¡Recuerda! finalizaste tu sesión

Suscríbete

Lo urgente de los datos personales

El consentimiento es pieza clave para evitar sanciones, pero también saber cuándo aplican o no las disposiciones de la materia

.
 .  (Foto: IDC online)

GENERALIDADES

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), entró en vigor, de acuerdo con el artículo primero transitorio, el 6 de julio de 2010. Esta Ley pretende proteger la transmisión de datos, no obstaculizándola, sino reglamentando el intercambio y revelación de datos sobre los cuales tienen derecho sus titulares, siendo acertada la inclusión de posesión por parte de los particulares (como la ley fue denominada), pues ellos los detentan sin ser sus propietarios.

No obstante su entrada en vigor de casi ya un año, ciertas obligaciones derivadas de la misma dirigidas a los particulares, no serían exigibles sino con posterioridad, de conformidad con lo que la misma Ley definió en sus artículos transitorios.

Ante el inminente crecimiento de las precauciones a tomar en virtud de esta Ley, en IDC lo preparamos para que no sea objeto de sanciones una vez que las obligaciones pospuestas sean exigibles por las autoridades. La Ley referida es amplia respecto a su análisis, por lo que se irán abordando poco a poco las cuestiones más controvertidas de la misma, estudios que, con previas disecciones de la Ley en números anteriores,  lo dejará perfectamente enterado de las providencias a acatar para cumplir con los nuevos mandatos de un ordenamiento que debió incluirse ya hace muchos años dentro de la legislación mexicana.

VITAL AVISO DE PRIVACIDAD

Una de las obligaciones principales de esta ley, es la de expedir los avisos de privacidad a los titulares de dichos datos, pues de conformidad con el artículo tercero transitorio, a más tardar a un año de que la Ley entrara en vigor (lo cual implica que a más tardar el 6 de  julio como máximo), ya se tuvieron que haber expedido aquéllos.

El aviso de privacidad, según lo definido por la Ley (artículo 3o, fracción I), es el documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, pues el espíritu de la Ley contempla que el tratamiento de los datos tiene que sujetarse al consentimiento que otorgue su titular (salvo las excepciones que la LFPDPPP indica, como se verá más adelante).

EL CONSENTIMIENTO, FACTOR CLAVE

Este consentimiento, elemento básico en la validez del aviso de privacidad, puede ser, según el artículo 8 de la Ley en estudio:

  • expreso: cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos
  • tácito:  cuando habiéndose puesto a disposición del titular el aviso de privacidad, éste no manifieste su oposición

Para el caso de datos financieros o patrimoniales, el consentimiento requerido, forzosamente debe ser expreso salvo las excepciones que se despliegan a continuación (artículos 10 y 37 de la LFPDPPP).

El consentimiento puede ser revocado en cualquier momento (sin que se le atribuyan efectos retroactivos) y el responsable tendrá que fijar en el aviso de privacidad los mecanismos y procedimientos para ello.

Los datos sensibles y su consentimiento específico

Si se trata de datos personales sensibles, siendo estos, de acuerdo con la LFPDPPP aquéllos que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste y considerándose como tales, en particular, los que revelen aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y preferencia sexual, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca.

Por otra parte, no podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado.

Excepciones

No se requiere contar con el consentimiento del titular, de acuerdo con el artículo 10 de la Ley en comento cuando:

  • así esté previsto en una ley
  • los datos personales se sometan a un procedimiento previo de disociación (esto es, el procedimiento mediante el cual dichos datos no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación de aquél)
  • tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable
  • los datos figuren en fuentes de acceso público
  • exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes
  • sean indispensables para la atención médica, prevención, diagnóstico, prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que tal tratamiento se realice por una persona sujeta al secreto profesional u obligación equivalente
  • se dicte resolución de autoridad competente

De igual forma, las transferencias nacionales o internacionales de datos podrán llevarse a cabo sin el consentimiento del titular, de conformidad con el artículo 37 de la LFPDPPP, cuando sea:

  • prevista en una ley o Tratado en los que México sea parte
  • necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios
  • efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas
  • indispensable por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero
  • requerida o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia
  • precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial
  • forzosa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular

AVISO DE PRIVACIDAD: SU CONTENIDO Y FORMA

En el aviso, el responsable tendrá que informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, y tendrá que contener, como lo señalan los artículos 15 y 16 de la LFPDPPP, al menos: 

  • la identidad y domicilio del responsable que los recaba
  • las finalidades del tratamiento de datos
  • los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en la Ley
  • las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación
  • en su caso, las transferencias de datos que se efectúen
  • el procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con la Ley
  • tratándose de datos personales sensibles, señalará expresamente que se trata de este tipo de datos

Se debe poner a disposición de los titulares a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología, de la siguiente manera, si los datos personales:

  • son obtenidos personalmente del titular: el aviso de privacidad será facilitado en el momento en que se recaba el dato de forma clara y fehaciente, a través de los formatos por los que se recaban, salvo que se hubiera facilitado el aviso con anterioridad,
  • son obtenidos directamente del titular por cualquier medio electrónico, óptico, sonoro, visual, o a través de cualquier otra tecnología: el responsable deberá proporcionar al titular de manera inmediata, al menos la identidad y domicilio del responsable que los recaba y las finalidades del tratamiento de datos, así como proveer los mecanismos para que el titular conozca el texto completo del aviso de privacidad

El panorama es claro respecto a lo que la Ley obliga a hacer para el tratamiento de datos, sin embargo, hay aspectos delicados, como la dificultad de obtener en todos los casos el consentimiento expreso, por lo que se tendrán que encontrar formas para obtenerlo. Con la intención de ayudar a los particulares con los avisos señalados, se especula que en junio de este año se darán a conocer por parte del Instituto Federal de Acceso a la Información Pública y Protección de Datos los lineamientos para que los particulares puedan elaborarlos, lo cual dará mayor claridad a los destinatarios de esta Ley, pues no hay excusas para su implementación, ya que de lo contrario, tales sujetos se verán sometidos a las estrictas sanciones previstas por el mismo ordenamiento. 

DESTINATARIOS DE LA LFPDPPP

La Ley referida, aplicable en todo el territorio nacional,  deja clara su finalidad: se creó con el objeto de regular el tratamiento legítimo, controlado e informado, de los datos personales para así garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

De igual modo, distingue entre:

  • responsable: la persona (física o moral) de carácter privado que decide sobre el tratamiento de datos personales
  • encargado: la persona (física o moral) que sola o conjuntamente con otras trate datos personales por cuenta del responsable
  • tercero: la persona (física o moral, nacional o extranjera), distinta del titular o del responsable de los datos
  • titular: la persona física a quien corresponden los datos personales

Y de manera complementaria define que los sujetos regulados de la Ley son las personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, exceptuando a las:

  • sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia (LRSIC) y demás disposiciones aplicables
  • personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial

En lo tocante a las excepciones, cabe aclarar dos puntos. Las sociedades de información crediticia están excluidas en tanto estén en los supuestos de la LRSIC, pero si se tratase del uso de datos personales para fines no contemplados por esa Ley, sí se verían sometidos a la LFPDPPP.

El segundo contenido a despejar es el alcance de lo que se entiende por uso exclusivamente personal, y sin fines de divulgación o utilización comercial, puesto que se puede entender que algunas empresas no están haciendo un uso comercial de dichos datos, y por ende, podrían tratar de no darle cumplimiento a todo el ordenamiento. Es posible que con posterioridad se precise el significado exacto de esta excepción, al poder constituir una laguna por la cual los particulares busquen no acatar la LFPDPPP, o por una confusión de buena fe, considerando que no les es aplicable, verse afectados por las sanciones que les serían impuestas, recordando el principio general de derecho consistente en que la ignorancia de la ley no exime de su cumplimiento, ya que de igual manera, una incorrecta interpretación de la misma no dispensará a quienes no la obedezcan.

Corporativo

Newsletter

Newsletter