Privacidad y Protección de Datos Personales en México

Inicio » Reportes anuales

Reportes anuales

Anuncios

REPORTE ANUAL 2014

A partir del 28 de enero de 2015, Día Internacional de la Protección de Datos Personales, podrás consultar el reporte anual 2014.

REPORTE ANUAL 2012
PROTECCIÓN DE DATOS PERSONALES EN MÉXICO

I. Antecedentes

El 5 de julio de 2010 se publicó en el Diario Oficial de la Federación (“DOF”) la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “Ley de Datos Personales”), la cual entró en vigor al día siguiente de su publicación. En términos de dicha ley, los datos personales son cualquier información concerniente a una persona física identificada o identificable.

A partir de julio de 2011 todo aquél que trata datos personales, incluyendo a las empresas, están obligados a poner a disposición de los titulares de datos personales el aviso de privacidad; así como a designar a una persona o departamento de datos personales encargado de dar seguimiento a las solicitudes de acceso, rectificación, cancelación u oposición de datos personales por parte de los titulares de los datos personales (las “Solicitudes de Derechos Arco”). De acuerdo con el Reglamento de la Ley de Datos Personales publicado en diciembre de 2011, las Solicitudes de Derechos Arco deben estar siendo atendidas desde enero de 2012.

II. Criterios para Medidas Compensatorias
Es obligación de todo aquél que trate datos personales informar a los titulares, a través de avisos de privacidad, qué datos recaba de ellos y con qué fines los utiliza. Por regla general el aviso de privacidad debe ser puesto a disposición del titular, previo a su obtención, de manera personal o directa, en función de los medios o formatos físicos, electrónicos, sonoros o cualquier otra tecnología utilizada para recabar los datos personales.
Considerando que puede presentarse para el responsable una imposibilidad material o la necesidad de realizar esfuerzos desproporcionados para comunicar el aviso de privacidad de la manera antes señalada, la Ley de Datos Personales (artículo 18) determina que el responsable podrá difundir dicho aviso a través de medidas compensatorias.
Las Medidas Compensatorias son mecanismos alternos para dar a conocer el aviso de privacidad a los titulares de los datos personales, a través de su difusión por medios masivos de comunicación y otros mecanismos de amplio alcance, que se instrumentan de manera excepcional cuando se cumplen ciertas condiciones.
El 18 de abril de 2012 se publicaron en el Diario Oficial de la Federación (“DOF”) los Criterios Generales para la instrumentación de medidas compensatorias sin la autorización expresa del IFAI (los “Criterios para Medidas Compensatorias”), mismos que entraron en vigor el 19 de abril de 2012. Estos criterios son de observancia obligatoria en todo el territorio nacional, y aplican únicamente para casos en que los responsables hayan obtenido datos personales antes del vencimiento del plazo establecido por la Ley de Datos Personales para emitir los avisos de privacidad (i.e.; julio de 2011).
Para la aplicación de los Criterios para Medidas Compensatorias el responsable requiere cumplir con las siguientes condiciones:
– Haber cumplido con el principio de calidad (artículo 11 de la Ley de Datos Personales y 36 de su Reglamento), por el cual se le obliga a cancelar los datos personales que hayan dejado de ser necesarios para el cumplimiento de las finalidades que originaron su tratamiento y las obligaciones legales principales.
– Existir una imposibilidad de dar a conocer a cada titular el aviso de privacidad (por ejemplo, cuando la empresa no cuente con datos o datos correctos de contacto del titular); o tratarse de un esfuerzo desproporcionado el poner a disposición de cada titular el aviso de privacidad (por ejemplo, cuenta con los datos de contacto, pero dar el aviso representa un costo excesivo por el número de titulares y la capacidad económica del responsable).
– No ser datos que requieran consentimiento.
– Con una finalidad del tratamiento igual, análoga o compatible con aquella para la cual se recabaron los datos personales de origen (por ejemplo, se recabaron para prestar un servicio entonces no pueden utilizarse para fines publicitarios).
Siguiendo el criterio de máximo alcance, el responsable deberá elegir el medio y el periodo que resulte más eficiente para la difusión del aviso de privacidad buscando abarcar el mayor número posible de titulares. También deberá tener en cuenta el perfil de los titulares y las particularidades y características generales de su negocio.
Tomando en consideración lo anterior y los demás criterios de publicación señalados en los Criterios Generales para las Medidas Compensatorias, los medios a través de los cuales se podrá publicar el aviso de privacidad son: (i) diarios de circulación nacional; (ii) diarios locales y revistas especializadas; (iii) páginas de Internet del responsable; (iv) hiperenlaces o hipervínculos situados en una página de Internet del IFAI; (v) carteles informativos; (vi) cápsulas informativas radiofónicas; y (vii) otros medios alternos de comunicación.
Los Criterios para las Medidas Compensatorios pueden consultarse en: http://dof.gob.mx/nota_detalle.php?codigo=5244229&fecha=18/04/2012

