Decreto por el
que se expide la Ley General de Protección de Datos Personales en Posesión de
Sujetos Obligados
El 26 de enero del presente se publicó en el Diario Oficial de la
Federación el decreto mediante el cual se expide la Ley General de Protección
de Datos Personales en Posesión de Sujetos Obligados, la cual tiene por objeto
establecer las bases, principios y procedimientos para garantizar el derecho
que tiene toda persona a la protección de sus datos personales en posesión de
cualquier autoridad, entidad, órgano y organismo de los poderes
Legislativo, Ejecutivo y Judicial, órganos autónomos, partidos políticos,
fideicomisos y fondos públicos (en adelante “Sujetos Obligados”).
La Ley señala que los sindicatos y cualquier otra persona física o
moral que reciba y ejerza recursos públicos o realice actos de autoridad en el
ámbito federal, estatal y municipal serán responsables de los datos personales,
de conformidad con la normatividad aplicable para la protección de datos
personales en posesión de particulares.
Entre los objetivos más relevantes de la Ley se encuentran:
a. Establecer las bases mínimas y condiciones
homogéneas que regirán el tratamiento de los datos personales y el
ejercicio de los derechos de acceso, rectificación, cancelación y
oposición, mediante procedimientos sencillos y expeditos.
b. Regular la organización y operación del
Sistema Nacional de Transparencia, Acceso a la Información y Protección de
Datos Personales.
c. Garantizar la observancia de los
principios de protección de datos personales y demás disposiciones que resulten
aplicables en la materia.
d. Proteger los datos personales en
posesión de cualquier Sujeto Obligado, con la finalidad de regular su debido
tratamiento.
e. Garantizar que toda persona pueda
ejercer el derecho a la protección de los datos personales.
La Ley será aplicable a cualquier tratamiento de datos personales
que obren en soportes físicos o electrónicos, con independencia de la forma o
modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y
organización.
La Ley hace mención que será el Estado el encargado de garantizar
la privacidad de los individuos y velará por que terceras personas no incurran
en conductas que la afecten, así mismo, señala que la protección de datos
solamente se limitará por razones de seguridad nacional, disposiciones de orden
público, seguridad y salud pública o para proteger los derechos de terceros.
El tratamiento de datos personales sensibles será únicamente
cuando se cuente con el consentimiento expreso del titular de los datos.
Respecto al Sistema Nacional de Transparencia, Acceso a la
Información y Protección de Datos Personales, la Ley señala que su función será
coordinar y evaluar las acciones relativas a la política pública transversal de
protección de datos personales, así como establecer e implementar criterios y
lineamientos en la materia. Adicionalmente, el Sistema deberá contribuir a
mantener la plena vigencia del derecho a la protección de datos personales a
nivel nacional, e los tres órdenes de gobierno.
El Sistema deberá diseñar, ejecutar y avaluar un Programa Nacional
de Protección de Datos Personales que defina la política pública y establezca,
cono mínimo, objetivos, estrategias, acciones y metas para, entre otras cosas,
promover la educación y una cultura de protección de datos personales entre la
sociedad mexicana.
Dicho programa deberá evaluarse y actualizarse cada ejercicio
anual y definirá el conjunto de actividades y proyectos que deberán ser
ejecutados durante el siguiente ejercicio.
La Ley establece los principios de licitud, finalidad, lealtad,
consentimiento, calidad, proporcionalidad, información y responsabilidad, como
principios rectores para el tratamiento de los datos personales.
Todos los sujetos obligados deberán poner a disposición de los
titulares el Aviso de Privacidad, en forma electrónica, física o cualquier otro
formato, a partir del momento en el cual se recaben los datos personales, dicho
aviso podrá ser simplificado o integral.
El Aviso de Privacidad Simplificado deberá contener:
a. Denominación del responsable.
b. Finalidades del tratamiento de los
datos que se obtienen.
c. Si existirá transferencia, información
sobre los órganos a los cuales se transferirán los datos y las finalidades de
la trasferencia.
d. Mecanismos y medios a través de los
cuales el titular puede negarse al tratamiento de sus datos personales.
e. Sitio donde se podrá consultar el Aviso
de Privacidad Integral.
El Aviso de Privacidad Integral, deberá contener los puntos antes
mencionados más:
a. Domicilio del responsable
b. Los datos personales que serán
sometidos a tratamiento, identificando aquéllos que son sensibles.
c. El fundamento legal que faculta al
responsable para llevar a cabo el tratamiento.
d. Las finalidades del tratamiento de los
datos personales, distinguiendo aquéllas que requieren el consentimiento del
titular.
e. Los mecanismos, medios y procedimientos
disponibles para ejercer los derechos ARCO.
f. El domicilio de la Unidad de
Transparencia.
g. Los medios a través de los cuales el
responsable comunicará a los titulares los cambios al aviso de privacidad.
