"Ley Federal de Protección de Datos Personales en Posesión de los Particulares"
Objetivo
Regular el tratamiento legítimo, controlado e informado de los datos personales, para garantizar así la privacidad de las personas y la protección de su información personal.
Principios y deberes
(Algunas preguntas que debes hacerte)
¿De dónde se obtienen los datos personales?
* De forma personal: Cuando el titular proporciona los datos personales al responsable o a la persona física designada por el responsable, con la presencia física de ambos.
* De manera directa: Cuando el titular proporciona los datos personales por algún medio que permite su entrega directa al responsable.
*De manera indirecta: Cuando el responsable obtienen los datos personales sin que el titular se los haya proporcionado de forma personal o directa.
¿Por cuánto tiempo se conservan los datos personales?
El plazo de conservación de los datos personales no debe exceder el tiempo estrictamente necesario para llevar a cabo las finalidades que justificaron el tratamiento, ni aquél que se requiera para cumplir con:
*Las disposiciones legales aplicables en la materia de que se trate
*Los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información
*El periodo de bloqueo.
Principios y obligaciones que cumplir
Licitud y lealtad
Consentimiento
Información
Proporcionalidad
Finalidad
Calidad
Responsabilidad
De acuerdo con el principio de lealtad, la obtención de los datos personales no podrá hacerse a través de medios engañosos, ni fraudulentos, lo que implica que:
*No se recaben datos personales con dolo, mala fe o negligencia
*No se vulnere la confianza del titular con relación a que sus datos personales serán tratados conforme a lo acordado
*Se informen todas las finalidades del tratamiento en el aviso de privacidad.
Obligaciones:
1. Tratar siempre los datos personales con apego al cumplimiento de la legislación mexicana y el derecho internacional
2. No hacer uso de medios engañosos o fraudulentos para la obtención de los datos personales
3. Respetar en todo momento la expectativa razonable de privacidad del titular.
La solicitud del consentimiento deberá ir siempre ligada a las finalidades concretas del tratamiento que se informen en el aviso de privacidad, es decir, el consentimiento se deberá solicitar para tratar los datos personales para finalidades específicas, no en lo general.
El consentimiento debe ser informado, por lo que previo a su obtención, es necesario que el titular conozca el aviso de privacidad
El consentimiento puede ser tácito, expreso o expreso y por escrito, dependiendo del tipo de datos personales que se tratarán
El consentimiento se debe obtener en todos los casos, menos cuando ocurra alguno de los supuestos que prevé la LFPDPPP en su artículo 10, algunos son:
*Cuando el tratamiento sea necesario porque así lo ordena una ley
*Los datos personales se obtengan de una fuente de acceso público
*Los datos personales se sometan a un procedimiento previo de disociación, de forma tal que no se pueda identificar su titular, etc.
Algunas obligaciones:
1. Obtener el consentimiento del titular para el tratamiento de los datos personales, cuando no se actualice alguno de los supuestos previstos en el artículo 10 de la LFPDPPP
2. Solicitar el consentimiento siempre ligado a finalidades específicas e informadas en el aviso de privacidad
3. Determinar el tipo de consentimiento que se requiere: tácito, expreso o expreso y por escrito
4. Solicitar el consentimiento expreso para los datos personales financieros o patrimoniales, en los casos que no se actualice alguna de las causales del artículo 10 de la LFPDPPP
Por virtud de este principio, los responsables se encuentran obligados a informar a los titulares de los datos personales, las características principales del tratamiento al que será sometida su información personal, lo que se materializa a través del aviso de privacidad.
Herramientas:
1. El Generador de Avisos de Privacidad (GAP)
2. La guía El ABC del Aviso de Privacidad
3. El formato de auto-evaluación de avisos de privacidad para responsables
4. Modelo de aviso de privacidad corto para video vigilancia
5. Modelo de aviso de privacidad simplificado en video
Características que debe tener:
*Sencillo
*Información necesaria
*Lenguaje claro y comprensible
*Estructura y diseño de fácil entendimiento
El principio de proporcionalidad establece la obligación del responsable de tratar sólo aquellos datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las cuales se obtuvieron.
