Implementación de la Ley Federal de Protección de Datos Personales en Posesión de Entidades Privadas

noviembre 9, 2010

Se informa que en 2008 se reformó el artículo 16 de la Constitución Mexicana para incluir la protección de datos como un derecho constitucional, reconociendo que: “… Toda persona tiene derecho a proteger sus datos personales, y el derecho a tener acceso a, rectificar y cancelar dichos datos personales, cuando sean almacenados por un tercero, así como el derecho a oponerse al tratamiento de sus datos personales… ”.

Como consecuencia de esta reforma, el 05 de julio de 2010 se publicó en el Diario Oficial de la Federación la Ley Federal de Protección de Datos Personales en Posesión de Entidades Privadas.

Esta ley fue implementada el 6 de julio de 2010 y su Reglamento debe ser promulgado por el Congreso Mexicano dentro de un año de la fecha de publicación de la ley antes citada.

El objetivo principal de esta Ley es reconocer y proteger en México los derechos a la protección de datos internacionalmente conocidos como ARCO, que significa Acceso, Rectificación, Cancelación y Oposición, y tiene como objetivo regular la recolección y manejo de datos personales, por lo que dicho Las actividades se realizan de manera lícita, controlada e informada, garantizando así la privacidad de los ciudadanos mexicanos.

Esta Ley define datos personales como “cualquier información relativa a una persona identificada o identificable”. La Ley también define los “datos personales sensibles” como: “La información personal que concierne a los detalles más íntimos del sujeto, cuyo uso indebido podría resultar en discriminación o podría crear un riesgo grave para el sujeto. Específicamente, se considera información sensible como cualquier dato que pueda revelar aspectos como el origen racial o étnico, el estado de salud presente o futuro; Información genética; creencias religiosas, filosóficas o morales; afiliación sindical; opiniones políticas y preferencia sexual ”.

Esta nueva ley no es aplicable a las instituciones que formen parte de la industria financiera ni a los organismos privados que recopilen y almacenen datos personales exclusivamente para uso personal.

La autoridad encargada de hacer cumplir esta Ley Federal será el Instituto Federal de Acceso a la Información y Protección de Datos. Este Instituto dependerá del Ministerio de Economía y será responsable, entre otras cosas, de verificar que los organismos privados que recaben y manejen la información personal estén cumpliendo con la ley, así como de resolver los procedimientos en materia de protección de datos previstos en la ley.

Esta Ley tendrá un impacto directo en las operaciones de las empresas que trabajan o utilizan bases de datos personales; incluidas las industrias farmacéutica, de telecomunicaciones, marketing y publicidad, así como proveedores de servicios de Internet y proveedores de servicios en línea. La Ley impone nuevas obligaciones a los organismos privados que manejan información personal, como tener que mostrar a los consumidores un llamado AVISO DE PRIVACIDAD (AVISO DE PRIVACIDAD), antes de recolectar la información personal de cualquier consumidor, que confirmará que el consumidor está consintiendo la recolección y manejo de su información personal.

Esto permitirá a los organismos privados recopilar datos personales de los consumidores, sobre la base de un esquema de exclusión voluntaria (excepto en el caso de la recopilación y el uso de datos sensibles, donde se requerirá una opción de inclusión voluntaria), pero obligará a las entidades privadas a utilizará los datos personales recabados únicamente para los fines para los que se obtuvo la información, y también obligará a dichas entidades privadas a adoptar medidas de seguridad para evitar su robo, pérdida o acceso no autorizado.
Algunas de las actividades que la Ley considera infracciones son:

I. Actuar con negligencia o mala fe en la tramitación de peticiones de acceso, recificación, cancelación u oposición de datos personales;

II. Realizar una declaración falsa sobre la existencia de datos personales cuando efectivamente existen datos personales en las bases de datos de la entidad privada que recopila y maneja información personal;

III. Manejo de datos personales en contravención de la ley;

IV. Omitir cualquiera de los elementos señalados en la ley en la advertencia de privacidad;

V. Almacenamiento de datos personales inexactos (debido a un error del organismo privado que recopila y maneja la información personal);

VI. Alterar sustancialmente el propósito para el que se recopilaron los datos;

VII. Transferir datos personales en situaciones no autorizadas por la ley;

VIII. Recopilar datos personales sin el consentimiento del sujeto;

IX. Manejar los datos personales de una manera que afecte la aplicación de los derechos ARCO.

Estas infracciones podrían sancionarse con:

R.- Una advertencia del Instituto.

B.- Multas de hasta 160.000 días de salario mínimo (aproximadamente $ 670.000 USD).

C.- Multas de hasta 320,000 días de salario mínimo (aproximadamente $ 1,350,000 USD).

Esta ley también tipifica como delitos algunas actividades que pueden ser sancionadas con pena privativa de la libertad, como es el caso de una persona que está autorizada para el manejo de datos personales y provoca un incumplimiento de las medidas de seguridad con la intención de obtener un beneficio pecuniario. Este delito podría dar lugar a una pena de entre 3 meses y 3 años de prisión.

Asimismo, la persona que recabe y maneje datos personales de manera fraudulenta con el objetivo de obtener un beneficio pecuniario será sancionada con pena privativa de la libertad de 6 meses a 5 años.