Embed Size (px)
Citation preview
Ley Federal de Protección de Datos Personalesen posesión de particulares
Mayo 2010
En México la discusión de las primeras iniciativas de LFPDPdatan del año 2001, las cuales se dieron de maneraconcomitante con la de la LFTAIPG (incluyendo esta últimadisposiciones en materia de datos personales en poder deinstituciones públicas).
Entre 2001 y 2008 se han presentado en el Congreso de laUnión, diversas iniciativas de Ley, que buscan regular, a nivelfederal, la recolección, el tratamiento y la transmisión deinformación personal entre particulares.
En el año 2007, el presidente Felipe Calderón Hinojosa, ensu Plan Nacional de Desarrollo 2007-2012, estableció lanecesidad de desarrollar una Ley Federal de protección dedatos personales, que regule la información en poder de losparticulares
Antecedentes
Reforma Constitucional
Reforma al Art. 16 Constitucional publicada en el DOF el 1 dejunio del 2009 :
PRIVACIDAD COMO UNA GARANTÍA CONSTITUCIONAL
Reforma al Art. 73 Constitucional en Materia de DatosPersonales publicada en el DOF el 30 de abril del 2009
FACULTAD FEDERAL PARA LEGISLAR EN MATERIA DE DATOSPERSONALES EN POSESIÓN DE PARTICULARES.Plazo de 12 meses para expedir la ley respectiva
Propuestas de LFDP
Cámara de Diputados:Modelo General
Dip. Luis Miguel Gerónimo Barbosa Huerta (PRD). Presentada enSeptiembre 06, 2001.Dip. Jesús Emilio Martínez Álvarez (Convergencia). Presentada enDiciembre 1, 2005.Dip. Norma Leticia Orozco Torres (PVEM). Presentada el 02 de febrero del2010
Modelo SectorialDip. Sheila Aragón (PAN). Presentada el 22 de Marzo de 2006.Dip. David Hernández Pérez (PRI). Presentada en Febrero 23, 2006
Modelo HíbridoDip. Luis Gustavo Parra Noriega del PAN. Presentada el 7 de octubre del2008Dip. Adolfo Mota Hernandez del PRI. Presentada el 11 de diciembre del2008
Y una iniciativa de Ley en la Cámara de Senadores presentada por el Senador José Guillermo Anaya Llamas del PAN presentada el 1° de diciembre del 2009 (Modelo General para Datos Públicos y Privados)
Dictamen aprobado en ambas Cámaras:
Contiene principios en materia de protección dedatos: licitud, consentimiento, información, calidad, finalidad,lealtad, proporcionalidad y responsabilidad;
Desarrolla los derechos de los titulares de losdatos de acceso, rectificación, cancelación yoposición (conocidos como derechos ARCO);
Establece mecanismos para ejercer los derechosARCO frente a los Responsables del tratamiento,
El procedimiento de tutela de dichos derechosen caso de la negativa de los Responsables, anteel IFAI, quien puede imponer sanciones.
Algunas definiciones
Aviso de Privacidad: Documento físico, electrónico o en cualquier otroformato generado por el responsable que es puesto a disposición deltitular previo al tratamiento de sus datos personales. (3-I)
Datos personales sensibles: Aquellos datos personales que afecten ala esfera más íntima de su titular, o cuya utilización indebida pueda darorigen a discriminación o conlleve un riesgo grave para éste. Enparticular, se consideran sensibles aquellos que puedan revelaraspectos como origen racial o étnico, estado de salud presente y futuro,información genética, creencias religiosas, filosóficas y morales,afiliación sindical, opiniones políticas, preferencia sexual; (3-VI)
Los datos financieros o patrimoniales requerirán el consentimientoexpreso de su titular (8), pero admiten excepciones, es decir no serequerirá, por ejemplo, cuando tenga el propósito de cumplirobligaciones derivadas de una relación jurídica entre el titular y elresponsable … (10 y 37)
PRINCIPIOS
Licitud:En la obtención (no engaño ni fraude) y el tratamiento (acuerdo entre las partes)
Consentimiento:Expreso para Datos Sensibles (que afecten a la esfera más íntima de su titular, puedandar origen a discriminación o conlleve un riesgo grave para éste (Patrimoniales yFinancieros).Tácito (Aviso de Privacidad) para los demás
En el aviso de privacidad se deberán establecer los mecanismos y procedimientospara la revocación del Consentimiento.
Requerimiento de justificación para la creación de Bases de Datos SensiblesNo se requiere de Consentimiento cuando:
Esté previsto en una Ley; Los datos figuren en fuentes de acceso público;Los datos se encuentren disociados;Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable;Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;Sean indispensables para asistencia sanitaria o tratamientos médicos, mientras el titular no esté en condiciones de otorgar el consentimientoSe dicte resolución de autoridad competente.
