La protección de datos personales como criterio ESG

¿Cuáles son los retos más importantes para el tratamiento de datos personales por empresas mexicanas, en el contexto de la economía digital? ¿Qué pueden hacer las empresas mexicanas para adoptarlo como criterio ESG? / Priscilla Du Preez - Unsplash.
¿Cuáles son los retos más importantes para el tratamiento de datos personales por empresas mexicanas, en el contexto de la economía digital? ¿Qué pueden hacer las empresas mexicanas para adoptarlo como criterio ESG? / Priscilla Du Preez - Unsplash.
Esta es la ruta para incorporar este derecho como parte de la cultura organizacional.
Fecha de publicación: 25/05/2022

Hay un frente desde el cual fortalecer el desarrollo empresarial, incluido el sector legal, se trata de robustecer la puesta en práctica de criterios ESG o la adopción de los mismos, contemplando como parte de ellos la protección de datos personales. A decir de Gloria Martínez, counsel de Von Wobeser y Sierra, la recomendación atañe a las empresas que tratan grandes cantidades de datos personales, esto incluye al sector legal. 

“El mayor reto lo enfrentan las empresas que tratan grandes cantidades de datos personales, por un lado tienen mayor carga y costos asociados al cumplimiento regulatorio y, por otro, están más expuestos a sufrir vulneraciones de seguridad”, detalla la abogada.  

A inicios de mes la Guardia Nacional reveló que del 2019 a la fecha se han reportado 223.600 incidentes de ciberseguridad, lo que hace esencial esta innovación a nivel organizacional. Para Luis Burgueño, socio de la firma, el compromiso con la protección de datos debe expresarse de forma genuina en la toma de acciones y valoraciones permeables no sólo al interior sino al exterior de sus fronteras. El especialista extiende ejemplos para materializar la propuesta.

“Las empresas pueden establecer medidas concretas y opcionales que funjan como indicadores en la observancia de la protección de datos personales dentro de su organización. Implementar medidas como la elaboración de códigos y reglamentos de conducta para asegurar una práctica apropiada para la protección de datos personales, cursos de capacitación para el personal estén encargados o no del tratamiento de datos personales, encuestas y dinámicas grupales, tales como concursos y/o incentivos que promuevan el interés por la materia”, detalla. 


Sigue toda nuestra cobertura en ESG


La iniciativa es también una forma de hacer frente a lo que Rubén Villegas, asociado de Von Wobeser, llama un desfase entre lo legislado en la materia y la realidad.  

“Es un hecho que la ley siempre le sigue el paso a la realidad. En materia de datos personales, el desfase se agranda debido a la velocidad con que se mueve el desarrollo tecnológico y esto es sumamente peligroso. La comercialización de la vida privada de las personas amenaza en valorarla como un producto y el almacenamiento poco seguro de sus datos los expone al robo de su identidad. Afortunadamente, los criterios ESG tienden un puente entre este vacío de ley y realidad. Empresas verdaderamente interesadas en protegerse de los impactos masivos, que tiene el tratamiento y la confidencialidad de sus bases de datos hacen bien en recurrir a estos criterios en tanto el legislador latinoamericano logra actualizarse”, explica.  

El equipo de especialistas de Von Wobeser, integrado por Luis Burgueño (socio), Gloria Martínez (counsel), Elías Jalife (asociado) y Rubén Villegas (asociado), explican a detalle los desafíos y oportunidades que brindan adoptar la protección de datos personales como parte de los criterios ESG. 

¿Qué pueden hacer las empresas mexicanas para incorporar la protección de datos personales como criterio ESG?

