Desde hace algunos años, escuchamos frecuentemente sobre la importancia de la protección de datos personales. Es un tema que ha cobrado relevancia, ya que los datos personales pasaron de ser considerados simple información a un activo valioso para las empresas.

Una base de datos personales completa y correcta puede definir el número de personas a las cuales llegará información relevante sobre los bienes y servicios ofrecidos por las empresas. Por ejemplo, a través de la mercadotecnia dirigida. Esto se traducirá en mayores ventas e ingresos. Por otro lado, el buen o mal uso que una empresa pueda dar a los datos personales, impactará directamente en su reputación frente a otros usuarios, clientes, proveedores y autoridades.

Las autoridades alrededor del mundo también han reconocido la importancia de la debida protección a la privacidad, por lo que han emitido regulaciones estrictas para la obtención y tratamiento de datos personales. El Reglamento General de Protección de datos (RGPD) europeo es un de los principales ejemplos.

México no se ha quedado atrás. No solo reconoce la necesidad de brindar amplia protección a los datos personales de los individuos, sino que reconoce el derecho a la privacidad como un derecho constitucional.

A continuación, vamos conocer en profundidad el marco legal de la protección de datos en nuestro país.

¿Qué son los datos personales?

Los datos personales son la información que permite identificar a un individuo como nombre y apellidos, domicilio, teléfono, historial laboral y académico, sus datos patrimoniales y financieros, su firma, así como sus características físicas, incluyendo datos biométricos como el iris o la huella dactilar.

Los datos personales también pueden ser catalogados como sensibles cuando den a conocer información de la esfera más íntima del individuo. Serán datos sensibles aquellos que revelen el origen racial o étnico, estado de salud, ideología, opiniones políticas, orientación sexual, entre otros.

En México, la Ley de Protección de Datos impone mayores controles al tratamiento de este tipo de datos, pues su uso indebido podría dar origen a discriminación o a un riesgo grave para el individuo. Por esta razón, es importante que las empresas valoren si obtener dichos datos es absolutamente necesario para llevar a cabo sus actividades.

Hacemos notar que únicamente se entenderán como datos personales aquellos que estén relacionados con personas físicas, pues ni la Ley de Protección de Datos ni su Reglamento protegen los datos relativos a personas morales.

Protección de datos personales en México: el marco legal

Desde el 5 de julio de 2010, México cuenta con una ley que regula el tratamiento de los datos personales por parte de empresas del sector privado: la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“Ley de Protección de Datos”).

El “Reglamento” de la Ley de Protección de Datos publicó en el Diario Oficial de la Federación en el 21 de diciembre de 2011. Su objetivo es clarificar las disposiciones de la Ley y facilitar su aplicación.

Además, quienes traten datos personales deberán tomar en cuenta las guías y documentos emitidos por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (“INAI”). El INAI es la autoridad garante del cumplimiento del derecho a la protección de datos personales.

Entre estos documentos encontramos:

El objetivo principal de los instrumentos jurídicos antes mencionados es la protección de la privacidad de las personas.

Ello implica evitar que los datos personales sean utilizados indebidamente, que se respeten los derechos de los titulares de los datos y se garantice una expectativa razonable de privacidad, entendida como la confianza de que los datos personales proporcionados serán tratados conforme a lo que acordaron las partes y en cumplimiento de la legislación aplicable.

¿Quiénes están obligados por la Ley de Protección de Datos?

Las personas físicas o morales del sector privado que obtengan, usen, almacenen y/o transfieran datos personales, por cualquier medio, como parte de sus actividades. En conjunto, estas acciones reciben el nombre de “tratamiento” de datos personales, que es el término utilizado por la Ley.

En este punto, es importante resaltar que, de acuerdo con la Ley, los principales actores en el tratamiento de los datos personales son las figuras denominadas como “responsable” y “encargado”.

  • el responsable es la persona física o moral del sector privado que toma las decisiones sobre el tratamiento de datos personales; mientras que
  • el encargado es la persona física o moral, ajena al responsable, que trata los datos personales por cuenta del responsable y de acuerdo con sus instrucciones.

No es necesario que el responsable cuente con el apoyo de un encargado para el tratamiento de los datos. Sin embargo, si el responsable decide involucrarlo, debe existir un contrato entre ambas partes para evidenciar la existencia y condiciones de dicha relación.

Aunque el responsable es quien se enfrenta a las sanciones del INAI en caso de incumplimiento, el encargado debe evitar ciertas conductas como incumplir con las instrucciones del responsable o transferir datos personales sin el consentimiento del responsable. En esos casos, el encargado será considerado como responsable y estará sujeto a las mismas sanciones.

