Nueva legislación para la protección de datos personales

Se publicó la nueva ley que busca garantizar la protección de datos personales en posesión de sujetos obligados

.
 .  (Foto: iStock)

Por Jesús Coronado

Se publicó en el DOF del 26 de enero de 2017 la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

La norma establece las bases, principios y procedimientos para garantizar el derecho a la protección de sus datos personales, y señala como sujetos obligados a cualquier autoridad en el ámbito federal, estatal y municipal, entidad, órgano y organismo de los poderes ejecutivo, legislativo y judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.

Por lo que hace a los sindicatos y a cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en cualquier ámbito, serán responsables de los datos personales, de conformidad con la normatividad aplicable para la protección de datos personales en posesión de particulares. En todos los demás supuestos diferentes, las personas físicas y morales se sujetarán a lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Los responsables deberán mantener medidas de seguridad para proteger los datos personales que posean contra cualquier daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar confidencialidad, integridad y disponibilidad.

Dentro de los objetivos de la ley está el distribuir competencias entre los organismos garantes federales y los de las entidades; establecer las bases mínimas y condiciones homogéneas que regirán el tratamiento de los datos personales y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (ARCO); regular la organización y operación del Sistema Nacional de Transparencia y Acceso a la Información y Protección de Datos Personales; garantizar la observancia de los principios de protección de datos personales; proteger aquellos en posesión de cualquier autoridad, entidad, órgano y organismo; promover, fomentar y difundir una cultura de protección de datos personales; regular los medios de impugnación y procedimientos para la interposición de acciones de inconstitucionalidad y controversias constitucionales por parte de los organismos garantes locales y federales; entre otros.

Se define a los datos personales como cualquier información concerniente a una persona física identificada o identificable, considerada esta ultima cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información. Igualmente, se detalla que son sensibles los que se refieren a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para este; siendo sensibles los que puedan revelar aspectos como el origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas o morales, opiniones políticas y preferencias sexuales.

Importante es resaltar la introducción de la evaluación de impacto en la protección de datos personales, que es el documento mediante el cual los sujetos obligados que pretendan poner en operación o modificar políticas públicas, programas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales, valoran los impactos reales respecto de determinado tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con los principios, deberes y derechos de los titulares, así como los deberes de los responsables y encargados.

Este ordenamiento será aplicable a cualquier tratamiento de datos personales que obren en soportes físicos o electrónicos, con independencia de la forma o modalidad de su creación, tipo de soporte, procedimiento, almacenamiento y organización.

Son consideradas fuentes de acceso público las páginas de Internet o medios remotos o locales de comunicación electrónica, óptica y de otra tecnología, siempre que el sitio donde se encuentren los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general; los directorios telefónicos; los diarios, las gacetas o los boletines oficiales; los medios de comunicación social y los registros públicos.

Se detalla que el Estado garantizará la privacidad de los individuos y deberá velar porque terceras personas no incurran en conductas que puedan afectar arbitrariamente, siendo limitado el derecho a la protección de datos personales solamente por razones de seguridad nacional.

Aunado a lo anterior, este nuevo ordenamiento contempla el Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales que deberá emitir el Programa Nacional de Protección de Datos Personales a más tardar el 27 de enero de 2018; los principios y deberes a cumplir; los derechos ARCO y su ejercicio; la relación responsable y encargado; las comunicaciones de datos personales; las acciones preventivas en materia de protección; las funciones de los organismos garantes como el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales; los procedimientos de impugnación; las medidas de apremio y responsabilidades.

Finalmente, se aclara que a falta de disposición expresa se aplicarán de manera supletoria el Código Federal de Procedimientos Civiles y la Ley Federal de Procedimiento Administrativo. También se establece que la Ley Federal de Transparencia y Acceso a la Información Pública, las demás leyes federales y vigentes de las entidades federativas en materia de protección de datos personales, deberán ajustarse a las disposiciones previstas en un plazo de seis meses a partir del 27 de enero de 2017 que entra en vigor.