¿Que son los datos personales información del IFAI?
Es cualquier información relacionada contigo, por ejemplo, tu nombre, teléfono, domicilio, fotografía o huellas dactilares, así como cualquier otro dato que pueda servir para identificarte. Este tipo de datos te permiten además, interactuar con otras personas, o con una o más organizaciones, así como que puedas ser sujeto de derechos.
¿A quién le pertenecen los datos personales?
El dueño de tus datos personales eres TÚ, y TÚ decides a quién, para qué, cuándo y por qué los proporcionas.
¿Qué tipo de datos personales hay?
Existen diferentes categorías de datos, por ejemplo, de identificación (nombre, domicilio, teléfono, correo electrónico, firma, RFC, CURP, fecha de nacimiento, edad, nacionalidad, estado civil, etc.); laborales (puesto, domicilio, correo electrónico y teléfono del trabajo); patrimoniales (información fiscal, historial crediticio, cuentas bancarias, ingresos y egresos, etc.); académicos (trayectoria educativa, título, número de cédula, certificados, etc.); ideológicos (creencias religiosas, afiliación política y/o sindical, pertenencia a organizaciones de la sociedad civil y/o asociaciones religiosas; de salud (estado de salud, historial clínico, enfermedades, información relacionada con cuestiones de carácter psicológico y/o psiquiátrico, etc.); características personales (tipo de sangre, ADN, huella digital, etc.); características físicas (color de piel, iris y cabellos, señales particulares, etc.); vida y hábitos sexuales, origen (étnico y racial.); entre otros.
¿Cuáles son los datos personales sensibles?
Son los datos que, de divulgarse de manera indebida, afectarían la esfera más íntima del ser humano. Ejemplos de este tipo de datos son: el origen racial o étnico, el estado de salud, la información genética, las creencias religiosas, filosóficas y morales, la afiliación sindical, las opiniones políticas y las preferencias sexuales. Estos datos requieren mayor protección y la Ley establece un tratamiento especial.
¿Por qué es importante proteger los datos personales?
Para evitar que los datos sean utilizados para una finalidad distinta para la cual la proporcionaste, evitando con ello se afecten otros derechos y libertades, por ejemplo que se utilice de forma incorrecta cierta información de salud lo que podría ocasionar una discriminación laboral, entre otros supuestos.
¿Quién está obligado a proteger los datos personales?
Todos debemos proteger los datos personales, es un esfuerzo conjunto: Tú exigiendo tus derechos, quienes posean datos personales, observando lo establecido por la Ley y el IFAI, garantizando ese derecho.
¿Qué tienen que hacer los entes privados para garantizar la protección de mis datos?
- Nombrar a un responsable que atienda tus solicitudes de acceso, rectificación, cancelación y oposición de tus datos personales.
- Contar con las medidas de seguridad necesarias para garantizar tus datos contra un uso indebido o ilícito, un acceso no autorizado, o contra la pérdida, alteración, robo o modificación de tu información personal.
- Capacitar a su personal.
- Informarte sobre el uso que dará a tu información.
¿En qué consiste el derecho de protección de datos personales?
Es la facultad que otorga la Ley para que tú, como dueño de los datos personales, decidas a quién proporcionas tu información, cómo y para qué; este derecho te permite acceder, rectificar, cancelar y oponerte al tratamiento de tu información personal. Por sus iniciales, son conocidos comúnmente como derechos ARCO.
¿Qué importancia tienen los datos personales?
En la era de las comunicaciones, el manejo e intercambio de datos se ha convertido en una práctica habitual, lo mismo para el sector público que para las empresas, las cuales los utilizan para el desarrollo de sus actividades cotidianas, tales como:
- Venta de bienes (libros por Internet o un coche en una agencia)
- Contratación de servicios (análisis clínicos, un seguro de vida o la inscripción a una escuela)
- Oferta de empleo (al presentar el currículum o llenar una solicitud laboral)
Por ello, el artículo 16 de nuestra Constitución reconoce ya el derecho fundamental a que los datos personales sean protegidos. Y por ello, todas las personas físicas o morales que cuenten con bases de datos (escuelas, hospitales, médicos, aseguradoras, empresas, etc.,) están obligadas a seguir ciertas reglas que garanticen su uso adecuado y seguro.
