Parámetros para el correcto desarrollo de los esquemas de autorregulación vinculante
1. Parámetros para el correcto
desarrollo de los Esquemas de
Autorregulación Vinculante
2. Contenido
Capítulo I
• Disposiciones Generales
Capítulo II
• Autorregulación vinculante y el principio de responsabilidad
Capítulo III
• De las clases de esquemas de autorregulación vinculante
Capítulo IV
• Del contenido de los esquemas de autorregulación vinculante
Capítulo V
• Del sistema de certificación en materia de protección de datos personales
Capítulo VI
• De la notificación de los esquemas de autorregulación vinculante
3. Objetivos específicos de los esquemas
de autorregulación vinculante
• Coadyuvar al cumplimiento del principio de responsabilidad
• Establecer procesos y prácticas cualitativos
• Fomentar que los responsables establezcan políticas, procesos y buenas prácticas para el cumplimiento de los
principios de protección de datos personales
• Promover que los responsables de manera voluntaria cuenten con constancias o certificaciones sobre el
cumplimiento de lo establecido en la Ley, y mostrar a los titulares su compromiso con la protección de datos
personales
• Identificar a los responsables que cuenten con políticas de privacidad alineadas al cumplimiento de los principios y
derechos previstos en la Ley, así como de competencia laboral para el debido cumplimiento de sus obligaciones en
la materia;
• Facilitar la coordinación entre los distintos esquemas de autorregulación reconocidos internacionalmente
• Facilitar las transferencias con responsables que cuenten con esquemas de autorregulación como puerto seguro
• Promover el compromiso de los responsables con la rendición de cuentas y adopción de políticas internas
consistentes con criterios externos, así como para
• Auspiciar mecanismos para implementar políticas de privacidad
– Incluyendo herramientas,
– Transparencia,
– Supervisión interna continua,
– Evaluaciones de riesgo,
– Verificaciones externas y
– Sistemas de remediación
• Mecanismos alternativos de solución de controversias entre responsables, titulares y terceras personas, como son
los de conciliación y mediación.
4. Autorregulación Vinculante
• La adhesión a los esquemas de
autorregulación vinculante por parte de un
responsable es de carácter voluntario
• El cumplimiento de dichos esquemas será
obligatorio para los responsables que se
adhieran o adopten los mismos, que
contendrán las sanciones por su
incumplimiento.
5. Principios aplicables a la
autorregulación
1. Voluntariedad en la adhesión o adopción del
esquema de autorregulación;
2. Obligatoriedad, ya que el esquema vincula a
quien se adhiere o lo adopta;
3. Transparencia relativa a las prácticas que
sigue un sector, grupo, empresa u
organización en materia de protección de
datos personales, y
4. Responsabilidad.
6. Normas Oficiales Mexicanas y Normas
Mexicanas
• De conformidad con el artículo 43, fracción V
de la Ley, la Secretaría, en coadyuvancia con el
IFAI , podrán participar en la elaboración y
promoción de normas oficiales mexicanas y
normas mexicanas en los términos de la Ley
Federal sobre Metrología y Normalización y su
Reglamento, que regulen aspectos
relacionadas con la protección de datos
personales y el correcto desarrollo de
mecanismos y medidas de autorregulación.
7. El principio de responsabilidad
Políticas y programas Recibir y responder Sanciones por su
de privacidad dudas y quejas incumplimiento
Capacitación,
Medidas para el
actualización y Políticas y programas
aseguramiento de los
concientización del de seguridad
datos personales
personal
Establecer medidas para la
Sistema de supervisión Atender el riesgo de trazabilidad de los datos
y vigilancia interna datos personales
personales
Verificaciones o
Destinar recursos
auditorías externas
8. Complementariedad
• Todo esquema de autorregulación vinculante deberá prever y
complementar los principios de:
– licitud,
– consentimiento,
– información,
– calidad,
– finalidad,
– lealtad,
– proporcionalidad y
– responsabilidad,
• Los deberes de confidencialidad y seguridad, que rigen el
tratamiento de los datos personales, así como lo dispuesto en la
Ley, su Reglamento, los Parámetros y demás disposiciones que
resulten aplicables, así como prever los mecanismos que garanticen
su cumplimiento
9. Armonización
• Todo esquema de autorregulación vinculante
deberá contener reglas o estándares
específicos que permitan armonizar los
tratamientos que lleven a cabo quienes se
adhieren o adoptan los mismos
10. Normatividad Aplicable
• Los esquemas de autorregulación vinculante
deberán hacer mención de las disposiciones
legales, reglamentarias o administrativas que
rijan el sector de que se trate
11. Requisitos I
El tipo de esquema vinculante de que se trata
que podrá constituirse en códigos
Su ámbito tanto material como personal de
deontológicos o de buena práctica profesional, Los esquemas de autorregulación podrán
aplicación, refiriéndose el primero a los
políticas internas de privacidad, reglas de regular a determinados tratamientos
tratamientos de datos y titulares sujetos al
privacidad corporativa, sellos de confianza o específicos de datos personales o a la totalidad
mismo, y el segundo al responsable, grupo de
cualquier otro que cumpla con lo establecido de tratamientos de datos personales que
responsables o sector obligado al
por los presentes parámetros, incluyendo su realiza un responsable, grupo de responsables
cumplimiento del esquema de autorregulación
régimen de funcionamiento y administración, o sector;
vinculante de que se trate.
