1 April, 2011

México estrena Ley Federal de Protección de Datos Personales 3ª Parte

Por
Esta es la tercera y última entrega de esta serie de artículos que contienen un resumen y comentarios sobre la nueva ley de protección de datos personales.

Capítulo V. De la Transferencia de Datos.

Uno de los mayores retos que toda ley de protección de datos busca regular es la transferencia de datos a terceros y las transferencias transfronterizas o internacionales. La ley prevé que cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento. A su vez, el tratamiento de los datos se hará conforme a lo convenido en el aviso de privacidad, el cual contendrá una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos, de igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos.

Existen algunas excepciones a esta regla general. La ley establece que es posible transferir datos nacional o internacionalmente sin el consentimiento del titular cuando se dé alguno de los siguientes supuestos:

  1. Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte;
  2. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;
  3. Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas;
  4. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero;
  5. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;
  6. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y
  7. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.

Capítulo VI. De las Autoridades.

La autoridad garante para los efectos de esta ley es el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI). Entre otros, el IFAI tendrá por objeto vigilar la debida observancia de las disposiciones previstas en la Ley y que deriven de la misma. Algunas atribuciones importantes del Instituto son las siguientes:

  • Proporcionar apoyo técnico a los responsables que lo soliciten, para el cumplimiento de las obligaciones establecidas en la presente Ley;
  • Emitir los criterios y recomendaciones, de conformidad con las disposiciones aplicables de esta Ley, para efectos de su funcionamiento y operación;
  • Divulgar estándares y mejores prácticas internacionales en materia de seguridad de la información, en atención a la naturaleza de los datos; las finalidades del tratamiento, y las capacidades técnicas y económicas del responsable;
  • Conocer y resolver los procedimientos de protección de derechos y de verificación señalados en esta Ley e imponer las sanciones según corresponda;
  • Cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en materia de protección de datos.

Por su parte, la Secretaría de Economía, en su carácter de Autoridad Reguladora, tendrá como función difundir el conocimiento de las obligaciones en torno a la protección de datos personales entre la iniciativa privada nacional e internacional con actividad comercial en territorio mexicano; promoverá las mejores prácticas comerciales en torno a la protección de los datos personales como insumo de la economía digital. Entre las principales atribuciones de la Secretaría, destacan las siguientes:

  • Emitir los lineamientos correspondientes para el contenido y alcances de los avisos de privacidad en coadyuvancia con el Instituto;
  • Fijar los parámetros necesarios para el correcto desarrollo de los mecanismos y medidas de autorregulación a que se refiere el artículo 44 de la Ley (esquemas de autorregulación vinculante), incluido la promoción de Normas Mexicanas o Normas Oficiales Mexicanas, en coadyuvancia con el Instituto;
  • Llevar a cabo los registros de consumidores en materia de datos personales y verificar su funcionamiento.

El citado artículo 44 establece que las personas físicas o morales podrán convenir entre ellas o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que complementen lo dispuesto por la Ley. Dichos esquemas deberán contener mecanismos para medir su eficacia en la protección de los datos, consecuencias y medidas correctivas eficaces en caso de incumplimiento.

Los esquemas de autorregulación podrán traducirse en (i) códigos deontológicos o de buena práctica profesional, (ii) sellos de confianza u (iii) otros mecanismos, y contendrán reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos de los titulares. Dichos esquemas serán notificados de manera simultánea a las autoridades sectoriales correspondientes y al Instituto.

Capítulo VII. Del Procedimiento de Protección de Datos.

Este es el mecanismo mediante el cual el titular de los datos podrá iniciar una acción en contra del responsable de los datos cuando alguno de sus derechos haya sido vulnerado. El procedimiento se iniciará a instancia del titular de los datos o de su representante legal, expresando con claridad el contenido de su reclamación y de los preceptos de la Ley que se consideran vulnerados. La solicitud de protección de datos deberá presentarse ante el Instituto dentro de los quince días siguientes a la fecha en que se comunique la respuesta al titular por parte del responsable, en relación al ejercicio de alguno o todos los derechos ARCO (acceso, rectificación, cancelación y oposición).

Capítulo VIII. Del Procedimiento de Verificación.

