Pasero Abogados, S.C. Inicio Imprimir Contáctanos
 
« Regresar al menú principal

Ley Federal para la Protección de Datos Personales

Abril 2011

Ley Federal para la Protección de Datos Personales en Posesión de los Particulares (“La Ley”). Publicada en el Diario Oficial de la Federación el día 5 de julio de 2010

El constante mejoramiento de la tecnología y los métodos de manejo de la información, ha motivado a nuestras autoridades a establecer estándares para regular la privacidad de los particulares. Con este propósito, México ha promulgado la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDP).

La LFPDP, como muchas otras leyes de protección que han sido promulgadas por otros países incluyendo a Estados Unidos y Canadá, ha sido creada para proteger la información personal en posesión de particulares (“Las Partes Responsables”), con el propósito de asegurar la privacidad y el derecho de determinación propia relativa a la información personal de cada individuo (“Propietario de la Información o Dueño de la información”).

Esta Ley regula los métodos y condiciones bajo los cuales las empresas privadas deben recabar, manejar y procesar la información personal.

Partes sujetas a la Ley

Todos los individuos y empresas que lleven a cabo el proceso de recolección y manejo de información personal, tales como bancos, tiendas departamentales, compañías aseguradoras, compañías telefónicas, hospitales, laboratorios, universidades, entre otros.

Los organismos que están exentos de cumplir con la LFPDP son compañías de información de crédito; también particulares recolectores de información solo para uso personal (no revelada o de uso comercial).

ClasificaciÓn de InformaciÓn de acuerdo a la Ley

Datos Sensibles: Es aquella información personal que afecta la más íntima esfera de su propietario, o la información que impropiamente manejada puede conducir a la discriminación o implicar un serio riesgo al individuo. En particular, la información que puede revelar asuntos sensitivos tales como: origen racial o étnico, estado de salud actual o futuro, información genética, religión, información filosófica y moral, afiliación sindical, puntos de vista políticos y preferencias sexuales.

Al momento de recolectar, manejar y procesar Datos Sensibles, la Parte Responsable deberá obtener consentimiento escrito del Dueño de la Información, a través de un escrito firmado por el Propietario de dicha Información, firma electrónica o cualquier otro mecanismo de autenticidad que se establezca para dicho propósito.

La Ley prohíbe la creación de bases de datos sensibles, sin una justificación para su creación con propósitos legítimos, concretos y de acuerdo a las actividades o propósitos de la Parte Responsable de recolectarla.

Información Personal: Cualquier información que identifique a una persona o lo/la haga identificable, tal como nombre, dirección, edad, nacionalidad, profesión, etc.

Obligaciones Requeridas

La Parte Responsable de recolectar, mantener y procesar la información tendrá la obligación de informar al Propietario de dicha Información, la información que está siendo recolectada y con qué propósitos, por medio de un Aviso de Privacidad.

La Parte Responsable tendrá la obligación de permitir al Propietario de la Información de:

  • Acceso a su información.
  • Negar transferencia de su información.
  • Rectificar información cuando esta sea errónea.
  • Cancelar información en cualquier momento, excepto en los casos estipulados en la Ley.

El Aviso de Privacidad

De acuerdo a lo comentado anteriormente, el Aviso de Privacidad es un escrito, electrónico o cualquier otro tipo de documento generado por la Parte Responsable de la recolección de Información del individuo, el cual debe de ponerse a disposición del Propietario de la Información antes de procesar su Información Personal.

El aviso de privacidad, debe contener:

  • Nombre y domicilio de la Parte Responsable.
  • Las formas en que el Propietario de la Información tiene el derecho de accesar, rectificar, cancelar u oponerse, de acuerdo a la Ley.
  • Propósito final de la información.
  • Las elección o medios ofrecidos por la Parte Responsable al Propietario de la Información con el propósito de limitar el uso o revelación de dicha información.
  • En su caso, la transferencia de información llevada a cabo, y
  • El procedimiento y forma por el cual la Parte Responsable comunicará a los Propietarios de la Información de cualquier cambio aplicable a su Aviso de Privacidad, de acuerdo a lo previsto por la Ley.

Aspectos importantes del Aviso de Privacidad

  • La Parte Responsable deberá solicitar aprobación del Propietario de la Información en el Aviso de Privacidad, con objeto de transferir cualquier información.
  • En caso de Datos Sensibles, el Aviso de Privacidad debe mencionar expresamente que éste contiene este tipo de información.
  • Cuando la información no haya sido recolectada directamente de su propietario, la Parte Responsable deberá informar esto a través del Aviso de Privacidad.
  • Cuando la información personal ya no sea necesaria para el cumplimiento de los propósitos mencionados en el Aviso de Privacidad y en las disposiciones legales aplicables, dicha información deberá de ser cancelada.
  • El Aviso de Privacidad deberá indicar la persona o departamento que estará a cargo de responder a las solicitudes para accesar, modificar, cancelar u oponerse al uso de la información personal.

