En el marco legal mexicano en materia de protección de datos personales existen dos tipos de certificaciones:
- La certificación para las organizaciones a través de certificar sus esquemas de cumplimiento en materia de protección de datos personales.
- La certificación de personas que aún se encuentra en proceso su desarrollo.
La certificación en materia de protección de datos personales es una forma de demostrar cumplimiento con la normativa en la materia.
Certificación para las organizaciones
Te platicaré primero sobre las certificaciones para las organizaciones, estás pueden ser adoptadas por responsables o encargados de los sectores privado y público.
Sector Privado
Para el sector privado las organizaciones deben adoptar un esquema de autorregulación vinculante de los cuales ya te he platicado en otras entradas y que consiste en el conjunto de principios, normas y procedimientos, de adopción voluntaria y cumplimiento vinculante, que tiene finalidad regular el comportamiento de los responsables y encargados respecto a los tratamientos de datos personales que lleven a cabo.
Existen 4 tipos de esquemas de autorregulación vinculante que son:
- Las reglas emitidas
- Los esquemas de autorregulación vinculante evaluados y validados por el INAI.
- Los esquemas internacionales
- Los esquemas de autorregulación vinculante certificados por un organismo de certificación.
En el caso particular de los esquemas de autorregulación vinculante certificados por un organismo, la organización requiere una vez que está implementado el esquema, pasar por un proceso de auditoría a cargo de un organismo de certificación, acreditado por una entidad de acreditación y reconocido por el INAI (consulta los organismos reconocidos).
Para que un esquema sea validado por el INAI o cuente con una certificación reconocida, la organización deberá desarrollar e implementar un Sistema de Gestión de Datos Personales y cumplir con lo establecido en los numerales 14-37 de los Parámetros de Autorregulación Vinculante.
La vigencia de la certificación es de 2 años con una revisión de vigilancia al primer año.
Las organizaciones que cuentan con esquemas certificados y reconocidos por el INAI pueden ser consultadas en el Registro de Esquemas de Autorregulación Vinculante (REA).
Adicionalmente el INAI proporciona a las organizaciones que cuentan con cualquiera de los 4 tipos de esquemas de autorregulación el logotipo REA INAI que fue desarrollado por el Instituto para contar con un distintivo que permitiera identificar a entidades de acreditación, organismos de certificación y esquemas de autorregulación inscritos en el REA.
Para orientar a los responsables y encargados sobre la implementación de estos esquemas, el INAI ha publicado una guía que presenta los requisitos y trámites que son requeridos.
Sector Público
En el sector público existen los esquemas de mejores prácticas que consisten en el conjunto de acciones, reglas, criterios y procedimientos que se establecen con la finalidad de elevar el nivel de protección de los datos personales, armonizar el tratamiento, facilitar el ejercicio de derechos ARCO, facilitar las transferencias, complementar disposiciones de la normativa, demostrar cumplimiento.
Existen 3 tipos de esquemas de mejores prácticas que son:
- Las reglas para adaptar la normativa de datos personales en sectores específicos, validados por el Instituto.
- Sistemas de Gestión validados por el Instituto (auditados a través de una auditoría voluntaria, sin no conformidades y con un alcance normativo total).
- Esquemas de mejores prácticas, sistemas de gestión y productos o servicios tecnológicos de tratamiento de datos personales, certificados por un organismo de certificación los cuales serán reconocidos por el Instituto y los Órganos Garantes.
En la certificación de esquemas de mejores prácticas intervienen diversos actores del sector público la Secretaría de Economía, el INAI y los Órganos Garantes.
La vigencia de la certificación es de 2 años y similar al sector privado se cuenta con el Registro de Esquemas de Mejores Prácticas.
Recientemente fue publicado el documento El ABC de los esquemas de mejores prácticas en materia de protección de datos personales el cual tiene como objetivo orientar a los responsables o encargados del ámbito federal, estatal y municipal, ya sea cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos para la implementación de esquemas de mejores prácticas.
Certificación de personas
La certificación de personas en materia de protección de datos personales para el sector público estará a cargo del INAI quien será el propietario del esquema de certificación.
El esquema de certificación está dirigido a las personas que quieran desempeñarse como oficial de protección de datos en un sujeto obligado y/o tenga interés de validar sus competencias en materia de protección de datos para el sector público sin embargo, cualquier persona que acredite los conocimientos y competencias y cumpla con los requisitos establecidos en el esquema de certificación podrá certificarse.
Esta certificación toma como referencia el estándar internacional ISO/IEC 17024 y estará diseñado para certificar a las personas físicas que acrediten los requisitos, competencias y cualificaciones del esquema de certificación que emita el INAI, con el fin de validar los conocimientos y competencias de las personas en materia de protección de datos personales para el sector público.
Los criterios del esquema de certificación de personas en materia de protección de datos personales serán determinados por el INAI y contemplarán al menos:
- Requisitos, competencias y cualificaciones requeridas para la certificación.
- Funciones de los actores del esquema de certificación.
- Proceso, método y criterios de evaluación.
- Proceso de certificación de personas.
- Emisión, renovación y suspensión de certificados.
- Derechos y obligaciones de las personas certificadas.
- Uso del logotipo, y en su caso, marca del esquema de certificación.
- Gestión de quejas y reclamaciones.
- Seguimiento y supervisión del esquema de certificación.
- Registro de personas certificadas.
- Procedimiento de cancelación, revocación y/o suspensión de certificaciones.
- Procedimiento de aplicación de sanciones por incumplimiento a los criterios.
Para más información sobre el tema puedes consultar los siguientes documentos:
Miriam Padilla Espinosa
MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa
Ponte en contacto conmigo.