La Ley establece que los sujetos obligados deberán establecer y
mantener las medidas de seguridad de carácter administrativo, físico y técnico
para la protección de los datos personales, que permitan protegerlos contra
daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no
autorizado, así como garantizar su confidencialidad, integridad y
disponibilidad.
En caso de que ocurra una vulneración a la seguridad, el responsable
deberá analizar las causas por las cuales se presentó e implementar en su plan
de trabajo las acciones preventivas y correctivas para adecuar las medidas de
seguridad y el tratamiento de los datos personales si fuese el caso a efecto de
evitar que la vulneración se repita. Adicionalmente, el responsable deberá
llevar una bitácora de las vulneraciones a la seguridad en la que se describa
ésta, la fecha en la que ocurrió, el motivo de ésta y las acciones correctivas
implementadas de forma inmediata y definitiva.
En caso de vulneración a la seguridad, el responsable deberá
informar sin dilación alguna al titular, y según corresponda, al Instituto y a
los Organismos garantes de las Entidades Federativas, las vulneraciones que
afecten de forma significativa los derechos patrimoniales o morales, en cuanto
se confirme que ocurrió la vulneración y que el responsable haya empezado a
tomar las acciones encaminadas a detonar un proceso de revisión exhaustiva de
la magnitud de la afectación, a fin de que los titulares afectados puedan tomar
las medidas correspondientes para la defensa de sus derechos.
La Ley también establece los Derechos que tiene el titular para el
Acceso, Rectificación, Cancelación y Oposición al tratamiento de los datos
personales que le conciernen, así mismo se establece el proceso que el titular
deberá seguir para ejercer dichos derechos.
Respecto a la relación del responsable y el encargado, la Ley
señala que deberá estar formalizada mediante contrato o cualquier otro
instrumento jurídico que decida el responsable, de conformidad con la normativa
que le resulte aplicable, y que permita acreditar su existencia, alcance y
contenido.
En el contrato o instrumento jurídico que decida el responsable se
deberán prever, al menos, las siguientes cláusulas generales relacionadas con
los servicios que preste el encargado:
a. Realizar el tratamiento de los datos personales conforme a las
instrucciones del responsable.
b. Abstenerse de tratar los datos personales para finalidades
distintas a las instruidas por el responsable.
c. Implementar las medidas de seguridad conforme a los
instrumentos jurídicos aplicables.
d. Informar al responsable cuando ocurra una vulneración a los
datos personales que trata por sus instrucciones.
e. Guardar confidencialidad respecto de los datos personales
tratados.
f. Suprimir o devolver los datos personales objeto de
tratamiento una vez cumplida la relación jurídica con el responsable, siempre y
cuando no exista una previsión legal que exija la conservación de los datos
personales.
g. Abstenerse de transferir los datos personales salvo en el caso
de que el responsable así lo determine, o la comunicación derive de una
subcontratación, o por mandato expreso de la autoridad competente.
Los acuerdos entre el responsable y el encargado relacionados con
el tratamiento de datos personales no deberán contravenir la presente Ley y
demás disposiciones aplicables, así como lo establecido en el aviso de
privacidad correspondiente.
Los sujetos obligados podrán desarrollar o adoptar esquemas de
mejores prácticas que tengan por objeto elevar el nivel de protección de los
datos personales, armonizar el tratamiento de los datos personales en un sector
específico, facilitar el ejercicio de los derechos ARCO, facilitar la
transparencia.
Dichos esquemas de mejores prácticas, con el objeto de obtener
validación o reconocimiento, podrán ser inscritos en los registros que el
Instituto y los Organismos garantes establezcan.
Respecto al tratamiento intensivo o relevante, la Ley señala que
existirá cuando:
I. Existan riesgos
inherentes a los datos personales a tratar.
II. Se traten datos personales
sensibles.
III. Se efectúen o pretendan efectuar
transferencias de datos personales.
En este sentido, el Sistema podrá emitir criterios adicionales con
sustento en parámetros objetivos que determinen que se está en
presencia de un tratamiento intensivo o relevante de datos personales,
de conformidad con lo dispuesto en el artículo anterior, en función de:
I. El número de titulares;
II. El público objetivo;
III. El desarrollo de la tecnología utilizada, y
IV. La relevancia del tratamiento de datos personales en atención
al impacto social o, económico del mismo, o bien, del interés público que
se persigue.
