Siendo nuestros empleados / colaboradores el “eslabón más débil de la cadena de seguridad de la información”, resulta indispensable hablar de manera directa y realista sobre la importancia de su capacitación en materia de protección de datos personales, como elemento necesario para disminuir el riesgo de un incorrecto (e ilegal) tratamiento de los datos personales en posesión de sus empleadores, es decir, los responsables de dicha información.
Recordemos que los artículos 6 y 14 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “LFPD) establecen, respectivamente, que “los responsables en el tratamiento de datos personales, deberán observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley”; y que “el responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por esta Ley, debiendo adoptar las medidas necesarias para su aplicación“.
Por su parte, el artículo 48 del Reglamento de la LFPD, de título “Medidas para el principio de responsabilidad“, establece en su fracción II que entre aquéllas que el responsable podrá adoptar para garantizar el debido tratamiento de los datos personales se encuentra la puesta en práctica de “un programa de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales”.
Al respecto, quiero señalar e ilustrar que la autoridad reguladora de México, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), ha dado y seguirá dando importancia a la capacitación del personal de los responsables, como un elemento de cumplimiento al principio de responsabilidad.
Y es que mientras en otros lares se preparan para las exigencias que el “accountability” traerá consigo, en nuestro país el INAI ya exige a los responsables que acrediten la existencia de programas de capacitación de su personal en materia de protección de datos personales… sin que muchos responsables aún presten atención a esta medida relacionada con la responsabilidad inherente a la posesión y tratamiento de datos personales..
Para ilustrar el punto (y con la debida confidencialidad) comparto ejemplos de requerimientos de información/documentación que hemos recibido por parte del INAI, indagando precisamente sobre la existencia de dicha capacitación:
A más inri, debo indicar que cuando el INAI requiere a los responsables acreditar la capacitación de su personal en materia de protección de datos personales, no lo hace para llevar una mera estadística, sino para resolver sobre el cumplimiento o incumplimiento del principio de responsabilidad, tal y como lo indica en varios de sus considerandos conocidos. Aquí un ejemplo:
Y si los responsables son incapaces de acreditar la capacitación de su personal en la materia, el INAI sancionará por ello, sin lugar a dudas:
Es por lo anterior que la implementación de medidas y acciones de cumplimiento de la normativa de protección de datos personales debe incluir la capacitación y actualización del personal en esta materia, más allá de una serie de cursos esporádicos, puesto que la normativa vigente se refiere a la puesta en práctica de un programa, entendido desde nuestro punto de vista como un “proyecto ordenado de actividades”.
Este programa deberá definirse en función de la naturaleza, tamaño y estructura de los propios responsables, y deberá tomar en cuenta las diversas unidades que tienen acceso a datos personales dentro de la organización responsable, así como la naturaleza de los datos personales tratados y sus diversas finalidades de tratamiento; la permanencia o continua rotación del personal también deberán ser tomadas en cuenta a la hora de definir un programa de capacitación, actualización y concientización en esta materia.
Todo lo anterior, además, con vocación u orientación de servir con evidencia o prueba de la existencia de nuestro programa, y de su puesta en práctica al interior de la entidad responsable de los datos.
Como no puede ser de otra forma en esta materia, deberemos asumir la inexistencia de reglas generales que nos brinden soluciones únicas para definir un programa de capacitación que de manera infalible pueda convencer al INAI de nuestro cumplimiento al respecto; será el análisis de cada caso en concreto y la experiencia y conocimiento de los profesionales a cargo, quienes deberán definir la idoneidad de un programa u otro, así como su periodicidad recomendada y los perfiles de empleados que deban recibir determinada capacitación.
Como resumen a todo lo anterior, podemos concluir, al menos, que:
- Existe un principio de responsabilidad, que todo responsable de datos personales debe cumplir,
- La normativa prevé que una de las medidas para cumplir con dicho principio es la puesta en práctica de programas de capacitación del personal, en materia de protección de datos personales,
- El INAI investiga y verifica la existencia de dichos programas de capacitación.
- El INAI puede sancionar la inexistencia de capacitación al personal con acceso a datos personales; lo ha hecho y seguirá haciéndolo en muchos casos que se le presenten.
- Como responsables (y encargados), debemos asumir dicha obligación y preparar a nuestra organización para adoptar las medidas necesarias que permitan la implementación de programas de capacitación en materia de protección de datos personales.
Hasta el próximo post…
Director del Área de Protección de Datos Personales y Privacidad de BGBG Abogados. Licenciado en Derecho por la Universidad Iberoamericana, Diplomado en Derecho Corporativo por la Universidad Iberoamericana, Máster en Derecho de la Unión Europea por la Universidad Complutense de Madrid y Licenciado en Derecho por la Universidad de Zaragoza (Homologación). Sígueme en Twitter: @HectorGuzmanMx. Blog personal: https://hectorguzmanmx.blog
