Documentos de Académico
Documentos de Profesional
Documentos de Cultura
3
TEMA
Aspectos legales y regulatorios
Esquema
Ideas clave
Antes que la LFPDPPP ya había protección de los datos personales a través de las
disposiciones de PROFECO y CONDUSEF, mismas que hablan de lo siguiente:
Estas listas blancas de personas registradas en el REPEP se tienen que adquirir por
parte de las empresas dependiendo del sitio o sitios donde realizarán campañas. Por
ejemplo, si la campaña será en Guadalajara y Monterrey, la empresa deberá adquirir
ambas bases de datos para que no se haga campaña a quienes no lo deseen, de lo
contrario puede haber sanciones económicas y hasta de clausura.
Este registro también es público y gratuito como el REPEP, buscando que todas las
personas que lo deseen se inscriban y sus derechos se vean protegidos en este caso
por la CONDUSEF, quien de igual manera le pide a las instituciones financieras que
adquieran la base de datos de personas que no desean ser molestadas y así eviten ser
sancionados por la autoridad.
Para ello, debemos empezar con definir los datos personales como toda aquella
información que nos de referencia sobre un individuo como un nombre, un número de
empleado, un correo electrónico, un dato de salud y hasta tu estado civil. Es decir, todos
los datos personales de empleados, clientes, proveedores, visitantes, prospectos o, en
general, de cualquier persona que estén en posesión de los obligados son parte de los
elementos que deben protegerse.
Posterior a definir qué es un dato personal, podemos hablar de los procesos que tratan
los datos personales, mismos que siempre tienen una finalidad, misma que debe ser
legal, clara, específica y relativa a los datos personales pedidos para ella. Un ejemplo
sería que, si una empresa tiene como finalidad dar a sus clientes una tarjeta de
fidelidad, puede pedir datos como nombre, dirección o teléfono, pero no puede pedir
información como su estado civil pues no es necesario tenerlo para crear dicha tarjeta.
Por último, tenemos todo aquello que envuelve a los datos personales y genera un
entorno de protección para los mismos. Todo esto se compone de políticas,
capacitación, sensibilización a la organización, medidas de seguridad legales, técnicas y
administrativas, formando un entorno medible y requerido por la propia ley, para
garantizar lo mayormente posible la salvaguarda de los datos personales para todos
aquellos que decidieron compartirlos con nosotros.
Todos los temas anteriores, los veremos más a detalle en cada uno de los subtemas,
siempre recordando que en materia de privacidad cada ente obligado, debe crear su
No está demás señalar que múltiples han sido las sanciones impuestas por la
autoridad a aquellas instituciones que incumplen con sus deberes de salvaguarda de los
datos personales, por lo que debemos evitar cualquier incumplimiento que afecte a la
empresa ya que, el promedio de una sanción, puede caer entre los 3 y 4 millones de
pesos mexicanos.
Para estudiar este tema lee las Ideas clave que encontrarás a continuación:
Reglamento de la LFPDPPP
http://inicio.ifai.org.mx/PROTECCIONDEDATOSPERSONALES/RLFPDPP.pdf
3.2. Generalidades sobre protección de datos
Podemos decir, bajo lo establecido en la Ley, que los datos personales se agrupan en los
siguientes conceptos:
» Gráfica. Son los referentes a los datos personales de origen figurativo o similar y que
pueden abarcar desde firmas autógrafas hasta temas médicos. Algunos ejemplos
pueden ser las radiografías, las rúbricas, las firmas en documentos, las firmas en
identificaciones, los rayos X, las referencias corporales, etc.
» Fotográfica. Parecido a los datos Gráficos, en este rubro tenemos a las fotografías o
vídeos tomados. Normalmente encontramos esto en ejemplos como la fotografía de
las identificaciones que tenemos en copia, la fotografía de las credenciales de
empleado, los vídeos de seguridad en calle o en la empresa, las fotografías de
eventos, etc.
» Alfabética. Son el resto de datos que figuran únicamente en forma escrita, ya sea
digital o análogamente y que están clasificados o utilizados de forma alguna en la
empresa. Son varios ejemplos que pueden clasificarse en este rubro, siendo los
principales los nombres, puestos organizacionales, trabajos anteriores, estado
civil, preferencia sexual, estado de salud, etc.
