Asuntos relevantes en materia de
protección de datos personales para 2013

Antecedentes y obligatoriedad

  • Compartir

Con la entrada en vigor de la LFPDPPP y su Reglamento, se reconoce el derecho constitucional a la autodeterminación informativa.

El 6 de julio de 2010 entró en vigor la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y el 21 de diciembre de 2011 fue publicado en el Diario Oficial de la Federación el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (RLFPDPPP).

Con la entrada en vigor de la LFPDPPP y su Reglamento se impone a los particulares que lleven a cabo el tratamiento de datos personales –ya sean personas físicas y morales de carácter privado (en adelante los Responsables)– una serie de reglas, requisitos, condiciones y obligaciones mínimas para asegurar su uso y protección adecuados.

Además, se regula el reciente reconocimiento constitucional al derecho de las personas (en adelante los Titulares) para conocer y decidir sobre el uso y divulgación de sus datos personales, es decir, a la autodeterminación informativa.

Obligaciones

Entre las principales obligaciones impuestas por la LFPDPPP y su Reglamento se encuentran:

  1. Poner a disposición de los Titulares el Aviso de Privacidad correspondiente (bajo cualquiera de sus tres modalidades, ya sea integral, simplificado o corto), donde dicho aviso es una declaración unilateral respecto del tratamiento de los datos personales que debe incluir elementos puntuales y obligatorios establecidos en la legislación aplicable.1

    Es importante destacar que el incumplimiento, ya sea parcial o total, tanto de la forma en que el Aviso de Privacidad deberá ser puesto a disposición de los Titulares como de la información que deberá contener el mismo, en apego a lo dispuesto por el artículo 16 de la LFPDPPP, constituye el mayor riesgo de sanción por parte del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), entidad a cargo de vigilar y verificar el cumplimiento de las disposiciones contenidas en la LFPDPPP y su Reglamento, así como de resolver los procedimientos de protección de derechos y de verificación señalados en dicho ordenamiento legal y de imponer sanciones según corresponda.
  1. Designar a una persona o departamento de datos personales, cuya principal función será la de dar trámite a las solicitudes de los Titulares para el ejercicio de los Derechos ARCO (acrónimo que refiere a los derechos constitucionales del Titular de los datos de Acceso, Rectificación, Cancelación y Oposición) a los que se refiere la LFPDPPP. Dicha persona o departamento también tendrá bajo su responsabilidad el fomento de la cultura de protección hacia el interior de su organización y capacitación de su personal, atención a incidencias y verificar que se cumplan las medidas y controles de seguridad respectivas, entre otras funciones determinadas dentro del esquema autorregulatorio del Responsable en apego a la legislación aplicable en la materia.2

  2. Establecer las medidas de seguridad aplicables al tratamiento de los datos personales e identificar aquellas implementadas de manera efectiva. La relación de medidas de seguridad deberá ser actualizada cuando:

    1. se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la política de seguridad del Responsable,
    2. se produzcan modificaciones sustanciales en el tratamiento de los datos personales que deriven en un cambio del nivel de riesgo inherente,
    3. (iii) se verifique alguna vulnerabilidad a cualquiera de los sistemas para su tratamiento, o (iv) exista una afectación a los datos personales distinta de las citadas con anterioridad.3

  3. Elaborar un esquema de Autorregulación Vinculante, mismo que podrá materializarse como un solo documento o como una serie de documentos relacionados entre sí, tendientes a establecer y normar las medidas de seguridad administrativas, físicas y técnicas, y en particular a determinar los controles, procesos y procedimientos destinados a regular el tratamiento de los datos personales bajo el control del Responsable. Este esquema también podrá aplicar para formar grupos de intereses comunes cuyo compromiso principal sea crear regulaciones homogéneas para la aplicación y el cumplimiento de la LFPDPPP, su reglamento y demás normatividades aplicables.

1 Obligación vigente desde el 1° de julio de 2011.

2 Obligación vigente desde el 1° de julio de 2011.

3 Obligación vigente desde el 1° de julio de 2011.

Siguiente >>