¿Qué es, cuándo y cómo designarlo?
Según la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la «Ley de Protección de Datos»), cuando una empresa u organización decide sobre el tratamiento (obtención, uso, divulgación o almacenamiento) de datos personales es considerada Responsable[1] de éstos.[2]
Una de las obligaciones de los Responsables de datos personales es la designación de una persona (comúnmente conocida como «oficial de protección de datos») o un departamento de datos personales,[3] cuya finalidad y responsabilidades son:
- dar trámite a las solicitudes de ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición de los titulares (conocidos como «Derechos ARCO»); y
- fomentar la protección de datos personales al interior de la empresa u organización.
La designación del oficial o departamento de datos personales está estrechamente vinculada con el principio de responsabilidad,[4] el cual implica tanto la obligación de establecer medidas de seguridad administrativas para garantizar la protección de los datos, como la obligación de establecer políticas y procedimientos de actuación internos para atender, dar respuesta y garantizar el ejercicio de los Derechos ARCO de los titulares.[5] Por este motivo, es necesario que cada empresa u organización Responsable de datos personales contemple, como parte de dichas políticas, procedimientos y medidas, la designación del oficial o departamento de protección de datos.
¿Persona o departamento de protección de datos?
La Ley de Protección de Datos no establece en qué supuestos una empresa u organización Responsable de datos personales debe designar un oficial o un departamento de protección de datos, por lo que cada Responsable deberá evaluar y determinar internamente la necesidad o conveniencia de designar una u otra figura.
Para determinar lo anterior, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales («INAI») recomienda tomar en consideración los siguientes factores:[6]
- Recursos materiales y humanos con los que cuente la empresa u organización
- Tipo y cantidad de datos personales que trata
- Naturaleza e intensidad del tratamiento
- Número estimado de solicitudes de Derechos ARCO que podrán recibirse
- Valor que tengan los datos personales para la empresa u organización
Respecto al punto (a) anterior, es importante recordar que toda empresa u organización Responsable de datos personales está obligada a destinar recursos suficientes para instrumentar sus programas y políticas de privacidad.[7] Por tanto, independientemente de si se opta por designar a un oficial o departamento de protección de datos, este debe contar con recursos materiales, técnicos y humanos suficientes y necesarios para el ejercicio de sus funciones.
Respecto al punto (b) anterior, si los datos personales que se traten son numerosos y de naturaleza financiera, patrimonial o sensible, es importante considerar que las políticas y procedimientos de actuación para la atención de solicitudes de Derechos ARCO necesitarían ser más estrictos y robustos, lo cual podría implicar una mayor carga y responsabilidad de trabajo, siendo por tanto ideal la designación de un departamento de protección de datos.
¿Cómo designar al oficial o departamento de protección de datos?
La Ley de Protección de Datos no establece la obligación de cumplir alguna formalidad o procedimiento en específico para designar al oficial o departamento de protección de datos. Sin embargo, dado que una parte esencial del principio de responsabilidad es la acreditación del cumplimiento, es recomendable que la empresa u organización realice la designación por escrito y tomando en consideración los procedimientos y formalidades corporativas u organizacionales que de manera interna haya designado la empresa u organización.
Así, por ejemplo, si la empresa Responsable de los datos es una sociedad anónima o de responsabilidad limitada, sus estatutos podrían requerir—o podría ser conveniente—que la designación del oficial o departamento de protección de datos sea realizada por su consejo de administración o de gerentes, respectivamente; o bien, que tal designación sea adoptada mediante resolución de algún comité o por dirección general. En todo caso, la finalidad de lo anterior deberá ser contar con documentos y procedimientos que permitan comprobar el cumplimiento, así como la seriedad y el compromiso de la empresa u organización con este.
Perfil o credenciales del oficial o departamento de protección de datos
Aunque la Ley de Protección de Datos no establece el perfil o las credenciales que debe reunir el oficial de protección de datos o las personas que integren el departamento de protección de datos, considerando la relevancia y vínculo que tiene la designación del oficial o departamento de protección de datos con el principio de responsabilidad, es importante que, cuando menos, tal oficial o departamento cuente con los conocimientos, experiencia y habilidades suficientes y actualizados en el ámbito de la privacidad, protección de datos personales y seguridad de la información,[8] así como experiencia específica en el cumplimiento de las funciones y responsabilidades antes citadas que establece el artículo 30 de la Ley de Protección de Datos.[9]
[1] Ley de Protección de Datos, artículo 3, fracción XIV.
[2] Para más información al respecto, véase nuestro artículo número 1, «Empresas y entidades obligadas a cumplir con la Ley de Protección de Datos en México», publicado en agosto de 2022, disponible en https://privacidadparatodos.org/2022/07/21/empresas-y-entidades-obligadas-a-cumplir-con-la-ley-de-proteccion-de-datos-en-mexico/
[3] Ley de Protección de Datos, artículo 30.
[4] Ley de Protección de Datos y su Reglamento, artículos 19 y 47, respectivamente.
[5] Tenorio Cueto, G. (2019), Capítulo IV, Del ejercicio de los derechos de acceso, rectificación, cancelación y oposición, en Tenorio Cueto, G., Coordinador, Ley Federal de Protección de Datos Personales en Posesión de los Particulares, comentada, Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), México, págs. 99 y 103.
[6] Véase Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (2016), Recomendaciones para la designación de la persona o departamento de datos personales, página 9, disponible para consulta en https://home.inai.org.mx/wp-content/documentos/DocumentosSectorPrivado/RecomendacionesDesignar.pdf
[7] Reglamento de la Ley de Protección de Datos, artículo 48, fracción IV.
[8] INAI, Op. Cit., págs. 13 y 14.
[9] Similarmente, el artículo 37 del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea establece que el Delegado de Protección de Datos debe designarse atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del derecho y la práctica en materia de protección de datos, y a su capacidad para desempeñar sus funciones establecidas en el artículo 39 de dicho Reglamento.