Además de las obligaciones antes mencionadas, el responsable deberá cumplir con los siguientes principios establecidos por la Ley de Protección de Datos en el tratamiento de los datos:

  1. Licitud: el tratamiento debe ser en cumplimiento de la Ley de Protección de Datos, su Reglamento y cualquier otra regulación aplicable;
  2. Consentimiento: obtener el consentimiento de los titulares para el tratamiento de sus datos personales, cuando este sea necesario;
  3. Información: dar a conocer al titular la información relacionada con el tratamiento de sus datos; por ejemplo, qué datos se recabarán y las finalidades del tratamiento, entre otros;
  4. Calidad: los datos personales tratados deben ser exactos, completos, pertinentes, correctos y actualizados de acuerdo con las finalidades para las que fueron recabados;
  5. Finalidad: los datos personales deben ser tratados para el cumplimiento de las finalidades establecidas en el aviso de privacidad;
  6. Lealtad: tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad;
  7. Proporcionalidad: sólo podrán tratarse los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades previstas en el aviso de privacidad;
  8. Responsabilidad: responder por el tratamiento de los datos personales recabados o por aquellos que haya comunicado al encargado;

Además de estos 8 principios, la Ley de Protección de Datos también prevé los deberes de seguridad y de confidencialidad, que deben ser cumplidos por el responsable.

El deber de seguridad consiste en establecer controles de seguridad para proteger los datos de cualquier uso indebido. Dichas medidas deben brindar la misma protección que aquellas medidas que utiliza la empresa para proteger su propia información. El deber de confidencialidad dicta que se deberá guardar la confidencialidad de los datos personales tratados.

Obligaciones para las Empresas

La Ley de Protección de Datos, establece diversas obligaciones y responsabilidades que deben ser observadas por las empresas que traten datos personales. Entre ellas se encuentran brindar información suficiente a los titulares sobre el tratamiento de sus datos personales, así como obtener su consentimiento.

1. Tener un aviso de privacidad

Cualquier persona física o moral que recabe y trate datos personales debe tener un aviso de privacidad.

A través de este documento se satisface la obligación impuesta por la Ley de Protección de Datos de informar a los titulares la existencia y características principales del tratamiento a que serán sometidos sus datos personales. En este sentido, el aviso de privacidad deberá dar a conocer:

  • La identidad del responsable;
  • Qué datos se recabarán;
  • Cuáles son las finalidades del tratamiento;
  • Los derechos de los que goza el titular;
  • Si se comparten sus datos con otras entidades, entre otra información

2. Tener el consentimiento del titular

Es importante mencionar que el tratamiento de datos personales está sujeto al consentimiento tácito o expreso del titular de los datos, salvo las excepciones establecidas por la Ley de Protección de Datos.

El consentimiento será expreso cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos. Hacemos notar que cuando se obtengan datos personales patrimoniales, financieros y sensibles, es necesario contar con el consentimiento expreso de los titulares.

El consentimiento será tácito cuando, habiéndose puesto a su disposición el aviso de privacidad, el titular no manifieste oposición al tratamiento de sus datos.

Asimismo, y como regla general, se requerirá el consentimiento del titular para permitir al responsable transferir sus datos personales a otras empresas no relacionadas, ya sea que estas se encuentren en México o en el extranjero.

Sin embargo, la Ley de Protección de datos prevé algunos casos en los que no se requerirá el consentimiento de los titulares. Por ejemplo, cuando la transferencia sea efectuada dentro el mismo grupo corporativo del responsable.

3. Permitir el acceso, rectificación, cancelación y oposición del titular

Otra obligación de los responsables, es permitir que los titulares ejerzan sus derechos de acceso, rectificación, cancelación y oposición (conjuntamente denominados “Derechos ARCO”).

También deberá atender las solicitudes de revocación de consentimiento y limitación del uso y divagación por los titulares respecto de los datos personales en posesión del responsable. Para este fin, el responsable deberá designar a una persona o un departamento de datos personales para atender las solicitudes de los titulares que quieran ejercer sus derechos ARCO.

Derechos del titular de los datos

A diferencia de la regulación europea en materia de protección de datos del RGPD, México no otorga ciertos derechos a los titulares de los datos.

Tal es el caso del derecho de portabilidad, que brinda al titular la potestad de solicitar y obtener una copia de cualesquier datos que tenga el responsable del tratamiento de los mismos.

