INFORME SOBRE CONOCIMIENTO Y CUMPLIMIENTO DE LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES

Transcripción

1 INFORME SOBRE CONOCIMIENTO Y CUMPLIMIENTO DE LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES JULIO 2015 Estado general de conocimiento y cumplimiento de la normativa de protección de datos personales en México; con información recabada a través de encuestas online.

2 TABLA DE CONTENIDO ESTIMADO LECTOR 1 Objetivo 1 Metodología 1 Propiedad Intelectual 2 Filosofía 2 SOBRE LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES 3 PREGUNTAS Y RESPUESTAS 4 Considera que su empresa cumple con las Recomendaciones sobre Medidas de seguridad de datos personales del (antiguo) IFAI? 4 Cuenta su empresa con un inventario de base de datos personales que identifique las finalidades del tratamiento? 6 Cuenta su empresa con un inventario de base de datos personales que identifique las unidades de su empresa que tratan los datos personales? 7 Cuenta su empresa con un inventario de base de datos personales que identifique los recursos, sistemas, programas y/o aplicaciones que tratan los datos personales? 8 Cuenta su empresa con un inventario de base de datos personales que identifique la sensibilidad de los datos tratados? 9 Cuenta su empresa con un inventario de base de datos personales que identifique la existencia de transferencias de datos y/o encargos del tratamiento? 10 Cuántas bases de datos, sujetas a la LFPD, ha identificado que existen en su empresa? 11 Los Avisos de Privacidad de su empresa, están actualizados conforme a los "Lineamientos del Aviso de Privacidad"? 12 Los Lineamientos regulan tres modalidades de Avisos de Privacidad. En su empresa se utilizan 13 Existe en su empresa un procedimiento para la atención de los derechos ARCO, resolver solicitudes de revocación del consentimiento, limitación y/o divulgación de los datos personales? 14 La adecuación de su empresa a la normativa de protección de datos personales 16 Cuando transfiere datos personales a otros responsables 18 Trata datos personales para finalidades de mercadotecnia, publicidad o prospección comercial? 19

3 TABLA DE CONTENIDO Los Avisos de Privacidad correspondientes, prevén las finalidades de mercadotecnia, publicidad o prospección comercial? 20 Además de la obligación de informar (Avisos de Privacidad), por favor indique los principios para el tratamiento de datos personales cuyo cumplimiento de obligaciones ha sido implementado en su empresa: 22 TAMAÑO Y SECTOR DE ACTIVIDAD DE LAS ENTIDADES ENCUESTADAS 24 ANÁLISIS DE RESULTADOS 25 NIVEL DE CONOCIMIENTO 25 NIVEL DE CUMPLIMIENTO 25 CONSIDERACIONES PARTICULARES 26 CONCLUSIONES (EXPECTATIVAS) 26 INFORMACIÓN DE CONTACTO 27

4 ESTIMADO LECTOR OBJETIVO La publicación del presente Informe obedece a la filosofía de BGBG Abogados sobre difusión de conocimientos e información actualizada relacionada con nuestras áreas de especialización. En esta ocasión, corresponde a nuestra área de Protección de Datos Personales y Privacidad presentar los resultados de una encuesta sobre conocimiento y cumplimiento de la normativa que los responsables de datos personales deben cumplir. Desde BGBG Abogados también asumimos con agrado el reto de participar en la conformación de una cultura de protección de datos personales dentro de México, necesaria e incipiente dada la reciente incorporación de este derecho fundamental en nuestra Constitución. METODOLOGÍA El presente Informe ha sido generado a partir de información recabada a través de cuestionarios online, que fueron respondidos de forma voluntaria y anónima por aquellas entidades contactadas por BGBG Abogados. La herramienta de comunicación y recabo de información utilizada por BGBG Abogados (SurveyMonkey ) permite que las respuestas brindadas a nuestras diversas preguntas puedan ser presentadas a ustedes de la forma más concisa y gráfica posible. En todo caso, proporcionamos información contextual respecto de la pregunta formulada a los encuestados. Hemos procesado un total de 266 respuestas, que en su conjunto ofrecen un panorama general sobre el estado de conocimiento y cumplimiento de la normativa de protección de datos personales. La información que aquí presentamos no ha sido procesada para generar una matriz de riesgos ni un análisis de brecha sobre responsables o sectores económicos específicos. La invitación para responder a nuestro cuestionario de conocimiento y cumplimiento se remitió por correo electrónico a contactos de nuestra firma, previa autorización de su parte para participar en el estudio. Con excepción del criterio de autorización, no se utilizó ningún otro filtro para definir el destino del cuestionario, por lo que las respuestas han sido emitidas por todo tipo de sectores de actividad económica y tamaño de empresa. La recolección de información se realizó entre mayo de 2014 y mayo de

