23 de agosto 2021 / Protección de Datos Personales y Privacidad / por Mariana Rodríguez López
Hace poco, la Comisión de Protección de Datos de Irlanda publicó unas directrices que abordan una cuestión que ocurre más a menudo de lo que nos gustaría reconocer.
Estas directrices no se contraponen al derecho mexicano y, en particular, a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares o a la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
Por lo anterior, consideramos interesante resumirlas para ustedes:
Un sujeto (sea persona física o moral) que reciba accidentalmente datos personales de otro individuo, deberá reconocer y respetar los derechos del titular de los datos.
Ejemplos de casos de recepción accidental de datos personales por una persona física:
- Por un error de dedo en la captura de correo electrónico, le llega el estado de cuenta del banco a alguien más.
- Alguien olvida su USB con información de contacto en una cafetería.
- Una empresa vende una computadora a otra persona y no borra el contenido del disco duro.
Ejemplos de casos de recepción accidental de datos personales por una persona moral:
- Un visitante a unas oficinas olvida papeles que contienen datos personales.
- Un cliente quiere enviar la foto de un producto defectuoso a atención al cliente; sin embargo, al adjuntar el archivo al correo electrónico, adjunta otro archivo que contiene su estado de cuenta.
La persona física o moral que, por error, reciba datos personales de un tercero deberá actuar diligentemente para reducir cualquier riesgo o vulneración a los derechos del titular tomando, al menos, algunas de las siguientes medidas:
- Identificar, de ser posible, al responsable de los datos personales para notificarle el error en la divulgación de su información.
- Si es un correo electrónico dirigido a alguien más, evitar abrir los documentos adjuntos.
- No intentar identificar y/o contactar al titular de los datos.
- Si contiene algún documento en físico, resguardarlo en algún lugar en el que nadie más pueda tener acceso a él.
Como mencionamos al principio, si bien esta postura de la Comisión está basada en el Reglamento General de Protección de Datos de la Unión Europea, las recomendaciones resultan acordes a la normativa mexicana. Finalmente, todas las medidas que tomes deberán estar encaminadas a no generar un riesgo mayor para el titular y evitar cualquier tratamiento de los datos personales, ya que hacerlo podría convertirte en responsable con las obligaciones legales que ello conlleva.[1]
Para más información sobre este u otros temas
de protección de datos personales, escríbenos a:
hguzman@bgbg.mx y mrodriguez@bgbg.mx
[1] Vid. Data Protection Comission, Guidance for Organisations Accidentally in Receipt of Personal Data, https://www.dataprotection.ie/sites/default/files/uploads/2020-08/Guidance%20for%20Organisations%20Accidentally%20in%20Receipt%20of%20Personal%20Data.pdf, fecha de consulta: 20 de julio de 2021.