Social Network

Select Language

Datos Personales en México. Nueva Ley para Sujetos Obligados.

Datos Personales en México. Nueva Ley para Sujetos Obligados.

 

Por Protección de Datos Personales y Privacidad / Publicado el 7 de febrero de 2017

Nueva ley de datos personales en México

 

El pasado 26 de enero de 2017, fue publicado en el Diario Oficial de la Federación (DOF) el Decreto de expedición de la “Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados” (LGPD).

Desde nuestro punto de vista, esta nueva ley se convertirá en el vehículo a través del cual se verán cubiertos tres aspectos esenciales:

  • - La reglamentación de los artículos 6º, Apartado A, y 16, segundo párrafo, de la Constitución Política de los Estados Unidos Mexicanos, en materia de protección de datos personales en posesión de sujetos obligados,
  • - La integración de dichos sujetos obligados al grupo de entidades que, por el hecho de tratar datos personales, deben cumplir con principios y obligaciones para protegerlos, y
  • - La complementación (o, en su caso, derogación) de aquellas disposiciones federales, estatales y municipales, en materia de datos personales, que existían antes de la promulgación de esta ley.

 

Sujetos Obligados

La novedad introducida por la LGPD radica en la integración efectiva al mundo de la protección de datos personales de un colectivo de “responsables” que, antes de ser promulgada, se encontraban regulados en nuestro país de forma dispersa, desactualizada y ambigua, o incluso fuera de un ámbito concreto de aplicación (recordemos, por ejemplo, que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales [INAI] llegó a informar que en tanto no fueran expedidas las leyes secundarias correspondientes, no podría ejercer sus facultades relacionadas con la protección de datos personales en posesión de los partidos políticos):

Proteccion de datos personales en partidos politicos

Esta ambigüedad ha terminado, y a la vista de los tres últimos párrafos del artículo 1 de la LGPD, el ámbito subjetivo de esta nueva ley resulta claro:

Son sujetos obligados por esta Ley, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.”

“Los sindicatos y cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal serán responsables de los datos personales,de conformidad con la normatividad aplicable para la protección de datos personales en posesión de los particulares.”

En todos los demás supuestos diferentes a los mencionados en el párrafo anterior, las personas físicas y morales se sujetarán a lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Los párrafos anteriores serán la base del régimen integral de protección de datos personales que a partir de ahora prevalecerá en México, tomando en consideración la preexistencia de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD).

Este régimen colocará a nuestro país en sintonía con otros que ya regulan el tratamiento de datos personales que llevan a cabo las “entidades u organismos públicos”, con la diferencia en nuestro caso de no hacerlo a partir de un régimen general, sino con dos leyes cuyo punto diferenciador inicial lo constituyen los sujetos que deben cumplir sus disposiciones.

Elementos comunes a la LGPD y la LFPD

No obstante que la LFPD (y su Reglamento) y la LGPD están dirigidas a “sujetos regulados” y a “sujetos obligados”, respectivamente, donde los primeros son personas físicas o morales de carácter privado que deciden sobre el tratamiento de datos personales, y los segundos aquellos identificados en el artículo 1 que hemos citado, lo cierto es que ambas leyes establecen conceptos, principios y obligaciones que tanto unos como otros deberán conocer, respetar y cumplir, de manera esencialmente idéntica.

Como conceptos compartidos, podemos destacar los siguientes:

  • - Aviso de Privacidad,
  • - Bases de datos,
  • - Consentimiento,
  • - Datos personales,
  • - Datos personales sensibles,
  • - Derechos ARCO,
  • - Encargado,
  • - Medidas de Seguridad,
  • - Remisión,
  • - Titular,
  • - Transferencia, y
  • - Tratamiento.

Los principios relativos al tratamiento de datos personales, previstos tanto en la LGPD como en la LFPD, serán los mismos tanto para los “particulares” como para los “sujetos obligados”:

  • - Licitud,
  • - Finalidad,
  • - Lealtad,
  • - Consentimiento,
  • - Calidad,
  • - Proporcionalidad,
  • - Información, y
  • - Responsabilidad

Finalmente, resaltamos que la obligación de establecer y mantener medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales, es común para cualquier tipo de responsable, con independencia de que se trate de sistemas de información automatizados o no automatizados, y del tipo de datos personales sujeto a tratamiento.

En todo caso, existe como diferencia específica la obligación para los sujetos obligados de contar con un “documento de seguridad”, definido como el instrumento que describe y da cuenta de manera general sobre las medidas de seguridad adoptadas por el responsable para garantizar la integridad, disponibilidad y confidencialidad de los datos que posee (ver, artículos 3, fracción XIV y 35).