5 PROPIEDAD INTELECTUAL El presente Informe se distribuye bajo licencia Creative Commons Reconocimiento-NoComercial- CompartirIgual-4.0 Internacional. Informe sobre Cumplimiento de la Normativa de Protección de Datos Personales by BGBG Abogados is licensed under a Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional License. FILOSOFÍA Hemos sido reconocidos internacionalmente como uno de los despachos líderes en México en materia de protección de datos personales, y nuestra filosofía de trabajo en el área resume las expectativas que nuestros clientes ven satisfechas con nuestros servicios: Formación y experiencia internacional para brindar soluciones prácticas y eficientes de cumplimiento. Héctor E. Guzmán Rodríguez Socio Protección de Datos Personales y Privacidad BGBG Abogados 05/07/2015 2

6 SOBRE LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES Las preguntas formuladas por BGBG Abogados cuyas respuestas y tendencia se presentan en el presente Informe fueron diseñadas con base en la normativa de protección de datos personales vigente al mes de mayo de 2014, y con base en las publicaciones del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales ( INAI ), que a continuación se identifican: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD); Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Reglamento de la LFPD); Lineamientos del Aviso de Privacidad (Lineamientos); Recomendaciones en Materia de Seguridad de Datos Personales (Recomendaciones). Las preguntas efectuadas a los encuestados no versaron sobre el contenido o alcance de las siguientes disposiciones o publicaciones: Acuerdo por el que se establece el sistema electrónico para la presentación de solicitudes de protección de derechos y de denuncias, así como la sustanciación de los procedimientos previstos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; Recomendaciones para la Designación de la Persona o Departamento de Datos Personales; Modelo de Aviso de Privacidad Corto para Video-Vigilancia; Criterios Generales para la instrumentación de medidas compensatorias sin la autorización expresa del IFAI, y Parámetros de Autorregulación en materia de Protección de Datos Personales. Tampoco fueron directamente consideradas ninguna de las Guías, Estudios o Encuestas publicados por el INAI (antes IFAI) a través de su portal: ifai.org.mx. 3

7 PREGUNTAS Y RESPUESTAS CONSIDERA QUE SU EMPRESA CUMPLE CON LAS RECOMENDACIONES SOBRE MEDIDAS DE SEGURIDAD DE DATOS PERSONALES DEL (ANTIGUO) IFAI? No sabe / No contesta 3.4% No cumple 10.3% Cumple Parcialmente 44.8% Cumple Totalmente 41.4% 0.0% 5.0% 10.0% 15.0% 20.0% 25.0% 30.0% 35.0% 40.0% 45.0% Las Recomendaciones en materia de seguridad de datos personales fueron publicadas por el IFAI (ahora INAI) en el Diario Oficial de la Federación de fecha 30 de octubre de 2013 en ejercicio de la facultad que le otorga la fracción IV del artículo 19 de la LFPD. En el marco de las mismas y con el objeto de que los responsables cuenten con un marco de referencia respecto de las acciones que se consideran como las mínimas necesarias para la seguridad de los datos personales, el entonces IFAI emitió una RECOMENDACIÓN GENERAL: PARA LA SEGURIDAD DE LOS DATOS PERSONALES, EL IFAI RECOMIENDA LA ADOPCIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES (SGSDP), BASADO EN EL CICLO PHVA (PLANEAR-HACER-VERIFICAR-ACTUAR). La adopción de las recomendaciones es voluntaria, dejando a los responsables y encargados la capacidad de decidir qué metodología conviene a ellos aplicar en función de su negocio, para la seguridad de los datos personales en su posesión. 4

8 La pregunta formulada a los encuestados no indaga sobre aspectos particulares de adopción de las Recomendaciones, sino sobre su conocimiento y grado de cumplimiento dentro de su organización. Al respecto, resalta que un 86.2% de los responsables encuestados declaran cumplir parcial o totalmente con las Recomendaciones, en tanto que el resto indica que no cumple o no conoce las Recomendaciones. El elevado grado de cumplimiento que los responsables declararon durante la encuesta permitiría anticipar resultados similares respecto de otros aspectos de cumplimiento de la normativa de protección de datos personales; sin embargo, el resto de respuestas aportadas durante la encuesta induce a creer que la adopción de las Recomendaciones no está tan extendida entre los responsables como aparenta la primera información disponible. 5

9 CUENTA SU EMPRESA CON UN INVENTARIO DE BASE DE DATOS PERSONALES QUE IDENTIFIQUE LAS FINALIDADES DEL TRATAMIENTO? FINALIDADES DEL TRATAMIENTO 48.1% 50.0% 45.0% 40.0% 33.3% 35.0% 30.0% 25.0% 18.5% 20.0% 15.0% 10.0% 5.0% 0.0% Sí No No sabe / No contesta La información recabada permite apreciar que más de la mitad de los encuestados no reconoce, al interior de su organización, la existencia de un Inventario de Bases de Datos Personales (artículo 61, fracción I del Reglamento de la LFPD) en el que se identifiquen las diversas finalidades para las cuales se lleva a cabo el tratamiento de este tipo de información; finalidades que pueden abarcar un espectro amplísimo de posibilidades, tales como: Relación con clientes / proveedores Recursos Humanos / Procesos de selección de personal Videovigilancia Marketing Redes sociales Directorio de contactos Control de visitantes, etc. 6

10 CUENTA SU EMPRESA CON UN INVENTARIO DE BASE DE DATOS PERSONALES QUE IDENTIFIQUE LAS UNIDADES DE SU EMPRESA QUE TRATAN LOS DATOS PERSONALES? U N I DADES QU E TRATAN LOS DATOS P E RSONALES No sabe / No contesta 14.8% No 40.7% Sí 44.4% 0.0% 10.0% 20.0% 30.0% 40.0% 50.0% Los resultados de esta pregunta se colocan en consonancia con los de la pregunta precedente. Más de la mitad de los encuestados (55.5%) no reporta una identificación precisa, a través de un Inventario de Bases de Datos, de las unidades de su organización que tratan datos personales. Se trata, en suma, de la identificación precisa de Direcciones, Gerencias, Jefaturas o cualquier otra unidad relevante de la organización que para el desarrollo de sus actividades manejan este tipo de información. Aunar finalidades con unidades organizativas conlleva, además, la identificación de los sistemas de información (automatizados, no-automatizados o mixtos) que se utilizan para el tratamiento de datos personales (ver el siguiente gráfico). 7

11 CUENTA SU EMPRESA CON UN INVENTARIO DE BASE DE DATOS PERSONALES QUE IDENTIFIQUE LOS RECURSOS, SISTEMAS, PROGRAMAS Y/O APLICACIONES QUE TRATAN LOS DATOS PERSONALES? RECURSOS, SISTEMAS, PROGRAMAS Y/O APLICACIONES QUE TRATAN LOS DATOS PERSONALES 45.0% 44.4% 40.0% 35.0% 37.0% 30.0% 25.0% 20.0% 18.5% 15.0% 10.0% 5.0% 0.0% SÍ NO NO SABE / NO CONTESTA Nuevamente, el 55.5% de los encuestados declara no contar con un Inventario de Bases de Datos en el que se identifiquen los sistemas, programas o aplicaciones utilizados en su organización para tratar datos personales. La falta de centralización de esta información, en un Inventario como el previsto por el artículo 61, fracción I del Reglamento de la LFPD, induce a pensar que el control de las medidas de seguridad aplicables a dichos sistemas de información no estaría debidamente controlado y actualizado dentro de las organizaciones encuestadas, lo cual puede llevar a suponer que las Recomendaciones del INAI tampoco son adoptadas de forma uniforme o completa dentro de las organizaciones de los responsables. 8

12 CUENTA SU EMPRESA CON UN INVENTARIO DE BASE DE DATOS PERSONALES QUE IDENTIFIQUE LA SENSIBILIDAD DE LOS DATOS TRATADOS? SENSIBILIDAD DE LOS DATOS TRATADOS 0.0% 10.0% 20.0% 30.0% 40.0% 50.0% 60.0% Sí 33.3% No 51.9% No sabe / No contesta 14.8% Desconocer o carecer de controles sobre las bases de datos a partir de la sensibilidad de los datos personales que en ellas se contienen incrementan las probabilidades de incumplimiento de la normativa aplicable. Durante la encuesta, sólo el 33.3% de los responsables dijo contar con información relacionada con la sensibilidad de los datos que se tratan en sus bases de datos; ello puede significar, por una parte, que los datos personales sensibles y/o los datos patrimoniales y financieros no sean tratados dentro de sistemas de información que cumplan con las medidas de seguridad aplicables a este tipo de información y, por otra parte, que dichos datos no sean recabados cumpliendo con los requisitos exigidos por la normativa vigente. 9