El IFAI verificará el cumplimiento de la Ley y de la normatividad que de ésta derive. La verificación podrá iniciarse de oficio o a petición de parte. La verificación de oficio procederá cuando se dé el incumplimiento a resoluciones dictadas con motivo de procedimientos de protección de derechos a que se refiere el Capítulo anterior o se presuma fundada y motivadamente la existencia de violaciones a la presente Ley.

Capítulo IX. Del Procedimiento de Imposición de Sanciones.

Si con motivo del desahogo del procedimiento de protección de derechos o del procedimiento de verificación que realice el Instituto, éste tuviera conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones de esta Ley, iniciará el procedimiento de imposición de sanciones, a efecto de determinar la sanción que corresponda.

Capítulo X. De las Infracciones y Sanciones.

Infracción cometida por el responsable de los datos Sanción
  • No cumplir con la solicitud del titular para el acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales, sin razón fundada, en los términos previstos en la Ley.
Apercibimiento
  • Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes de acceso, rectificación, cancelación u oposición de datos personales;
  • Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable;
  • Dar tratamiento a los datos personales en contravención a los principios establecidos en la Ley;
  • Omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de la Ley;
  • Mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares;
  • No cumplir con el apercibimiento para que el responsable lleve a cabo los actos solicitados por el titular (derechos ARCO).
Multa de $5,980 a $9,569,000 pesos 

(100 a 160,000 días de salario mínimo vigente en el Distrito Federal)

  • Incumplir el deber de confidencialidad respecto de cualquier fase del tratamiento de datos personales;
  • Cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin haber recabado nuevamente el consentimiento del titular;
  • Transferir datos a terceros sin comunicar a éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la divulgación de los mismos;
  • Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable;
  • Llevar a cabo la transferencia o cesión de los datos personales, fuera de los casos en que esté permitida por la Ley;
  • Recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible;
  • Obstruir los actos de verificación de la autoridad;
  • Recabar datos en forma engañosa y fraudulenta;
  • Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los titulares;
  • Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos ARCO;
  • Crear bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado, y
  • Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de lo previsto en la presente Ley.
Multa de $11,960 a $19,136,000 pesos 

(200 a 320,000 días de salario mínimo vigente en el Distrito Federal)

  • En caso de que de manera reiterada persistan las infracciones citadas en los incisos anteriores, se impondrá una multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal.
Multa de $5,980 a $19,136,000 pesos
  • Tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos.
Multa de $23,920 a $38,272,000 pesos

 

Resta concluir sobre el tema de las multas, que el IFAI fundará y motivará sus resoluciones, considerando: (a) la naturaleza del dato; (b) la notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos de la Ley; (c) el carácter intencional o no, de la acción u omisión constitutiva de la infracción; (d) la capacidad económica del responsable, y (e) la reincidencia.

 

Capítulo XI. De los Delitos en Materia del Tratamiento Indebido de Datos Personales.

 

Se sancionará con prisión… Sanción
  • Al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.
Prisión de tres meses a tres años.
  • Al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos.
Prisión de seis meses a cinco años.
  • Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán.
Prisión de seis meses a diez años.

 

Creo que no es hasta esta última entrega, particularmente después de haber visto los montos de las multas y el tiempo que puede un responsable de datos ir a parar a prisión, que prestaremos la debida atención y entenderemos la relevancia de cumplir con esta ley. Desde que se publicó la ley pululan “despachos de consultores” que buscan brindar asesoría sobre el cumplimiento de la misma. Recuerde usted que se trata de una ley, por lo que sólo abogados especialistas estarán debidamente capacitados para ayudarlo a dar cumplimiento con ella y con su futuro reglamento, que se publicará a mediados de este año. No dudo que pueda encontrar “soluciones informáticas” en estos despachos de consultores, pero éstas valen poco si no están respaldadas por un consejo legal especializado.

Joel Gómez (joelgomez@lexinformatica.com) es Abogado egresado del ITESM, con Maestría en Derecho Comercial Internacional de la Universidad de Arizona. Especialista en Derecho Informático y Propiedad Intelectual desde 1996. Profesor de Derecho Informático en La Salle y la Universidad Panamericana Campus Guadalajara.

La segunda y primera parte de este texto las puedes encontrar aquí