Es importante señalar que el cumplimiento de los principios y obligaciones enumerados requerirá, por parte de cada uno de los sujetos obligados, la realización de una serie de acciones que les permitan identificar y adecuar todos y cada uno de los canales de entrada, procesamiento, salida y destrucción de datos personales que tratan con motivo de las facultades o atribuciones que la normativa aplicable les confiera; identificar el tipo de datos personales que deben tratar, así como los sistemas que utiliza para hacerlo (informáticos, manuales o mixtos); los medios para poner a disposición el aviso de privacidad correspondiente (y la modalidad aplicable: simplificado o integral) las medidas de seguridad existentes (o que deben existir) en cada uno de dichos sistemas, la identificación de las unidades internas que participan en el tratamiento de los datos; la identificación de transferencias y remisiones de datos personales; la implementación de un sistema de gestión de medidas de seguridad; la puesta en marcha de un proceso de gestión de vulneraciones de seguridad, y otras diversas acciones y procesos orientados a la seguridad de los datos personales, que variarán en función del propio responsable y sus actividades específicas.

La Unidad de Transparencia de los responsables

Son varios los puntos que interconectan la nueva LGPD con la Ley General de Transparencia y Acceso a la Información Pública (LGTAIP) que fue publicada el pasado 4 de mayo de 2015, dentro de los cuales resaltamos en esta ocasión la Unidad de Transparencia a que se refiere el artículo 45 de esta última.

Para efectos de la LGPD (ver, artículo 85), la Unidad de Transparencia de cada uno de los sujetos obligados (responsables de los datos personales que poseen) tendrá competencias y funciones específicas y de importante trascendencia frente a los titulares de datos personales, ya que será la encargada de recibir y dar trámite a las solicitudes para el ejercicio de los derechos ARCO que éstos presenten, ante cada sujeto obligado.

Esta competencia y función deberán ser correctamente implementadas por cada responsable, de modo tal que su funcionamiento sea transversal a la organización, permita cumplir con el plazo de respuesta a solicitudes para el ejercicio de los derechos ARCO que establece la LGPD (hasta 20 días hábiles, conforme al artículo 51) y para que su inclusión en el Aviso de Privacidad correspondiente (artículo 28, fracción VI) constituya la puesta a disposición de un medio efectivo a través del cual los titulares de datos personales podrán ejercer, en primera instancia, sus derechos.

Nuestra experiencia en Proyectos de Compliance sobre normativa de protección de datos, que incluye la participación de nuestro socio Héctor Guzmán como “Privacy Officer” dentro de organismos públicos y privados extranjeros, recomienda ampliamente que cualquier sujeto obligado que desee cumplir con estas y demás disposiciones de la nueva LGPD, emprendan las acciones necesarias para identificar su nivel de cumplimiento y establecer un plan de acción para adoptar las acciones y procesos que permitan al responsable cumplir con esta nueva normativa, incluyendo la adopción documentada de un procedimiento para atender derechos ARCO.

 

Las Evaluaciones de Impacto en la Protección de Datos Personales

Conocidas internacionalmente como PIAs (Privacy Impact Assessments), este tipo de evaluaciones de impacto constituyen una diferencia específica entre las obligaciones que deben observar de los responsables de la LGPD y los responsables de la LFPD (sin que ello signifique que los “particulares” no puedan llevar a cabo PIAs cuando así lo aconseje determinados tipos de tratamiento de datos personales).

Para comprender su alcance y naturaleza, conviene atender en primer lugar a su definición legal, según la cual una Evaluación de Impacto en la Protección de Datos Personales es el “documento mediante el cual los sujetos obligados que pretendan poner en operación o modificar políticas públicas, programas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales, valoran los impactos reales respecto de determinado tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con los principios, deberes y derechos de los titulares, así como los deberes de los responsables y encargados, previstos en la normativa aplicable” (artículo 3, fracción XVI).

Conforme al artículo 74 de la LGPD, cada evaluación de impacto deberá presentarse ante el INAI (u organismos garantes, según corresponda), que deberá emitir recomendaciones no vinculantes especializadas en la materia de protección de datos personales.

Cabe indicar que la LGPD (artículo 75) establece que se considerará estar en presencia de un tratamiento intensivo o relevante de datos personales cuando:

  • - Existan riesgos inherentes a los datos personales a trata;
  • - Se traten datos personales sensibles, y
  • - Se efectúen o pretendan efectuar transferencias de datos personales.

Es previsible que esta amplísima consideración pondrá a prueba a un número importante de responsables, quienes a partir de la entrada en vigor de este ordenamiento deberán efectuar y documentar un PIA, antes de poner en operación o modificar políticas, programas, sistemas, plataformas informáticas y, en general, cualquier otra tecnología que conlleve el tratamiento intensivo de datos personales, tal y como lo identifica la propia LGPD.

Otras disposiciones relevantes

Tal y como ocurre en el régimen jurídico de los responsables “particulares”, el cumplimiento de la LGPD por parte de los sujetos obligados no se verá satisfecho por la simple redacción y publicación de avisos de privacidad. La nueva normativa establece diversas disposiciones que van más allá de esta obligación formal y establece, además, disposiciones que darán contenido sobre esta materia al Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (el Sistema Nacional), que deberá deberá diseñar, ejecutar y evaluar un Programa Nacional de Protección de Datos Personales.

