Autorregulación y protección de datos: ¿cómo sacar ventajas competitivas para su empresa?

A continuación se explica cómo el nuevo marco de autorregulación en materia de Protección de Datos Personales en México puede representar una ventaja competitiva para las empresas de tecnologías de la información (TI) “proactivas” del país.  Asimismo se disipan algunas de las dudas más frecuentes que las empresas tienen al intentar comprender  este nuevo entorno.

Antecedentes: ¿Cuáles son las nuevas reglas del juego?

Desde hace unos años, la Secretaría de Economía promueve a México en el extranjero como un destino de primera importancia para la subcontratación internacional de servicios de TI (IT offshoring).  Una de sus estrategias ha sido involucrarse en las negociaciones de reglas internacionales que promueven los flujos transfronterizos de datos personales, conocidas como reglas transfronterizas de privacidad (CBPR, o “cross-border privacy rules” en inglés) de la Cooperación Económica Asia Pacífico (APEC).  Esta estrategia debería contribuir a incrementar el comercio electrónico entre México y los países de la región Asia Pacífico, empezando por los Estados Unidos; así como para que empresas de esa región consideren a nuestro país como idóneo para realizar subcontrataciones internacionales de servicios de TI y hacer inversiones de capital.

Frank Bonilla: “Flow III”.

Asimismo, la Secretaría tiene, por ley, que dedicarse a fomentar las mejores prácticas comerciales entre las empresas privadas, a promover el desarrollo de las tecnologías de la información y a sensibilizar al público sobre la protección de los datos personales.

La autorregulación permite a las empresas cumplir de manera “flexible” con el marco legal de protección de datos.

Para ello durante el 2013, La Secretaría de Economía y el Instituto Federal de Acceso a la Información y Protección de Datos Personales (IFAI) se dieron a la tarea de publicar diversos documentos que establecen el funcionamiento de la autorregulación en materia de protección de datos personales en nuestro país:

• La Secretaría de Economía publicó en enero 2013 los “Parámetros para el correcto desarrollo de los esquemas de autorregulación vinculante” que establece el nuevo marco de autorregulación que las empresas con actividades en México tienen la opción de seguir para elegir la forma en que pueden demostrar su cumplimiento con el marco jurídico de la protección de datos personales y la forma en como va a operarse la autorregulación entre sus actores: responsables de tratamiento, certificadores y entidades de acreditación.

• El IFAI, como autoridad a cargo de aplicar la legislación federal de datos personales, detalló las reglas sobre el funcionamiento del Registro de Esquemas de Autorregulación en las “Reglas de Operación del Registro de Esquemas de Autorregulación Vinculante (“EAVs”) en Materia de Protección de Datos Personales”.  El documento establece también las reglas aplicables al trámite del registro con el IFAI de entidades de acreditación, de certificadores y de EAVs.  Además, explica la información que tiene que incluir cada registro y su función: hacer públicas las características principales y enfoque de cada EAV, de su empresa promotora y del certificador.

• Como segundo paso, el IFAI tiene ahora por misión de activar ese Registro para que pueda efectivamente empezar a recibir solicitudes de entidades de acreditación, de certificadores y de responsables de tratamiento.  Pero, sigue sin funcionar por el momento.

Interrogantes de las empresas

La nueva normatividad de autorregulación está provocando muchas dudas en el sector empresarial.  Y gran parte de las inquietudes se deben a que desconocen cómo pueden usarla a su favor.  Por eso aquí se presentan algunas de las interrogantes más comunes, y se presentan algunas posibles explicaciones:

• ¿Vale la pena preocuparse por la “autorregulación”?

• ¿Qué son y para qué sirven los “esquemas de autorregulación vinculante”? ¿Cómo permiten a las empresas realmente autorregularse?

• ¿Es obligatorio? ¿Por qué comprometerse a algo que la ley no obliga a hacer?

• ¿Cómo puede beneficiar a mi empresa? ¿Vale la pena la inversión?

• ¿Cuál es el presupuesto requerido? ¿Sólo es relevante para grandes empresas o PYMES también?

• ¿Qué es lo que se debería hacer primero para sacar adelante un proyecto de esquema de autorregulación vinculante en su empresa?

• ¿Qué tipo de esquema de autorregulación mi empresa debería elegir?

Las respuestas

Aquí se presentan algunas reflexiones que pueden ayudar a dar claridad en el tema.

¿Autorregulación o corregulación?

Es importante señalar que, en el ámbito de la protección de datos, lo que en México se denomina “autorregulación” más bien debería llamarse “corregulación”, ya que las empresas no establecen para si mismas las reglas, sino que tienen que adaptar las de la ley existente a su propio entorno.  Así, la corregulación se entiende como la técnica que combina medidas legislativas y reglamentarias vinculantes y medidas adoptadas por los agentes más interesados sobre la base de su experiencia práctica, teniendo como resultado que esos agentes se pueden mejor identificar con las medidas en cuestión, gracias a la implicación de los que podrían resultar más afectados por la aplicación de las normas y su ejecución.  La corregulación se puede hacer insertando en una ley un marco de objetivos generales, mecanismos de aplicación y recursos, así como  condiciones de control del cumplimiento.  La corregulación pretende mejorar la responsabilidad y participación de las empresas o individuos en lo que se trata de cumplir.  Es precisamente la herramienta de la corregulación que previó el Congreso de la Unión en el 2010 en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), promoviendo la participación y responsabilidad de los sujetos obligados a cumplir con el marco legal de protección de datos.

Autorregulación, comercio internacional y flexibilidad

Cabe señalar que los EAVs fueron concebidos para varios propósitos.  El principal es para que las empresas establecidas en México puedan cumplir de manera “más flexible” con la legislación de protección de datos personales, y en particular cuando se trata de adaptarla a sectores industriales que son diferentes.  (Por ejemplo, el sector agroalimentario, bancario o farmacéutico no es igual al sector de la industria de TI.)

Otros dos de los propósitos principales tienen que ver con el fomento del desarrollo del comercio a nivel internacional:

• para que empresas en México y en el extranjero puedan transferirse datos personales, sin tener que firmar contratos de transferencia de datos por cada flujo transfronterizo; y

• para favorecer el comercio internacional en la región de Asia Pacífico, facilitando el cumplimiento por compañías extranjeras (y mexicanas con actividades de negocio fuera de México) con el marco legal mexicano: esas empresas tienen la opción de usar sus propios modelos de cumplimiento con respecto a la ley mexicana mediante las “Reglas de Privacidad Transfronterizas” (cross-border privacy rules, o “CBPRs”) del Marco de Privacidad de la APEC para manejar sus transferencias internacionales de datos con más facilidad.

Registrar un esquema de autorregulación promueve la rendición de cuentas en el tratamiento de los datos por su empresa.

Mejor dicho: México está implementando las Reglas de Privacidad Transfronterizas de la APEC para fomentar las relaciones comerciales con sus vecinos dentro de la región, pero sin que se pierda el nivel de protección de datos personales que se haya logrado a nivel nacional y, para permitir que continúen los flujos de datos en la región, mientras se adecuan esos flujos con los diferentes marcos jurídicos de cada una de las economías.  De hecho, hace un año, la Secretaría de Economía anunció que México se había convertido en el segundo participante formal en el marco de las Reglas de Privacidad Transfronterizas (sólo después de Estados Unidos en julio de 2012).

¿Es obligatorio establecer esquemas de certificación de autorregulación vinculante?

Simplificando lo que implica el nuevo sistema de autorregulación para las empresas de TI en México, podemos decir que hay dos maneras – complementarias, no alternativas – de cumplir ahora con el marco legal de protección de datos: asegurándose de seguir la ley o, cumplir con ella, mediante la adopción, puramente voluntaria, de EAVs.  Aunque sea voluntaria la decisión de adoptar o no uno de esos esquemas, una vez que se haya comprometido la empresa a seguirlo, el esquema se volverá “vinculante” y tendrá que responder por cualquier violación del que se haga responsable.

Si no, ¿por qué comprometerse a algo que la ley no obliga a hacer?

La ventaja de cumplir con su propio esquema autorregulatorio vinculante es que la empresa será capaz de demostrar al IFAI que no sólo cumple con la letra de la ley, sino también con su espíritu.  La propia ley, la llamada “LFPDPPP”, es considerada como el estándar mínimo con el que tienen que cumplir las empresas.  Cada sector industrial, como el de las TI, tendría que adaptar esa ley a los requerimientos implicados por las características de su propio sector.  Una manera flexible de hacerlo es de aprovecharse de esos EAVs para darse a si mismo, como empresa o sector industrial, las reglas que son la consecuencia lógica de las obligaciones del marco legal de protección de datos aplicables a su propia empresa o sector industrial.  El IFAI ha declarado varias veces que podrían ser promulgadas nuevas regulaciones, específicas a cada sector, si las empresas no llegaran a usar los EAVs para autorregularse.

