Aspectos que garantizan cumplimiento de la Ley de Protección de Datos
León Weinstok lweinstok@blplegal.com | Lunes 05 febrero, 2018
Recientemente se celebró el día internacional de la Protección de Datos -28 de enero-, por lo que cabe analizar qué tipo de acciones deben realizar las empresas para cumplir con lo establecido en la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (“Ley de Datos”) para el manejo de los datos personales de sus clientes, colaboradores, entre otros.
En caso de que una empresa maneje una base de datos personales y no tenga debidamente establecida la respuesta a las siguientes preguntas, se puede exponer a reclamos e inconformidades de sus clientes, así como eventuales sanciones cuyo monto promedio en el 2017 fue de más de US$ 10,000:
¿Cómo debo solicitar los datos personales?
Al momento de solicitar la información, se debe obtener el consentimiento informado por parte de las personas que brindan sus datos personales, el cual debe obtenerse de forma libre, expresa e inequívoca y contener la información mínima que según la Ley de Datos se debe incluir. Ese contenido mínimo implica informar sobre la existencia de la base de datos, los fines que se persiguen con dicha información, la obligatoriedad o no de facilitar los datos, identificación de la empresa que recopila la información, usos que se le darían a los datos, forma de ejercer los derechos que otorga la Ley de Datos, así como la dirección y la identidad del responsable de la base de datos.
¿Cuáles derechos debo reconocer?
En todo momento, por los medios que sean razonables y similares a la forma en la cual se solicitó la información, se le debe permitir a las personas conocer la información que se tiene de ellos, rectificar cualquier dato que desean modificar, así como revocar el consentimiento que hubiesen dado previamente. Estos derechos se pueden ejercer en la información de contacto que debe indicar la empresa que recopile el contenido y deben ser resueltos dentro del plazo de cinco días. Los datos que se manejen deben ser actuales, veraces y se deben adecuar al fin para el cual fueron solicitados.
¿Cómo se debe almacenar la información?
Debe almacenarse de forma segura. La seguridad incluye tanto las medidas físicas del lugar donde se almacena la información, es decir, los controles de acceso, seguridad, entre otros, así como las medidas informáticas de los sistemas cuando la información se almacena de manera digital.
El nivel de seguridad es definido según el tipo de información que se maneje y el riesgo que podría conllevar su divulgación. En este sentido, los datos sensibles (por ejemplo, datos relativos a la salud, la vida y la orientación sexual, entre otros) deben ser almacenados con mayor precaución que los datos personales de acceso irrestricto (definidos como “aquellos datos contenidos en bases de datos públicas de acceso general”)
¿Qué pasa si hay una vulneración de seguridad?
Lo establecido en el Reglamento de la Ley de Datos para estos casos, señala que ante una irregularidad en el manejo de los datos personales, es necesario informar tanto a la Agencia de Protección de datos de los Habitantes (PRODHAB), así como a los titulares de dicha información sobre la naturaleza del incidente, los datos que fueron comprometidos, las acciones tomadas así como el medio por el cual pueden conseguir más información.
¿Cuáles bases de datos se deben registrar?
En caso de que la base de datos se utilice con fines de distribución, difusión y/o comercialización, se debe proceder con el registro de la base de datos ante la PRODHAB de lo contrario, esta institución podría suspender hasta por seis meses el uso de dicha base de datos. Asimismo, en caso de que alguna base de datos no cumpla con dichas condiciones, no deben ser inscritas sin embargo, esto no exime que se deba cumplir con las demás obligaciones establecidas en la Ley de Datos.
Las anteriores consisten en los principales aspectos que se deben regular en el manejo de datos personales. Asimismo, la forma en la que la empresa debe manejar los datos personales por todos los colaboradores de la compañía se debe regular mediante los protocolos mínimos de actuación. Estos protocolos son exigidos por la Ley de Datos a fin de asegurar el manejo adecuado de los datos personales.
Adicionalmente, en caso de que la compañía solicite los datos personales por medio de alguna plataforma digital como redes sociales, páginas web, aplicaciones, entre otras, la Comisión Nacional del Consumidor también podrá conocer y sancionar por eventuales incumplimientos en la Ley de Datos.
León Weinstok
Abogado
BLP
lweinstok@blplegal.com
2205-3900
www.blplegal.com