¿Qué es la Autorregulación?
La autorregulación vinculante en materia de protección de datos personales es una actividad a través de la cual el responsable y/o el encargado del tratamiento, se compromete de manera voluntaria a proteger los datos personales, a través de la aplicación de un conjunto de normas cuyo contenido es determinado por dicho responsable o encargado.
En este sentido la autorregulación es una forma de complementar lo establecido en la normativa en materia, desarrollando y adoptando directrices, preceptos o criterios que los responsables y/o encargados se comprometen a cumplir de manera voluntaria, además de que la autorregulación podrá atender necesidades y particularidades específicas del sector o actividad a la que pertenece la organización.
La autorregulación es muy flexible, lo que permite que pueda desarrollarse de manera individual, o bien grupal, es decir, por una sola organización o por un grupo de organizaciones. Esto será determinado por el tipo de clase de esquemas que se decida adoptar y por las necesidades de la propia organización.
Principios de la Autorregulación vinculante
De acuerdo con los Parámetros, la autorregulación vinculante en materia de protección de datos personales se rige por 5 principios, los cuales son:
- Principio de voluntariedad. Establece que la adhesión o adopción de los esquemas de autorregulación vinculante será de manera libre.
- Principio de transparencia. Las prácticas en materia de protección de datos personales serán transparentes, excepto la información que se especifique como confidencial o reservada, siempre que exista el derecho a clasificarla de conformidad con la normativa.
- Principio de Obligatoriedad. Establece que una vez que se adhiere a un esquema de autorregulación vinculante, deberá cumplir con lo establecido en dicho esquema.
- Principio de responsabilidad. El responsable tiene la obligación de velar por el cumplimiento de los principios de protección de datos personales previstos por la Ley en relación con los datos personales que posee, o que haya comunicado a un tercero o encargado, ya sea que éste se encuentre o no en territorio nacional, debiendo adoptar medidas para su aplicación.
- Principio de imparcialidad. Los esquemas de autorregulación vinculante deben organizarse y operar de forma que salvaguarden la objetividad e imparcialidad de sus actividades.
Características de la Autorregulación
- Son los propios sujetos regulados quien la crea, es decir, la propia organización ya sea de manera individual o grupal.
- Permite generar un acercamiento más real del objeto regulado, es decir, de la organización.
- Autorregularse no es obligatorio, por lo que la característica más relevante es la voluntariedad.
- Permite fortalecer y demostrar el cumplimiento de la normativa en materia.
Principales beneficios de la Autorregulación
- Los responsables y encargados mejoran su imagen y el nivel de confianza frente a sus clientes, consumidores y empleados.
- Los responsables y encargados desarrollan normas de protección de datos personales armonizadas con sus procedimientos.
- Pueden contar con un sistema de resolución extrajudicial de controversias, que permita soluciones eficaces, equitativas, rápidas y a bajo costo.
- Facilitan las transferencias transfronterizas de datos personales.
- Pueden ser considerados por el Instituto para disminuir el monto en caso de sanción.
- Ofrecen un sistema para documentar y acreditar ante el titular y la autoridad el cumplimiento de la normativa en la materia.
- Ostentar un sello de confianza denominado Distintivo REA-INAI.
- Identificación de las funciones del personal que trata datos personales.
- Mejorar la gestión de la seguridad de la información, impidiendo fugas, brechas de seguridad entre otros.
- Formación y sensibilización del personal respecto de la importancia de la protección de datos personales.
- Control eficaz sobre los datos personales tratados y almacenados en las empresas.
- Facilitar el ejercicio de los derechos de los titulares.
- Contar con publicidad Positiva a través del REA.
- Fomentar la mejora continua en procesos relacionados con la protección de datos personales en la organización.
¿Qué son los Esquemas de Autorregulación?
Un esquema de autorregulación vinculante en materia de protección de datos personales plantea las directrices para optimizar las acciones del tratamiento de datos personales y el ejercicio de los derechos de los titulares, complementando los estándares de protección previstos por la normativa.
La creación de un esquema de autorregulación en materia de protección de datos personales principalmente, nos van a permitir direccionar, sensibilizar, establecer, supervisar, mantener e incrementar la efectividad de las medidas físicas, técnicas y administrativas para la protección de los datos personales y a su vez, asegurar el cumplimiento de las obligaciones establecidas por la Ley Federal.
Clases de Esquemas de Autorregulación
En la normativa se consideran cuatro clases de Esquemas de Autorregulación que las organizaciones pueden decidir desarrollar y adoptar:
Normativa aplicable
Reglas para Adaptar la Normativa (RAN)
En los Parámetros de Autorregulación, así como en las Reglas de Operación de REA, se encuentra definida la primera clase de esquemas de autorregulación vinculante, denominada reglas emitidas con objeto de adaptar la normativa aplicable en materia de protección de datos personales a la realidad y actividades de un sector en particular, a fin de hacer eficiente la aplicación del derecho a su protección.
Con el propósito de integrar aspectos particulares en sectores específicos, los responsables y/o encargados del tratamiento de datos personales, podrán desarrollar reglas, criterios o procedimientos que consideren necesarios para complementar lo establecido en la normativa. Asimismo, con la intención de mejorar la aplicación de dicha normativa y el ejercicio de los derechos de los titulares, el Instituto podrá proponer a los sujetos regulados por la Ley Federal, la adopción de las reglas para adaptar la normativa que para tal fin se desarrollen.
De igual forma, se podrá diseñar la elaboración conjunta de estas reglas, entre el Instituto, los sujetos regulados por la Ley Federal y otros sectores interesados en la autorregulación vinculante en materia de protección de datos personales, quienes fijarán los términos de coordinación que consideren convenientes. También, en caso de requerirla, el Instituto podrá solicitar la opinión o información de alguna autoridad sectorial para analizar y, en su caso, proponer reglas para adaptar la normativa en materia de protección de datos personales a un sector o actividad específico.
Esquemas de autorregulación validados por el Instituto
Un Esquema de Autorregulación Vinculante contiene un Sistema de Gestión de Datos Personales (SGDP en lo sucesivo). El SGDP se compone de un conjunto de procedimientos y acciones para planear, realizar, monitorear y mejorar de manera continua el tratamiento de datos personales.
