¿Qué es la autorregulación?
Es común que la autorregulación se asocie a la ausencia de un sistema formal de reglas y a una mínima intervención gubernamental. Sin embargo, en el caso del derecho a la protección de datos personales en México, la propia Ley Federal de Protección Datos Personales en Posesión de los Particulares (LFPDPPP) considera, en su artículo 44, a la autorregulación como una herramienta útil para fomentar la protección de los datos personales.
A diferencia de la regulación tradicional, en la que el Estado genera las normas que han de obligar a los particulares; en la autorregulación los actores directamente afectados, por sí mismos o en coordinación con el Estado, establecen las reglas que normarán conductas o actividades en lo específico considerando que son ellos quienes mejor conocen su sector y sus procesos.
Para el caso de la autorregulación en materia de protección de datos personales, estas reglas establecidas con la participación de los actores involucrados, servirán para complementar lo dispuesto por la LFPDPPP, y para que los responsables y encargados del tratamiento de datos personales se distingan de sus competidores, como empresas, organizaciones o profesionistas socialmente responsables.
En ese sentido, la autorregulación en materia de protección de datos personales no pretende ser una ausencia de reglas, sino que busca corresponsabilidad en la creación de las normas y en su aplicación.
¿Cuáles son las ventajas de la autorregulación?
Un sistema de autorregulación confiable y eficiente trae consigo distintos beneficios, entre ellos:
Los datos personales de los titulares se tratan en un sistema que actúa de forma ordenada, ética y responsable; que cuenta con mecanismos rápidos y eficaces que facilitan la defensa de sus derechos.
- Los datos personales de los titulares se tratan en un sistema que actúa de forma ordenada ética y responsable; que cuenta con mecanismos rápidos y eficaces que facilitan la defensa de sus derechos.
- Las personas y organizaciones que tratan datos personales (responsables y encargados) mejoran su imagen y el nivel de confianza frente a sus clientes y consumidores, desarrollan normas de protección de datos personales armonizadas con sus procedimientos y cuentan con un sistema de resolución de controversias alterno, que permite soluciones eficaces, equitativas, rápidas y a bajo costo.
- Los esquemas de autorregulación facilitan las transferencias transfronterizas de datos personales.
- La autorregulación puede ser considerada por el Instituto para disminuir el monto de la sanción.
- Los esquemas de autorregulación ofrecen un sistema para documentar y acreditar ante el titular y la autoridad el cumplimiento de la normativa en la materia.
¿Qué información contiene el REA?
De conformidad con la normativa mexicana en la materia, únicamente aquellos esquemas de autorregulación que, a juicio del INAI, reúnan los requisitos previstos en la LFPDPPP, el Reglamento de la LFPDPPP, los Parámetros de autorregulación en materia de protección de datos personales y las Reglas de Operación del Registro de Esquemas de Autorregulación Vinculante, gozarán del reconocimiento del INAI y serán inscritos en el Registro de Esquemas de Autorregulación (REA), que será administrado por el Instituto.
En este sitio podrá acceder a la siguiente información pública:
- Las reglas emitidas para adaptar la normativa en materia de protección de datos personales.
- El listado de esquemas de autorregulación validados por el Instituto, e información relacionada con ellos.
- Las certificaciones reconocidas por el Instituto, e información relacionada con éstas.
- Las entidades de acreditación autorizadas por la Secretaría, en términos de la Ley de infraestructura, así como información relacionada con ellas.
- Listado de organismos de certificación acreditados, así como información relacionada con ellos.
- Esquemas de autorregulación internacionales, reconocidos fuera del territorio mexicano, con su respectiva equivalencia con la normativa mexicana en la materia quien hayan sido admitidos por el Instituto.
La normativa mexicana aplicable en la materia es la siguiente:
- El artículo 44 de la Ley Federal de Protección Datos Personales en Posesión de los Particulares (LFPDPPP);
- El Capítulo VI del Reglamento de la LFPDPPP;
- La Ley de Infraestructura de la Calidad, publicada en el DOF el 01 de julio de 2020 abrogó la Ley Federal sobre Metrología y Normalización
- Los Parámetros de Autorregulación en Materia de Protección de datos personales, y
- Las Reglas de Operación del Registro de Esquemas de Autorregulación en materia de protección de datos personales.
MANUAL DE IDENTIDAD GRÁFICA para el uso del Logo del REA INAI 
Registro REA
De conformidad con la normativa mexicana en la materia, únicamente aquellos esquemas de autorregulación que, a juicio del INAI, reúnan los requisitos previstos en la Ley Federal de Protección Datos Personales en Posesión de los Particulares (LFPDPPP), el Reglamento de la LFPDPPP, los Parámetros de autorregulación en materia de protección de datos personales (Parámetros) y Reglas de Operación del Registro de Esquemas de Autorregulación Vinculante (Reglas de Operación), gozarán del reconocimiento del INAI y serán inscritos en el Registro de Esquemas de Autorregulación Vinculante en Materia de Protección de Datos Personales (REA) que será administrado por el Instituto.
En ese contexto, el REA tiene por objeto organizar, administrar y gestionar la información de esquemas de autorregulación, así como transparentar información de:
- Las reglas emitidas para adaptar la normativa en materia de protección de datos personales, a las que refiere el Capítulo II de los Parámetros, cuando el Instituto y los interesados así lo consideren pertinente;
- El listado de esquemas de autorregulación validados por el Instituto, e información relacionada con ellos que sea relevante para el público interesado;
- Aquellas entidades de acreditación autorizadas por la Secretaría de Economía en términos de la Ley Federal sobre Metrología y Normalización, y reconocidas por el INAI;
- Los organismos de certificación con acreditación reconocida por el INAI;
- Las personas y organizaciones que tratan datos personales que han obtenido una certificación que haya sido reconocida por el INAI, y
- Los esquemas de autorregulación internacionales, reconocidos fuera del territorio mexicano, con su respectiva equivalencia con la normativa mexicana en la materia quien hayan sido admitidos por el INAI.