Otro factor a tener en cuenta es que desde el 2013 se ha incrementado el número de sanciones emitidas por el IFAI: durante el año pasado, el IFAI impuso multas de casi 57 millones de pesos contra particulares, empresas y personas físicas, que no cumplieron la Ley.

Los principales objetivos de los esquemas de autorregulación vinculante

Los Parámetros permiten a las empresas demostrar de manera preventiva al IFAI que cumplen con el marco legal, de obtener el reconocimiento ad hoc y de hacerlo saber a todos sus clientes, empleados, consumidores, y al público en general.

La implementación y el registro de esquemas de autorregulación vinculante en su empresa podrá beneficiarla de varias maneras.  Una de ellas es la reducción de las sanciones eventuales del IFAI contra su empresa.

También permiten adaptar y complementar lo que la ley prescribe a su propia industria o sector; motivan a las empresas a obtener reconocimiento preventivo mediante certificaciones que demuestran el cumplimiento idóneo con la ley; promueven el principio de responsabilidad por el cual empresas pueden mostrar a la autoridad, el IFAI, que cumplen en los hechos y lo pueden comprobar con la implementación de varias medidas y metodología internas y su documentación.  Además, los Parámetros fomentan el uso por las empresas de mecanismos destinados a implementar sus políticas de privacidad, asegurar una supervisión interna continua, llevar a cabo evaluaciones de riesgo preventivas, procesos de auditorías externas e internas y sistemas de remediación.  Finalmente, puedan dar a conocer los EAVs al público mediante su inscripción en un registro público administrado por el IFAI.

¿Qué es lo que se debería hacer primero para sacar adelante un proyecto de esquema de autorregulación vinculante en mi empresa? ¿Cuáles tipos de esquema de autorregulación una empresa debería eligir?

Los Parámetros permiten y motivan a las empresas del sector TI a desarrollar varias aplicaciones, estrategias o metodologías de cumplimiento que les van a ayudar a adecuar sus procesos operativos a los requerimientos del marco legal.  Para hacerlo, pueden elaborar “EAVs”, los cuales pueden ser tan diversos como códigos de conducta, políticas empresariales de privacidad a nivel interno, normas corporativas vinculantes (en inglés “binding corporate rules”), programas de capacitación, sellos de confianza o metodologías de adecuación a la LFPDPPP, que son tantas maneras de cumplir más flexiblemente con la ley.  Un ejemplo de normas corporativas vinculantes son las que usan empresas multinacionales para regular todos los tratamientos que se hacen dentro de la misma empresa y todas sus filiales sin importar su ubicación en el mundo mientras ejemplos de metodologías de adecuación incluyen los estandares internacionales, como ISO 29100 o 27001, y los modelos de madurez de protección de datos que evalúan  el nivel de protección de los tratamientos de datos personales en cada nivel de los procesos operativos de una empresa.

En una secunda etapa, podrán tratar de conseguir un reconocimiento por el IFAI de que sus EAVs cumplen efectivamente con el marco legal, a través de un procedimiento de registro público y, de manera facultativa, vía un proceso de certificación.

¿Por qué deberían las empresas de TI aprovecharse de la oportunidad de la autorregulación?

¿Qué beneficios tienen los EAVs? Para incentivar el uso por las empresas de los EAVs, el Reglamento de la LFPDPPP prevé que el IFAI podría atenuar las multas que llegara a imponer a las empresas que hayan registrado EAVs.

El registro de un esquema de autorregulación realzará la buena reputación de su negocio con clientes, prospectos, usuarios y proveedores.

De igual manera, el IFAI podría facilitar algunos de los procesos administrativos con los que tuvieran que cumplir esas mismas empresas.

Frank Bonilla: “Flow I”.

Los EAVs ofrecen también un mecanismo mediante el cual empresas pueden documentar y registrar su cumplimiento con el IFAI, y mostrarlo a sus clientes, prospectos, proveedores, clientes o usuarios, lo cual les ayudarán seguramente a realzar su reputación con ellos y generarles confianza y buena imagen.  Estos EAVs facilitan igualmente las transferencias de datos personales a empresas terceras, en, o fuera de, México, y permite utilizar mecanismos de resolución alternativa de conflictos, lo que podría ahorrar en gastos de litigio.

Los actores de la certificación

En los Parámetros se diseña un marco de 4 niveles en el que el IFAI es la autoridad principal; siguen las entidades de acreditación, después los certificadores y, finalmente, los responsables de tratamiento (ver figura abajo).