Dichas reglas están contenidas en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPP).
¿Cuáles son las características principales de la LFPDPP?
Esta Ley regula la forma y condiciones en que deben utilizarse los datos personales por parte de personas físicas o morales en el ámbito privado. Tiene por objeto garantizar la protección de tu información personal y que puedas ejercer el derecho a decidir, de manera libre e informada, sobre el uso que los entes privados darán a los datos. A esto se le conoce como “autodeterminación informativa”.
¿Quién será la autoridad responsable de proteger mis derechos materia de datos personales?
El IFAI es la autoridad garante en materia de protección de datos personales. La Ley le ha otorgado la facultad de difundir el conocimiento de este nuevo derecho entre la sociedad mexicana, de promover su ejercicio y vigilar su debida observancia por parte de los entes privados que posean datos personales.
El Instituto podrá llevar a cabo inspecciones a los sistemas de bases de datos de las empresas a fin de corroborar el debido cumplimiento de las disposiciones contenidas en la Ley.
Si no estás satisfecho con lo que la empresa te respondió al ejercer tu derecho de acceso, rectificación, cancelación u oposición, o bien, no obtuviste respuesta, puedes acudir al IFAI. Mediante un procedimiento sencillo y expedito, el Instituto atenderá tu solicitud.
¿Qué otras autoridades están involucradas?
Con el propósito de coadyuvar con el Instituto en la debida aplicación de la Ley, dependencias de la Administración Pública Federal colaborarán con el IFAI en la emisión de la regulación que corresponda. Entre ellas están las secretarías de Economía, Salud, Comunicaciones y Transportes, Hacienda y Crédito Público y Educación, las cuales deberán emitir normas específicas para la protección de los datos personales en los sectores económico, de salud, telecomunicaciones, financiero y educativo.
¿Qué significa “tratamiento de datos personales”?
Se refiere a cualquier operación que se realice con tus datos, desde su obtención, uso, divulgación, almacenamiento y hasta su cancelación y supresión.
¿Quién puede tratar los datos personales?
Cualquier particular, ya sea persona física o moral; por ejemplo, un colegio, un hospital, un médico, una aseguradora, un banco, una compañía telefónica, una tienda de autoservicio, un gimnasio. Todos ellos deben observar las disposiciones previstas en la Ley.
No están sujetos a las disposiciones de esta ley:
- Las sociedades de información crediticia (buró de crédito) debido a que ya se encuentran reguladas por la Ley de las Sociedades de Información Crediticia
- Quienes traten (personas físicas o morales) los datos con fines exclusivamente personales, sin afán de divulgarlos o utilizarlos de manera comercial; por ejemplo, el directorio telefónico de los amigos y contactos personales
¿Cuáles son y en qué consisten los principios rectores de la protección de datos personales?
Los principios de protección de datos pueden definirse como una serie de reglas mínimas que deben observar las empresas o entes privados que tratan datos personales (personas físicas o morales), garantizando con ello un uso adecuado de la información personal. Estos principios son: licitud, consentimiento, calidad, información, proporcionalidad y responsabilidad.
Principio de Licitud – Se refiere al compromiso que deben asumir los entes privados (personas físicas o morales) que traten tu información cuando solicitas la prestación de un bien o servicio, respetando en todo momento la confianza que depositas en ellos para el buen uso que le darán a los datos.
Principio de Consentimiento – Al ser tú el dueño de los datos, este principio te permite decidir de manera informada, libre, inequívoca y específica si quieres compartir tu información con otras personas. Para las empresas que la posean, implica el deber de solicitar tu autorización o consentimiento para que pueda tratar la información que te concierne, sobre todo cuando se trata de datos sensibles que afectan tu esfera más íntima. La Ley exige a las empresas soliciten tu consentimiento de manera expresa y por escrito. Adicionalmente, deberán implementar medidas de seguridad muy estrictas que eviten quebrantar la confidencialidad, integridad y disponibilidad de esos datos.