Para que un esquema de autorregulación sea inscrito en el REA, es necesario que sea notificado al INAI, que sea evaluado por éste y que cumpla con la normativa aplicable en la materia. El numeral 10 de los Parámetros y las Reglas de Operación del REA contienen los requisitos para realizar dicha notificación. Para mayor información visite el apartado de Esquemas de Autorregulación Vinculante.
Para que una entidad de acreditación, un organismo de certificación y una persona u organización certificada sean inscritos en el REA, es necesario que sigan los procedimientos previstos para el reconocimiento del INAI así como los requisitos de notificación previstos en los numerales 63, 69 y 78 de los Parámetros, así como en los artículos 48, 58 y 70 de las Reglas de Operación respectivamente. Para obtener mayor información, visite el apartado de Certificación.
AVISO DE PRIVACIDAD DEL REGISTRO DE ESQUEMAS DE AUTORREGULACIÓN VINCULANTE DEL INSTITUTO NACIONAL DE TRANSPARENCIA, ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE DATOS PERSONALES
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI o Instituto), con domicilio en Av. Insurgentes Sur, No. 3211, Col. Insurgentes Cuicuilco, Coyoacán, C.P. 04530, Ciudad de México, es el responsable del tratamiento de los datos personales que nos proporcione, los cuales serán protegidos conforme a lo dispuesto por la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, y demás normatividad que resulte aplicable.
¿Qué datos personales solicitamos y para qué fines?
Los datos personales que recabemos serán utilizados para las siguientes finalidades:
- Identificar al responsable o encargado, persona física, que presenta una solicitud de validación o reconocimiento de un esquema de autorregulación vinculante;
- Identificar y acreditar la personalidad del representante legal del solicitante de una validación de esquemas de autorregulación vinculante o de un reconocimiento de una entidad de acreditación, de un organismo de certificación o de un certificado;
- Sustanciar los trámites de validación de esquemas de autorregulación y de reconocimiento de entidades de acreditación, organismos de certificación o certificados, y trámites vinculados con los mismos;
- Integrar el Registro de Esquemas de Autorregulación Vinculante, y
- Publicar la información de esquema de autorregulación validados, así como de entidades de acreditación, organismos de certificación y certificados reconocidos, de conformidad con lo previsto por los Parámetros de Autorregulación en materia de Protección de Datos Personales (Parámetros) y las Reglas de Operación del Registro de Esquemas de Autorregulación Vinculante (Reglas), a fin de dar publicidad a los responsables y encargados comprometidos con la protección de datos personales.
No se publicará la información que se encuentre clasificada de conformidad con la Ley General de Transparencia y Acceso a la Información Pública y la Ley Federal de Transparencia y Acceso a la Información Pública. De manera adicional, los datos personales que solicitamos serán utilizados para generar informes estadísticos sobre el Registro de Esquemas de Autorregulación Vinculante. En este caso, los datos personales serán disociados de la información estadística, por lo que no será posible identificar a los titulares.
La información que se solicita para las finalidades antes señaladas es la siguiente:
Tratándose de solicitudes de validación de esquemas de autorregulación:
- Datos del responsable o encargado del tratamiento, cuando es persona física: nombre, teléfono, domicilio para oír notificaciones, firma y datos contenidos en el documento de identificación que presente.
- Datos del representante legal del responsable o encargado, en su caso: nombre, firma, datos contenidos en los documentos de identificación y para acreditar su personalidad que presente.
- Datos de las personas acreditadas para oír notificaciones: nombre.
Tratándose de solicitudes de validación de esquemas aplicables a un grupo:
- Datos del administrador: nombre, firma y datos personales contenidos en el documento de identificación y aquel que presente para acreditarse con tal carácter.
- El Representante legal del administrador, en su caso: nombre, firma y los datos personales contenidos en el documento de identificación y aquel que presente para acreditar su personalidad.
Igualmente, en ambos casos, si así lo proporciona el propio responsable o encargado, se podrán solicitar datos personales de identificación del personal vinculado al sistema de gestión del esquema sujeto a validación.
Se informa que no se solicitan datos personales sensibles.
Fundamento para el tratamiento de los datos personales El tratamiento de sus datos personales se realiza con fundamento en los artículos 44 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP); capítulo VI del Reglamento de la LFPDPPP; 14, 17 a 38, 41, 46, 49, 62, 63, 65, 66, 68, 69, 70, 72, 73, 74, 77, 78, 82 y 83 de los Parámetros y 10, 14, 16, 17, 23, 29, 30, 39, 40, 42, 46, 47, 48, 50, 51, 53, 57, 58, 61, 63, 65, 70, 73, 75, 77 y tercero transitorio de las Reglas.
¿Dónde puedo ejercer mis derechos ARCO?
Usted podrá ejercer sus derechos de acceso, rectificación, cancelación u oposición de sus datos personales (derechos ARCO) directamente ante la Unidad de Transparencia de este Instituto, ubicada en Avenida Insurgentes Sur 3211, en la colonia Insurgentes Cuicuilco, Delegación Coyoacán, C.P. 04530, CDMX, o bien, a través de la Plataforma Nacional de Transparencia (http://www.plataformadetransparencia.org.mx/) o en el correo electrónico unidad.transparencia@inai.org.mx.
Si desea conocer el procedimiento para el ejercicio de estos derechos puede acudir a la Unidad de Transparencia, enviar un correo electrónico a la dirección antes señalada o comunicarse al Telinai 800835-43-24.