los requisitos y el procedimiento de adhesión a
los mismos;
Estos procedimientos y mecanismos incluyen,
entre otros, la utilización de determinadas
Su vigencia y mecanismos de actualización, Procedimientos o mecanismos que se cláusulas tipo para la contratación de un
renovación o terminación. Asimismo, deberá emplearán para hacer eficaz la protección de encargado; la identificación de las categorías
señalar los mecanismos por los cuales se datos por parte de los adheridos, incluyendo de terceros a los cuales el o los adheridos
comunicará a los interesados la terminación previsiones específicas que respondan a las transferirán datos, y las previsiones
del mismo; buenas prácticas nacionales e internacionales. pertinentes a las transferencias
internacionales de datos personales, en su
caso
Medidas concretas tomadas respecto a la
protección de datos personales en relación a
categorías especiales de titulares tales como
menores de edad y grupos vulnerables
12. Requisitos II
Procedimientos y mecanismos para medir la eficacia
del esquema adoptado, como la creación de cifras,
indicadores y estadísticas relacionadas con los
Programa y acciones de capacitación para quienes
distintos procesos puestos en operación incluyendo
traten los datos personales, especificando el tipo de
la atención a titulares en el ejercicio de derechos de Sistemas de supervisión y vigilancia internos y de
capacitación y quién impartirá la misma, así como los
acceso, rectificación, cancelación y oposición, y verificación o auditoría externos;
esquemas de competencia laboral de la persona o
atención de quejas, con el objeto de proveer un
integrantes del departamento de datos;
esquema de autorregulación vinculante transparente
que permitan conocer a los sujetos interesados
cómo funciona dicho esquema;
La identificación de los responsables adheridos, que
Mecanismos destinados a facilitar el ejercicio de los
posibilite reconocer a los responsables que
derechos de acceso, rectificación, cancelación u Dicha identificación podrá realizarse a través del uso
satisfacen los requisitos exigidos por determinado
oposición, incluyendo los de atención a las de sellos de confianza, y deberá publicarse en algún
esquema de autorregulación y que se encuentran
solicitudes formuladas por los titulares afectados, y lugar de fácil acceso al público, así como
comprometidos con la protección de los datos
formatos tipo para el ejercicio de derechos;
personales que poseen.
Las medidas correctivas eficaces en caso de
incumplimiento.
13. Administración del esquema
Todo esquema de autorregulación deberá contar con un administrador, cargo que
podrá recaer en una persona u órgano colegiado que garantice su imparcialidad y
evite el conflicto de intereses. El administrador tendrá, entre otras, las funciones de:
Efectuar las evaluaciones y
Tramitar la admisión de nuevos revisiones del esquema de
adheridos y mantener una lista autorregulación por si mismo o
actualizada de miembros a por medio de un tercero,
disposición de la autoridad siempre que se garantice su
imparcialidad e independencia
Proporcionar la información y
demás documentación que le
Elaborar los reportes de
sea requerida por la autoridad,
medición de eficacia del
entre otra, el resumen de las
esquema de autorregulación
evaluaciones realizadas a los
esquemas de autorregulación
14. Sistema de Supervisión y vigilancia I
Evaluaciones periódicas de supervisión y
vigilancia interna, verificaciones o auditorías
externas al menos cada dos años
• Seguimiento continuo del nivel de cumplimiento de
las disposiciones del mismo por parte de los
adheridos
• Funcionamiento de los procedimientos establecidos
en el esquema de autorregulación vinculante
15. Sistema de Supervisión y vigilancia II
Todo proceso de evaluación debe culminar con un reporte donde se expresen los resultados del mismo,
recomendaciones necesarias a fin de hacer más efectivo y eficiente el cumplimiento del esquema de
autorregulación así como el propio esquema.
Cuando se identifiquen no conformidades durante los procedimientos de evaluación, el administrador
deberá requerir el cumplimiento en un tiempo límite, en cuyo defecto, se impondrá la sanción que
corresponda.
Los esquemas de autorregulación deberán contener criterios que permitan homologar y normalizar los
resultados obtenidos por los adheridos, así como criterios de revisión que permitan evaluar su
viabilidad o pertinencia como esquema de autorregulación vinculante.
El IFAI podrá efectuar verificaciones a fin de comprobar el nivel de eficacia y eficiencia del cumplimiento
del esquema de autorregulación, así como del propio esquema.
El incumplimiento de las recomendaciones derivadas de la evaluación podrá ser tomado en
consideración por el IFAI para la revocación de la inscripción del esquema de autorregulación en el
Registro, en términos del artículo 86 del Reglamento.
16. Consecuencias y medidas correctivas
• Para la debida observancia de sus disposiciones, los esquemas de autorregulación
establecerán las sanciones que corresponda aplicar a los adheridos que incumplan
con los mismos y que podrán consistir en:
– Amonestaciones,
– Sanciones económicas,
– Suspensión temporal,
– Suspensión definitiva.
• La suspensión de derechos del miembro podrá incluir también, en su caso, la
terminación de la licencia de uso del sello de confianza que en su caso se otorgue
a los adheridos.
• Los esquemas de autorregulación vinculante podrán prever que las sanciones
efectuadas se hagan públicas.
• Los órganos responsables de aplicar las sanciones deberán observar los principios
de contradicción, audiencia, sencillez, accesibilidad, celeridad y gratuidad, y en
todo caso, se establecerá una graduación de sanciones que permita su
individualización de manera proporcional a la gravedad de la infracción.
• Todas las sanciones deberán notificarse al afectado.
17. De los contenidos complementarios
Los esquemas de autorregulación podrán incluir cualquier otro
compromiso adicional que asuman los adheridos para un mejor
cumplimiento de la legislación vigente. Los responsables podrán
aumentar las diferentes medidas de protección de los derechos a través
de la inclusión de contenidos complementarios dentro de los esquemas
de autorregulación vinculante tales como:
• Medidas de seguridad adicionales a las establecidas en la Ley y el Reglamento.
• Clausulas tipo para la obtención del consentimiento, ya sea para el tratamiento, o la
transferencia de los datos personales.
• Clausulas tipo para informar a los titulares del tratamiento de sus datos cuando éstos no
sean obtenidos de manera personal o directa.
• Avisos de privacidad estándar que resulten aplicables a un sector o industria y cuya única
diferencia sea el tipo de tratamientos exclusivos a los que los responsables someten los
datos personales de los titulares
18. Mecanismos alternativos de solución
de controversias I
• El administrador del esquema de autorregulación podrá
sugerir a las partes involucradas remitir el asunto a un
mecanismo alternativo de solución de controversias, tales
como la conciliación y la mediación, siempre que el titular
de los datos y el responsable involucrado así lo consientan.
• Estos mecanismos podrán implementarse al interior del
esquema de autorregulación vinculante o mediante la
contratación de expertos independientes.
• Los mecanismos alternativos de solución de controversias
se regirán por acuerdo entre las partes, o en su defecto, por
las leyes federales o locales aplicables en la materia.
19. Procedimientos de solución de
controversias
Accesibilidad
• Deberán estar disponibles a los titulares de los datos,
promoviendo el conocimiento sobre su existencia, su
funcionamiento y reduciendo al máximo los costos
Independencia
• El mecanismo deberá garantizar la autonomía del conciliador o
mediador
Imparcialidad
• La decisión del conciliador o mediador, deberá fundarse en
criterios objetivos, y ser debidamente fundada y motivada
20. Mecanismos alternativos de solución
de controversias II
• Los procedimientos llevados a cabo bajo los mecanismos
alternativos de solución de controversias, deberán observar los
principios de contradicción y audiencia.
• Las decisiones adoptadas en el mecanismo deberán ser notificadas
a las partes.
• En el supuesto de no encontrar una solución al caso,
independientemente de la sanción que conforme al mecanismo
corresponda aplicar, el conciliador o mediador deberá remitir el
asunto ante la autoridad competente para los efectos legales que
correspondan.
• En ningún caso, la presentación de una reclamación o sometimiento
a un mecanismo alternativo de solución de controversias, impedirá
al titular del ejercicio del derecho de iniciar las acciones legales que
correspondan.
21. Objeto de la certificación en materia
de protección de datos personales
Conforme a lo establecido en el artículo 83 del Reglamento, los esquemas de
autorregulación podrán incluir la certificación de los responsables en materia de
protección de datos personales.
Mediante dicha certificación, las personas físicas o morales acreditadas como
certificadores evalúan la conformidad del tratamiento, las políticas, programas y
procedimientos relacionados con la protección de datos personales respecto de
la Ley, su Reglamento y de cualquier otra normativa aplicable.
También podrán ser sujetas de certificación las medidas de seguridad adoptadas
por los responsables y encargados, así como otros mecanismos de
autorregulación que voluntariamente se sometan a ésta.
22. Atribuciones del IFAI
El IFAI contará con atribuciones específicas con respecto al sistema
de certificación en materia de protección de datos personales:
• Autorización, suspensión y revocación de las entidades de acreditación;
• Validación de los instrumentos de evaluación y de los procedimientos de
acreditación, certificación, auditoría y cualquier otro procedimiento relacionado
con los anteriores;
• Requerir a las entidades de acreditación que inicien un procedimiento de
suspensión o revocación de acreditaciones cuando disponga de los elementos
suficientes para justificar esa actuación en los términos de la Ley, el Reglamento y
los presentes parámetros, y
• Requerir a los certificadores que inicien un procedimiento de suspensión o
revocación de certificados cuando disponga de los elementos suficientes para
justificar esa actuación en los términos de la Ley, el Reglamento y los presentes
parámetros.
23. Autorización y verificación de
entidades de acreditación
El IFAI podrá, en cualquier
tiempo, realizar revisiones,
requerir información y
El IFAI desarrollará el realizar visitas de verificación
procedimiento para la para vigilar el cumplimiento
autorización, suspensión y de los presentes parámetros
revocación de entidades de por parte de las entidades de
acreditación en los términos acreditación, los
de la Sección II del presente certificadores o cualquier
capítulo. tercero que realice
actividades relacionadas con
las materias a que se refieren
los presentes parámetros.
24. Entidades de certificación,
certificadores y responsables
certificados
El IFAI mantendrá un listado
actualizado de
• Entidades de acreditación autorizadas,
• Certificadores acreditados,
• Responsables o encargados
certificados.
25. Entidades de acreditación autorizadas
para operar
Las entidades de Para operar como entidad
acreditación tienen a su de acreditación en materia
cargo la acreditación de los de protección de datos
certificadores en materia de personales, se deberá contar
protección de datos y la con la autorización previa
certificación de su personal. del IFAI.
26. Requisitos para solicitar la autorización
como entidad de acreditación I
Denominación o
razón social del
Domicilio y
solicitante y de su
señalamiento del
representante legal,
personal autorizado,
así como el
en su caso, para oír
documento original
y recibir
que acredite dicha
notificaciones.
representación y
copia, para su cotejo
27. Requisitos para solicitar la autorización
como entidad de acreditación I
Descripción detallada de los servicios que prestará el interesado, de los procedimientos que
llevará a cabo, y de las condiciones para otorgar, mantener, ampliar, reducir, suspender, restaurar
y revocar la acreditación, de acuerdo con los previsto por los presentes parámetros.
• Los procedimientos deben basarse en costos y condiciones propias de la entidad de acreditación, que determinará las tarifas
máximas a que esté sujeta la prestación de sus servicios;
Los documentos que demuestren la adecuada capacidad jurídica, administrativa, financiera,
técnica, material y humana, en relación con los servicios que pretende prestar, así como con los
procedimientos del sistema de gestión, que garanticen el desempeño de sus funciones, incluidos:
• Original y copia, para su cotejo, del acta constitutiva de la persona moral interesada y de los estatutos sociales en los que se
detalle sus órganos de gobierno, y la estructura técnica funcional de la entidad en la que conste la representación equilibrada
de los sectores mencionados en la fracción III del presente parámetro. El objeto social de la persona moral deberá incluir la
aplicación de procedimientos de evaluación de la conformidad, así como la elaboración de documentos normativos en
coadyuvancia con los diferentes órdenes de gobierno, en concordancia con las normas o lineamientos internacionales;
• Relación de los recursos materiales y humanos con los que cuenta. Respecto del personal involucrado en el proceso de
acreditación, el interesado deberá describir y acreditar:
• La calificación y la competencia requeridas, detallando grado académico y experiencia en la materia
• La formación inicial y continua que se requiere
• Los alcances específicos en los cuales cada evaluador ha demostrado su competencia para evaluar
• Los mecanismos de seguimiento al desempeño y competencia del personal
• Documentos que demuestren su solvencia financiera para asegurar la continuidad del sistema de acreditación;
28. Requisitos para solicitar la autorización
como entidad de acreditación II
Detallar la estructura organizacional de la entidad, misma que deberá contar cuando menos con:
•Una asamblea general,
•Un consejo directivo o de socios administradores,
•Una comisión de acreditación,
•Comité de Evaluación para la acreditación y
•Un Director General.
El interesado ya sea en la asamblea general, en el consejo directivo o en el comité de evaluación para la acreditación deberá, a juicio del IFAI ,
garantizar el equilibrio de las partes interesadas en el proceso de acreditación.
Se entenderá por partes interesadas a los certificadores, asociaciones de profesionales o académicos, representantes de la sociedad civil,
cámaras y asociaciones de industriales o comerciantes, instituciones de educación superior, centros de investigación y las dependencias
involucradas en las actividades de acreditación de protección de datos personales.
Las partes interesadas que integren una entidad de acreditación, en ningún caso podrán participar directa o indirectamente en otra entidad
de acreditación relacionada con la materia de protección de datos personales. La comisión de acreditación tendrá por objeto vigilar el
esquema y mantener la imparcialidad sobre los procesos de acreditación, revisando que se apeguen a los términos descritos en los presentes
parámetros, y
La documentación que acredite que cuenta con los recursos para cumplir con las responsabilidades legales que se originen con motivo de sus
operaciones.
29. Obligaciones de las entidades de
acreditación I
Resolver las solicitudes de acreditación de personas físicas o morales que busquen fungir como certificadores, emitiendo, de ser el caso, las acreditaciones
correspondientes, mismas que deberán ser notificadas al IFAI dentro de los cinco días hábiles siguientes a la emisión de la acreditación correspondiente
Mantener, ampliar, reducir, suspender, restaurar y revocar la acreditación, de acuerdo con lo previsto en los presentes parámetros
Cumplir, en todo momento, con las condiciones y términos conforme a los cuales se le otorgó la autorización como entidad de acreditación
Contar permanentemente con técnicos calificados y con experiencia en el campo de la acreditación, para manejar el tipo, frecuencia y volumen de trabajo o
actividades propias en materia de protección de datos personales
Permitir la revisión o verificación de sus actividades por parte del IFAI , así como permitir la presencia de un representante de la autoridad cuando así sea
requerido en el desarrollo de sus funciones
Integrar y coordinar el comité de evaluación para la acreditación conforme a la normativa que dicte el IFAI
Mantener un programa de seguimiento y vigilancia que permita demostrar en cualquier momento que los certificadores acreditados siguen cumpliendo las
condiciones y requisitos que sirvieron de base para su acreditación
Disponer de procedimientos específicos para resolver las apelaciones, reclamaciones o quejas que presenten las partes afectadas por sus actividades, y
mantener registros de las reclamaciones recibidas y soluciones adoptadas respecto a las mismas
Salvaguardar, en términos de las disposiciones aplicables, la confidencialidad de la información obtenida en el desempeño de sus actividades
Contemplar la posibilidad de participar en organizaciones de acreditación regionales o internacionales en materia de protección de datos personales para la
elaboración de criterios y lineamientos sobre la acreditación y el reconocimiento mutuo de las acreditaciones otorgadas
30. Obligaciones de las entidades de
acreditación II
Presentar semestralmente un reporte de sus actividades al IFAI que incluya un listado actualizado de los certificadores acreditados
Considerar los procedimientos y métodos que se establezcan en las normas mexicanas y, en su defecto, las internacionales
Prestar sus servicios en condiciones no discriminatorias y observar las demás disposiciones en materia de competencia económica
Evitar la existencia de conflictos de interés que puedan afectar sus actuaciones y excusarse de actuar cuando existan tales conflictos
Actuar con imparcialidad, independencia e integridad
Operar bajo un sistema de gestión que incluya al menos:
•Documentación de los procedimientos
•Control de documentos y registros
•Revisiones de la dirección y auditorías internas
•Acciones correctivas y preventivas
•Manejo de quejas y apelaciones;
Elaborar un reglamento interno de los comités de evaluación, de conformidad con la normatividad que dicte el IFAI;
Expedir un instructivo que establezca las reglas para la utilización del distintivo que identificará a los certificadores acreditados y los responsables
certificados
Proporcionar al IFAI la información que solicite, a fin de que éste vigile que se mantenga el estricto apego con las disposiciones legales respecto de la
entidad de acreditación con la Ley, el Reglamento, los presentes parámetros, así como cualquier otra normativa aplicable, y las condiciones y
términos conforme a los cuales fue otorgada la autorización para operar como tal.
