lunes, 1 de julio de 2013

BOLETIN 26/2013 LEY DE PROTECCION DE DATOS PERSONALES


Julio 2013
LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES
CRONOLOGÍA
 5 de julio del 2010- Se publica la Ley en el DOF
6 de julio del 2010 – Entrada en vigor. (Artículo 1º transitorio Ley)
6 de julio de 2011 -  Obligatoriedad de aviso de privacidad y designación de persona o departamento de datos personales. (3º transitoria Ley)
21 diciembre de 2011 -  Se publica reglamento en el DOF (2º transitorio Ley)
22 diciembre 2011 – Entrada en vigor del Reglamento. (1º transitorio Reglamento)
06 enero 2012 – Ejercicio de derechos. (4º transitorio Ley)
22 junio 2013 – Medidas de seguridad. (Art 4º Transitorio Reglamento
A QUIEN APLICA
Esta  Ley nos aplica a todos  en ambos sentidos, es decir, cada uno de nosotros somos por un lado  sujetos protegidos y por el otro somos sujetos obligados. 
En cuanto a los sujetos obligados, únicamente hay dos excepciones que son:
·         LAS SOCIEDADES DE  INFORMACIÓN CREDITICIA, Ya que estas están reguladas por su propia Ley, y
·         CUANDO LA RECOLECCIÓN Y ALMACENAMIENTO DE DATOS ES ÚNICA Y EXCLUSIVAMENTE PARA USO PERSONAL, sin fines de divulgación ni utilización comercial.
QUE SON LOS DATOS PERSONALES
Son los datos relacionados con el particular  que le permiten identificarse en forma individual. Es importante hacer notar que esta definición solo menciona personas físicas por lo que  en esta definición quedan excluidas  de acuerdo al reglamento (Art 5) las siguientes:
·         Las personas morales.
·         Las personas físicas en calidad de comerciantes y los profesionistas.
·         Las personas físicas que presten sus servicios para alguna persona moral o persona física con actividad empresarial y/o prestación de servicios y siempre que esta información sea tratada para fines de representación del empleador o contratista (los datos que quedan excluidos son únicamente; su nombre y apellidos, las funciones o puestos desempeñados así como algunos de los siguientes datos laborales: domicilio físico, dirección electrónica, teléfono y número de fax.)
Los datos personales que se ubican en la definición  son muchos, las diferentes categorías son:
·         Datos de identificación
·         Datos laborales
·         Datos patrimoniales
·         Datos académicos
·         Datos ideológicos
·         Datos de salud
·         Características personales
DATOS PERSONALES SENSIBLES
 Dentro de los datos personales, existe información tan relevante y delicada que la misma autoridad la reconoce con ese carácter y le otorga un nivel de protección mayor, y son aquellos datos personales que afecten a la esfera más íntima de su titular o cuya utilización indebida pueda dar origen a discriminación o conlleve un grave riesgo para este. En particular se consideran sensibles aquellos que puedan  revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencias sexuales.
DERECHOS ARCO
De acuerdo al Art 6 2º párrafo  de la constitución federal, los particulares tenemos los siguientes derechos:
·         ACCESO: Solicitar que nos informen si tienen nuestros datos personales en su base de datos y conocer estos datos,  así como solicitar se nos proporcione el aviso de privacidad al que está sujeto.
·         RECTIFICACIÓN: Solicitar que nuestros datos sean correctos
·         CANCELACION: Bloquear y suprimir cuando se le solicite.
·         OPOSICIÓN: El titular tiene derecho  a exigirle a otro particular que elimine sus datos personales de su base de datos y que deje de utilizarlos.
Para que el titular pueda ejercer sus derechos, debe presentar ante la empresa o persona obligada, una solicitud a través de alguno de los siguientes mecanismos:
ü  Por escrito
ü  Por medios electrónicos
ü  A través de cualquier otra tecnología.
OBLIGACIONES EN MATERIA DE PROTECCIÓN DE DATOS
El particular que obtiene datos personales de un tercero (otro particular), está obligado a Solicitar el consentimiento para tratar y en su caso, transmitir los datos de manera legal, guardar confidencialidad de los datos, utilizar los datos sólo para los fines solicitados, proteger los datos personales, notificar el aviso de privacidad a los “titulares” Designar un responsable a cargo

Los pasos a seguir para cumplir con la ley de protección de datos  son los siguientes
1.       AVISO Y NOTIFICACION AL TITULAR- El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad. Si el responsable desea cambiar dichos fines, debe regresar con el titular y obtener nuevamente su consentimiento proporcionando al titular un nuevo a viso de privacidad.

