Ley Federal de Protección Ley Federal de Protección de Datos Personalesde Datos Personalesen posesión de particularesen posesión de particulares

5 Julio 2010Derechos Reservados. Dr. Alfredo A. Reyes Krafft

Decreto publicado en el DOF el 5 de julio del 2010:Decreto publicado en el DOF el 5 de julio del 2010:

� Contiene principios en materia de protección de

datos: licitud,licitud, consentimiento,consentimiento, información,información, calidad,calidad, finalidad,finalidad,

lealtad,lealtad, proporcionalidadproporcionalidad yy responsabilidadresponsabilidad;

� Desarrolla los derechos de los titulares de los

datos de acceso,acceso, rectificación,rectificación, cancelacióncancelación yydatos de acceso,acceso, rectificación,rectificación, cancelacióncancelación yyoposiciónoposición (conocidos como derechos ARCO);

� Establece mecanismos para ejercer los derechos

ARCO frente a los Responsables del tratamiento,

� El procedimiento de tutela de dichos derechos

en caso de la negativa de los Responsables, anteel IFAI, quien puede imponer sanciones.

Algunas definiciones

� El "tratamiento" de los datos personalestratamiento" de los datos personales es uno de los temas mas importantes de la regulación y forma parte del objeto de la ley, el cual lo califica, ya que éste debe de ser legítimo, controlado e informadolegítimo, controlado e informado

� La presente Ley es de orden público y de observancia general en toda la

República y tiene por objeto la protección de los datos personales en

posesión de los particulares, con la finalidad de regular su tratamiento

legítimo, controlado e informado, a efecto de garantizar la privacidad y el

derecho a la autodeterminación informativa de las personas.derecho a la autodeterminación informativa de las personas.

� La ley define "tratamiento" como el hecho de obtener, divulgar, almacenar o simplemente usar (entendiendo por esto el solo acceso, manejo, aprovechamiento, transferencia o disposición) de datos personales.

� XVIII. Tratamiento: La obtención, uso, divulgación o almacenamiento de

datos personales, por cualquier medio. El uso abarca cualquier acción de

acceso, manejo, aprovechamiento, transferencia o disposición de datos

personales.

Algunas definiciones

�� AvisoAviso dede PrivacidadPrivacidad: Documento físico, electrónico o en

cualquier otro formato generado por el responsable que es

puesto a disposición del titular previo al tratamiento de sus

datos personales. (3-I)

� Los datosdatos financierosfinancieros oo patrimonialespatrimoniales al igual que los

sensibles requerirán el consentimiento expreso de su titular

(8), pero admiten excepciones, es decir no se requerirá,

por ejemplo, cuando tenga el propósito de cumplir

obligaciones derivadas de una relación jurídica entre el

titular y el responsable … (10 y 37)

Obligaciones del ResponsableObligaciones del Responsable

� Obtener el consentimiento del Titular de los datos, salvo

cuando aplique alguna excepción,

� Proporcionar información sobre el tratamiento al Titular

de los Datos a través del Aviso de Privacidad

� Adoptar y mantener medidas de organización y� Adoptar y mantener medidas de organización yseguridad respecto de los datos evitando sumodificación, pérdida y tratamiento o acceso noautorizado

� Establecer procedimientos para que el titular de los

datos pueda ejercer sus derechos.

Transferencia de Datos

� Cuando el responsable pretenda transferir los datos personales aterceros nacionales o extranjeros, deberá comunicar a éstos el avisode privacidad

� El aviso de privacidad, debe contener una cláusula en la que seindique si el titular acepta o no la transferencia de sus datos,

� El tercero receptor, asumirá las mismas obligaciones quecorrespondan al responsable que transfirió los datos.

� Las transferencias nacionales o internacionales de datos podránllevarse a cabo sin consentimiento del titular :

I. Cuando esté prevista en una Ley o Tratado en los que México sea parte;

II. Cuando sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;

III. Cuando sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas;

IV. Cuando sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero;

V. Cuando sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;

VI. Cuando sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y

VII. Cuando sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.

Autoridades

�� RESPONSABLERESPONSABLE� EL INSTITUTO FEDERAL DE ACCESO A LA INFORMACIÓN

Y PROTECCIÓN DE DATOS� Vigilar y verificar el cumplimiento

� Interpretar en el ámbito administrativo

� Emitir los criterios y recomendaciones

� Conocer y resolver los procedimientos de protección de derechos y de verificación

� Elaborar estudios de impacto sobre la privacidad � Elaborar estudios de impacto sobre la privacidad

�� REGULADORAREGULADORA� SECRETARIA DE ECONOMÍA, “con la coadyuvancia del Instituto”:

� Emisión de la regulación que corresponda, � Bases de datos de comercio automatizadas o que formen parte

de un proceso de automatización.

� Lineamientos correspondientes para el contenido y alcances de los avisos de privacidad

�� Desarrollo de los mecanismos y medidas de autorregulación Desarrollo de los mecanismos y medidas de autorregulación

� Registros de consumidores en materia de datos personales y verificar su funcionamiento

1. Obligación de nombrar un Chief Privacy Officer y desarrollar los procesos,sistemas y contar con RH para mantener una ventanilla al cliente paraconsulta o corrección de su información

2. Obligación de contar con un aviso de privacidad (en papel y en el sitio web),verificar su cumplimiento, y para datos sensibles firma (autógrafa o electrónica)del cliente

3. Obligación de incorporar en el Aviso de Privacidad el consentimiento paratransferencias de datos (detallando en lo posible receptores y considerandoque no se puede discriminar en el servicio si el cliente se niega a dar suautorización)

Impactos concretosImpactos concretos

autorización)

4. Requerimos verificar si recabamos de alguna forma datos sensibles, puescontamos con un año para recabar la autorización del cliente para el manejo deesos datos, a partir de que entre en vigor la ley

5. Obligación de adoptar y mantener medidas de organización y seguridadrespecto de los datos evitando su modificación, pérdida y tratamiento oacceso no autorizado

6. Un regulador con la capacidad de hacer visitas de inspección y verificación;con facultad para imponer multas millonarias y delitos de prisión (en su caso)

7. Nueva Autoridad. La Secretaría de Economía como responsable de losRegistros de Consumidores en materia de datos personales (PROFECO yCONDUSEF).

� Entrará en vigor al día siguiente al de su publicacióndía siguiente al de su publicación en el Diario Oficial de la Federación.

� El Ejecutivo Federal expedirá el ReglamentoReglamento de la Ley dentro del año dentro del año siguientesiguiente a su entrada en vigor

� Los responsables designarán a la persona o departamento de datos personales (Chief Privacy OfficerChief Privacy Officer) y expedirán sus avisos de avisos de privacidadprivacidad a más tardar un año a más tardar un año

Entrada en vigorEntrada en vigor

privacidadprivacidad a los titulares de datos personales, a más tardar un año a más tardar un año después después de la entrada en vigor de la Ley.

� Los titulares podrán ejercertitulares podrán ejercer ante los responsables sus derechosante los responsables sus derechos de acceso, rectificación, cancelación y oposición, así como dar inicio, en su caso, al procedimiento de protección de derechosprocedimiento de protección de derechos, dieciocho meses dieciocho meses despuésdespués de la entrada en vigor de la Ley.

� Las disposiciones locales en materia de protección de datos personales en posesión de los particulares se abrogan, y se derogan todas las demás disposiciones que se opongan a la Ley.