31. Información de entidades
acreditadoras que debe mantenerse a
disposición pública
Información detallada acerca de
Descripción de los requisitos
los procedimientos que realiza,
para la acreditación, incluidos Una descripción detallada de
incluidas las condiciones para
los requisitos técnicos los derechos y las obligaciones
otorgar, mantener, ampliar,
específicos para cada sector de de los certificadores
reducir, suspender, restaurar y
acreditación
revocar la acreditación
Información sobre los
Información detallada sobre los Información sobre sus
procedimientos para la
procedimientos de evaluación actividades y las limitaciones
recepción y tratamiento de
que realiza declaradas bajo las cuales opera
quejas y apelaciones
Información de precios y tarifas
32. Subcontratación en la evaluación
La entidad de acreditación deberá revisar su capacidad para llevar a cabo la
evaluación a certificadores de manera oportuna sin necesidad de subcontratar
servicios. Si fuese necesaria la subcontratación, la entidad de acreditación
deberá acreditar frente al IFAI , al momento de solicitar la autorización, que:
Cuenta con
Asume la
mecanismos Cuenta con
responsabilidad
Cuenta con una para asegurar mecanismos
exclusiva para
política en la que Asume la que el para asegurar
otorgar,
se describan las responsabilidad subcontratado y, que el
mantener,
condiciones bajo de las en su caso, su subcontratado
ampliar, reducir,
las cuales puede evaluaciones personal, es mantiene la
suspender,
tener lugar una subcontratadas; competente y confidencialidad
restaurar o
subcontratación; cumple con los de la
revocar la
presentes información.
acreditación;
parámetros, y
33. Criterios de operación para preparar la
evaluación
Antes del inicio de cualquier evaluación por parte
de la entidad de acreditación, ésta deberá:
Designar formalmente a un equipo de evaluación
que conste de un número adecuado de
evaluadores para cada alcance específico, los
cuales a su vez deberán: Asegurarse de que los
miembros del equipo
actúen de forma
Efectuar una evaluación
Tener el conocimiento
confiable de la
imparcial.
apropiado para cumplir
competencia de los
con las finalidades de la
certificadores solicitantes,
acreditación
así como
34. Criterios de operación para la
evaluación in situ
En todas las evaluaciones iniciales, la entidad acreditante deberá
realizar al menos una visita a la oficina principal del certificador
solicitante, así como a todas sus demás instalaciones en donde se
desarrolle alguna actividad relacionada con la certificación.
Cuando la entidad de acreditación requiera realizar la evaluación en
las instalaciones del certificador solicitante, ésta deberá observar lo
siguiente:
• El equipo de evaluación comenzará con la evaluación in situ con una reunión de
apertura en la cual se defina claramente el propósito de la evaluación así como los
criterios de acreditación
• El equipo de evaluación debe ser testigo del desempeño de un número representativo
del personal del organismo de certificación para asegurar la competencia.
35. Hallazgos e informe de evaluación I
El equipo de evaluación debe analizar toda la información y evidencia
pertinente recopilada durante la revisión de los documentos,
registros y la evaluación in situ. El análisis debe ser suficiente para
permitir al equipo de evaluación determinar que el certificador
solicitante cuenta con la competencia necesaria para operar.
Antes de abandonar las instalaciones del
certificador solicitante, debe tener lugar
En caso de incumplimientos, debe
una reunión entre el equipo de
invitarse al certificador solicitante a
evaluación y dicho certificador
responder el informe de evaluación y
Los procedimientos de la entidad de solicitante. Se deberá poner a
describir las acciones específicas
acreditación deben asegurar que se consideración del mismo un informe por
adoptadas o planificadas para ser
cumpla con los siguientes requisitos: escrito, sobre los resultados de la
adoptadas dentro de un tiempo
evaluación cuyos contenidos incluirán la
determinado para la resolución de
competencia, el cumplimiento con los
cualquier incumplimiento identificado
parámetros, así como la identificación de
los incumplimientos, en su caso;
36. Hallazgos e informe de evaluación II
La información
• La identificación del certificador
que los solicitante;
evaluadores • Las fechas de evaluación in situ;
• El nombre de los evaluadores
proporcionen a involucrados en la evaluación;
quienes toman las • Información sobre las
instalaciones evaluadas;
decisiones de • El alcance propuesto de la
acreditación que fue evaluado;
acreditación debe • El informe de evaluación, y
incluir como • En su caso, la respuesta a los
incumplimientos identificados en
mínimo lo el informe de evaluación.
siguiente:
37. Toma de la decisión
Antes de tomar la decisión, La decisión de otorgar o no
la entidad de acreditación la acreditación será tomada
deberá asegurarse de que la por el comité de evaluación
información es adecuada para la acreditación y la
para decidir si se han comisión de acreditación
cumplido los requisitos de designada por la entidad de
acreditación. acreditación.
38. Plazo para corrección de fallas
En caso de no ser favorable la
Expirado dicho plazo, se emitirá la
decisión, se otorgará un plazo de
decisión definitiva valorándose
90 días naturales al certificador
previamente la información y
solicitante para corregir cualquier
documentación que éste hubiere
falla o inconsistencia que se le
aportado, en su caso.
hubiere señalado.
