Introducción: la gestión de crisis como imperativo organizacional
En el ámbito de la administración empresarial, una crisis organizacional se define como cualquier evento súbito o progresivo que amenaza la continuidad operativa, la reputación o la integridad legal de una organización. A diferencia de un incidente menor, una crisis escala con rapidez, involucra múltiples partes interesadas (stakeholders) y exige respuestas coordinadas bajo presión temporal. El instrumento que estructura esa respuesta es el Protocolo de Gestión de Crisis (PGC), un documento normativo interno que define roles, procedimientos, umbrales de activación y mecanismos de comunicación para contener y resolver situaciones de alto impacto.
Contar con un PGC no es solo una buena práctica de gobierno corporativo: en determinados contextos —especialmente cuando la crisis involucra datos personales, accidentes laborales o afectaciones a terceros— la legislación mexicana impone obligaciones específicas que hacen del protocolo un requisito de cumplimiento normativo (compliance).
Marco legal aplicable en México
El marco regulatorio más relevante para el PGC en materia de datos personales es la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), publicada en el Diario Oficial de la Federación en 2010 y complementada por su Reglamento. Conforme a la legislación vigente, los responsables del tratamiento de datos personales están obligados a implementar medidas de seguridad administrativas, técnicas y físicas para proteger la información personal de vulneraciones. Cuando ocurre una vulneración de seguridad —es decir, cualquier acceso, uso, divulgación, daño o alteración no autorizada de datos personales—, el responsable debe notificar al titular afectado de forma inmediata una vez que sea confirmada la vulneración.
En la práctica, esta disposición significa que el PGC de cualquier empresa que trate datos personales debe incluir, de manera explícita, un procedimiento de detección, evaluación y notificación de vulneraciones, con tiempos de respuesta definidos y canales de comunicación habilitados hacia los titulares de los datos y, según la gravedad, hacia el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
Componentes obligatorios de un Protocolo de Gestión de Crisis
Un PGC robusto no es un documento genérico: debe estar calibrado a la naturaleza, tamaño y sector de la empresa. Sin embargo, existen elementos estructurales que toda organización debe incorporar:
- Definición de niveles de crisis: establece una taxonomía de severidad (p. ej., Nivel 1: incidente contenido; Nivel 2: crisis con impacto operativo; Nivel 3: crisis con exposición legal o reputacional) para determinar qué protocolo se activa y quién lo lidera.
- Comité de Crisis: equipo multidisciplinario con roles y responsabilidades predefinidos —dirección general, área legal, comunicación corporativa, tecnología de la información y recursos humanos— con un líder de crisis designado y un suplente.
- Procedimiento de activación: criterios claros y verificables para declarar oficialmente una crisis, incluyendo umbrales cuantitativos (número de registros comprometidos, porcentaje de operaciones interrumpidas) y cualitativos (cobertura mediática adversa, denuncia ante autoridad).
- Plan de comunicación en crisis: mensajes preaprobados por canal (comunicado de prensa, correo electrónico a clientes, redes sociales, comunicación interna), con énfasis en los derechos ARCO —Acceso, Rectificación, Cancelación y Oposición— cuando la crisis involucra datos personales.
- Cadena de notificación legal: flujo documentado para informar a autoridades regulatorias (INAI, PROFECO, IMSS, según corresponda), con responsable designado y plazos máximos de reporte.
- Plan de continuidad del negocio (BCP, por sus siglas en inglés): procedimientos para mantener o restaurar funciones críticas durante y después de la crisis, incluyendo respaldos de información, sitios alternos de operación y contratos de servicio con proveedores de contingencia.
- Registro de incidentes y bitácora de crisis: documento en tiempo real que captura acciones tomadas, decisiones adoptadas, personas contactadas y evidencias recabadas; esencial para acreditar diligencia ante una autoridad.
- Protocolo de post-crisis y lecciones aprendidas: revisión estructurada al cierre del evento para identificar fallas en los controles preventivos, actualizar el PGC y capacitar al equipo.
Consideraciones específicas para crisis de datos personales
Cuando la crisis involucra una vulneración de seguridad de datos personales, el PGC debe observar la LFPDPPP con particular rigor. Conforme a la legislación vigente, la notificación al titular debe informar, como mínimo: la naturaleza del incidente, los datos personales comprometidos, las recomendaciones para que el titular pueda protegerse y las acciones correctivas adoptadas por la empresa.
El incumplimiento de esta obligación puede derivar en sanciones económicas impuestas por el INAI, además de responsabilidad civil frente a los titulares afectados. La interpretación práctica es clara: no basta con contener técnicamente la vulneración; la organización debe demostrar que actuó con diligencia debida —concepto jurídico que implica el cuidado razonable esperado de un responsable competente— y que los titulares fueron informados oportunamente.
Simulacros y mantenimiento del protocolo
Un PGC que nunca se ejercita es, en los hechos, un documento inoperante. La práctica estándar en gestión de riesgos recomienda realizar al menos un ejercicio de mesa (tabletop exercise) anual, en el cual el Comité de Crisis simula la respuesta a un escenario hipotético sin interrumpir operaciones reales. Los hallazgos de cada ejercicio deben documentarse y traducirse en actualizaciones al protocolo. Adicionalmente, cualquier cambio organizacional relevante —fusión, nuevo producto, expansión a nuevos mercados, modificación de sistemas de información— debe disparar una revisión del PGC para mantener su vigencia.
Glosario
- Protocolo de Gestión de Crisis (PGC): documento normativo interno que establece roles, procedimientos y mecanismos de respuesta ante eventos que amenazan la continuidad o integridad de una organización.
- Vulneración de seguridad: acceso, uso, divulgación, daño o alteración no autorizada de datos personales en posesión del responsable, conforme a la LFPDPPP.
- Derechos ARCO: derechos del titular de datos personales a Acceder, Rectificar, Cancelar y Oponerse al tratamiento de su información, reconocidos por la LFPDPPP.
- Diligencia debida: estándar jurídico que exige el nivel de cuidado razonable que un profesional competente habría ejercido en las mismas circunstancias.
- Plan de continuidad del negocio (BCP): conjunto de procedimientos diseñados para mantener o restaurar funciones críticas de una organización durante una interrupción significativa.
- Comité de Crisis: equipo multidisciplinario con autoridad y responsabilidad para activar, coordinar y cerrar la respuesta a una crisis organizacional.
- Responsable (LFPDPPP): persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
- Ejercicio de mesa (tabletop exercise): simulacro de crisis en formato de discusión grupal, sin interrumpir operaciones, utilizado para evaluar y mejorar los protocolos de respuesta.
Referencias
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). (2010). Diario Oficial de la Federación, 5 de julio de 2010. México: Congreso de la Unión.
- Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. (2011). Diario Oficial de la Federación, 21 de diciembre de 2011. México: Poder Ejecutivo Federal.
- Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). (2013). Recomendaciones en materia de seguridad de datos personales. México: INAI.
- Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). (2018). Guía para el tratamiento de datos personales y medidas de seguridad. México: INAI.