Transferencia de datos personales
Se informa que sólo se difundirá, a través del Registro de Esquemas de Autorregulación, la información prevista en los artículos 87 y 88 de los Parámetros y 79 y 80 de las Reglas, con objeto de cumplir con dichas disposiciones. No se realizarán transferencias adicionales, salvo aquellas que sean necesarias para atender requerimientos de información de una autoridad competente, que estén debidamente fundados y motivados.
Cambios en el aviso de privacidad
En caso de que exista un cambio en este aviso de privacidad, lo haremos de su conocimiento a través del sitio de Internet del Registro de Esquemas de Autorregulación Vinculante https://registro-esquemas.inai.org.mx, o bien, de manera presencial en las instalaciones del Instituto.
Esquemas de autorregulación
En materia de datos personales, se tuvo la visión de incorporar en la legislación mexicana, un modelo de corregulación, en el que, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFDPPP) y demás normativa que derive de ella, establecieran los aspectos mínimos que deben cumplir los responsables y encargados para el adecuado tratamiento de los datos personales; y a su vez se complementara con los esquemas de autorregulación desarrollados de manera voluntaria por los particulares.
En ese contexto, cabe destacar que, el artículo 44 de la LFPDPPP, señala que las personas y organizaciones que tratan datos personales (responsables o encargados) pueden convenir la adopción de esquemas de autorregulación vinculante en materia de protección de datos personales, a fin de proteger de manera adecuada los datos personales, en complemento con los estándares previstos por la misma norma; por lo que deberán contener mecanismos para medir su eficacia, consecuencias y medidas correctivas en caso de incumplimiento.
De esta manera, podemos decir que los esquemas de autorregulación vinculante, son los documentos en los que se fijan los principios, normas y procedimientos que los particulares han accedido a cumplir, de manera voluntaria, para regular su comportamiento con relación al tratamiento de datos personales. Lo anterior, con la finalidad de elevar los estándares de protección de datos personales, y adoptar mejores prácticas en la materia, tanto nacionales como internacionales; considerando las particularidades de las actividades que realizan o al sector al que pertenecen los encargados y/o responsables.
Clases de Esquemas de Autorregulación Vinculante
En los Parámetros de Autorregulación y las Reglas de Operación del Registro de Esquemas de Autorregulación en materia de protección de datos personales se desarrollas las siguientes clases de esquemas de autorregulación vinculante:
Las reglas emitidas con objeto de adaptar la normatividad aplicable en materia de protección de datos personales a la realidad y actividades de un sector en particular.
Los esquemas de autorregulación vinculante con validación, que son evaluados y validados por el Instituto cuando satisfagan todos los requisitos previstos para ello, denominados esquemas con validación.
Los esquemas de autorregulación vinculante certificados por un organismo de certificación en materia de protección de datos personales, que serán reconocidos por el Instituto a través de su inscripción en el Registro, denominados esquemas con certificación reconocida.
Los esquemas desarrollados y reconocidos fuera del territorio mexicano, denominados esquemas de autorregulación internacionales.
Requisitos y contenidos mínimos que debe tener un Esquema de Autorregulación Vinculante para ser validado por el INAI
Todos aquellos esquemas de autorregulación vinculante que busquen la validación por parte del INAI, deben incluir, al menos, el contenido previsto por numeral 14 de los Parámetros de Autorregulación. De igual forma, podrán integrar contenidos potestativos de conformidad con lo establecido en el numeral 38 de los Parámetros de Autorregulación.
Por otro lado, para que un esquema de autorregulación vinculante sea inscrito en el Registro de Esquemas de Autorregulación Vinculante es necesario que dicho esquema sea notificado al Instituto, para evaluación sobre el cumplimiento de los requisitos previstos por los Parámetros.
La notificación de un esquema de autorregulación ante este Instituto deberá incluir:
- La denominación del esquema y el propio esquema;
- Nombre completo, denominación o razón social de los responsables o encargados que han decidido adherirse o adoptar el esquema, al momento de la presentación de la solicitud de validación;
- Sector o actividad a la que aplica el esquema;
- Alcance del esquema de acuerdo con el numeral 13 de los Parámetros de Autorregulación, es decir, si es total o parcial y, en este último caso, a qué principios, deberes y obligaciones aplica;
- Ámbito personal de aplicación, es decir, el tipo o grupo de titulares cuyos datos personales están vinculados con el tratamiento al que aplica el esquema;
- El contenido del Sistema de Gestión de Datos Personales, de conformidad con lo dispuesto en los numerales 16 al 37 de los Parámetros de Autorregulación, el cual deberá documentarse y desarrollarse en idioma español;
- Datos de contacto o un medio habilitado con fines de difusión del esquema;
- En su caso, los mecanismos alternativos de solución de controversias que aplicarán en el esquema;
- En su caso, el distintivo que identifique a los responsables o encargados adheridos o al esquema en cuestión, sus características particulares y las reglas de su uso;
- En su caso, las disposiciones relativas al alcance y vinculación internacional del esquema;
- En su caso, cualquier otro contenido potestativo que se incluya en el esquema, y
- El correo electrónico y el domicilio, para oír y recibir notificaciones.
Cuando se trate de un esquema aplicable a grupos de responsables y encargados, la notificación deberá incluir también:
- Nombre completo, denominación o razón social del administrador del esquema;
- Los requisitos y el procedimiento de adhesión al esquema, así como de renovación y terminación de la adhesión;
- Las sanciones y/o medidas correctivas previstas en caso de inconformidades por parte de los adheridos, y
- Los medios por los cuales se comunicará a los interesados cualquier aspecto relacionado con el esquema, incluidas las modificaciones al mismo.
La notificación deberá ir acompañada de un dispositivo de almacenamiento electrónico con la información referida anteriormente.
Los trámites relacionados con la validación de esquemas de autorregulación que se realicen ante el INAI serán gratuitos y presentarán por escrito en sus oficinas ubicadas en Avenida Insurgentes Sur, Número 3211, Colonia Insurgentes Cuicuilco, en la Alcaldía Coyoacán, Código Postal 04530, de lunes a jueves de 9:00 a 18:00 horas y viernes de 9:00 a 15:00 horas, o a través de otros medios que el INAI habilite para esos efectos. Para mayor información contacte al Centro de Atención a la Sociedad del INAI.
Formato de la Solicitud para la Inscripción al Registro
Con el objeto de facilitar la realización de los trámites de inscripción en el Registro de Esquemas de Autorregulación Vinculante ante este Instituto, se elaboró un formato para la solicitud de validación de esquemas de autorregulación, el cual contiene los requisitos para su presentación ante el INAI y se puede descargar en versión PDF en el siguiente vínculo electrónico.
Formato para solicitud de validación de esquema de autorregulación.
Sistemas de certificación
¿Qué es la certificación en materia de protección de datos personales?
La certificación en materia de protección de datos personales reconocida por el INAI consiste en que las personas acreditadas como organismos de certificación determinen el grado de cumplimiento de los esquemas y de su implementación, así como de prácticas y herramientas tecnológicas que adopten los responsables y encargados en relación con la LFPDPPP, su reglamento y demás normativa aplicable. Para poder otorgar certificaciones en esta materia, los organismos de certificación deben ser acreditados por una entidad de acreditación autorizada por la Secretaría de Economía, en términos de la Ley de Infraestructura de la Calidad, publicada en el DOF el 01 de julio de 2020 abrogó la Ley Federal sobre Metrología y Normalización.
La certificación puede ser total, cuando prevea y complemente la totalidad de principios de protección de datos, así como los deberes de confidencialidad y seguridad, todos ellos previstos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y la normativa que de ella deriva; o parcial, cuando certifiquen principios y deberes específicos.
¿Cómo está integrado el sistema de certificación en materia de protección de datos personales?
El sistema de certificación se integra de cuatro niveles:
- A la cabeza del sistema se encuentra la Secretaría de Economía, quien autoriza a las entidades de acreditación con fundamento en la Ley de Infraestructura de la Calidad, publicada en el DOF el 01 de julio de 2020 abrogó la Ley Federal sobre Metrología y Normalización, y el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Instituto), que reconoce a las entidades de acreditación autorizadas por la Secretaría de Economía, a los organismos de certificación y a los responsables y encargados certificados, mediante su inscripción en el Registro de Esquemas de Autorregulación Vinculante (Registro) ;
- En el segundo nivel se encuentran las entidades de acreditación, quienes están a cargo de acreditar a los organismos de certificación;
- En el tercer nivel están los organismos de certificación, quienes certifican a las personas y organizaciones que tratan datos personales (responsables y encargados);
- En el cuarto nivel se encuentran las personas y organizaciones que tratan datos personales (responsables y encargados), que desean autorregularse a través de la certificación.
Los Parámetros de Autorregulación establecen las facultades y funciones de cada uno de los actores de los distintos niveles, sus obligaciones y los aspectos que deben ser observados en las actividades que realicen.
¿Qué tipo de información contiene el REA?
En el Registro de Esquemas de Autorregulación Vinculante (REA) se transparentará información sobre:
Las reglas para adaptar la normativa en materia de protección de datos personales, a las que refiere el Capítulo II de los Parámetros;
Los esquemas de autorregulación validados o con certificación reconocida por el Instituto;
Las entidades de acreditación autorizadas por la Secretaría, facultadas para acreditar a organismos de certificación en materia de protección de datos personales;
Los organismos de certificación acreditados para otorgar certificaciones en materia de protección de datos personales;
Los responsables y encargados que se hayan adherido a algún esquema, y
Las equivalencias de esquemas de autorregulación internacionales.
Para que una entidad de acreditación, un certificador y una persona u organización certificada sean inscritos en el REA, es necesario que sigan los procedimientos previstos para ello.
FORMATOS PARA INSCRIPCIÓN AL REGISTRO
Con el objeto de apoyar a la realización de los trámites relacionados con la inscripción en el Registro de Esquemas de Autorregulación Vinculante, se elaboraron formatos para la notificación de autorizaciones, acreditaciones y certificados otorgados, los cuales contienen los requisitos para su presentación ante el INAI y puede descargar en versión PDF en los siguientes vínculos.
Formato para notificación de reconocimiento de autorización de entidad de acreditación.
Formato para notificación de reconocimiento de acreditación de organismo de certificación.
Formato para notificación de reconocimiento de certificación de responsables o encargados.
Esquemas de autorregulación
De conformidad con los Parámetros de Autorregulación en Materia de Protección de Datos Personales (Parámetros), una de las clases de esquemas de autorregulación que pueden gozar de aval de este Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI o Instituto), son los esquemas con validación.
En este apartado encontrará información de interés sobre los esquemas de autorregulación vinculante desarrollados por responsables o encargados y que han sido evaluados y validados por el INAI. Estos esquemas satisficieron todos los requisitos previstos en los Parámetros que tienen por objeto elevar los estándares de protección de datos personales y adoptar las mejores prácticas en la materia.
MANUAL DE IDENTIDAD GRÁFICA para el uso del Logo del REA INAI.
Esquemas de autorregulación vinculante validados
| Registro | Nombre de esquema | Distintivo | Alcance | Ámbito personal | Sector | Adheridos | Estatus | Ficha | Actuaciones |
|---|---|---|---|---|---|---|---|---|---|
| REA.EAV.01.2017 | Baja | Baja | Baja | Baja | Baja |
Certificación
De conformidad con el numeral 9 de los Parámetros de Autorregulación en Materia de Protección de Datos Personales (Parámetros), una de las clases de esquemas de autorregulación que pueden gozar de aval de este Instituto Nacional de Transprencia, Acceso a la Información y Protección de Datos Personales (INAI o Instituto), son los esquemas de autorregulación vinculante certificados por un organismo de certificación en materia de protección de datos personales, que serán reconocidos por el Instituto a través de su inscripción en el Registro, denominados esquemas con certificación reconocida.
