Protección de datos personales en México: conoce el marco legal

Publicado el 13 de mayo de 2020. Actualizado el 20 de octubre de 2021.

Desde hace algunos años, escuchamos frecuentemente sobre la importancia de la protección de datos personales. Es un tema que ha cobrado relevancia, ya que los datos personales pasaron de ser considerados simple información a un activo valioso para las empresas.

Una base de datos personales completa y correcta se puede definir como el número de personas a las cuales llegará información relevante sobre los bienes y servicios ofrecidos por las empresas. Por ejemplo, a través si se trata de mercadotecnia dirigida, esto se traducirá en mayores ventas e ingresos.

Por otro lado, el buen o mal uso que una empresa pueda dar a los datos personales, impactará directamente en su reputación frente a otros usuarios, clientes, proveedores e instituciones.

Las autoridades alrededor del mundo también han reconocido la importancia de la debida protección a la privacidad, por lo que han emitido regulaciones estrictas para la obtención y tratamiento de datos personales. El Reglamento General de Protección de datos (RGPD) europeo es uno de los principales ejemplos.

Esto no solo reconoce la necesidad de brindar amplia protección a los datos personales de los individuos, sino que garantiza el derecho a la privacidad como un derecho constitucional.

A continuación, vamos conocer en profundidad el marco legal de la protección de datos en nuestro país.

¿Qué son los datos personales?

Los datos personales son la información que permite identificar a un individuo, como nombre y apellidos, domicilio, teléfono, historial laboral y académico, sus datos patrimoniales y financieros, su firma, así como sus características físicas, incluyendo datos biométricos como el iris o la huella dactilar.

Los datos personales también pueden ser catalogados como sensibles cuando den a conocer información de la esfera más íntima del individuo.

Son datos sensibles aquellas categorías subjetivas especiales que distinguen además de la identidad, el origen, creencias y desenvolvimiento social de las personas. Entre ellos podemos mencionar:

• El origen racial o étnico: rasgos faciales, color de la piel; al igual que costumbres e idioma.
• Ideología, creencias políticas, filosóficas y religiosa: se tratan de datos que explican la formación personal y pensamiento de las personas.
• Orientación sexual: aquellos que develen la situación o preferencia de género y filiación sexual.
• Estado de salud: son aquellos datos que muestran las posibles condiciones médicas de los usuarios.

En México, la Ley Federal de Protección de Datos impone mayores controles al tratamiento de este tipo de datos, pues su uso indebido podría dar origen a discriminación o a un riesgo grave para el individuo. Por esta razón, es importante que las empresas valoren si obtener dichos datos es absolutamente necesario para llevar a cabo sus actividades.

Además, los datos financieros y patrimoniales también poseen supervisión más estricta de lo habitual. Es por ello, que los bancos acostumbran a tener estrictas medidas de gestión de datos tales como:

• Información crediticia;
• Estados de cuenta;
• Históricos fiduciarios;
• Propiedades inmobiliarias;
• Inversiones;
• entre otros.

Hacemos notar que únicamente se entenderán como datos personales aquellos que estén relacionados con personas físicas, pues ni la Ley de Protección de Datos ni su Reglamento protegen los datos relativos a personas morales.

Protección de datos personales en México: el marco legal

Desde el 5 de julio de 2010, México cuenta con una ley que regula el tratamiento de los datos personales por parte de empresas del sector privado: la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“Ley de Protección de Datos”).

Esta ley es aplicable a cualquier empresa según las siguientes formas de manejo de datos:

• Si la persona responsable del manejo se localiza en México.
• Cuando la información es procesada por un software que funciona en nombre de un procesador de datos localizado en México.
• Cuando la persona responsable del procesamiento de datos utiliza medios de procesamiento ubicados en México.

Muy de cerca le siguió el “Reglamento” de la Ley de Protección de Datos que se publicó en el Diario Oficial de la Federación el 21 de diciembre de 2011. Su objetivo es clarificar las disposiciones de la Ley y facilitar su aplicación.

Por otra parte, tenemos los Lineamientos de Aviso de Privacidad promulgados en 2013. Su propósito es dejar claro el contenido de los avisos de privacidad, de acuerdo a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Además, quienes traten datos personales deben tomar en cuenta las guías y documentos emitidos por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). El INAI es la autoridad garante del cumplimiento del derecho a la protección de datos personales.

Entre estos documentos encontramos:

• la Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales; y
• la Guía para el Tratamiento de Datos Biométricos.

El objetivo principal de los instrumentos jurídicos antes mencionados es la protección de la privacidad de las personas.

