Persona o departamento de datos personales
El artículo 30 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece la obligación de los responsables del tratamiento de los datos de designar a la persona o departamento de datos personales, mismo que tendrá las siguientes funciones:
- Dar trámite a las solicitudes de las personas titulares de datos personales, para el ejercicio de los derechos a los que refiere la Ley; y
- Fomentar la protección de datos personales al interior de la organización del responsable.
En ese sentido, el responsable deberá determinar si designará a una persona o un departamento encargado de datos personales dentro de la organización, decisión que mucho dependerá de las capacidades materiales y humanas con que cuente la persona u organización para acometer con esta obligación, razón por la cual se sugiere que el responsable considere lo siguiente:
- El tipo y cantidad de datos personales que trata
- La naturaleza e intensidad del tratamiento
- Número potencial de solicitudes de personas titulares de datos personales que podrá recibir
- El valor que tengan los datos personales para la organización
Asimismo, las funciones de protección de datos personales podrán estar a cargo de una persona cuando la capacidad del responsable no le permita asignar mayores recursos para atender estas tareas, en cuyo caso será importante que el responsable evalúe la conveniencia de implementar procedimientos que le permitan hacer eficientes sus funciones, a fin de evitar cualquier incumplimiento a la normativa vigente en la materia.
Persona designada como encargada por el responsable
Para el supuesto de que el responsable asigne las funciones de protección de datos personales a un encargado, es importante tomar en cuenta lo establecido en las “Recomendaciones para la designación de la persona o departamento de datos personales”, a saber:
- Que las obligaciones que establece la Ley siguen estando a cargo del responsable, por lo que él estará obligado a responder sobre todo lo relacionado con el desempeño de estas funciones;
- Que en el aviso de privacidad se deberá establecer con claridad los medios para que las personas titulares de los datos personales ejerzan los derechos que prevé la Ley; y
- Que es indispensable que formalice la relación con el encargado mediante un contrato en el que se establezcan las obligaciones de ambos en torno a la protección de datos personales.
Departamento de datos personales
Si el responsable optara por contar con un departamento de protección de datos personales, no se considera necesario que éstas sean las únicas tareas a cargo del departamento, ni que cree uno nuevo para estos fines. Se sugiere que las funciones de protección de datos sean asignadas a un departamento ya existente en la organización.
Por otra parte, es importante señalar que, si bien las funciones de protección de datos personales podrían estar a cargo de un departamento en particular, ello no impide que el responsable cuente con el apoyo de un área distinta para que sea el primer contacto con las personas titulares de los datos personales y tener asignadas tareas específicas.
Funciones de la persona o departamento de protección de datos personales
Toda vez que el tema de protección de datos personales aplica de manera transversal al interior de una organización, se sugieren otras funciones que pudiera desarrollar la persona o departamento de datos personales, con objeto de garantizar que la organización del responsable cumpla cabalmente con sus obligaciones y compromisos en la materia y de manera adicional atienda las mejores prácticas y estándares. Las funciones que se recomiendan en materia de atención a solicitudes de derechos, son las siguientes:
- Establecer y administrar procedimientos para la recepción, tramitación, seguimiento y atención oportuna de las solicitudes para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, así como para la atención de quejas o solicitudes presentadas por las personas titulares relacionadas con las políticas y/o prácticas de protección de datos personales desarrolladas por la organización; y
- Monitorear los avances o cambios legislativos en materia de privacidad y protección de datos personales que pudieran impactar en los ejes rectores y acciones desarrolladas en este tema al interior de la organización, haciendo las adecuaciones necesarias.
Tratándose del fomento a la protección de datos personales al interior de la organización, las funciones que se recomiendan son las siguientes:
- Diseñar y ejecutar una política y/o prácticas de protección de datos personales al interior de la organización, o bien, adecuar y mejorar las prácticas ya existentes en el marco de la Ley;
- Alinear esta política y/o prácticas -incluyendo sus objetivos, acciones estratégicas, líneas de acción, asignación de roles y responsabilidades generales y específicas y un procedimiento y plazos de implementación- a los procesos internos de la organización que demanden o aprovechen información personal;
- Desarrollar un mecanismo para evaluar la eficacia y eficiencia de esta política y/o prácticas;
- Monitorear y evaluar los procesos internos de la organización vinculados con la obtención, uso, explotación, conservación, aprovechamiento, cancelación y transferencia de datos personales, a fin de asegurar que la información sea protegida, tratada conforme a los principios de la Ley y respetada;
- Fomentar una cultura de protección de datos personales orientada a elevar el nivel de concienciación del personal y terceros involucrados, como encargados, en el tratamiento de datos personales;
- Monitorear el cumplimiento de la política y/o prácticas de protección de datos personales de las sociedades subsidiarias o afiliadas bajo el control de común de la organización o cualquier sociedad del mismo grupo del responsable que opere y le sean aplicables estas prácticas;
- Identificar e implementar mejores prácticas relacionadas con la protección de datos personales;
- Promover la adopción de esquemas de autorregulación, y
- Ser el representante de la organización en materia de protección de datos personales ante otros actores.
Es importante destacar que, en el caso de organizaciones pequeñas, o cuando la cantidad de datos personales y personas titulares de los mismos no sea significativa y la naturaleza del tratamiento no requiera medidas especiales, será suficiente con que la persona que desarrolle las funciones de protección de datos personales lleve a cabo las tareas que establece el artículo 30 de la Ley Federal, sin menoscabo de que el responsable implemente acciones adicionales, como cualquiera de las antes señaladas, para fomentar la cultura de protección de datos personales.