Tratamiento de datos personales en México: Qué es y cómo se realiza

Uno de los mayores avances del sector empresarial en los últimos años es el uso de las Tecnologías de la Información y las Comunicaciones (TIC) para optimizar procesos. Sin embargo, este recurso también despierta preocupación debido a los riesgos que involucra el tratamiento de datos personales. 

El término datos personales hace referencia a toda información perteneciente a una persona, que permita su identificación, tales como: nombre completo, domicilio, número telefónico, dirección de correo electrónico, números de identificación, características físicas e incluso el historial académico y profesional.

Los datos personales pueden clasificarse en datos sensibles (aquellos que pueden poner en riesgo la integridad del sujeto: raza, etnia, religión, filiación política, etc.) y datos patrimoniales y financieros (dinero, bienes, información fiscal, cuentas bancarias, historial de crédito, número de tarjeta de crédito y otros).

La protección de los datos personales es fundamental para garantizar la privacidad de los individuos y evitar delitos como robo de identidad, fraude y uso no autorizado de información confidencial. Por ello, países como México han avanzado en la creación de leyes para certificar la transparencia en el tratamiento de datos personales.

Tratamiento de datos personales: ¿en qué consiste?

El tratamiento de datos personales consiste en la obtención, recepción, recolección, reproducción, almacenamiento, extracción, uso y divulgación de información que identifica o puede ser utilizada para identificar a un individuo, mediante procedimientos manuales o automatizados.

En estos procesos participan tres elementos clave: el titular (propietario de los datos personales), el responsable (persona o entidad con poder de decisión sobre el uso y tratamiento de los datos) y el encargado (quien realiza el tratamiento de datos por orden del responsable).

Principios para el tratamiento de datos personales

Es importante destacar que la figura del responsable tiene el deber de efectuar el tratamiento de datos personales, cumpliendo con los principios establecidos para dicho proceso en la legislación vigente.

En México, tanto la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, como la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, estipulan los principios de:

• Licitud: señala que los datos personales deben recolectarse y tratarse de forma lícita y no a través de medios fraudulentos.
• Consentimiento: alude a la aceptación del titular para el tratamiento de los datos. Si bien existen excepciones en que el consentimiento del titular de los datos no es indispensable para su tratamiento, se trata de casos específicos reseñados en la ley, tales como la información recolectada en fuentes de acceso público.
• Información: apunta a la obligación del responsable de comunicar al titular las características principales del proceso de tratamiento de datos personales, utilizando el aviso de privacidad. 
• Calidad: establece la exactitud, pertinencia y actualidad de los datos obtenidos.
• Finalidad: no es más que la declaración expresa (por parte del responsable) del propósito de la información recabada y debe estar incluida en el aviso de privacidad. Si el responsable pretende utilizar los datos con un objetivo distinto al declarado, tendrá que solicitar nuevamente el consentimiento del titular.
• Lealtad: determina que el tratamiento de los datos personales será efectuado de forma ética y transparente, protegiendo los intereses del titular y la expectativa de privacidad, dentro de lo razonable.
• Proporcionalidad: el responsable garantiza que recopila las informaciones necesarias, adecuadas y relevantes para cumplir con la finalidad, con restricciones de tiempo para el procesamiento de datos sensibles.
• Responsabilidad: expresa el deber de cumplir con la legislación vigente en materia de tratamiento de datos personales y la adopción de medidas que lo certifiquen, por parte del responsable.

Ejemplo de tratamiento de datos personales

En el mundo moderno, podemos encontrar innumerables ejemplos de tratamiento de datos personales en todas las esferas de la vida cotidiana, como es el caso de las compras electrónicas en las que el titular suministra al comercio online información sobre su nombre, número fiscal, ubicación, teléfono y medios de pago.

Otra situación en la que también está presente el tratamiento de datos personales es en la inscripción de un familiar en un centro educativo, proceso en el que la institución obtiene información del estudiante y su representante o contacto de emergencia.

Y, desde luego, la comparecencia a consultas médicas involucra el tratamiento de datos personales, ya que el paciente debe proporcionar información que permitirá su registro o la visualización del historial médico correspondiente.

¿Qué dice la ley sobre tratamiento de datos personales?

Como te referimos previamente, en México existen dos legislaciones específicas para regular el tratamiento de datos personales: la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares, promulgada en el año 2010, está destinada a reglamentar el trato de informaciones por parte de personas físicas y morales del sector privado.

Esta legislación cuenta con un reglamento y cinco instrumentos normativos, entre los que destacan los Lineamientos del Aviso de Privacidad y los Parámetros de Autorregulación en Materia de Protección de Datos Personales.

Por su parte, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, publicada en 2017, está orientada al sector público y, al igual que su antecesora, garantiza la protección de la información y privacidad de las personas.

Vale la pena destacar que la protección de datos está consagrada como un derecho en el párrafo 2 del artículo 16 de la Constitución Política de los Estados Unidos Mexicanos.

Este mismo apartado reconoce que toda persona puede acceder, rectificar y cancelar sus datos personales, además de oponerse a su uso, lo que se conoce popularmente como derechos ARCO (Acceso, Rectificación, Cancelación, Oposición). 

Los derechos ARCO están contemplados en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, así como en las normas que regulan el tratamiento de datos personales en las entidades federativas.     

¿Cómo realizar un adecuado tratamiento de datos personales?

Para garantizar un tratamiento de datos personales adecuado y proteger la privacidad de los usuarios, es preciso:

1. Comprobar las características del programa de captación de datos y la información solicitada a los usuarios.
2. Obtener el consentimiento de las personas, antes de recolectar la información.
3. Almacenar los datos en servidores seguros, protegidos con sistemas de encriptación y ciberseguridad.
4. Limitar el personal con acceso a los datos (solo autorizados).
5. Eliminar información innecesaria, en especial aquella calificada como sensible.
6. Verificar el cumplimiento de la legislación vigente en materia de tratamiento de datos personales.
7. Mantener al día los términos de uso y la política de privacidad de la organización.

Ahora que conoces más sobre el tratamiento de datos personales en México: qué es y cómo se realiza, te invitamos a descargar la guía sobre cómo cumplir con la privacidad de datos en México para que conozcas la mejor forma de gestionar la información de tus clientes.