Cada responsable deberá contar con un Comité de Transparencia, el
cual será la máxima autoridad en materia de protección de datos personales. Así
mismo, cada responsable deberá contar con una Unidad de Transparencia la cual,
entre otras cosas, auxiliará y orientará a los titulares para el correcto
ejercicio de sus Derechos ARCO.
La Ley integra la obligación de los responsables de capacitar y
actualizar de forma permanente a todos los servidores públicos en materia de
protección de datos personales, mediante la impartición de cursos, seminarios,
talleres y cualquier otra forma de enseñanza y entrenamiento que se considere
pertinente.
El titular o su representante contarán con el recurso de
revisión y el recurso de inconformidad como procedimiento de impugnación
en materia de protección de datos personales en posesión de sujetos obligados.
El recurso de revisión procederá en los siguientes supuestos:
I. Se clasifiquen como confidenciales los datos personales sin que
se cumplan las características señaladas en las leyes que resulten aplicables
II. Se declare la inexistencia de los datos personales
III. Se declare la incompetencia por el responsable
IV. Se entreguen datos personales incompletos
V. Se entreguen datos personales que no correspondan con lo
solicitado
VI. Se niegue el acceso, rectificación, cancelación u oposición de
datos personales
VII. No se dé respuesta a una solicitud para el ejercicio de los
derechos ARCO dentro de los plazos establecidos en la presente Ley y demás
disposiciones que resulten aplicables en la materia
VIII. Se entregue o ponga a disposición datos personales en una
modalidad o formato distinto al solicitado, o en un formato incomprensible
IX. El titular se inconforme con los costos de reproducción, envío
o tiempos de entrega de los datos personales
X. Se obstaculice el ejercicio de los derechos ARCO, a pesar de
que fue notificada la procedencia de los mismos
XI. No se dé trámite a una solicitud para el ejercicio de los
derechos ARCO
XII. En los demás casos que dispongan las leyes.
El recurso de inconformidad procederá contra las resoluciones
emitidas por los Organismos garantes de las Entidades Federativas que:
I. Clasifiquen los datos personales sin que se cumplan las
características señaladas en las leyes que resulten aplicables
II. Determinen la inexistencia de datos personales
III. Declaren la negativa de datos personales, es decir:
a. Se entreguen datos personales incompletos
b. Se entreguen datos personales que no correspondan con los
solicitados
c. Se niegue el acceso, rectificación, cancelación u oposición de
datos personales
d. Se entregue o ponga a disposición datos personales en un
formato incomprensible
e. El titular se inconforme con los costos de reproducción, envío,
o tiempos de entrega de los datos personales
f. Se oriente a un trámite específico que contravenga lo
dispuesto por el artículo 54 de la Ley.
El Instituto y los Organismos garantes, tendrán la atribución de
vigilar y verificar el cumplimiento de las disposiciones contenidas en la Ley,
en el ejercicio de las funciones de vigilancia y verificación, el personal del
Instituto o, en su caso, de los Organismos garantes estarán obligados a guardar
confidencialidad sobre la información a la que tengan acceso en virtud de la
verificación correspondiente.
El responsable no podrá negar el acceso a la documentación
solicitada con motivo de una verificación, o a sus bases de datos personales,
ni podrá invocar la reserva o la confidencialidad de la información.
La verificación podrá iniciarse:
I. De oficio
II. Por denuncia del titular
El derecho a presentar una denuncia precluye en el término de un
año contado a partir del día siguiente en que se realicen los hechos u
omisiones materia de la misma. Cuando los hechos u omisiones sean de tracto
sucesivo, el término empezará a contar a partir del día hábil siguiente al
último hecho realizado.
El Instituto y los Organismos garantes podrán imponer las
siguientes medidas de apremio para asegurar el cumplimiento de sus
determinaciones:
I. La amonestación pública
II. La multa, equivalente a la cantidad de ciento cincuenta hasta
mil quinientas veces el valor diario de la Unidad de Medida y Actualización.
El incumplimiento de los sujetos obligados será difundido en los
portales de obligaciones de transparencia del Instituto y los Organismos
garantes y considerados en las evaluaciones que realicen éstos.
En caso de que el incumplimiento de las determinaciones del
Instituto y los Organismos garantes implique la presunta comisión de un delito
o una de las conductas señaladas en el artículo 163 de la presente Ley, deberán
denunciar los hechos ante la autoridad competente.
Las medidas de apremio de carácter económico no podrán ser
cubiertas con recursos públicos.
No hay comentarios:
Publicar un comentario