En este apartado encontrará información de interés sobre: (i)Entidades de acreditación en materia de protección de datos personales reconocidas por el Instituto; (ii) los organismos de certificación en materia de protección de datos personales y reconocidos por el Instituto, y (iii) responsables y encargados certificados en materia de protección de datos personales reconocidos por el Instituto.
MANUAL DE IDENTIDAD GRÁFICA para el uso del Logo del REA INAI.
Entidades de acreditación reconocidas por el INAI
Las entidades de acreditación tienen a su cargo la acreditación de los organismos de certificación en materia de protección de datos personales. Para operar como entidad de acreditación en materia de protección de datos personales, se deberá contar con la autorización previa de la Secretaría de Economía, en términos de lo establecido en la Ley Sobre Metrología y Normalización, y su reglamento.
Aquellas personas que deseen operar como entidad de acreditación en materia de protección de datos personales, deberán observar el procedimiento y requisitos previstos en la Ley sobre Metrología y Normalización, así como su Reglamento, y realizar dicho trámite ante la Secretaría de Economía.
Para la inscripción en el Registro, será necesario que la Secretaría de Economía notifique al INAI, aquellas autorizaciones para operar como entidad de acreditación que sean otorgadas en términos de la Ley sobre Metrología.
Las obligaciones de las entidades de acreditación reconocidas por el INAI en materia de protección de datos personales, se encuentran previstas en el numeral 65 de los Parámetros de Autorregulación.
FORMATO PARA PRESENTAR LA NOTIFICACIÓN DE AUTORIZACIÓN DE ENTIDAD DE ACREDITACIÓN.
| Registro | Nombre | Distintivo | Oficinas autorizadas | Sitio de internet | Estatus | Ficha | Actuaciones |
|---|---|---|---|---|---|---|---|
| REA.EA.01.2015 | Entidad Mexicana de Acreditación, A.C. |
 |
Mariano Escobedo 564, Col. Anzures, Delegación Miguel Hidalgo, México, D.F., C.P. 11590 | www.ema.org.mx | Vigente |
Organismos de certificación reconocidos por el INAI
Los organismos de certificación son aquellas personas acreditadas por una entidad de acreditación autorizada por la Secretaría de Economía, en término s de la Ley Federal sobre Metrología y Normalización, y que cuentan con un reconocimiento del INAI como organismos de certificación en materia de protección de datos personales.
Los organismos de certificación tienen la obligación de determinar el cumplimiento de esquemas de autorregulación, prácticas y herramientas tecnológicas con relación a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su reglamento y los Parámetros, con base en lo previsto en los propios Parámetros de Autorregulación y en la Ley Federal sobre Metrología y Normalización.
La certificación puede ser total, cuando prevean y complementen la totalidad de principios de protección de datos, los deberes de confidencialidad y seguridad, y las obligaciones previstos por la LFPDPPP y por la normativa que de ella deriva; o parcial, cuando certifiquen principios y deberes específicos.
Los organismos de certificación acreditados por alguna entidad de acreditación y reconocidos por el Instituto, deberán publicar sus procedimientos para otorgar certificaciones. Así podrá saber cualquier interesado en certificar su esquema de autorregulación, práctica o herramienta tecnológica, cuáles requisitos además de los previstos por la Ley Federal sobre Metrología y Normalización y los Parámetros, deberá satisfacer para obtener dicha certificación.
FORMATO PARA PRESENTAR LA NOTIFICACIÓN DE AUTORIZACIÓN DE ENTIDAD DE ACREDITACIÓN.
| Registro | Nombre de la entidad de acreditación | Nombre del organismo | Distintivo | Oficinas acreditadas | Alcance | Sitio de internet | Estatus | Ficha | Actuaciones |
|---|---|---|---|---|---|---|---|---|---|
| REA.EA.01.2015.-01/15 | Entidad Mexicana de Acreditación, A.C. | Normalización y Certificación NYCE, S.C. (NYCE) |
 |
Listado de oficinas | Sectores financiero, salud, eduación, telecomunicaciones, e industria, comercio y servicios. | www.nyce.org.mx | Vigente | ||
| REA.EA.01.2015.-02/19 | Entidad Mexicana de Acreditación, A.C. (EMA) | Global Certification Bureau, S.A. |
 |
Listado de oficinas | Sector financiero, salud, educaión, telecomunicaciones, industria, comercio y servicios | www.gcbglobal.com | Vigente |
Responsables y encargados cuyos esquemas se encuentren certificados
Toda persona u organización que trate datos personales independientemente de si es responsable o encargado, puede solicitar que un organismo de certificación acreditado en materia de protección de datos personales, determine el grado de cumplimiento de un esquema de autorregulación implementado, de prácticas y herramientas tecnológicas para demostrar su compromiso con el debido tratamiento de la información personal.
Un responsable es toda persona física o moral, de carácter privado, que decide sobre el tratamiento de datos personales. El encargado es la persona física o moral, de carácter privado, que de hecho trata datos personales, a nombre y por cuenta de responsable y de conformidad con sus instrucciones.
Las personas (físicas o morales) que tratan datos personales y que optan por la certificación, mejoran su imagen social y nivel de confianza frente a los consumidores y a la propia autoridad.
De acuerdo a lo establecido en los Parámetros, para que un esquema de autorregulación sea certificado por un organismo de certificación y reconocido por el Instituto, deberá satisfacer, al menos, los requisitos o contenidos mínimos desarrollados en la Sección II del Capítulo I de los Parámetros.
Adicionalmente, los esquemas de autorregulación que busquen la certificación pueden prever contenidos potestativos como los ejemplificados en la Sección III del Capítulo I de los Parámetros.
Cada organismo de certificación podrá determinar requisitos adicionales para otorgar un certificado en materia de protección de datos personales, a un esquema de autorregulación vinculante.
FORMATO PARA PRESENTAR LA NOTIFICACIÓN DE AUTORIZACIÓN DE ENTIDAD DE ACREDITACIÓN.
REA - Responsables y encargados cuyos esquemas se encuentren certificados
| Orden | Nombre de la entidad de acreditación | Nombre del organismo | Alcance | Estatus | Actuaciones | ||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| wdt_ID | Orden | Registro | Nombre de la entidad de acreditación | Nombre del organismo | Distintivo | Oficinas acreditadas | Alcance | Sitio de internet | Estatus | Ficha | Actuaciones |
| 2 | 2 | REA.EA.01.2015.-01/15-NYCE-CPDP-002 | CANCELADO | CANCELADO | CANCELADO | CANCELADO | |||||
| 3 | 3 | REA.EA.01.2015.-01/15-NYCE-CPDP-003 | NO VIGENTE | NO VIGENTE | NO VIGENTE | NO VIGENTE | |||||
| 4 | 4 | REA.EA.01.2015.-01/15-NYCE-CPDP-004 | NO VIGENTE | NO VIGENTE | NO VIGENTE | NO VIGENTE | |||||
| 5 | 5 | REA.EA.01.2015.-01/15-NYCE-CPDP-005 | CANCELADO | CANCELADO | CANCELADO | CANCELADO | |||||
| 6 | 6 | REA.EA.01.2015.-01/15-NYCE-CPDP-006 | NO VIGENTE | NO VIGENTE | NO VIGENTE | NO VIGENTE | |||||
| 7 | 7 | REA.EA.01.2015.-01/15-NYCE-CPDP-007 | NO VIGENTE | NO VIGENTE | NO VIGENTE | NO VIGENTE | |||||
| 8 | 8 | REA.EA.01.2015.-01/15-NYCE-CPDP-008 | NO VIGENTE | NO VIGENTE | NO VIGENTE | NO VIGENTE | |||||
| 9 | 9 | REA.EA.01.2015.-01/15-NYCE-CPDP-009 | Normalización y Certificación NYCE, S.C. | VALUACIONES ACTUARIALES DEL SUR, S.C. |  |
Total | http://vasur.com/ | Vigente | |||
| 10 | 10 | REA.EA.01.2015.-01/15-NYCE-CPDP-010 | NO VIGENTE | NO VIGENTE | NO VIGENTE | NO VIGENTE | |||||
| 11 | 11 | REA.EA.01.2015.-01/15-NYCE-CPDP-011 | NO VIGENTE | NO VIGENTE | NO VIGENTE | NO VIGENTE |
Esquemas de autorregulación internacionales
| Consecutivo | Nombre del esquema | Distintivo | Descripción General | Sector | País de origen | Equivalencia con la normativa mexicana | Estatus | Adheridos | Ficha | Actuaciones |
|---|---|---|---|---|---|---|---|---|---|---|
Otros esquemas de autorregulación
| Registro | Nombre del esquema | Distintivo | Descripción General | Sector | Estatus | Ficha | Actuaciones |
|---|---|---|---|---|---|---|---|
¿Qué es la autorregulación vinculante en materia de protección de datos personales?
La autorregulación vinculante supone la producción de reglas con la participación de los sujetos a los que estarán destinadas y obligados a su aplicación. En otras palabras, la autorregulación es la autonomía en la creación de las reglas y en la decisión de adherirse a las mismas. Esta participación del sujeto interesado en la elaboración de las reglas, asegura una mejor adecuación de las mismas a la realidad de la actividad o sector involucrado.
En el caso concreto, la autorregulación en materia de protección de datos personales refiere a comportamientos, normas y obligaciones complementarias a las impuestas por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su Reglamento y demás normativa aplicable en la materia.
La autorregulación en esta materia es vinculante, pues si bien las personas u organizaciones que tratan datos personales pueden decidir de manera voluntaria adoptar un esquema de autorregulación, una vez que se han adherido a uno están obligadas a cumplirlo, ya que en caso contrario estarán sujetas a las sanciones que imponga el propio esquema.
¿Qué clases de esquemas de autorregulación existen?
La normativa señala que existen cuatro clases de esquemas de autorregulación vinculante:
Las reglas emitidas con objeto de adaptar la normativa aplicable en materia de protección de datos personales a la realidad y actividades de un sector en particular, a fin de hacer eficiente la aplicación del derecho a su protección;
Los esquemas de autorregulación vinculante evaluados y validados por el Instituto cuando satisfagan todos los requisitos previstos para ello, denominados esquemas con validación, que tendrán por objeto elevar los estándares de protección de datos personales y adoptar las mejores prácticas en la materia, y
Los esquemas de autorregulación vinculante certificados por un organismo de certificación en materia de protección de datos personales, que serán reconocidos por el Instituto a través de su inscripción en el Registro, denominados esquemas con certificación reconocida, que también tendrán por objeto elevar los estándares de protección de datos personales y adoptar las mejores prácticas en la materia.
Los esquemas de autorregulación desarrollados y reconocidos fuera del territorio mexicano, de los cuales el INAI analizará su equivalencia con la normativa mexicana en la materia.
¿A quiénes se les recomienda la implementación de esquemas de autorregulación vinculante en materia de protección de datos personales?
