Autorregulación y protección de datos: ¿cómo sacar ventajas competitivas para su empresa?

A continuación se explica cómo el nuevo marco de autorregulación en materia de Protección de Datos Personales en México puede representar una ventaja competitiva para las empresas de tecnologías de la información (TI) “proactivas” del país.  Asimismo se disipan algunas de las dudas más frecuentes que las empresas tienen al intentar comprender  este nuevo entorno.

Antecedentes: ¿Cuáles son las nuevas reglas del juego?

Desde hace unos años, la Secretaría de Economía promueve a México en el extranjero como un destino de primera importancia para la subcontratación internacional de servicios de TI (IT offshoring).  Una de sus estrategias ha sido involucrarse en las negociaciones de reglas internacionales que promueven los flujos transfronterizos de datos personales, conocidas como reglas transfronterizas de privacidad (CBPR, o “cross-border privacy rules” en inglés) de la Cooperación Económica Asia Pacífico (APEC).  Esta estrategia debería contribuir a incrementar el comercio electrónico entre México y los países de la región Asia Pacífico, empezando por los Estados Unidos; así como para que empresas de esa región consideren a nuestro país como idóneo para realizar subcontrataciones internacionales de servicios de TI y hacer inversiones de capital.

Frank Bonilla: “Flow III”.

Asimismo, la Secretaría tiene, por ley, que dedicarse a fomentar las mejores prácticas comerciales entre las empresas privadas, a promover el desarrollo de las tecnologías de la información y a sensibilizar al público sobre la protección de los datos personales.

La autorregulación permite a las empresas cumplir de manera “flexible” con el marco legal de protección de datos.

Para ello durante el 2013, La Secretaría de Economía y el Instituto Federal de Acceso a la Información y Protección de Datos Personales (IFAI) se dieron a la tarea de publicar diversos documentos que establecen el funcionamiento de la autorregulación en materia de protección de datos personales en nuestro país:

• La Secretaría de Economía publicó en enero 2013 los “Parámetros para el correcto desarrollo de los esquemas de autorregulación vinculante” que establece el nuevo marco de autorregulación que las empresas con actividades en México tienen la opción de seguir para elegir la forma en que pueden demostrar su cumplimiento con el marco jurídico de la protección de datos personales y la forma en como va a operarse la autorregulación entre sus actores: responsables de tratamiento, certificadores y entidades de acreditación.

• El IFAI, como autoridad a cargo de aplicar la legislación federal de datos personales, detalló las reglas sobre el funcionamiento del Registro de Esquemas de Autorregulación en las “Reglas de Operación del Registro de Esquemas de Autorregulación Vinculante (“EAVs”) en Materia de Protección de Datos Personales”.  El documento establece también las reglas aplicables al trámite del registro con el IFAI de entidades de acreditación, de certificadores y de EAVs.  Además, explica la información que tiene que incluir cada registro y su función: hacer públicas las características principales y enfoque de cada EAV, de su empresa promotora y del certificador.

• Como segundo paso, el IFAI tiene ahora por misión de activar ese Registro para que pueda efectivamente empezar a recibir solicitudes de entidades de acreditación, de certificadores y de responsables de tratamiento.  Pero, sigue sin funcionar por el momento.

Interrogantes de las empresas

La nueva normatividad de autorregulación está provocando muchas dudas en el sector empresarial.  Y gran parte de las inquietudes se deben a que desconocen cómo pueden usarla a su favor.  Por eso aquí se presentan algunas de las interrogantes más comunes, y se presentan algunas posibles explicaciones:

• ¿Vale la pena preocuparse por la “autorregulación”?

• ¿Qué son y para qué sirven los “esquemas de autorregulación vinculante”? ¿Cómo permiten a las empresas realmente autorregularse?

• ¿Es obligatorio? ¿Por qué comprometerse a algo que la ley no obliga a hacer?

• ¿Cómo puede beneficiar a mi empresa? ¿Vale la pena la inversión?

• ¿Cuál es el presupuesto requerido? ¿Sólo es relevante para grandes empresas o PYMES también?

• ¿Qué es lo que se debería hacer primero para sacar adelante un proyecto de esquema de autorregulación vinculante en su empresa?

• ¿Qué tipo de esquema de autorregulación mi empresa debería elegir?

Las respuestas

Aquí se presentan algunas reflexiones que pueden ayudar a dar claridad en el tema.

¿Autorregulación o corregulación?

Es importante señalar que, en el ámbito de la protección de datos, lo que en México se denomina “autorregulación” más bien debería llamarse “corregulación”, ya que las empresas no establecen para si mismas las reglas, sino que tienen que adaptar las de la ley existente a su propio entorno.  Así, la corregulación se entiende como la técnica que combina medidas legislativas y reglamentarias vinculantes y medidas adoptadas por los agentes más interesados sobre la base de su experiencia práctica, teniendo como resultado que esos agentes se pueden mejor identificar con las medidas en cuestión, gracias a la implicación de los que podrían resultar más afectados por la aplicación de las normas y su ejecución.  La corregulación se puede hacer insertando en una ley un marco de objetivos generales, mecanismos de aplicación y recursos, así como  condiciones de control del cumplimiento.  La corregulación pretende mejorar la responsabilidad y participación de las empresas o individuos en lo que se trata de cumplir.  Es precisamente la herramienta de la corregulación que previó el Congreso de la Unión en el 2010 en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), promoviendo la participación y responsabilidad de los sujetos obligados a cumplir con el marco legal de protección de datos.

