Rosa Maria Franco Velázquez
Axkati Legal, S.C.
Protección de Datos Personales
La protección de datos personales es un tema del que escuchamos cada vez más en la actualidad y que llegó para quedarse y desarrollarse de la mano de la innovación tecnológica.
Anteriormente, la protección de datos personales no era un derecho que estuviera específicamente regulado en la legislación mexicana, sin embargo, varios cuerpos normativos contenían alguna referencia al mismo, como son, la Ley Federal de Protección al Consumidor, la Ley de Instituciones de Crédito, la Ley General de Salud, la Ley Federal del Derecho de Autor y la Ley Federal del Trabajo.
La expansión en el uso de nuevas tecnologías, combinado con una mayor conciencia de los legisladores en México sobre la importancia de la protección de datos, dió como resultado modificaciones tangibles en relación con la privacidad y la protección de datos. En 2009, se modificaron los artículos 16 y 73, estableciendo, respectivamente, el derecho fundamental a la protección de los datos personales, así como la facultad del Congreso para promulgar una ley de protección de datos. Con estas modificaciones, la protección de datos personales fue reconocido como un derecho autónomo y fundamental.
El 5 de julio de 2010 se publicó en el Diario Oficial de la Federación la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la «Ley»), misma que entró en vigor al día siguiente de su publicación. El Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (el «Reglamento»), se publicó en el Diario Oficial de la Federación el 21 de diciembre de 2011 y entró en vigor el 22 de diciembre del mismo año.
La Ley, es una ley de orden público y de observancia general y tiene por objeto proteger a las personas (titulares de datos) al regular el tratamiento legítimo, controlado e informado de sus datos personales, para garantizar la privacidad y el derecho a la autodeterminación informativa, es decir, la capacidad que tiene una persona para decidir quién, cómo, dónde y para qué fines se pueden tratar sus datos personales.
Hay varios conceptos y figuras, incluidas en la Ley y el Reglamento, que deben tenerse en cuenta, tales como: responsable, encargado, tercero, tratamiento, dato personal, aviso de privacidad, etc. El responsable es la persona física o jurídica que decide sobre el tratamiento de los datos personales, por ejemplo: una compañía farmacéutica, una agencia de automóviles, un supermercado, etc. El encargado es la persona física o moral que, sola o conjuntamente con otros, trata datos personales en nombre del responsable, por ejemplo: una empresa de administración de nómina o un proveedor de tecnologías de la información. Un tercero es la persona física o jurídica, nacional o extranjera, distinta del titular o el responsable, por ejemplo: un responsable distinto al que recabó los datos personales, como una empresa filial o afiliada del mismo.
Dato personal, en términos de la Ley y el Reglamento, es cualquier información relativa a una persona física identificada o identificable. La Ley distingue entre distintas categorías de datos, como son datos financieros y datos sensibles. Los datos sensibles se refieren a la esfera más íntima de la vida del titular, y cuyo mal uso puede dar lugar a discriminación o implicar un riesgo grave para este. Pueden revelar elementos como el origen racial o étnico, estado de salud, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y preferencia sexual. Como vemos los datos personales pueden ser la información más simple que se pueda imaginar como el nombre, el domicilio, la edad, la fecha de nacimiento, etc., pero también información que generalmente no consideramos como personal, como pudiera ser el ADN, los datos biométricos, las imágenes, las fotografías e incluso los hábitos y las conductas.
Como se mencionó anteriormente, la Ley pretende regular el tratamiento (recolección, uso, divulgación o almacenamiento) de datos personales por cualquier medio, llevado a cabo por personas físicas o morales de carácter privado. El Reglamento especifica que sus disposiciones no se aplicarán a la información que se refiere a personas morales, personas que actúan en su calidad de comerciantes y profesionistas, e información sobre personas que prestan sus servicios a una persona moral o física con actividades empresariales y que consiste únicamente en su nombre, funciones, así como: domicilio, dirección de correo electrónico, número de teléfono y fax siempre que se relacionen con su empleo y siempre que los datos se traten para fines de representación del empleador.
Los responsables del tratamiento de datos personales deben observar a lo largo del ciclo de vida de los datos los principios de legalidad, consentimiento, información, calidad, lealtad, finalidad, proporcionalidad y responsabilidad. Estos principios requieren que los datos se recopilen a través de medios legales y justos; que el titular dé su consentimiento para el tratamiento (siempre que sea necesario); que el titular esté claramente informado del tratamiento; que los datos que se traten sean precisos y se mantengan actualizados; que los fines del tratamiento sean claramente informados y que los datos no se usen para fines distintos; que los datos que se traten sean solo los necesarios para cumplir con las finalidades descritas; que el responsable implemente las medidas necesarias para cumplir con los principios y obligaciones establecidos en la Ley.
En principio, todo tratamiento de datos personales debe ser informado y requiere del consentimiento del titular, salvo las excepciones previstas en la Ley. Se cumple con la obligación de informar y recabar consentimiento, cuando se requiera, a través del aviso de privacidad que es el documento en formato físico, electrónico o en cualquier otro formato generado por el responsable y puesto a disposición del titular antes del tratamiento de sus datos personales.
Un aviso de privacidad integral debe incluir al menos los siguientes elementos: i) la identidad y domicilio del responsable; ii) las finalidades del tratamiento; iii) las opciones y medios ofrecidos por el responsable para limitar el uso o la divulgación de los datos; iv) los medios para ejercer los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO); v) en su caso, las transferencias de datos que se vayan a realizar; vi) el procedimiento mediante el cual el responsable notificará los cambios en el aviso de privacidad; y vii) mencionar si se tratarán datos personales sensibles.
Otras obligaciones establecidas en la Ley son el nombramiento de una Persona o Departamento de Datos Personales, que fomentará la protección de datos dentro de la empresa y responderá a solicitudes de derechos ARCO; así como establecer y mantener medidas de seguridad físicas, técnicas y administrativas diseñadas para proteger los datos personales contra daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizados.
Es importante recalcar que la Ley establece sanciones e incluso delitos que van hasta los cinco años de prisión. Las sanciones pueden consistir en el apercibimiento, que instruya al responsable a llevar a cabo las acciones solicitadas por el titular, o multas que pueden ir de los 100 a los 320,000 días de salario mínimo general vigente en la Ciudad de México (actualmente definidos como UMAs). Cabe destacar que las sanciones podrán duplicarse siempre que se traten datos personales sensibles.
La autoridad en la materia, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), informó en su comunicado del 24 de julio de 2017 que los sectores con mayor número de multas son los de servicios financieros, seguros, información en medios masivos y comercio al por menor.
Desde la entrada en vigor de la Ley y hasta el 30 de junio del año pasado el INAI ha resuelto diversos procedimientos de imposición de sanciones. En 147 casos determinó imponer una sanción económica de los cuales 54 asuntos corresponden al sector de servicios financieros y seguros, cuyo monto por concepto de multas ascendió a 183 millones 705 mil 889 pesos; 18 al sector de información en medios masivos, con un monto de 46 millones 605 mil 371 pesos; y 13 al sector de comercio al por menor, con 19 millones 562 mil 990 pesos. Así, el monto de las multas impuestas, a junio del 2017, ascendió a 317 millones 946 mil 732 pesos.
Vale la pena tomar en consideración que las infracciones cometidas con mayor frecuencia por los responsables son: tratar datos personales en contravención a los principios establecidos en la Ley; recabar o transferir datos personales sin el consentimiento del titular; y omitir en el aviso de privacidad alguno o todos los elementos previstos en la regulación.
Si bien queda mucho por hacer e interpretar en materia de privacidad y protección de datos en México, la autoridad está ejecutando la Ley e imponiendo sanciones importantes, siendo la mas relevante el daño reputacional que pudiera sufrir una empresa al ser conocida por no proteger adecuadamente los datos personales de sus clientes, consumidores, empleados, etc. lo cual podría resultar en un grave daño económico.
Blog AMPPI 
Deja una respuesta