“Implicaciones de la Nueva Ley Federal de Protección de Datos Personales en Posesión
de los Particulares”
Basham, Ringe y Correa, S.C.
Antecedentes de la Protección de Datos en México
Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. (D.O.F. 11 de junio de 2002).
- Para los efectos de esta Ley se entenderá por datos personales: Cualquier información concerniente a una persona física identificada o identificable. (DOF 05-07-2010)
Reforma al artículo 6° de la Constitución Política de los Estados Unidos Mexicanos (D.O.F. 20-07-2007)
- Límite al derecho de acceso a la información.
Reforma al artículo 73 de la Constitución Política de los Estados Unidos Mexicanos (D.O.F. 30-04-2009)
Reforma al artículo 16 de la Constitución Política de los Estados Unidos Mexicanos (D.O.F. 01-06-2009)
Publicación de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la Ley o LFPDPPP)
-Diario Oficial de la Federación - 5 de julio de 2010, entró en vigor el 6 de julio de 2010.
La Ley
Orden público y observancia general.
Objeto.- protección de los datos personales en posesión de los particulares (e.g.,hospitales, farmacéuticas, aseguradoras, bancos, tiendas departamentales, compañías telefónicas, hospitales, laboratorios, etc.).
Finalidad.- regular el tratamiento (automatizado o no) legítimo, controlado e informado de los datos personales a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa (facultad del individuo de ejercer control sobre sus datos - a quién, para qué, cuándo y por qué comunica sus datos).
La Ley
Principios internacionalmente reconocidos.
Derechos (ARCO)
Procedimientos (ante el responsable, ante el IFAI)
Definiciones
Datos personales- Cualquier información concerniente a una persona física
identificada o identificable
Categorías de datos:Datos de identificación (nombre, domicilio, teléfono, correo
electrónico, firma, RFC, fecha de nacimiento, edad, nacionalidad, etc.)
Datos Patrimoniales (info. fiscal, cuentas bancarias, ingresos, etc.) Datos Laborales (puesto, datos de contacto del trabajo)Datos Académicos (trayectoria educativa, cédula, título, certificados)
Datos personales sensiblesAquellos que afectan la esfera más íntima de su titular, o cuya
utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. Revelan aspectos como: origen racial o étnico, estado de salud, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.
Categorías de datos:- Ideológicos (creencias religiosas, afiliación política y/o sindical, etc.)- De salud (historial clínico, enfermedades, cuestiones psicológicas,)- Características personales (tipo de sangre, ADN, huella digital, etc.)- Características físicas (color de piel, iris, señales particulares, etc.)
Definiciones
Tratamiento Obtención, uso, divulgación o almacenamiento de datos personales por cualquier medio. Uso → acceso, manejo, aprovechamiento, transferencia o disposición. (Fases del tratamiento).
Sujetos involucrados:
Responsable
Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
Encargado
Persona física o moral que sola o conjuntamente con otras trata datos personales por cuenta del responsable.
Tercero
Persona física o moral, nacional o extranjera, distinta del titular o del responsable.
Definiciones
Principios
Los responsables del tratamiento deben observar los siguientes principios:
- Licitud - Proporcionalidad- Consentimiento - Responsabilidad- Información- Calidad- Finalidad - Lealtad
Aviso de Privacidad
Documento físico, electrónico o en cualquier otro formato, generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales.
•CompletoCuado personalmente del titular, el Aviso de Privacidad deberá será facilitado en el momento en que se recaban los datos (salvo que haya sido proporcionado con anterioridad).
•Simplificado
Aviso de Privacidad
Debe contener al menos:1. Identidad y domicilio del responsable,2. Finalidades del tratamiento,3. Opciones y medios para limitar el uso o divulgación de los datos,4. Medios para ejercer derechos ARCO,5. Transferencias que se efectúen,6. Procedimiento y medio por el cual se comunicarán los cambios.7. En el caso de tratar datos sensibles, ello deberá señalarse.
Aviso de Privacidad
Medidas compensatorias (Reglamento)
- previa autorización del IFAI
- cuando resulte imposible dar a conocer el Aviso de Privacidad al titular o
- exija esfuerzos desproporcionados, en consideración al número de titulares o a la antigüedad de los datos.
