El tema de la protección de datos personales cobra especial relevancia en medio de un entorno digital. Decenas de empresas y plataformas poseen datos de millones de usuarios, incluso sin que éstos sean del todo conscientes de ello. Esto abre una importante conversación sobre el papel de la RSE frente a los datos personales.
En México todas las empresas, organizaciones y personas físicas están obligadas a cumplir con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Sin embargo esta misma ley, establece una opción para que los responsables de la protección de datos, es decir las empresas, adopten de forma voluntaria un Esquema de Autorregulación Vinculante.
Dicho esquema de autorregulación vinculante está integrado por un conjunto de principios, normas y procedimientos que la organización determina, con base en sus necesidades y requisitos específicos, y que por su operación o sector deba incluir.
El Instituto Nacional de Acceso a la Información y Protección de Datos (INAI) reconoce a la organización Normalización y Certificación Electrónica, S.C. (NYCE), como un organismo facultado para la certificación de un esquema de autorregulación vinculante.
Las empresas que desean obtener dicho certificado deben atravesar un proceso de dos fases:
- Una revisión documental.
- Una auditoría en sitio para verificar el cumplimiento de lo establecido en los documentos.
Empresas certificadas en protección de datos personales
Al día de hoy, el Registro de Esquemas de Autorregulación Vinculante (REAV) publicado por el INAI, reconoce un total de 33 registros, de los cuales dos aparecen cancelados, las entidades a las que pertenecen se desconocen.
La lista de registros vigentes, sin embargo, la encabeza Telefónica, que desde 2015 obtuvo la certificación NYCE en materia de protección de datos. La empresa figura como una de las dos únicas operadoras móviles en el listado.
Esta certificación fue otorgada por la decisión de adoptar un esquema de autorregulación vinculante para el tratamiento de datos personales, de conformidad con los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.
Nuestro objetivo como Empresa Socialmente Responsable es garantizar siempre la privacidad y seguridad de los datos de nuestros clientes, conscientes de que en un mundo cada vez más digital es imprescindible que las personas tengan certeza del tratamiento que damos a sus datos, asegurando que son privados, están seguros y son gestionados de forma transparente.
Como parte de este compromiso con la responsabilidad social Telefónica México voluntariamente decidió implementar un esquema de autorregulación. Mismo que consiste en una autoimposición de reglas más altas de las que señala la ley y objetivos más específicos, atendiendo al sector al que pertenecen.
NYCE revisa ese esquema y si está correctamente implementado y funcionando entrega la certificación; misma que fue rectificada en 2017 luego de una auditoría de vigilancia.
Adicionalmente, la empresa comparte con los usuarios la preocupación por proteger sus datos personales, por lo que a través de programas como Conciencia Movistar, enseña especialmente a niños y niñas cómo pueden proteger ellos mismos su información en la web.
Reglas de certificación impuestas por NYCE
Según las propias reglas de NYCE, las empresas que aspiran a esta certificación deberán:
Otorgar
• Cumplir con los requisitos establecidos para cada tipo de certificación.
• Aprobar de forma satisfactoria el proceso de certificación.
• Tener firmado el Contrato de Prestación de servicios y el Reglamento de uso de marca.
Mantener
• Atender las vigilancias establecidas para el tipo de certificación.
• Mantener las condiciones iniciales del tipo de certificación y en su caso atender las recomendaciones y no conformidades que NYCE registre.
• Cumplir con las condiciones contractuales establecidas.
Renovar
• Atender la notificación de NYCE para programar la auditoría para la renovación antes del vencimiento de la certificación.
• Aprobar de forma satisfactoria el proceso de certificación.
• Firmar nuevamente el Contrato de Prestación de servicios y el Reglamento de uso de marca
Ampliar/ Actualizar el Alcance de la Certificación
• Presentar la solicitud y el levantamiento de información donde se especifique la ampliación o actualización del alcance de la certificación.
• Llevar a cabo una auditoría para poder dictaminar respecto a la solicitud presentada. La auditoría podrá realizarse en forma documental y en caso de ser procedente se realizará en sitio.
• Continuar con el proceso de certificación.