PRINCIPIOS
Información:Obligación de informar que datos se recaban, como (vía directa , a través deterceros o derivado del servicio) y con que fines (Aviso de Privacidad)
El Aviso de Privacidad debe contener:Datos del ResponsableLas finalidades del tratamiento de datos (y si se recaban o no datos sensibles);Las opciones y medios para limitar el uso o divulgación de los datos;Los medios para ejercer los derechos ARCOEn su caso, las transferencias de datos que se efectúen, y El procedimiento y medio por el cual el responsable comunicará a los titulares los cambios al aviso de privacidad,
Calidad: Los datos deben ser pertinentes, correctos y actualizados para los fines para loscuales fueron recabados.
PRINCIPIOS
Finalidad:Limitarse al cumplimiento de finalidad establecida en Aviso de Privacidad
Lealtad:Si dejan de ser necesarios para los fines recabados deben ser cancelados
Eliminación de información relativa a incumplimiento de obligaciones (72 meses -Derecho al Olvido)
Proporcionalidad:El tratamiento será el estrictamente necesario, adecuado y relevante en relación conlas finalidades previstas en el aviso de privacidad
El periodo de tratamiento deberá ser el mínimo indispensable
Responsabilidad:El responsable garantizar que el aviso de privacidad sea respetado en todo momentopor él o por terceros con los que guarde alguna relación jurídica.
Mantener medidas de seguridad administrativas, técnicas y físicas (no menores a lasque utilizan para datos propios)
Cualquier vulneración a la seguridad deberá ser informada inmediatamente
DERECHOS
Acceso:Titular o su Representante Legal puede acceder a sus datos y conocer el Aviso de Privacidad
Rectificación:Cuando los datos sean inexactos o incompletos
Cancelación:El titular podrá solicitarla en cualquier momento al responsable (quien en su caso deberá notificarla a los terceros, en caso de transferencia)No procede la cancelación:
Datos necesarios para desarrollo y cumplimiento de un contrato;Deban ser tratados por disposición legal; Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas; Sean necesarios para proteger los intereses jurídicamente tutelados del titular; Sean necesarios para realizar una acción en función del interés público, y Sean necesarios para cumplir con una obligación legalmente adquirida por el titular, ySean objeto de tratamiento para la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional sujeto a un deber de secreto.
Periodo de bloqueo (prescripción) antes de suprimir el datoAviso al titular cuando quede cancelado el dato
Oposición:Solo por causa legítima
PROCEDIMIENTO FRENTE AL RESPONSABLE
Designación del Chief Privacy Officer (responsable de atendersolicitudes y fomentar la protección de los datos)El Titular o su Representante Legal pueden solicitar ejercicio Derechos ARCO.La solicitud deberá contener
Datos del TitularDocumentos que acrediten su identidad o representaciónDescripción de los datos respecto a los que se buscar ejercer el derecho omodificaciones a realizar (con pruebas)Elemento o documento que facilite la localización
20 días naturales máximo para responder si resulta procedente y 15 díasmáximo para hacerla efectiva (plazos pueden ser ampliados por unasola vez con justificación)La solicitud no procede si:
• Solicitante no es titular de los datos o representante no está acreditado• El responsable no tiene los datos en su base• Se lesionan derechos de tercero• Exista impedimento legal o resolución de autoridad que restrinja el acceso,
rectificación, cancelación u oposición• Si la rectificación, cancelación u oposición fue previamente realizada
Entrega de los datos será gratuita (titular solo cubre gastos de envío oreproducción). En caso de que el titular lo solicite mas de una vez en periodosde un año (costo no mayor a 3 días de SMGDVDF)
Substanciación de los procedimientos, conforme Ley Federal deProcedimiento Administrativo. Hay suplencia de la queja deficienteLa solicitud de protección de datos deberá presentarse dentro de losquince días siguientes a la fecha en que se comunique la respuesta altitular por parte del responsable o no la entregueSe dará traslado de la misma al responsable, para que, en el plazo dequince días, emita respuesta,Las partes ofrecen pruebasConcluido el desahogo de la pruebas, cinco días para alegatos.Instituto resuelve (plazo máximo 50 días que podrá ampliarse por unperiodo igual en una ocasión) podrá:
Sobreseer o desechar la solicitud de protección de datos por improcedente, Confirmar, revocar o modificar la respuesta del responsable.
Contra la resolución procede Juicio de Nulidad ante TFJFAEn cualquier momento IFAI puede buscar Conciliación
PROCEDIMIENTOS DE TUTELA ANTE IFAI
Transferencia de Datos
Cuando el responsable pretenda transferir los datos personales aterceros nacionales o extranjeros, deberá comunicar a éstos el avisode privacidadEl aviso de privacidad, debe contener una cláusula en la que seindique si el titular acepta o no la transferencia de sus datos,El tercero receptor, asumirá las mismas obligaciones quecorrespondan al responsable que transfirió los datos.