También no se otorga la facultad de solicitar a dicho responsable hacer llegar los datos personales del titular a otro responsable.

Por el fin, no hay el derecho al olvido, que permite al titular solicitar la eliminación de sus datos personales.

Seguridad de los datos personales

El “Reglamento” define una vulneración de seguridad como:

  • La pérdida o destrucción no autorizada;
  • El robo, extravío o copia no autorizada;
  • El uso, acceso o tratamiento no autorizado, o
  • El daño, la alteración o modificación no autorizada de los datos personales en posesión del responsable.

Por lo tanto, los responsables deben implementar medidas administrativas técnicas y físicas para evitar una vulneración de seguridad.

Es importante conocer las obligaciones que surgen para los responsables cuando se presenta alguno de los casos antes mencionados. En cualquiera de estos casos, el responsable deberá informar a los titulares de los datos en cuanto confirme que ocurrió una vulneración. También, deberá investigar y analizar las causas que dieron origen a la vulneración e implementar las medidas de seguridad correspondientes, con la finalidad de evitar que la vulneración se repita.

La Ley de Protección de Datos impone una variedad de restricciones y obligaciones a las empresas que recaben y traten datos personales. En caso de incumplimientos con las disposiciones de la Ley de Protección de Datos y su “Reglamento” el INAI podrá imponer penas, cuyo monto dependerá del incumplimiento o la omisión de que se trate. Sin embargo, dichas penas de duplicarán si la infracción es cometida en el tratamiento de datos personales sensibles.

Mejores prácticas de protección de datos

Para evitar ser acreedor a sanciones y estar en cumplimiento de las disposiciones en materia de protección de datos personales, a continuación, encontrarás algunas recomendaciones sobre mejores prácticas:

  1. Prepara un aviso de privacidad y ponlo a disposición de los titulares previo a la obtención de sus datos personales, o bien, al primer contacto que tengas con ellos cuando los datos personales sean obtenidos de manera indirecta del titular.
  2. Recuerda que el aviso de privacidad debe mencionar el nombre domicilio del responsable, qué datos recabarás, las finalidades del tratamiento, las trasferencias que realices, los derechos que podrán ejercer los titulares y cómo notificarás cualquier cambio al aviso de privacidad, entre otros elementos.
  3. Obtén el consentimiento tácito o expreso de los titulares, tanto para el tratamiento de sus datos como para realizar transferencias, cuando este sea necesario.
  4. Atiende en tiempo y forma las solicitudes de derecho ARCO, revocación del consentimiento o limitación al uso o divulgación de los datos personales, que presenten los titulares de los datos.
  5. Trata los datos personales de acuerdo con los 8 principios y los deberes establecidos por la Ley de Protección de Datos.
  6. Designa a una persona o departamento como oficial de privacidad de la empresa, quien se encargará de atender las solicitudes de los titulares, la implementación de políticas de protección de datos personales, así como el debido cumplimiento de las disposiciones de la Ley de Protección de Datos.
  7. Implementa las medidas de seguridad administrativas, técnicas y físicas necesarias para el correcto almacenamiento de los datos personales, con la finalidad de evitar una vulneración de seguridad

A pesar de lo complicado que podría parecer implementar las prácticas descritas, las empresas deberían considerar que, al hacerlo, podrán optimizar el uso y almacenamiento de los datos personales en su posesión.

Además, el cumplimiento con la Ley de Protección de Datos se traducirá en mayor confianza, satisfacción y tranquilidad por parte de los usuarios, pues saben que sus datos personales serán tratados responsablemente

Las firmas electrónicas aseguran la protección de datos

Todas las empresas recopilan múltiples datos cada día. Ya sea para crear un perfil del cliente, gestionarlo en el CRM o para incluir en un contrato que será enviado para su firma electrónica. Por eso, es esencial elegir los mejores proveedores de tecnología que te permitan implementar dichas medidas administrativas técnicas de seguridad.

En DocuSign estamos conscientes de la importancia de conocer y aplicar la Ley de Protección de Datos de México, su Reglamento y las guías emitidas por el INAI. Por esto, nuestras soluciones están comprometidas con la protección de datos.

Las firmas electrónicas son una solución fiable que asegura que los los datos de los clientes están protegidos bajo múltiples técnicas modernas de seguridad y certificaciones globales. Sabe más en nuestro Centro de Confianza.

 

Si quieres asegurar que los datos de tus acuerdos están siempre protegidos, conoce nuestro monitoreo en tiempo real. Subscríbete a una prueba gratuita ahora.