Principio de Calidad – Los datos personales en posesión de empresas deben estar actualizados y reflejar con veracidad la realidad de la información, de tal manera que cualquier inexactitud no te afecte. Asimismo, implica que el tiempo que esa empresa conserve tus datos no debe exceder más allá de lo necesario para el cumplimiento de los fines que justificaron su tratamiento. Cuando se cumpla íntegramente la finalidad para la cual se proporcionaron los datos, el tratamiento deja de ser necesario y, por lo tanto, las empresas deben cancelarlos.
Principio de Información – Se refiere a la potestad que te otorga la Ley de conocer previamente las características esenciales del tratamiento a que serán sometidos los datos personales que proporciones a un ente privado o empresa. En un lenguaje comprensible, las empresas y las personas físicas deben dar a conocer esas características a través del “Aviso de Privacidad”.
Principio de Proporcionalidad – Las empresas sólo podrán recabar los datos estrictamente necesarios e indispensables para la finalidad que se persigue y que justifica su tratamiento.
Principio de Responsabilidad – Quienes traten datos personales deben asegurar que ya sea dentro o fuera de nuestro país, se cumpla con los principios esenciales de protección de datos personales, comprometiéndose a velar siempre por el cumplimiento de estos principios y a rendir cuentas en caso de incumplimiento.
La importancia de la seguridad de la información personal
Un pilar básico y fundamental de un efectivo sistema de protección de datos personales es la garantía de la seguridad de la información, entendida ésta como la implementación de medidas administrativas, físicas y técnicas eficaces para garantizar y velar por la integridad, confidencialidad y disponibilidad de tus datos personales. Ello contribuye a minimizar los riesgos de acciones en contra de tu información personal como robo, alteración o modificación, pérdida total o parcial, transmisiones indebidas o ilícitas, accesos no autorizados y robo de identidad, entre otras, que pueden lesionar tus derechos o libertades fundamentales.
¿Qué es un Aviso de Privacidad?
Cualquier empresa o ente privado que solicite datos personales deberá elaborar un Aviso de Privacidad, documento a través del cual podrás conocer la finalidad que tendrá la información que se te pida. El Aviso de Privacidad deberá proporcionar además, información que permita identificar a la empresa que recaba los datos y deberá precisar la forma de hacer efectivos los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO).
En el Aviso de Privacidad la empresa deberá consultarte si autorizas que se transfiera tu información a terceros. La empresa deberá notificarte de cualquier cambio que realice al Aviso de Privacidad y pedir tu consentimiento para el nuevo uso que quiera dar a tus datos.
El Aviso de Privacidad podrá ponerse a tu disposición a través de medios físicos, digitales, visuales, sonoros o de cualquier otra tecnología.
A partir de la entrada en vigor de la Ley, las empresas tienen un plazo de un año para expedir los Avisos de Privacidad.
El Aviso de Privacidad deberá precisar la persona o departamento encargado de atender las solicitudes para acceder, rectificar, cancelar u oponerse al uso de datos personales (derechos ARCO).
¿Qué es una transferencia de datos personales?
Se refiere a cualquier tipo de comunicación de datos realizada a una persona distinta de la empresa a la que se los proporcionaste. Dichas transferencias podrán realizarse siempre y cuando tú lo autorices.
La Ley prevé que la transmisión de datos se lleve a cabo sin que medie consentimiento cuando:
- Esté prevista en una ley o en un tratado del cual México sea parte
- Sea necesaria para la prevención o diagnóstico médico
- Se realice entre empresas pertenecientes a un grupo empresarial que compartan determinados procesos o políticas internas
- Sea necesaria para el cumplimiento de un contrato que sea de tu interés, celebrado entre la empresa que posee los datos y un tercero
- Por el interés público de procuración o administración de justicia
- Cuando lo solicite un juez dentro de un proceso judicial
¿De qué manera se ejercen los derechos de acceso, rectificación, cancelación u oposición (ARCO)?
Cada uno de nosotros, como titulares de los datos personales, o en su caso, un representante legal, podremos ejercer cualquiera de los derechos ARCO ante las empresas que los tengan en sus bases de datos.
Las empresas privadas que cuenten con bases de datos deberán designar en un área de atención a clientes a un responsable para recibir las solicitudes tendientes a ejercer los derechos ARCO.