Ello implica evitar que los datos personales sean utilizados indebidamente, que se respeten los derechos de los titulares de los datos y se garantice una expectativa razonable de privacidad, entendida como la confianza de que los datos personales proporcionados serán tratados conforme a lo que acordaron las partes y en cumplimiento de la legislación aplicable.

¿Quiénes están obligados por la Ley de Protección de Datos?

Las personas físicas o morales del sector privado que obtengan, usen, almacenen y/o transfieran datos personales, por cualquier medio, como parte de sus actividades. En conjunto, estas acciones reciben el nombre de "tratamiento" de datos personales, que es el término utilizado por la Ley.

En este punto, es importante resaltar que, de acuerdo con la Ley, los principales actores en el tratamiento de los datos personales son las figuras denominadas como "responsable" y "encargado".

• el responsable es la persona física o moral del sector privado que toma las decisiones sobre el tratamiento de datos personales; mientras que
• el encargado es la persona física o moral, ajena al responsable, que trata los datos personales por cuenta del responsable y de acuerdo con sus instrucciones.

No es necesario que el responsable cuente con el apoyo de un encargado para el tratamiento de los datos. Sin embargo, si el responsable decide involucrarlo, debe existir un contrato entre ambas partes para evidenciar la existencia y condiciones de dicha relación.

Aunque el responsable es quien se enfrenta a las sanciones del INAI en caso de incumplimiento, el encargado debe evitar ciertas conductas como incumplir con las instrucciones del responsable o transferir datos personales sin el consentimiento del responsable. En esos casos, el encargado será considerado como responsable y estará sujeto a las mismas sanciones.

Frecuentemente, las empresas obtienen información personal de distintas formas. Algunas lo hacen de modo directo, por ejemplo, cuando solicitan el nombre y el correo para enviar un ebook o al momento de registrarte en un webinar.

Por otra parte, los datos pueden obtenerse de manera indirecta, como cuando se conoce la información de un profesional de la salud por medio de una base de datos pública. Incluso la información puede recolectarse sin intervención humana, como es el caso de las webs que usan cookies.

Es indispensable que las organizaciones prioricen el acatamiento de las normas concernientes al manejo de datos de sus usuarios, y garanticen el uso apropiado y la transparencia de dicha información. Para evitar cualquier tipo de fraude, las empresas deben tener claridad en el tratamiento de los datos y aplicar medidas de protección. 

Principios básicos de la protección de datos

Además de las obligaciones antes mencionadas, el responsable deberá cumplir con los siguientes principios establecidos por la Ley de Protección de Datos en el tratamiento de los datos:

1. Licitud: el tratamiento debe ser en cumplimiento de la Ley de Protección de Datos, su Reglamento y cualquier otra regulación aplicable.
2. Consentimiento: obtener la aprobación de los titulares para el tratamiento de sus datos personales, cuando este sea necesario. La conformidad tiene que cederse de acuerdo a los motivos de tratamiento definido.
3. Información: dar a conocer al titular la información relacionada con el tratamiento de sus datos; por ejemplo, qué datos se recabarán y las finalidades del tratamiento, entre otros. Esto se notificará en el aviso de privacidad de la página.
4. Calidad: los datos personales tratados deben ser exactos, completos, pertinentes, correctos y actualizados de acuerdo con las finalidades para las que fueron recabados.
5. Finalidad: los datos personales deben ser tratados para el cumplimiento de las finalidades establecidas en el aviso de privacidad.
6. Lealtad: tratar los datos personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad.
7. Proporcionalidad: sólo podrán tratarse los datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades previstas en el aviso de privacidad.
8. Responsabilidad: responder por el tratamiento de los datos personales recabados o por aquellos que haya comunicado al encargado.

Además de estos 8 principios, la Ley de Protección de Datos también prevé los deberes de seguridad y de confidencialidad, que deben ser cumplidos por el responsable.

El deber de seguridad consiste en establecer controles de seguridad para proteger los datos de cualquier uso indebido. Dichas medidas deben brindar la misma protección que aquellas medidas que utiliza la empresa para proteger su propia información. El deber de confidencialidad dicta que se deberá guardar la confidencialidad de los datos personales tratados.

Obligaciones para las Empresas

La Ley de Protección de Datos, establece diversas obligaciones y responsabilidades que deben ser observadas por las empresas que traten datos personales. Entre ellas se encuentran brindar información suficiente a los titulares sobre el tratamiento de sus datos personales, así como obtener su consentimiento.

1. Tener un aviso de privacidad

Cualquier persona física o moral que recabe y trate datos personales debe tener un aviso de privacidad.

