INFORME SOBRE CONOCIMIENTO Y CUMPLIMIENTO DE LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES

JULIO 2015

Estado general de conocimiento y cumplimiento de la normativa de protección de datos personales en México; con información recabada a través de encuestas online.

TABLA DE CONTENIDO

ESTIMADO LECTOR ________________________________________________________ 1

Objetivo ___________________________________________________________________________ 1

Metodología ________________________________________________________________________ 1

Propiedad Intelectual ________________________________________________________________ 2

Filosofía ___________________________________________________________________________ 2

SOBRE LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES ______________ 3

PREGUNTAS Y RESPUESTAS ________________________________________________ 4

¿Considera que su empresa cumple con las “Recomendaciones sobre Medidas de seguridad de datos

personales” del (antiguo) IFAI? ________________________________________________________ 4

¿Cuenta su empresa con un inventario de base de datos personales… que identifique las finalidades

del tratamiento? ____________________________________________________________________ 6

¿Cuenta su empresa con un inventario de base de datos personales… que identifique las unidades de

su empresa que tratan los datos personales? _____________________________________________ 7

¿Cuenta su empresa con un inventario de base de datos personales… que identifique los recursos,

sistemas, programas y/o aplicaciones que tratan los datos personales? ________________________ 8

¿Cuenta su empresa con un inventario de base de datos personales… que identifique la sensibilidad de

los datos tratados? __________________________________________________________________ 9

¿Cuenta su empresa con un inventario de base de datos personales… que identifique la existencia de

transferencias de datos y/o encargos del tratamiento? ____________________________________ 10

¿Cuántas bases de datos, sujetas a la LFPD, ha identificado que existen en su empresa? _________ 11

Los Avisos de Privacidad de su empresa, ¿están actualizados conforme a los "Lineamientos del Aviso

de Privacidad"? ____________________________________________________________________ 12

Los Lineamientos regulan tres modalidades de Avisos de Privacidad. En su empresa se utilizan… __ 13

¿Existe en su empresa un procedimiento para la atención de los derechos ARCO, resolver solicitudes

de revocación del consentimiento, limitación y/o divulgación de los datos personales? ___________ 14

La adecuación de su empresa a la normativa de protección de datos personales… ______________ 16

Cuando transfiere datos personales a otros responsables… _________________________________ 18

¿Trata datos personales para finalidades de mercadotecnia, publicidad o prospección comercial? __ 19

TABLA DE CONTENIDO

¿Los Avisos de Privacidad correspondientes, prevén las finalidades de mercadotecnia, publicidad o

prospección comercial? ______________________________________________________________ 20

Además de la obligación de informar (Avisos de Privacidad), por favor indique los principios para el

tratamiento de datos personales cuyo cumplimiento de obligaciones ha sido implementado en su

empresa: _________________________________________________________________________ 22

TAMAÑO Y SECTOR DE ACTIVIDAD DE LAS ENTIDADES ENCUESTADAS ______________________ 24

ANÁLISIS DE RESULTADOS ________________________________________________ 25

NIVEL DE CONOCIMIENTO___________________________________________________________ 25

NIVEL DE CUMPLIMIENTO ___________________________________________________________ 25

CONSIDERACIONES PARTICULARES ___________________________________________________ 26

CONCLUSIONES (EXPECTATIVAS) _____________________________________________________ 26

INFORMACIÓN DE CONTACTO _____________________________________________ 27

1

ESTIMADO LECTOR

OBJETIVO

La publicación del presente Informe obedece a la filosofía de BGBG Abogados sobre difusión de

conocimientos e información actualizada relacionada con nuestras áreas de especialización. En esta

ocasión, corresponde a nuestra área de Protección de Datos Personales y Privacidad presentar los

resultados de una encuesta sobre conocimiento y cumplimiento de la normativa que los responsables de

datos personales deben cumplir.

Desde BGBG Abogados también asumimos con agrado el reto de participar en la conformación de una

“cultura de protección de datos personales” dentro de México, necesaria e incipiente dada la reciente

incorporación de este derecho fundamental en nuestra Constitución.

METODOLOGÍA

El presente Informe ha sido generado a partir de información recabada a través de cuestionarios online,

que fueron respondidos de forma voluntaria y anónima por aquellas entidades contactadas por BGBG

Abogados.

La herramienta de comunicación y recabo de información utilizada por BGBG Abogados

(SurveyMonkey®) permite que las respuestas brindadas a nuestras diversas preguntas puedan ser

presentadas a ustedes de la forma más concisa y gráfica posible. En todo caso, proporcionamos

información contextual respecto de la pregunta formulada a los encuestados.

Hemos procesado un total de 266 respuestas, que en su conjunto ofrecen un panorama general sobre

el estado de conocimiento y cumplimiento de la normativa de protección de datos personales. La

información que aquí presentamos no ha sido procesada para generar una matriz de riesgos ni un análisis

de brecha sobre responsables o sectores económicos específicos.

