Expectativas y beneficios de la autorregulación, experiencias internacionales Elizabeth Argüello Maya Directora de Economía Digital 7 de mayo de 2013
Agenda I. Contexto regulatorio II. Parámetros de Autorregulación a) Certificación III. Experiencia Internacional
Marco jurídico vigente Contexto Regulatorio Hoy en día, México cuenta con un marco regulatorio que sustenta el derecho a la protección de datos personales, garantía reconocida en el artículo 16 de la Constitución, estableciendo como garantía constitucional el derecho que toda persona tiene para la protección de sus datos personales. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Julio 5, 2010) Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Diciembre 21, 2011) Criterios generales para la instrumentación de medidas compensatorias sin la autorización expresa del IFAI publicado (Abril 18, 2011) Lineamientos sobre el contenido y alcance de los Avisos de Privacidad (Enero 17, 2013) Parámetros para establecer esquemas de autorregulación (Enero 17, 2013) Criterios en materia de seguridad. 3
Actores y elementos previstos en Ley y Reglamento Coadyuvancia Titular Solicitud de Protección de derechos 1 En México Secretaría de Economía A Lineamientos 5 Aviso de privacidad Consentimiento (tácito, expreso) Entidades privadas - Autorregulación Parámetros Derechos ARCO (acceso, rectificación, cancelación, oposición) Verificación Sanción B IFAI Responsable 2 Relación contractual En México u otro país Delimita su actuación en función de las instrucciones del responsable No requiere consentimiento Remisión Transferencia Requiere consentimiento Encargado 3 Se convierte en Responsable Tercero 4 4
Concepto de Autorregulación Conjunto de Creados para... Principios, Normas Mecanismos de protección de datos Administrar Aplicar Vigilar Ejecutar Sancionar por el responsable, grupo de responsables o sector que de manera voluntaria se obliga a su observancia. 5
La autorregulación en la normativa mexicana SE e IFAI emisión de parámetros Art. 43 Art 44 Las personas físicas o morales podrán convenir esquemas de autorregulación Reglamento Art. 79-86 La ley mexicana le otorga a la autorregulación en materia de protección de datos personales el carácter de complementarios a la legalidad es decir, integrar al régimen jurídico aquellas normas que de facto son necesarias para organizar y pactar buenas practicas a través de códigos deontológicos o de buena práctica profesional, sellos de confianza u otros mecanismos, sin tener que pasar por todo el proceso legislativo, en tanto se da la coexistencia y complementariedad de los marcos normativos. 6
Principios torales de los esquemas de autorregulación Voluntariedad En su adhesión o adopción. Transparencia En las practicas que sigue un sector, grupo, empresa u organización en protección de datos. Principios Responsabilidad Obligatoriedad En su cumplimiento a quienes de adhieran o los adopten. Obligación del responsable, en velar por el cumplimiento de los principios de protección de datos previstos en la Ley. 7
Clases de Esquemas de Autorregulación en México Códigos deontológicos Acuerdo de principios, normas, conductas y procedimientos a observarse al interior de un responsable. (Código de ética o de integridad ) Políticas internas de privacidad Declaración unilateral que documenta principios, normas, conductas y procedimientos que rigen a dicho responsable Reglas de privacidad corporativas Principios, normas, conductas y procedimientos adoptado por un grupo corporativo a fin de garantizar el tráfico interior de datos personales Sellos de confianza Distintivos otorgados por un tercero que demuestra el cumplimiento del manejo de los personales. Certificación Reconocimiento del manejo de los personales.. Códigos de buena práctica profesional Acuerdo entre profesionistas que establecen principios, normas, conductas y procedimientos a observarse. Otros Esquemas de autorregulación vinculados a los anteriormente señalados 8
