Proteger datos personales, regalo de Santa

Las dudas derivadas de la publicación de la ley de la materia han quedado debidamente disipadas con la emisión de la norma reglamentaria

.
 .  (Foto: IDC online)

El pasado 20 de diciembre de 2011 se publicó en el Diario Oficial de la Federación el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (RLFPDPPP), donde se abordan muchas de las problemáticas no resueltas por la legislación, dado lo parco de su regulación.

Aquí se detallan los cuestionamientos más importantes desahogados puntualmente por las disposiciones reglamentarias, pero, para una mayor ampliación del tema, se sugiere consultar el próximo suplemento especial editado por IDC Asesor Jurídico y Fiscal, en materia de protección de datos personales.

¿A qué información no le resulta aplicable el Reglamento?

A la relativa a personas (artículo 5o):

  • físicas en  su calidad de comerciantes y profesionistas
  • morales, y
  • físicas que presten sus servicios para alguna persona moral o física con actividades empresariales y/o prestación de servicios, que sólo consista en su nombre y apellidos, las funciones o puestos desempeñados, así como algunos de los siguientes datos laborales: domicilio físico, dirección electrónica, teléfono y número de fax, siempre que sea tratada para fines de representación del empleador o contratista

En términos del RLFPDPPP, ¿cuáles se consideran las fuentes de acceso público?

Se consideran así las siguientes:

  • medios remotos o locales de comunicación electrónica, óptica y de otra tecnología, siempre que el sitio donde se encuentren los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general
  • directorios telefónicos en términos de la normativa específica
  • diarios, gacetas o boletines oficiales, de acuerdo con su normativa, y
  • medios de comunicación social

Para que sean consideradas fuentes de acceso público, será necesario que su consulta pueda ser realizada por cualquier persona no impedida por una norma o sin más exigencia que el pago de una contraprestación, derecho o tarifa. Por el contrario, no tendrán ese carácter si la información contenida en la misma sea o tenga procedencia ilícita (artículo 7o).

¿En qué supuestos será procedente el consentimiento tácito y cuáles son las formalidades a cubrir para obtenerlo?

Siempre y cuando la LFPDPPP no exija el consentimiento expreso del titular, por lo que el ser tácito es la regla general, debiendo éste ser libre, específico, informado y referido a una o varias finalidades, mismas que tendrían que estar previstas en el aviso de privacidad. Podrá recabarse de forma:

  • directa: si el responsable obtiene de este modo los datos personales del titular, pondrá previamente a su disposición el aviso de privacidad, el cual contendrá un mecanismo para que, en su caso, el titular pueda manifestar su negativa al tratamiento de sus datos personales para finalidades distintas a las necesarias y las que dan origen a la relación jurídica entre el responsable y aquél
  • indirecta: se presupone que existe una transferencia de datos y, si se tiene un cambio de las finalidades consentidas, el responsable pondrá a disposición del titular el aviso de privacidad previo al aprovechamiento de los datos personales. Cuando tal aviso no se haga del conocimiento del titular de manera directa o personal, éste tendrá un plazo de cinco días para manifestar su negativa para el tratamiento de sus datos para los propósitos diferentes a las necesarios y que  dan origen a la relación jurídica entre el responsable y aquél. Si no manifiesta dicha negativa, se entiende que ha otorgado su consentimiento, salvo prueba en contrario, y
  • remota, se presenta cuando el responsable use medios de comunicación electrónica, óptica u otra tecnología, que impliquen una obtención de datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos. En ese momento informará al titular sobre el empleo de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que las pueden deshabilitar (artículos 13 y 14).

¿En qué casos es necesario el consentimiento expreso y cómo se recaba?

El responsable tiene que obtener el consentimiento expreso del titular cuando:

  • lo exija una ley o reglamento
  • se trate de datos financieros o patrimoniales
  • sean datos sensibles
  • lo solicite el responsable para acreditarlo
  • sea acordado así entre el titular y el responsable

Si el consentimiento expreso es exigido en términos de una disposición legal o reglamentaria, el responsable facilitará al titular un medio sencillo y gratuito para que lo manifieste (artículos 15 y 16).