La invitación para responder a nuestro cuestionario “de conocimiento y cumplimiento” se remitió por

correo electrónico a contactos de nuestra firma, previa autorización de su parte para participar en el

estudio. Con excepción del criterio de autorización, no se utilizó ningún otro filtro para definir el destino

del cuestionario, por lo que las respuestas han sido emitidas por todo tipo de sectores de actividad

económica y tamaño de empresa. La recolección de información se realizó entre mayo de 2014 y mayo

de 2015.

2

PROPIEDAD INTELECTUAL

El presente Informe se distribuye bajo licencia Creative Commons Reconocimiento-NoComercial-

CompartirIgual-4.0 Internacional.

“Informe sobre Cumplimiento de la Normativa de Protección de Datos Personales”

by BGBG Abogados is licensed under a

Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional License.

FILOSOFÍA

Hemos sido reconocidos internacionalmente como uno de los despachos líderes en México en materia de

protección de datos personales, y nuestra filosofía de trabajo en el área resume las expectativas que

nuestros clientes ven satisfechas con nuestros servicios:

Formación y experiencia internacional

para brindar soluciones prácticas y eficientes

de cumplimiento.

Héctor E. Guzmán Rodríguez

Socio – Protección de Datos Personales y Privacidad

BGBG Abogados 05/07/2015

3

SOBRE LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES

Las preguntas formuladas por BGBG Abogados cuyas respuestas y tendencia se presentan en el

presente Informe fueron diseñadas con base en la normativa de protección de datos personales vigente

al mes de mayo de 2014, y con base en las publicaciones del Instituto Nacional de Transparencia, Acceso

a la Información y Protección de Datos Personales (“INAI”), que a continuación se identifican:

Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD);

Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares

(Reglamento de la LFPD);

Lineamientos del Aviso de Privacidad (Lineamientos);

Recomendaciones en Materia de Seguridad de Datos Personales (Recomendaciones).

Las preguntas efectuadas a los encuestados no versaron sobre el contenido o alcance de las siguientes

disposiciones o publicaciones:

Acuerdo por el que se establece el sistema electrónico para la presentación de solicitudes de

protección de derechos y de denuncias, así como la sustanciación de los procedimientos previstos

en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares;

Recomendaciones para la Designación de la Persona o Departamento de Datos Personales;

Modelo de Aviso de Privacidad Corto para Video-Vigilancia;

Criterios Generales para la instrumentación de medidas compensatorias sin la autorización

expresa del IFAI, y

Parámetros de Autorregulación en materia de Protección de Datos Personales.

Tampoco fueron directamente consideradas ninguna de las Guías, Estudios o Encuestas publicados por el

INAI (antes IFAI) a través de su portal: ifai.org.mx.

4

PREGUNTAS Y RESPUESTAS

¿CONSIDERA QUE SU EMPRESA CUMPLE CON LAS “RECOMENDACIONES SOBRE MEDIDAS DE SEGURIDAD DE DATOS PERSONALES” DEL (ANTIGUO) IFAI?

Las Recomendaciones en materia de seguridad de datos personales fueron publicadas por el IFAI

(ahora INAI) en el Diario Oficial de la Federación de fecha 30 de octubre de 2013 en ejercicio de la

facultad que le otorga la fracción IV del artículo 19 de la LFPD. En el marco de las mismas y con el objeto

de que los responsables cuenten con un marco de referencia respecto de las acciones que se consideran

como las mínimas necesarias para la seguridad de los datos personales, el entonces IFAI emitió una

RECOMENDACIÓN GENERAL:

PARA LA SEGURIDAD DE LOS DATOS PERSONALES, EL IFAI RECOMIENDA LA ADOPCIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES (SGSDP), BASADO

EN EL CICLO PHVA (PLANEAR-HACER-VERIFICAR-ACTUAR).

La adopción de las recomendaciones es voluntaria, dejando a los responsables y encargados la capacidad

de decidir qué metodología conviene a ellos aplicar en función de su negocio, para la seguridad de los

datos personales en su posesión.

Cumple

Totalmente

Cumple

Parcialmente

No cumple

No sabe / No

contesta

0.0% 5.0% 10.0% 15.0% 20.0% 25.0% 30.0% 35.0% 40.0% 45.0%

41.4%

44.8%

10.3%

3.4%

5

La pregunta formulada a los encuestados no indaga sobre aspectos particulares de adopción de las

Recomendaciones, sino sobre su conocimiento y grado de “cumplimiento” dentro de su organización. Al

respecto, resalta que un 86.2% de los responsables encuestados declaran cumplir parcial o

totalmente con las Recomendaciones, en tanto que el resto indica que no cumple o no conoce las

Recomendaciones.