A través de este documento se satisface la obligación impuesta por la Ley de Protección de Datos, al informar a los titulares la existencia y características principales del tratamiento a la cual serán sometidos sus datos personales. En este sentido, el aviso de privacidad debe dar a conocer:

• La identidad del responsable;
• Qué datos se recabarán;
• Cuáles son las finalidades del tratamiento;
• Los derechos de los que goza el titular;
• Si se comparten sus datos con otras entidades, entre otra información

2. Tener el consentimiento del titular

Es importante mencionar que el tratamiento de datos personales está sujeto al consentimiento tácito o expreso del titular de los datos, salvo las excepciones establecidas por la Ley de Protección de Datos.

El consentimiento será expreso cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos. Hacemos notar que cuando se obtengan datos personales patrimoniales, financieros y sensibles, es necesario contar con el consentimiento expreso de los titulares.

El consentimiento será tácito cuando, habiéndose puesto a su disposición el aviso de privacidad, el titular no manifieste oposición al tratamiento de sus datos.

Asimismo, y como regla general, se requerirá el consentimiento del titular para permitir al responsable transferir sus datos personales a otras empresas no relacionadas, ya sea que estas se encuentren en México o en el extranjero.

Sin embargo, la Ley de Protección de datos prevé algunos casos en los que no se requerirá el consentimiento de los titulares. Por ejemplo, cuando la transferencia sea efectuada dentro el mismo grupo corporativo del responsable.

3. Permitir el acceso, rectificación, cancelación y oposición del titular

Otra obligación de los responsables, es permitir que los titulares ejerzan sus derechos de acceso, rectificación, cancelación y oposición (conjuntamente denominados "Derechos ARCO").

A continuación explicaremos con más detalle cada uno de estos:

Acceso

Hace referencia al derecho que poseen las personas de recibir detalles sobre el manejo de sus datos.

Rectificación

En caso que los datos sean inapropiados, el titular tiene derecho a solicitar su corrección.

Cancelación

Cuando los datos no están siendo procesados legalmente, las personas tienen derecho a pedir la eliminación de la información.

Oposición al procesamiento de datos

Los usuarios pueden negarse al procesamiento de su información personal.

De igual modo, quienes son poseedores de los datos deben atender las solicitudes de revocación de consentimiento, limitación del uso, así mismo de divagación por parte de los titulares, respecto de los datos personales en posesión del responsable. Para este fin, el responsable deberá designar a una persona o un departamento de datos personales para atender las solicitudes de los titulares que quieran ejercer sus derechos ARCO.

Derechos del titular de los datos

A diferencia de la regulación europea en materia de protección de datos del RGPD, México no otorga ciertos derechos a los titulares de los datos.

Tal es el caso del derecho de portabilidad, que brinda al titular la potestad de solicitar y obtener una copia de cualquier datos que tenga el responsable del tratamiento de los mismos.

También no se otorga la facultad de solicitar a dicho responsable hacer llegar los datos personales del titular a otro responsable.

Por el fin, no hay el derecho al olvido, que permite al titular solicitar la eliminación de sus datos personales.

Seguridad de los datos personales

El “Reglamento” define una vulneración de seguridad como:

• La pérdida o destrucción no autorizada;
• El robo, extravío o copia no autorizada;
• El uso, acceso o tratamiento no autorizado, o
• El daño, la alteración o modificación no autorizada de los datos personales en posesión del responsable.

Por lo tanto, los responsables deben implementar medidas administrativas técnicas y físicas para evitar una vulneración de seguridad.

Es importante conocer las obligaciones que surgen para los responsables cuando se presenta alguno de los casos antes mencionados. En cualquiera de estos casos, el responsable deberá informar a los titulares de los datos en cuanto confirme que ocurrió una vulneración.

También, deberá investigar y analizar las causas que dieron origen a la vulneración e implementar las medidas de seguridad correspondientes, con la finalidad de evitar que la vulneración se repita.

La Ley de Protección de Datos impone una variedad de restricciones y obligaciones a las empresas que recaben y traten datos personales. En caso de incumplimientos con las disposiciones de la Ley de Protección de Datos y su “Reglamento” el INAI podrá imponer penas, cuyo monto dependerá del incumplimiento o la omisión de que se trate. Sin embargo, dichas penas se duplicarán si la infracción es cometida en el tratamiento de datos personales sensibles.