Objetivos de los esquemas de autorregulación Coadyuvar al cumplimiento del principio de responsabilidad. Establecer procesos y prácticas cualitativas. Fomentar establecer políticas, procesos y buenas prácticas. Promover el uso de constancias o certificaciones. Incentivar la adopción de políticas de privacidad Facilitar la coordinación de esquemas de autorregulación internacionales. Facilitar las transferencias con esquemas de autorregulación. Promover la adopción de políticas internas consistentes con criterios externos. Encauzar mecanismos de solución alternativa de controversias. 9
Ventajas de la autorregulación Reconocimiento empresarial Prevención Aumento de la competitividad del sector de TI Desarrollo de comercio electrónico Promover las mejores prácticas comerciales en torno a la PDP como insumo de la economía Interoperabilidad entre las economías Complementariedad al marco normativo sin necesidad del proceso legislativo Confianza e interacción de usuarios de internet Desarrollo de la economía nacional Regular temas específicos y complejos Solución de controversias Mayor posibilidad de comercio internacional Adhesión de empresas a mecanismos de autorregulación 10
Operación de los esquemas de autorregulación Registro Los esquemas de autorregulación que cumplan con los requisitos que establezcan los parámetros, podrán ser registrados ante el IFAI. Certificación Podrán incluir la certificación de los responsables en materia de PDP que será otorgada por una persona física o moral acreditada como certificadora. Objetivo de la certificación: Que las personas físicas o morales acreditadas como certificadores determinen la conformidad de tratamientos y políticas de responsables y encargados con la normativa en la materia y las mejores prácticas. 11
Certificación en materia de protección de datos personales (Parámetros) En el Artículo Tercero Transitorio de los parámetros se establece que el IFAI comenzará a dar trámite a las solicitudes de inscripción de esquemas de autorregulación vinculante en el registro y a las solicitudes de autorización para entidades de acreditación a los nueve meses siguientes a la entrada en vigor de los presentes Parámetros 18 DE OCTUBRE IFAI Entidades acreditadoras Certificadores acreditados Empresas certificadas 1) El IFAI autoriza al menos una entidad acreditadora y puede supervisar a los otros 3 actores. 2) La entidad acreditadora vigila que el sistema de autorregulación funcione (2 actores inferiores, principalmente certificadores), cuenta con auditores y expertos; acredita certificadores. 3) Los certificadores acreditados (CA) evalúa y certifica si una empresa puede certificarse en el esquema de autorregulación que el CA administra. A su vez las audita. Tienen una vocación sectorial o por tipo de dato. 4) Las empresas pueden tramitar ante CA su certificación sobre ciertos o todos sus tratamientos de datos. Le informan al IFAI y SE que operan bajo cierto esquema de autorregulación. Pueden ostentar algún distintivo para que las personas puedan reconocer su compromiso con la privacidad.
Estructura de Ejecución del Sistema CBPR - APEC ECONOMÍA A ECONOMÍA B Autoridad de Privacidad Autoridad de Privacidad Agente Responsable Agente Responsable Organización certificada Organización certificada Flujos de datos (B-2B/B-2-C) Ejecución por parte del Gobierno Certificación / cumplimiento Acuerdo de Cooperación Transfronteriza en materia de Privacidad (CPEA) Cooperation by Accountability Agents 13
EU y APEC sistemas de políticas para transferencias Internacionales La Unión Europea (artículo 29) esta trabajando en conjunto con las economías de APEC para identificar referencias comunes, elementos y principios de los BCR y el CBPR a las empresas que deseen obtener una doble certificación. EE.UU. Binding Corporate Rules (BCR) Requerimientos compartidos en ambos sistemas pueden ser utilizados por las organizaciones al implementar sus códigos de conducta para la protección de datos personales APEC Cross-Border Privacy Rules System (CBPR) Personalización en las empresas Tanto el BCR como el CBPR deben estar personalizados tomando en cuenta: estructura del grupo de empresas a las que aplican; procesamiento al que hacen referencia; y políticas y procedimientos para protección de datos personales. 14
Expectativas y beneficios de la autorregulación, experiencias internacionales Elizabeth Argüello Maya Directora de Economía Digital 7 de mayo de 2013