Aprueba Calderón la Ley Federal de Protección de datos personales

Por Carlos Fernández de Lara

Luego de ser aprobada por la Cámara de Diputados y Senadores, el Ejecutivo Federal publicó esta semana, el Diario Oficial de la Federación (DOF) la Ley de protección de datos personales en posesión de los particulares.

Según el documento desplegado en el sitio web del DOF, la ley fue publicada el pasado cinco de julio del 2010, sin modificaciones por parte del Ejecutivo y entrará en vigor “al día siguiente al de su publicación en el Diario Oficial de la Federación”.

Aquí un compilado de los artículos y capítulos más importantes de la nueva legislación. Para consultar la ley.

En el capítulo 1: Disposiciones generales.

Artículo 1.- La presente Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

Artículo 2.- Son sujetos regulados por esta Ley, los particulares,  sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de:

1. Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y
2. Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

Como Netmedia y b:Secure publicaron anteriormente el Instituto encargado de regular el funcionamiento de la nueva legislación será el Instituto Federal de Acceso a la Información (IFAI).

Un tema sensible, pues diversos expertos en materia de seguridad y derecho informático afirmaron que de no contar el IFAI con el presupuesto necesario le gestión, impacto o alcance la misma estará muy limitada.

En el Capítulo II, sobre los Principios de Protección de Datos Personales. Estos son algunos de los lineamientos señalados por la nueva legislación.

Artículo 6.- Los responsables en el tratamiento de datos personales, deberán observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley.

Artículo 8.- Todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas por la presente Ley.

En este  rubro la ley estipula que el consentimiento deberá  ser expresado entre el titular y  la entidad privada de manera verbal, escrita, mediante el uso de medios electrónicos, ópticos o “cualquier uso de otra tecnología”.

En el caso de los datos financieros o patrimoniales requerirán el consentimiento expreso del titular de los mismos.

Artículo 9.- Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca.

En su artículo 10 la contempla que no será necesario el consentimiento del titular para el tratamiento de datos personales en ocasiones excepcionales.

Tales como: que los datos figuren en fuentes de acceso público, que tengan el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable, en caso de  exista una situación de emergencia que pueda dañar a un individuo en su persona o en sus bienes  o sean necesarios para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios.

Artículo 14.- El responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por esta Ley, debiendo adoptar las medidas necesarias para su aplicación. Lo anterior aplicará aún y cuando estos datos fueren tratados por un tercero a solicitud del responsable. El responsable deberá tomar las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guarde alguna relación jurídica.

Artículo 15.- El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.

La legislación estipula que este aviso deberá contener de forma clara y transparente datos como: identidad y domicilio del responsable que los recaba, medios que ofrece para limitar la divulgación de sus datos y formas, mecanismos y procedimientos para acceder, rectificar o cancelar el derecho sobre los datos.

Artículo 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

Artículo 20.- Las vulneraciones (sic) de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.

Un IFAI con nuevas atribuciones

De acuerdo a lo publicado por el ejecutivo en el DOF, el Instituto Federal de Acceso a la Información (IFAI) tendrá nuevas atribuciones y retos a raíz del nacimiento de la nueva ley.

CAPÍTULO VI De las Autoridades Sección I Del Instituto

Artículo 38.- El Instituto, para efectos de esta Ley, tendrá por objeto difundir el conocimiento del derecho a la protección de datos personales en la sociedad mexicana, promover su ejercicio y vigilar por la debida observancia de las disposiciones previstas en la presente Ley y que deriven de la misma; en particular aquellas relacionadas con el cumplimiento de obligaciones por parte de los sujetos regulados por este ordenamiento.

De acuerdo al artículo 39 estas serán algunas de las nuevas atribuciones del IFAI en materia de protección de datos:

1. Vigilar y verificar el cumplimiento de las disposiciones contenidas en esta Ley, en el ámbito de su competencia, con las excepciones previstas por la legislación;
2. Proporcionar apoyo técnico a los responsables que lo soliciten.
3. Divulgar estándares y mejores prácticas internacionales en materia de seguridad de la información.
4. Rendir al Congreso de la Unión un informe anual de sus actividades;
5. Elaborar estudios de impacto sobre la privacidad previos a la puesta en práctica de una nueva modalidad de tratamiento de datos personales o a la realización de modificaciones sustanciales en tratamientos ya existentes.

Sin embargo, el IFAI no estará solo  como ente regulador sobre la nueva legislación. Conforme a la Sección II del Capítulo VI, la Secretaría de Economía también jugará un papel central para esta nueva legislación.

Artículo 41.- La Secretaría (de Economía), para efectos de esta Ley, tendrá como función difundir el conocimiento de las obligaciones en torno a la protección de datos personales entre la iniciativa privada nacional e internacional con actividad comercial en territorio mexicano; promoverá las mejores prácticas comerciales en torno a la protección de los datos personales como insumo de la economía digital, y el desarrollo económico nacional en su conjunto.

Las sanciones

Los capítulos IX y X de la ley establecen los procedimientos de sanciones e infracciones para los particulares, en caso de incumplimiento de la nueva legislación.

El artículo 63 de la ley señala como causas de sanción o infracción algunas de las siguientes conductas.

1. No cumplir con la solicitud del titular para el acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales, sin razón fundada, en los términos previstos en esta Ley.
2. Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes de acceso, rectificación, cancelación u oposición de datos personales.
3. Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable.
4. Omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de esta Ley.
5. Transferir datos a terceros sin comunicar a éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la divulgación de los mismos.
6. Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable.
7. Recabar datos en forma engañosa y fraudulenta.

Las multas estipuladas en el DOF, en caso de la violación o conducta inapropiada irán desde los 100, hasta los 320,000 días de salario mínimo.

La ley de Protección de datos personales en posesión de los particulares, también implica nuevos riesgos para los responsables de seguridad CISO o CIO dentro de las organizaciones.

De acuerdo al Artículo 67 el Instituto está en atribuciones de imponer de tres meses, hasta tres años de prisión “al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia”.