Protección de datos personales en las MIPyMES
La protección de datos personales, sobre todo en una era caracterizada por el flujo transfronterizo de información a través de Internet, se vuelve una necesidad de primer orden, sobre todo porque las MIPyMES, además de garantizar la seguridad de las personas clientas, generan confianza y brindan certidumbre a las personas titulares de los datos, es decir, la protección de datos personales no solo es un requisito para evitar una sanción por incumplimiento de la normativa, sino que se traduce en una ventaja competitiva que pueden poner a la empresa como la mejor opción para determinada actividad o servicio.
De manera más específica, se pueden ubicar, entre otras, las siguientes ventajas:
- La protección de datos personales es un derecho humano de las personas titulares de los mismos y una obligación para quienes los utilizan.
- Ayuda a prevenir y mitigar los efectos de una fuga y/o mal uso de los datos personales.
- Evita afectaciones económicas debido a multas, compensación de daños y pérdida de personas clientas e inversionistas.
- Aumenta la competitividad, mejora los procesos de la organización y el nivel de confianza de los consumidores, inversionistas y titulares.
Para proteger los datos personales, se sugiere revisar las acciones de seguridad contenidas en las “Recomendaciones en Materia de Seguridad de Datos Personales”[1], las cuales se enlistan a continuación para pronta referencia:
- Elaborar un inventario de datos y de sus medios de almacenamiento.
- Determinar las funciones y obligaciones de las personas que traten datos personales.
- Realizar un análisis de riesgos de los datos personales.
- Revisar las medidas de seguridad
- Realizar un análisis de brecha entre las medidas de seguridad existentes y las necesarias.
- Elaborar un plan de trabajo para implementar las medidas de seguridad requeridas.
- Realizar revisiones y auditorías del tratamiento de los datos y de las medidas de seguridad.
- Mantener capacitado al personal relacionado con el tratamiento de los datos
Con el objetivo de conocer con mayor detalle la forma en que se pueden desarrollar las acciones antes referidas, se sugiere consultar el “Manual en materia de seguridad de datos personales para MIPyMES y organizaciones pequeñas”[2] publicado por el INAI.
Asimismo, resulta indispensable que las MIPyMES concienticen a las personas trabajadoras que poseen datos personales sobre la importancia de su protección y adecuado tratamiento. Para ello, se sugiere descargar los materiales del “Toolkit de Concientización de Seguridad de Datos Personales para Responsables del Sector Privado”[3], pues incluye materiales de difusión (carteles) y documentos de contenido (presentaciones, buenas prácticas y notas explicativas) sobre las acciones prácticas que se relacionan con el deber de seguridad.
Por último, se recomienda consultar la “Guía para cumplir con los principios y deberes de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares”[4], toda vez que contiene ejemplos prácticos de las formas en que las personas físicas o morales privadas que traten datos personales en sus actividades pueden cumplir una serie de obligaciones con objeto de garantizar a las personas el derecho a la protección de su información personal.
Problemática a nivel nacional sobre protección de datos personales – Multas por sector
El procedimiento de imposición de sanciones es un procedimiento administrativo contemplado en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares que inicia tras la resolución de un procedimiento de protección de derechos o de verificación, cuando el Pleno del INAI así lo determine al identificar presuntos incumplimientos de los principios, deberes y obligaciones que establece dicha ley.
Según el Informe de Labores del INAI de 2023, durante el periodo de octubre de 2022 a septiembre de 2023, se impusieron multas por un total de 73,505,475.70 pesos. De este monto, el 35% se concentró en el sector de “Servicios financieros y de seguros”, el 32% en “Otros servicios, excepto actividades gubernamentales”, y el 9% en el sector de “Información en medios masivos”. El 24% restante se distribuyó entre infractores pertenecientes a nueve sectores diversos.
A continuación, se presenta una gráfica que muestra los sectores sancionados y los montos correspondientes a los periodos de octubre de 2021 a septiembre de 2022, así como de octubre de 2022 a septiembre de 2023, para visualizar los cambios.