El elevado grado de “cumplimiento” que los responsables declararon durante la encuesta permitiría

anticipar resultados similares respecto de otros aspectos de cumplimiento de la normativa de protección

de datos personales; sin embargo, el resto de respuestas aportadas durante la encuesta induce a creer

que la adopción de las Recomendaciones no está tan extendida entre los responsables como aparenta la

primera información disponible.

6

¿CUENTA SU EMPRESA CON UN INVENTARIO DE BASE DE DATOS PERSONALES… QUE IDENTIFIQUE LAS FINALIDADES DEL TRATAMIENTO?

La información recabada permite apreciar que más de la mitad de los encuestados no reconoce, al interior

de su organización, la existencia de un Inventario de Bases de Datos Personales (artículo 61,

fracción I del Reglamento de la LFPD) en el que se identifiquen las diversas finalidades para las cuales se

lleva a cabo el tratamiento de este tipo de información; finalidades que pueden abarcar un espectro

amplísimo de posibilidades, tales como:

0.0%

5.0%

10.0%

15.0%

20.0%

25.0%

30.0%

35.0%

40.0%

45.0%

50.0%

Sí No No sabe / No contesta

48.1%

33.3%

18.5%

FINALIDADES DEL TRATAMIENTO

Relación con clientes / proveedores

Recursos Humanos / Procesos de selección de personal

Videovigilancia

Marketing

Redes sociales

Directorio de contactos

Control de visitantes, etc.

7

¿CUENTA SU EMPRESA CON UN INVENTARIO DE BASE DE DATOS PERSONALES… QUE IDENTIFIQUE LAS UNIDADES DE SU EMPRESA QUE TRATAN LOS DATOS PERSONALES?

Los resultados de esta pregunta se colocan en consonancia con los de la pregunta precedente. Más de la

mitad de los encuestados (55.5%) no reporta una identificación precisa, a través de un Inventario de

Bases de Datos, de las unidades de su organización que tratan datos personales.

Se trata, en suma, de la identificación precisa de Direcciones, Gerencias, Jefaturas o cualquier otra unidad

relevante de la organización que para el desarrollo de sus actividades manejan este tipo de información.

Aunar finalidades con unidades organizativas conlleva, además, la identificación de los sistemas de

información (automatizados, no-automatizados o mixtos) que se utilizan para el tratamiento de datos

personales (ver el siguiente gráfico).

Sí

No

No sabe / No

contesta

0.0%10.0%

20.0%30.0%

40.0%50.0%

44.4%

40.7%

14.8%

UNIDADES QUE TRATAN LOS DATOS PERSONALES

8

¿CUENTA SU EMPRESA CON UN INVENTARIO DE BASE DE DATOS PERSONALES… QUE IDENTIFIQUE LOS RECURSOS, SISTEMAS, PROGRAMAS Y/O APLICACIONES QUE TRATAN LOS DATOS PERSONALES?

Nuevamente, el 55.5% de los encuestados declara no contar con un Inventario de Bases de Datos en el

que se identifiquen los sistemas, programas o aplicaciones utilizados en su organización para tratar datos

personales.

La falta de centralización de esta información, en un Inventario como el previsto por el artículo 61, fracción

I del Reglamento de la LFPD, induce a pensar que el control de las medidas de seguridad aplicables a

dichos sistemas de información no estaría debidamente controlado y actualizado dentro de las

organizaciones encuestadas, lo cual puede llevar a suponer que las Recomendaciones del INAI tampoco

son adoptadas de forma uniforme o completa dentro de las organizaciones de los responsables.

0.0%

5.0%

10.0%

15.0%

20.0%

25.0%

30.0%

35.0%

40.0%

45.0%

SÍ NO NO SABE / NO CONTESTA

44.4%

37.0%

18.5%

RECURSOS, SISTEMAS, PROGRAMAS Y/O APLICACIONES QUE TRATAN LOS DATOS

PERSONALES

9

¿CUENTA SU EMPRESA CON UN INVENTARIO DE BASE DE DATOS PERSONALES… QUE IDENTIFIQUE LA SENSIBILIDAD DE LOS DATOS TRATADOS?

Desconocer o carecer de controles sobre las bases de datos a partir de la sensibilidad de los datos

personales que en ellas se contienen incrementan las probabilidades de incumplimiento de la normativa

aplicable. Durante la encuesta, sólo el 33.3% de los responsables dijo contar con información relacionada

con la sensibilidad de los datos que se tratan en sus bases de datos; ello puede significar, por una parte,

que los datos personales sensibles y/o los datos patrimoniales y financieros no sean tratados dentro de

sistemas de información que cumplan con las medidas de seguridad aplicables a este tipo de información

y, por otra parte, que dichos datos no sean recabados cumpliendo con los requisitos exigidos por la

normativa vigente.

0.0% 10.0% 20.0% 30.0% 40.0% 50.0% 60.0%

Sí

No

No sabe / No

contesta

33.3%

51.9%

14.8%

SENSIBILIDAD DE LOS DATOS TRATADOS

10

¿CUENTA SU EMPRESA CON UN INVENTARIO DE BASE DE DATOS PERSONALES… QUE IDENTIFIQUE LA EXISTENCIA DE TRANSFERENCIAS DE DATOS Y/O ENCARGOS DEL TRATAMIENTO?

Como en el caso del control anterior, sólo un tercio de los responsables encuestados (33.3%) declara

contar con un Inventario que respalde el control de las comunicaciones de datos personales que pueden

llevar a cabo (sean éstas transferencias o remisiones). Esta ausencia de control puede llevar a la comisión

de infracciones graves, que podrían evitarse mediante la identificación adecuada de aquellas situaciones

en las cuales cada responsable debe o desea llevar a cabo transferencias o remisiones de datos personales

(con o sin el consentimiento de los titulares, según sea el caso).

0.0%

10.0%

20.0%

30.0%

40.0%

50.0%

Sí

No

No sabe / No contesta

33.3%44.4%

22.2%

TRANSFERENCIAS DE DATOS Y/O ENCARGOS DEL

TRATAMIENTO?

11

¿CUÁNTAS BASES DE DATOS, SUJETAS A LA LFPD, HA IDENTIFICADO QUE EXISTEN EN SU EMPRESA?

Más de la mitad de los encuestados (51.9%) identifica un máximo de 5 bases de datos personales dentro

de su organización. Menos del 15% declaró la identificación de más de 10 bases de datos sujetas a la

LFPD.

Por otro lado, un 18.5% de encuestados declaran no haber identificado ninguna base datos, sujeta a la

LFPD, dentro de su organización. Este número guarda consistencia con otras respuestas brindadas

durante la encuesta, relacionadas con el desconocimiento o incumplimiento de otros requisitos

establecidos por la normativa.

Cabe señalar que la experiencia de BGBG Abogados sitúa el promedio de bases de datos de una salo

entidad (responsable) en un mínimo de 6.

Ninguna

1 a 5

6 a 10

Más de 10

18.5%

51.9%

14.8%

14.8%

BASES DE DATOS IDENTIFICADAS AL INTERIOR DE LA EMPRESA

12

LOS AVISOS DE PRIVACIDAD DE SU EMPRESA, ¿ESTÁN ACTUALIZADOS CONFORME A LOS "LINEAMIENTOS DEL AVISO DE PRIVACIDAD"?

Tras varios años desde la publicación y entrada en vigor de la LFPD, se da por supuesto que toda

organización cuenta con, al menos, un Aviso de Privacidad. Es por ello que la encuesta propuesta

da por sentado el cumplimiento de este requisito “mínimo”.

Con posterioridad a la entrada en vigor de dicho ordenamiento fueron publicados el Reglamento de la

LFPD y los Lineamientos del Aviso de Privacidad, disposiciones que han supuesto la definición al

detalle de los requisitos que deben cumplir los Avisos de Privacidad y las modalidades que pueden

adoptarse en función del momento y forma de obtener los datos personales de los titulares.

En la práctica, el tiempo transcurrido entre la entrada en vigor de la LFPD y la publicación de los

Lineamientos ha supuesto para muchos responsables la desactualización de sus primeros Avisos de

Privacidad; la encuesta de BGBG Abogados, sin embargo, indica que más del 60% de los encuestados

considera que sus Avisos sí están actualizados conforme a los Lineamientos.

0.0%

10.0%

20.0%

30.0%

40.0%

50.0%

60.0%

70.0%

Sí No No sabe / No contesta

63.0%

25.9%

11.1%

¿Avisos de Privacidad

13

LOS LINEAMIENTOS REGULAN TRES MODALIDADES DE AVISOS DE PRIVACIDAD. EN SU EMPRESA SE UTILIZAN…

Los resultados de esta pregunta son consistentes con las respuestas brindadas a la pregunta precedente.

El mismo 37% que dice desconocer las modalidades de Avisos de Privacidad que se utilizan en su

organización se corresponde con el 37% de encuestados que en su conjunto indican que sus Avisos de

Privacidad no están actualizados o declaran no saberlo con certeza.

El 63% restante utiliza alguna modalidad de Aviso de Privacidad en su empresa, siendo un mínimo

porcentaje de encuestados (7.4%) el que manifiesta utilizar únicamente Avisos de Privacidad Integrales.

En su conjunto, las respuestas brindadas a esta pregunta permiten deducir un conocimiento amplio

respecto de la existencia de las modalidades de Avisos de Privacidad que la normativa vigente contempla.

25.9%

11.1%

18.5%7.4%

37.0%

Avisos Integrales, Simplificados y Cortos.

Avisos Integrales y Simplificados.

Avisos Integrales y Cortos.

Sólo utilizamos Avisos Integrales.

No sabe / No contesta

MODALIDADES DE AVISOS DE PRIVACIDAD

14

¿EXISTE EN SU EMPRESA UN PROCEDIMIENTO PARA LA ATENCIÓN DE LOS DERECHOS ARCO, RESOLVER SOLICITUDES DE REVOCACIÓN DEL CONSENTIMIENTO, LIMITACIÓN Y/O DIVULGACIÓN DE LOS DATOS PERSONALES?

En oposición a los resultados obtenidos en respuestas previas, resulta notable que menos de una tercera

parte (29.6%) de los encuestados haya indicado que dentro de su organización sí cuentan con un

procedimiento para la atención de los derechos ARCO y del resto de solicitudes indicadas.

Es importante recordar que los artículos TERCERO y CUARTO Transitorios del Decreto por el que se

expidió la LFPD otorgaron una importancia significativa a dos cuestiones relacionadas con la pregunta

formulada por BGBG Abogados; por un lado, se otorgó a los responsables hasta un año desde la entrada

en vigor de la LFPD para designar a la persona o departamento de datos personales a que se refiere el

artículo 30 de esta ley federal y, por el otro, se estableció que 18 meses después de la entrada en vigor

de la LFPD los titulares de datos personales podrían ejercer sus derechos ARCO ante los responsables.

Las respuestas brindadas por los encuestados indicarían que más de la mitad de las organizaciones

(55.6%) no cumplen con las disposiciones normativas plenamente vigentes, relacionadas con la necesidad

de contar con una persona o departamento de datos personales para dar trámite a las solicitudes de los

titulares relacionadas con el ejercicio de los derechos previstos en la LFPD.

SÍ

NO

NO SABE / NO

CONTESTA

0.0%20.0%

40.0%60.0%

29.6%

55.6%

14.8%

Atención de derechos

ARCO, revocación del

consentimiento,

limitación y/o

divulgación de los datos

personales

¿Existe un procedimiento

en su empresa?

15

Sin embargo, la experiencia de BGBG Abogados al respecto indica que varios responsables sí han

designado a una persona o departamento “de datos personales” para atender este tipo de solicitudes;

pero la misma experiencia también demuestra que dentro de este grupo de responsables no se ha

establecido un procedimiento formal y debidamente documentado que, entre otros, identifique

y asigne los roles y tareas de todas las áreas o personas que dentro de una organización deben participar

en la correcta atención del ejercicio de los derechos previstos en la LFPD, dentro de los plazos

establecidos.

Esta situación puede conllevar (y de hecho así sucede aún), a que un responsable deje de atender en

tiempo y forma a una solicitud de ejercicio de derechos ARCO debido a que:

Fue recibida a través de un canal distinto al establecido para tales fines,

Las unidades del responsable que tratan los datos personales no proporcionaron toda la información

de que disponían de un titular específico,

Alguna unidad del responsable que trataba datos personales de un titular no fue consultada para

comprobar si en “su base de datos” existía información de dicho titular,

Alguna unidad no comprobó o aseguró que los datos personales hubiesen sido actualizados después

de solicitarlo un titular, entre otros.

16

LA ADECUACIÓN DE SU EMPRESA A LA NORMATIVA DE PROTECCIÓN DE DATOS PERSONALES…

57.7%

19.2%

34.6%

15.4%

7.7%

11.5%

3.8%

11.5%

0.0%

11.5% 11.5%

30.8%

3.8%

19.2%

0.0%

10.0%

20.0%

30.0%

40.0%

50.0%

60.0%

70.0%

17

La percepción sobre la existencia (o inexistencia) de beneficios o resultados positivos derivados de

acciones de cumplimiento de la normativa de protección de datos personales al interior de las

organizaciones es diversa.

Por una parte, menos de un tercio (30.8%) de los encuestados manifiesta percibir un cambio positivo

en la imagen corporativa de su empresa como resultado de acciones de cumplimiento de la normativa;

menos de un 20% percibe que éstas hayan supuesto algún cambio siquiera y encontramos que existe un

3.8% que incluso considera que las acciones de cumplimiento han traído consigo un cambio negativo

para la imagen corporativa de la organización.

Un pequeño porcentaje de los encuestados (15.4%) percibe que la adecuación a la normativa de

protección de datos ha supuesto una inversión para su organización, en tanto que un porcentaje aún

menor (7.7%) la califica como un gasto innecesario.

Ningún encuestado asocia el cumplimiento de la normativa a la reducción de costos de operación en

su organización, mientras que el 11.5% identifica un aumento en sus costos de operación o ninguna

alteración de los mismos, respectivamente.

Finalmente, cabe resaltar que del total de encuestados, un 57.7% ha indicado que la adecuación a la

normativa de protección de datos personales fue realizada por un equipo propio (o interno) de su

organización, en tanto que el 19.2% manifiesta haber encargado a un equipo externo la realización de

esta tarea; dentro de aquellos que respondieron a esta pregunta, el 34.6% reconoce que su adecuación

a la normativa no ha sido integral.