13 CUENTA SU EMPRESA CON UN INVENTARIO DE BASE DE DATOS PERSONALES QUE IDENTIFIQUE LA EXISTENCIA DE TRANSFERENCIAS DE DATOS Y/O ENCARGOS DEL TRATAMIENTO? TRANSFERENCIAS DE DATOS Y/O ENCARGOS DEL TRATAMIENTO? 50.0% 33.3% 44.4% 40.0% 30.0% 20.0% 22.2% 10.0% 0.0% Sí No No sabe / No contesta Como en el caso del control anterior, sólo un tercio de los responsables encuestados (33.3%) declara contar con un Inventario que respalde el control de las comunicaciones de datos personales que pueden llevar a cabo (sean éstas transferencias o remisiones). Esta ausencia de control puede llevar a la comisión de infracciones graves, que podrían evitarse mediante la identificación adecuada de aquellas situaciones en las cuales cada responsable debe o desea llevar a cabo transferencias o remisiones de datos personales (con o sin el consentimiento de los titulares, según sea el caso). 10

14 CUÁNTAS BASES DE DATOS, SUJETAS A LA LFPD, HA IDENTIFICADO QUE EXISTEN EN SU EMPRESA? BASES DE DATOS IDENTIFICADAS AL INTERIOR DE LA EMPRESA Más de % 6 a % 1 a % Ninguna 18.5% Más de la mitad de los encuestados (51.9%) identifica un máximo de 5 bases de datos personales dentro de su organización. Menos del 15% declaró la identificación de más de 10 bases de datos sujetas a la LFPD. Por otro lado, un 18.5% de encuestados declaran no haber identificado ninguna base datos, sujeta a la LFPD, dentro de su organización. Este número guarda consistencia con otras respuestas brindadas durante la encuesta, relacionadas con el desconocimiento o incumplimiento de otros requisitos establecidos por la normativa. Cabe señalar que la experiencia de BGBG Abogados sitúa el promedio de bases de datos de una salo entidad (responsable) en un mínimo de 6. 11

15 LOS AVISOS DE PRIVACIDAD DE SU EMPRESA, ESTÁN ACTUALIZADOS CONFORME A LOS "LINEAMIENTOS DEL AVISO DE PRIVACIDAD"? 63.0% 70.0% 60.0% 50.0% Avisos de Privacidad 40.0% 25.9% 30.0% 20.0% 11.1% 10.0% 0.0% Sí No No sabe / No contesta Tras varios años desde la publicación y entrada en vigor de la LFPD, se da por supuesto que toda organización cuenta con, al menos, un Aviso de Privacidad. Es por ello que la encuesta propuesta da por sentado el cumplimiento de este requisito mínimo. Con posterioridad a la entrada en vigor de dicho ordenamiento fueron publicados el Reglamento de la LFPD y los Lineamientos del Aviso de Privacidad, disposiciones que han supuesto la definición al detalle de los requisitos que deben cumplir los Avisos de Privacidad y las modalidades que pueden adoptarse en función del momento y forma de obtener los datos personales de los titulares. En la práctica, el tiempo transcurrido entre la entrada en vigor de la LFPD y la publicación de los Lineamientos ha supuesto para muchos responsables la desactualización de sus primeros Avisos de Privacidad; la encuesta de BGBG Abogados, sin embargo, indica que más del 60% de los encuestados considera que sus Avisos sí están actualizados conforme a los Lineamientos. 12

16 LOS LINEAMIENTOS REGULAN TRES MODALIDADES DE AVISOS DE PRIVACIDAD. EN SU EMPRESA SE UTILIZAN MODALIDADES DE AVISOS DE PRIVACIDAD 37.0% 25.9% 11.1% 7.4% 18.5% Avisos Integrales, Simplificados y Cortos. Avisos Integrales y Simplificados. Avisos Integrales y Cortos. Sólo utilizamos Avisos Integrales. No sabe / No contesta Los resultados de esta pregunta son consistentes con las respuestas brindadas a la pregunta precedente. El mismo 37% que dice desconocer las modalidades de Avisos de Privacidad que se utilizan en su organización se corresponde con el 37% de encuestados que en su conjunto indican que sus Avisos de Privacidad no están actualizados o declaran no saberlo con certeza. El 63% restante utiliza alguna modalidad de Aviso de Privacidad en su empresa, siendo un mínimo porcentaje de encuestados (7.4%) el que manifiesta utilizar únicamente Avisos de Privacidad Integrales. En su conjunto, las respuestas brindadas a esta pregunta permiten deducir un conocimiento amplio respecto de la existencia de las modalidades de Avisos de Privacidad que la normativa vigente contempla. 13