A todas la personas u organizaciones (responsables o encargados) que llevan a cabo tratamientos de datos personales, ya que la implementación de esquemas de autorregulación vinculante tiene diversos beneficios, ya sea a través de:
un esquema de autorregulación vinculante con validación o
a través de la certificación en materia de protección de datos personales con reconocimiento del INAI.
La autorregulación es una herramienta que ayuda a cumplir con lo establecido en la normativa de protección de datos personales, adaptándola a las necesidades específicas de un sector o actividad, por lo que es recomendable para toda empresa, persona física u organización que trate datos personales, sin importar el giro o tamaño de su negocio o actividad.
¿Frente a quién puedo hacer mis trámites de autorregulación en materia de protección de datos personales?
Los trámites se deberán realizar frente a los distintos actores del sistema de autorregulación en materia de protección de datos personales (INAI, Secretaría de Economía, entidades de acreditación y organismos de certificación), dependiendo de qué se requiere. A continuación, podrá encontrar un listado de trámites y el actor ante el cual deberá presentar su solicitud.
Frente al INAI:
- Solicitud de validación de esquemas de autorregulación que convengan los particulares, así como sus modificaciones y bajas.
- Notificación para el reconocimiento de las autorizaciones otorgadas por la Secretaría de Economía para ser entidad de acreditación, sus suspensiones y revocaciones.
- Notificación para el reconocimiento de las acreditaciones otorgadas por las entidades de acreditación reconocidas, para ser organismo de certificación, sus modificaciones, suspensiones y cancelaciones.
- Notificación para el reconocimiento de certificaciones otorgadas por organismos de certificación reconocidos, a responsables y encargados, así como sus modificaciones, suspensiones y cancelaciones.
Los trámites que se realicen ante el INAI no tendrán costo alguno y se llevarán a cabo presentando la documentación requerida en las oficinas del Instituto, ubicadas en Avenida Insurgentes Sur, Número 3211, Colonia Insurgentes Cuicuilco, Coyoacán, C.P. 04530, de lunes a jueves de 9:00 a 18:00 horas y viernes de 9:00 a 15:00 horas, o a través de otros medios que el INAI habilite para esos efectos. Para mayor información contacte al Centro de Atención a la Sociedad (CAS) del INAI.
Frente a la Secretaría de Economía:
Autorización para operar como entidad de acreditación en términos de lo establecido en la Ley de Infraestructura de la Calidad, publicada en el DOF el 01 de julio de 2020 abrogó la Ley Federal sobre Metrología y Normalización.
Frente a una de las entidades de acreditación autorizadas por la Secretaría de Economía y reconocidas por el INAI:
- Acreditación de organismos de certificación en materia de protección de datos personales y trámites relacionados con las acreditaciones.
Frente a los organismos de certificación reconocidos por el INAI:
- Certificación del tratamiento de los datos personales que llevan a cabo las personas u organizaciones que tratan datos personales (responsables y encargados) y trámites relacionados con esas certificaciones.
¿Qué es el Registro de Esquemas de Autorregulación Vinculante en Materia de Protección de Datos Personales o REA?
El REA es la base de datos administrada por el Instituto conformada por expedientes y documentos físicos y electrónicos, la cual tiene la función de organizar, administrar y gestionar la información de los esquemas de autorregulación vinculante en materia de protección de datos personales, así como transparentar información de:
- Las reglas emitidas para adaptar la normativa en materia de protección de datos personales, a las que refiere el Capítulo II de los Parámetros, cuando el Instituto y los interesados así lo consideren pertinente;
- El listado de esquemas de autorregulación validados por el Instituto, e información relacionada con ellos;
- Aquellas entidades de acreditación autorizadas por la Secretaría de Economía en términos de la Ley de Infraestructura de la Calidad, publicada en el DOF el 01 de julio de 2020 abrogó la Ley Federal sobre Metrología y Normalización, y reconocidas por el INAI;
- Los organismos de certificación con acreditación reconocida por el INAI;
- Las personas y organizaciones que tratan datos personales que han obtenido una certificación que haya sido reconocida por el INAI, y
- Los Esquemas de autorregulación internacionales, reconocidos fuera del territorio mexicano, con su respectiva equivalencia con la normativa mexicana en la materia, que hayan sido admitidos por el INAI.
¿Si trato datos personales, me encuentro obligado a elaborar un esquema de autorregulación?
La decisión de adoptar un esquema de autorregulación en materia de protección de datos es voluntaria, sin embargo, una vez adoptado el esquema de autorregulación, quien aceptó su implementación se encuentra obligado a cumplir y dar seguimiento a las obligaciones que se le imponen a través de éste.
¿Qué es un esquema de autorregulación con validación?
Es el documento en el que se establecen los principios, normas y procedimientos en materia de protección de datos personales que los particulares han accedido observar para regular los tratamientos de datos que realizan, con la finalidad de complementar lo dispuesto por la normativa aplicable en la materia, adaptar las reglas a necesidades específicas del sector y elevar los estándares de protección de la información personal.
Estos esquemas pueden tomar distintas formas como códigos deontológicos, códigos de buenas prácticas profesionales, políticas de privacidad, reglas de privacidad corporativa, sellos de confianza, entre otros.
¿Qué ventajas tiene la adhesión a un esquema de autorregulación vinculante?
Las principales ventajas que tiene la adhesión a un esquema de autorregulación vinculante son:
Facilita la defensa de los derechos de los titulares de los datos personales;
Los responsables y encargados mejoran su imagen y el nivel de confianza frente a sus clientes y consumidores;
Los responsables y encargados desarrollan normas de protección de datos personales armonizadas con sus procedimientos;
Pueden contar con un sistema de resolución extrajudicial de controversias, que permita soluciones eficaces, equitativas, rápidas y a bajo costo;
Facilitan las transferencias transfronterizas de datos personales;
Pueden ser considerados por el Instituto para disminuir el monto en caso de sanción, y
Ofrecen un sistema para documentar y acreditar ante el titular y la autoridad el cumplimiento de la normativa en la materia.