18

CUANDO TRANSFIERE DATOS PERSONALES A OTROS RESPONSABLES…

La información del gráfico anterior permite deducir que un porcentaje elevado de responsables (38.5%)

no asegura el cumplimiento de ninguno de los requisitos establecidos por la normativa aplicable para

efectuar transferencias (nacionales o internacionales) de datos personales; menos de la mitad (46.2%)

afirma comunicar al “responsable receptor” el Aviso de Privacidad que regula las finalidades a las

cada titular ha sujetado el tratamiento de sus datos personales (art. 36 de la LFPD).

De la información obtenida, también resalta que menos de una cuarta parte de los encuestados (23.1%)

verifica alguna de las siguientes condiciones: (a) que la transferencia de datos esté exenta del

consentimiento de los titulares, o (b) que ha obtenido el consentimiento de los titulares para

efectuar la transferencia que desea llevar a cabo.

Finalmente, se aprecia a poco más de un cuarto de los encuestados (26.9%) que se aseguran de

documentar las condiciones en que se realizan las transferencias de datos personales desde su

organización hacia otros responsables.

En suma, los resultados obtenidos indican que aún es necesario mejorar la regulación de las transferencias

al interior de las organizaciones-responsables.

23.1%

23.1%

26.9%

46.2%

38.5%

0.0% 10.0% 20.0% 30.0% 40.0% 50.0%

Ha confirmado que la transferencia está

exenta del consentimiento de los titulares.

Si el consentimiento es necesario, se

asegura de haberlo obtenido

adecuadamente.

Regula la transferencia por escrito u otro

medio que acredite las condiciones de la

misma.

Comunica el Aviso de Privacidad

correspondiente al responsable receptor.

Ninguna de las anteriores.

19

¿TRATA DATOS PERSONALES PARA FINALIDADES DE MERCADOTECNIA, PUBLICIDAD O PROSPECCIÓN COMERCIAL?

El tratamiento de datos personales para finalidades de mercadotecnia, publicidad o prospección comercial

constituye un elemento distintivo de la normativa de protección de datos personales mexicana, frente a

otras legislaciones que regulan el uso de los datos para estos fines a través de leyes o reglamentos

relacionados con el comercio electrónico.

A grandes rasgos, encontramos que el uso de datos personales para estas finalidades puede tener carácter

original y necesario (primario) o tratarse de una finalidad adicional (secundario). En cualquiera de ambos

casos, los Lineamientos requieren expresamente que los responsables identifiquen estos fines en el listado

de finalidades que debe contener todo Aviso de Privacidad.

Las respuestas obtenidas indican que más de la mitad de los encuestados (53.8%) no utilizan datos

personales para este tipo de finalidades, y que sólo un 34,6% está seguro de que utiliza este tipo de

información para dichos propósitos.

0.0%

10.0%

20.0%

30.0%

40.0%

50.0%

60.0%

Sí No No sabe / No contesta

34.6%

53.8%

11.5%

¿MERCADOTECNIA, PUBLICIDAD O PROSPECCIÓN COMERCIAL?

20

¿LOS AVISOS DE PRIVACIDAD CORRESPONDIENTES, PREVÉN LAS FINALIDADES DE MERCADOTECNIA, PUBLICIDAD O PROSPECCIÓN COMERCIAL?

55.6%

11.1%

33.3%

0.0%

10.0%

20.0%

30.0%

40.0%

50.0%

60.0%

Sí No No sabe / No contesta

44.4%

33.3%

22.2%

0.0%

5.0%

10.0%

15.0%

20.0%

25.0%

30.0%

35.0%

40.0%

45.0%

50.0%

Sí No No sabe / No contesta

EN SU CASO, ¿OFRECE UN MECANISMO PARA QUE LOS TITULARES

MANIFIESTEN SU NEGATIVA PARA QUE SUS DATOS SEAN TRATADOS PARA ESA

FINALIDAD?

21

Aquellos encuestados que indicaron tratar datos personales para finalidades de mercadotecnia, publicidad

o prospección comercial (el 34.6%) fueron cuestionados sobre dos aspectos adicionales. Por una parte,

que indicaran si sus Avisos de Privacidad prevén esta finalidad de forma expresa y, cuando ello fuera

necesario, si ofrecen a los titulares un mecanismo para que estos manifiesten su negativa para el

tratamiento de sus datos con esta finalidad.

Ambas preguntas revisten un grado de conocimiento amplio sobre la normativa aplicable, dado que la

necesidad de incluir esta finalidad (sea primera o secundaria) en los Avisos de Privacidad no aparece

ampliamente difundida entre los responsables de datos personales; y porque en aquéllos casos en que

esta finalidad no es necesaria para la relación jurídica entre el responsable y el titular, tampoco está

ampliamente difundido que imperativamente debe ofrecerse al titular la posibilidad de negarse al

tratamiento de sus datos para cualquiera de estas finalidades.