Se entiende por finalidad del tratamiento, el propósito, motivo o razón por el cual se tratan los datos personales.
La finalidad o finalidades del tratamiento de datos personales deberán ser determinadas, es decir, deberán especificar para qué objeto se tratarán los datos personales de manera clara, sin lugar a confusión y con objetividad.
El principio de calidad significa que, conforme a la finalidad o finalidades para las que se vayan a tratar los datos personales, éstos deben ser:
*Exactos
*Completos
*Correctos
*Pertinentes
*Actualizados
El principio de responsabilidad cierra el círculo con relación a los principios que regulan la protección de los datos personales.
Obligaciones:
1.Tratar sólo aquellos datos personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las cuales se obtuvieron
2. Tratar el menor número posible de datos personales
3. Limitar al mínimo posible el periodo de tratamiento de datos personales sensibles
Primarias
Aquellas que dan origen y son necesarias para la relación jurídica entre el titular y el responsable
Secundarias
Todas las demás que no cumplan con esta condición
Algunas obligaciones:
*Informar en el aviso de privacidad todas las finalidades para las cuales se tratarán los datos personales, y redactarlas de forma tal que sean determinadas
*Identificar y distinguir en el aviso de privacidad entre las finalidades primarias y secundarias
*Ofrecer al titular de los datos personales un mecanismo para que pueda manifestar su negativa al tratamiento de sus datos personales para todas o algunas de las finalidades secundarias;
Los datos personales son exactos cuando reflejan la realidad de la situación de su titular, es decir, son verdaderos o fieles. Por ejemplo, un dato no sería exacto si se registra en la base de datos que una persona cuenta con Doctorado en derecho, si el título que en realidad tiene es una Maestría en derecho.
Los datos personales están completos cuando no falta ninguno de los que se requiera para las finalidades para las cuales se obtuvieron y son tratados, de forma tal que no se cause un daño o perjuicio al titular. Por ejemplo, los datos de salud del titular están completos cuando el expediente médico contiene todos los documentos clínicos e información que debe estar integrada al mismo.
Los datos personales son pertinentes cuando corresponden efectivamente al titular. Por ejemplo, los datos del adeudo son pertinentes cuando corresponden al deudor y no a una homonimia.
Los datos están actualizados cuando están al día y corresponden a la situación real del titular. Por ejemplo, el número telefónico que se tiene registrado en la base de datos está actualizado cuando, efectivamente, corresponde al titular con el que está vinculado.
Los datos personales son correctos cuando cumplen con todas las características anteriores, es decir, son exactos, completos, pertinentes y actualizados.
Bajo este principio, los responsables del tratamiento están obligados a velar por la protección de los datos personales aun y cuando los datos estén siendo tratados por encargados.
Para cumplir con el principio de responsabilidad, el responsable puede hacer uso de:
*Estándares
*Mejores prácticas internacionales
*Políticas corporativas
*Esquemas de autorregulación
Por ejemplo, el responsable podría optar por desarrollar una política corporativa en materia de protección de datos personales, dirigida a quienes traten datos bajo su supervisión o por su cuenta, que incluya medidas y controles que sirvan para garantizar el cumplimiento de la normatividad.
Obligaciones:
1. Velar por el cumplimiento de los principios y responder por el tratamiento de los datos personales, aún por aquéllos comunicados a encargados
2. Adoptar medidas para garantizar el debido tratamiento, privilegiando los intereses del titular y la expectativa razonable de privacidad
3. Tomar medidas para que los terceros con quienes mantiene una relación jurídica que implique el tratamiento de los datos personales, respeten el aviso de privacidad en el que se establezcan las condiciones de dicho tratamiento.