C.P.C. y M.I. José Mario Rizo Rivas
Socio Director
Salles Sainz, Grant Thornton
Lic. David Aarón Galindo González
Gerente del Área de Desarrollo de Negocios
Salles Sainz, Grant Thornton
Asumamos que estamos al frente de una empresa, negocio particular, sociedad o asociación y debemos conocer o explicar a los miembros de dicha organización la forma en que habrá de cumplirse lo dispuesto por la LFPDPPP
Este artículo tiene como objeto analizar y entender desde una perspectiva práctica, lógica y secuencial la forma en que la vigente Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), será aplicada por los sujetos que obtengan, usen, divulguen o almacenen datos personales concernientes a una persona física.
Tipo de sujeto que es la empresa (o particular) conforme a la ley
La empresa o particular será sujeto regulado si lleva a cabo el tratamiento de datos personales.
Lo primero que debemos saber es a qué se refiere la ley cuando dice “tratamiento” y “datos personales” (incluidos datos sensibles).
Datos personales. Cualquier información concerniente a una persona física identificada o identificable, a quien la ley define como “titular”.
Datos personales sensibles. Los datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueden dar origen a discriminación o conlleve un riesgo grave para este. En particular se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futura, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual, etcétera.
Cabe advertir que esta definición es sumamente ambigua y poco objetiva, por lo que en este punto la ley puede considerarse endeble jurídicamente.
Tratamiento. La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.
Una vez que se ha llegado a la conclusión que en términos de la ley, la empresa o el particular es un “sujeto regulado”, en virtud de llevar a cabo el tratamiento de datos personales, es imperativo conocer qué obligaciones se derivan de dicha calidad.
Las obligaciones de los sujetos regulados estarán determinadas, a su vez, en función de la relación que la empresa o el particular guarden respecto de los datos personales de los titulares de los mismos, ya sea como “responsable”, “encargado” o “tercero”.
Responsable. Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
Encargado. La persona física o jurídica que sola o junto con otras trate datos personales por cuenta del responsable.
Tercero. La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos. (Que potencialmente puede ser responsable de los datos.)
Una vez que se tenga clara la posición de la empresa o particular frente a la norma será indispensable definir las obligaciones correspondientes.
Obligaciones de los sujetos regulados
La empresa o particular en su carácter de responsable, tiene a su cargo el cumplimiento de una serie de obligaciones, considerando más relevantes las siguientes:
- Observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad. El Reglamento de la Ley, desglosa cada uno de estos principios en su artículo noveno, siendo importante mencionar todas las modalidades que podrán adoptar dichos principios, conforme a lo siguiente:
- Recabar y tratar los datos personales de manera lícita, lo cual no debe hacerse por medios engañosos o fraudulentos.
- Sujetar el tratamiento de los datos al consentimiento de su titular, debiendo ser expreso y por escrito cuando se trate de datos financieros o patrimoniales y de datos sensibles.
- Asegurar que las bases de datos que contengan datos sensibles se crean con finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.
- Informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, mediante un aviso de privacidad que deberá contener, al menos, la siguiente información:
- La identidad y domicilio del responsable que los recaba.
- Las finalidades del tratamiento de datos.
- Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos.
- Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta Ley.
- En su caso, las transferencias de datos que se efectúen.
- El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta ley.
- Cancelar los datos de carácter personal cuando estos hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas por el aviso de privacidad y las disposiciones legales aplicables.
- Eliminar la información relativa al incumplimiento de obligaciones contractuales, una vez que transcurra un plazo de 72 meses, contado a partir de la fecha calendario en que se presente el mencionado incumplimiento.
- Tomar las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guarde alguna relación jurídica.
- Poner el aviso de privacidad a disposición de los titulares por medio de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología.
- Dar a conocer al titular el cambio en el aviso de privacidad, cuando los datos no hayan sido obtenidos directamente de este.
- No adoptar medidas de seguridad menor a aquellas que mantengan para el manejo de su información.
- Guardar confidencialidad respecto de los datos personales, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.
- Designar a una persona o departamento de datos personales, que dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos a que se refiere la ley.
- Fomentar la protección de datos personales al interior de la organización.
Cabe mencionar que tales obligaciones se encuentran
correlacionadas a los derechos ARCO, consagrados, recientemente, en la Constitución Política de los Estados Unidos Mexicanos, y que la propia ley estableció en favor de los titulares de la información, consistentes a grandes rasgos de la protección de sus datos personales y garantizando al titular su: acceso, rectificación, cancelación y a manifestar la oposición al tratamiento de los mismos.
