Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)

Sep-Oct, 2011  |  LFPDPPP

Hacia una cultura en el manejo de la información

Los datos personales son un asunto que cada día cobra mayor importancia; con las tecnologías de información y comunicaciones, su difusión y tratamiento se ha exponenciado, y el mercado de compra y venta de datos personales, cada día es más jugoso. Bases de datos particulares se compran y venden con diferentes fines, lícitos o no ¿Sabes quiénes tienen tus datos personales?

Por otro lado, en nuestras actividades diarias generamos listas de correos, contactos, carteras, y un sinnúmero de compilaciones de datos personales; su adecuado uso y salvaguarda es una responsabilidad ineludible.

Para intentar regular este mercado, se emitió el 5 de julio de 2010
la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que empezó a tener consecuencias el 6 de julio pasado, y en conjunto con su Reglamento, tendrán pleno vigor a partir de enero de 2012. En esta ley se plantean diferentes aspectos que conviene conocer y considerar en nuestras actividades empresariales; he aquí algunos de los más relevantes:

La ley se puede ver como un instrumento que regula una relación entre el titular de un dato personal (es decir, la persona misma), y personas físicas o morales que recaban y tratan estos datos (llamado “responsable”. Figura 1). Esta relación está regida bajo las bases que establece la ley (Figura 2).

Figura 1. Relación titular- responsable.


De manera general, las personas físicas o morales podrán recabar y tratar lícitamente datos personales cuya titularidad será en todo caso de aquellas personas asociadas a los mismos.

De acuerdo con la ley, un dato personal es “cualquier información concerniente a una persona física identificada o identificable”. Hay alguna información que es considerada como “sensible”, es decir:

“aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual” (Art. 3, inciso VI, LFPDPPP).

Figura 2. Derechos y obligaciones derivados de la ley.


El responsable, al recabar un dato personal de cualquier titular, debe establecer claramente para qué necesita este dato, qué tratamiento le dará (para qué lo utilizará y cómo lo gestionará), y debe hacerlo saber al titular a través de un Aviso de Privacidad (Figura 3). El tratamiento de datos estará sujeto al consentimiento por parte del titular. Esta aprobación puede ser expresa si la voluntad se manifiesta, o tácita cuando habiéndose puesto a su disposición el Aviso de Privacidad, no manifieste su oposición. Los datos financieros o patrimoniales requerirán la anuencia expresa de su titular. Para el tratamiento de los datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular; éste podrá ser revocado en cualquier momento. Los datos podrán ser transferidos a terceros, siempre que así se establezca en el Aviso de Privacidad, y no exista oposición del titular. Si los datos van a ser tratados por un tercero, el responsable debe asegurarse que este tercero los resguarde y solamente los utilice para el fin convenido.

Implicaciones de la ley
Para generar los avisos de privacidad, las personas físicas y morales deben tener conciencia del modo como recaban y utilizan los datos personales. Aunque lo anterior parezca una obviedad, no lo es. Por ejemplo, se deben determinar los orígenes y áreas en las que se recaban datos personales, las bases de datos que se generan, el tratamiento y la difusión (transferencia) que se les da.

Hay básicamente dos orígenes de la información: interno y externo. El interno corresponde a la información que la empresa tiene sobre su personal (pasado, presente y potencial), socios, agremiados y en general personas vinculadas a la compañía. Esta es, tal vez, un área muy importante y que suele obviarse. Al hacer reclutamiento y selección del personal, y al hacer las contrataciones, se recaban datos personales, frecuentemente datos sensibles (estado de salud, afiliación sindical, creencias religiosas o políticas, origen étnico, fotografías, etc.); además, a través de la información de nómina o de accionistas, se puede tener datos financieros o patrimoniales y estatus de trámites ante diversas instancias (IMSS, INFONAVIT, etc.). Los trabajadores de una empresa deben tener la certeza de que sus datos están bien resguardados y serán utilizados para los fines que fueron obtenidos. Estos datos deben ser contemplados integralmente dentro de las políticas de acceso y manejo de la información.

Los datos de origen externo son todos aquellos que provienen de personas ajenas a la compañía, incluyendo proveedores, clientes, prospectos, datos de mercadeo, etc. Por ejemplo, lo más patente es cuando se hace una base de datos con fines comerciales o de mercadotecnia, las listas de mailing que tienen el nombre de la persona y el correo electrónico o datos de contacto, la cartera comercial, o un formulario interactivo en el que un visitante nos deja sus datos. Si los titulares no saben que sus datos se utilizarán con ciertos fines, deben enterarse, es decir, se les debe hacer saber en el Aviso de Privacidad. La difusión de estos datos implica una transferencia de los mismos a terceros. Estos pormenores deben considerarse en los avisos de privacidad y en las actividades de las empresas.

Actualmente muchas personas suelen enviar cadenas de correos en donde asocian el nombre de una persona con su correo, la ley no ejerce derechos sobre el uso personal de la información, pero si esta lista se obtiene por motivos de trabajo, estarían haciendo un uso indebido de datos personales, pues realizan una transferencia de información personal sin considerar la no oposición de los titulares para fines diferentes de los establecidos en el Aviso de Privacidad. Estas listas, más temprano que tarde, terminan en manos de spammers o de organizaciones delictivas. Es imperdonable para los ejecutivos la utilización de datos personales a los que tienen acceso con motivo de trabajo, para otros fines (incluyendo los indeseados correos basura).

Figura 3. Contenido del aviso de privacidad.


La Secretaría de Economía ha desarrollado una Guía Práctica para Generar el Aviso de Privacidad, que es conveniente considerar. En ella se dan recomendaciones y consejos para utilizar la entrada en vigor de la ley, como una oportunidad para crear una cultura del manejo de información personal, que genere confianza y ventajas a las organizaciones responsables.

La misma Secretaría ha generado también un documento de Recomendaciones para la Designación de la Persona o Departamento de Datos Personales, quienes tendrán como funciones las de dar “trámite a las solicitudes de los titulares de datos personales, para el ejercicio de los derechos a los que refiere la ley, y fomentar la protección de datos personales al interior de la organización del responsable”.

En conclusión, todas las empresas y profesionistas utilizamos información personal para llevar a cabo nuestras actividades, por lo que a partir del 6 de julio de 2011, debemos tener dos cosas: un Aviso de Privacidad que enmarque lo que haremos con los datos que tenemos y recabemos, mismo que debe ser conocido por los titulares de los datos; y una persona o departamento designado para la gestión de datos personales, que tenga la capacidad de atender a los titulares en el ejercicio de sus derechos ARCO.

A la par, la ley nos ampara a todos los ciudadanos para ejercer nuestros derechos sobre la información personal de la que somos titulares. Las empresas y personas responsables del tratamiento de nuestros datos, deben ofrecernos los medios necesarios para hacer efectivos estos derechos.

Etiquetas: 

Deja un comentario

Todos los comentarios pasan por un proceso de validación antes de ser publicados.


Deseo recibir información