PAC: Encargado Regulado de Datos Personales

Jesús Pastrán - ATEB



Se abordarán los principios establecidos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, y su respectivo reglamento con el fin de poder entenderlos e identificar que estén presentes en las soluciones para la emisión, entrega, publicación, almacenamiento y procesamiento de CFDI's por parte de los distintos actores.

De manera enunciativa se define primeramente lo siguiente:

Titular: el dueño de los datos personales, como por ejemplo el nombre, el Registro Federal de Contribuyentes, el sueldo, los datos sobre pensiones alimenticias, incapacidades, entre otros.

Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.

Encargado: la persona física o moral que realiza el tratamiento de los datos personales, pero de acuerdo a las instrucciones del responsable, sin hacer ningún tratamiento adicional. En caso de realizar algún tratamiento que no sea definida por el responsable inicial, entonces toma la figura de responsable también.

Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

Órgano garante: el Instituto Nacional de Acceso a la Información (INAI) que es el responsable de que se cumplan los lineamientos de la ley y se puedan ejercer los derechos de los titulares, además de ser el responsable de verificar y en su caso sancionar a los responsables o encargados cuando se amerite.

La persona Responsable (normalmente el Patrón) del tratamiento de datos personales pertenecientes a una persona identificada o identificable, tendrá que implementar en su sistema de gestión de datos personales, las medidas de seguridad, confidencialidad y privacidad que le permitan garantizar un tratamiento correcto de los datos, dando cumplimiento a su Aviso de Privacidad. Estos responsables normalmente utilizan a uno o varios encargados (empresas que manejan los datos personales de acuerdo a las instrucciones dadas por el Responsable) y que para este artículo somos las empresas PAC.

Los principios a observar por parte de los responsables y encargados son:

a) Licitud, que es el principio que obliga a que cualquier tratamiento de datos personales tenga que hacerse de forma lícita y legítima, siempre con apego a la legislación y respetando la expectativa razonable de privacidad, esto quiere decir, que no exceda de las creencias de privacidad que tiene el titular de los datos.

Este principio vale la pena analizarlo desde dos puntos de vista, el primero que es el recolectar los datos personales para fines lícitos y un segundo que habla sobre la forma lícita de recabarlos.

b) Consentimiento, el cual se basa en tres aspectos, debe ser libre, informado, específico, es decir, el responsable tiene que informar, de manera clara, que el Titular está de acuerdo con lo que se va a hacer con sus datos, pero ¿qué pasa cuando el Aviso de Privacidad es corto o bien es un Aviso Simplificado? No podemos sostener de manera absoluta que el consentimiento otorgado por el titular fue explícito, lo cual es requerido en el caso de datos personales sensibles.

c) Información, dicho principio se refiere a la obligación del responsable de informar las finalidades y los datos a solicitar, podríamos decir que es una cuestión de transparencia, cabe recalcar que es importante la notificación de manera previa a la recolección del dato, por ello la importancia de que todos los sitios físicos o virtuales en los que proporcionemos nuestros datos contengan su aviso de privacidad.

d) Calidad, este principio tiene como objetivo, que los datos recabados sean correctos, exactos y completos, así como que estén actualizados. Es probable que se utilicen los datos de una persona que no es el empleado para generar los recibos de nómina, por error o por fraude, lo cual tiene consecuencias tanto para el empleado que labora físicamente, como para el contribuyente al cual se le genera un ingreso que jamás percibió.

e) Finalidad es el principio que justifica la obtención y tratamiento de los datos personales, para ello debemos distinguir entre dos tipos de finalidades, las primarias y las secundarias, entendiéndose por las primeras como aquellas indispensables para que el objeto de la relación entre titular y responsable pueda surtir sus efectos deseados, y las secundarias serán las accesorias, como por ejemplo el poder compartir los datos personales con otras empresas o prestadores de servicios.

f) Lealtad es aquel que obliga a cualquier responsable o encargado a tratar el dato con apego a la legislación y a las finalidades que fueron informadas al titular, es decir, que respete la normatividad de protección de datos y que no sean divulgados o compartidos de forma inadecuada a espaldas del titular. En este caso si bien como titular le entrego a mi patrón mis datos personales para generar los recibos de nómina, no le doy autorización para que comparta mis datos con un agente de viajes que desee ofrecerme paquetes vacacionales.

g) Proporcionalidad se refiere, a recabar y tratar los datos que son estrictamente necesarios para el cumplimiento de las finalidades, es importante mencionar el criterio de minimización, esto quiere decir que solo los datos relevantes serán tratados. Hay empresas que solicitan un reporte médico antes de contratar al titular, o bien que le preguntan por su religión, lo cual no es necesario para desempeñar las funciones que va a realizar. Eso es un riesgo porque no se cumple con el principio de proporcionalidad.

h) Responsabilidad, implica las medidas implementadas por el responsable para el buen uso y tratamiento de los datos personales recabados, de forma adecuada y con el debido cuidado.

Actualmente existen soluciones que tienen como objetivo el atender y solventar las necesidades fiscales de sus clientes, sin embargo, debemos observar que cualquier solución deberá cumplir con los principios en su sistema de gestión de datos personales.

Desde los sitios web donde se solicita el nombre, correo electrónico, o cualquier tipo de datos, deben
poner a disposición el Aviso de privacidad en cumplimiento a los principios, así mismo las soluciones deberán implementar medidas de seguridad para proteger y velar por la privacidad de cualquier dato que sea sometido al tratamiento.

La legislación en esta materia no es nueva, la más reciente modificación se dio hace 9 años, además de que México se adhirió al convenio 108 de la Unión Europea, con lo cual se refuerza la aplicación de las leyes de protección de datos personales en nuestro pais.

En un caso conocido en la industria, hubo una difusión no autorizada de datos personales y patrimoniales de decenas de miles de trabajadores, al exponer en internet una base de datos que contenía cientos de miles de CFDI´s con datos de nómina de varias empresas mexicanas.

En ese caso, si bien el responsable otorgó el acceso a un encargado, para realizar tareas específicas, es cierto igualmente que hubo una aparente falta de pericia por parte del encargado al colocar esos datos en una base de datos en la nube sin la protección adecuada. En ese caso, se convierte en responsable la empresa encargada, dada la afectación a los titulares.

Los titulares de los datos (trabajadores) pueden dirigir sus cuestionamientos solo al responsable inicial (empleador), igualmente el encargado debió notificar sobre la vulneración de la base de datos de inmediato a los responsables (empleadores) y solo estos, a sus trabajadores. Es muy relevante que este evento hiciera reflexionar a las organizaciones sobre la relevancia de la seguridad en el tratamiento de los datos. Por parte de los PAC, estamos conscientes de la responsabilidad en el tratamiento de información personal, cuando somos encargados, pero también cuando somos responsables al recabar información personal para desarrollar un proyecto, proporcionar soporte o con nuestros propios colaboradores. Es un compromiso de la AMEXIPAC el proporcionar los elementos y cursos necesarios para que todos los asociados cumplamos con nuestras obligaciones en materia de protección de datos personales.

Todos nuestros clientes y usuarios confían en nosotros para salvaguardar su información personal, por lo cual todos los días reforzamos la capacitación y el control interno. El tratamiento de los datos personales es cosa MUY seria, todos debemos entenderlo así y obrar en consecuencia.