Blog ORCA GRC

Ley de privacidad de datos personales en México y Europa: principales diferencias

Escrito por Equipo de Investigación ORCA | 08 de agosto de 2019

En la sociedad actual, de la información y tecnologías digitales, los datos han cobrado un nuevo valor en el mercado; al constituir incluso una economía basada en la exploración y explotación de las bases de datos existentes con fines de innovación comercial.

Los datos son ahora equiparables con los activos intangibles de las organizaciones, como lo son los softwares, la propiedad intelectual o los derechos sobre el nombre y regalías de las marcas, por mencionar algunos ejemplos.

Sin embargo, es importante mencionar que el valor de los datos no está intrínseca en su existencia, sino en su tratamiento:

  • Recolectar.
  • Almacenar.
  • Usar y/o transferir datos personales.

Es decir, la clave está en el análisis de las bases para la extracción de insights de valor.

Precisamente es a raíz del valor que han adquirido los datos, que surge la necesidad de un marco regulatorio sobre su tratamiento por parte de las empresas; en este contexto surge la ley de privacidad de datos personales en México, así como sus equivalentes en otros países. 

En este artículo, hablaremos acerca de las principales diferencias entre las dos normativas aplicables a las organizaciones en México con operaciones o relaciones comerciales en la Unión Europea (UE).

 

Reglamentos para la protección de los datos personales

Reglamento General de Protección de Datos o GDPR, por sus siglas en inglés

Es la ley de la UE; pero extiende su aplicabilidad a las empresas extranjeras que tratan datos de ciudadanos y/o residentes de la UE, puesto que, está facultada para determinar si estas últimas ofrecen un nivel adecuado de protección de datos.

 

La Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP)

En el caso de que los particulares en México que transfieran datos personales a terceros, nacionales o extranjeros, estos deberán asumir las mismas obligaciones convenidas en el aviso de privacidad, que corresponden al responsable que transfirió los datos.    

        

Ley de protección de datos personales en México

De acuerdo con lo descrito en la ley, se consideran como datos personales:                                                                                                                                                Cualquier información que esté relacionada con una persona y que pueda llevar a su identificación; asimismo, detalla como datos personales sensibles, aquellos que de ser utilizados o difundidos indebidamente, afectarían las esferas más íntimas de una persona.

Sin embargo, para ambos tipos de datos existen diferentes categorías, aquí te presentamos algunos ejemplos de cada una: 

 

Datos personales

  • De identificación: nombre, fecha de nacimiento, fotografía, domicilio, teléfono, correo electrónico, firma, RFC, CURP, nacionalidad.
  • Laborales: puesto, domicilio, correo electrónico y teléfono del trabajo.
  • Patrimoniales: información fiscal, historial crediticio, cuentas bancarias.
  • Académicos: trayectoria educativa, título, cédula, certificados.

Datos personales sensibles

  • Ideológicos: religión, filiación política, pertenencia a ONGs.
  • De salud: historiales clínicos, estado de salud, perfil psiquiátrico.
  • Características personales y físicas: tipo de sangre, huella digital, hábitos sexuales, color de piel, iris y cabello.

El enfoque de la ley de protección de datos en México, es la protección de los datos personales, con el fin de evitar el tratamiento indebido por parte de los particulares, y así garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

En su aplicación, las empresas que realicen tratamiento de datos personales, se ven obligadas a ofrecer información suficiente a los titulares de los datos acerca del tratamiento de sus datos, así como de obtener su consentimiento

Para ello pueden optar por implementar alguna de las siguientes medidas:

 

  • Avisos de privacidad en sus sitios web,  donde se establezca y delimite el alcance, términos y condiciones del tratamiento de los datos personales
  • Establecer el consentimiento del titular, de forma expresa (verbal, por escrito o cualquier otro medio electrónico o tecnológico) o tácita.  
  • Permitir a los titulares el ejercicio de los derechos ARCO, es decir, el acceso, rectificación, cancelación y oposición del titular al tratamiento de sus datos.

Reglamento General de Protección de Datos

El GDPR es la iniciativa de mayor impacto a nivel global para las organizaciones, referente a la protección y manejo de datos personales; su principal objetivo es la protección de la privacidad, así como los  derechos y libertades de quienes residen en la UE. 

Para tal fin, la GDRP diferencia a los sujetos relacionados con los datos protegidos, en tres categorías:

 

  1. Data subjects o Interesados: cualquier persona cuyos datos personales se recopilan, retienen o procesan.
  2. Data controller o Responsable  del Tratamiento: la organización que tiene en su posesión los datos personales de los interesados.
  3. Data processors o Encargado del Tratamiento: la organización que trata, maneja y/o procesa los datos personales que son responsabilidad del data controller.

 

Por otra parte, también establece que si una organización es responsable o encargada del tratamiento de datos de residentes de la UE, debe registrar detalladamente los siguientes aspectos:

 

  • Nombre y datos de contacto de la empresa que intervenga en el tratamiento de datos.
  • Razones para el tratamiento de los datos personales.
  • Descripción de las categorías de personas que proporcionan datos personales.
  • Categorías de organizaciones que reciben los datos personales.
  • Transferencia de datos personales a otro país u organización.
  • Periodo de almacenamiento de los datos personales.
  • Las medidas de seguridad utilizadas en el tratamiento de los datos personales.

Asimismo, si una organización es responsable del tratamiento y tiene contratos de prestación de servicios con algún encargado de tratamiento, o viceversa,  es necesario dar a los interesados un resumen de las medidas de seguridad que se tomarán para el tratamiento de sus datos.

 

Diferencias entre la LFPDPPP y GDRP

Algunas de las principales diferencias entre ambas legislaciones son las siguientes:

 

  • La de mayor notabilidad, es que la  ley de privacidad de datos personales en México tiene un enfoque de seguridad sobre la protección de datos personales; mientras que, la normativa europea se centra en la privacidad para salvaguardar la identidad del usuario.
  • La figura del Oficial de Protección de Datos (DPO), que en la GDRP tiene un peso de suma importancia, al ser el responsable de todas las actividades que tienen que ver con la protección de datos personales en una empresa. Por su parte, en México no se ha contemplado aún una figura homóloga al DPO.
  • Las consecuencias o sanciones por incumplimiento distan considerablemente entre ambas regulaciones, siendo la ley mexicana más laxa en este sentido. 

Por ejemplo, las autoridades de control en la UE pueden poner multas de hasta 20 millones de euros o el 4% de la facturación global anual de la empresa que incumpla con el GDPR; lo que es superior al máximo de multa establecido en la ley mexicana.

El cumplimiento normativo de las regulaciones sobre la protección y privacidad de datos personales, ha impactado significativamente en los procesos actuales de negocio; además de convertirse en un punto medular en la gestión de riesgos organizacionales. 

De la digitalización acelerada al reto de lograr una estrategia integral de control, descarga nuestra guía y obtén información estratégica sobre gestión de riesgos y control de procesos críticos. ¡Es gratis!, solo haz clic en la imagen.