persona de la empresa, pero no tiene experiencia en el tema de privacidad
  5. Tiene palabras como "quizá", "entre otros", "de forma enunciativa mas no limitativa" o "podrá"
  6. El Ejercicio de Derechos ARCO es electrónico (hay muchos casos de extorsiones de personas que roban credenciales de elector)
  7. No conozco las formalidades para aceptar y contestar una solicitud de Derechos ARCO
  8. Mi responsable de privacidad no tiene los conocimientos técnicos, administrativos y legales para contestar las dudas del INAI
  9. No separé los avisos de privacidad que debería tener (al menos debe haber 3 avisos diferentes)
  10. No tengo los avisos de privacidad firmados en los casos en donde lo requiero
  11. Mi personal no está capacitado en materia de datos personales
A esto debemos agregar el daño a la reputación de la empresa, pues es común que los clientes de las empresas sancionadas decidan terminar la relación comercial con los infractores para evitar ser sancionados ellos mismos o por desconfianza en el manejo de sus datos. Existen ya casos documentados de empresas que han llegado casi a la quiebra por este tipo de pérdidas de confianza.