Mejores prácticas de protección de datos

Para evitar ser acreedor a sanciones y estar en cumplimiento de las disposiciones en materia de protección de datos personales, a continuación, encontrarás algunas recomendaciones sobre mejores prácticas:

1. Prepara un aviso de privacidad y ponlo a disposición de los titulares previo a la obtención de sus datos personales, o bien, al primer contacto que tengas con ellos cuando los datos personales sean obtenidos de manera indirecta del titular.
2. Recuerda que el aviso de privacidad debe mencionar: el nombre domicilio del responsable, qué datos recabará, las finalidades del tratamiento, las trasferencias que realices, los derechos que podrán ejercer los titulares y cómo notificará cualquier cambio al aviso de privacidad, entre otros elementos.
3. Obtén el consentimiento tácito o expreso de los titulares, tanto para el tratamiento de sus datos como para realizar transferencias, cuando este sea necesario.
4. Atiende en tiempo y forma las solicitudes de derecho ARCO, revocación del consentimiento o limitación al uso o divulgación de los datos personales, que presenten los titulares de los datos.
5. Trata los datos personales de acuerdo con los 8 principios y los deberes establecidos por la Ley de Protección de Datos.
6. Designa a una persona o departamento como oficial de privacidad de la empresa, quien se encargará de atender las solicitudes de los titulares, la implementación de políticas de protección de datos personales, así como el debido cumplimiento de las disposiciones de la Ley de Protección de Datos.
7. Implementa las medidas de seguridad administrativas, técnicas y físicas necesarias para el correcto almacenamiento de los datos personales, con la finalidad de evitar una vulneración de seguridad

A pesar de lo complicado que podría parecer implementar las prácticas descritas, las empresas deberían considerar que, al hacerlo, podrán optimizar el uso y almacenamiento de los datos personales en su posesión.

Además, el cumplimiento con la Ley de Protección de Datos se traducirá en mayor confianza, satisfacción y tranquilidad por parte de los usuarios, pues saben que sus datos personales serán tratados responsablemente.

El derecho a la protección

De acuerdo a la Ley Federal de Protección de Datos en Posesión de los Particulares (LFPD), inmediatamente que una persona suministra sus datos personales a una organización, la misma debe responsabilizarse de brindarle un manejo adecuado.

Adicionalmente, esta ley argumenta que las empresas que gestionen datos tienen que garantizar mecanismos de seguridad técnicos, administrativos y físicos que resguarden la seguridad digital de los titulares en México. Para ello tiene que designarse a un departamento o persona que se encargue dela protección de los datos personales. 

Que las empresas cumplan con las pautas que se establecen en los instrumentos jurídicos de gestión de datos personales es muy importante. De no ser así, las sanciones estipuladas en la LFPD oscilan entre los 2 y 4 millones de dólares en caso que se filtren datos sensibles.

Por esta razón, contar la tecnología adecuada es la mejor alternativa para prevenir cualquier acceso no autorizado, hurto o destrucción de datos relacionados a los usuarios. En el siguiente apartado te explicaremos los aspectos esenciales que debe tener un proveedor de tecnología para considerarlo seguro y eficaz.

¿Cómo elegir a un proveedor de tecnología seguro?

La tecnología correcta es indispensable para que tu empresa pueda garantizar la seguridad digital y la protección de los datos de tus clientes. Por esta razón, debes escoger un proveedor eficaz que te brinde los más altos estándares de calidad.

La forma correcta de evaluar a un proveedor de tecnología es considerando ciertos aspectos que te explicaremos a continuación:

• El proveedor dispone de mecanismos que garantizan la seguridad digital de sus clientes.
• Puede avisar al titular de los datos cualquier variación en las políticas de privacidad.
• Tiene mecanismos que brindan la posibilidad al titular de darse de baja en cualquier lista de datos.
• Disponen de medidas de administración de seguridad que evitan que cualquier persona no autorizada tenga acceso a la información personal. 

Las firmas electrónicas aseguran la protección de datos

Todas las empresas recopilan múltiples datos cada día. Ya sea para crear un perfil del cliente, gestionarlo en el CRM o para incluir en un contrato que será enviado para su firma electrónica. Por eso, es esencial elegir los mejores proveedores de tecnología que te permitan implementar dichas medidas administrativas técnicas de seguridad.

En DocuSign estamos conscientes de la importancia de conocer y aplicar la Ley de Protección de Datos de México, su Reglamento y las guías emitidas por el INAI. Por esto, nuestras soluciones están comprometidas con la protección de datos.

Las firmas electrónicas son una solución fiable que asegura que los datos de los clientes están protegidos bajo múltiples técnicas modernas de seguridad y certificaciones globales. Conoce más en nuestro Centro de Confianza.

Si quieres asegurar que los datos de tus acuerdos están siempre protegidos, conoce nuestro monitoreo en tiempo real. Subscríbete a una prueba gratuita ahora.