Los datos personales se deben clasificar, según lo mencionado por la Ley y siguiendo
los preceptos del INAI, en las siguientes clasificaciones:
» Baja. Son aquellos datos que nos dan una sencilla identificación de la persona como
su nombre, su edad o su sexo. En específico, podemos poner estos datos como los
comunes que intercambiamos con los obligados en una relación simple
» Media. Es aquella información que fue obtenida derivado de una relación más
estrecha entre el titular y el responsable, en ella podemos calificar datos como
nuestro historial académico, temas judiciales simples como divorcios y hasta algunos
datos patrimoniales.
Riesgo reforzado
Los datos personales son tratados o usados en diversas formas por los obligados, lo que
da origen a las siguientes clasificaciones de tratamiento:
o Remisión.
o Transmisión.
o Búsqueda en fuentes de acceso público.
1. Acceso:
o Lectura.
o Conocimiento.
o Consulta.
2. Manejo:
o Explotación.
o Impresión.
o Copia.
3. Aprovechamiento:
o Uso comercial.
o Uso para prospección.
4. Disposición
o Acceso al titular.
o Acceso a autoridad.
5. Transferencia:
o Envío a un tercero para finalidad secundaria.
» Divulgación. Esta categoría incluye todas las formas en que se puede hacer público
el dato de la persona por cuestiones como concursos o finalidades explícitas en
relación a esto. Todo ello, queda en los siguientes conceptos:
o Electrónicamente.
o Digitalmente.
o Medios impresos.
o Medios ópticos.
o Medios sonoros.
Aviso de privacidad
Cuando los datos personales hayan sido obtenidos personalmente del titular, el aviso de
privacidad deberá ser facilitado en el momento en que se recaba el dato de forma clara
y fehaciente, a través de los formatos por los que se recaban, salvo que se hubiera
facilitado el aviso con anterioridad, y II.
Cuando los datos personales sean obtenidos directamente del titular por cualquier
medio electrónico, óptico, sonoro, visual, o a través de cualquier otra tecnología, el
responsable deberá proporcionar al titular de manera inmediata, al menos la
información a que se refiere las fracciones I y II del artículo anterior, así como proveer
los mecanismos para que el titular conozca el texto completo del aviso de privacidad.
Artículo 18.- Cuando los datos no hayan sido obtenidos directamente del titular, el
responsable deberá darle a conocer el cambio en el aviso de privacidad. No resulta
aplicable lo establecido en el párrafo anterior, cuando el tratamiento sea con fines
históricos, estadísticos o científicos.
3. Aviso de Privacidad Corto: cuando los espacios son mínimos y limitados, deberá
tener la siguiente estructura:
o Identidad.
o Domicilio.
o Medio para conocer el Aviso de Finalidades primarias y secundarias.
o Privacidad Integral.
» Datos personales sensibles: aquellos datos personales que afecten a la esfera más
íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o
conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos
que puedan revelar aspectos como origen.
» Persona determinada: aquella persona de la que podemos obtener datos por ser
una persona conocida para la empresa.
Los principios son los ejes rectores de la protección de datos en México y los causales
de infracciones por parte de las empresas. Por ello, es importante conocerlos:
Licitud
Consentimiento
Información
Proporcionalidad
Obliga al responsable a solo dar tratamiento a los datos personales que resulten
necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan
obtenido; el responsable deberá realizar esfuerzos razonables para que los datos
personales tratados sean los mínimos necesarios de acuerdo con la finalidad del
tratamiento que tenga lugar.
Finalidad
Obliga al responsable a que todos los datos personales solo se podrán tratar para el
cumplimiento de la finalidad o finalidades establecidas en el aviso de privacidad
correspondiente.
Calidad
Obliga al responsable a que los datos personales tratados sean exactos, completos,
pertinentes, correctos y actualizados según se requiera para el cumplimiento de la
finalidad para la cual son tratados.
Responsabilidad
Obliga al responsable a velar y responder por el tratamiento de los datos personales que
se encuentren bajo su custodia o posesión, o por aquellos que haya comunicado a un
encargado, ya sea que este último se encuentre o no en territorio mexicano, para ello el
responsable podrá velarse de estándares, mejores prácticas internacionales, políticas
corporativas, esquemas de autorregulación o cualquier otro mecanismo que determine
adecuado para tales fines.
Lealtad
Los derechos ARCO establecen las garantías y obligaciones existentes entre los entes
obligados y los titulares de los datos personales. Para ello, podemos definir cada uno de
los derechos como lo siguiente:
Acceso
Saber qué información tiene el responsable de un titular.
Rectificación
Dar confiabilidad a nuestra información personal.
Cancelación
Exigir que aquellos datos que salgan de la finalidad sean eliminados.
Oposición
Definir quién, cómo, cuándo y por qué usan mis datos personales.
Bloqueo
Conservación por disposición legal de datos personales de un titular cuando se haya
cumplido la finalidad por la que fueron recabados o se haya realizado una solicitud del
derecho de Cancelación.
Consiste en delimitar el uso de los datos personales a solo ser tratados en el entorno
vigente y debiendo ser eliminados de cualquier medio una vez que se haya cumplido el
período de conservación por disposición legal.
1. Acreditar Personalidad
» IFE / INE.
» Pasaporte.
» Cartilla del Servicio Militar Nacional.
» Cédula Profesional.
» Certificado o Constancia de estudios.
» Constancia de residencia.
» Credencial de afiliación al IMSS.
» Credencial de afiliación al ISSSTE.
» Documento migratorio que constate la legal estancia del extranjero en el país.
En caso de que el titular de los datos personales sea menor de edad o personas que se
encuentren en estado de interdicción o discapacidad, se deberá seguir lo estipulado en
el Código Civil Federal.
» Acceso. El titular debe mencionar los tipos de datos personales que pudiera tener el
responsable, la fecha aproximada en que los compartió, el tipo de relación
(candidato, empleado, cliente o proveedor), si es necesario documentos que
respalden que el titular compartió los datos personales a el responsable.
» Rectificación. El titular debe mencionar los datos personales que desea actualizar,
la fecha aproximada en que los compartió, el tipo de relación (candidato, empleado,
cliente o proveedor), si es necesario documentos que respalden que el titular
compartió los datos personales a el responsable y los que respalden la actualización
de los mismos.
» Cancelación. El titular debe mencionar los datos personales que desea cancelar, la
fecha aproximada en que los compartió, el tipo de relación (candidato, empleado,
cliente o proveedor), si es necesario documentos que respalden que el titular
compartió los datos personales a el responsable.
» Oposición. El titular debe mencionar los datos personales a los que desea oponerse
a su tratamiento y el tratamiento al que desea oponerse, la fecha aproximada en que
los compartió, el tipo de relación (candidato, empleado, cliente o proveedor), si es
necesario documentos que respalden que el titular compartió los datos personales a
el responsable.
3. Plazos
4. Consideraciones
Si bien como hemos hecho mención con anterioridad en México las Empresas privadas
tienen la obligación de proteger nuestros datos personales desde el año 2010. A partir
de enero del año 2017 las personas e instituciones de gobierno identificadas como
sujetos obligados, deben dar cumplimiento a lo señalado en la Ley General de
Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO).
En dicha ley se establece de forma clara la obligación por parte de las instituciones de
gobierno de establecer un Sistema de Gestión de Seguridad orientado a datos
personales. A continuación, se identificarán los artículos más importantes en relación
con el tema:
Son sujetos obligados por esta Ley, en el ámbito federal, estatal y municipal, cualquier
autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial,
órganos autónomos, partidos políticos, fideicomisos y fondos públicos…
III. Bases de datos: conjunto ordenado de datos personales referentes a una persona
física identificada o identificable, condicionados a criterios determinados, con
independencia de la forma o modalidad de su creación, tipo de soporte,
procesamiento, almacenamiento y organización;
XVII. Fuentes de acceso público: aquellas bases de datos, sistemas o archivos que por
disposición de ley puedan ser consultadas públicamente cuando no exista
impedimento por una norma limitativa y sin más exigencia que, en su caso, el
pago de una contraprestación, tarifa o contribución. No se considerará fuente de
acceso público cuando la información contenida en la misma sea obtenida o tenga
una procedencia ilícita, conforme a las disposiciones establecidas por la presente
Ley y demás normativa aplicable;
XIX. Medidas compensatorias: mecanismos alternos para dar a conocer a los titulares
el aviso de privacidad, a través de su difusión por medios masivos de
comunicación u otros de amplio alcance;
XXVIII. Responsable: los sujetos obligados a que se refiere el artículo 1 de la presente Ley
que deciden sobre el tratamiento de datos personales;
XXXII. Transferencia: toda comunicación de datos personales dentro o fuera del territorio
mexicano, realizada a persona distinta del titular, del responsable o del encargado;
Artículo 31. Con independencia del tipo de sistema en el que se encuentren los datos
personales o el tipo de tratamiento que se efectúe, el responsable deberá establecer y
mantener las medidas de seguridad de carácter administrativo, físico y técnico para la
protección de los datos personales, que permitan protegerlos contra daño, pérdida,
alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar
su confidencialidad, integridad y disponibilidad.
