TOP

MULTAS DE HASTA 320.000 DÍAS DE SALARIO MÍNIMO PARA QUIEN VULNERE LA LEY DE PROTECCIÓN DE DATOS EN MÉXICO

México dispone finalmente de una normativa propia sobre la protección de datos de carácter personal, eso sí, ya desde el propio título de la norma se aprecia una importante limitación en su ámbito en relación a nuestra LOPD: “Ley Federal de Protección de Datos Personales en Posesión de los Particulares“; sí, en efecto, la Administración Pública queda completamente al margen de esta normativa y sus principios protectores.

Este artículo pretende ser un brevísimo comentario a esta nueva Ley que entró en vigor el pasado 6 de julio; voy a centrarme en aquellos elementos que me han llamado más la atención y en algunas diferencias esenciales respecto a nuestra normativa española.

En primer lugar, y con carácter general, se aprecia una influencia muy fuerte de nuestra Ley española (y Directiva Europea), seguramente gracias a (o por culpa de) la actividad desarrollada por la Agencia Española de Protección de Datos a través de laRed Iberoamericana de Protección de Datos, entre otras circunstancias.

¿Dónde se aprecia esta influencia? Pues en la redacción de muchos de sus artículos y definiciones. Veamos unos simples ejemplos:

Definición de “dato de carácter personal”:

* Ley Española: “Cualquier información concerniente a personas físicas identificadas o identificables.“
* Ley Mexicana: “Cualquier información concerniente a una persona física identificada o identificable.”

Definición de “encargado del tratamiento”:

* Ley Española: “La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento“.
* Ley Mexicana: “La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable“.

Definición de “fuente accesible al público”:

* Ley Española: “Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación“
* Ley Mexicana: “Aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado por el Reglamento de esta Ley“.

Respecto al “bloqueo de datos”:

* Ley Española: “La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. “
* Ley Mexicana: “Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas.”

Y así podríamos seguir.

Pero vayamos a las diferencias o novedades que es lo más relevante.

La primera gran diferencia es que en torno a la Ley mexicana planea un concepto, el denominado “Aviso de Privacidad” que su ley lo define como: “Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley“.

Este Aviso de Privacidad viene a ser como nuestras cláusulas informativas del artículo 5.1 pero con más información y otorgándole un carácter formal importante. Nuestras cláusulas informativas se convierten en la normativa mexicana en un documento con vida propia que contiene mucho más que una breve mención a las finalidades para las cuales se recaban los datos y el responsable. Para que nos hagamos una idea, aquí indico algunas de las características de ese Aviso de Privacidad y su contenido:

1. Para revocar el consentimiento, el responsable deberá, en el aviso de privacidad, establecer los mecanismos y procedimientos para ello.
2. El responsable deberá tomar las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guarde alguna relación jurídica.
3. El Aviso de Privacidad debe contener las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos.
4. El Aviso de Privacidad debe contener el procedimiento y medio por el cual el responsable comunicará a los titulares de cambios en el aviso de privacidad.
5. El Aviso de Privacidad puede contener la forma en la que se atenderá el derecho de acceso.
6. En las cesiones de datos, el cedente deberá comunicar al cesionario su Aviso de Privacidad.
7. Otras…

Este Aviso de Privacidad es por tanto un elemento nuclear en la protección de datos en México.

Continuemos con las diferencias. Para el tratamiento de datos personales relativos a la salud en nuestra normativa se exige un consentimiento expreso. En México han querido ir un paso más allá y exigen que el interesado firme un documento (ya sea mediante firma autógrafa o firma digital) de forma expresa y por escrito. También valdría cualquier mecanismo de autentificación. Lo que se pretende es establecer una garantía adicional en el tratamiento de datos relativos a la salud verificando la identidad del interesado.

Otra diferencia importante es la que menciona el artículo 20, que dice así: “Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.”

Esto es algo similar a lo que comentaba aquí: Las operadoras de telecomunicaciones deberán notificar las violaciones de seguridad en sus sistemas sólo que extendido a todos los entes privados y no sólo a las operadoras de telecomunicaciones. Esto es sin duda un gran avance y un reto para los responsables y la sociedad mexicana.

Más diferencias: en México, cuando cancelen un dato personal deberán notificarlo a su titular; eso en España no existe. Además, es obligatorio designar una persona dentro de la organización que se encargue de atender los ejercicios de derechos y difundir la cultura de la protección de datos, algo así como nuestro Responsable de Seguridad pero con sólo esa función.

El ejercicio de los derechos ARCO es, igual que aquí, gratuito, pero mientras que en España sólo es posible ejercerlos a intervalos inferiores a un año (a no ser que medie un interés legítimo en concreto), en México sin embargo han querido dar la posibilidad de ejercer los derechos sin límites temporales, eso sí, si una misma persona reitera el derecho en menos de un año se le podrá “cobrar“, pero no vas de 3 días de Salario Mínimo General Vigente en el Distrito Federal, a menos que existan modificaciones sustanciales al Aviso de Privacidad que motiven nuevas consultas (de nuevo vemos la importancia de ese Aviso de Privacidad).

En materia de infracciones encontramos algunos tipos novedosos, como por ejemplo este:

* Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable.

Pero lo que sin embargo revoluciona el mercado es el tema de las sanciones; allí sólo hay dos clases de sanciones, que no van en función de nuestra clásica tipología de “leves, graves y muy graves” sino en función del precepto infringido.

* Tenemos por un lado las que se sancionan con multa de entre 100 a 160.000 días de salario mínimo vigente en el Distrito Federal.

* Por otro lado están las que se sancionan con multa de entre 200 a 320.000 días de salario mínimo vi

Documentación