Las transferencias nacionales o internacionales de datos podránllevarse a cabo sin consentimiento del titular :
I. Cuando esté prevista en una Ley o Tratado en los que México sea parte; II. Cuando sea necesaria para la prevención o el diagnóstico médico, la prestación de
asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios; III. Cuando sea efectuada a sociedades controladoras, subsidiarias o
afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas;
IV. Cuando sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero;
V. Cuando sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;
VI. Cuando sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y
VII. Cuando sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.
Autoridades
RESPONSABLEEL INSTITUTO FEDERAL DE ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE DATOS
Vigilar y verificar el cumplimiento Interpretar en el ámbito administrativo Emitir los criterios y recomendaciones Conocer y resolver los procedimientos de protección de derechos y de verificación Elaborar estudios de impacto sobre la privacidad
REGULADORASECRETARIA DE ECONOMÍA, “con la coadyuvancia del Instituto”:
Emisión de la regulación que corresponda, Bases de datos de comercio automatizadas o que formen parte de un proceso de automatización. Lineamientos correspondientes para el contenido y alcances de los avisos de privacidadDesarrollo de los mecanismos y medidas de autorregulación Registros de consumidores en materia de datos personales y verificar su funcionamiento
Procedimiento de verificación
La verificación podrá iniciarse:de oficio o a petición de parte.
La verificación de oficio procederá: En caso de incumplimiento a resoluciones dictadas con motivo de procedimientos de protección de derechos o Se presuma fundada y motivadamente la existencia de violaciones a la Ley.
Acceso a la información y documentación que considere necesarias, de acuerdo a la resolución que lo motive. Los servidores públicos federales estarán obligados a guardar confidencialidad sobre la información que conozcan derivada de la verificación correspondiente.
Infracciones
I. No cumplir con la solicitud del titular sin razón fundada, en los términos previstos en esta Ley;
II. Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes III. Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del
responsable; IV. Dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley; V. Omitir en el aviso de privacidad, alguno o todos los datos requeridos VI. Mantener datos personales inexactos cuando resulte imputable al responsable, o no
efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares;
VII. No cumplir con el apercibimiento del Instituto; VIII. Incumplir el deber de confidencialidad; IX. Cambiar sustancialmente la finalidad del tratamiento de los datos,; X. Transferir datos a terceros sin comunicar a éstos el aviso de privacidad XI. Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable; XII. Llevar a cabo la transferencia o cesión de los datos personales, fuera de los casos en
que esté permitida por esta Ley; XIII. Recabar o transferir datos personales sin el consentimiento expreso del titular, en los
casos en que éste sea exigible;XIV. Obstruir los actos de verificación de la autoridad; XV. Recabar datos en forma engañosa y fraudulenta; XVI. Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los
titulares; XVII. Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos de acceso, rectificación,
cancelación y oposición establecidos en el artículo 16 de la Constitución; XVIII. Crear bases de datos sensibles sin justificación XIX. Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de lo previsto en la Ley.
Sanciones
ApercibimientoMulta de 100 a 320,000 DSMGDVDFMulta adicional de 100 a 320,000 DSMGDVDF (si persisteninfracciones de manera reiterada)Las sanciones podrán incrementarse hasta por dos veces en el casode datos sensibles$52.00 X 320,000 + 52 X 320,000 x 2
$ 66,560,000.00
De tres meses a tres años de prisión al que estando autorizadopara tratar datos personales, con ánimo de lucro, provoque unavulneración de seguridad a las bases de datos bajo custodia.Prisión de seis meses a cinco años al que, con el fin de alcanzarun lucro indebido, trate datos personales mediante el engaño,aprovechándose del error en que se encuentre el titular o la personaautorizada para transmitirlos.Tratándose de datos personales sensibles, las penas a que serefiere este Capítulo se duplicarán
1. Obligación de nombrar un Chief Privacy Officer y desarrollar los procesos, sistemas y contar con RH para mantener una ventanilla al cliente para consulta o corrección de su información
2. Obligación de contar con un aviso de privacidad (en papel y en el sitio web), verificar su cumplimiento, y para datos sensibles firma (autógrafa o electrónica) del cliente
3. Obligación de incorporar en el Aviso de Privacidad el consentimiento para transferencias de datos (detallando en lo posible receptores y considerando que no se puede discriminar en el servicio si el cliente se niega a dar su autorización)
4. Requerimos verificar si recabamos de alguna forma datos sensibles, pues contamos con un año para recabar la autorización del cliente para el manejo de esos datos, a partir de que entre en vigor la ley (para el manejo de los datos financieros verificar que ya contemos con esa autorización ya que es exigible por LIC, Ley de Transparencia y CUB y su equivalente en materia de seguros)
5. Un regulador con la capacidad de hacer visitas de inspección y verificación; con facultad para imponer multas millonarias por hasta 640 mil días de salario y delitos de prisión de hasta por 10 años (en su caso)
6. Doble Reporte; obligación de cumplir las disposiciones de la Ley de Sociedades de Información Crediticia y la Ley Federal de Protección de Datos personales (Verificación de Buró de Crédito y del IFAI)
7. Nueva Autoridad. La Secretaría de Economía como responsable de los Registros de Consumidores en materia de datos personales (PROFECO y CONDUSEF).
Impactos concretos
