Se publicó en el DOF de este 26 de enero de 2017 la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. A partir del 27 de enero entró en vigor.
La norma establece las bases, principios y procedimientos para garantizar el derecho a la protección de sus datos personales, y señala como sujetos obligados a cualquier autoridad en el ámbito federal, estatal y municipal, entidad, órgano y organismo de los poderes ejecutivo, legislativo y judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.
Por lo que hace a los sindicatos y a cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en cualquier ámbito, serán responsables de los datos personales, de conformidad con la normatividad aplicable para la protección de datos personales en posesión de particulares. En todos los demás supuestos diferentes, las personas físicas y morales se sujetarán a lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
Los responsables deberán mantener medidas de seguridad para proteger los datos personales que posean contra cualquier daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar confidencialidad, integridad y disponibilidad.
Dentro de los objetivos de la ley están los siguientes:
- distribuir competencias entre los organismos garantes de la Federación y las entidades federativas, en la materia
- establecer las bases mínimas y condiciones homogéneas que regirán el tratamiento de los datos personales y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (ARCO), mediante procedimientos sencillos y expeditos y los mecanismos para garantizar el cumplimiento y la efectiva aplicación de las medidas de apremio que correspondan para aquellas conductas que contravengan las disposiciones previstas
- regular la organización y operación del Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales a que se refiere este ordenamiento y la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP), en lo relativo a sus funciones para la protección de datos personales en posesión de sujetos obligados
- garantizar la observancia de los principios de protección de datos personales previstos y que toda persona pueda ejercer el derecho a la protección de los datos personales
- proteger los datos personales en posesión de cualquier autoridad, entidad, órgano y organismo de los poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, de la Federación, las Entidades Federativas y los municipios, con la finalidad de regular su debido tratamiento, y
- promover, fomentar y difundir una cultura de protección de datos personales
Se define a los datos personales como cualquier información concerniente a una persona física identificada o identificable, considerada esta última cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información. Igualmente, se detalla que son sensibles los que se refieren a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para este; siendo sensibles los que puedan revelar aspectos como el origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas o morales, opiniones políticas y preferencias sexuales.
Por aviso de privacidad se entiende que es el documento a disposición del titular de forma física, electrónica o en cualquier formato generado por el responsable, a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos. Se señala que las bases de datos son el conjunto ordenado de datos personales referentes a una persona física identificada o identificable, condicionados a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización. Por fuentes de acceso público, se refiere que son aquellas bases de datos, sistemas o archivos que por disposición de ley puedan ser consultadas públicamente cuando no exista impedimento por una norma limitativa y sin más exigencia que, en su caso, el pago de una contraprestación, tarifa o contribución; no se considerará fuente de acceso público cuando la información contenida en la misma sea obtenida o tenga una procedencia ilícita, conforme a las disposiciones establecidas.
Son consideradas fuentes de acceso público las páginas de Internet o medios remotos o locales de comunicación electrónica, óptica y de otra tecnología, siempre que el sitio donde se encuentren los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general; los directorios telefónicos; los diarios, las gacetas o los boletines oficiales; los medios de comunicación social y los registros públicos.
Importante es resaltar la introducción de la evaluación de impacto en la protección de datos personales, que es el documento mediante el cual los sujetos obligados que pretendan poner en operación o modificar políticas públicas, programas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales, valoran los impactos reales respecto de determinado tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con los principios, deberes y derechos de los titulares, así como los deberes de los responsables y encargados.
Este ordenamiento será aplicable a cualquier tratamiento de datos personales que obren en soportes físicos o electrónicos, con independencia de la forma o modalidad de su creación, tipo de soporte, procedimiento, almacenamiento y organización.
Se detalla que el Estado garantizará la privacidad de los individuos y deberá velar porque terceras personas no incurran en conductas que puedan afectar arbitrariamente, siendo limitado el derecho a la protección de datos personales solamente por razones de seguridad nacional.
