Ley Federal de Protección de Datos Personales en posesión de particulares. Mayo 2010

Transcripción

1 Ley Federal de Protección de Datos Personales en posesión de particulares Mayo 2010

2 Antecedentes En México la discusión de las primeras iniciativas de LFPDP datan del año 2001, las cuales se dieron de manera concomitante con la de la LFTAIPG (incluyendo esta última disposiciones en materia de datos personales en poder de instituciones públicas). Entre 2001 y 2008 se han presentado en el Congreso de la Unión, diversas iniciativas de Ley, que buscan regular, a nivel federal, la recolección, el tratamiento y la transmisión de información personal entre particulares. En el año 2007, el presidente Felipe Calderón Hinojosa, en su Plan Nacional de Desarrollo , estableció la necesidad de desarrollar una Ley Federal de protección de datos personales, que regule la información en poder de los particulares

3 Reforma Constitucional Reforma al Art. 16 Constitucional publicada en el DOF el 1 de junio del 2009 : PRIVACIDAD COMO UNA GARANTÍA CONSTITUCIONAL Reforma al Art. 73 Constitucional en Materia de Datos Personales publicada en el DOF el 30 de abril del 2009 FACULTAD FEDERAL PARA LEGISLAR EN MATERIA DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES. Plazo de 12 meses para expedir la ley respectiva

4 Propuestas de LFDP Cámara de Diputados: Modelo General Dip. Luis Miguel Gerónimo Barbosa Huerta (PRD). Presentada en Septiembre 06, Dip. Jesús Emilio Martínez Álvarez (Convergencia). Presentada en Diciembre 1, Dip. Norma Leticia Orozco Torres (PVEM). Presentada el 02 de febrero del 2010 Modelo Sectorial Dip. Sheila Aragón (PAN). Presentada el 22 de Marzo de Dip. David Hernández Pérez (PRI). Presentada en Febrero 23, 2006 Modelo Híbrido Dip. Luis Gustavo Parra Noriega del PAN. Presentada el 7 de octubre del 2008 Dip. Adolfo Mota Hernandez del PRI. Presentadael11dediciembredel 2008 Y una iniciativa de Ley en la Cámara de Senadores presentada por el Senador José Guillermo Anaya Llamas del PAN presentada el 1 de diciembre del 2009 (Modelo General para Datos Públicos y Privados)

5 Dictamen aprobado en ambas Cámaras: Contiene principios en materia de protección de datos: licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad; Desarrolla los derechos de los titulares de los datos de acceso, rectificación, cancelación y oposición (conocidos como derechos ARCO); Establece mecanismos para ejercer los derechos ARCO frente a los Responsables del tratamiento, El procedimiento de tutela de dichos derechos en caso de la negativa de los Responsables, ante el IFAI, quien puede imponer sanciones.

6 Algunas definiciones Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular previo al tratamiento de sus datos personales. (3-I) Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual; (3-VI) Los datos financieros o patrimoniales requerirán el consentimiento expreso de su titular (8), pero admiten excepciones, es decir no se requerirá, por ejemplo, cuando tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable (10 y 37)

7 PRINCIPIOS Licitud: En la obtención (no engaño ni fraude) y el tratamiento (acuerdo entre las partes) Consentimiento: Expreso para Datos Sensibles (que afecten a la esfera más íntima de su titular, puedan dar origen a discriminación o conlleve un riesgo grave para éste (Patrimoniales y Financieros). Tácito (Aviso de Privacidad) para los demás En el aviso de privacidad se deberán establecer los mecanismos y procedimientos para la revocación del Consentimiento. Requerimiento de justificación para la creación de Bases de Datos Sensibles No se requiere de Consentimiento cuando: Esté previsto en una Ley; Los datos figuren en fuentes de acceso público; Los datos se encuentren disociados; Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; Sean indispensables para asistencia sanitaria o tratamientos médicos, mientras el titular no esté en condiciones de otorgar el consentimiento Se dicte resolución de autoridad competente.

8 PRINCIPIOS Información: Obligación de informar que datos se recaban, como (vía directa, a través de terceros o derivado del servicio) y con que fines (Aviso de Privacidad) El Aviso de Privacidad debe contener: Datos del Responsable Las finalidades del tratamiento de datos (y si se recaban o no datos sensibles); Las opciones y medios para limitar el uso o divulgación de los datos; Los medios para ejercer los derechos ARCO En su caso, las transferencias de datos que se efectúen, y El procedimiento y medio por el cual el responsable comunicará a los titulares los cambios al aviso de privacidad, Calidad: Los datos deben ser pertinentes, correctos y actualizados para los fines para los cuales fueron recabados.