Luis Burgueño: La vida de los criterios ESG se desarrolla justo fuera de la frontera establecida por la ley. Por tal motivo,

Luis Burgueño
Luis Burgueño

cuando uno los analiza a la luz del marco normativo de protección de datos personales, es claro que hay un amplio espectro que permite crear y desarrollar criterios que le permitan a las empresas auto regularse para reforzar y potencializar su valor. En este sentido, la Ley Federal de Protección de Datos Personales en Posesión de Particulares y su Reglamento aluden a ciertos “principios” (licitud, lealtad, consentimiento, información, proporcionalidad, finalidad, calidad y responsabilidad) que deben observarse como ejes rectores al tratar datos personales para garantizar la autodeterminación informativa y la privacidad de los individuos. 

Si una empresa tiene interés y compromiso de incorporar la protección de datos personales a los criterios de ESG que adopte, puede hacer uso de los ocho pilares establecidos por la legislación aplicable para diseñar estrategias y mecanismos que promuevan una cultura de respeto y protección a la privacidad de los empleados y extenderlo a sus clientes y proveedores. En muchas ocasiones, estos clientes y proveedores no son individuos sino empresas o corporaciones que por ley no tienen el reconocimiento de un derecho de privacidad. Sin embargo, las empresas pueden ampliar el rango de protección hacia sus clientes y proveedores que no sean individuos para garantizar la protección de su información.  Estos son solo ejemplos que pueden reproducirse sin más límite que el compromiso y la creatividad de una empresa.  

¿Cuáles son los retos más importantes para el tratamiento de datos personales por empresas mexicanas, en el contexto de la economía digital? 

Rubén Villegas: La interacción entre clientes y proveedores es casi siempre remota y sucede solo por medios electrónicos. Bajo

Rubén Villegas
Rubén Villegas

estas condiciones, una empresa se enfrenta a dos grandes retos en materia de protección de datos personales: cumplimiento y aplicabilidad. Aunque estos retos refieren a disposiciones legales que las empresas forzosamente deben cumplir, por extensión, condicionan sus principios y las interacciones que sostienen con terceros.

En lo que concierne al cumplimiento, el reto surge porque las disposiciones mexicanas en materia de protección de datos personales no han evolucionado en la misma forma o grado al que lo han hecho otros ordenamientos legales. Mientras que las leyes y los reguladores de la materia en Estados Unidos o Europa cuentan con criterios basados en la oferta de servicios digitales o en la protección de la identidad digital de sus habitantes, en México la ley utiliza criterios o términos anticuados más apropiados para modelos de negocio basados en el papel y lápiz. 


No dejes de leer: El problema con las leyes de privacidad de datos en América Latina


Por otra parte, la legislación mexicana actual provoca una gran inseguridad jurídica respecto de la aplicabilidad de la propia ley que conforme al artículo 4 del Reglamento de la Ley Federal de Protección de Datos en Posesión de Particulares, aplica cuando el responsable del tratamiento está ubicado en México, sin importar dónde se ubiquen los titulares de los datos tratados. Esta regla es clara cuando el responsable tiene presencia física en México, pero esa misma no es tan clara tratándose de responsables dedicados a servicios digitales, que no necesariamente tienen presencia sólo en México, aunque sean empresas legalmente constituidas en el país. Esta misma consideración se extiende al tipo de documentos que contienen datos personales, refiriéndose a documentos físicos excluyendo cualquier otro medio o formato digital. La falta de adecuación de nuestra legislación de protección de datos personales con la realidad digital que hoy impera tiene como consecuencia que exista una constante incertidumbre sobre las obligaciones y principios que los sujetos obligados a la ley deben cumplir.

Hemos visto ya sanciones por parte del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) contra empresas que no protegieron los datos personales de usuarios, ¿cuáles son las reglas de oro que recomendaría seguir a las empresas?

Gloria Martínez: Algo que pocas empresas tienen en mente es que, en lo que concierne a la protección de datos personales en

Gloria Martínez
Gloria Martínez

México, la regla de oro por excelencia es entender que el marco normativo en materia de datos personales protege, no a los datos en sí mismos, sino a su titular.

Desafortunadamente, muchas empresas pierden el foco respecto al papel fundamental que juegan en esta protección y, como resultado, olvidan que la responsabilidad que la ley les impone es, para cada titular de datos personales tratados, individual y personalísima. En otras palabras, el tratamiento de datos personales es una responsabilidad que cada empresa tiene para con cada uno de los titulares de datos tratados y esta misma lógica siguen las sanciones relacionadas a posibles incumplimientos.


Te puede interesar: Ley de Protección de Datos: ¿una nueva realidad para fusiones y adquisiciones?


¿Qué materia en el criterio de ESG de datos personales consideras que presenta los mayores retos para las empresas que se comprometen con estos principios?

Gloria Martínez: El mayor reto son los incidentes de vulneración de datos personales conocidos en la industria como data breach.Estos incidentes son los que mejor demuestran el alcance masivo que puede tener el tratamiento indebido de una base de datos personales. Sus consecuencias nocivas frecuentemente  sobrepasan al mundo legal y alcanzan a la reputación de la empresa por la pérdida de confianza que el incidente genera y a los activos operativos de la empresa que sufre el incidente de que se trate. Específicamente, los incidentes de seguridad presentan retos relevantes para los criterios ESG en un sentido práctico, de conflictos de interés, y de riesgos. 

Las principales dificultades prácticas recaen en la determinación del alcance y orígenes de un data breach. Los incidentes de vulneración suelen estar estrechamente ligados con la seguridad informática o ciberseguridad. La violación de las medidas de seguridad técnicas que protegen los equipos y redes pueden ser muy difíciles de detectar, garantizar y de probar; si no se detecta un incidente, no hay forma de lidiar con sus efectos o reportarlo a los titulares afectados.

En lo que concierne a conflictos de interés, las vulneraciones de seguridad son un buen termómetro del verdadero compromiso que tienen las empresas con los criterios ESG. Dados los daños económicos y reputacionales que implican los incidentes de vulneración, es natural que las empresas intenten limitar el conocimiento de los incidentes que sufran, en vez de reportarlos, tanto al regulador (para evitar sanciones jurídicas), como a sus clientes (para evitar daño reputacional). Un verdadero compromiso ESG exigiría que estas empresas reporten estos incidentes cuanto antes, incluso sin estar legalmente obligadas a ello. 

Finalmente, respecto del área de riesgos, se observa en la contratación de seguros de ciberseguridad como una forma de demostrar un intento de cumplir con los criterios ESG. Fuera de ciertos entes financieros regulados, por lo general, las empresas no están obligadas a contratar seguros para responder por daños relacionados con la vulneración de información de la empresa, sean o no datos personales.


Te recomendamos leer: Cinco recomendaciones para la protección de datos personales


¿Los despachos legales deberían contar con estos criterios ESG también? ¿Por qué?

Elías Jalife: Definitivamente. Todo despacho jurídico recaba y trata una cantidad significativa de datos personales que, de no

Elías Jalife
Elías Jalife

ser protegidos adecuadamente, pueden afectar la esfera más íntima de los titulares respectivos y exponerlos a un riesgo importante. Un claro ejemplo son los despachos de derecho penal, que pueden conocer datos sensibles tanto de víctimas como acusados. Por otro lado, los abogados en transacciones corporativas tienen acceso a los datos financieros más importantes de sus clientes. 

Es importante que los despachos consideren y cumplan con criterios ESG en materia de datos personales. De esta manera, generan mayor confianza en sus actividades y en la industria a la que pertenecen y contribuyen a un futuro próximo en el que los clientes seleccionen a sus despachos en la medida en que estos enfatizan la protección de datos personales como parte de sus criterios de ESG. El rol de los despachos jurídicos en esta materia, resaltando la naturaleza de estos criterios como conceptos que desbordan el mero cumplimento legal, pudiera incluso ser el de una industria de vanguardia que practique extender la protección de datos personales a sujetos no protegidos por la ley: a las propias empresas como clientes, socios y titulares de su propia información.

Add new comment

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.