Por: Rommel García y Manuel Llaca, Socio de la Práctica de Asesoría en Tecnologías de la Información y Socio de la Práctica Legal en KPMG en México
Las empresas y organizaciones privadas mexicanas están cambiando la forma de recabar los datos personales de sus clientes, socios y empleados, tras la entrada en vigor de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
Esta normativa establece nuevos criterios para administrar, almacenar y compartir los datos personales de personas físicas. Su incumplimiento podría culminar en multas millonarias de hasta 40 millones de pesos, o penas de prisión de hasta 10 años para el caso de los responsables o la pena de carácter corporal. Surge como resultado de las reformas constitucionales realizadas a los artículos 73 y 16 de la Constitución Política de los Estados Unidos Mexicanos, con el fin de:
* Elevar a garantía individual el derecho a la protección de los datos personales, así como los derechos de toda persona de controlar sus datos personales en posesión de particulares.
* Diseñar soluciones de tecnología para dar cumplimiento con la LFPDPPP.
* Supervisar las prácticas que se llevan a cabo en el tratamiento de datos personales e impedir las prácticas indebidas.
¿Qué datos protege esta ley?
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares protege los datos personales clasificados en tres categorías:
Datos personales: Nombre y apellido, dirección, teléfono y correo electrónico.
Datos financieros y patrimoniales: sueldo, vehículos, propiedades, cuentas bancarias, declaraciones de impuestos, etc.
La categoría definida como “datos sensibles” se refiere a aquellos datos que afectan a la esfera más íntima de la persona. Es información “cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave”. Engloba el origen racial o procedencia familiar, preferencia sexual, educación, religión, ideologías políticas o filosóficas, afiliación a organizaciones sociales o sindicales, estado de salud e información genética.
Por dónde empezar: Aviso de Privacidad
El objetivo de la ley no es entorpecer el comercio ni poner trabas innecesarias al uso genuino de la información. Las empresas podrán utilizar la información siempre que cumplan con su responsabilidad.
La base para el ejercicio de esta ley es el documento conocido como Aviso de Privacidad, texto que puede publicarse de manera física, a través de sitios web, e incluso de manera verbal. Presume el acuerdo entre el responsable y el titular para recabar, almacenar, procesar y hacer el uso que corresponda a los datos personales obtenidos.
A pesar de que cada empresa determina las medidas de protección, existen requerimientos específicos para realizar un análisis de riesgo, inventario de bases de datos, políticas y procedimientos, definición de roles en la protección de datos, entrenamiento y verificación de las medidas de protección. El reglamento de la ley pide la ejecución de auditorías y revisiones, por lo que se establece un nuevo ciclo de trabajo dentro de cada empresa.
El nuevo rol del IFAI en materia de datos personales
El Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) y, en algunas circunstancias, la Secretaría de Economía (SE) son los organismos encargados de llevar a cabo el cumplimiento de esta ley, recibir quejas, promover auditorías de oficio o a petición de parte, y aplicar sanciones, entre otras facultades.
Los artículos 63 y 64 de la ley establecen los casos que pueden dar lugar a sanciones de multa, que a criterio del IFAI pueden ir desde 6,000 pesos hasta los 40 millones de pesos, si se trata de datos sensibles y en casos de reincidencia.
Más grave aún es la sanción del Artículo 67, que establece penas de prisión de hasta cinco años para los responsables que hagan mal uso de la información, con fines de lucro o dolo; esas penas pueden duplicarse si se tratase del manejo de datos sensibles.
El responsable no sólo debe usar la información para los fines previamente acordados, sino que en todo momento debe asegurar la integridad de la información. También debe aceptar y gestionar las solicitudes de los titulares en cuanto a sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). No son amenazas menores, por lo que las empresas deben considerar con mucha seriedad el cumplimiento a esta nueva normativa.
