Parámetros para el correcto desarrollo de los esquemas de autorregulación vinculante en materia de Protección de Datos en México

El pasado 17 de Enero del presente, la Secretaría de Economía publicó en el Diario Oficial de la Federación los Parámetros para el correcto desarrollo de los esquemas de autorregulación vinculante a que se refiere el Artículo 44 de la Ley Federal de Proteccion de Datos en Posesión de los Particulares cuyo objeto es establecer reglas, criterios y procedimientos para el correcto desarrollo e implementación de esquemas de autorregulación vinculante en materia de protección de datos personales, a los que se refieren los artículos 44 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, y 79, 80, 81, 82, 83, 84, 85 y 86 de su Reglamento.

Los parámetros están conformados de cinco capítulos con un total de ochenta y un cláusulas y tres artículos transitorios y su propósito es regular la figura de los certificadores que pueden ser personas físicas o morales acreditada por una entidad de acreditación que tienen por objeto emitir certificados que determinen la conformidad de tratamientos, políticas, programas y procedimientos relacionados con la protección de datos personales, implementados por los responsables y encargados así como la implementación de estándares y mejores prácticas en la materia.

De acuerdo con la cláusula segunda, estos parámetros son de observancia obligatoria en toda la República Mexicana para la validación y reconocimiento del IFAI, de los esquemas de autorregulación vinculante en materia de protección de datos personales, que desarrollen o promuevan personas físicas o morales.

La cláusula sexta establece los objetivos específicos de los esquemas de autorregulación vinculante que son:

I. Coadyuvar al cumplimiento del principio de responsabilidad al que refiere la Ley y el Reglamento;

II. Establecer procesos y prácticas cualitativos en el ámbito de la protección de datos personales que complementen lo dispuesto en la Ley;

III. Fomentar que los responsables establezcan políticas, procesos y buenas prácticas para el cumplimiento de los principios de protección de datos personales, garantizando la privacidad y confidencialidad de la información personal que esté en su posesión;

IV. Promover que los responsables de manera voluntaria cuenten con constancias o certificaciones sobre el cumplimiento de lo establecido en la Ley, y mostrar a los titulares su compromiso con la protección de datos personales;

V. Identificar a los responsables que cuenten con políticas de privacidad alineadas al cumplimiento de los principios y derechos previstos en la Ley, así como de competencia laboral para el debido cumplimiento de sus obligaciones en la materia;

VI. Facilitar la coordinación entre los distintos esquemas de autorregulación reconocidos internacionalmente;

VII. Facilitar las transferencias con responsables o terceros que cuenten con esquemas de autorregulación como Puerto seguro;

VIII. Promover el compromiso de los responsables con la rendición de cuentas y adopción de políticas internas consistentes con criterios externos, así como para auspiciar mecanismos para implementar políticas de privacidad, incluyendo herramientas, transparencia, supervisión interna continua, evaluaciones de riesgo, revisiones externas y sistemas de remediación, y

IX. Encauzar mecanismos alternativos de solución de controversias entre responsables, titulares y terceras personas, como son la negociación, la conciliación y la mediación, entre otros.

La clausula décima establece que los esquemas de autorregulación vinculante pueden traducirse en códigos deontológicos, códigos de buenas prácticas profesionales, políticas de privacidad, reglas de privacidad corporativas, sellos de confianza y certificaciones, entre otros, en términos del artículo 44 de la Ley y 80 del Reglamento.

Los parámetros contienen disposiciones relacionadas con los principios aplicables a la autorregulación vinculante; normas oficiales mexicanas y normas mexicanas; contenido de los esquemas; sistema de supervisión y vigilancia;  consecuencias y medidas coercitivas; mecanismos alternativos de solución de controversias; sistemas de certificación; procedimientos para la autorización a entidades acreditadoras; obligaciones y procedimientos para certificadores; obligaciones de notificación de esquemas de autorregulación vinculante entre otras.

De conformidad por lo dispuesto en el artículo segundo transitorio, las reglas de operación y funcionamiento del registro a que se refiere el parámetro Octogésimo, en el que se inscribirán los esquemas de autorregulación vinculante que cumplan con lo dispuesto en la Ley, el Reglamento y los Parámetros, serán publicadas por el IFAI a más tardar dentro de los seis meses siguientes a la entrada en vigor de los Parámetros.

El artículo tercero transitorio señala que IFAI comenzará a dar trámite a las solicitudes de inscripción de esquemas de autorregulación vinculante en el registro y a las solicitudes de autorización para entidades de acreditación a los nueve meses siguientes a la entrada en vigor de los Parámetros.