La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la Ley) comenzó su vigencia el 5 Julio de 2010 y su Reglamento el 22 de Diciembre de 2011. Esta nueva legislación establece requerimientos que todas las personas físicas o morales, que traten datos personales, deben de cumplir.
La Ley regula el tratamiento que cualquier persona, física o moral, realice de datos personales; es decir, la obtención, almacenamiento, uso y transferencia de los mismos.
Este Documento explica los aspectos mas relevantes previstos en la Ley y su Reglamento.
En los siguientes párrafos se explican brevemente algunos de los términos utilizados por la ley.
I. Términos.
Datos Personales. Cualquier información relacionada con una persona identificada o identificable. (Para que el responsable pueda tratar los datos de cualquier individuo, es necesario que obtenga su consentimiento).
Datos personales sensibles. Son aquellos datos que afectan la esfera más intima de una persona, y su indebido tratamiento puede traer serias consecuencias para el titular de los datos. El tratamiento de estos datos debe estar justificado por su finalidad.
Aviso de Privacidad. Es el documento físico, electrónico o por cualquier otra tecnología generado, por el responsable de los datos y que es puesto a disposición del titular de los datos, antes del tratamiento de los mismos. (A través de este documento el responsable hace del conocimiento del titular de los datos para que finalidades y como serán tratados sus datos).
Responsable. Es la persona física o moral que decide sobre el tratamiento que se le va a dar a los datos personales.
Encargado. Es la persona física o moral que sola o conjuntamente, trata datos personales por cuenta del responsable, esta función puede recaer en una persona ajena al responsable o interna, y puede ser una sola persona o un departamento.
Autoridad. La autoridad encargada de velar por el cumplimiento de la Ley, es el Instituto Mexicano de Acceso a la Información y Protección de Datos Personales (IFAI).
Transferencia de datos. Cualquier comunicación de datos que realiza el responsable a terceras personas.
Derechos ARCO. Son los derechos a través de los cuales el titular de los datos decide sobre su tratamiento. Acceso, Rectificación, Cancelación, y Oposición.
II. Obligaciones.
Las siguientes son algunas de las obligaciones mas importantes con las que debe cumplir el Responsable y el Encargado de conformidad con lo establecido en la Ley y su Reglamento.
1. Obligaciones del responsable.
- Elaborar el Aviso de Privacidad y ponerlo a disposición del titular de los datos.
- Designar al Encargado.
- Celebrar con el Encargado un contrato de Prestación de Servicios.
2. Obligaciones del Encargado.
- Procesar las solicitudes de ejercicio de los Derechos ARCO, presentadas por los titulares.
- Implementar las medidas de seguridad para dar protección a los datos personales.
III. Procedimientos que se sustancian ante el Instituto Mexicano de Acceso a la información y Protección de Datos y sanciones.
- Procedimiento de protección de derechos. Tiene como finalidad que el titular de los datos pueda apelar las resoluciones emitidas por el responsable.
- Procedimiento de Verificación. Tiene como finalidad que el IFAI verifique el cumplimiento de sus resoluciones y las disposiciones de la Ley y su Reglamento.
- Procedimiento de imposición de sanciones. Tiene como finalidad que el IFAI imponga una sanción cuando se verifica el incumplimiento de sus resoluciones o de las disposiciones de la Ley y su Reglamento.
El Incumplimiento de las disposiciones establecidas en la ley tiene las siguientes consecuencias:
Sanciones Administrativas:
- Apercibimiento para que cumpla con lo solicitado por el titular de los datos.
- Multa de 100 a 160,000 días de salario mínimo vigente en el D.F.
- Multa de 200 a 320,000 días de salario mínimo vigente en el D.F.
- Por cometer infracciones de manera reiterada de 100 a 320,000 días de salario mínimo vigente en el D.F.
- Cuando se trate de Datos personales sensibles, se incrementan hasta por dos veces las penas.
Delitos:
- Al que estando autorizado para tratar datos personales, con ánimo de lucro provoque una vulneración de seguridad a las bases de datos bajo su custodio se le impondrán de 3 meses a 3 años de prisión.
- Al que con fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlo, se le impondrán de 6 meses a 5 años de prisión.
- Las penas se duplicarán cuando se trate de datos sensibles.
IV. Medidas de seguridad complementarias.
Es importante la elaboración de los siguientes documentos para lograr un adecuado cumplimiento de las disposiciones establecidas en la Ley.
Convenio de Confidencialidad. Es importante celebrar convenios de confidencialidad con todos los empleados, para obligarlos al cumplimiento de las disposiciones que se prevén en materia de protección de datos.
Políticas Internas. Tiene la finalidad de establecer los lineamientos que se deben seguir al interior de la empresa en cuanto al tratamiento de los datos personales.
Lineamientos para desahogo de solicitudes. Tiene como finalidad establecer parámetros que el encargado deberá seguir para tramitar las solicitudes de los titulares.
Contrato de transferencia de datos. Tiene como finalidad dejar constancia de las transferencias de datos que se realicen.
V. Sugerencias Adicionales.
Es importante capacitar al personal de la empresa, en la ley y su reglamento para evitar el incumplimiento de las disposiciones en ellas establecidas.
Así mismo se sugiere la inclusión en todas sus comunicaciones por correo electrónico, al pie del correo un párrafo en donde se informe sobre la protección de datos y donde se puede consultar el aviso de privacidad.
Para cualquier aclaración, duda o información adicional, favor de comunicarse con Andrés Gómez Calderón, encargado del Área. agomez@cuestacampos.com
Lo anterior se proporciona como información general preparada por profesionales con respecto al tema referido. Este documento sólo se refiere a leyes aplicables en México. Si bien se ha hecho todo el esfuerzo de proporcionar información correcta, no asumimos ningún tipo de responsabilidad por errores u omisiones. Por medio del presente no se está rindiendo asesoría legal, contable o profesional de ningún tipo.