Es importante tener en cuenta que el ejercicio de cada uno de estos derechos es independiente entre sí, es decir, no es necesario agotar uno para ejercer alguno de los otros tres.
¿Qué es el derecho de Acceso?
Tú puedes solicitar a una determinada empresa que informe si en sus bases de datos tiene alguno de tus datos personales.
Para ejercer este derecho debes presentar a la empresa una solicitud, ya sea por escrito, por medios electrónicos o cualquier otra tecnología. La solicitud debe contener lo siguiente:
- Tu nombre y domicilio o medio para recibir comunicaciones
- Tu identificación o documentos que acrediten la personalidad del representante legal
- La explicación clara y precisa de los datos personales a los cuales quieres tener acceso
- Cualquier otro elemento o documento que facilite la localización de tus datos personales
Es importante conservar la constancia de la solicitud que presentaste pues si no obtuviste respuesta o no quedaste satisfecho puedes acudir al Instituto Federal de Acceso a la Información Pública y Protección de Datos (IFAI). La constancia será indispensable.
¿En qué consiste el derecho de Rectificación?
Es el derecho que te otorga la Ley a que se corrijan tus datos personales que alguna empresa tenga en sus bases. Aplica cuando los datos son incorrectos, imprecisos, incompletos o están desactualizados. Para que tu información sea corregida debes presentar la solicitud correspondiente, ya sea por escrito, por medios electrónicos, ópticos o de cualquier otra tecnología. La solicitud debe contener:
- Tu nombre y domicilio o medio para recibir comunicaciones
- Tu identificación o documentos que acrediten la personalidad del representante legal
- Especificar los datos que deseas sean rectificados, así como algún documento que justifique la rectificación
- Cualquier otro elemento o documento que facilite la localización de tus datos personales.
Es importante conservar la constancia de la solicitud pues será necesaria en caso de que decidas acudir al IFAI.
¿A qué se refiere el derecho de Cancelación?
Es la facultad que te otorga la Ley para que solicites la cancelación de tus datos de las bases que tenga una determinada empresa, la cual deberá dejar de tratar tus datos, en especial cuando dicho tratamiento no cumpla con las disposiciones legales aplicables. Los datos deberán ser bloqueados y, posteriormente, suprimidos de las bases de datos.
Esta solicitud procede cuando la información personal ya no es necesaria para las actividades relacionadas con la empresa que los tiene en sus bases. La petición se deberá presentar por escrito, por medios electrónicos, ópticos o de cualquier otra tecnología; deberá contener:
- Tu nombre y domicilio o medio para recibir comunicaciones
- Tu identificación o documentos que acrediten la personalidad del representante legal
- Especificar los datos que deben ser cancelados
- Cualquier otro elemento o documento que facilite la localización de los datos personales
- De ser posible, la finalidad del tratamiento para la cual son tratados tus datos personales.
Es importante que conserves la constancia de la solicitud que hayas presentado a la empresa que tiene tus datos. Será indispensable en caso de que requieras el apoyo para iniciar el procedimiento ante el IFAI.
¿Cuál es el derecho de Oposición?
Consiste en la facultad que tienes para solicitar a la empresa que pretenda realizar el tratamiento de tus datos personales que se abstenga de hacerlo en determinadas situaciones, por ejemplo, para fines publicitarios.
La solicitud deberá contener:
- Tu nombre y domicilio o medio para recibir comunicaciones
- Tu identificación o documentos que acrediten la personalidad del representante legal
- Especificar las razones por las cuales te opones al tratamiento
¿Cuál es el costo del ejercicio de los derechos ARCO?
El ejercicio de los derechos ARCO es gratuito y únicamente deberás cubrir el costo por reproducción en copias u otros formatos. En caso de que volvieras a ejercer cualquiera de los derechos en un plazo menor a doce meses, el costo no podrá exceder del equivalente a tres días de salario mínimo vigente en el Distrito Federal. Si se realizaran modificaciones sustanciales al Aviso de Privacidad y surgen situaciones que ameriten nuevamente el ejercicio de un mismo derecho en menos de 12 meses, no habrá costo.
¿En cuánto tiempo se debe obtener respuesta de la persona física o empresa respecto del ejercicio de derechos?