Aunado a lo anterior, este nuevo ordenamiento contempla el Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales que tendrá como objetivo diseñar, ejecutar y evaluar el Programa Nacional de Protección de Datos Personales a más tardar el 27 de enero de 2018, dentro de este se establecerá como mínimo, objetivos, estrategias, acciones y metas para:
- promover la educación y una cultura de protección de datos personales entre la sociedad mexicana
- fomentar el ejercicio de los derechos ARCO
- capacitar a los sujetos obligados en materia de protección de datos personales;
- impulsar la implementación y mantenimiento de un sistema de gestión de seguridad, además de incitar la adopción de estándares nacionales e internacionales y buenas prácticas en la materia, y
- prever los mecanismos que permitan medir, reportar y verificar las metas establecidas
Dicho programa se constituirá como un instrumento rector para la integración y coordinación del sistema en comento, y deberá determinar y jerarquizar los objetivos y metas que éste debe cumplir, así como definir las líneas de acción generales que resulten necesarias. El programa deberá evaluarse y actualizarse al final de cada ejercicio anual y definirá el conjunto de actividades y proyectos que deberán ser ejecutados durante el siguiente ejercicio.
El nuevo ordenamiento contempla también principios y deberes que deben cumplirse; sobre los primeros, el responsable deberá observar los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad en el tratamiento de datos personales.
El responsable deberá contar con el consentimiento previo del titular para el tratamiento de datos personales, el cual deberá otorgarse de forma:
- libre, sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de voluntad del titular
- específica, es decir, referida a finalidades concretas, lícitas, explícitas y legítimas que justifiquen el tratamiento, e
- informada, en el sentido de que el titular tenga conocimiento del aviso de privacidad previo al tratamiento a que serán sometidos sus datos personales
- Es importante destacar que además se contempla que el responsable no estará obligado a recabar el consentimiento del titular para el tratamiento de sus datos personales en los siguientes casos:
- una ley así lo disponga, debiendo dichos supuestos ser acordes con las bases, principios y disposiciones establecidos, en ningún caso, podrán contravenir
- cuando las transferencias que se realicen entre responsables, sean sobre datos personales que se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales
- exista una orden judicial, resolución o mandato fundado y motivado de autoridad competente
- para el reconocimiento o defensa de derechos del titular ante autoridad adecuada
- al requerirse para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable
- ante una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes
- sean necesarios para efectuar un tratamiento para la prevención, diagnóstico, la prestación de asistencia sanitaria
- figuren en fuentes de acceso público
- se sometan a un procedimiento previo de disociación (procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo), o
- el titular de los datos personales sea una persona reportada como desaparecida en los términos de la ley en la materia
Por lo que se refiere al aviso de privacidad que el responsable debe poner a disposición del titular, este puede ser en dos modalidades, uno simplificado y otro integral; el primero de ellos contendrá lo siguiente:
- la denominación del responsable
- las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aquellas que requieran el consentimiento del titular
- cuando se realicen transferencias de datos que requieran consentimiento, se deberá informar:
- a las autoridades, poderes, entidades, órganos y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o morales a las que se transfieren, y
- las finalidades de estas transferencias
- Los mecanismos y medios disponibles para que el titular, en su caso, pueda manifestar su negativa para el tratamiento de sus datos personales para finalidades y transferencias que requieren su consentimiento, y
- el sitio donde se podrá consultar el aviso de privacidad integral
El aviso de privacidad integral, adicionalmente a lo anterior, se conformará por:
- el domicilio del responsable
- los datos personales que serán sometidos a tratamiento, identificando aquellos que son sensibles
- el fundamento legal que faculta al responsable para llevar a cabo el tratamiento
- las finalidades del tratamiento para las cuales se obtienen, distinguiendo las que requieren el consentimiento del titular
- mecanismos, medios y procedimientos disponibles para ejercer los derechos ARCO
- el domicilio de la Unidad de Transparencia, y
- los medios a través de los cuales el responsable comunicará a los titulares los cambios al aviso de privacidad