Es importante señalar que para solicitar la validación de un Esquema de Autorregulación este se podrá presentarse implementado o no implementado:
- Esquema de Autorregulación Implementado. Sí al momento de solicitar la validación del esquema de autorregulación este se encuentra implementado, deberá presentar evidencias de los Parámetros 16 al 37.
- Esquema de Autorregulación No implementado. Sí al momento de solicitar la validación del esquema de autorregulación, no se encuentra implementado, deberá presentar la planeación de cada acción que corresponda a los Parámetros correspondientes, lo cual puede comprender formatos, procedimientos, procesos, entre otros.
- Podrán presentarlo de manera individual o grupal.
- En caso de que sea grupal, se deberá nombrar un administrador.
Alcance normativo
Los esquemas de autorregulación que se sometan a una validación deberán tener un alcance total o parcial:
Total cuando se desarrolle considerando todos los principios, deberes y obligaciones:
Principios
- Principio de licitud
- Principio de finalidad
- Principio de lealtad
- Principio de información
- Principio de calidad
- Principio de lealtad
- Principio de proporcionalidad
- Principio de responsabilidad
Deberes:
- Deber de seguridad
- Deber de confidencialidad
Obligaciones:
- Vinculadas a la relación entre encargado y responsable
- Vinculadas con la transferencia de datos personales
- Vinculadas con la atención de solicitudes de derechos ARCO de los titulares, así como para revocar el consentimiento que en su momento se hubiere otorgado para el tratamiento de datos personales
O bien, podrá tener un alcance Parcial: cuando desarrolle el esquema considerando uno o alguno de los principios, deberes u obligaciones establecidas en la normativa.
Proceso para validar un esquema de autorregulación
Contenidos mínimos de la notificación de un esquema de autorregulación vinculante
El escrito para solicitar la validación de un esquema de autorregulación deberá contener al menos lo siguiente:
Elementos de la notificación
1 | El nombre, denominación o razón social de quién o quiénes lo promuevan y de su representante legal, en su caso según corresponda conforme a uno de los siguientes supuestos: | |
A | En el caso de responsables o encargados personas físicas que realicen notificaciones al Instituto a nombre propio, éstos deberán presentar: | |
i) Copia de su identificación oficial vigente y original para su cotejo. | ||
B | En el caso de que la notificación se realice a través del representante legal del responsable o encargado que decidió adoptar el esquema, se deberá presentar: | |
i) Copia de la identificación oficial vigente del responsable o encargado persona física, en su caso, y original para su cotejo | ||
ii) Copia de la identificación oficial vigente del representante legal y original para su cotejo, y | ||
C | En el caso que la notificación se realice por el administrador, se deberá presentar: | |
i) Escrito libre firmado por el representante legal en caso de ser persona moral, donde se solicite su reconocimiento como administrador de determinado esquema, por parte del Instituto; | ||
ii) Copia de la identificación oficial vigente de su representante legal en caso de ser persona moral, y original para su cotejo; | ||
iii) Copia de la escritura pública del poder otorgado al representante legal del administrador, en caso de que éste sea persona moral, y original para su cotejo | ||
iv) Copia del documento que acredite el poder otorgado al administrador, para actuar en tal carácter, así como original para su cotejo, entre ellos: a. Escritura pública del poder otorgado al administrador por los adheridos de determinado esquema, o documento en el cual se acredite la calidad de administrador del esquema de que se trate, y | ||
v) Carta responsiva original firmada por el administrador tratándose de persona física, o su representante legal en caso de ser persona moral, en donde el administrador manifestando la conformidad con las funciones adquiridas en su carácter de administrador de determinado esquema con validación o que solicite la validación del Instituto, en términos numeral 47 de los Parámetros. | ||
2 | Correo electrónico y domicilio para oír y recibir notificaciones; | |
3 | El nombre de la persona o personas autorizadas para recibir las notificaciones; | |
4 | La petición que se formula, así como los hechos o razones que dan motivo a la petición; | |
5 | El órgano administrativo a que se dirige; | |
6 | El lugar y fecha de su emisión, | |
7 | Firmado por el interesado o su representante legal, a menos que no sepa firmar, caso en el cual, se imprimirá su huella digital. | |
8 | El nombre o denominación del esquema | |
9 | El nombre completo, denominación o razón social de los responsables o encargados adheridos o que decidieron adoptar el esquema, al momento de la presentación de la solicitud. | |
10 | Sector o actividad a la que aplica el esquema | |
11 | Alcance del esquema de acuerdo con el numeral 13 de los Parámetros, es decir si es total o parcial y, en este último caso a qué principios, deberes y obligaciones aplica. | |
12 | Ámbito personal de aplicación, es decir, el tipo o grupo de titulares cuyos datos personales están vinculados con el tratamiento al que aplica el esquema. | |
13 | El desarrollo del sistema de gestión de datos personales, de conformidad con lo dispuesto en los numerales 16 al 37 de los Parámetros. | |
14 | Datos de contacto o un medio habilitado con fines de difusión del esquema. | |
15 | Contenidos documentados y desarrollados en idioma español. | |
16 | En su caso, mecanismos alternativos de solución de controversias que aplicarán al esquema | |
17 | En su caso, el distintivo que identifique a los responsables o encargados adheridos o al esquema en cuestión, sus características particulares y las reglas de uso. | |
18 | En su caso, las disposiciones relativas al alcance y vinculación internacional del esquema | |
19 | En su caso, cualquier otro contenido potestativo que se incluya en el esquema | |
Cuando los esquemas sean desarrollados por un grupo de responsables y/o encargados, deberán designar a un administrador, para ello se deberá integrar lo siguiente en el escrito de solicitud de validación:
1. Nombre completo, denominación o razón social del administrador del esquema, así como la información prevista en el artículo 17 de las Reglas de Operación. |
2. Escrito libre firmado por el administrador tratándose de persona física, o por representante legal en caso de ser persona moral, donde se solicite su reconocimiento como administrador de determinado esquema, por parte del Instituto; |
3. Copia de la identificación oficial vigente de su representante legal en caso de ser persona moral, y original para su cotejo; |
4. Copia de la escritura pública del poder otorgado al representante legal del administrador, en caso de que éste sea persona moral, y original para su cotejo; |
5. Copia del documento que acredite el poder otorgado al administrador, para actuar en tal carácter, así como original para su cotejo, entre ellos: a. Escritura pública del poder otorgado al administrador por los adheridos de determinado esquema, o b. Documento en el cual se acredite la calidad de administrador del esquema de que se trate, y |
6. Carta responsiva original firmada por el administrador tratándose de persona física, o su representante legal en caso de ser persona moral, en donde el administrador manifiesta su conformidad con las funciones adquiridas en su carácter de administrador de determinado esquema con validación o que solicite la validación del Instituto, en términos numeral 47 de los Parámetros. |
¿Qué es la certificación de esquemas en materia de protección de datos personales?