Una vez presentada la solicitud, la empresa que posea tus datos cuenta con un plazo máximo de 20 días hábiles para responder, y 15 días hábiles más para hacer efectivos los el ejercicio de derecho que solicites, en caso de que resulten procedentes. Los plazos podrán ser ampliados por una sola vez y por un periodo igual cuando existan hechos que lo justifiquen.
¿En qué casos puede la empresa negarse total o parcialmente a permitir el acceso, o a realizar la rectificación o cancelación de los datos personales, o a conceder la oposición al tratamiento de los mismos?
- Cuando el solicitante no sea el titular de los datos personales, o el representante no esté debidamente acreditado
- Cuando la persona física o empresa no tenga en su posesión los datos personales
- Cuando se lesionen datos personales de un tercero
- Cuando exista algún impedimento legal o resolución de autoridad competente que restrinja el ejercicio de alguno de los derechos ARCO
- Cuando la rectificación, cancelación y oposición solicitada haya sido previamente realizada.
La empresa deberá comunicar y justificar cuando se actualice alguno de los anteriores supuestos y no pueda llevar a cabo la acción que le fue solicitada.
¿Qué puedes hacer en caso de que se mal utilicen tus datos?
Si te enteras que una empresa está haciendo mal uso de tus datos personales, puedes ejercer tu derecho de oposición, a fin de que los datos no sean utilizados. La excepción a esta disposición opera cuando:
- El titular de los datos personales sea parte firmante de un contrato y el tratamiento de sus datos personales sea necesario para el cumplimiento de dicho contrato
- Exista una disposición legal que prevea su tratamiento
- La cancelación obstaculice actuaciones judiciales o administrativas vinculadas con obligaciones fiscales o la investigación y persecución de delitos
- Su tratamiento sea necesario para realizar una acción de interés público
- Su tratamiento sea necesario para cumplir con una obligación que el titular de los datos haya adquirido
- Los datos sean objeto de tratamiento para la prevención o diagnóstico médico o la gestión de servicios de salud -siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto
¿Ante quién se puede recurrir en caso de que se vulneren algunos de los derechos en materia de protección de datos?
Si no estás conforme o satisfecho con la respuesta que te dio la empresa que posee la información, puedes acudir al Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), que es la autoridad en materia de protección de datos.
¿Cuál es el procedimiento que se lleva a cabo ante el IFAI?
Puedes presentar una solicitud de protección de datos ante el Instituto, ya sea por escrito libre o por medios electrónicos, durante los 15 días hábiles siguientes a la fecha en que la empresa haya comunicado su respuesta; o bien, a partir de que haya vencido el plazo de respuesta, sin que ésta hubiera sido generada.
¿Cuánto tiempo tiene el Instituto para resolver tu solicitud?
El plazo máximo para emitir la resolución es de 50 días hábiles, contados a partir de la presentación de la solicitud de protección de datos. Si existe causa justificada, el plazo podrá ampliarse por una vez y por un periodo igual.
Emitida la resolución del IFAI ¿cuánto tiempo tiene la empresa que recabó los datos para darle puntual cumplimiento?
En caso de que la resolución que emita el Instituto sea favorable al titular de los datos, el IFAI lo notificará a la empresa o ente privado que tiene los datos; ésta tendrá un plazo de 10 días hábiles para hacer efectivos los derechos objeto de protección. Es importante destacar que la Ley prevé que el procedimiento puede concluir mediante un acuerdo por escrito, firmado por las partes. En cualquier momento, el Instituto puede buscar una conciliación, obligándose a verificar que el acuerdo suscrito sea cumplido por el ente privado.
En caso de que no estés conforme con la resolución que emita el Instituto, ¿ante qué autoridad puedes acudir?
Puedes promover un juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa contra la resolución que emita el IFAI, o interponer un Juicio de Amparo.
Plazos de implementación de la Ley
A fin de que tanto el IFAI, en su carácter de autoridad y como las empresas que posean datos personales se preparen para estar en condiciones de aplicar la Ley, se estableció una serie de plazos.
A más tardar un año después de la entrada en vigor de la Ley, las personas físicas o morales que posean bases de datos deberán expedir los Avisos de Privacidad y designar a la persona o departamento para atender las solicitudes de los titulares de los datos.