Es destacable que el nuevo ordenamiento contempla lo que son diferentes tipos de medidas de seguridad para la protección de datos personales, como las que se enlistan a continuación:
- seguridad administrativa: Políticas y procedimientos para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización y capacitación del personal, en materia de protección de datos personales
- seguridad física: Conjunto de acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento: enunciativa más no limitativamente deben considerarse las siguientes actividades:
- prevenir el acceso no autorizado al perímetro de la organización, sus instalaciones físicas, áreas críticas, recursos e información
- advertir el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, recursos e información
- proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico que pueda salir de la organización, y
- proveer a los equipos que contienen o almacenan datos personales de un mantenimiento eficaz, que asegure su disponibilidad e integridad
- seguridad técnica: Conjunto de acciones y mecanismos que se valen de la tecnología relacionada con hardware y software para proteger el entorno digital de los datos personales y los recursos involucrados en su tratamiento; se consideraran el:
- prevenir que el acceso a las bases de datos o a la información, incluso a los recursos, sea por usuarios identificados y autorizados
- generar un esquema de privilegios para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones
- revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware, y
- gestionar las comunicaciones, operaciones y medios de almacenamiento de los recursos informáticos en el tratamiento de datos personales
Las medidas de seguridad adoptadas por el responsable deberán considerar:
- el riesgo inherente a los datos personales tratados
- la sensibilidad de los mismos
- el desarrollo tecnológico
- las posibles consecuencias de una vulneración para los titulares
- las transferencias que se realicen
- el número de titulares
- las vulneraciones previas ocurridas en los sistemas de tratamiento, y
- el riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión
Particularmente, el responsable deberá elaborar un documento de seguridad que contenga, por lo menos:
- el inventario de datos personales y de los sistemas de tratamiento
- las funciones y obligaciones de las personas que traten los datos personales
- el análisis de riesgos; y el relativo de brecha
- el plan de trabajo
- los mecanismos de monitoreo y revisión de las medidas de
seguridad, y - el programa general de capacitación
Será obligación del responsable actualizar dicho documento cuando suscite alguno de los siguientes eventos:
- producción de modificaciones sustanciales al tratamiento de datos personales que deriven en un cambio en el nivel de riesgo
- como resultado de un proceso de mejora continua, derivado del monitoreo y revisión del sistema de gestión o de un proceso de mejora para mitigar el impacto de una vulneración a la seguridad ocurrida, y
- la implementación de acciones correctivas y preventivas ante una vulneración de seguridad
La ley en comento considera la pérdida o destrucción no autorizada; el robo, extravío o copia; el uso, acceso o tratamiento no autorizado, asimismo son vulneraciones de seguridad, el daño, la alteración o modificación no autorizados; teniendo el responsable la obligación de informar sin dilación alguna al titular, y dependiendo el caso a la autoridad responsable, aquellas que afecten de forma significativa los derechos patrimoniales o morales. Dentro de la información que deberá exhibir está:
- la naturaleza del incidente
- los datos personales comprometidos
- las recomendaciones al titular acerca de las medidas que este pueda adoptar para proteger sus intereses
- las acciones correctivas realizadas de forma inmediata, y
- los medios donde puede obtener más información al respecto
La legislación también contempla los derechos ARCO y su ejercicio; la relación del responsable y del encargado; las comunicaciones de datos personales; las acciones preventivas en materia de protección; las funciones de los organismos garantes como el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales; los procedimientos de impugnación; las medidas de apremio y responsabilidades.
Finalmente, se aclara que a falta de disposición expresa se aplicarán de manera supletoria el Código Federal de Procedimientos Civiles y la Ley Federal de Procedimiento Administrativo. También se establece que la Ley Federal de Transparencia y Acceso a la Información Pública, las demás leyes federales y vigentes de las entidades federativas en materia de protección de datos personales, deberán ajustarse a las disposiciones previstas en un plazo de seis meses a partir del 27 de enero de 2017.