viernes, enero 27, 2012

INFORMATIVO SOBRE EL REGLAMENTO DE LFPDP

En continuación a nuestra Circular del pasado 21 de Diciembre de 2011, sobre el Reglamento de referencia, existen algunos tópicos que con mayor urgencia consideramos deben ser de su conocimiento, dichos tópicos son:

1.- EXCLUSIONES

Quedan excluidas de la aplicación del Reglamento, todas las bases de datos cuyo contenido sea de:

  • Personas morales.
  • Personas físicas en su calidad de comerciantes y profesionistas.
  • Personas físicas que presten sus servicios para alguna persona moral o persona física con actividades empresariales y/o prestación de servicios, consistente únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como algunos de los siguientes datos laborales:

- Domicilio físico, dirección electrónica, teléfono y número de fax; siempre que esta información sea tratada para fines de representación del empleador o contratista.

  • También son de uso libre las bases de datos contenidas en fuentes de acceso público:

- Los medios remotos o locales de comunicación electrónica, óptica y de otra tecnología, siempre que el sitio donde se encuentren los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general.

- Los directorios telefónicos

- Los diarios, gacetas o boletines oficiales

- Los medios de comunicación social

2.- ÁMBITO TERRITORIAL DE APLICACIÓN

El Reglamento es aplicable a todo tratamiento que:

  • Sea efectuado en un establecimiento de la empresa responsable ubicado en el territorio Mexicano.
  • Sea efectuado por un encargado con independencia de su ubicación, a nombre de un responsable establecido en territorio Mexicano.
  • El responsable no esté establecido en territorio Mexicano, pero le resulte aplicable la Legislación Mexicana, derivado de la celebración de un contrato ó en términos del Derecho Internacional.
  • El responsable no esté establecido en territorio Mexicano y utilice medios ubicados en dicho territorio, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento. Para lo anterior el Responsable podrá designar un representante o cualquier otro medio que garantice que estará sujeto al cumplimiento de la Ley en territorio Mexicano.
  • Cuando el responsable no se encuentre ubicado en el territorio Mexicano, pero el encargado lo esté, a este último le serán aplicables las disposiciones relativas a las medidas de seguridad de la salvaguarda de las bases de datos.

3.- AVISO DE PRIVACIDAD – FINALIDADES DEL TRATAMIENTO DE LOS DATOS.

El artículo 16 de la Ley señala la información que debe contener el Aviso de Privacidad y entre la que se destaca las finalidades del tratamiento de los datos. El Reglamento precisa que dentro de dichas finalidades se deberán incluir las relativas al tratamiento para fines mercadotécnicos, publicitarios o de prospección comercial.

4.- MEDIDAS COMPENSATORIAS

Cuando se continúe utilizando bases de datos, especialmente aquellas que se estructuraron con anterioridad a la entrada en vigor de la Ley, pero que a la fecha se sigan utilizando para cualquier propósito de su tratamiento, es factible considerar que será muy difícil y costoso elaborar y notificar a todos los titulares de esas bases de datos el Aviso de Privacidad correspondiente. Ante esta realidad, el Reglamento nos dice que el IFAI publicará criterios generales sobre las medidas compensatorias que se podrán utilizar. Los interesados deberán proponer al IFAI medidas compensatorias, esto es, debe mediar una solicitud previa que el Instituto deberá autorizar, según la procedencia y circunstancias de cada caso.

5.- NECESIDAD DE CONTRATOS

El Reglamento confirma que todo tratamiento que un Responsable encomiende a un Encargado o cualquier subcontratación que éste último haga con otro tercero, los términos y condiciones, incluyendo todos los aspectos del Aviso de Privacidad y los derechos ARCO, deberán quedar regulados conforme a las cláusulas de un contrato (s) que deberán celebrar las partes involucradas. La necesidad de la existencia de un contrato es importante y siempre será en adición a cualquier orden de compra u otro mecanismo que se hubiere venido utilizando en el pasado.

6.- TRATAMIENTO DE DATOS PERSONALES EN EL DENOMINADO “COMPUTO EN LA NUBE”

El Reglamento establece una serie de reglas y requerimientos detallados que se deberán cumplir para el tratamiento de datos (bases de datos) en el concepto denominado “Cómputo en la Nube” y que desde luego, se deberán cumplir por las partes interesadas para evitar sanciones de parte del IFAI.

7.- OBLIGACIONES DEL ENCARGADO

Como recordarán, se entiende por “Encargado” a la persona física o moral que sola o conjuntamente con otras trate datos personales por cuenta del “Responsable”. Por tratamiento se entiende la encomienda que se haga al “Encargado” para utilizar, divulgar o almacenar datos personales, así como cualquier acción de acceso, manejo, aprovechamiento, comercio, transferencia o disposiciones de Datos Personales.