Autorregulación, comercio internacional y flexibilidad

Cabe señalar que los EAVs fueron concebidos para varios propósitos.  El principal es para que las empresas establecidas en México puedan cumplir de manera “más flexible” con la legislación de protección de datos personales, y en particular cuando se trata de adaptarla a sectores industriales que son diferentes.  (Por ejemplo, el sector agroalimentario, bancario o farmacéutico no es igual al sector de la industria de TI.)

Otros dos de los propósitos principales tienen que ver con el fomento del desarrollo del comercio a nivel internacional:

• para que empresas en México y en el extranjero puedan transferirse datos personales, sin tener que firmar contratos de transferencia de datos por cada flujo transfronterizo; y

• para favorecer el comercio internacional en la región de Asia Pacífico, facilitando el cumplimiento por compañías extranjeras (y mexicanas con actividades de negocio fuera de México) con el marco legal mexicano: esas empresas tienen la opción de usar sus propios modelos de cumplimiento con respecto a la ley mexicana mediante las “Reglas de Privacidad Transfronterizas” (cross-border privacy rules, o “CBPRs”) del Marco de Privacidad de la APEC para manejar sus transferencias internacionales de datos con más facilidad.

Registrar un esquema de autorregulación promueve la rendición de cuentas en el tratamiento de los datos por su empresa.

Mejor dicho: México está implementando las Reglas de Privacidad Transfronterizas de la APEC para fomentar las relaciones comerciales con sus vecinos dentro de la región, pero sin que se pierda el nivel de protección de datos personales que se haya logrado a nivel nacional y, para permitir que continúen los flujos de datos en la región, mientras se adecuan esos flujos con los diferentes marcos jurídicos de cada una de las economías.  De hecho, hace un año, la Secretaría de Economía anunció que México se había convertido en el segundo participante formal en el marco de las Reglas de Privacidad Transfronterizas (sólo después de Estados Unidos en julio de 2012).

¿Es obligatorio establecer esquemas de certificación de autorregulación vinculante?

Simplificando lo que implica el nuevo sistema de autorregulación para las empresas de TI en México, podemos decir que hay dos maneras – complementarias, no alternativas – de cumplir ahora con el marco legal de protección de datos: asegurándose de seguir la ley o, cumplir con ella, mediante la adopción, puramente voluntaria, de EAVs.  Aunque sea voluntaria la decisión de adoptar o no uno de esos esquemas, una vez que se haya comprometido la empresa a seguirlo, el esquema se volverá “vinculante” y tendrá que responder por cualquier violación del que se haga responsable.

Si no, ¿por qué comprometerse a algo que la ley no obliga a hacer?

La ventaja de cumplir con su propio esquema autorregulatorio vinculante es que la empresa será capaz de demostrar al IFAI que no sólo cumple con la letra de la ley, sino también con su espíritu.  La propia ley, la llamada “LFPDPPP”, es considerada como el estándar mínimo con el que tienen que cumplir las empresas.  Cada sector industrial, como el de las TI, tendría que adaptar esa ley a los requerimientos implicados por las características de su propio sector.  Una manera flexible de hacerlo es de aprovecharse de esos EAVs para darse a si mismo, como empresa o sector industrial, las reglas que son la consecuencia lógica de las obligaciones del marco legal de protección de datos aplicables a su propia empresa o sector industrial.  El IFAI ha declarado varias veces que podrían ser promulgadas nuevas regulaciones, específicas a cada sector, si las empresas no llegaran a usar los EAVs para autorregularse.

Otro factor a tener en cuenta es que desde el 2013 se ha incrementado el número de sanciones emitidas por el IFAI: durante el año pasado, el IFAI impuso multas de casi 57 millones de pesos contra particulares, empresas y personas físicas, que no cumplieron la Ley.

Los principales objetivos de los esquemas de autorregulación vinculante

Los Parámetros permiten a las empresas demostrar de manera preventiva al IFAI que cumplen con el marco legal, de obtener el reconocimiento ad hoc y de hacerlo saber a todos sus clientes, empleados, consumidores, y al público en general.

La implementación y el registro de esquemas de autorregulación vinculante en su empresa podrá beneficiarla de varias maneras.  Una de ellas es la reducción de las sanciones eventuales del IFAI contra su empresa.

