Para la implementación de cualquier programa de protección de datos personales es necesario contar con declaraciones de alto nivel, en donde se definan y manifiesten los principios, deberes y obligaciones en materia de protección de datos personales, para ello surge la necesidad y se establece como una obligación en la mayoría de los marcos legales en materia de protección de datos personales contar con una política de gestión de datos personales.
Por su parte el Reglamento General de Protección de Datos en su artículo 24 apartado 2 incluye la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
En México el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) en el artículo 48 fracción I establece como medida para cumplir con el principio de responsabilidad la posibilidad de que el responsable elabore políticas y programas de privacidad obligatorios y exigibles al interior de la organización.
En el caso de los Esquemas de Autorregulación Vinculante para el sector privado, los Párámetros de Autorregulación en materia de Protección de Datos Personles en el numeral 18 establece como parte de los elementos con los que debe cumplir cualquier esquema, la elaboración de una política de gestión de datos que incluya por lo menos, los tratamientos a los que aplica, las acciones para cumplir con los principios, deberes y obligaciones, las acciones para el desarrollo, implementación, mantenimiento y mejora continua del Sistema de Gestión de Datos Personales y las buenas prácticas que el responsable decida utilizar.
Para el sector público, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, establece en el artículo 33, fracción I, la obligación para los responsables de crear políticas internas para la gestión y tratamiento de los datos personales, las cuales deberán tomar en cuenta el contexto del tratamiento.
Por su parte los Lineamientos Generales de Protección de Datos Personales para el Sector Público, mencionan en el artículo 56 los elementos mínimos que deben considerarse en las políticas internas de gestión y tratamiento de datos personales, como son el cumplimiento con principios, deberes y obligaciones, los roles y responsabilidades, las sanciones en caso de incumplimiento, la identificación del ciclo de vida de los datos personales, el proceso para el establecimiento, actualización, monitoreo y revisión de los mecanismos y medidas de seguridad, así como el proceso de atención a los derechos ARCO.
En el siguiente episodio de TodoPDPodcast te platico a detalle sobre los elementos principales que no pueden faltar en una política de gestión de datos personales y que podrás encontrar en la siguiente infografía.
Miriam Padilla Espinosa
MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa
Ponte en contacto conmigo.