En caso de que la acreditación no
hubiere sido otorgada, cualquier
nueva solicitud de acreditación
posterior realizada por el mismo
solicitante, deberá dar inicio a un
nuevo procedimiento de
acreditación.
39. Certificado de acreditación
La entidad de acreditación debe proporcionar un certificado de
acreditación al certificador acreditado, mismo que deberá contener:
• La identificación y el logotipo de la entidad de acreditación;
• La identificación única del certificador acreditado;
• Oficinas que se encuentran amparadas por el certificado de acreditación
• La fecha efectiva de otorgamiento de la acreditación, su vigencia, y
• Descripción del alcance de la acreditación.
La entidad de acreditación debe establecer procedimientos y planes para
llevar a cabo evaluaciones periódicas de vigilancia, incluyendo
evaluaciones in situ, en intervalos anuales para mantener el
cumplimiento continuo por parte de los certificadores.
40. Suspensión de la acreditación
Las entidades de acreditación deberán suspender la acreditación de certificadores
cuando el IFAI así lo requiera de acuerdo a las atribuciones descritas en los presentes
parámetros o cuando éstos:
• Dejen de cumplir con alguno de los requisitos con base en los cuales se les otorgó la acreditación
• No proporcionen a la entidad de acreditación o al IFAI en forma oportuna y completa los informes que le
sean requeridos respecto a su funcionamiento y operación
• Impidan u obstaculicen las funciones de verificación y vigilancia de la entidad de acreditación o del IFAI
• Disminuyan los recursos o la capacidad para emitir certificados al menos por un mes
• Emitan documentos donde se hagan constar los resultados de la certificación con información o datos
erróneos de manera negligente
• No hayan cubierto las cuotas de acreditación, en su caso
Una vez que se hayan subsanado en su totalidad las causas que dieron origen a la
suspensión, la acreditación podrá ser restaurada en el periodo previsto por la entidad
acreditante dentro sus procedimientos y condiciones, exponiéndose los motivos que
justifican la restauración de la acreditación respectiva.
41. Revocación de la acreditación
Las entidades de acreditación deberán revocar la acreditación de los certificadores, cuando
el IFAI así lo requiera de acuerdo a la facultades descritas en los presentes parámetros o
cuando éstos:
• Emitan documentos donde se hagan constar los resultados de la certificación con información o datos falsos;
• Nieguen reiterada o injustificadamente el servicio que se les solicite;
• Renuncien expresamente a la acreditación concedida para operar;
• Se disminuyan los recursos o la capacidad para emitir certificados por más de tres meses consecutivos;
• No hayan subsanado las causas que dieron efecto a una suspensión dentro del plazo señalado por la misma
• Cuando se violen las disposiciones de la Ley, el Reglamento o los presentes parámetros.
Los certificadores, después de haber sido notificados, tendrán el término de cinco días
hábiles para manifestar lo que a su derecho convenga a la entidad de acreditación.
Concluido dicho término sin que se justifique su actuación, se procederá a la revocación
correspondiente.
La revocación de la acreditación conllevará la prohibición de ejercer las actividades de
certificación y de hacer cualquier alusión a la acreditación, así como la de utilizar cualquier
tipo de información o símbolo referente a la misma.
42. Requisitos para solicitar la acreditación
como certificador I
Nombre, denominación o razón social del certificador solicitante y de su representante legal, en su caso y la documentación que
acredite su personalidad jurídica.
Las personas físicas presentarán original y copia para su cotejo, de su identificación oficial y registro federal de contribuyentes, y
una carta bajo protesta de decir verdad de que se encuentran en pleno uso y goce de sus facultades para obligarse en los términos
de estos parámetros y que se encuentran en cumplimiento de sus obligaciones fiscales.
Las personas morales deberán presentar original y copia para su cotejo del acta constitutiva que acredite que su objeto social está
relacionado con las funciones de certificador, así como designar a un apoderado legal acompañado del documento que lo acredite
como tal, su registro federal de contribuyentes y carta bajo protesta de decir verdad de que se encuentran en cumplimiento de
sus obligaciones fiscales.
Señalar domicilio o domicilios que pretende utilizar para las actividades relacionadas con la certificación;
La descripción de los servicios que pretende prestar y los procedimientos a utilizar, y de las condiciones para otorgar, mantener,
ampliar, reducir, suspender, restaurar y revocar la certificación;
43. Requisitos para solicitar la acreditación
como certificador II
Descripción de la estructura para operar, e información que acredite que cuenta con los recursos humanos, financieros y tecnológicos, contando con las
responsabilidades definidas y documentadas que le permitan llevar a cabo las funciones de certificador. Para acreditar los recursos financieros, deberá
presentar la documentación que demuestre la solvencia y capacidad de responder a cualquier procedimiento legal derivado de la actividad de certificación.
Los recursos humanos destinados a la auditoría de certificación deberán contar con la certificación de por lo menos una entidad de acreditación autorizada;
Elementos que le permitan acreditar que mantendrá imparcialidad en sus actividades, es decir, que le impidan tener vínculos con las empresas e
instituciones que certifique, que puedan llevar a un conflicto de intereses. En su caso, deberá documentar los posibles conflictos de interés y demostrar que
ha tomado las acciones para eliminar o minimizar dicha amenaza;
Elementos que le permitan asegurar, en términos de la normativa aplicable, la confidencialidad de la información obtenida en el transcurso de las
actividades de certificación;
Descripción del sistema de gestión bajo el que operará, mismo que deberá incluir al menos:
•Documentación de los procedimientos;
•Control de documentos y registros;
•Revisiones de la dirección y auditorías internas;
•Acciones correctivas y preventivas, y
•Manejo de quejas y apelaciones, y
Elementos que le permitan asegurar que cuenta de manera permanente con personal suficiente con el nivel de experiencia para efectuar sus funciones. El
personal responsable de la certificación debe contar con las calificaciones, capacitación y experiencia adecuadas, así como con un conocimiento satisfactorio
de los requisitos de la Ley, el Reglamento y las demás disposiciones aplicables en la materia.
44. Obligaciones del certificador I
• Resolver las solicitudes de certificación de responsables y encargados que así lo soliciten, emitiendo, de ser el
caso, las certificaciones correspondientes, mismas que deberán ser notificadas al IFAI entro de los cinco días
hábiles siguientes a la emisión de la certificación correspondiente;
• Mantener, ampliar, reducir, suspender, restaurar y revocar la certificación de los responsables y encargados;
• Cumplir en todo momento con las condiciones y términos conforme a los cuales se le otorgó la acreditación;
• Permitir la revisión o verificación de sus actividades por parte del IFAI o las entidades de acreditación, así como
permitir la presencia de un representante de la autoridad cuando así sea requerido en el desarrollo de sus
funciones;
• Integrar y coordinar los comités de evaluación para la certificación conforme a los lineamientos que dicte el IFAI .
En caso de personas físicas, el acreditado asumirá toda la responsabilidad sobre la toma de decisión para la
emisión del certificado, por lo que no será necesario conformar un comité, sin embargo los mecanismos que
garanticen la imparcialidad deberán ser reforzados;
• Mantener un programa de seguimiento y vigilancia que permita demostrar en cualquier momento que los entes
certificados siguen cumpliendo las condiciones y requisitos que sirvieron de base para su certificación;
• Disponer de procedimientos específicos para resolver las apelaciones, reclamaciones o quejas que presenten las
partes afectadas por sus actividades, y mantener registros de las reclamaciones recibidas y soluciones adoptadas
respecto a las mismas;
• Salvaguardar, en términos de las disposiciones aplicables, la confidencialidad de la información obtenida en el
desempeño de sus actividades;
• Presentar semestralmente un reporte de sus actividades a la entidad que emitió su acreditación, que incluya un
catálogo clasificado y actualizado de los entes certificados;
45. Obligaciones del certificador II
• Considerar los procedimientos y métodos que se establezcan en las normas mexicanas y, en su defecto, las
internacionales;
• Prestar sus servicios en condiciones no discriminatorias y observar las demás disposiciones en materia de
competencia económica;
• Evitar la existencia de conflictos de interés que puedan afectar sus actuaciones y excusarse de actuar cuando
existan tales conflictos;
• Actuar con imparcialidad, independencia e integridad;
• Operar bajo un sistema de gestión que incluya al menos:
– Documentación de los procedimientos;
– Control de documentos y registros:
– Revisión por la dirección y auditorías internas;
– Acciones correctivas y preventivas, y
– Manejo de quejas y apelaciones;
• Elaborar un reglamento interno de los comités de evaluación, de conformidad con los lineamientos que dicte el
IFAI ;
• Expedir un instructivo que establezca las reglas para la utilización del distintivo que identificará a los entes
certificados, y
• Mantener permanentemente actualizada a la entidad de acreditación respecto de las certificaciones que expidan,
así como proporcionarles toda la información que le soliciten, a fin de que se vigile el estricto apego con las
disposiciones legales respecto del certificador con la Ley, el Reglamento, los presentes parámetros, o cualquier
otra normativa aplicable, incluyendo las normas mexicanas, normas o lineamientos internacionales aplicables y las
condiciones y términos conforme a los cuales fue otorgada la acreditación para operar como tal.
46. Información que el certificador debe
mantener a disposición pública
Información detallada acerca de los procedimientos que de evaluación y certificación
que realiza, incluidas las condiciones para otorgar, mantener, ampliar, reducir,
suspender, restaurar y revocar la certificación
Descripción de los requisitos para la certificación, incluidos los requisitos técnicos
específicos para cada certificación
Información sobre los procedimientos para la recepción y tratamiento de quejas y
apelaciones
Información sobre sus actividades y las limitaciones declaradas bajo las cuales opera
En su caso, información de precios y tarifas
47. Subcontratación en la evaluación
El organismo de certificación deberá revisar su capacidad para
llevar a cabo la evaluación solicitada de manera oportuna sin
necesidad de subcontratar servicios.
Si fuese necesaria la subcontratación, el certificador deberá
acreditar frente a la entidad de acreditación, que el proveedor
subcontratado cuenta con la competencia necesaria.
El certificador asumirá la responsabilidad de las operaciones
subcontratadas.
48. Criterios de operación del certificador I
Auditoría interna, para confirmar la efectividad de las actividades de certificación y el apego a los
lineamientos establecidos por la Ley, el Reglamento, los parámetros de autorregulación y cualquier otra
disposición aplicable;
Solicitud de certificación, incluyendo la recepción, revisión y aprobación o negación de la solicitud;
Preparación para la evaluación. Antes del inicio de cualquier evaluación por parte del certificador se
deberá designar formalmente a un equipo de evaluación que cuente con las capacidades necesarias
para realizar la evaluación y asegurar que los miembros del equipo actúen de forma imparcial;
Evaluación documental, que consiste en la revisión exhaustiva de que el o los tratamientos que se
desean certificar cumplen con la Ley, el Reglamento y demás disposiciones aplicables;
Informe de evaluación documental, donde se mencionan las inconsistencias o irregularidades existentes
y, en su caso, el plazo para subsanarlas;
49. Criterios de operación del certificador
II
Evaluación In-situ, que deberá realizarse con el objeto de evaluar la implementación y eficacia de los elementos revisados durante la
evaluación documental y la atención a las inconsistencias o irregularidades detectadas;
Informe de evaluación In-Situ, donde se mencionan las inconsistencias o irregularidades existentes detectadas en la evaluación in-situ y en su
caso el plazo para subsanarlas;
Evaluación de seguimiento, que consiste en la revisión de las actividades de atención a las inconsistencias o irregularidades detectadas en la
evaluación In-Situ;
Emisión de certificado, el cual debe señalar el alcance, sector al que pertenece, la vigencia y las revisiones de vigilancia correspondientes;
Evaluación de vigilancia. Durante la vigencia de certificado, el certificador deberá vigilar por lo menos una vez al año que las empresas
certificadas mantienen el cumplimiento de los requisitos evaluados, y
Toma de decisión: Antes de tomar la decisión sobre la certificación, el certificador deberá asegurarse de que la información es adecuada para
decidir si se han cumplido los requisitos para la certificación. La decisión de otorgar o no la certificación, será tomada por el comité de
evaluación para la certificación designado por el organismo o por el propio certificador, cuando se trate de persona física.
50. Vigencia y Renovación del certificado
Al término de la vigencia, el
interesado deberá presentar la
Quincuagésimo primero. Las
solicitud de renovación
certificaciones otorgadas en
correspondiente ante el
materia de protección de datos
certificador, el cual evaluará la
personales, tendrán una
pertinencia de concederla de
vigencia de dos años.
acuerdo con los procedimientos
establecidos para tal efecto.
51. Suspensión del certificado
Incumpla con lo previsto en la Ley, el
Deje de cumplir con alguno de los
Reglamento, los Parámetros, y las
requisitos con base en los cuales se
demás disposiciones que resulten
les otorgó el certificado;
aplicables;
Causas de
suspensión del
certificado
No proporcione al IFAI en forma
Impida u obstaculice las funciones
oportuna y completa los informes
de verificación y vigilancia del
que le sean requeridos respecto a su
certificador o del IFAI
funcionamiento y operación, o
52. Revocación del certificado
Exista falsedad en No dar
la información cumplimiento a las
presentada en los observaciones
reportes realizadas durante
posteriores a la los procedimientos
solicitud de de certificación o
certificación; revisiones;
Que el IFAI haya
Otras causas graves
sancionado al
señaladas por el
responsable
IFAI .
certificado, y
53. Tipos y alcance de Certificados
Los certificadores podrán emitir certificaciones específicas por
sector, considerando las particularidades del funcionamiento de
dicho sector, así como la legislación aplicable en su caso.
La certificación podrá realizarse respecto a ciertos tratamientos
o a la totalidad de tratamientos que efectúe el responsable.
Cuando una entidad de acreditación autorizada o un
certificador acreditado tenga poder sustancial en el mercado
relevante deberá observar lo dispuesto por la Ley Federal de
Competencia Económica, en materia de tarifas, calidad y
oportunidad del servicio.
54. Notificación simultánea
Los esquemas de autorregulación vinculante que
convengan los particulares en términos del primer párrafo
del artículo 44 de la Ley, serán notificados de manera
simultánea a
• las autoridades sectoriales que correspondan
• al IFAI
Para lo cual el IFAI desarrollará el procedimiento
correspondiente
55. Requisitos para la notificación
La notificación de un esquema de autorregulación vinculante deberá hacerse por
escrito o a través de los medios habilitados por el IFAI, y debe incluir lo siguiente:
• El instrumento legal en el que conste el esquema de autorregulación vinculante, en idioma Español, que se
pretende registrar ante el IFAI , incluyendo los contenidos previstos en el Capítulo III de los Parámetros;
• Listado de los nombres, denominaciones o razones sociales de los adheridos al esquema, así como de las
organizaciones civiles o gubernamentales, nacionales o extranjeras, que hayan convenido el esquema de
autorregulación vinculante, en su caso;
• Nombre, denominación o razón social del o los administradores del esquema de autorregulación y su
domicilio para oír y recibir notificaciones;
• En su caso, el alcance y vinculación internacional, considerando esquemas de autorregulación de otros
países, regionales o internacionales y su vinculación con esquemas de cooperación transfronteriza entre
autoridades;
• En el caso de sellos de confianza, deben adjuntarse las características técnicas de los mismos, así como
señalar los derechos de propiedad intelectual por los que, en su caso, se encuentren protegidos, y
• Información sobre las entidades de auditoría, verificación, certificación o acreditación que intervendrán en
los procesos de evaluación de tercera parte, y en la administración de mecanismos alternativos de solución
de controversias, en su caso;
56. Esquemas de autorregulación
reconocidos por el IFAI
En los casos de que el
Para que un esquema de esquema de autorregulación
autorregulación vinculante No obstante, los vinculante sea
sea considerado como tal responsables podrán acordar representativo de una
por el IFAI , en el marco de la otras clases de medidas, industria o sector, o que por
Ley, su Reglamento y los mecanismos y esquemas de su grado de especialización
presentes parámetros, debe autorregulación en materia así lo requiera, el IFAI podrá
notificarse al IFAI y cumplir de protección de datos solicitar la opinión de otras
con lo previsto por dichas personales. autoridades o expertos en la
disposiciones. materia, para su inscripción
en el Registro.
57. Registro de autorregulaciones
Los esquemas de autorregulación
notificados al IFAI y, de ser
procedentes, se inscribirán en el
Registro que para tal efecto
administre, siempre que reúnan
los requisitos previstos en la Ley, El IFAI emitirá las reglas de operación y
su Reglamento y los Parámetros. funcionamiento de dicho Registro.