Reformas a la Ley del IFAI ASPECTOS INFORMATIVOS SOBRE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES _______________ Reformas a la Ley del IFAI Por: Lic. Luis Vera Vallejo © Abril 2010 www.veraabogados.com.mx

Objeto y Derechos que otorga la Ley Proteger los datos personales en posesión de los particulares. Regular el “tratamiento” legítimo, controlado e informado de los Datos Personales. Garantizar la privacidad de los datos del Titular en poder de terceros. Derechos: La Ley otorga los siguientes derechos al Titular de los datos (“Habeas Data”): 1. Obtener el consentimiento del Titular previo al tratamiento de sus datos, incluyendo los “sensibles”, mediante el documento denominado “Aviso de Privacidad”. ......# 2

Cont. 2. Acceder a sus Datos Personales que obren en poder del Responsable. 3. Solicitar la corrección de la información. 4. Requerir la cancelación de su información. 5. Derecho de oposición. 6. Controlar el ”tratamiento y la transferencia comercial” de sus Datos Personales. 7. Decidir libremente a quién, cómo y de qué manera se recaban y utilizan sus Datos Personales. *Tratamiento: Se define como la obtención, uso, divulgación o almacenamiento de Datos Personales, así como el acceso, manejo, aprovechamiento, transferencia o disposición de los datos del Titular. 3

Un nuevo mundo para las empresas No existe en México ninguna empresa que no cuente o maneje “Bases de Datos”. Bien sea para efectos internos, como por ejemplo: recursos humanos, registro de clientes y proveedores, estrategias de marketing, etc., etc. Las empresas deberán cuidar el cumplir estrictamente las disposiciones sobre la cesión, comercialización y tratamiento de sus Bases de Datos, sobre todo cuando se persigan fines de lucro. Recuérdese los derechos del titular de los datos (Habeas Data) en cuanto al acceso, almacenamiento, tratamiento, comer- cialización, cesión y transferencia de sus datos particulares. 4

De la protección especial a los “Datos Sensibles” Se definen como aquellos datos personales que afectan a la esfera más íntima de su titular o cuya utilización indebida pueda dar origen a discriminación, o conlleve un riesgo grave para éste. En particular se consideran “sensibles” aquellos datos que puedan revelar aspectos como:  origen racial o étnico.  estado de salud presente o futuro.  información genética.  creencias religiosas.  creencias filosóficas y morales.  afiliación sindical.  opiniones políticas.  preferencia sexual. *Se requiere del consentimiento expreso para su tratamiento. 5

Cont. Es imperativo el adecuado manejo de los “datos sensibles” por parte de las áreas responsables de:  recursos humanos.  hospitales y clínicas.  consultorios médicos.  laboratorios clínico  Aseguradoras; y  otras organizaciones que mercadean datos generales y que cubren algunos de los datos anteriores (sensibles). El tema es muy delicado porque el tratamiento incorrecto de los “datos sensibles” y la falta de cumplimiento de las obligaciones correspondientes establecidas en la Ley, pueden ser sancionados con pena hasta de 10 años de prisión. 6

Los Protagonistas El Titular: La persona física a quien corresponden sus Datos Personales. El Responsable: Persona física o moral de carácter privado (sociedades mercantiles) que decide sobre el tratamiento de Datos Personales. Incluye a quienes hacen de esta actividad su ocupación ordinaria. El Encargado: La persona física o jurídica que sola o conjuntamente con otra trate datos personales por cuenta del Responsable. En los grandes corporativos multinacionales normalmente existe un alto ejecutivo encargado de supervisar el cumplimiento de esta Legislación. ......# 7

Cont. El Instituto: La autoridad reguladora lo será el IFAI, ante quien se ventilarán los procesos para el ejercicio por parte de los Titulares de los Derechos de “Habeas Data”. Igualmente esta autoridad puede practicar visitas de verificación del cumplimiento de la Ley, a petición de parte o de oficio, atender las quejas de los particulares, e imponer multas severas. La PGR: Quien se encargará de investigar las posibles denuncias por los delitos que establece la Ley de la materia. 8

Del Aviso de Privacidad y del Consentimiento Es el documento físico, electrónico o de cualquier otro formato, el cual deberá ser puesto previamente a disposición del Titular para obtener su consentimiento para el tratamiento de sus Bases de Datos. Consentimiento Puede ser: Expreso ó Tácito. Se establece que todo tratamiento de Datos Personales estará sujeto al Consentimiento previo de su Titular, salvo los casos de excepción previstos en la Ley. 9

Del flujo de Datos Transfronterizos Se podrán llevar a cabo las transferencias nacionales e internaciona- les de los datos del Titular, sin que se requiera su consenti- miento, en los casos cuando la transferencia sea efectuada a socie- dades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del Responsable que opere bajo los mismos procesos Y políticas internas. 10

Del procedimiento de Protección de los Datos El Titular que desee ejercitar cualquiera de los derechos que la Ley le confiere (Habeas Data), podrá iniciar el ejercicio correspondiente directamente con el Responsable de la empresa que tenga o almacene supuestamente sus datos. Si la empresa ignora o niega al Titular su petición, el Titular podrá acudir al IFAI. Ante el IFAI el procedimiento se inicia con una demanda del Titular, la cual se tramitará en términos de Ley y será resuelta según se acrediten o no, los extremos solicitados. 11

Multas y Delitos Multas Delitos Las multas por infracción a los derechos del Titular y cualesquiera otras violaciones a la Ley, se sancionan con multas sumamente cuantiosas, que pueden alcanzar hasta la suma de trescientos veinte mil días de salario mínimo (18´387,200 aprox.). Delitos Se tipifican como delitos los siguientes: Artículo 67. Se impondrán de tres meses a tres años de prisión al que estando autorizado para tratar datos personales, con ´´animo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia. Artículo 68. Se sancionará con prisión de seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos. Artículo 69. Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán. 12

Recomendaciones Esta nueva legislación implicará un nuevo reto y cambios para las empresas en la forma de conducir sus negocios, respecto del tratamiento de los Datos Personales de sus empleados, de sus clientes, prospectos, campañas publicitarias, estrategias de marketing, análisis de mercados, etc., etc. Se deberá contar con asesoría jurídica especializada en la legislación de Datos Personales, para asegurar que la empresa no incurra en las cuantiosas multas o inclusive, en los delitos que sanciona la Ley. Habrá que actualizar prácticas y políticas en la utilización y comercialización de las Bases de Datos. Se tendrá que revisar y/o redactar el aviso de privacidad e introducir “disclaimers” adecuados para el tratamiento, comercialización, cesión y transmisión de las Bases de Datos, incluyendo campañas publicitarias y de marketing. 13

Lic. Luis Vera Vallejo E-mail: lvera@veraabogados.com.mx Lic. Luis Vera Prendes E-mail: lvp@veraabogados.com.mx www.veraabogados.com.mx