Esquema de certificación en cuatro niveles

En ese marco, el papel del IFAI es de verificar el nivel de cumplimiento de los EAVs con el marco legal aplicable, de registrar los EAVs en un registro público y de acreditar a las entidades de acreditación. También tiene el poder de validar las herramientas de evaluación y los procedimientos de acreditación.  El papel principal de las entidades de acreditación es de acreditar a los certificadores y verificar su trabajo, mientras el rol de los certificadores es de certificar que los EAVs propuestos e implementados por responsables de tratamiento de datos personales cumplen con el marco legal y de otorgarles el certificado.

¿Próximos pasos?

El IFAI tenía que iniciar la recepción de solicitudes de empresas que deseen convertirse en entidades de acreditación desde el final del mes de octubre del año pasado. Fue postergado hasta enero de este año y, nuevamente, no se sabe todavía cuando será eligida la primera entidad de acreditación ni cuando podrán solicitar empresas la revisión y registro de sus EAVs, lo cual debería empezar tres meses después de que haya sido eligida la entidad de acreditación.

Esperamos que, con esta contribución, las empresas de TI tengan más información útil sobre las oportunidades comerciales y ventajas competitivas que representa el sistema de autorregulación mexicano de protección de datos personales.

Por Cédric Laurant y Luis Ángel Rodríguez Alemán

(Agradecimientos a Korina Velázquez por su contribución en la edición de este artículo.)

(Este artículo fue publicado también en la revista en línea informationweek.com.mx en 2 partes: 1ra parte: “Autorregulación y protección de datos: ¿cómo sacar ventajas competitivas?” (25 marzo 2014) y 2da parte: “¿Por qué deberían las empresas IT aprovecharse de la autorregulación?” (3 abril 2014).)

Mexico Implements APEC’s Cross-Border Privacy Rules

Mid-January, the APEC (Asia-Pacific Economic Cooperation), announced that Mexico had become the second formal participant in the APEC’s Cross-Border Privacy Rules (“CBPR”) framework, following in this the United States, which became the first formal participant in July 2012.  (More details at “International: APEC and EU bodies discuss regional interoperability”, Data Guidance, 15 February 2013).  A bit earlier the same month, the Secretaría de Economía, Mexico’s Ministry of Economy, published guidelines on a voluntary self-regulatory certification system (Parámetros para el correcto desarrollo de los esquemas de autorregulación vinculante a que se refiere el artículo 44 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares), as part of implementing the CBPR framework into its national regime.

“US & Mexican Flags” by chrissam42

Here is my take on how I see the APEC’s CBPR system evolving in Mexico in the coming months.  And what could be its potential impact on businesses, and its interoperability with other systems, such as in the United States and the European Union.

How the CBPR framework could be moving forward in the next few months in Mexico is hard to say, but a couple of elements can be taken into account to assess how its implementation process could shape up in Central America’s biggest economy.  Companies can file their applications for binding self-regulatory rules (e.g., codes of conduct, privacy trustmarks, compliance certifications or capacity-building programs) with the IFAI from October 2013.  As to how fast the process could evolve, depends on objective but also subjective elements.

Three main factors may slow down the implementation of the CBPR system in Mexico: an uncertain transitional political landscape, uncertain institutional developments at the country’s data protection authority, and the actual lack of a ‘culture of data protection’ among users and companies

On the ‘half-empty glass’ perspective, I can see three main factors slowing down the implementation of the CBPR system in Mexico:

1. the current uncertain transitional political landscape because of the new political majority that might take away the data protection portfolio from the IFAI’s hands, and either transfer it to another governmental institution (the Ministry of Economy (Secretaría de Economía)? PROFECO (Procuraduría Federal del Consumidor)? Another entity?), or decide to shelve it for the time being;
2. the current uncertain institutional developments at the IFAI, the authority in charge of enforcing the data protection law and the CBPR’s certification mechanism, due to recent intestine disputes among its commissioners and a possibility for all their commissioners to be replaced; and
3. the actual lack of a ‘culture of data protection’ among users or consumers (data subjects) and companies (data controllers), which is a factor that will take years to improve.  Many companies are still not aware of the law and its obligations a year and a half after it became enforceable; users even  less.

All three factors could slow down the path toward the adoption of self-regulatory frameworks by companies doing business in Mexico.  Indeed, few Mexican companies have incentives to adopt self-regulatory schemes as data subjects’ level of awareness about their data protection rights is very low and the Mexican data protection authority has until now been focussing most its efforts on awareness rather than enforcement.

