Inicio / PyMEs / Calidad / Protección de datos personales: Cómo tratarlo al implementar ISO 9001

Protección de datos personales: Cómo tratarlo al implementar ISO 9001

Protección de datos personales.

La norma ISO 9001:2008 tiene mucho interés en que todas las organizaciones que la adoptan cumplan con los requisitos legales y reglamentarios aplicables, en especial los relacionados con el cliente, el producto y los propios de la organización.

En muchos países se han creado leyes en materia de protección de datos personales, con el fin de “defender” los datos privados de las personas; un ejemplo de protección de datos es el siguiente: En alguna actividad comercial el cliente puede proporcionar datos como nombre, teléfono o cuenta bancaria, por ley el proveedor debe registrar y resguardar esa información y usarla únicamente para la transacción comercial sin algún otro fin no autorizado por el cliente.

Hay muchas organizaciones recolectando de forma opaca información privada para usarla con otros fines, no es el caso hablar de ellos, ni nos apetece.

protección datos personales iso 9001

¿Existe una relación entre la protección de datos personales y un sistema de calidad?

Vamos por partes… una cosa es una cosa, y otra cosa es otra cosa.

Una ley debe aplicarse tal cual esta descrita… ¿Por qué? Sencillo, fueron hechas para que se apliquen en función de cada término que la integra, y para hacerlas más complicadas generalmente una ley está ligada a un reglamento, que también exige cumplimiento término por término.

Cuando alguna autoridad legal desee verificar el cumplimiento de alguna ley específica por parte de una empresa, esta, usara la ley y reglamento para hacer una verificación del cumplimiento al 100%, cualquier intento de tu parte por usar otra normatividad para cumplir con una ley podría no ser interpretado correctamente por dicha autoridad… malo que lo diga, pero muchas leyes tienen más fines recaudatorios que propósitos útiles.

Sin embargo puedes usar el control de documentos y registros, identificar y gestionar procesos relacionados con el cliente y su propiedad para dar un soporte al cumplimiento de las leyes en materia de protección de datos personales… procurando siempre la comprensión clara de cualquier autoridad legal.

Por otro lado…

Un sistema de gestión de la calidad tiene el propósito de crear un sistema integrado y gestionado por procesos, al hacerlo de manera eficaz se logran productos y servicios de calidad (Y Clientes Contentos)… sin embargo la norma ISO te invita a cumplir con los requisitos legales y reglamentarios que apliquen a la organización – ¿Cómo? R: Siempre Dentro Del Mismo Marco De La Ley Que Aplique.

Te han complicado la vida…

Y te han dicho… —Queremos aprovechar la implementación de ISO 9001 para cumplir con la ley de protección de datos personales, por favor haz lo necesario

Si eres implementador externo, la definición del alcance del proyecto y los costos del mismo son el primer argumento para recalcar que el servicio está estipulado para la implementación de un SGC y no cubre una implementación de ley de protección de datos personales.

Si eres implementador interno, no tienes mucho rumbo para donde hacerte, si la alta dirección considera que eres la persona más competente para hacer ambas cosas ¡Bien!, sin embargo, es importante que hagas hincapié en que son dos cosas diferentes, que la implementación de ISO será un esfuerzo de todos y requerirá tiempo y dedicación… alguien más del equipo o un especialista externo debería ayudar con ese tema tan especifico.

¿Cómo te puede ayudar ISO 9001?

El enfoque de procesos te permite identificar aquellos procesos de interacción con el cliente, justo donde este da a la organización datos personales (estipulados por la ley); utiliza diagramas de tortugas para analizar entradas de datos e información propiedad del cliente… algunos procesos son: ventas, análisis de crédito y cuentas por cobrar, atención a cliente, entregas a cliente (7.2 Procesos relacionados con el cliente)

En todos estos procesos, se recolecta información del cliente y se registra, además de definir medios de conservación y periodos de mantenimiento, cosa que a las leyes de protección de datos les interesa (4.2.4 Control de los registros)

El control de documentos deberá servirte para publicar y manejar las versiones mejoradas de los “Avisos De Privacidad” que las leyes de protección de datos requieren (4.2.3 Control de los documentos)

En muchas ocasiones el cliente proporciona a la organización insumos, equipos o herramientas (Hardware) para que se le elaboren los productos contratados… pero también te proporciona documentos que tienen datos del cliente: hojas de especificación, formulas, planos, manuales de equipos (Software)… todos son un bien y propiedad del cliente, y si contienen datos privados deberán manejarse también conforme a la ley de protección de datos personales (7.5.4 Propiedad del cliente)

En cuanto al manual de calidad puedes especificar cuáles requisitos legales y reglamentarios aplican a la empresa y sus productos, a lo largo del texto y justo en los apartados de la norma donde se mencione el cumplimiento de requisitos legales y reglamentarios, un texto ejemplo puede ser:

“El vigente sistema de gestión de la calidad de Empresas S.A. de C.V. certificado bajo la norma NMX-CC-9001-IMNC-2008, además cumple con los siguientes requisitos legales y reglamentarios:

1.- Ley federal de protección de datos personales en posesión de los particulares, publicada por el DOF el 5 de julio de 2010, de orden público y de observancia general en toda la república.

2.- (Otras relacionadas con la organización, el producto y el cliente, se especifico)”

EN RESUMEN: La norma ISO 9001 tiene un propósito que a todos nos queda claro, una ley de protección de datos personales tiene otro propósito y este debe cumplirse en los términos de la propia ley, la norma ISO puede proporcionar una plataforma de gestión pero debe evitarse cualquier confusión que pudiera tener un inspector legal.

Si definitivamente tienes que entrar a fondo en la implementación de protección de datos personales, te proporciono las siguientes ligas:

  1. Ley de protección de datos personales en manos de terceros.
  2. Reglamento para la protección de datos personales en manos de terceros.
  3. Guía para hacer avisos de privacidad de datos personales.
  4. Protección de datos personales en otros países <-clic aquí

Espero te sean útiles, Gracias por leerme.

0
Share on Pinterest
Guía implementación de ISO 9001:2008

Acerca de Daniel Jimenez

Ingeniero Industrial, Máster en Dirección y Gestión de la Calidad. Con gusto comparto mis experiencias y conocimiento sobre Sistemas de Gestión aquí. Me especializo en aportar soluciones a líderes de sistemas que quieren obtener mejores resultados de sus proyectos de implementación, mejora o auditoría, Clic Aquí Para Conocerlas Hoy.

Recomendado Para Ti

ejemplos alcance del sgc

Ejemplos – Alcance Del Sistema De Gestión De Calidad

En cierta forma el Alcance del SGC describe el trabajo realizado para entregar un producto, …

Comparte tu opinión

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tu comentario será bienvenido. Sin embargo será moderado según las políticas para comentarios.