¿Cuáles son, acorde con el RLFPDPPP, las características del aviso de privacidad y su medio para difundirse?

El aviso de privacidad tendrá que ser sencillo con la información requerida conforme a la LFPDPPP, elaborado en lenguaje claro y comprensible, y con estructura fácil de entender y su difusión será a través de formatos físicos, electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular (numerales 24 y 25).

¿En qué consisten las medidas compensatorias y cómo se solicitan?

La LFPDPPP habla de las medidas compensatorias en su artículo 18, las cuales pueden ser instrumentadas por el responsable masivamente de acuerdo con los criterios generales expedidos por el Instituto Federal de Acceso a la Información Pública y Protección de Datos (IFAI), mismos que se publicarán en el Diario Oficial de la Federación. 

No obstante, las medidas se publicarán en cualquiera de los medios siguientes:

  • diarios locales o revistas especializadas, cuando se demuestre que los titulares de los datos personales residan en una determinada entidad federativa o pertenezcan a una cierta actividad
  • página de Internet del responsable
  • diarios de circulación nacional
  • hiperenlaces o hipervínculos situados en una página de Internet del IFAI, habilitados para dicho fin, cuando el responsable no cuente con una página de Internet propia
  • carteles informativos
  • difusión en cápsulas informativas en radiodifusoras, y
  • otros medios alternos de comunicación masiva

Para que el IFAI autorice el uso de estas medidas será necesaria la petición del responsable presentado cumpliendo lo requerido por el numeral 33 del RLFPDPPP, y esta solicitud será desahogada por el IFAI en un plazo de 10 días siguientes a su recepción.

Si IFAI no contesta nada, se sobreentiende que la medida fue autorizada (artículos 32 a 35).

¿Cuál es el plazo de conservación de los datos personales?

Los plazos no serán mayores a los necesarios para cumplir las finalidades que justificaron el tratamiento, y atenderán las disposiciones aplicables a la materia de que se trate, a la vez tomar en cuenta los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información.

Cumplida la o las finalidades del tratamiento, y de no haber disposición legal o reglamentaria que establezca lo contrario, el responsable cancelará los mismos (artículo 37).

¿Qué sucede con los responsables extranjeros?

El Reglamento en estudio será observado obligatoriamente si el responsable no está en territorio mexicano, pero le aplica la legislación mexicana ya sea por un contrato o por previsión del derecho internacional.

También aplicará si el responsable no está en México y el encargado sí, en cuyo caso serán forzosas las medidas de seguridad (artículo 4o, fracciones III y IV).

¿Qué se hace si el responsable se niega a cesar el tratamiento de datos?

Si el titular pide la revocación del consentimiento y el responsable no la acata, el primero podrá denunciar tal hecho ante el IFAI (artículo 22).

¿En el caso anterior, cuáles son los requisitos de la denuncia?

Serán los siguientes:

  • nombre del denunciante
  • domicilio o el medio para recibir notificaciones
  • una relación de los hechos en los que basa su denuncia
  • los elementos probatorios con los que cuente, y
  • nombre y domicilio del denunciado o, en su caso, datos para su ubicación (artículo 131).

¿En qué supuestos se pueden crear bases de datos personales sensibles?

Sólo cuando se dé alguno de los siguientes supuestos (artículo 56):

  • tal necesidad obedezca a un mandato legal
  • se justifique en términos del artículo 4o de la Ley, y
  • el responsable lo requiera para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persiga

COROLARIO

A pesar de que la norma reglamentaria despeja ciertas dudas en la materia, seguramente surgirán más al momento de su aplicación por lo que IDC Asesor Jurídico y Fiscal estará al pendiente de ello para exponérselo a nuestra comunidad.

¿Quieres profundizar sobre este tema? Te invitamos a adquirir esta edición especial. De venta en nuestra tienda virtual

-
 -  (Foto: Redacción)