¿Cuál es el procedimiento de inscripción de un esquema de autorregulación con validación en el REA?
Para poder inscribir un esquema de autorregulación vinculante frente al Instituto, es necesario que se cumplan los requisitos establecidos en el artículo 82 del Reglamento de la Ley; los numerales 14, 38, 46 y 49 de los Parámetros, así como los artículos 10, 16, 17, 23 y 29 de las Reglas de Operación.
Para conocer más sobre los requisitos específicos y el procedimiento de inscripción, le recomendamos dirigirse a la sección de esquemas de autorregulación que se encuentra dentro de este mismo sitio.
¿Tiene algún costo notificar/ registrar un esquema de autorregulación con validación, frente al Instituto?
Los trámites relacionados con esquemas de autorregulación vinculante realizados frente al INAI son gratuitos.
¿Cuáles son las obligaciones con las que debe cumplir un particular interesado en implementar un esquema de autorregulación con validación?
El responsable o encargado del tratamiento de datos personales que esté interesado en la implementación de un esquema de autorregulación con validación deberá cumplir con las disposiciones previstas en los Parámetros de Autorregulación en materia de Protección de Datos Personales, así como las previstas en las Reglas de Operación del Registro de Esquemas de Autorregulación Vinculante.
¿Cuál es la vigencia de la validación del INAI a los esquemas de autorregulación con validación que hayan sido registrados en el REA?
Los esquemas de autorregulación con validación se mantendrán vigentes hasta en tanto no se actualice alguna condición prevista para su baja.
¿Qué es el sistema de certificación en materia de protección de datos personales?
El sistema de certificación tiene por objeto que las personas acreditadas como organismos de certificación determinen la conformidad o grado de cumplimiento de los esquemas, y de su implementación, así como prácticas y herramientas tecnológicas que adopten responsables y encargados con relación a la Ley Federal de Protección de Datos Personales en posesión de Particulares, su Reglamento, los Parámetros de Autorregulación, Reglas de Operación y demás normativa aplicable.
Dicho sistema se integra de diversos actores y niveles:
¿Cuáles son los beneficios de certificarse en materia de protección de datos personales?
Los responsables y encargados que obtengan las certificaciones podrán distinguirse de otros por su compromiso con el debido tratamiento de los datos personales. Igualmente, con la certificación, elevarán su imagen social y nivel de confianza frente a los consumidores y a la propia autoridad.
Asimismo, certificarse en materia de protección de datos personales te da las mismas ventajas que la adhesión a un esquema de autorregulación vinculante, mismas que se pueden encontrar en la pregunta 2 del apartado “Esquemas de autorregulación con validación”.
¿Qué empresas están certificadas en materia de protección de datos personales?
Dentro de este sitio de Internet del REA podrá encontrar información acerca de las personas y organizaciones que se encuentran certificadas y comprometidas con un debido tratamiento de su información y la debida protección de sus datos personales.
¿Qué necesito para ser entidad de acreditación reconocida por el INAI?
La persona moral que esté interesada en ser entidad de acreditación en materia de protección de datos personales, reconocida por el INAI, deberá tramitar la autorización para ser entidad de acreditación frente a la Secretaría de Economía, en términos de lo previsto en la Ley de Infraestructura de la Calidad, publicada en el DOF el 01 de julio de 2020 abrogó la Ley Federal sobre Metrología y Normalización y su Reglamento. Una vez que haya obtenido la autorización de la Secretaría de Economía, ésta deberá notificar al INAI la información prevista en el numeral 63 de los Parámetros de Autorregulación.
Para conocer más sobre los requisitos específicos le recomendamos dirigirse a la sección de entidades de acreditación que se encuentra dentro de este mismo sitio.
¿Tiene algún costo la notificación y solicitud del reconocimiento como entidad de acreditación frente al Instituto?
El trámite para notificar y solicitar el reconocimiento e inscripción al Registro como entidad de acreditación en materia de protección de datos personales frente al Instituto es gratuito.
¿Qué necesito para ser organismo de certificación reconocido?
Cualquier interesado en ser organismo de certificación deberá presentar su solicitud ante una entidad de acreditación autorizada para tal efecto por la Secretaría de Economía y reconocida como tal por el Instituto, a través del Registro, así como satisfacer los requisitos y procedimientos establecidos por dicha entidad de acreditación para otorgar acreditaciones, los cuales deberán ser puestos a disposición pública por la misma entidad de acreditación.
Para conocer más sobre los requisitos específicos, le recomendamos dirigirse a la sección de certificadores que se encuentra dentro de este mismo sitio.
¿Qué necesito para certificarme en materia de protección de datos personales?
La persona u organización que trate datos personales (responsable o encargado) que esté interesado en obtener una certificación deberá iniciar el procedimiento ante un organismo de certificación acreditado por una entidad de acreditación reconocida por el Instituto. El organismo de certificación establecerá el procedimiento que deberá seguir para obtener la certificación y se cerciorará que sus tratamientos, políticas, programas y procedimientos relacionados con la protección de datos personales implementados sean acordes con lo previsto por la normativa mexicana en la materia.
Para conocer más sobre los requisitos específicos, le recomendamos dirigirse a la sección de responsables y encargados que se encuentra dentro de este mismo sitio.
¿Cuál es la vigencia de una certificación y qué costos tiene?
Las certificaciones otorgadas en materia de protección de datos personales tendrán una vigencia de dos años. Los certificados podrán ser renovados al término de ese plazo.
Los procedimientos y condiciones para la certificación y su renovación, así como los costos de las mismas, serán determinados por el organismo de certificación.