Por otro lado, los titulares de los datos podrán ejercer sus derechos de acceso, rectificación, cancelación y oposición ante las personas designadas por las empresas, 18 meses después de la entrada en vigor de la Ley.
En caso de que no haya una respuesta satisfactoria por parte de los entes privados, el titular de los datos podrá recurrir al IFAI en un término aproximado de 20 meses después de la entrada en vigor de la Ley.
¿Recibirán alguna sanción las empresas que no cumplan la Ley?
El Instituto, en su carácter de autoridad garante, tiene la facultad de imponer sanciones a aquellas empresas que incumplan alguna disposición de la Ley. A continuación se mencionan algunas de las posibles sanciones:
* I. Apercibimiento
* II. Multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal, cuando la empresa actúe con negligencia o dolo con respecto a la información personal, no observe los principios de protección de datos establecidos en la Ley u omita datos en el Aviso de Privacidad
* III. Multa de 200 a 320,000 días de salario mínimo general vigente en el Distrito Federal, cuando incumpla con su deber de confidencialidad en el tratamiento de los datos, cambie la finalidad del tratamiento de los mismo sin darte aviso, transfiriera tu datos a terceros sin el consentimiento del titular, obstruya los actos de verificación del Instituto o realice un uso ilegítimo de los datos
* IV. En caso de que persistan las infracciones de manera reiterada, el Instituto podrá imponer una multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal.
Tratándose de infracciones cometidas en el tratamiento de datos sensibles, los montos de las sanciones podrán incrementarse hasta por dos veces.
Antecedentes
El uso extensivo de las tecnologías de la información y las telecomunicaciones ha permitido que en muchas ocasiones los datos personales sean utilizados para fines distintos para los que originalmente fueron recabados, y que sean transmitidos con instancias distintas a las que el dueño (titular) de los datos confió información. Ello viola la esfera de privacidad de la persona y, en ocasiones, lesiona otros derechos y libertades.
A fin de equilibrar las fuerzas entre un individuo y aquellas organizaciones -públicas o privadas- que recaban o colectan datos personales, surgió en Europa el concepto de la protección de los datos personales. Surgió un concepto similar en Estados Unidos de América -el concepto privacidad-, sin embargo sus alcances son distintos.
Bajo el concepto de protección de datos personales, el titular (o dueño) de dichos datos tiene el derecho y la libertad de elegir qué desea comunicar, cuándo y a quién, manteniendo el control sobre su información personal. En naciones más desarrolladas, la protección de datos personales es el más nuevo de los derechos del que goza un ciudadano: el artículo 8° de la Carta de los Derechos Fundamentales de la Unión Europea fue aprobado el 7 de diciembre de 2000.
Seis años después, el Comité de Ministros del Consejo de Europa resolvió declarar el 28 de enero como el “Día de la Protección de los Datos Personales”, con motivo del aniversario de la firma de Convenio No. 108 del Consejo de Europa para la protección de los datos personales en los sistemas automatizados.
En nuestro país, el debate alrededor de este tema inició en 2001 cuando se presentó la primera iniciativa de ley en materia de protección datos personales. A lo largo de ese tiempo fueron presentadas 8 iniciativas, cuyas propuestas oscilaron entre el modelo garantista, que entorpece el libre flujo de datos (opt-in), y el modelo liberalizado, que no plantea puntos mínimos regulatorios para dar certeza al ciudadano. Ninguna de ellas prosperó
Fue hasta el mes de abril de 2009 que la Comisión de Gobernación de la Cámara de Diputados de la LX Legislatura aprobó un dictamen de la ley, mismo que por razones ajenas al ámbito parlamentario (la epidemia de influenza) no logró ser discutido por el Pleno. Al inicio de los trabajos de la LXI Legislatura, la Comisión de Gobernación reabrió el debate.
Convencidos de la relevancia del tema, los miembros del Congreso de la Unión aprobaron la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, el 27 de abril de 2010, una legislación moderna que coloca a nuestro país entre los regímenes que protegen este tipo de derechos, propios de las democracias en el mundo.
Escribir comentario