Disposiciones comunes
Autor | Mariano Carlos Rosales Ortiz |
Páginas | 191-209 |
Page 191
1. Los presentes Parámetros tienen por objeto establecer reglas, criterios y procedimientos para el correcto desarrollo e implementación de los esquemas de autorregulación vinculante en materia de protección de datos personales, a los que se refieren los artículos 44 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, y 79, 80, 81, 82, 83, 84, 85 y 86 de su Reglamento.
2. Los presentes Parámetros son de observancia obligatoria en toda la República Mexicana para la validación y reconocimiento de los esquemas de autorregulación vinculante en materia de protección de datos personales en posesión de particulares, por parte del Instituto Federal de Acceso a la Información y Protección de Datos.
3. A falta de disposición expresa en los presentes Parámetros sobre los trámites o procedimientos frente al Instituto Federal de Acceso a la Información y Protección de Datos relacionados con esquemas de autorregulación vinculante, se aplicarán de manera supletoria las disposiciones de la Ley Federal de Procedimiento Administrativo.
Page 192
A falta de disposición expresa en los presentes Parámetros con relación a los procedimientos de acreditación o certificación, se aplicarán de manera supletoria los procedimientos previstos por la Ley Federal sobre Metrología y Normalización en lo que aplique y la normativa que de ella se derive.
4. Adicionalmente a las definiciones previstas en los artículos 3 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y 2 de su Reglamento, para los efectos de los presentes Parámetros se entenderá por:
I. Adherido: Responsable o encargado que, de manera voluntaria, se obliga a observar un esquema de autorregulación vinculante;
II. Alta dirección: Toda persona con poder legal de toma de decisión en las políticas del responsable o encargado, por ejemplo, la junta directiva, los socios de un responsable o encargado persona moral, el dueño de una empresa unipersonal o quien encabeza la estructura del responsable o encargado;
III. Auditoría: Proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva para determinar el grado de cumplimiento de los criterios preestablecidos para dicha auditoría;
IV. Esquema de autorregulación vinculante o esquema: Conjunto de principios, normas y procedimientos, de adopción voluntaria y cumplimiento vinculante, que tiene como finalidad regular el comportamiento de los responsables y encargados respecto a los tratamientos de datos personales que lleven a cabo;
V. Mecanismos alternativos de solución de controversias: Procedimientos voluntarios, basados en la satisfacción de las partes y la buena fe, tales como la negociación, la mediación y la conciliación que, como alternativa paralela al sistema de administración de justicia, permiten a los adheridos resolver las controversias que se susciten con los titulares a través del nombramiento e intervención de un tercero imparcial;
VI. No conformidad: Incumplimiento de un requisito previsto en el esquema de autorregulación vinculante;
VII. Parámetros: Parámetros de Autorregulación en materia de Protección de Datos Personales;
VIII. Política: Política de gestión de datos personales;
IX. Registro: Registro de Esquemas de Autorregulación Vinculante;
X. Procedimiento: Grupo de acciones documentadas que establecen la manera oficial o aceptada para llevar a cabo determinada actividad;
Page 193
XI. Reglas de Operación: Reglas de Operación del Registro, instrumento que emite el Instituto y cuyo objeto es definir y describir los aspectos operativos y los procedimientos necesarios para el funcionamiento del Registro;
XII. Revisión: Actividad estructurada, objetiva y documentada, llevada a cabo con la finalidad de constatar el cumplimiento continuo de los contenidos establecidos en los esquemas de autorregulación vinculante, incluida la certificación;
XIII. Riesgo: Combinación de la probabilidad de un evento y su consecuencia desfavorable;
XIV. Sistema de gestión de datos personales o SGDP: Sistema de gestión general para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales en función del riesgo de los activos y de los principios, deberes y obligaciones previstos en la Ley, demás normativa aplicable y buenas prácticas en materia de protección de datos personales, y
XV. Sistema de Gestión: Conjunto de elementos y actividades interrelacionadas para establecer metas y los medios de acción para alcanzarlas.
5. Para efectos del Capítulo III de los presentes Parámetros, se entenderá por:
I. Acreditación: Acto por el cual una entidad de acreditación aprobada en términos de la Ley Federal sobre Metrología y Normalización, reconoce la competencia técnica y confiabilidad de organismos de certificación para la evaluación de la conformidad de la Ley, el Reglamento, los presentes Parámetros y demás normativa aplicable;
II. Certificación: Procedimiento llevado a cabo por un organismo de certificación por el cual se asegura que un esquema y su implementación se ajustan a la Ley, el Reglamento, los presentes Parámetros y demás normativa en materia de protección de datos personales en posesión de particulares;
III. Certificado: Documento expedido por un organismo de certificación acreditado, mediante el cual se hace constar la certificación en materia de protección de datos personales otorgada a un responsable o encargado en específico. En él se encuentran descritos los alcances de dicha certificación;
IV. Entidad de acreditación: Persona moral autorizada por la Secretaría de Economía, de conformidad con la Ley Federal sobre Metrología y Normalización, para acreditar organismos de certificación en materia de protección de datos personales;
Page 194
V. Ley sobre Metrología: Ley Federal sobre Metrología y Normalización, y
V. Organismo de certificación: persona que tiene por objeto realizar funciones de certificación en materia de protección de datos personales.
6. Los esquemas de autorregulación vinculante podrán incluir principios, normas y procedimientos para adecuar y armonizar las disposiciones previstas en la Ley, su Reglamento y demás normativa aplicable, a la realidad de sectores específicos, y abordar problemáticas o situaciones particulares que no fueron previstas por la norma general, a fin de hacer eficiente la protección de datos personales en las actividades que se autorregulen.
Asimismo, la autorregulación vinculante permitirá elevar los estándares de protección de datos personales, a través de la adopción de las mejores prácticas en la materia, tanto nacionales como internacionales.
7. La adhesión a los esquemas de autorregulación vinculante por parte de un responsable o encargado es de carácter voluntario. No obstante, el cumplimiento de dichos esquemas será obligatorio para quienes se adhieran a los mismos, por lo que éstos deberán prever sanciones por su incumplimiento.
8. La autorregulación vinculante en materia de protección de datos personales se regirá por los siguientes principios:
I. Voluntariedad: La adhesión o adopción de los esquemas de autorregulación vinculante será de manera libre sin que medie vicio alguno en el consentimiento;
II. Obligatoriedad: El esquema de autorregulación vinculante constriñe a quien se adhiere al mismo o lo adopta;
III. Transparencia: Las prácticas en materia de protección de datos personales serán transparentes, salvo aquella información que se especifique como confidencial o reservada, siempre que exista el derecho a clasificarla de...
Para continuar leyendo
Solicita tu prueba