9 PROTECCIÓN DE DATOS PERSONALES - MECN

Vista previa del material en texto

LEY DE PROTECCIÓN DE DATOS PERSONALES. 
ART. 16 CPEUM. 
 “Toda persona tiene derecho a la protección de sus datos personales, al acceso, 
rectificación y cancelación de los mismos, así como a manifestar su oposición, en los 
términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan 
el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, 
seguridad y salud públicas o para proteger lo derechos de terceros.” 
ART 73, XXIX-O 
 “Artículo 73. El congreso tiene facultad: 
 XXIX-O. Para legislar en materia de protección de datos personales en posesión de 
particulares.” 
 
EXPOSICION DE MOTIVOS. 
 La Ley tiene por objeto: 
 1. La protección de los datos personales en posesión de los particulares, con la 
finalidad de regular su tratamiento legítimo, controlado e informado, para garantizar la 
privacidad y el derecho a la autodeterminación informativa de las personas. 
 Ley define Tratamiento: Obtención, uso, divulgación o almacenamiento de datos 
 personales, por cualquier medio. 
 Uso: Cualquier acción de acceso, manejo, aprovechamiento, transferencia o 
 disposición de datos. 
 
GENERALIDADES 
 Derecho de los titulares de los datos de: 
 1. Acceso. 
 2. Rectificación. 
 3. Cancelación. 
 4. Oposición. 
 5. Mecanismos para ejercerlos. 
 
 
 
SUJETOS A LOS QUE LES APLICA LA LEY. 
 Personas físicas y/o morales de carácter privado que den tratamiento de datos 
personales. 
EXCEPCIONES. 
 Sociedades de información crediticia. 
 Personas que recolecten información para fines personales, sin fines de divulgación 
 o comercialización. 
 
DATOS PERSONALES Y DATOS SENSIBLES. 
 Datos personales: Cualquier información concerniente a una persona física 
identificada o identificable. 
 Datos personales sensibles: Datos personales que afectan a la esfera más íntima de 
su titular, o cuya utilización indebida puede dar origen a discriminación o conlleve un 
riesgo grave para éste. Se consideran sensibles aquellos que revelen aspectos como origen 
racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, 
filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual. 
 
USO DE DATOS PERSONALES. 
 “Art.- 7 Los datos obtenidos únicamente podrán ser utilizados para los fines para los 
cuales se hayan dicho que fueron recabados, previa autorización en los términos de la Ley.” 
 
PRINCIPIOS DE LA PROTECCIÓN DE DATOS PERSONALES. 
 Licitud: No engaños o fraude. 
 Consentimiento: Expreso o tácito. 
  Todo tratamiento de datos personales requiere consentimiento de su 
 titular, salvo las excepciones. 
  El consentimiento puede ser revocado, sin efectos retroactivos. Para esto, 
 deberá, establecer en el aviso de privacidad los mecanismos y 
 procedimientos para ello. 
  Los datos financieros o patrimoniales al igual que los sensibles requerirán 
 el consentimiento expreso de su titular, pero admiten excepciones, no se 
 requerirá por ejemple, cuando tenga el propósito de cumplir derivado de una 
 relación jurídica entre el titular y el responsable. 
 EXCEPCIONES. 
  Esté previsto en una ley. (LFT, IMSS, etc...) 
 Los datos figuren en fuentes de acceso público; 
  Se sometan a un procedimiento previo de disociación; 
  Tenga el propósito de cumplir obligaciones derivadas de una relación 
 jurídica entre el titular y el responsable. 
  Exista una situación de emergencia que potencialmente pueda dañar a un 
 individuo en su persona o en sus bienes; 
  Sean indispensables para la atención médica, la prevención, diagnóstico, 
 tratamientos médicos, mientras el titular no esté en condiciones de otorgar 
 el consentimiento. 
  Se dicte resolución de autoridad competente. 
 Información: Datos correctos y actualizados. 
 Calidad: Datos pertinentes. 
 Finalidad: Cumplimiento de fines señalados en aviso de privacidad. 
 Lealtad: Fin distinto, nuevo consentimiento. 
 Proporcionalidad: Tratamiento necesario, adecuado y relevante en relación con 
 las finalidades. 
 Responsabilidad: Cumplimiento de los principios de protección. Medidas de 
 seguridad. 
 