Being an optimist, I would see the glass ‘half-full’ and bet on three factors to influence the take off of the CBPR certification system in Mexico

Being an optimist, I would see the glass ‘half-full’ and bet on these three factors to influence the take off of the CBPR certification system in Mexico:

1. the willingness the Mexican Ministry of Economy (Secretaría de Economía) has demonstrated thus far to use the CBPR system to promote e-commerce between Mexico and neighbouring countries – the United States in the first place – and brandish the country as a top destination for the IT offshoring industry;
2. chambers of commerce, trade associations, and their member companies could see the potential of the CBPR system to enhance commercial relationships between Mexico and foreign countries, the United States in the first place; then
3. the speed at which Mexican subsidiaries of US companies embrace the new rules for their Mexico-United States transborder data flows could have a positive impact on its adoption by Mexican companies doing business with the US.

The impact of the CBPR’s on Mexican and US businesses is minimal as complying with the Mexican binding self-regulatory parameters is only voluntary.  However, should those companies, especially foreign ones, wish to implement them, it could help them do business in the country by positioning themselves as early adopters and using it as a competitive advantage in the local market.  Impact on businesses also depends on the company that must comply with the new rules: if the company is from the United States and already doing business with Mexico, complying with the rules may only require it to have their current self-regulatory framework  approved by a Mexican “certifier” (the equivalent to the “Accountability Agent” in the APEC’s CBPR system) as complying with the Mexican data protection law – starting in Oct. 2013.  With respect to Mexican companies, the learning curve will be much higher as many local companies, unless they already operate globally, do not have yet a self-regulatory framework in place, and it will probably cost them more to adapt to the new rules than their US counterparts.

As to how the Mexican version of the APEC’s CBPR’s may become interoperable with other systems is too early to assess.  It will depend on how the system is actually implemented later this year, and enforced in practice by the IFAI.  Recent discussions between European data protection authorities, their US counterparts and the International Chamber of Commerce have shown interest in making the CBPR system interoperable with the EU’s Binding Corporate Rules (“BCR’s”).  In the case of Mexico, if EU authorities had to decide whether binding self-regulatory rules of Mexico-based companies are considered compatible with BCR’s, their decision would depend on a number of factors, the strongest of which is the relative similarity between its data protection framework and the one of the EU data protection directives and the OECD Privacy Guidelines.

How the Mexican-US CBPR model will develop will prove to be a test case that could influence how other APEC economies might want to implement the CBPR system into their own national data protection legal framework.

Nueva “Guía de Privacidad para Hispanohablantes 2012”

Cedric Laurant Consulting y Privacy International se complacen en presentar la Guía de Privacidad para Hispanohablantes 2012.

Este documento es una traducción del inglés al español de una selección de las partes más relevantes y más actuales de dos informes: la ultima edición de Privacy & Human Rights 2006 (Privacidad y Derechos Humanos 2006) y European Privacy and Human Rights 2010 (Privacidad y Derechos Humanos en Europa 2010).

Privacy & Human Rights es un informe anual publicado por el Electronic Privacy Information Center (EPIC) y Privacy International que proporciona una vista general de temas claves de privacidad y protección de datos y revisa el estado de la privacidad en más de 75 países alrededor del mundo. El informe resume las protecciones legales, nuevos desafíos, los asuntos y los acontecimientos importantes que relacionan a la protección de la intimidad y datos. Publicada anualmente desde 1998, esta investigación ha llegado a ser el análisis más completo sobre la intimidad global jamás antes publicado.

European Privacy and Human Rights 2010 es un proyecto realizado en el año 2010 por Privacy International, EPIC y el Centro de Medios de Comunicación y Ciencias de la Comunicación (CMCS) de la Central European University (CEU) de Budapest en Hungría, financiado por el Programa Especial “Derechos Fundamentales y Ciudadanía” de la Comisión Europea (2007-2013).

La Guía de Privacidad para Hispanohablantes 2012 incluye los capítulos siguientes:

• Información general sobre privacidad (definición, facetas, modelos de protección, derecho a la privacidad, evolución de la protección de datos, supervisión y comisionados de privacidad y protección de datos, etc.)
• Temas sobre privacidad (sistemas de identificación y cédulas de identidad, privacidad en el centro laboral, sitios de redes sociales y comunidades virtuales, vigilancia de las comunicaciones, autenticación y revelación de la identidad, registros públicos)
• Privacidad y Derechos Humanos en Europa 2010 (hallazgos principales, investigación y análisis, criterios e indicadores, resultados y metodología)
• Unión Europea
• España
• Anexo: fuentes sobre privacidad.

Guía de Privacidad para Hispanohablantes 2012 [pdf – 6,5 MB]

Guía de Privacidad para Hispanohablantes 2012