Ley de privacidad de datos en México y Europa: principales diferencias

Publicado por Rodrigo Ayala el 08 de agosto de 2019

¿Cuál es el tratamiento correcto de los datos personales de los usuarios que debería tener una organización? 

En tiempos marcados predominantemente por las tecnologías de la información y la comunicación, los datos de todo tipo cobran un nuevo valor, equiparable en muchas ocasiones con los activos intangibles de las organizaciones, como softwares o la propiedad intelectual y los derechos sobre el nombre y las regalías de las marcas, por mencionar algunos de ellos.

Hay que decir que el valor de los datos no está en sí mismo en ellos, sino en su tratamiento, para lo cual existe la ley de privacidad de datos en México y sus contrapartes en otras partes del mundo, como la GDPR (General Data Protection Regulation), mismas que hoy ocupan nuestro análisis. Primero, daremos definiciones para “datos personales”, “ privacidad de datos” y “aviso de privacidad”, para entender paso a paso las importantes leyes y regulaciones que nuestras organizaciones están obligadas a seguir, y así evitar los riesgos reputacionales, de cumplimiento y hasta financieros y operativos que podría representar el desconocimiento de los mismos.

Datos personales generales y sensibles, ley de privacidad de datos y aviso de privacidad

De acuerdo con el Cuadernillo de uso de datos personales de la Policía Federal de México (que puedes consultar aquí), se consideran datos personales cualquier información que esté relacionada con la persona en sí, como son nombre, teléfono y dirección, así como fotografías y hasta huellas dactilares, es decir, cualquier dato que pueda llevar a su identificación.

Dentro de los datos personales, hay diferentes categorías, siendo quizás los más recurrentes los de identificación: los primeros tres que ya mencionamos, más correo electrónico, firma, RFC, CURP, fecha de nacimiento, edad, nacionalidad, estado civil, etc. Luego vienen los datos personales laborales (como puesto, dirección, email, y teléfono del trabajo); los patrimoniales (información fiscal, historial crediticio, cuentas bancarias, ingresos y egresos, etc.); y los académicos (trayectoria educativa, título, cédula, certificados, etc.).

Otra categoría aparte, que para nuestros fines es vital conocer, es la de los datos personales sensibles, considerados así en la inteligencia de que de llegar a ser difundidos indebidamente, afectarían la(s) esfera(s) más íntima(s) de la persona. En esta categoría hay otros tipos, como los ideológicos (religión, filiación política, pertenencia a ONGs, etc.); de salud (historiales clínicos, estado de salud, perfil psiquiátrico, etc.); características personales (tipo de sangre, huella digital, origen, hábitos sexuales, etc.); y los de características físicas (color de piel, iris, cabellos, señales particulares, etc.).

El objetivo de la ley de privacidad de datos, o más correctamente, la Ley Federal de Protección de Datos en Posesión de los Particulares (LFPDPP), es precisamente “la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.” (puede leer la Ley completa aquí)

En México, el garante por excelencia de este cumplimiento es el aviso de privacidad, en el cual se debe establecer y delimitar el alcance, términos y condiciones del tratamiento de los datos personales. Además, dicho aviso debe dar datos precisos que sean capaces de identificar a la persona (moral o física) que será la responsable del correcto tratamiento de los datos personales que le proporcione el titular (o sea, la persona que da sus datos personales.) así como explicitar la forma de hacer efectivos sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) sobre los mismos datos.

A partir del 25 de mayo de 2018, con la entrada en vigor de la GDPR en México, se añaden nuevas capas de seguridad. El objetivo de la GDPR es proteger los derechos y libertades de los ciudadanos y residentes de la UE (Unión Europea), y ello aplica para cualquier organización establecida en la UE o a cualquier otra fuera de la UE pero que tienen o procesan dato de ciudadanos o residentes de la unión mencionada.


Para tal fin, la GDRP diferencia a los sujetos relacionados con los datos protegidos en tres:

· Data subjects: son quienes proporcionan sus datos personales y son dueños de los mismos.

· Data controller: la organización que tiene en su poder los datos personales de los subjects.

· Data processors: la organización que trata, maneja y/o procesa esos datos personales.


Si su organización es un data processor o data controller y trata con datos de ciudadanos o residentes de la UE, es importante que sepa que, como parte del protocolo básico de la UE, debe cumplir estos ocho pasos al registrar y procesar datos personales de los data subjects:


1. Nombre y datos de contacto: nombre del data controller, del encargado del departamento de datos o cualquier otro.

2. Propósito de las actividades del manejo de datos.

3. Categorías de los contactos o categorías de data subjects.

4. Categorías de datos personales procesados.

5. Categorías de con quién la información puede ser compartida.

6. Información clara sobre con quién se comparte la información.

7. Fechas sobre cuándo se adquirieron los datos o fechas de último manejo.

8. Medidas de seguridad.


Si su organización es data controller y tiene contratos de prestación de servicios a su vez con data processors, o viceversa, debe saber que es necesario dar a los data subjects un resumen de las medidas de seguridad que se tomarán para el tratamiento de sus datos.


¿Qué pasa si usted no cumple con los lineamientos de la GDPR? Pues bien, las multas también se dividen en dos rubros:

· Faltas administrativas leves: multas de uno a 10 millones de € o el 2% del valor global de la empresa.

· Faltas administrativas graves: pueden resultar en multas de hasta 20 millones de € o el 4% del valor global de la empresa.


Las principales diferencias entre las dos legislaciones, para concluir, serían: 1) que la nueva legislación exige inmediatez en cuanto al aviso de un incidente de seguridad que comprometa los datos personales: esto debe suceder en un plazo máximo de 72 h; y 2) que en algunos casos se establece que la información sea cifrada, por ejemplo, los datos personales sensibles (como información biomédica) deberá ser separada del nombre, para evitar que puedan ser relacionados entre sí.

Estas diferencias desde luego deben tener resonancia en su organización, y debe traducirse en nuevos procesos y roles: identificación del tipo de datos que manejan y su ubicación, establecimiento de un protocolo para su tratamiento, un plan de gobierno de seguridad consistente con dicho protocolo y la implementación de controles para evitar los múltiples riesgos que el incumplimiento de estas normativas puede traer a su organización.

Si desea conocer cómo identificar y controlar este y otros riesgos más, descargue de manera gratuita la guía debajo haciendo clic y la recibirá directo en su correo.

 

Nueva llamada a la acción

Suscríbete al blog

Publicaciones Recientes

Publicaciones por etiqueta