Identificación de los datos personales en posesión de la empresa o particular responsable
En este punto, una vez que la empresa o particular tenga, relativamente, claro el catálogo de obligaciones que le son aplicables como “responsable”, puede ceñirse a la tarea de determinar y ubicar en su base de datos, la información que en términos de la ley se califica como “datos personales de particulares”.
Se prevé que extraer de la “nube” o base de datos la información relativa a los particulares será el primer gran reto que esta ley impondrá a los particulares responsables, puesto que establece en su artículo 18 que:
“Cuando resulte imposible dar a conocer el aviso de privacidad al titular o exija esfuerzos desproporcionados, en consideración al número de titulares, o a la antigüedad de los datos, previa autorización del Instituto, el responsable podrá instrumentar medidas compensatorias en términos del Reglamento de esta Ley”.
A estas modalidades, el reglamento permite dar a conocer los avisos de privacidad a partir de publicaciones en los diarios nacionales, locales, revistas especializadas, en la página de Internet del responsable o hipervínculos generados; así como en carteles informativos, cápsulas de radio o en medios alternos masivos.
Lo anterior resultará muy ambiguo, al dejar indefinido qué debe entenderse por un número de titulares que exijan esfuerzos desproporcionados para serles entregados los avisos de privacidad correspondientes, y si los mismos se entregarán respecto de datos que se obtengan a partir de la entrada en vigor de la norma o bien, respecto de datos que se tengan en poder con anterioridad a la misma, dejando indefinido un plazo máximo de antigüedad.
En consecuencia, dependiendo del volumen de información que cada empresa o particular posea, la tarea de identificar los datos personales demandará de los responsables, desde un esfuerzo moderado hasta una misión titánica, que en muchos casos exigirá a las empresas destinar recursos humanos y económicos importantes. Lo que por sí mismo debería motivar a las autoridades correspondientes a otorgar un estímulo económico para los particulares responsables que cumplan con mayor eficiencia las disposiciones de la norma en cuestión.
Poniendo en antecedente la ardua tarea que será definir el universo de datos personales en posesión de la empresa o particular responsable una sugerencia, para identificar y clasificar dichos datos, es hacer un ejercicio en casa y arrancar con los datos de los empleados de la empresa.
Este entrenamiento interno, que además es obligatorio en términos de la ley, nos podrá dar una clara idea de cuáles herramientas tecnológicas, administrativas y legales demandará el cumplimiento de la ley, para establecer el grado de control y sofisticación que en tales rubros requerirá el tratamiento de los datos personales en posesión de la organización.
Establecimiento de controles y designación de un encargado
Una vez identificada la información que se califique como datos personales, el responsable deberá iniciar un proceso de diseño de políticas y controles internos con el fin de establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales.
Por otro lado, será necesario designar a una persona o departamento de datos personales, que dará trámite a las solicitudes de los titulares, para el ejercicio de los derechos ARCO, así como velar el cumplimiento de las obligaciones referidas en la ley (líneas arriba sintetizadas).
Asimismo, será recomendable ponerse en contacto con especialistas en administración de riesgos y Tecnologías de la Información (TI) a fin de evaluar la efectividad de los controles adoptados y evitar fugas de información.
Evitar conductas infractoras y la comisión de delitos
Una peculiaridad de esta ley es que contempla la aplicación de multas que van desde los 100 a los 320,000 días de salarios mínimos, así como la aplicación de penas privativas de la libertad para quienes se ubiquen en los casos de infracción o conductas delictivas que la ley prevé.
Conclusión
En suma, recibamos como una excelente noticia la llegada de esta nueva ley, la protección de los datos personales en posesión de particulares, pues no solo es una cuestión de orden público que México requería incorporar a su sistema jurídico para velar por el derecho a la privacidad de los individuos, sino una cuestión de seguridad nacional.
Sin embargo, toda ley tiene aparejada prerrogativas y obligaciones; en el caso de esta ley, estas últimas tendrán efectos significativos en la forma en que interactuaremos con cada persona, desde la actividad comercial hasta la obtención de servicios de salud, debiendo adoptar nuevas formas de manejo de datos, lo que demandará un nivel de diligencia y responsabilidad al que pocos estamos hoy preparados.
Cerramos citando a Tucídides con su reflexión: “Porque así como a la ciudad que tiene quietud y seguridad, le conviene no mudar las leyes y costumbres antiguas, así también a la ciudad que es apremiada y maltratada de otras, le cumple inventar e imaginar cosas nuevas para defenderse; y esta es la causa porque los atenienses, a causa de la mucha experiencia que tienen, procuran siempre novedades.”