Transitamos hacia una sociedad que utiliza constantemente las Tecnologías de la Información y Comunicación (TIC), mismas que nos permiten, de manera creciente y acelerada, fortalecer la toma de decisiones y aumentar la capacidad de producir, captar, almacenar, tratar y transferir datos.
Dicha situación, si bien trae consigo distintas ventajas en la vida personal, laboral, académica, comercial y social, también representa una gran responsabilidad para salvaguardar los datos y, con ello, el derecho a la privacidad que sus titulares tienen.
En el boletín Protección de datos personales publicado en mayo de 2021, la comisión técnica profesional Sector Empresa de Auditoría Interna aborda los elementos clave más significativos del marco legal mexicano que rige la materia, mismo que deben considerar todas las organizaciones para garantizar el tratamiento de datos personales de forma legítima, controlada e informada; de igual manera, salvaguardar estos datos de aquellos de los que se alleguen en su actividad comercial, cuyas obligaciones previstas en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su reglamento. En dicho boletín también se aborda la participación que en su contexto tiene la función de la auditoría interna.
El presente material tiene el propósito de proporcionar los elementos fundamentales a considerar para verificar que las organizaciones estén actuando responsable y correctamente ante la posesión de datos personales, sin que ello represente un obstáculo para el fortalecimiento del negocio.
Los datos personales, entendidos como cualquier información concerniente a una persona física identificada o identificable, constituyen la materia prima de un sin número de procesos que las organizaciones llevan a cabo en su operación diaria para facilitar el flujo de información requerido para la consecución de sus objetivos.
Derivado de ello, el comercio electrónico (cuyo crecimiento en los últimos años ha sido exponencial) ha facilitado a las organizaciones adentrarse en el ámbito privado de las personas, sin embargo, también ha facilitado la vulneración de la privacidad.
El panorama se torna más complejo si los datos personales que las organizaciones recaban son “sensibles” (origen racial o étnico; estado de salud presente y futuro; información genética; creencias religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; y preferencia sexual), dado que su indebida utilización puede afectar a su titular o dar origen a discriminación que conlleve un riesgo grave.
Un ejemplo de estas organizaciones es un hospital que, por la naturaleza de los servicios que presta, se allega de datos sensibles en su operación diaria.
Es así como, uno de los retos que toda organización tiene en esta materia es cuidar la privacidad de todas las personas de las que recibe datos en su operación diaria. Además de ser un derecho fundamental previsto en el primer párrafo del artículo 16.° constitucional, definido como el derecho que todo individuo tiene de separar aspectos de su vida privada del escrutinio público, también constituye “la llave que abre la cerradura de los aspectos más íntimos y personales que nos hacen vulnerables”.
No debe pasar desapercibido que el derecho a la protección de datos personales está previsto en el artículo 16.° constitucional y que les confiere a las personas el control de su información personal; además de que las faculta a decidir quién, cómo, cuándo y hasta qué punto quiere que se utilicen sus datos, por lo que las organizaciones deben prepararse para ello.
El área de Auditoría Interna es un importante aliado de la alta dirección, ya que en todo momento debe sumarse a la sinergia de la organización para contribuir al logro de los objetivos, la protección de del patrimonio, la emisión de información verídica y confiable, la operación eficiente y eficaz, así como la adherencia al marco legal que le rige (mediante el valor de sus recomendaciones); por lo que la protección de datos personales no es la excepción. Se debe cuidar en todo momento que la organización cumpla los principios rectores previstos en la LFPDPPP y su reglamento, mismos que se presentan a continuación:
Es conveniente y necesario que Auditoría Interna revise todos los procesos de manera transversal; identificando aquellos que requieren la obtención, uso, almacenamiento, manejo, aprovechamiento, transferencia o disposición de datos, a efecto de verificar:
Una vez realizado lo anterior, Auditoría Interna debe aportar sugerencias constructivas que enriquezcan la gestión, fortalezcan el modelo de negocio y la toma de decisiones con base en la inmensidad de datos de los que tiene acceso la organización en su actuar diario, así como el impacto económico que conlleva.