También permiten adaptar y complementar lo que la ley prescribe a su propia industria o sector; motivan a las empresas a obtener reconocimiento preventivo mediante certificaciones que demuestran el cumplimiento idóneo con la ley; promueven el principio de responsabilidad por el cual empresas pueden mostrar a la autoridad, el IFAI, que cumplen en los hechos y lo pueden comprobar con la implementación de varias medidas y metodología internas y su documentación.  Además, los Parámetros fomentan el uso por las empresas de mecanismos destinados a implementar sus políticas de privacidad, asegurar una supervisión interna continua, llevar a cabo evaluaciones de riesgo preventivas, procesos de auditorías externas e internas y sistemas de remediación.  Finalmente, puedan dar a conocer los EAVs al público mediante su inscripción en un registro público administrado por el IFAI.

¿Qué es lo que se debería hacer primero para sacar adelante un proyecto de esquema de autorregulación vinculante en mi empresa? ¿Cuáles tipos de esquema de autorregulación una empresa debería eligir?

Los Parámetros permiten y motivan a las empresas del sector TI a desarrollar varias aplicaciones, estrategias o metodologías de cumplimiento que les van a ayudar a adecuar sus procesos operativos a los requerimientos del marco legal.  Para hacerlo, pueden elaborar “EAVs”, los cuales pueden ser tan diversos como códigos de conducta, políticas empresariales de privacidad a nivel interno, normas corporativas vinculantes (en inglés “binding corporate rules”), programas de capacitación, sellos de confianza o metodologías de adecuación a la LFPDPPP, que son tantas maneras de cumplir más flexiblemente con la ley.  Un ejemplo de normas corporativas vinculantes son las que usan empresas multinacionales para regular todos los tratamientos que se hacen dentro de la misma empresa y todas sus filiales sin importar su ubicación en el mundo mientras ejemplos de metodologías de adecuación incluyen los estandares internacionales, como ISO 29100 o 27001, y los modelos de madurez de protección de datos que evalúan  el nivel de protección de los tratamientos de datos personales en cada nivel de los procesos operativos de una empresa.

En una secunda etapa, podrán tratar de conseguir un reconocimiento por el IFAI de que sus EAVs cumplen efectivamente con el marco legal, a través de un procedimiento de registro público y, de manera facultativa, vía un proceso de certificación.

¿Por qué deberían las empresas de TI aprovecharse de la oportunidad de la autorregulación?

¿Qué beneficios tienen los EAVs? Para incentivar el uso por las empresas de los EAVs, el Reglamento de la LFPDPPP prevé que el IFAI podría atenuar las multas que llegara a imponer a las empresas que hayan registrado EAVs.

El registro de un esquema de autorregulación realzará la buena reputación de su negocio con clientes, prospectos, usuarios y proveedores.

De igual manera, el IFAI podría facilitar algunos de los procesos administrativos con los que tuvieran que cumplir esas mismas empresas.

Frank Bonilla: “Flow I”.

Los EAVs ofrecen también un mecanismo mediante el cual empresas pueden documentar y registrar su cumplimiento con el IFAI, y mostrarlo a sus clientes, prospectos, proveedores, clientes o usuarios, lo cual les ayudarán seguramente a realzar su reputación con ellos y generarles confianza y buena imagen.  Estos EAVs facilitan igualmente las transferencias de datos personales a empresas terceras, en, o fuera de, México, y permite utilizar mecanismos de resolución alternativa de conflictos, lo que podría ahorrar en gastos de litigio.

Los actores de la certificación

En los Parámetros se diseña un marco de 4 niveles en el que el IFAI es la autoridad principal; siguen las entidades de acreditación, después los certificadores y, finalmente, los responsables de tratamiento (ver figura abajo).

Esquema de certificación en cuatro niveles

En ese marco, el papel del IFAI es de verificar el nivel de cumplimiento de los EAVs con el marco legal aplicable, de registrar los EAVs en un registro público y de acreditar a las entidades de acreditación. También tiene el poder de validar las herramientas de evaluación y los procedimientos de acreditación.  El papel principal de las entidades de acreditación es de acreditar a los certificadores y verificar su trabajo, mientras el rol de los certificadores es de certificar que los EAVs propuestos e implementados por responsables de tratamiento de datos personales cumplen con el marco legal y de otorgarles el certificado.

¿Próximos pasos?

El IFAI tenía que iniciar la recepción de solicitudes de empresas que deseen convertirse en entidades de acreditación desde el final del mes de octubre del año pasado. Fue postergado hasta enero de este año y, nuevamente, no se sabe todavía cuando será eligida la primera entidad de acreditación ni cuando podrán solicitar empresas la revisión y registro de sus EAVs, lo cual debería empezar tres meses después de que haya sido eligida la entidad de acreditación.

Esperamos que, con esta contribución, las empresas de TI tengan más información útil sobre las oportunidades comerciales y ventajas competitivas que representa el sistema de autorregulación mexicano de protección de datos personales.

Por Cédric Laurant y Luis Ángel Rodríguez Alemán

(Agradecimientos a Korina Velázquez por su contribución en la edición de este artículo.)

(Este artículo fue publicado también en la revista en línea informationweek.com.mx en 2 partes: 1ra parte: “Autorregulación y protección de datos: ¿cómo sacar ventajas competitivas?” (25 marzo 2014) y 2da parte: “¿Por qué deberían las empresas IT aprovecharse de la autorregulación?” (3 abril 2014).)