Sobre los principios y deberes relativos al tratamiento de datos personales, debe resaltarse que tal y como sucede con los responsables particulares, los sujetos obligados deberán prestar atención a los mecanismos que deben adoptar para cumplir con el principio de responsabilidad, entre los que se incluyen:

  • - El destino de recursos autorizados para la elaboración e instrumentación de programas y políticas de protección de datos personales, obligatorios y exigibles al interior de la organización del responsable;
  • - La puesta en práctica de programas de capacitación y actualización del personal en la materia;
  • - La revisión periódica de las políticas y programas de seguridad de datos personales;
  • - El establecimiento de un sistema de supervisión y vigilancia interna y/o externa, que incluya auditorías.

 Cabe indicar que tal y como ocurre con LFPD (y su Reglamento), se prevé que para el cumplimiento de los principios, deberes y obligaciones establecidos en la LGPD, los sujetos obligados podrán valerse de estándares o mejores prácticas nacionales o internacionales.

Por lo demás, el espacio disponible recomienda que enumeremos el resto de Títulos o Capítulos relevantes, cuyas disposiciones podrán ser objeto de un análisis posterior en este blog:

  • - Derechos de los Titulares y su Ejercicio
  • o   Derechos ARCO y su ejercicio
  • o   Portabilidad de los Datos
  • - Relación del Responsable y Encargado
  • - Comunicaciones de Datos Personales
  • o   Transferencias y Remisiones
  • - Acciones Preventivas en Materia de Protección de Datos Personales
  • o   Mejores prácticas
  • o   Bases de Datos en posesión de Instancias de Seguridad, Procuración y Administración de Justicia
  • - Responsables en Materia de Protección de Datos Personales en Posesión de los Sujetos Obligados
  • o   Comité de Transparencia
  • o   Unidad de Transparencias
  • - Organismos Garantes
  • - Procedimientos de Impugnación en materia de Protección de Datos Personales en Posesión de los Sujetos Obligados
  • o   Recurso de Revisión
  • o   Recurso de Inconformidad
  • - Facultad de Verificación del INAI de los Organismos Garantes
  • - Medidas de Apremio y Responsabilidades

Entrada en vigor y transitorios

La LGPD entró en vigor al día siguiente de su publicación en el DOF.

El artículo segundo transitorio de su Decreto de expedición, establece el plazo de seis meses para que Congreso de la Unión y las Legislaturas de las Entidades Federativas realicen las adecuaciones legislativas necesarias para ajustar la Ley Federal de Transparencia y Acceso a la Información Pública, las demás leyes federales y leyes vigentes de las Entidades Federativas en materia de protección de datos personales, a las disposiciones de la LGPD.

En caso de que nuestro Congreso de la Unión o las legislaturas estatales no realicen las adecuaciones necesarias para cumplir con lo anterior, se prevé la aplicación directa de la LGPD, y la posible aplicación supletoria de leyes preexistentes, siempre y cuando estas últimas no se opongan a la misma, pues tal y como prevé el cuarto transitorio del decreto de expedición, se consideran derogadas todas aquellas disposiciones en materia de protección de datos personales, de carácter federal, estatal y municipal, que contravengan lo dispuesto por la LGPD.

Consideraciones Finales

Los “sujetos obligados” tiene frente a sí diversos retos y oportunidades, derivados directamente de la entrada en vigor de la LGPD. Se trata de un hito en materia de seguridad de la información, que de manera particular beneficiará a los titulares de los datos personales y a los propios sujetos obligados.

Nuestro país da un paso más hacia la protección de los datos personales que, indudablemente, están en posesión de los sujetos obligados para el cumplimiento de sus funciones y ejercicio de sus competencias, y la entrada en vigor de esta normativa nos colocará a la par de varias jurisdicciones donde, tradicionalmente, este tipo de sujetos obligados cumplen con múltiples obligaciones para la protección de los datos personales de ciudadanos, residentes y visitantes.

Indudablemente, nuestra cultura de protección de datos personales ha evolucionado desde que entró en vigor la LFPD, y las diversas tareas de difusión y aplicación de dicha normativa por parte del INAI forman parte de dicha evolución. Toca ahora el turno para que la aplicación de la LGPD ayude a que dicha cultura trascienda el ámbito de lo “particular”, para que los ahora sujetos obligados participen activamente en la protección de esta información, muchas veces invaluable dentro de la sociedad de la información en que ya nos desenvolvemos.

Si desea conocer más sobre las leyes de protección de datos personales vigentes en México, así como los servicios que BGBG presta a los responsables, encargados y titulares en esta materia, visite nuestra área especializada y nuestro blog.

Contacto: Héctor Guzmán (hguzman@bgbg.mx)

Imágenes cortesía de Pixabay