17 November, 2010

México estrena Ley Federal de Protección de Datos Personales en Posesión de Particulares

Por

Principios de Protección de Datos Personales, Derechos ARCO y su ejercicio.

El número impreso pasado de la revista di una breve introducción a esta ley, publicada apenas el 5 de julio de 2010 en el Diario Oficial de la Federación. Continúo con el resumen y comentarios del contenido de la ley, buscando terminar esta labor de síntesis y análisis en una tercera y última parte.

Capítulo II. De los Principios de Protección de Datos Personales.
La ley está basada en principios internacionalmente reconocidos desde hace muchos años en el ámbito de la privacidad y la protección de datos personales. Los responsables en el tratamiento de datos personales, deberán observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley. Algunos puntos importantes en relación a la adopción obligatoria de estos principios son los siguientes:

•    Los datos personales deberán recabarse y tratarse de manera lícita. La obtención de datos personales no debe hacerse a través de medios engañosos o fraudulentos.
•    En todo tratamiento de datos personales, se presume que existe la expectativa razonable de privacidad.
•    Todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas por la Ley.
•    El consentimiento será expreso cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos.
•    Se entenderá que el titular consiente tácitamente el tratamiento de sus datos, cuando habiéndose puesto a su disposición el aviso de privacidad, no manifieste su oposición.
•    El consentimiento podrá ser revocado en cualquier momento sin que se le atribuyan efectos retroactivos. Para revocar el consentimiento, el responsable deberá, en el aviso de privacidad, establecer los mecanismos y procedimientos para ello.
•    Los datos financieros o patrimoniales requerirán el consentimiento expreso de su titular, salvo las excepciones previstas en la ley.
•    Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca.
•    El responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados.
•    El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades previstas en el aviso de privacidad.
•    El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad.
•    El responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por la Ley, debiendo adoptar las medidas necesarias para su aplicación. Lo anterior aplicará aún y cuando estos datos fueren tratados por un tercero a solicitud del responsable.
•    El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.
El multicitado “aviso de privacidad”, que es documento clave sobre el cual gira buena parte de las “responsabilidades” de esta ley, debe ponerse a disposición de los titulares a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología. Dicho aviso debe contener al menos la siguiente información:
•    La identidad y domicilio del responsable que los recaba;
•    Las finalidades del tratamiento de datos;
•    Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos;
•    Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en la Ley;
•    En su caso, las transferencias de datos que se efectúen;
•    El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en la Ley; y
•    En el caso de datos personales sensibles, el aviso de privacidad deberá señalar expresamente que se trata de este tipo de datos.

Dentro del “catálogo” de obligaciones que marca esta ley, sin duda una de las más importantes es la que establece el artículo 19: “Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.”

La parte más importante de esta obligación de seguridad no termina ahí, pues a su vez el artículo 20 establece que: “Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.”

Al final de este capítulo se determina una obligación genérica de confidencialidad de la información, concretamente en el artículo 21: “El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.”

Para seguir leyendo de clic aquí

Síganos en twitter: @bsecuremagazine