Respecto a la primera cuestión (inclusión en el Aviso de Privacidad), el 55.6% de los encuestados indicaron

que sí informan sobre esta finalidad a los titulares de datos personales, un tercio (33.3%) no pudo

contestar con seguridad a la cuestión, y un escaso 11.1% aseguró que no habían incluido esta información

en sus Avisos de Privacidad.

En cuanto a la existencia de un mecanismo para permitir a los titulares manifestar su negativa para el

tratamiento de sus datos en estos casos, se aprecia que el número de encuestados que indican no cumplir

con este requisito se triplica en relación con la pregunta anterior (33.3%), resultando así que menos de

la mitad (44,4%) declaran cumplir con esta disposición normativa.

Cabría indicar que la pregunta efectuada por BGBG Abogados no clarificó aquellos supuestos en los

cuales es necesario poner a disposición de los titulares el mecanismo para manifestar su negativa, lo cual

podría explicar en cierta medida el aumento de encuestados que indicaron no cumplir con esta obligación

(cuando ella resulta aplicable).

22

ADEMÁS DE LA OBLIGACIÓN DE INFORMAR (AVISOS DE PRIVACIDAD), POR FAVOR INDIQUE LOS PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES CUYO CUMPLIMIENTO DE OBLIGACIONES HA SIDO IMPLEMENTADO EN SU EMPRESA:

Indiquemos, en primer lugar, que un 23.1% de los encuestados no sabe si en su organización se cumplen

o se han implementado acciones de cumplimiento de los principios rectores de la protección de datos

personales; que sumados al 15.4% que respondió no cumplir con ninguno de ellos, arroja un 38.5% de

posibles infractores (dentro del universo de encuestados) por incumplimiento de alguno de los

principios establecidos en la LFPD (ver artículo 63, fracción IV de dicho ordenamiento).

Dentro de las características destacables de nuestra normativa de protección de datos personales, incluso

frente a la normativa europea vigente que le sirve de referencia, destaca la existencia del principio de

responsabilidad, que se sintetiza en la obligación del responsable de velar y responder por el

tratamiento de los datos que se encuentran en su posesión, mediante la adopción de las medidas que

sean necesarias para cumplir con todos los principios establecidos por la LFPD. Al respecto,

destaca en nuestra encuesta que un 46.2% de los encuestados manifiesta cumplir con dicho principio;

resultado que contrasta con el resto de respuestas, ya que ningún otro de los principios reporta un nivel

de cumplimiento similar.

0.0%

10.0%

20.0%

30.0%

40.0%

50.0%

34.6%

38.5%

26.9%30.8%

23.1%

15.4%

46.2%

15.4%

23.1%

RESTO DE PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS

PERSONALES

23

En nuestra opinión, se trata de una imperfecta apreciación del contenido y alcance del principio de

responsabilidad, cuyo cumplimiento práctico viene a significar, a su vez, el cumplimiento conjunto y

cabal de los principios de licitud, consentimiento, información, calidad, finalidad, lealtad y

proporcionalidad; sumados a la obligación de todo responsable de adoptar las medidas técnicas, físicas y

administrativas que garanticen la seguridad de los datos personales.

Una conclusión provisional derivada de las respuestas otorgadas a esta pregunta podría ser, en todo caso,

que es indispensable que toda organización debe ser consciente de la existencia de todos los principios

aplicables a la protección de los datos personales, que desde luego van más allá de la obligación de contar

con “un” Aviso de Privacidad.

24

TAMAÑO Y SECTOR DE ACTIVIDAD DE LAS ENTIDADES ENCUESTADAS

11.5%

46.2%

19.2%

19.2%

3.8%

Hasta 10 trabajadores.

11 hasta 50 trabajadores.

51 hasta 250 trabajadores.

Más de 250 trabajadores.

No sabe / No contesta.

0.0% 10.0% 20.0% 30.0% 40.0% 50.0%

POR FAVOR, INDIQUE EL TAMAÑO DE SU ORGANIZACIÓN

3.8%

3.8%

73.1%

7.7%

19.2%

0.0% 10.0% 20.0% 30.0% 40.0% 50.0% 60.0% 70.0% 80.0%

Sector primario.

Sector secundario.

Sector terciario (o de servicios).

Sector cuaternario (o de información).

No sabe / No contesta.

POR FAVOR, INDIQUE A QUÉ SECTOR O SECTORES DE ACTIVIDAD

PERTENECE SU EMPRESA:

25

ANÁLISIS DE RESULTADOS

NIVEL DE CONOCIMIENTO

Las respuestas brindadas por el universo de organizaciones que contestaron a la encuesta de BGBG

Abogados permite concluir que entre los diversos sectores de actividad en que participan dichas

entidades (mayoritariamente el sector servicios, con el 73.1%) existe un conocimiento general de la

normativa de datos personales.