La certificación de esquemas de autorregulación en materia de protección de datos personales reconocida por el INAI, consiste en que los organismos de certificación determinen el grado de cumplimiento de los esquemas y de su implementación, así como de prácticas y herramientas tecnológicas que adopten los responsables y encargados en relación con la LFPDPPP, su reglamento y demás normativa aplicable.
Para poder otorgar certificaciones en esta materia, los organismos de certificación deben ser acreditados por una entidad de acreditación autorizada por la Secretaría de Economía, en términos de la Ley de Infraestructura de la Calidad, publicada en el DOF el 01 de julio de 2020 abrogó la Ley Federal sobre Metrología y Normalización.
El alcance de la certificación puede ser total, cuando prevea y complemente la totalidad de principios, deberes y obligaciones establecidos en la normativa; o parcial, cuando certifiquen principios, deberes y obligaciones específicos.
¿Cómo está integrado el sistema de certificación en materia de protección de datos personales?
El sistema de certificación se integra de cuatro niveles de actores:
- A la cabeza del sistema se encuentra la Secretaría de Economía, quien autoriza a las entidades de acreditación con fundamento en la Ley de Infraestructura de la Calidad, y el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Instituto), que reconoce a las entidades de acreditación autorizadas por la Secretaría de Economía, a los organismos de certificación y a los responsables y encargados certificados, mediante su inscripción en el Registro de Esquemas de Autorregulación Vinculante (REA);
- En el segundo nivel se encuentran las entidades de acreditación, quienes están a cargo de acreditar a los organismos de certificación;
- En el tercer nivel están los organismos de certificación, quienes certifican los esquemas de autorregulación de las personas y organizaciones que tratan datos personales (responsables y encargados);
- En el cuarto nivel se encuentran las personas y organizaciones que tratan datos personales (responsables y encargados), que desean autorregularse a través de la certificación.
Los Parámetros de Autorregulación establecen las facultades y funciones de cada uno de los actores de los distintos niveles, sus obligaciones y los aspectos que deben ser observados en las actividades que realicen.
Esquemas de autorregulación certificados
Los esquemas certificados brindarán una mayor certeza de estar desarrollados e implementados de una manera adecuada, demostrando el compromiso adquirido en materia de protección de datos personales y, sobre todo, la conformidad con la normativa.
Al igual que los esquemas validados por el Instituto, deben contener un sistema de gestión de datos personales, que deberá desarrollarse de conformidad con los Parámetros del 16 al 37. En este sentido, los esquemas con certificación reconocida deberán ajustarse a la normativa aplicable en la materia, y las certificaciones en materia de protección de datos personales que otorguen dichos organismos, serán dentro del marco de los Parámetros y las Reglas de Operación.
De esta manera, los responsables y/o encargados que desarrollen un esquema de autorregulación vinculante y opten por la certificación, deberán realizar su proceso de certificación ante un organismo de certificación, el cual evaluará su contenido y determinará la conformidad o grado de cumplimiento del esquema y de su implementación, de conformidad con los requisitos establecidos para ello en la normatividad en materia de protección de datos y de los requisitos que el mismo organismo de certificación establezca. En caso de otorgar dicha certificación, el organismo de certificación solicitará al INAI el reconocimiento de dicho esquema certificado, así como su inscripción en el Registro de Esquemas de Autorregulación Vinculante (REA). Las certificaciones otorgadas en materia de protección de datos personales tendrán una vigencia de dos años y podrán ser renovadas al término de ese plazo.
¿Que es un Sistema de Gestión de Datos Personales?
El sistema de gestión de datos personales (SGDP) se compone de un conjunto de procedimientos y acciones para planear, realizar, monitorear y mejorar de manera continua el tratamiento de datos personales.
El SGDP tiene como objetivo el proporcionar a los responsables y encargados del tratamiento de datos personales, los elementos, pautas y actividades para regular la dirección, operación y control de sus procesos, y proteger así, de manera sistemática y continua, los datos personales que estén en su posesión.
Los numerales de los Parámetros que refieren los procedimientos y acciones por desarrollar, se encuentran ordenados de tal manera que, al ir planteando y elaborando las directrices, los procedimientos y las instrucciones que deberán seguirse para la implementación del SGDP, se va conformando el ciclo Deming.
Planear
En esta primera etapa del ciclo se establecen las metas del SGDP. Se definen el alcance, objetivos, políticas, procesos y procedimientos que conformarán el SGDP, con el propósito de cumplir con la legislación vigente sobre protección de datos personales y obtener los resultados que se definan como meta de la organización. En esta etapa se determinan también los parámetros de medición que se van a utilizar para controlar y seguir el proceso.
Hacer
En esta segunda etapa del ciclo se establecen los medios de acción del SGDP. Se implementan y operan las políticas, objetivos, procesos y procedimientos del SGDP, de igual forma se despliegan los controles y mecanismos con sus indicadores de medición. También consiste en la implementación de los cambios o acciones necesarias para lograr las mejoras propuestas. Considerando la posibilidad de obtener errores en la ejecución, en esta fase se recomienda desarrollar un plan a modo de prueba, con el objeto de ganar en eficacia y poder corregir fácilmente aquello que se implemente.
Verificar
En esta tercera etapa del ciclo se establece la revisión de las metas del SGDP. Considerando los parámetros de medición -determinados de antemano en la fase planear-, se evalúa y revisa el cumplimiento del SGDP de acuerdo con la legislación de protección de datos personales, se informan los resultados a la alta dirección para que los conozcan y comprueben si se han cumplido. Asimismo, de conformidad con el período de tiempo que se establezca, se valora la efectividad de los cambios o acciones propuestos en el plan de mejoras y, en su caso, se realizan los ajustes necesarios hasta obtener la mejora esperada. Se trata de una fase de regulación y ajuste en la que se monitorea y evalúa la implementación del SGDP documentando las conclusiones.
Actuar
En esta cuarta etapa del ciclo se determinan las acciones para la mejora continua del SGDP. Se realizan las medidas correctivas y preventivas necesarias con el objeto de logar la mejora continua en función de los resultados obtenidos de lo implementado y de la revisión de la alta dirección, auditorias y comparación con otras fuentes de información relevantes en la fase verificar. En esta etapa, con base a lo aprendido, se realizan los ajustes en las áreas críticas que se hayan detectado. Además, considerando que es un ciclo, se deben evaluar las actividades de manera periódica, realizar recomendaciones y observaciones que sirvan para incorporar nuevas mejoras volviendo al paso inicial de planear, y así el círculo nunca para de fluir.
Documento de apoyo para desarrollar SGDP
El siguiente documento de apoyo, tiene la finalidad de proporcionarle información destallada para desatollar un sistema de gestión de datos personales, ya sea para solicitar una validación, o bien, una certificación.
Registro de Esquemas de Autorregulación (REA)
El REA es un sistema informático administrado por el Instituto que tiene por objeto organizar, administrar y gestionar la información de Esquemas de Autorregulación, así como transparentar información de:
- Las reglas emitidas para adaptar la normativa en materia de protección de datos personales, a las que refiere el Capítulo II de los Parámetros, cuando el Instituto y los interesados así lo consideren pertinente;
- El listado de esquemas de autorregulación validados por el Instituto, e información relacionada con ellos que sea relevante para el público interesado;
- Las entidades de acreditación autorizadas por la Secretaría de Economía en términos de la Ley Federal sobre Metrología y Normalización, y reconocidas por el INAI;
- Los organismos de certificación con acreditación reconocida por el INAI;
- Las personas y organizaciones que tratan datos personales que han obtenido una certificación que haya sido reconocida por el INAI, y
- Los esquemas de autorregulación internacionales, reconocidos fuera del territorio mexicano, con su respectiva equivalencia con la normativa mexicana en la materia quien hayan sido admitidos por el INAI.
Para que un esquema de autorregulación sea inscrito en el REA, es necesario que sea notificado al INAI, que sea evaluado por éste y que cumpla con la normativa aplicable en la materia. El numeral 10 de los Parámetros y las Reglas de Operación del REA contienen los requisitos para realizar dicha notificación. Para mayor información visite el apartado de Esquemas de Autorregulación Vinculante.
Para que una entidad de acreditación, un organismo de certificación y una persona u organización certificada sean inscritos en el REA, es necesario que sigan los procedimientos previstos para el reconocimiento del INAI así como los requisitos de notificación previstos en los numerales 63, 69 y 78 de los Parámetros, así como en los artículos 48, 58 y 70 de las Reglas de Operación respectivamente. Para obtener mayor información, visite el apartado de Certificación.
¿Qué tipo de información contiene el REA?
En el Registro de Esquemas de Autorregulación Vinculante (REA) se transparentará información sobre:
- Las reglas para adaptar la normativa en materia de protección de datos personales, a las que refiere el Capítulo II de los Parámetros;
- Los esquemas de autorregulación validados o con certificación reconocida por el Instituto;
- Las entidades de acreditación autorizadas por la Secretaría, facultadas para acreditar a organismos de certificación en materia de protección de datos personales;
- Los organismos de certificación acreditados para otorgar certificaciones en materia de protección de datos personales;
- Los responsables y encargados que se hayan adherido a algún esquema, y
- Las equivalencias de esquemas de autorregulación internacionales.
Para que una entidad de acreditación, un certificador y una persona u organización certificada sean inscritos en el REA, es necesario que sigan los procedimientos previstos para ello.
Aviso de Privacidad
AVISO DE PRIVACIDAD DEL REGISTRO DE ESQUEMAS DE AUTORREGULACIÓN VINCULANTE DEL INSTITUTO NACIONAL DE TRANSPARENCIA, ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE DATOS PERSONALES
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI o Instituto), con domicilio en Av. Insurgentes Sur, No. 3211, Col. Insurgentes Cuicuilco, Coyoacán, C.P. 04530, Ciudad de México, es el responsable del tratamiento de los datos personales que nos proporcione, los cuales serán protegidos conforme a lo dispuesto por la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, y demás normatividad que resulte aplicable.
¿Qué datos personales solicitamos y para qué fines?
Los datos personales que recabemos serán utilizados para las siguientes finalidades:
- Identificar al responsable o encargado, persona física, que presenta una solicitud de validación o reconocimiento de un esquema de autorregulación vinculante;
- Identificar y acreditar la personalidad del representante legal del solicitante de una validación de esquemas de autorregulación vinculante o de un reconocimiento de una entidad de acreditación, de un organismo de certificación o de un certificado;
- Sustanciar los trámites de validación de esquemas de autorregulación y de reconocimiento de entidades de acreditación, organismos de certificación o certificados, y trámites vinculados con los mismos;
- Integrar el Registro de Esquemas de Autorregulación Vinculante, y
- Publicar la información de esquema de autorregulación validados, así como de entidades de acreditación, organismos de certificación y certificados reconocidos, de conformidad con lo previsto por los Parámetros de Autorregulación en materia de Protección de Datos Personales (Parámetros) y las Reglas de Operación del Registro de Esquemas de Autorregulación Vinculante (Reglas), a fin de dar publicidad a los responsables y encargados comprometidos con la protección de datos personales.
De manera adicional, los datos personales que solicitamos serán utilizados para generar informes estadísticos sobre el Registro de Esquemas de Autorregulación Vinculante. En este caso, los datos personales serán disociados de la información estadística, por lo que no será posible identificar a los titulares.
La información que se solicita para las finalidades antes señaladas es la siguiente:
Tratándose de solicitudes de validación de esquemas de autorregulación:
- Datos del responsable o encargado del tratamiento, cuando es persona física: nombre, teléfono, domicilio para oír notificaciones, firma y datos contenidos en el documento de identificación que presente.
- Datos del representante legal del responsable o encargado, en su caso: nombre, firma, datos contenidos en los documentos de identificación y para acreditar su personalidad que presente.
- Datos de las personas acreditadas para oír notificaciones: nombre.
Tratándose de solicitudes de validación de esquemas aplicables a un grupo:
- Datos del administrador: nombre, firma y datos personales contenidos en el documento de identificación y aquel que presente para acreditarse con tal carácter.
- Representante legal del administrador, en su caso: nombre, firma y los datos personales contenidos en el documento de identificación y aquel que presente para acreditar su personalidad.
Igualmente, en ambos casos, si así lo proporciona el propio responsable o encargado, se podrán solicitar datos personales de identificación del personal vinculado al sistema de gestión del esquema sujeto a validación.
Tratándose de la solicitud de reconocimiento de entidades de acreditación:
- Datos del servidor público que presenta la solicitud: nombre, cargo y firma.
Tratándose de solicitudes de reconocimiento de organismos de certificación y de certificados:
- Datos del representante legal de la entidad de acreditación: nombre, firma y datos contenidos en el documento de identificación y en aquéllos que acrediten su personalidad.
- Datos del representante legal del organismo de certificación: nombre, firma y datos contenidos en el documento de identificación y en aquéllos que acrediten su personalidad.
- Personas encargadas de recibir notificaciones: nombre.
- Datos del responsable o encargado certificado, persona física: nombre y domicilio.
Se informa que no se solicitan datos personales sensibles.
Fundamento para el tratamiento de los datos personales
El tratamiento de sus datos personales se realiza con fundamento en los artículos 44 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), publicada en el Diario Oficial de la Federación el día 5 de julio de 2010; capítulo VI del Reglamento de la LFPDPPP, publicado en el Diario Oficial de la Federación el día 21 de diciembre de 2011; 14, 17 a
38, 41, 42, 46, 49, 51, 59, 60, 62, 63, 65, 66, 68, 69, 70, 72, 73, 74, 77, 78, 82 y 83 de los Parámetros, publicados en el Diario Oficial de la Federación el día 29 de mayo de 2014, y 10, 14, 16, 17, 23, 29, 30, 39, 40, 42, 46, 47, 48, 50, 51, 53, 57, 58, 61, 63, 65, 70, 73, 75, 77 y tercero transitorio de las Reglas, publicadas en el Diario Oficial de la Federación el día 18 de febrero de 2015.
¿Dónde puedo ejercer mis derechos ARCO?
Usted podrá ejercer sus derechos de acceso, rectificación, cancelación u oposición de sus datos personales (derechos ARCO) directamente ante la Unidad de Transparencia de este Instituto, ubicada en Avenida Insurgentes Sur 3211, en la colonia Insurgentes Cuicuilco, Delegación Coyoacán, C.P. 04530, CDMX, o bien, a través de la Plataforma Nacional de Transparencia (http://www.plataformadetransparencia.org.mx/) o en el correo electrónico unidad.transparencia@inai.org.mx.
Si desea conocer el procedimiento para el ejercicio de estos derechos puede acudir a la Unidad de Transparencia, enviar un correo electrónico a la dirección antes señalada o comunicarse al Telinai 800835-43-24.
Transferencia de datos personales
Se informa que sólo se difundirá, a través del Registro de Esquemas de Autorregulación, la información prevista en los artículos 87 y 88 de los Parámetros y 79 y 80 de las Reglas, con objeto de cumplir con dichas disposiciones. No se realizarán transferencias adicionales, salvo aquellas que sean necesarias para atender requerimientos de información de una autoridad competente, que estén debidamente fundados y motivados.
Cambios en el aviso de privacidad
En caso de que exista un cambio en este aviso de privacidad, lo haremos de su conocimiento a través del sitio de Internet del Registro de Esquemas de Autorregulación Vinculante https://registro-esquemas.inai.org.mx, o bien, de manera presencial en las instalaciones del Instituto.
Fecha de actualización: 16/05/2019
Esquemas de Autorregulación Vinculante
¿De conformidad con los Parámetros, una de las clases de esquemas de autorregulación que pueden gozar de aval de este Instituto, son los esquemas con validación.
En este apartado encontrará información de interés sobre los esquemas de autorregulación vinculante desarrollados por responsables o encargados y que han sido evaluados y validados por el INAI. Estos esquemas satisficieron todos los requisitos previstos en los Parámetros que tienen por objeto elevar los estándares de protección de datos personales y adoptar las mejores prácticas en la materia.
MANUAL DE IDENTIDAD GRÁFICA para el uso del Logo del REA INAI. 
Esquemas de autorregulación vinculante validados
| Registro | Nombre de esquema | Distintivo | Alcance | Ámbito personal | Sector | Adheridos | Estatus | Ficha | Actuaciones |
|---|---|---|---|---|---|---|---|---|---|
| REA.EAV.01.2017 | Baja | Baja | Baja | Baja | Baja |
Certificación
De conformidad con el numeral 9 de los Parámetros, una de las clases de esquemas de autorregulación que pueden gozar de aval de este Instituto, son los esquemas de autorregulación vinculante certificados por un organismo de certificación en materia de protección de datos personales, que serán reconocidos por el Instituto a través de su inscripción en el REA, denominados esquemas con certificación reconocida.
En este apartado encontrará información de interés sobre:
- Entidades de acreditación en materia de protección de datos personales reconocidas por el Instituto;
- Los organismos de certificación en materia de protección de datos personales y reconocidos por el Instituto;
- Responsables y encargados certificados en materia de protección de datos personales reconocidos por el Instituto.
MANUAL DE IDENTIDAD GRÁFICA para el uso del Logo del REA INAI.
Entidades de acreditación reconocidas por el INAI
Las entidades de acreditación tienen a su cargo la acreditación de los organismos de certificación en materia de protección de datos personales. Para operar como entidad de acreditación en materia de protección de datos personales, se deberá contar con la autorización previa de la Secretaría de Economía, en términos de lo establecido en la Ley de Infraestructura de la Calidad.
Aquellas personas que deseen operar como entidad de acreditación en materia de protección de datos personales, deberán observar el procedimiento y requisitos previstos en la Ley de Infraestructura de la Calidad, así como su Reglamento, y realizar dicho trámite ante la Secretaría de Economía.
Para la inscripción en el REA, será necesario que la Secretaría de Economía notifique al INAI, aquellas autorizaciones para operar como entidad de acreditación que sean otorgadas en términos de la Ley de Infraestructura de la Calidad.
Las obligaciones de las entidades de acreditación reconocidas por el INAI en materia de protección de datos personales, se encuentran previstas en el numeral 65 de los Parámetros.
| Registro | Nombre | Distintivo | Oficinas autorizadas | Sitio de internet | Estatus | Ficha | Actuaciones |
|---|---|---|---|---|---|---|---|
| REA.EA.01.2015 | Entidad Mexicana de Acreditación, A.C. |
 |
Mariano Escobedo 564, Col. Anzures, Delegación Miguel Hidalgo, México, D.F., C.P. 11590 | www.ema.org.mx | Vigente |
Organismos de certificación reconocidos por el INAI
Los organismos de certificación son aquellas personas acreditadas por una entidad de acreditación autorizada por la Secretaría de Economía, en términos de la Ley de Infraestructura de la Calidad, y que cuentan con un reconocimiento del INAI como organismos de certificación en materia de protección de datos personales.
Los organismos de certificación tienen la obligación de determinar el cumplimiento de esquemas de autorregulación, prácticas y herramientas tecnológicas con relación a la LFPDPPP, su reglamento y con base en lo previsto en los propios Parámetros y en la Ley de Infraestructura de la Calidad.
La certificación puede ser total, cuando prevean y complementen la totalidad de principios de protección de datos, los deberes de confidencialidad y seguridad, y las obligaciones previstos por la LFPDPPP y por la normativa que de ella deriva; o parcial, cuando certifiquen principios y deberes específicos.
Los organismos de certificación acreditados por alguna entidad de acreditación y reconocidos por el Instituto, deberán publicar sus procedimientos para otorgar certificaciones. Así podrá saber cualquier interesado en certificar su esquema de autorregulación, práctica o herramienta tecnológica, cuáles requisitos además de los previstos por la Ley de Infraestructura de la Calidad y los Parámetros, deberá satisfacer para obtener dicha certificación.
| Registro | Nombre de la entidad de acreditación | Nombre del organismo | Distintivo | Oficinas acreditadas | Alcance | Sitio de internet | Estatus | Ficha | Actuaciones |
|---|---|---|---|---|---|---|---|---|---|
| REA.EA.01.2015.-01/15 | Entidad Mexicana de Acreditación, A.C. | Normalización y Certificación NYCE, S.C. (NYCE) |
 |
Listado de oficinas | Sectores financiero, salud, eduación, telecomunicaciones, e industria, comercio y servicios. | www.nyce.org.mx | Vigente | ||
| REA.EA.01.2015.-02/19 | Entidad Mexicana de Acreditación, A.C. (EMA) | Global Certification Bureau, S.A. |
 |
Listado de oficinas | Sector financiero, salud, educaión, telecomunicaciones, industria, comercio y servicios | www.gcbglobal.com | Vigente |
Responsables y encargados cuyos esquemas se encuentren certificados
Toda persona u organización que trate datos personales independientemente de si es responsable o encargado, puede solicitar que un organismo de certificación acreditado en materia de protección de datos personales, determine el grado de cumplimiento de un esquema de autorregulación implementado, de prácticas y herramientas tecnológicas para demostrar su compromiso con el debido tratamiento de la información personal.
Un responsable es toda persona física o moral, de carácter privado, que decide sobre el tratamiento de datos personales. El encargado es la persona física o moral, de carácter privado, que de hecho trata datos personales, a nombre y por cuenta de responsable y de conformidad con sus instrucciones.
Las personas (físicas o morales) que tratan datos personales y que optan por la certificación, mejoran su imagen social y nivel de confianza frente a los consumidores y a la propia autoridad.
De acuerdo a lo establecido en los Parámetros, para que un esquema de autorregulación sea certificado por un organismo de certificación y reconocido por el Instituto, deberá satisfacer, al menos, los requisitos o contenidos mínimos desarrollados en la Sección II del Capítulo I de los Parámetros.
Adicionalmente, los esquemas de autorregulación que busquen la certificación pueden prever contenidos potestativos como los ejemplificados en la Sección III del Capítulo I de los Parámetros.
Cada organismo de certificación podrá determinar requisitos adicionales para otorgar un certificado en materia de protección de datos personales, a un esquema de autorregulación vinculante.
FORMATO PARA PRESENTAR LA NOTIFICACIÓN DE AUTORIZACIÓN DE ENTIDAD DE ACREDITACIÓN.
REA - Responsables y encargados cuyos esquemas se encuentren certificados
| Orden | Nombre de la entidad de acreditación | Nombre del organismo | Alcance | Estatus | Actuaciones | ||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| wdt_ID | Orden | Registro | Nombre de la entidad de acreditación | Nombre del organismo | Distintivo | Oficinas acreditadas | Alcance | Sitio de internet | Estatus | Ficha | Actuaciones |
| 2 | 2 | REA.EA.01.2015.-01/15-NYCE-CPDP-002 | CANCELADO | CANCELADO | CANCELADO | CANCELADO | |||||
| 3 | 3 | REA.EA.01.2015.-01/15-NYCE-CPDP-003 | NO VIGENTE | NO VIGENTE | NO VIGENTE | NO VIGENTE | |||||
| 4 | 4 | REA.EA.01.2015.-01/15-NYCE-CPDP-004 | NO VIGENTE | NO VIGENTE | NO VIGENTE | NO VIGENTE | |||||
| 5 | 5 | REA.EA.01.2015.-01/15-NYCE-CPDP-005 | CANCELADO | CANCELADO | CANCELADO | CANCELADO | |||||
| 6 | 6 | REA.EA.01.2015.-01/15-NYCE-CPDP-006 | NO VIGENTE | NO VIGENTE | NO VIGENTE | NO VIGENTE | |||||
| 7 | 7 | REA.EA.01.2015.-01/15-NYCE-CPDP-007 | NO VIGENTE | NO VIGENTE | NO VIGENTE | NO VIGENTE | |||||
| 8 | 8 | REA.EA.01.2015.-01/15-NYCE-CPDP-008 | NO VIGENTE | NO VIGENTE | NO VIGENTE | NO VIGENTE | |||||
| 9 | 9 | REA.EA.01.2015.-01/15-NYCE-CPDP-009 | Normalización y Certificación NYCE, S.C. | VALUACIONES ACTUARIALES DEL SUR, S.C. |  |
Total | http://vasur.com/ | Vigente | |||
| 10 | 10 | REA.EA.01.2015.-01/15-NYCE-CPDP-010 | NO VIGENTE | NO VIGENTE | NO VIGENTE | NO VIGENTE | |||||
| 11 | 11 | REA.EA.01.2015.-01/15-NYCE-CPDP-011 | NO VIGENTE | NO VIGENTE | NO VIGENTE | NO VIGENTE |
Esquemas de autorregulación internacionales
| Consecutivo | Nombre del esquema | Distintivo | Descripción General | Sector | País de origen | Equivalencia con la normativa mexicana | Estatus | Adheridos | Ficha | Actuaciones |
|---|---|---|---|---|---|---|---|---|---|---|
Otros esquemas de autorregulación
| Registro | Nombre del esquema | Distintivo | Descripción General | Sector | Estatus | Ficha | Actuaciones |
|---|---|---|---|---|---|---|---|
¿Qué es la autorregulación vinculante en materia de protección de datos personales?
La autorregulación vinculante supone la producción de reglas con la participación de los sujetos a los que estarán destinadas y obligados a su aplicación. En otras palabras, la autorregulación es la autonomía en la creación de las reglas y en la decisión de adherirse a las mismas. Esta participación del sujeto interesado en la elaboración de las reglas, asegura una mejor adecuación de las mismas a la realidad de la actividad o sector involucrado.
En el caso concreto, la autorregulación en materia de protección de datos personales refiere a comportamientos, normas y obligaciones complementarias a las impuestas por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su Reglamento y demás normativa aplicable en la materia.
La autorregulación en esta materia es vinculante, pues si bien las personas u organizaciones que tratan datos personales pueden decidir de manera voluntaria adoptar un esquema de autorregulación, una vez que se han adherido a uno están obligadas a cumplirlo, ya que en caso contrario estarán sujetas a las sanciones que imponga el propio esquema.
¿Qué clases de esquemas de autorregulación existen?
La normativa señala que existen cuatro clases de esquemas de autorregulación vinculante:
- Las reglas emitidas con objeto de adaptar la normativa aplicable en materia de protección de datos personales a la realidad y actividades de un sector en particular, a fin de hacer eficiente la aplicación del derecho a su protección;
- Los esquemas de autorregulación vinculante evaluados y validados por el Instituto cuando satisfagan todos los requisitos previstos para ello, denominados esquemas con validación, que tendrán por objeto elevar los estándares de protección de datos personales y adoptar las mejores prácticas en la materia, y
- Los esquemas de autorregulación vinculante certificados por un organismo de certificación en materia de protección de datos personales, que serán reconocidos por el Instituto a través de su inscripción en el Registro, denominados esquemas con certificación reconocida, que también tendrán por objeto elevar los estándares de protección de datos personales y adoptar las mejores prácticas en la materia.
- Los esquemas de autorregulación desarrollados y reconocidos fuera del territorio mexicano, de los cuales el INAI analizará su equivalencia con la normativa mexicana en la materia.
¿A quiénes se les recomienda la implementación de esquemas de autorregulación vinculante en materia de protección de datos personales?
A todas la personas u organizaciones (responsables o encargados) que llevan a cabo tratamientos de datos personales, ya que la implementación de esquemas de autorregulación vinculante tiene diversos beneficios, ya sea a través de:
- un esquema de autorregulación vinculante con validación o
- a través de la certificación en materia de protección de datos personales con reconocimiento del INAI.
La autorregulación es una herramienta que ayuda a cumplir con lo establecido en la normativa de protección de datos personales, adaptándola a las necesidades específicas de un sector o actividad, por lo que es recomendable para toda empresa, persona física u organización que trate datos personales, sin importar el giro o tamaño de su negocio o actividad.
¿Frente a quién puedo hacer mis trámites de autorregulación en materia de protección de datos personales?
Los trámites se deberán realizar frente a los distintos actores del sistema de autorregulación en materia de protección de datos personales (INAI, Secretaría de Economía, entidades de acreditación y organismos de certificación), dependiendo de qué se requiere. A continuación, podrá encontrar un listado de trámites y el actor ante el cual deberá presentar su solicitud.
Frente al INAI:
- Solicitud de validación de esquemas de autorregulación que convengan los particulares, así como sus modificaciones y bajas.
- Notificación para el reconocimiento de las autorizaciones otorgadas por la Secretaría de Economía para ser entidad de acreditación, sus suspensiones y revocaciones.
- Notificación para el reconocimiento de las acreditaciones otorgadas por las entidades de acreditación reconocidas, para ser organismo de certificación, sus modificaciones, suspensiones y cancelaciones.
- Notificación para el reconocimiento de certificaciones otorgadas por organismos de certificación reconocidos, a responsables y encargados, así como sus modificaciones, suspensiones y cancelaciones.
Los trámites que se realicen ante el INAI no tendrán costo alguno y se llevarán a cabo presentando la documentación requerida en las oficinas del Instituto, ubicadas en Avenida Insurgentes Sur, Número 3211, Colonia Insurgentes Cuicuilco, Coyoacán, C.P. 04530, de lunes a jueves de 9:00 a 18:00 horas y viernes de 9:00 a 15:00 horas, o a través de otros medios que el INAI habilite para esos efectos. Para mayor información contacte al Centro de Atención a la Sociedad (CAS) del INAI.
Frente a la Secretaría de Economía:
- Autorización para operar como entidad de acreditación en términos de lo establecido en la Ley de Infraestructura de la Calidad, publicada en el DOF el 01 de julio de 2020 abrogó la Ley Federal sobre Metrología y Normalización.
Frente a una de las entidades de acreditación autorizadas por la Secretaría de Economía y reconocidas por el INAI:
- Acreditación de organismos de certificación en materia de protección de datos personales y trámites relacionados con las acreditaciones.
Frente a los organismos de certificación reconocidos por el INAI:
- Certificación del tratamiento de los datos personales que llevan a cabo las personas u organizaciones que tratan datos personales (responsables y encargados) y trámites relacionados con esas certificaciones.
¿Si trato datos personales, me encuentro obligado a elaborar un esquema de autorregulación?
La decisión de adoptar un esquema de autorregulación en materia de protección de datos es voluntaria, sin embargo, una vez adoptado el esquema de autorregulación, quien aceptó su implementación se encuentra obligado a cumplir y dar seguimiento a las obligaciones que se le imponen a través de éste.
¿Qué es un esquema de autorregulación con validación?
Es el documento en el que se establecen los principios, normas y procedimientos en materia de protección de datos personales que los particulares han accedido observar para regular los tratamientos de datos que realizan, con la finalidad de complementar lo dispuesto por la normativa aplicable en la materia, adaptar las reglas a necesidades específicas del sector y elevar los estándares de protección de la información personal.
Estos esquemas pueden tomar distintas formas como códigos deontológicos, códigos de buenas prácticas profesionales, políticas de privacidad, reglas de privacidad corporativa, sellos de confianza, entre otros.
¿Qué ventajas tiene la adhesión a un esquema de autorregulación vinculante?
Las principales ventajas que tiene la adhesión a un esquema de autorregulación vinculante son:
- Facilita la defensa de los derechos de los titulares de los datos personales;
- Los responsables y encargados mejoran su imagen y el nivel de confianza frente a sus clientes y consumidores;
- Los responsables y encargados desarrollan normas de protección de datos personales armonizadas con sus procedimientos;
- Pueden contar con un sistema de resolución extrajudicial de controversias, que permita soluciones eficaces, equitativas, rápidas y a bajo costo;
- Facilitan las transferencias transfronterizas de datos personales;
- Pueden ser considerados por el Instituto para disminuir el monto en caso de sanción, y
- Ofrecen un sistema para documentar y acreditar ante el titular y la autoridad el cumplimiento de la normativa en la materia.
¿Cuál es el procedimiento de inscripción de un esquema de autorregulación con validación en el REA?
Para poder inscribir un esquema de autorregulación vinculante frente al Instituto, es necesario que se cumplan los requisitos establecidos en el artículo 82 del Reglamento de la Ley; los numerales 14, 38, 46 y 49 de los Parámetros, así como los artículos 10, 16, 17, 23 y 29 de las Reglas de Operación.
Para conocer más sobre los requisitos específicos y el procedimiento de inscripción, le recomendamos dirigirse a la sección de esquemas de autorregulación que se encuentra dentro de este mismo sitio.
¿Tiene algún costo notificar/ registrar un esquema de autorregulación con validación, frente al Instituto?
Los trámites relacionados con esquemas de autorregulación vinculante realizados frente al INAI son gratuitos.¿Cuáles son las obligaciones con las que debe cumplir un particular interesado en implementar un esquema de autorregulación con validación?
El responsable o encargado del tratamiento de datos personales que esté interesado en la implementación de un esquema de autorregulación con validación deberá cumplir con las disposiciones previstas en los Parámetros de Autorregulación en materia de Protección de Datos Personales, así como las previstas en las Reglas de Operación del Registro de Esquemas de Autorregulación Vinculante.
¿Cuál es la vigencia de la validación del INAI a los esquemas de autorregulación con validación que hayan sido registrados en el REA?
Los esquemas de autorregulación con validación se mantendrán vigentes hasta en tanto no se actualice alguna condición prevista para su baja.
¿Qué es el sistema de certificación en materia de protección de datos personales?
El sistema de certificación tiene por objeto que las personas acreditadas como organismos de certificación determinen la conformidad o grado de cumplimiento de los esquemas, y de su implementación, así como prácticas y herramientas tecnológicas que adopten responsables y encargados con relación a la Ley Federal de Protección de Datos Personales en posesión de Particulares, su Reglamento, los Parámetros de Autorregulación, Reglas de Operación y demás normativa aplicable.
Dicho sistema se integra de diversos actores y niveles:
¿Cuáles son los beneficios de certificarse en materia de protección de datos personales?
Los responsables y encargados que obtengan las certificaciones podrán distinguirse de otros por su compromiso con el debido tratamiento de los datos personales. Igualmente, con la certificación, elevarán su imagen social y nivel de confianza frente a los consumidores y a la propia autoridad.
Asimismo, certificarse en materia de protección de datos personales te da las mismas ventajas que la adhesión a un esquema de autorregulación vinculante, mismas que se pueden encontrar en la pregunta 2 del apartado “Esquemas de autorregulación con validación”.
¿Qué empresas están certificadas en materia de protección de datos personales?
Dentro de este sitio de Internet del REA podrá encontrar información acerca de las personas y organizaciones que se encuentran certificadas y comprometidas con un debido tratamiento de su información y la debida protección de sus datos personales.
¿Tiene algún costo la notificación y solicitud del reconocimiento como entidad de acreditación frente al Instituto?
El trámite para notificar y solicitar el reconocimiento e inscripción al Registro como entidad de acreditación en materia de protección de datos personales frente al Instituto es gratuito.
¿Qué necesito para certificarme en materia de protección de datos personales?
La persona u organización que trate datos personales (responsable o encargado) que esté interesado en obtener una certificación deberá iniciar el procedimiento ante un organismo de certificación acreditado por una entidad de acreditación reconocida por el Instituto. El organismo de certificación establecerá el procedimiento que deberá seguir para obtener la certificación y se cerciorará que sus tratamientos, políticas, programas y procedimientos relacionados con la protección de datos personales implementados sean acordes con lo previsto por la normativa mexicana en la materia.
Para conocer más sobre los requisitos específicos, le recomendamos dirigirse a la sección de responsables y encargados que se encuentra dentro de este mismo sitio.
¿Cuál es la vigencia de una certificación y qué costos tiene?
Las certificaciones otorgadas en materia de protección de datos personales tendrán una vigencia de dos años. Los certificados podrán ser renovados al término de ese plazo.
Los procedimientos y condiciones para la certificación y su renovación, así como los costos de las mismas, serán determinados por el organismo de certificación.
Comunícate con nosotros
Ponemos a tu disposición orientaciones y asesorías relacionadas con el desarrollo de esquemas de autorregulación vinculante en el sector privado, para más información puedes contactarnos en el correo electrónico: spd-registro@inai.org.mx o a través de la línea telefónica: 55 5004 2400, extensiones 2309, 2129, 2867.
Los trámites de validación de esquemas de autorregulación vinculante que realicen ante el INAI serán gratuitos y deberán presentar mediante escrito en las oficinas ubicadas en: Av. Insurgente sur, número 3211, Col. Insurgentes Cuicuilco, Alcaldía coyoacán, CDMX, C.P. 04530, en un horario de lunes a jueves de 09:00 a 18:00 horas, y viernes, de 09:00 a 15:00 horas.