El artículo 50 del Reglamento nos señala cuales son las obligaciones que tiene el “Encargado” respecto del tratamiento que realice de las Bases de Datos:

I. Tratar únicamente los datos personales conforme a las instrucciones del Responsable;

II. Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el Responsable;

III. Implementar las medidas de seguridad conforme a la Ley, el Reglamento y las demás disposiciones aplicables;

IV. Guardar confidencialidad respecto de los datos personales tratados;

V. Suprimir los datos personales objeto de tratamiento una vez cumplida la relación jurídica con el Responsable o por instrucciones del Responsable, siempre y cuando no exista una previsión legal que exija la conservación de los datos personales, y

VI. Abstenerse de transferir los datos personales salvo en el caso de que el Responsable así lo determine, la comunicación derive de una subcontratación, o cuando así lo requiera la autoridad competente.

Como ya se mencionó, los términos y condiciones de la relación de servicios a realizar, debe quedar plasmada en cláusulas contractuales.

8.- MEDIDAS DE SEGURIDAD – VIGENCIA

Es conveniente informarles las reglas que deberán aplicarse como medidas de seguridad en el tratamiento de los datos personales, bien sea por el Responsable o por el Encargado.

El artículo 60 del Reglamento da cierta flexibilidad dado que las medidas de seguridad pueden llevarse a cabo a través del Outsourcing.

Los factores para determinar las medidas de seguridad son los siguientes:

I. El riesgo inherente por tipo de dato personal;

II. La sensibilidad de los datos personales tratados;

III. El desarrollo tecnológico, y

IV. Las posibles consecuencias de una vulneración para los Titulares.

Las acciones a seguir materia de seguridad son las siguientes:

I. Elaborar un inventario de datos personales y de los sistemas de tratamiento;

II. Determinar las funciones y obligaciones de las personas que traten datos personales;

III. Contar con un análisis de riesgos de datos personales que consiste en identificar peligros y estimar los riesgos a los datos personales;

IV. Establecer las medidas de seguridad aplicables a los datos personales e identificar aquéllas implementadas de manera efectiva;

V. Realizar el análisis de brecha que consiste en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales;

VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivadas del análisis de brecha;

VII. Llevar a cabo revisiones o auditorias;

VIII. Capacitar al personal que efectúe el tratamiento, y

IX. Realizar un registro de los medios de almacenamiento de los datos personales.

Les recordamos que cualquier vulneración a las medidas de seguridad, obligan al Responsable y/o Encargado a informar inmediatamente del evento dañino a los Titulares, para que adopten las medidas pertinentes para proteger su información.

Finalmente, les informamos que en términos del Artículo CUARTO Transitorio, las obligaciones reglamentarias en materia de medidas de seguridad, deberán quedar debidamente implementadas a más tardar 18 meses posteriores a la entrada en vigor del Reglamento (21 de Junio de 2012).

9.- AUTO-REGULACIÓN VINCULANTE

Siguiendo el modelo americano, la Ley y ahora el Reglamento establecen disposiciones de que las empresas se auto-regulen en forma obligatoria, fundamentalmente a través de organizaciones civiles como cámaras y asociaciones gremiales.

Quienes pertenezcan a una entidad autorizada por el IFAI, en caso de que se les encuentre infringiendo las disposiciones legales pertinentes, la circunstancia de que dicho Responsable hubiere adoptado un esquema de auto-regulación, esta situación será tomada en cuenta por el IFAI para atenuar la sanción que corresponda.

10.- EJERCICIO DE LOS DERECHOS ARCO – OUTSOURCING

Como también recordarán, cada empresa debe contar con un departamento interno o con por lo menos una persona designada para atender las solicitudes de los Titulares de los Datos a través de sus derechos ARCO.

El Reglamento permite que dichas solicitudes puedan ser atendidas por terceros a través del outsourcing.

11.- VISITAS DE INSPECCIÓN Y CERTIFICACIÓN

Cualquier persona podrá denunciar ante el IFAI las presuntas violaciones a sus derechos conforme a la Ley y al Reglamento. Aquí se trata pues de una denuncia que dará motivo a la práctica de una visita de verificación por parte del IFAI y para ello se requiere de un acuerdo del Pleno del Instituto y el Reglamento indica que el procedimiento podrá tener una duración máxima de ciento ochenta (180) días, lo cual nos parece un plazo sumamente excesivo. Es más, se podrán realizar diversas visitas de verificación, las cuales se desarrollarán en un plazo máximo de 10 días cada una. Desde luego, en contra de la resolución al procedimiento de verificación, el afectado podrá interponer las medidas de defensa que la Ley le confiere.

12.- SANCIONES

Para que el Instituto inicie el procedimiento de imposición de sanciones, se deberá otorgar al supuesto infractor la garantía de audiencia y debido proceso legal, previamente a la imposición de las muy altas y severas multas que la Ley establece. Igualmente contra la resolución correspondiente, el sancionado podrá interponer los medios de defensa que la Ley le autoriza.

Atentamente,

VERA ABOGADOS, S. C.

Lic. Luis Vera Vallejo Lic. Luis Vera Prendes

No hay comentarios.: