Skip to main navigation

Boletín EY Servicios Financieros No. 1, 2011 - Nueva ley de protección de datos personales - EY - México

Boletín EY Servicios Financieros No. 1, 2011Nueva ley de protección de datos personales

Esta nueva ley regula y controla el tratamiento de los datos personales para garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

En una sociedad donde el valor económico de los datos cobra cada vez mayor relevancia, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares representa un avance importante en la protección de la privacidad de los individuos.

Antecedentes

El pasado 6 de julio entró en vigor la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), legislación que permite a México alinearse a los estándares en materia de protección de datos personales existentes a nivel internacional.

Es por ello que toda persona física o moral que recabe o cuente con bases de datos, archivos o expedientes con datos personales estará obligada a cumplir una serie de parámetros y reglas previstos en esta nueva Ley, para garantizar un uso y protección adecuados.

En adición, se modificó la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, de manera que el anterior Instituto Federal de Acceso a la Información Pública ahora es denominado de Acceso a la Información y Protección de Datos (IFAI), para ser el órgano federal responsable de la vigilancia y correcta observancia de la LFPDPPP.

Objetivos y alcances

La finalidad de la LFPDPPP es proteger los datos personales en posesión de los particulares, al regular y controlar su tratamiento para garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

Quienes están sujetando a dicha regulación son todos aquellos particulares –personas físicas y morales de carácter privado– que realicen la recolección y el tratamiento de datos personales, con la sola excepción de las sociedades de información crediticia y las personas que lleven a cabo la recolección de datos personales para fines de uso personal y sin fines de divulgación o utilización comercial.

Esta Ley se alinea a los compromisos internacionales adquiridos por México, así como a las directrices sobre la protección de la privacidad y el flujo transfronterizo de datos de la Organización para la Cooperación y Desarrollo Económico (OCDE).

Además, contempla las consideraciones de los Estándares Internacionales sobre Protección de Datos y Privacidad (Resolución de Madrid), ya que atiende los principios rectores de la protección de datos personales acogidos por las legislaciones de otros países miembros: licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, mismos que deberán ser observados por los responsables del tratamiento de datos personales.

Adicionalmente, contempla el libre flujo transfronterizo de datos, ya que no impone reglas especiales para el caso de transmisión de esta información al extranjero.

Obligaciones

De las obligaciones que esta Ley impone destaca que toda información personal que se recabe estará sujeta al consentimiento de su titular, salvo ciertas excepciones, como los casos previstos por ley, donde se tenga el propósito de cumplir obligaciones entre el titular y el responsable, o en situaciones de emergencia, debiendo otorgarse el consentimiento en ciertos supuestos, de manera expresa e incluso por escrito en caso de datos sensibles, permitiéndose para ello el uso de los medios electrónicos, ópticos o de cualquier otra tecnología que permita su autenticación.

Se introduce la obligación de informar y limitar el tratamiento de datos personales a las finalidades previstas en el aviso de privacidad que deberá darse a conocer por el responsable que lleve a cabo el tratamiento de la información.

En el aviso de privacidad se deberán establecer los mecanismos y procedimientos para que el titular revoque su consentimiento y ejerza sus derechos para acceder, rectificar, cancelar u oponerse al uso de sus datos personales (estos derechos son conocidos como ARCO, por el acrónimo que se forma con sus iniciales), que podrá ejercer en cualquier momento y de manera gratuita, salvo algunas excepciones previstas por la Ley.

Implicaciones

Con la introducción de esta Ley, toda persona (salvo por las excepciones especificadas al inicio de este documento) que lleve a cabo el tratamiento de datos personales deberá adoptar medidas no sólo de carácter jurídico –como la celebración de los instrumentos idóneos encaminados a preservar la confidencialidad de los datos y a causar que los terceros que intervengan en su tratamiento cumplan con los criterios de la Ley y con el aviso de privacidad– sino también de carácter operativo y tecnológico.

Este ordenamiento dispone que los datos deberán mantenerse correctos y actualizados, cancelándose y eliminándose cuando hayan dejado de ser necesarios, lo cual obliga a todos aquellos responsables del tratamiento de datos personales a designar a una persona o departamento que atienda los requerimientos del titular en el ejercicio de sus derechos ARCO.

Derechos del titular

Para fortalecer la protección de datos personales, la LFPDPPP prevé un procedimiento de protección de derechos ante el IFAI, al que podrá recurrir el titular de los datos en los casos en que se vean vulnerados sus derechos de conformidad con esta Ley. Aunado a ello los particulares podrán promover el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa contra las resoluciones que dicte dicho Instituto.

Sanciones

En materia de infracciones, la LFPDPPP otorga al IFAI la facultad de imponer sanciones a los particulares que van desde un apercibimiento hasta multas desde los 100 hasta 320,000 días de salario mínimo vigente en el Distrito Federal, con doble imposición para los casos de reincidencia, las cuales pudieran duplicarse en aquellos casos de infracciones relativas a datos personales sensibles.

Por otra parte, la LFPDPPP introduce la tipificación de delitos en materia del tratamiento indebido de datos personales, con penas que podrán ser desde los tres meses hasta los cinco años de prisión.

Tome nota

Esta nueva Ley contempla ciertos plazos para la observancia de las obligaciones impuestas a las personas que ya cuentan con datos personales o se encuentran recabándolos, así como para el acceso a los derechos que introduce:

Por ello, será muy importante que usted conozca el efecto que estas nuevas disposiciones tendrán en la operación de su negocio o empresa y aprovechar los plazos que la Ley otorga para su cumplimiento.

Le recomendamos seguir de cerca el desarrollo y aplicación que la misma tendrá, ya que aún se deberá expedir su Reglamento (dentro del año siguiente), así como los criterios, observaciones y recomendaciones que el IFAI, con apoyo de la Secretaría de Economía, estime conveniente.

Los profesionales de EY seguiremos atentos a los avances que se presenten sobre el tema para compartirlos posteriormente con ustedes. No obstante, en caso que desee hacer alguna consulta en particular estaremos en la mejor disposición de brindarle la asesoría necesaria.

Para más información respecto al tema contacte a: carlos.chalico@mx.ey.com

Secciones

Otros boletines

Suscríbase al Boletín de EY Servicios Financieros

Reciba directamente en su correo electrónico la notificación de una nueva edición de Boletín de EY Servicios Financieros, envíenos sus datos a: ey.mexico@mx.ey.com

Back to top