17 EXISTE EN SU EMPRESA UN PROCEDIMIENTO PARA LA ATENCIÓN DE LOS DERECHOS ARCO, RESOLVER SOLICITUDES DE REVOCACIÓN DEL CONSENTIMIENTO, LIMITACIÓN Y/O DIVULGACIÓN DE LOS DATOS PERSONALES? NO SABE / NO CONTESTA 14.8% Atención de derechos ARCO, revocación del consentimiento, NO 55.6% limitación y/o divulgación de los datos personales SÍ 29.6% Existe un procedimiento en su empresa? 0.0% 20.0% 40.0% 60.0% En oposición a los resultados obtenidos en respuestas previas, resulta notable que menos de una tercera parte (29.6%) de los encuestados haya indicado que dentro de su organización sí cuentan con un procedimiento para la atención de los derechos ARCO y del resto de solicitudes indicadas. Es importante recordar que los artículos TERCERO y CUARTO Transitorios del Decreto por el que se expidió la LFPD otorgaron una importancia significativa a dos cuestiones relacionadas con la pregunta formulada por BGBG Abogados; por un lado, se otorgó a los responsables hasta un año desde la entrada en vigor de la LFPD para designar a la persona o departamento de datos personales a que se refiere el artículo 30 de esta ley federal y, por el otro, se estableció que 18 meses después de la entrada en vigor de la LFPD los titulares de datos personales podrían ejercer sus derechos ARCO ante los responsables. Las respuestas brindadas por los encuestados indicarían que más de la mitad de las organizaciones (55.6%) no cumplen con las disposiciones normativas plenamente vigentes, relacionadas con la necesidad de contar con una persona o departamento de datos personales para dar trámite a las solicitudes de los titulares relacionadas con el ejercicio de los derechos previstos en la LFPD. 14

18 Sin embargo, la experiencia de BGBG Abogados al respecto indica que varios responsables sí han designado a una persona o departamento de datos personales para atender este tipo de solicitudes; pero la misma experiencia también demuestra que dentro de este grupo de responsables no se ha establecido un procedimiento formal y debidamente documentado que, entre otros, identifique y asigne los roles y tareas de todas las áreas o personas que dentro de una organización deben participar en la correcta atención del ejercicio de los derechos previstos en la LFPD, dentro de los plazos establecidos. Esta situación puede conllevar (y de hecho así sucede aún), a que un responsable deje de atender en tiempo y forma a una solicitud de ejercicio de derechos ARCO debido a que: Fue recibida a través de un canal distinto al establecido para tales fines, Las unidades del responsable que tratan los datos personales no proporcionaron toda la información de que disponían de un titular específico, Alguna unidad del responsable que trataba datos personales de un titular no fue consultada para comprobar si en su base de datos existía información de dicho titular, Alguna unidad no comprobó o aseguró que los datos personales hubiesen sido actualizados después de solicitarlo un titular, entre otros. 15

19 LA ADECUACIÓN DE SU EMPRESA A LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES 70.0% 60.0% 57.7% 50.0% 40.0% 30.0% 34.6% 30.8% 20.0% 10.0% 0.0% 19.2% 15.4% 7.7% 11.5% 3.8% 11.5% 0.0% 11.5% 11.5% 3.8% 19.2% 16

20 La percepción sobre la existencia (o inexistencia) de beneficios o resultados positivos derivados de acciones de cumplimiento de la normativa de protección de datos personales al interior de las organizaciones es diversa. Por una parte, menos de un tercio (30.8%) de los encuestados manifiesta percibir un cambio positivo en la imagen corporativa de su empresa como resultado de acciones de cumplimiento de la normativa; menos de un 20% percibe que éstas hayan supuesto algún cambio siquiera y encontramos que existe un 3.8% que incluso considera que las acciones de cumplimiento han traído consigo un cambio negativo para la imagen corporativa de la organización. Un pequeño porcentaje de los encuestados (15.4%) percibe que la adecuación a la normativa de protección de datos ha supuesto una inversión para su organización, en tanto que un porcentaje aún menor (7.7%) la califica como un gasto innecesario. Ningún encuestado asocia el cumplimiento de la normativa a la reducción de costos de operación en su organización, mientras que el 11.5% identifica un aumento en sus costos de operación o ninguna alteración de los mismos, respectivamente. Finalmente, cabe resaltar que del total de encuestados, un 57.7% ha indicado que la adecuación a la normativa de protección de datos personales fue realizada por un equipo propio (o interno) de su organización, en tanto que el 19.2% manifiesta haber encargado a un equipo externo la realización de esta tarea; dentro de aquellos que respondieron a esta pregunta, el 34.6% reconoce que su adecuación a la normativa no ha sido integral. 17