Esquemas de autorregulación vinculante (Reg.)
- Convenio entre p. físicas o morales o con org. civiles o gub. nacionales o extranjeras. - Serán notificados a las autoridades sectoriales y al Instituto.- Complementen lo dispuesto por la Ley.- Contengan mecanismos para medir eficacia.- Consecuencias y medidas correctivas en caso de incumplimiento.
Códigos deontológicos o de buenas prácticas (códigos tipo e.g., industria farmacéutica, automotriz, etc.)
Sellos de confianza.
Medidas de seguridad
Responsable - establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Integridad, confidencialidad, disponibilidad.
No deben ser menores a aquellas utilizadas para el manejo de su información
http://psoenen.wordpress.com/category/data-privacy
Medidas de seguridad
Tomar en cuenta para su adopción: - el riesgo existente, - posibles consecuencias para los titulares, - sensibilidad de los datos, - desarrollo tecnológico.
Derechos ARCO
Acceso (datos y Aviso de Privacidad.)Rectificación (inexactos – incompletos)Cancelación (bloqueo – supresión)Oposición (causa legítima)
- Los puede ejercer el titular de los datos o su representante legal.- Debe presentarse solicitud ante el responsable.- El ejercicio de un derecho no impide el ejercicio de otro.
Derechos ARCO
Acceso (datos y Aviso de Privacidad.)Rectificación (inexactos – incompletos)Cancelación (bloqueo – supresión)Oposición (causa legítima)
- Los puede ejercer el titular de los datos o su representante legal.- Debe presentarse solicitud ante el responsable.- El ejercicio de un derecho no impide el ejercicio de otro.
Derechos ARCO
Solicitud de Derechos ARCO debe contener:
- Nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud.
- Documentos que acrediten la identidad o en su caso la representación legal.
- Descripción clara y precisa de los datos personales respecto de los cuales busca ejercer alguno de los derechos ARCO.
- Elementos o documentos que faciliten la localización de los datos personales.
- Rectificación.- modificaciones a realizarse y documento que sustente la petición.
Procedimientos, Infracciones y Sanciones
Presentación de la Solicitud (Responsable)
Se comunica la determinación adoptada (resp.) No se da respuesta
15 Días
Responsable emite respuesta, ofrece pruebas y manifestaciones
15 Días
Admisión y desahogo de pruebas. Requiere si es necesario.
Se concede plazo de 5 días al responsable para presentar sus alegatos
Procedimiento de protección de derechos/Reglamento
Solicitud de Protección de Datos (IFAI)
max. 20 días
15 DíasSe hace efectiva la determinación si es procedente
Traslado al Responsable
Procedimientos, Infracciones y Sanciones
Infracciones (I-XIX)
- No cumplir con la solicitud de derechos ARCO.
- Negligencia o dolo en tramitación o respuesta de derechos ARCO.
- Declarar dolosamente la inexistencia de datos personales (total o parcialmente).
- Tratamiento de datos personales en contravención a los principios de la Ley.
- Omitir aviso de privacidad o alguno de sus elementos.
- Datos personales inexactos.
- Incumplir deber de confidencialidad.
- Cambiar finalidad de tratamiento sin la obtención de consentimiento.
- Transferir datos a terceros sin comunicar a éstos el aviso de privacidad.
- Vulnerar seguridad de bases de datos.
- Transferencia de datos personales fuera de los casos permitidos por la Ley.
- Recabar o transferir datos sin consentimiento expreso el titular, cuando así se exija.
Procedimientos, Infracciones y Sanciones
Sanciones
- Apercibimiento para que se cumpla con la solicitud de derechos ARCO.
- Multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal (de $5,982 a $9,571,200)
- Multa de 200 a 320,000 días de salario mínimo vigente en el Distrito Federal (de $11,964 a $19,142,400)
- Si persisten las infracciones, se impondrá una multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal.
- Infracciones en el tratamiento de datos sensibles, sanciones podrán incrementarse hasta por dos veces. ($19,142,400 y $38,284,800)
Procedimientos, Infracciones y Sanciones
Delitos
- Cuando una persona autorizada para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia → prisión 3 meses a 3 años.