III. Parámetros de autorregulación y lineamientos del aviso de privacidad.

El 15 de agosto 2012, la Secretaría de Economía presentó ante la Comisión Federal de Mejora Regulatoria (“COFEMER”) el anteproyecto de los “Parámetros para el correcto desarrollo de los mecanismos, medidas y esquemas de autorregulación vinculante en materia de protección de datos personales” (los “Parámetros”), así como de los “Lineamientos del aviso de privacidad” (los “Lineamientos”) emitidos en coadyuvancia con el IFAI. Sin embargo, fue hasta el pasado 17 de enero de 2013 que ambos documentos fueron publicados en el DOF.
Los Parámetros para el Correcto Desarrollo de los Esquemas de Autorregulación Vinculante tienen por objeto establecer reglas, criterios y procedimientos para el correcto desarrollo e implementación de los esquemas de autorregulación vinculante en materia de protección de datos personales. Los esquemas son un conjunto de principios, normas y procedimientos que regulan el tratamiento de los datos personales de aquellos responsables que se adhieran al mismo de manera voluntaria. Esto trae consigo una armonización de los tratamientos de datos personales que busca facilitar el ejercicio de los derechos por parte de los titulares de los mismos. Dichos esquemas deberán ser notificados de manera simultánea a las autoridades sectoriales que correspondan y al IFAI. En caso de que reúnan los requisitos para considerarse un esquema de autorregulación serán registrados por el IFAI. Para tal efecto, el instituto emitirá dentro de los siguientes seis meses a la publicación de estos parámetros (a más tardar en julio de 2013) las reglas de operación y funcionamiento de dicho registro, pero será hasta los nueves meses a partir de la publicación de los parámetros (a partir de octubre de 2013) que se podrá solicitar ante el IFAI la inscripción de esquemas de autorregulación vinculante.

Los Lineamientos del aviso de privacidad, por su parte, tienen por objeto establecer el contenido y alcance de los avisos buscando que a través de los mismos se cumpla con el principio de información tutelado por la Ley de Datos Personales. El principio de información, como la propia ley refiere, consiste en la obligación del responsable de informar a los titulares sobre la existencia y características principales del tratamiento al que serán sometidos sus datos personales. Estos lineamientos entrarán en vigor tres meses después de su publicación en el DOF (i.e.; el 17 de abril de 2013).

IV. Primera sanción por incumplimientos a la normativa.

Mucho se había comentado en cuanto a que no existía por parte del IFAI un escarmiento para las empresas que no están cumpliendo con la Ley de Datos Personales. Todo parece indicar que el “periodo de gracia” en el cumplimiento de la Ley de Datos Personales terminó.
Por comunicado número IFAI/166/12 de fecha 3 de diciembre de 2012, mismo que puede consultarse en la página de Internet del IFAI, este organismo dio a conocer que impuso una multa de más de dos millones de pesos en contra de Pharma Plus, S.A. de C.V. operadora de Farmacias San Pablo por incumplir con la Ley de Datos Personales.
El IFAI recibió una denuncia que le dio a conocer que en Farmacia San Pablo se condicionaba la venta de medicamentos psicotrópicos a que en la receta se indicara el nombre y la dirección del paciente. El IFAI resolvió que Pharma Plus, S.A. de C.V., operadora de Farmacias San Pablo, contravino el principio de información por no poner a disposición de las personas el aviso de privacidad mediante el cual se informara a los titulares la existencia y características principales del tratamiento de sus datos personales con la consecuente imposición de una multa de $1,500,033.78 pesos, mientras que el incumplir con la obligación de incluir en el aviso de privacidad el elemento de identidad (que consiste en informar el nombre o denominación del responsable que recaba y trata los datos personales) causó que le fuera impuesta una multa de $500,011.26 pesos.

V. Se reelige al IFAI para presidir la Red Iberoamericana de Protección de Datos (RIPD)

Por comunicado del IFAI del 28 de diciembre de 2012 se dio a conocer que el IFAI fue reelegido para presidir el RIPD por el periodo que comprende del 2012 a 2014. La reelección se decidió en el X Encuentro de la Red Iberoamericana que se celebró en el marco de la 34 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad “Privacidad y tecnología en equilibrio”, organizada por la Unidad Reguladora y de Control de Datos Personales de Uruguay.
La RIPD es un organismo que se creó a partir del Encuentro Iberoamericano de Protección de Datos celebrado en La Antigua, Guatemala en junio de 2003 con la asistencia de representantes de 14 países iberoamericanos. Tiene como misión fomentar, mantener y fortalecer un estrecho y constante intercambio de información, experiencias y conocimientos en materia de protección de datos de carácter personal entre los países iberoamericanos.

VI. Junio de 2013, fecha límite para contar con medidas técnicas, físicas y administrativas

En junio de 2013 vence el plazo previsto por la Ley de Datos Personales para establecer e implementar las medidas de seguridad administrativas, físicas y en su caso, técnicas, necesarias para cumplir con lo establecido por la normatividad en materia de protección de datos. Es recomendable que las empresas se anticipen a la llegada de dicho plazo, y empiecen (si no lo han hecho aún) a tomar cartas en el asunto evitando posibles incumplimientos que puedan terminar en sanciones económicas y reputacionales para sus empresas.

Para mayor información, contacte a la socia responsable del área:
Lic. Sofía Gómez Ruano sgomez@aogr.com.mx

El Reporte Anual sobre Protección de Datos Personales es una publicación anual de Abogados Ortega y Gómez Ruano, S.C. con dirección en Juan Salvador Agraz No. 40 Oficina 603, Santa Fe, México, Distrito Federal, 05190. Copyright. Derechos reservados, México, 2013. Se permite la reproducción íntegra de las notas y artículos publicados dando crédito al origen de la publicación.
El contenido de este reporte debe considerarse como una guía y no como una asesoría o posición definida frente a casos específicos, mismos que deben ser analizados a la luz de sus circunstancias particulares.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: