En marcha la 2a edición de nuestra encuesta sobre políticas de notificación de vulneraciones de datos personales

En esta segunda edición, añadimos dos apartados que complementarán y contrastarán las respuestas de las empresas encuestadas.

2da encuesta sobre políticas de notiicación de vulneraciones de datos personales

Tal como lo hicimos en 2016, este año encuestaremos a 49 empresas representativas de 7 sectores industriales sobre sus políticas de notificación de vulneraciones de datos personales. Mediante este ejercicio buscamos conocer y comparar, a través del tiempo, el tipo de políticas y prácticas que distintas empresas han implementado para detectar vulneraciones de datos personales y responder a incidentes de seguridad y, por tanto, para cumplir con el marco jurídico en materia de protección de datos personales.

Tal como lo hicimos el año anterior, a través de un breve cuestionario, preguntamos a las mismas 49 empresas sobre los elementos básicos con los que cuentan, tanto para proteger los datos personales que manejan, como para responder a incidentes que los afectan y para notificar la existencia de posibles vulneraciones significativas de datos de las que hayan sido objeto. Esas 49 empresas fueron elegidas desde la primera edición de la encuesta con base en su aportación al producto interno bruto, y por formar parte de algún sector de interés común, ya sea: comercio de medicamentos; comercio al por menor de mercancías; transportes, correos y almacenamiento; servicios financieros; servicios educativos; servicios de salud; o telecomunicaciones.

Sobre la encuesta de este año

En esta segunda edición, aparte de la encuesta como tal, optamos por incluir dos elementos más. Es decir, este año, el proyecto ha sido dividido en 3 partes:

  1. La encuesta. Busca conocer si las empresas han implementado un sistema de seguridad que les permita prevenir vulneraciones de datos personales; si cuentan con elementos para detectar tales vulneraciones (por ejemplo, control de acceso a bases de datos, un equipo de personas que atienda incidente, sistemas de detección de intrusos, antivirus, procedimientos para auditoria de bitácoras); así como el tipo de procedimientos y el personal con el que cuentan para llevar a cabo las notificaciones respectivas. A cada una de las respuestas de las empresas se les asignará un puntaje que se sumará con el puntaje obtenido por el siguiente apartado.
  2. Un análisis sobre los avisos de privacidad de las 49 empresas encuestadas. A través de dicho análisis, verificaremos si tales documentos cuentan con los elementos mínimos que la propia LFPDPPP establece en su artículo 15:
  • La identidad y domicilio del responsable que los recaba;
  • Las finalidades del tratamiento de datos;
  • Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos;
  • Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta Ley;
  • En su caso, las transferencias de datos que se efectúen, y
  • El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad
  • En el caso de datos personales sensibles, el aviso de privacidad deberá señalar expresamente que se trata de este tipo de datos.

Además de comprobar que los 49 avisos de privacidad contengan la información antes mencionada, verificaremos que ésta sea verdadera y funcional, esto es, usaremos el mismo medio por el cual el público se puede poner en contacto con la empresa para ejercer sus derechos de acceso, rectificación, cancelación y oposición en materia de datos personales.

3. La tercera parte del proyecto consistirá en investigar si las empresas seleccionadas han sufrido vulneraciones de datos personales y si los han notificado en tiempo y forma a las y los titulares o, en su caso, si han sido multadas por no haberlo hecho. Esto lo realizaremos analizando la información pública sobre vulneraciones notificadas y las multas impuestas por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). A pesar de que esta última parte no formará parte del puntaje final que alcancen las empresas – el cual se obtendrá a partir de la suma del puntaje obtenido en la encuesta y el score asignado durante el análisis de sus avisos de privacidad – la información que recabemos en este apartado formará parte del reporte final.

Beneficios para titulares de datos y empresas

A través de la realización de este proyecto, buscamos que las y los titulares de datos personales conozcan qué empresas cuentan con las medidas de seguridad físicas, técnicas y administrativas necesarias para evitar, disminuir o mitigar cualquier tipo de vulneración que pudiera afectarles de forma significativa. A su vez, deseamos concientizarles sobre su derecho a la protección de datos personales y, por tanto, incentivar que busquen hacerlo exigible, averiguando si las empresas de las que son clientes o empleados han sido afectadas por alguna vulneración, en cuyo caso, tendrían que haberles notificado.

En lo que respecto al sector empresarial, esperamos que este ejercicio les permita autoevaluar sus políticas de respuestas a incidentes y de notificación de vulneraciones, así como fomentar el que se apeguen al marco legal en la materia.

Al participar en la encuesta, cada empresa tiene la oportunidad de mostrar a sus empleados, usuarios y clientes que no sólo protege sus datos personales, de acuerdo a lo indicado en sus respectivos avisos de privacidad, sino que, efectivamente, cumple con la normatividad y ha implementado las medidas necesarias para, en caso de alguna vulneración, poder notificar en tiempo y forma a las y los titulares de datos.

Te invitamos a conocer los resultados de la primera encuesta y a mantenerte al tanto de la próxima publicación de la segunda edición de este ejercicio.

By Giovanna SalazarGiovanna Salazar on Twitter

Giovanna Salazar es Oficial de Incidencia y Comunicación y Oficial de Recaudación de Fondos del Programa de protección de datos “SonTusDatos” de la Asociación Civil “Artículo 12”. Más información sobre Giovanna: https://sontusdatos.org/staff/giovanna-salazar/. Llave pública GPG: https://sontusdatos.org/contacto/llave-publica-de-giovanna-salazar/.

Comentarios (0)

Deja un comentario...