A continuación, se presenta una guía enunciativa (no limitativa) de los aspectos básicos que Auditoría Interna debe revisar (de preferencia, en cada uno de los procesos de la organización) a efecto de verificar que se esté actuando de forma responsable y apegada al marco normativo que regula la materia ante la posesión de datos personales:
La revisión por parte de Auditoría Interna va a permitir que el gobierno corporativo se asegure de la implementación y correcto funcionamiento de los mecanismos de control exigibles al interior de la organización para la protección de datos personales, que garanticen y acrediten el cumplimiento de los principales deberes y obligaciones previstos en el marco legal vigente.
Cabe señalar que este tipo de revisiones deben efectuarse de manera permanentemente para, en su caso, detectar posibles áreas de oportunidad como: la necesidad de actualización de formatos a través de los cuales se recaban los datos personales o de los mismos procedimientos (o directrices) que norman los procesos; a efecto de mitigar el impacto negativo en caso de ocurrir algún desapego o vulneración.
También es recomendable implementar estándares y mejores prácticas, entre las que se encuentran los esquemas de autorregulación de protección de datos personales (diseñados para organizaciones que los utilicen con fines de divulgación o para sus procesos comerciales), a efecto de que las responsabilidades inherentes no representen un obstáculo para el desempeño de los procesos que requieren de dichos datos y para llevar a cabo la actividad comercial.
Finalmente, es importante que Auditoría Interna fortalezca esta labor contemplando en su planes de trabajo la revisión de las Tecnologías de la Información (TI) de la empresa, enfocándose a la ciberseguridad con el fin de corroborar que la organización cuenta con los mecanismos de protección y defensa ante posibles ataques o vulneraciones a los servidores, computadoras, dispositivos móviles, sistemas, redes; y con ello, se resguarden cabalmente los datos y que la administración de las TI sea eficiente para evitar efectos adversos que puedan alcanzar dimensiones devastadoras que comprometan la continuidad de las operaciones y la misma existencia de organizaciones. Entre estos efectos adversos se encuentran:
Lo anterior permite visualizar claramente la necesidad de que los equipos de Auditoría Interna sean multidisciplinarios; en los que la suma del conocimiento, formación y experiencia de diversos profesionales fortalezca las revisiones y arribe a recomendaciones con un enfoque holístico.
La función de Auditoría Interna es de vital importancia porque se cerciora de la eficacia de los mecanismos de control implementados; sugiere los ajustes necesarios en los aspectos críticos de los procesos; así como mecanismos adicionales de seguridad a fin de salvaguardar los datos personales que faciliten el cumplimiento de las obligaciones que conlleva su obtención, uso (acceso, manejo, aprovechamiento, transferencia o disposición), almacenamiento y divulgación.
El gobierno corporativo debe apoyar la función de Auditoría Interna para que lleve a cabo esta importante labor, así como poner especial énfasis en que es una tarea que recae en todos los miembros de la organización; por lo que es indispensable involucrar al capital humano en todos los niveles de la empresa, sensibilizándolos en la gran responsabilidad ética que tienen en la salvaguarda de los datos personales y, con ello, el derecho a la privacidad que sus titulares tienen.
Cámara de diputados, 2010, Ley Federal de Protección de Datos Personales en Posesión de los Particulares, marzo 10, 2022, de Cámara de diputados: http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
García, Diego (2017), El derecho a la privacidad, Nostra.
Véliz, Carissa (2022), Privacidad es poder: Datos, vigilancia y libertad en la era digital, Penguin Random House Grupo Editorial.
Comisión de Desarrollo SE Auditoría Interna (2017) El impacto de las Tecnologías de la Información en la auditoría interna (boletín de investigación), Colegio de Contadores Públicos de México