2.       CONSENTIMIENTO DEL TITULAR Se deberá obtener el consentimiento del titular de los datos en forma libre, sin ser obligado o engañado, por medio del aviso de privacidad, el consentimiento deberá ser en forma tácita (cuando habiéndose puesto a su disposición el aviso no manifiesta su oposición) o expresa (verbal o escrita).
 Es común en la práctica que el aviso de privacidad se  encuentre exhibido en un lugar visible de la empresa, esto de alguna manera les permite obtener el consentimiento de una forma tácita, ya que como particular estoy proporcionando mis datos habiendo leído este aviso. Sin embargo la carga de la prueba para demostrar que se obtuvo el consentimiento, recae sobre el  responsable de los datos, por lo que será mas sencillo comprobar que se obtuvo el aviso si se obtiene de forma expresa aún si la ley no lo exige.
Existen algunos casos específicos en los que la ley si exige que el consentimiento sea de forma expresa los cuales son:
ü  Los datos financieros o patrimoniales
ü  Datos personales sensibles
ü  Cuando alguna ley o reglamento lo exige
Caso contrario Existen algunos casos en los que no es obligatorio obtener el consentimiento los cuales son:
ü  Este previsto en una ley o se dicte resolución de autoridad competente
ü  Los datos figuren en fuentes de acceso público (ejemplo directorio telefónico)
ü  Los datos personales se sometan a un procedimiento previo de disociación.
ü  Tenga el propósito de cumplir obligaciones derivadas  de una relación jurídica entre el titular y el responsable
ü  Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes
ü  Sean indispensables para la atención médica, la prevención, diagnóstico etc. mientras el titular no está en condiciones de otorgar su consentimiento.
El consentimiento es revocable en todo momento por lo que como responsable deberás establecer mecanismos sencillos y gratuitos que le permitan al titular hacerlo.
3.       MANEJO DE DATOS PERSONALES: Además del aviso de privacidad, todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas para garantizar el tratamiento debido de los datos y cumplir las expectativas del titular para esto deberá implementar medidas de seguridad administrativas,  técnicas y físicas, que permitan proteger los datos personales contra daños, pérdida, alteración destrucción o el uso, acceso o tratamiento no autorizado.

4.       DESIGNAR A UNA PERSONA O DEPARTAMENTO DE DATOS PERSONALES: La ley establece la obligación de designar a una persona o departamento de datos personales, quien se encargará de dar trámite a las solicitudes de los titulares, para ejercer sus derechos bajo la ley, la decisión de designar a una persona o un departamento dependerá del tamaño de la organización o el volumen de datos personales que se manejen.

La persona a cargo deberá contar con capacidades técnicas (conocimiento y experiencia en áreas afines y habilidades de comunicación) y administrativas (cierta jerarquía dentro de la organización) y económicas (contar con los recursos económicos para ejercer sus funciones y acciones).

Es común que los particulares celebren contratos de confidencialidad con proveedores y con empleados,  para proteger la información confidencial de la empres y evitar una divulgación indebida, si este es el caso es recomendable incluir lenguaje relativo a las obligaciones de protección de datos con la intención de que aquellas personas que tienen acceso a la información de particulares de cuyo tratamiento somos responsables asuman las mismas obligaciones en materia de privacidad que nosotros estamos asumiendo frente a los particulares que nos proporcionaron la información, un ejemplo del texto sería el siguiente:

“PROTECCIÓN DE DATOS PERSONALES. El empleado en este acto se obliga a cumplir con las medidas de seguridad implementadas por la empresa o que sean implementadas en el futuro cuyo fin sea cumplir con las disposiciones previstas en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y sus reglamentos y proteger los datos personales de clientes, proveedores, otros empleados, socios de la empresa o en general terceros que tengan alguna relación con la Empresa y cuyos datos personales se encuentren en posesión de la Empresa y a c colaborar con la empresa en la protección  de dichos datos personales. Asimismo, el Empleado declara conocer el aviso de privacidad proporcionado por la empresa a los particulares de los que obtiene datos personales, y se obliga a utilizar los datos personales a los que él tenga acceso para los fines previstos en dicho aviso de privacidad y a respetarlo dispuesto en el mismo, según éste vaya siendo actualizado.”