VIII. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los
datos personales tratados para una tercera persona no autorizada para su posesión.
Artículo 33. Para establecer y mantener las medidas de seguridad para la protección de
los datos personales, el responsable deberá realizar, al menos, las siguientes actividades
interrelacionadas:
I. Crear políticas internas para la gestión y tratamiento de los datos personales, que
tomen en cuenta el contexto en el que ocurren los tratamientos y el ciclo de vida de
los datos personales, es decir, su obtención, uso y posterior supresión;
IV. Realizar un análisis de riesgo de los datos personales, considerando las amenazas y
vulnerabilidades existentes para los datos personales y los recursos involucrados en
su tratamiento, como pueden ser, de manera enunciativa más no limitativa,
hardware, software, personal del responsable, entre otros;
VIII. Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando,
dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos
personales.
Artículo 34. Las acciones relacionadas con las medidas de seguridad para el tratamiento
de los datos personales deberán estar documentadas y contenidas en un sistema de
gestión.
II. Las funciones y obligaciones de las personas que traten datos personales;
V. El plan de trabajo;
Artículo 38. Además de las que señalen las leyes respectivas y la normatividad aplicable,
se considerarán como vulneraciones de seguridad, en cualquier fase del tratamiento de
datos, al menos, las siguientes:
Artículo 40. El responsable deberá informar sin dilación alguna al titular, y según
corresponda, al Instituto y a los Organismos garantes de las Entidades Federativas, las
vulneraciones que afecten de forma significativa los derechos patrimoniales o morales, en
cuanto se confirme que ocurrió la vulneración y que el responsable haya empezado a
tomar las acciones encaminadas a detonar un proceso de revisión exhaustiva de la
magnitud de la afectación, a fin de que los titulares afectados puedan tomar las medidas
correspondientes para la defensa de sus derechos.
III. Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para
proteger sus intereses;
Artículo 42. El responsable deberá establecer controles o mecanismos que tengan por
objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de
los datos personales guarden confidencialidad respecto de éstos, obligación que subsistirá
aún después de finalizar sus relaciones con el mismo.
Artículo 65. Toda transferencia de datos personales, sea ésta nacional o internacional,
se encuentra sujeta al consentimiento de su titular, salvo las excepciones previstas en los
artículos 22, 66 y 70 de esta Ley.
conferidas a éstos, o
II. Cuando la transferencia sea internacional y se encuentre prevista en una ley o tratado
suscrito y ratificado por México, o bien, se realice a petición de una autoridad
extranjera u organismo internacional competente en su carácter de receptor, siempre
Artículo 67. Cuando la transferencia sea nacional, el receptor de los datos personales
deberá tratar los datos personales, comprometiéndose a garantizar su confidencialidad y
únicamente los utilizará para los fines que fueron transferidos atendiendo a lo
convenido en el aviso de privacidad que le será comunicado por el responsable
transferente.
Artículo 68. El responsable solo podrá transferir o hacer remisión de datos personales
fuera del territorio nacional cuando el tercero receptor o el encargado se obligue a
proteger los datos personales conforme a los principios y deberes que establece la
presente Ley y las disposiciones que resulten aplicables en la materia.
I. Cuando la transferencia esté prevista en esta Ley u otras leyes, convenios o Tratados
II. Cuando la transferencia se realice entre responsables, siempre y cuando los datos
personales se utilicen para el ejercicio de facultades propias, compatibles o análogas
con la finalidad que motivó el tratamiento de los datos personales;
VII. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por
celebrar en interés del titular, por el responsable y un tercero;
VIII. Cuando se trate de los casos en los que el responsable no esté obligado a recabar
el consentimiento del titular para el tratamiento y transmisión de sus datos
personales, conforme a lo dispuesto en el artículo 22 de la presente Ley, o
III. Facilitar el ejercicio de los derechos ARCO por parte de los titulares;
I. Cumplir con los parámetros que para tal efecto emitan, según corresponda, el
Instituto y los Organismos garantes conforme a los criterios que fije el primero, y
El Instituto y los Organismos garantes, según corresponda, deberán emitir las reglas de
operación de los registros en los que se inscribirán aquellos esquemas de mejores
prácticas validados o reconocidos.
Los Organismos garantes, podrán inscribir los esquemas de mejores prácticas que hayan
reconocido o validado en el registro administrado por el Instituto, de acuerdo con las
reglas que fije este último.
Artículo 75. Para efectos de esta Ley se considerará que se está en presencia de un
tratamiento intensivo o relevante de datos personales cuando:
Artículo 76. El Sistema Nacional podrá emitir criterios adicionales con sustento en
parámetros objetivos que determinen que se está en presencia de un tratamiento
intensivo o relevante de datos personales, de conformidad con lo dispuesto en el artículo
anterior, en función de:
I. El número de titulares;
Artículo 77. Los sujetos obligados que realicen una Evaluación de impacto en la
protección de datos personales, deberán presentarla ante el Instituto o los Organismos
garantes, según corresponda, treinta días anteriores a la fecha en que se pretenda poner
en operación o modificar políticas públicas, sistemas o plataformas informáticas,
aplicaciones electrónicas o cualquier otra tecnología, ante el Instituto o los organismos
garantes, según corresponda, a efecto de que emitan las recomendaciones no
vinculantes correspondientes.
El plazo para la emisión de las recomendaciones a que se refiere el párrafo anterior será
dentro de los treinta días siguientes contados a partir del día siguiente a la presentación
de la evaluación.
Artículo 79. Cuando a juicio del sujeto obligado se puedan comprometer los efectos
que se pretenden lograr con la posible puesta en operación o modificación de políticas
públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra
tecnología que implique el tratamiento intensivo o relevante de datos personales o se
trate de situaciones de emergencia o urgencia, no será necesario realizar la Evaluación
de impacto en la protección de datos personales.
• La empresa tiene su sede fuera de la Unión Europea, pero trata datos personales
relativos a ofertas de bienes o servicios a ciudadanos en la Unión Europea, o
supervisa el comportamiento de ciudadanos en la Unión Europea.
Las empresas que no tienen sede dentro de la Unión Europea y que tratan datos de
ciudadanos de la Unión Europea deben nombrar un representante en la Unión Europea.
• El interesado ha fallecido
• El tratamiento de datos es efectuado por una persona que actúa con fines ajenos a
sus actividades comerciales, empresariales o profesionales.
Lo + recomendado
No dejes de leer…
Libro sobre los esquemas de protección y aseguramiento de los datos personales que va
dirigido al sector público, pero que tiene un gran enfoque al sector privado.
No dejes de ver…
Eagle Eye
Película sobre el uso de la tecnología para vigilar a los ciudadanos y de cómo esta
influye incluso en las esferas más privadas de cada uno al punto de manipularlos y
extorsionarlos.
+ Información
A fondo
Lecciones que todos los ciudadanos deben tomar en cuenta para el correcto tratamiento
de sus datos personales.
El presente estudio se dirige a diseñar una metodología para calcular el valor monetario
de los datos personales, que permita establecer un modelo de aplicación general para el
sector empresarial, conforme a metodologías y prácticas internacionales, y alineado a la
normatividad nacional.
Webgrafía
INAI
Test
2. ¿Qué es el REUS?
A. Registro Estatal de Usuarios de Servicios Financieros.
B. Registro Especializado en Usuarios de Servicios.
C. Registro Público de Usuarios que no deseen información publicitaria de
Productos y Servicios Financieros.
D. Registro Público de Usuarios para Evitar la Publicidad.
3. ¿Qué es el RPEP?
A. Registro Para Evitar Publicidad.
B. Registro Público de Entretenimiento Público.
C. Registro Para Evitar Promociones.
D. Registro Público Para Evitar la Publicidad.
10. ¿Debo hacer solo un Aviso de Privacidad para cumplir con la ley?
A. Sí.
B. No.
C. Si soy persona física, sí.
D. Si soy persona moral, sí.