Casos en los que la informaciÓn podrÁ ser transferida nacional o internacionalmente, sin tener que obtener consentimiento por escrito por parte de su Propietario

  1. Cuando dicha transferencia sea proporcionada en una Ley o Tratado en el cual México forme parte.
  2. Cuando dicha transferencia sea necesaria para la prevención o diagnóstico médico, prestación de servicios de salud, tratamiento médico o el manejo de servicios de la salud.
  3. Cuando dicha transferencia tome parte entre sociedades, subsidiarias o afiliadas bajo el control de la Parte Responsable, o una empresa matriz o cualquier otra empresa del mismo grupo de la Parte Responsable que opere bajo el mismo proceso y políticas internas.
  4. Cuando la transferencia sea necesaria debido a un convenio celebrado o a ser celebrado  por interés del Propietario de la Información, la Parte Responsable y una tercera parte.
  5. Cuando la transferencia sea necesaria o legalmente requerida para la seguridad de un interés público, o por el cumplimiento o administración de justicia.
  6. Cuando la transferencia sea necesaria para el establecimiento, ejercicio o para defender un derecho en un proceso judicial, y
  7. Cuando la transferencia sea necesaria para el mantenimiento o cumplimiento de una relación judicial entre la Parte Responsable y el Propietario de la Información.

Agencias Gubernamentales responsables de la regulaciÓn y cumplimiento de la Ley

El Instituto de Acceso a la Información y Protección de Información (IFAI): será responsable de salvaguardar y proteger la información y solo actuará a petición de los propietarios de la información y sus representantes legales.

El IFAI será la autoridad responsable de investigar e imponer cualquier multa y/o penalidad a las Partes Responsables, en caso de infracción a la Ley.

Secretaría de Economía: su propósito principal será informar y asesorar sobre las obligaciones relativas a la protección de la información personal, entre empresas nacionales e internacionales con actividades comerciales en el territorio mexicano.

Consecuencias Administrativas relacionadas con la LFPDP

  1. Amonestación escrita emitida por el IFAI.
  2. Multa de 100 y hasta 160,000 días de salario mínimo, cuando la Parte Responsable actúe con negligencia o intencionalmente, con respecto a la información personal, no observe los principios de información establecidos en la Ley u omita información en el Aviso de Privacidad.
  3. Multa de 200 y hasta 320,000 días de salario mínimo, cuando la Parte Responsabile falle en el cumplimiento de su deber de confidencialidad en el tratamiento de la información, cambie el propósito de esa información sin dar aviso, transfiera información a terceras partes sin el consentimiento del propietario de la información, bloqué verificación de la IFAI o haga uso ilegítimo de la información.
  4. En caso de persistir en el incumplimiento de la ley, el IFAI puede imponer multas adicionales de 100 a 320,000 días de salario mínimo.

Las multas se pueden incrementar al doble de la cantidad, en caso de incumplimiento en el mantenimiento y proceso de información sensitiva.

Consecuencias Penales relacionadas con la LFPDP

  1. Tres meses a tres años de prisión a cualquier persona autorizada al proceso de información personal, con fines de beneficio propio, que cause violación a las bases de datos que se encuentran bajo su custodia.
  2. Seis meses a cinco años de prisión a cualquier persona que con la intención de obtener beneficios injustificados, utilice las bases de datos con engaños, tomando ventaja de un error cometido por el Propietario de la Información o por una persona autorizada a transferir información.

Las multas podrán incrementarse hasta el doble de la cantidad en caso de violación en el mantenimiento y proceso de datos sensibles.

Confidencialidad

La ley requiere que las empresas y terceras partes involucradas en el proceso de la información personal mantengan la confidencialidad de la información personal todo el tiempo. La obligación de mantener la confidencialidad existe aún después de que termine la relación con el Propietario de la información.

Conclusiones

La LFPDP entró en vigor el 6 de julio del 2010.  La autoridad tiene un término de un año después de la promulgación de la Ley para publicar las Regulaciones y Políticas de la Ley, hasta esta fecha, dichas Regulaciones y Políticas no han sido publicadas.

Todas las partes sujetas a esta Ley tienen un término de un año después de la promulgación y publicación de la Ley, para preparar y emitir el Aviso de Provacidad.

Para empresas ajenas, la transferencia de información deberá ser cubierta con términos contractuales que especifiquen las restricciones relevantes y deberán dar aviso a las personas, a menos que se aplique alguna excepción.

Ahora es obligatorio que las empresas establezcan procedimientos específicos y nombren a personal confiable para responder a las solicitudes de Propietarios de Información, tan eficientemente como sea posible, de acuerdo con las obligaciones de Ley.

La Parte Responsable deberá asegurarse que la información que se encuentra bajo su custodia se encuentre debidamente protegida.

Recomendaciones

Las empresas deberán empezar a separar y clasificar la información que estas tengan en sus expedientes.

Las empresas deberán empezar a preparar políticas de privacidad comprensibles, procedimientos y guías encaminados a cumplir con los nuevos requisitos de la Ley.

Las empresas deberán también desarrollar mecanismos internos para asegurar que la información personal sea protegida, correcta y usada dentro de los límites del aviso de privacidad.

Las empresas deberán de estar pendientes de recibir detalles específicos, con objeto de cumplir con lo anterior, una vez que el Reglamento a la Ley y demás Políticas sean publicados.


Nota: Este es un resumen que cubre los aspectos generales de la Ley. Para asesoría específica, consulte a su asesor legal. Si requiere mayor información, por favor contacte a Pasero Abogados, S.C., teléfono (619) 498 9282 o 52 (664) 686 5557; vía fax 52 (664) 686 5558; por correo electrónico: pasero@paseroabogados.com; o por correo a P.O. Box 767, Bonita, California, 91908, EUA.

Blvd. Agua Caliente No. 4558-403
Col. Aviación
Tijuana, B.C. 22420, México

Tel. 52 (664) 686 5557
Fax 52 (664) 686 5558

P.O. Box 767
Bonita, CA 91908
* Únicamente dirección de correo

Tel. (619) 498 9282
Sin costo 1 855 498 9282