- Cuando con el fin de alcanzar un lucro indebido, una persona trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos → prisión 6 meses a 5 años.
- Tratándose de datos personales sensibles, las penas se duplicarán.
Calendario de Implementación
6 de julio de 2011 El ejecutivo Federal deberá expedir el Reglamento de la Ley
A mas tardar el 6 de julio de 2011
Empresas deberán designar una persona o Departamento de Datos Personales
A mas tardar el 6 de julio de 2011
Empresas deberán dar a conocer los Avisos de Privacidad
Enero de 2012 Individuos podrán ejercer derechos ARCO ante responsables (empresas)
Enero de 2012 Individuos podrán dar inicio al procedimiento de protección de datos ante el IFAI
Implicaciones que enfrentan los patrones en México con motivo de la entrada en vigor de la Ley.
Sin importar el tamaño de un negocio, la privacidad de los datos personales de los candidatos a un empleo y de empleados es un tema importante.
Desde el proceso de reclutamiento y selección del personal, los patrones recaban datos personales: nombre, edad, estado civil, domicilio particular, historial académico y laboral, etc.
Implicaciones que enfrentan los patrones en México con motivo de la entrada en vigor de la Ley.
Responsable.- persona física o moral de carácter privado que decide sobre el tratamiento de datos personales (patrones - respecto del tratamiento de datos personales de sus empleados).
Tratamiento = obtención, uso, divulgación o almacenamiento de datos personales por cualquier medio.
Uso = acceso, manejo, aprovechamiento, transferencia o disposición.
Implicaciones que enfrentan los patrones en México con motivo de la entrada en vigor de la Ley.
La transferencia de información personal de candidatos y empleados a terceros, enfrenta a los patrones al reto de observar y cumplir las obligaciones previstas en la Ley.
Base de datos.- conjunto ordenado de datos personales referentes a una persona identificada o identificable.
Implicaciones que enfrentan los patrones en México con motivo de la entrada en vigor de la Ley.
Los datos personales de candidatos y empleados deben recabarse y tratarse de manera lícita.
El tratamiento de datos presume la expectativa razonable de privacidad = confianza que deposita el candidato y/o empleado respecto de que sus datos personales serán tratados conforme a lo que acordaron las partes.
Obligaciones de los patrones en cumplimento a la Ley, respectode los datos personales de sus candidatos y empleados.
Asegurar el tratamiento legítimo de los datos personales.
Guardar confidencialidad, aún después de finalizar la relación que los vincule.
Establecer y mantener medidas de seguridad – administrativas, técnicas y físicas - que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción, uso, acceso, o tratamiento no autorizado.
Conservar los datos personales exclusivamente para efectos de las responsabilidades nacidas del tratamiento – cancelarlos cuando hayan dejado de ser necesarios.
Poner a disposición de los titulares el aviso de privacidad (formatos impresos, digitales, visuales, etc.)
Comunicar las finalidades de la transferencia de datos personales a terceros, a excepción de subsidiarias o afiliadas.
Aviso de Privacidad para Candidatos y Empleados.
Contenido del Aviso de Privacidad:
La identidad y domicilio del responsable que recaba los datos (patrón).
Las finalidades del tratamiento de datos.
Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos.
Los medios para ejercer los derechos ARCO.
Las transferencias de datos que se efectúen.
El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad.
Implementación eficaz de políticas laborales que regulen el tratamiento de datos personales de empleados contenida en herramientas de trabajo.
Precisar el correcto y debido uso de herramientas de trabajo.
Sanciones aplicables en caso de incumpliento.
Derecho de monitoreo por parte del patrón, en cualquier momento, respecto de toda la información contenida en el equipo.
Obligación del trabajador de devolver la herramienta de trabajo al término de la relación laboral por cualquier causa.
En idioma español y firmadas por el trabajador.
¡GRACIAS!
• Adolfo Athié [email protected] Tel. Dir. 52 61 05 64
•Enrique García [email protected]. Dir. (81) 8299 2100
•Rosa María Franco Velá[email protected] Tel. Dir. 52 61 04 41