21 CUANDO TRANSFIERE DATOS PERSONALES A OTROS RESPONSABLES 0.0% 10.0% 20.0% 30.0% 40.0% 50.0% Ha confirmado que la transferencia está exenta del consentimiento de los titulares. Si el consentimiento es necesario, se asegura de haberlo obtenido adecuadamente. Regula la transferencia por escrito u otro medio que acredite las condiciones de la misma. 23.1% 23.1% 26.9% Comunica el Aviso de Privacidad correspondiente al responsable receptor. 46.2% Ninguna de las anteriores. 38.5% La información del gráfico anterior permite deducir que un porcentaje elevado de responsables (38.5%) no asegura el cumplimiento de ninguno de los requisitos establecidos por la normativa aplicable para efectuar transferencias (nacionales o internacionales) de datos personales; menos de la mitad (46.2%) afirma comunicar al responsable receptor el Aviso de Privacidad que regula las finalidades a las cada titular ha sujetado el tratamiento de sus datos personales (art. 36 de la LFPD). De la información obtenida, también resalta que menos de una cuarta parte de los encuestados (23.1%) verifica alguna de las siguientes condiciones: (a) que la transferencia de datos esté exenta del consentimiento de los titulares, o (b) que ha obtenido el consentimiento de los titulares para efectuar la transferencia que desea llevar a cabo. Finalmente, se aprecia a poco más de un cuarto de los encuestados (26.9%) que se aseguran de documentar las condiciones en que se realizan las transferencias de datos personales desde su organización hacia otros responsables. En suma, los resultados obtenidos indican que aún es necesario mejorar la regulación de las transferencias al interior de las organizaciones-responsables. 18

22 TRATA DATOS PERSONALES PARA FINALIDADES DE MERCADOTECNIA, PUBLICIDAD O PROSPECCIÓN COMERCIAL? MERCADOTECNIA, PUBLICIDAD O PROSPECCIÓN COMERCIAL? 60.0% 53.8% 50.0% 40.0% 34.6% 30.0% 20.0% 11.5% 10.0% 0.0% Sí No No sabe / No contesta El tratamiento de datos personales para finalidades de mercadotecnia, publicidad o prospección comercial constituye un elemento distintivo de la normativa de protección de datos personales mexicana, frente a otras legislaciones que regulan el uso de los datos para estos fines a través de leyes o reglamentos relacionados con el comercio electrónico. A grandes rasgos, encontramos que el uso de datos personales para estas finalidades puede tener carácter original y necesario (primario) o tratarse de una finalidad adicional (secundario). En cualquiera de ambos casos, los Lineamientos requieren expresamente que los responsables identifiquen estos fines en el listado de finalidades que debe contener todo Aviso de Privacidad. Las respuestas obtenidas indican que más de la mitad de los encuestados (53.8%) no utilizan datos personales para este tipo de finalidades, y que sólo un 34,6% está seguro de que utiliza este tipo de información para dichos propósitos. 19

23 LOS AVISOS DE PRIVACIDAD CORRESPONDIENTES, PREVÉN LAS FINALIDADES DE MERCADOTECNIA, PUBLICIDAD O PROSPECCIÓN COMERCIAL? 60.0% 55.6% 50.0% 40.0% 33.3% 30.0% 20.0% 10.0% 11.1% 0.0% Sí No No sabe / No contesta EN SU CASO, OFRECE UN MECANISMO PARA QUE LOS TITULARES MANIFIESTEN SU NEGATIVA PARA QUE SUS DATOS SEAN TRATADOS PARA ESA FINALIDAD? 50.0% 45.0% 40.0% 35.0% 30.0% 25.0% 20.0% 15.0% 10.0% 5.0% 0.0% 44.4% 33.3% 22.2% Sí No No sabe / No contesta 20

24 Aquellos encuestados que indicaron tratar datos personales para finalidades de mercadotecnia, publicidad o prospección comercial (el 34.6%) fueron cuestionados sobre dos aspectos adicionales. Por una parte, que indicaran si sus Avisos de Privacidad prevén esta finalidad de forma expresa y, cuando ello fuera necesario, si ofrecen a los titulares un mecanismo para que estos manifiesten su negativa para el tratamiento de sus datos con esta finalidad. Ambas preguntas revisten un grado de conocimiento amplio sobre la normativa aplicable, dado que la necesidad de incluir esta finalidad (sea primera o secundaria) en los Avisos de Privacidad no aparece ampliamente difundida entre los responsables de datos personales; y porque en aquéllos casos en que esta finalidad no es necesaria para la relación jurídica entre el responsable y el titular, tampoco está ampliamente difundido que imperativamente debe ofrecerse al titular la posibilidad de negarse al tratamiento de sus datos para cualquiera de estas finalidades. Respecto a la primera cuestión (inclusión en el Aviso de Privacidad), el 55.6% de los encuestados indicaron que sí informan sobre esta finalidad a los titulares de datos personales, un tercio (33.3%) no pudo contestar con seguridad a la cuestión, y un escaso 11.1% aseguró que no habían incluido esta información en sus Avisos de Privacidad. En cuanto a la existencia de un mecanismo para permitir a los titulares manifestar su negativa para el tratamiento de sus datos en estos casos, se aprecia que el número de encuestados que indican no cumplir con este requisito se triplica en relación con la pregunta anterior (33.3%), resultando así que menos de la mitad (44,4%) declaran cumplir con esta disposición normativa. Cabría indicar que la pregunta efectuada por BGBG Abogados no clarificó aquellos supuestos en los cuales es necesario poner a disposición de los titulares el mecanismo para manifestar su negativa, lo cual podría explicar en cierta medida el aumento de encuestados que indicaron no cumplir con esta obligación (cuando ella resulta aplicable). 21

25 ADEMÁS DE LA OBLIGACIÓN DE INFORMAR (AVISOS DE PRIVACIDAD), POR FAVOR INDIQUE LOS PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES CUYO CUMPLIMIENTO DE OBLIGACIONES HA SIDO IMPLEMENTADO EN SU EMPRESA: RESTO DE PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS PERSONALES 50.0% 40.0% 34.6% 38.5% 46.2% 30.0% 26.9% 30.8% 20.0% 10.0% 23.1% 15.4% 15.4% 23.1% 0.0% Indiquemos, en primer lugar, que un 23.1% de los encuestados no sabe si en su organización se cumplen o se han implementado acciones de cumplimiento de los principios rectores de la protección de datos personales; que sumados al 15.4% que respondió no cumplir con ninguno de ellos, arroja un 38.5% de posibles infractores (dentro del universo de encuestados) por incumplimiento de alguno de los principios establecidos en la LFPD (ver artículo 63, fracción IV de dicho ordenamiento). Dentro de las características destacables de nuestra normativa de protección de datos personales, incluso frente a la normativa europea vigente que le sirve de referencia, destaca la existencia del principio de responsabilidad, que se sintetiza en la obligación del responsable de velar y responder por el tratamiento de los datos que se encuentran en su posesión, mediante la adopción de las medidas que sean necesarias para cumplir con todos los principios establecidos por la LFPD. Al respecto, destaca en nuestra encuesta que un 46.2% de los encuestados manifiesta cumplir con dicho principio; resultado que contrasta con el resto de respuestas, ya que ningún otro de los principios reporta un nivel de cumplimiento similar. 22

26 En nuestra opinión, se trata de una imperfecta apreciación del contenido y alcance del principio de responsabilidad, cuyo cumplimiento práctico viene a significar, a su vez, el cumplimiento conjunto y cabal de los principios de licitud, consentimiento, información, calidad, finalidad, lealtad y proporcionalidad; sumados a la obligación de todo responsable de adoptar las medidas técnicas, físicas y administrativas que garanticen la seguridad de los datos personales. Una conclusión provisional derivada de las respuestas otorgadas a esta pregunta podría ser, en todo caso, que es indispensable que toda organización debe ser consciente de la existencia de todos los principios aplicables a la protección de los datos personales, que desde luego van más allá de la obligación de contar con un Aviso de Privacidad. 23

27 TAMAÑO Y SECTOR DE ACTIVIDAD DE LAS ENTIDADES ENCUESTADAS POR FAVOR, INDIQUE EL TAMAÑO DE SU ORGANIZACIÓN 0.0% 10.0% 20.0% 30.0% 40.0% 50.0% Hasta 10 trabajadores. 11.5% 11 hasta 50 trabajadores. 46.2% 51 hasta 250 trabajadores. 19.2% Más de 250 trabajadores. 19.2% No sabe / No contesta. 3.8% POR FAVOR, INDIQUE A QUÉ SECTOR O SECTORES DE ACTIVIDAD PERTENECE SU EMPRESA: 0.0% 10.0% 20.0% 30.0% 40.0% 50.0% 60.0% 70.0% 80.0% Sector primario. 3.8% Sector secundario. 3.8% Sector terciario (o de servicios). 73.1% Sector cuaternario (o de información). 7.7% No sabe / No contesta. 19.2% 24

28 ANÁLISIS DE RESULTADOS NIVEL DE CONOCIMIENTO Las respuestas brindadas por el universo de organizaciones que contestaron a la encuesta de BGBG Abogados permite concluir que entre los diversos sectores de actividad en que participan dichas entidades (mayoritariamente el sector servicios, con el 73.1%) existe un conocimiento general de la normativa de datos personales. El promedio de respuestas indicando que el encuestado desconocía el estado de cumplimiento de su organización fue del 18.8%, resaltando el grado máximo de desconocimiento del 37% de los encuestados que fueron cuestionados sobre las modalidades de Avisos de Privacidad (integrales, simplificados y cortos) implementadas o utilizadas en su organización. En este sentido, el promedio de conocimiento de los aspectos normativos sobre protección de datos, tal y como fueron propuestos por BGBG Abogados a través de nuestra encuesta, ha superado el 80%. NIVEL DE CUMPLIMIENTO El análisis de las respuestas proporcionadas permite deducir que un 43.9% de los encuestados cumpliría de forma integral con todas las obligaciones sobre las cuales fueron cuestionados. El restante 56.1% ha contestado que su organización no cumple con las obligaciones puestas a su consideración o manifestaron desconocer si dentro de la misma se cumplían. Conforme a lo anterior, se considera que el nivel de cumplimiento integral analizado durante el período de un año que duró nuestra encuesta podría ser superior al anteriormente indicado, tomando en consideración que aquéllos que respondieron a las preguntas de BGBG Abogados podrían haber carecido de información actualizada en el preciso momento de remitir sus respuestas. No obstante, debe resaltarse que nuestra encuesta arroja un promedio del 34.7% de encuestados que de forma definitiva informaron no cumplir con los controles sobre los cuales fueron cuestionados, encontrando que el mayor índice de incumplimiento (55.6%) fue reconocido en relación con la existencia de un procedimiento implementado por los responsables para atender adecuadamente a las solicitudes de ejercicio de los titulares relacionadas con los derechos que les reconoce la LFPD. 25

29 CONSIDERACIONES PARTICULARES A la vista de la metodología empleada por BGBG Abogados para el desarrollo de Proyectos de Adecuación a la LFPD, que incluye controles previstos por la ISO 27001:2013, consideramos indispensable resaltar la importancia que reviste el conocimiento de todas las obligaciones que la normativa de protección de datos personales establece a cargo de responsables y encargados. Desde la publicación de dicha normativa en nuestro país, hemos comunicado a nuestros clientes y contactos: No todo son Avisos de Privacidad. Y en este sentido, los resultados aquí publicados confirman nuestra convicción sobre la necesidad de incidir en la difusión de aquellos principios adicionales al de información y la obligación de contar con medidas de seguridad adecuadas para la protección de los datos personales. En este sentido, el conocimiento y aceptación sobre la necesidad de contar con procedimientos y políticas para proteger esta información, en todo tipo de organizaciones, constituye uno de los retos que la novedad de esta normativa impone a firmas como BGBG Abogados, cuya asesoría legal comprende aspectos mucho más amplios que la sola emisión de aquéllos avisos, brindando a sus clientes evaluaciones integrales sobre su estado de cumplimiento. CONCLUSIONES (EXPECTATIVAS) Los resultados obtenidos por BGBG Abogados a través de las respuestas analizadas y aquí publicadas, superaron nuestras expectativas iniciales sobre el conocimiento y estado de cumplimiento de la normativa de protección de datos personales (y eso, es una buena noticia). Sin embargo, los mismos resultados obligan a replantearnos la estrategia de difusión sobre el contenido de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y el resto de normativa aplicable, pues aún persiste un porcentaje de desconocimiento e incumplimiento que no debería resultar aceptable, por tratarse de un derecho fundamental el que persigue proteger dicha normativa (y nuestra propia Constitución). La experiencia internacional demuestra que el cumplimiento extendido de una normativa como la de protección de datos personales, y la sensibilidad de los ciudadanos para exigir el respeto de su privacidad y la protección de sus datos personales, requiere de tiempo y esfuerzo. Se trata, como hemos indicado en la introducción de este Informe, de formar una cultura de protección de datos personales en nuestro país. Desde BGBG Abogados esperamos que este Informe contribuya al crecimiento de dicha cultura, con la convicción de que el siguiente que elaboremos demostrará que todos hemos mejorado. 26

30 INFORMACIÓN DE CONTACTO HÉCTOR GUZMÁN SOCIO MIGUEL GALLARDO SOCIO CARLOS BELLO SOCIO Tel. +52 (55) Tel Tel. +52 (55) Tel. +52 (55) CIUDAD DE MÉXICO AGUSTÍN MANUEL CHÁVEZ CENTRO DE CIUDAD DE SANTA FE MÉXICO, D.F., TEL. +52 (55) BGBG.MX MADRID AVENIDA DE BRASIL, 29 1, MADRID, ESPAÑA TEL BGBG.ES bgbg.mx bgbg.es 27

31 bgbg.mx