5.       REFLEJAR LAS MEDIDAS IMPEMENTADAS EN UN DOCUMENTO: Aún que no está previsto en la Ley, es recomendable reflejar las medidas que se tomen para dar cumplimiento a las medidas de seguridad en un documento que puede ser un manual interno de protección de datos o una sección especial en el reglamento interno de trabajo de la empresa, ya que no hay forma de fomentar la protección de datos personales si no se comunican en forma clara al interior de la organización, las obligaciones y las políticas de manejo de los datos personales.
MODELOS DE AVISO DE PRIVACIDAD
AVISO DE PRIVACIDAD COMPLETO
(Nombre o razón o denominación social y comercial del responsable), con domicilio en (señalar calle, número, colonia, ciudad, municipio o delegación y entidad federativa), es responsable de recabar sus datos personales, del uso que se le dé a los mismos y de su protección.
Su información personal será utilizada para proveer los servicios y productos que ha solicitado, informarle sobre cambios en los mismos y evaluar la calidad del servicio que le brindamos. Para las finalidades antes mencionadas, requerimos obtener los siguientes datos personales: (DATO1), (DATO 2), Considerado como sensible según la Ley de Protección de Datos Personales en Posesión de los Particulares, (dato 3), (dato 4).
Usted tiene derecho de acceder, rectificar y cancelar sus datos personales, así como de oponerse al tratamiento de los mismos o revocar el consentimiento que para tal fin nos haya otorgado, a través de los procedimientos que hemos implementado, Para conocer dichos procedimientos, los requisitos y plazos, se puede poner en contacto con nuestro departamento de datos personales en (datos de contacto, domicilio, teléfono, correo electrónico) o visitar nuestra página de Internet (dirección electrónica).
Asimismo, le informamos que sus datos personales pueden ser transferidos y tratados dentro y fuera del país, por personas distinta a esta empresa, En ese sentido, su información puede ser compartida con (señalar el tipo de destinatarios de estas transferencias), para (describir finalidades), Si usted no manifiesta su oposición para que sus datos personales sean transferidos, se entenderá que ha otorgado su consentimiento para ello.
No consiento que mis datos personales sean transferidos en los términos que señala el presente aviso de privacidad.
Si usted desea dejar de recibir mensajes promocionales de nuestra parte puede solicitarlo a través de (teléfono, dirección, correo electrónico).
Cualquier modificación a este aviso de privacidad podrá consultarla en (señalar medio).
Fecha última actualización (día/mes/año)
AVISO DE PRIVACIDAD SIMPLIFICADO
(Nombre o razón o denominación social y comercial del responsable) es responsable del tratamiento de sus datos personales, con domicilio en ( señalar calle, número, colonia, ciudad, municipio o delegación y entidad federativa).
Los datos que le solicitamos serán utilizados para las siguientes finalidades:
(Enlistar las finalidades específicas)
Si requiere mayor información puede acceder a nuestro aviso de privacidad completo a través de (lugar físico o electrónico donde se encuentra ubicado u opción a elegir para visualizarlo o escucharlo).
AVISO DE PRIVACIDAD PARA ESPACIOS REDUCIDOS

(Nombre, o razón o denominación social y comercial del responsable), con domicilio en (domicilio) utilizará sus datos personales aquí recabados para (finalidad explicita). Para mayor información acerca del tratamiento y de los derechos que puede hacer valer, usted puede acceder al aviso de  privacidad completo a través de (lugar físico o electrónico donde se encuentra ubicado u opción a elegir para visualizarlo o escucharlo.