Blog

Ley Federal de Protección de Datos Personales en Posesión de los Particulares1

- 2011 -

Bugambilia Anaya Godínez
Coordinador: C.Dr. Federico Anaya Ojeda

Toda persona (en nuestro caso el trabajador) tiene derecho de man­ tener control sobre sus datos per­ sonales, especialmente sobre su uso y destino. Se trata del derecho que se tiene de proteger la intimidad y privacidad de cada quien, frente a la posibilidad de una posible vio­ lación de tal derecho que pudiera lesionar o afectar, en determinado momento, la dignidad del individuo.

El 5 de julio de 2010 se publicó en el Diario Oficial de la Federación (DOF) el Decreto que expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, el cual entró en vigor al día siguiente de su publicación. El decreto es de or­ den público y de observancia ge­ neral en toda la República, y sus principales objetos son:

  1. Proteger los datos personales en posesión de los particulares con la finalidad de regular su trata­ miento legítimo, controlado e informado, y
  2. Garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

El ordenamiento pone a dispo­ sición de las personas los mecanis­ mos necesarios que permitan exigir la adopción de medidas que garan­ ticen un uso legal de sus datos; asimismo, contiene las obligaciones que por parte de quien obtiene los datos personales, debe cumplir con el fin de garantizar la seguridad de la información recabada a fin de garantizar la protección de datos personales en posesión de particu­ lares.

Derivado de lo anterior, los res­ ponsables de la obtención de dicha información (en nuestro caso patro­ nes) deberán observar los principios de legalidad, de consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y respon­ sabilidad, previstos en la ley, en virtud de que los datos personales proporcionados estarán sujetos al consentimiento de su titular, salvo las excepciones previstas por la ley comentada.

El consentimiento al que se le denomina aviso de privacidad, deberá ser manifestado verbalmen­ te, por escrito, por medios electró­ nicos, ópticos o por cualquier otra tecnología, o por signos inequí­ vocos por el titular o interesado, y la empresa responsable tendrá la obligación de informar a los titulares de los datos, los fines con los que se recaba cualquier información a través del aviso de privacidad.

El aviso de privacidad deberá contener la siguiente información:

  • La identidad y domicilio del responsable que los recaba.
  • Las finalidades del tratamiento de datos.
  • Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos.
  • Los medios para ejercer los derechos de acceso, rectificación, can­celación u oposición, de conformidad con lo dispuesto en esta ley.
  • En su caso, las transferencias de datos que se efectúen.
  • El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta ley.
  • La identidad y domicilio del responsable que los recaba.
  • Las finalidades del tratamiento de datos.
  • Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos.
  • Los medios para ejercer los derechos de acceso, rectificación, can­celación u oposición, de conformidad con lo dispuesto en esta ley.
  • En su caso, las transferencias de datos que se efectúen.
  • El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta ley.

En el caso de que se contara con datos personales sensibles, el aviso de privacidad deberá señalar expresamente que se trata de este tipo de datos.

Asimismo, la ley determina que no será necesario el consentimiento para el tratamiento de los datos personales en los siguientes casos:

  • Esté previsto en una ley.
  • Los datos figuren en fuentes de acceso público.
  • Los datos personales se sometan a un procedimiento previo de di­sociación.
  • Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable.
  • Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes.
  • Sean indispensables para la atención médica, la prevención, diag­nóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud (LGS) y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equiva­ lente.
  • Se dicte resolución de autoridad competente.

Cuando los datos de carácter personal hayan dejado de ser necesa­ rios para el cumplimiento de las finalidades previstas por el aviso de privacidad y las disposiciones legales aplicables, deberán ser cancelados. El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.

El responsable no estará obligado a cancelar los datos personales cuando:

  • Se refiera a las partes de un contrato privado, social o admi­ nistrativo y sean necesarios para su desarrollo y cumplimiento.
  • Deban ser tratados por disposi­ ción legal.
  • Obstaculice actuaciones judicia­ les o administrativas vinculadas a obligaciones fiscales, la inves­ tigación y persecución de deli­ tos o la actualización de sancio­ nes administrativas.
  • Sean necesarios para proteger los intereses jurídicamente tu­ telados del titular.
  • Sean necesarios para realizar una acción en función del inte­ rés público.
  • Sean necesarios para cumplir con una obligación legalmente adquirida por el titular.
  • Sean objeto de tratamiento para la prevención o para el diagnós­ tico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud suje­ to a un deber de secreto.

El Instituto Federal de Acceso a la Información y Protección de Da­ tos Personales (IFAI) verificará el cumplimiento de la presente ley y de la normatividad que de ésta derive. La verificación podrá iniciar­ se de oficio o a petición de parte. La verificación de oficio procede­ rá cuando se dé el incumplimiento a resoluciones dictadas con moti­ vo de procedimientos de protección de derechos a que se refiere el ca­ pítulo anterior o se presuma fun­ dada y motivadamente la existencia de violaciones a la presente ley.

En el procedimiento de verifica­ ción, el IFAI tendrá acceso a la información y documentación que considere necesarias, de acuer­ do con la resolución que lo motive.

La ley considera que lo siguien­ te se considera como infracciones del responsable:

  • No cumplir con la solicitud del titular para el ac­ ceso, rectificación, cancelación u oposición al tratamiento de sus datos personales, sin razón fundada, en los términos previstos en esta ley.
  • Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes de acceso, rectificación, cancelación u oposición de datos personales.
  • Declarar dolosamente la inexistencia de datos personales, cuando haya total o parcialmente en las bases de datos del responsable.
  • Dar tratamiento a los datos personales en contra­ vención a los principios establecidos en la presen­ te ley.
  • Omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de esta ley.
  • Mantener datos personales inexactos cuando re­ sulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares.
  • No cumplir con el apercibimiento a que se refiere la fracción I del artículo 64.
  • Incumplir el deber de confidencialidad establecido en el artículo 21 de esta ley.
  • Cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo dispues­ to por el artículo 12.
  • Transferir datos a terceros sin comunicar a éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la divulgación de los mismos.
  • Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable.
  • Llevar a cabo la transferencia o cesión de los datos personales, fuera de los casos en que esté permitida por la ley.
  • Recabar o transferir datos personales sin el con­ sentimiento expreso del titular, en los casos en que éste sea exigible.
  • Obstruir los actos de verificación de la autoridad.
  • Recabar datos en forma engañosa y fraudulenta.
  • Continuar con el uso ilegítimo de los datos perso­nales cuando se ha solicitado el cese del mismo por el Instituto o los titulares.
  • Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos de acceso, rectificación, cancelación y oposición es­ tablecidos en el artículo 16 de la Constitución Política de los Estados Unidos Mexicanos.
  • Crear bases de datos en contravención a lo dispues­ to por el artículo 9o., segundo párrafo de esta ley.
  • Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de lo previsto en la presente ley.

Asimismo, las infracciones a la presente ley serán sancionadas por el IFAI, con:

  • El apercibimiento para que el responsable lleve a cabo los actos solicitados por el titular, en los térmi­ nos previstos por esta ley, tratándose de los supues­ tos previstos en la fracción I del artículo anterior.
  • Multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal (SMGDF), en los casos previstos en las fracciones II a VII del ar­ tículo anterior.
  • Multa de 200 a 320,000 días de SMGDF, en los casos previstos en las fracciones VIII a XVIII del artículo anterior.
  • En caso de que de manera reiterada persistan las infracciones citadas en los incisos anteriores, se impondrá una multa adicional que irá de 100 a 320,000 días de SMGDF. En tratándose de infrac­ ciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces los montos establecidos.

Además se considerarán como delitos en materia del tratamiento indebido de datos personales, cuando:

  • Al que estando autorizado para tratar datos per­ sonales, con ánimo de lucro, provoque una vulne­ ración de seguridad a las bases de datos bajo su custodia, imponiéndose de tres meses a tres años de prisión.
  • Al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, apro­ vechándose del error en que se encuentre el titu­ lar o la persona autorizada para transmitirlos. En este caso se le sancionará con seis meses a cinco años de prisión.
  • Tratándose de datos personales sensibles, las penas a que se refiere el capítulo de referencia de la ley, se duplicarán.

Los responsables designarán a la persona o de­ partamento de la empresa que deberá ser el respon­ sable de la guarda y custodia de datos personales a que se refiere el artículo 30 de la ley, y expedirán sus avisos de privacidad a los titulares de datos perso­ nales de conformidad con lo dispuesto por los ar­ tículos 16 y 17 a más tardar un año después de la entrada en vigor de la presente ley.

Adjuntamos un formato de aviso de privacidad:



Referencia

1 www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf


La imagen que aparece en este artículo es unicamente para fines ilustrativos.