9 PRINCIPIOS Finalidad: Limitarse al cumplimiento de finalidad establecida en Aviso de Privacidad Lealtad: Si dejan de ser necesarios para los fines recabados deben ser cancelados Eliminación de información relativa a incumplimiento de obligaciones (72 meses - Derecho al Olvido) Proporcionalidad: El tratamiento será el estrictamente necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad El periodo de tratamiento deberá ser el mínimo indispensable Responsabilidad: El responsable garantizar que el aviso de privacidad sea respetado en todo momento por él o por terceros con los que guarde alguna relación jurídica. Mantener medidas de seguridad administrativas, técnicas y físicas (no menores a las que utilizan para datos propios) Cualquier vulneración a la seguridad deberá ser informada inmediatamente

10 DERECHOS Acceso: Titular o su Representante Legal puede acceder a sus datos y conocer el Aviso de Privacidad Rectificación: Cuando los datos sean inexactos o incompletos Cancelación: El titular podrá solicitarla en cualquier momento al responsable (quien en su caso deberá notificarla a los terceros, en caso de transferencia) No procede la cancelación: Datos necesarios para desarrollo y cumplimiento de un contrato; Deban ser tratados por disposición legal; Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas; Sean necesarios para proteger los intereses jurídicamente tutelados del titular; Sean necesarios para realizar una acción en función del interés público, y Sean necesarios para cumplir con una obligación legalmente adquirida por el titular, y Sean objeto de tratamiento para la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional sujeto a un deber de secreto. Periodo de bloqueo (prescripción) antes de suprimir el dato Aviso al titular cuando quede cancelado el dato Oposición: Solo por causa legítima

11 PROCEDIMIENTO FRENTE AL RESPONSABLE Designación del Chief Privacy Officer (responsable solicitudes y fomentar la protección de los datos) de atender El Titular o su Representante Legal pueden solicitar ejercicio Derechos ARCO. La solicitud deberá contener Datos del Titular Documentos que acrediten su identidad o representación Descripción de los datos respecto a los que se buscar ejercer el derecho o modificaciones a realizar (con pruebas) Elemento o documento que facilite la localización 20 días naturales máximo para responder si resulta procedente y 15 días máximo para hacerla efectiva (plazos pueden ser ampliados por una sola vez con justificación) La solicitud no procede si: Solicitante no es titular de los datos o representante no está acreditado El responsable no tiene los datos en su base Se lesionan derechos de tercero Exista impedimento legal o resolución de autoridad que restrinja el acceso, rectificación, cancelación u oposición Si la rectificación, cancelación u oposición fue previamente realizada Entrega de los datos será gratuita (titular solo cubre gastos de envío o reproducción). En caso de que el titular lo solicite mas de una vez en periodos de un año (costo no mayor a 3 días de SMGDVDF)

12 PROCEDIMIENTOS DE TUTELA ANTE IFAI Substanciación de los procedimientos, conforme Ley Federal de Procedimiento Administrativo. Hay suplencia de la queja deficiente La solicitud de protección de datos deberá presentarse dentro de los quince días siguientes a la fecha en que se comunique la respuesta al titular por parte del responsable o no la entregue Se dará traslado de la misma al responsable, para que, en el plazo de quince días, emita respuesta, Las partes ofrecen pruebas Concluido el desahogo de la pruebas, cinco días para alegatos. Instituto resuelve (plazo máximo 50 días que podrá ampliarse por un periodo igual en una ocasión) podrá: Sobreseer o desechar la solicitud de protección de datos por improcedente, Confirmar, revocar o modificar la respuesta del responsable. Contra la resolución procede Juicio de Nulidad ante TFJFA En cualquier momento IFAI puede buscar Conciliación

13 Transferencia de Datos Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, deberá comunicar a éstos el aviso de privacidad El aviso de privacidad, debe contener una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos, El tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos. Las transferencias nacionales o internacionales de datos podrán llevarse a cabo sin consentimiento del titular : I. Cuando esté prevista en una Ley o Tratado en los que México sea parte; II. Cuando sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios; III. Cuando sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas; IV. Cuando sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero; V. Cuando sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia; VI. Cuando sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y VII. Cuando sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.