El promedio de respuestas indicando que el encuestado desconocía el estado de cumplimiento de su

organización fue del 18.8%, resaltando el grado máximo de desconocimiento del 37% de los encuestados

que fueron cuestionados sobre las modalidades de Avisos de Privacidad (integrales, simplificados y cortos)

implementadas o utilizadas en su organización.

En este sentido, el promedio de conocimiento de los aspectos normativos sobre protección de datos, tal

y como fueron propuestos por BGBG Abogados a través de nuestra encuesta, ha superado el 80%.

NIVEL DE CUMPLIMIENTO

El análisis de las respuestas proporcionadas permite deducir que un 43.9% de los encuestados

cumpliría de forma integral con todas las obligaciones sobre las cuales fueron cuestionados. El

restante 56.1% ha contestado que su organización no cumple con las obligaciones puestas a su

consideración o manifestaron desconocer si dentro de la misma se cumplían.

Conforme a lo anterior, se considera que el nivel de cumplimiento integral analizado durante el período

de un año que duró nuestra encuesta podría ser superior al anteriormente indicado, tomando en

consideración que aquéllos que respondieron a las preguntas de BGBG Abogados podrían haber

carecido de información actualizada en el preciso momento de remitir sus respuestas.

No obstante, debe resaltarse que nuestra encuesta arroja un promedio del 34.7% de encuestados que

de forma definitiva informaron no cumplir con los controles sobre los cuales fueron cuestionados,

encontrando que el mayor índice de incumplimiento (55.6%) fue reconocido en relación con la

existencia de un procedimiento implementado por los responsables para atender adecuadamente a las

solicitudes de ejercicio de los titulares relacionadas con los derechos que les reconoce la LFPD.

26

CONSIDERACIONES PARTICULARES

A la vista de la metodología empleada por BGBG Abogados para el desarrollo de Proyectos de

Adecuación a la LFPD, que incluye controles previstos por la ISO 27001:2013, consideramos

indispensable resaltar la importancia que reviste el conocimiento de todas las obligaciones que la

normativa de protección de datos personales establece a cargo de responsables y encargados.

Desde la publicación de dicha normativa en nuestro país, hemos comunicado a nuestros clientes y

contactos: “No todo son Avisos de Privacidad”. Y en este sentido, los resultados aquí publicados

confirman nuestra convicción sobre la necesidad de incidir en la difusión de aquellos principios adicionales

al de información y la obligación de contar con medidas de seguridad adecuadas para la protección de

los datos personales.

En este sentido, el conocimiento y aceptación sobre la necesidad de contar con procedimientos y

políticas para proteger esta información, en todo tipo de organizaciones, constituye uno de los retos que

la novedad de esta normativa impone a firmas como BGBG Abogados, cuya asesoría legal comprende

aspectos mucho más amplios que la sola emisión de aquéllos avisos, brindando a sus clientes evaluaciones

integrales sobre su estado de cumplimiento.

CONCLUSIONES (EXPECTATIVAS)

Los resultados obtenidos por BGBG Abogados a través de las respuestas analizadas y aquí publicadas,

superaron nuestras expectativas iniciales sobre el conocimiento y estado de cumplimiento de la normativa

de protección de datos personales (y eso, es una buena noticia).

Sin embargo, los mismos resultados obligan a replantearnos la estrategia de difusión sobre el contenido

de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y el resto de normativa

aplicable, pues aún persiste un porcentaje de desconocimiento e incumplimiento que no debería resultar

aceptable, por tratarse de un derecho fundamental el que persigue proteger dicha normativa (y nuestra

propia Constitución).

La experiencia internacional demuestra que el cumplimiento extendido de una normativa como la de

protección de datos personales, y la sensibilidad de los ciudadanos para exigir el respeto de su privacidad

y la protección de sus datos personales, requiere de tiempo y esfuerzo. Se trata, como hemos indicado

en la introducción de este Informe, de formar una “cultura de protección de datos personales” en nuestro

país. Desde BGBG Abogados esperamos que este Informe contribuya al crecimiento de dicha cultura,

con la convicción de que el siguiente que elaboremos demostrará que todos hemos mejorado.

27

INFORMACIÓN DE CONTACTO

HÉCTOR GUZMÁN SOCIO

MIGUEL GALLARDO SOCIO

CARLOS BELLO SOCIO

Tel. +52 (55) 5292 5232

Tel. +34 91 192 0017

hguzman@bgbg.mx

Tel. +52 (55) 5292 5232

mgallardo@bgbg.mx

Tel. +52 (55) 5292 5232

cbello@bgbg.mx

CIUDAD DE MÉXICO

AGUSTÍN MANUEL CHÁVEZ 1-001 CENTRO DE CIUDAD DE SANTA FE MÉXICO, D.F., 01210

TEL. +52 (55) 5292 5232

BGBG.MX

MADRID

AVENIDA DE BRASIL, 29 – 1, 28020

MADRID, ESPAÑA

TEL. +34 911 920 017

BGBG.ES

bgbg.mx

bgbg.es

bgbg.mx