14 Autoridades RESPONSABLE EL INSTITUTO FEDERAL DE ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE DATOS Vigilar y verificar el cumplimiento Interpretar en el ámbito administrativo Emitir los criterios y recomendaciones Conocer y resolver los procedimientos de protección de derechos y de verificación Elaborar estudios de impacto sobre la privacidad REGULADORA SECRETARIA DE ECONOMÍA, con la coadyuvancia del Instituto : Emisión de la regulación que corresponda, Bases de datos de comercio automatizadas o que formen parte de un proceso de automatización. Lineamientos correspondientes para el contenido y alcances de los avisos de privacidad Desarrollo de los mecanismos y medidas de autorregulación Registros de consumidores en materia de datos personales y verificar su funcionamiento

15 Procedimiento de verificación La verificación podrá iniciarse: de oficio o a petición de parte. La verificación de oficio procederá: En caso de incumplimiento a resoluciones dictadas con motivo de procedimientos de protección de derechos o Se presuma fundada y motivadamente la existencia de violaciones a la Ley. Acceso a la información y documentación que considere necesarias, de acuerdo a la resolución que lo motive. Los servidores públicos federales estarán obligados a guardar confidencialidad sobre la información que conozcan derivada de la verificación correspondiente.

16 Infracciones I. No cumplir con la solicitud del titular sin razón fundada, en los términos previstos en esta Ley; II. III. IV. Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable; Dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley; V. Omitir en el aviso de privacidad, alguno o todos los datos requeridos VI. Mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares; VII. VIII. IX. No cumplir con el apercibimiento del Instituto; Incumplir el deber de confidencialidad; Cambiar sustancialmente la finalidad del tratamiento de los datos,; X. Transferir datos a terceros sin comunicar a éstos el aviso de privacidad XI. Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable; XII. XIII. XIV. XV. XVI. XVII. Llevar a cabo la transferencia o cesión de los datos personales, fuera de los casos en que esté permitida por esta Ley; Recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible; Obstruir los actos de verificación de la autoridad; Recabar datos en forma engañosa y fraudulenta; Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los titulares; Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos de acceso, rectificación, cancelación y oposición establecidos en el artículo 16 de la Constitución; XVIII. Crear bases de datos sensibles sin justificación XIX. Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de lo previsto en la Ley.

17 Sanciones Apercibimiento Multa de 100 a 320,000 DSMGDVDF Multa adicional de 100 a 320,000 DSMGDVDF (si persisten infracciones de manera reiterada) Las sanciones podrán incrementarse hasta por dos veces en el caso de datos sensibles $52.00 X 320, X 320,000 x 2 $ 66,560, De tres meses a tres años de prisión al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo custodia. Prisión de seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos. Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán

18 Impactos concretos 1. Obligación de nombrar un Chief Privacy Officer y desarrollar los procesos, sistemas y contar con RH para mantener una ventanilla al cliente para consulta o corrección de su información 2. Obligación de contar con un aviso de privacidad (en papel y en el sitio web), verificar su cumplimiento, y para datos sensibles firma (autógrafa o electrónica) del cliente 3. Obligación de incorporar en el Aviso de Privacidad el consentimiento para transferencias de datos (detallando en lo posible receptores y considerando que no se puede discriminar en el servicio si el cliente se niega a dar su autorización) 4. Requerimos verificar si recabamos de alguna forma datos sensibles, pues contamos con un año para recabar la autorización del cliente para el manejo de esos datos, a partir de que entre en vigor la ley (para el manejo de los datos financieros verificar que ya contemos con esa autorización ya que es exigible por LIC, Ley de Transparencia y CUB y su equivalente en materia de seguros) 5. Un regulador con la capacidad de hacer visitas de inspección y verificación; con facultad para imponer multas millonarias por hasta 640 mil días de salario y delitos de prisión de hasta por 10 años (en su caso) 6. Doble Reporte; obligación de cumplir las disposiciones de la Ley de Sociedades de Información Crediticia y la Ley Federal de Protección de Datos personales (Verificación de Buró de Crédito y del IFAI) 7. Nueva Autoridad. La Secretaría de Economía como responsable de los Registros de Consumidores en materia de datos personales (PROFECO y CONDUSEF).