DERECHOS ARCO. 
 Acceso: Acceder a sus datos personales, así como al Aviso de Privacidad. 
 Rectificación: Derecho de rectificar los datos cuando sean inexactos o incompletos. 
 Cancelación: Derecho para la supresión del dato tras un periodo de bloqueo. 
 Oposición: Derecho de oponerse por causa legitima al tratamiento de sus datos. 
 
DE LA TRANSFERENCIA DE DATOS. 36 Y 37 
 El artículo 36 señala “El tratamiento de los datos se hará conforme a lo convenido en 
el aviso de privacidad, el cual contendrá una cláusula en la que de indique si el titular acepta 
o no la transferencia de sus datos…” 
EXCEPCIONES. 
 -Las transferencias nacionales o internaciones podrán hacerse sin consentimiento 
 del titular: 
 -Previsto en Ley o Tratado. 
 -Necesario para la prevención o el diagnóstico médico, asistencia sanitaria o 
 tratamiento médico. 
 -Se realice a sociedades controladoras, subsidiarias, matriz, sociedad del mismo 
 grupo o afiliadas bajo el control común del responsable, que opere bajo los mismos 
 procesos y políticas internas. 
 -Necesaria por contrato, por el responsable y un tercero. 
 -Necesaria o legalmente exigida para salvaguarda de interés público, o procuración 
 de justicia. 
 -Precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso 
 judicial. 
 -Precisa cumplimiento de una relación jurídica entre el responsable y el titular. 
 
OBLIGACIONES DEL RESPONSABLE. 
 -Obtener el consentimiento del titular de los datos, salvo cuando aplique alguna 
 excepción. 
 -Proporcionar información sobre el tratamiento al titular de los datos a través del 
 Aviso de Privacidad. 
 -Obligación de guardar confidencialidad respecto a los datos personales. 
 -Adoptar y mantener medidas de organización y seguridad respecto de los datos 
 evitando su modificación, pérdida y tratamiento o acceso no autorizado. 
 -Establecer procedimientos para que el titular de los datos pueda ejercer sus 
 derechos. 
 
AVISO DE PRIVACIDAD. 
 -Documento físico, electrónico o en cualquier formato generado por el 
 responsable, y puesto a disposición del titular previo de sus datos. 
 -La empresa deberá consultar si autoriza la transferencia de información a terceros. 
 -Ponerse a disposición del titular a través de medios físicos, digitales, visuales, 
 sonoros o de cualquier otra tecnología. 
 -A partir de la entrada en vigor, se tiene un año para expedir avisos de privacidad. 
 -Notificación de cualquier cambio que realice en él. 
CONTENIDO. 
 -Identidad y domicilio del responsable. 
 -Finalidad del tratamiento de datos. 
 -Opciones y medio para limitar el uso o divulgación de los datos. 
 -Medios para ejercer los derechos ARCO. 
 -Las transferencias de datos que se efectúen. 
 -Procedimiento por el que el responsable comunicara a los titulares de cambios al 
 aviso de privacidad. 
 
OBLGIACIONES COMO PATRÓN. 
 Tener los datos que acuerdo al artículo 25(contrato individual de trabajo) y al 391 
(contrato colectivo) de la LFT. 
 “Art 25 El escrito en que consten las condiciones de trabajo deberá contener: 
 I. Nombre, nacionalidad, edad, sexo, estado civil y domicilio del trabajador y 
 del patrón; 
 II. Si la relación de trabajo es por obra o tiempo determinado o tiempo 
 indeterminado; 
 III. El servicio o servicios que deban prestarse, los que se determinarán con 
 la mayor precisión posible; 
 IV. El lugar o los lugares donde debe prestarse el trabajo; 
 V. La duración de la jornada; 
 VI. La forma y el monto del salario; 
 VII. El día y el lugar de pago del salario; 
 VIII. La indicación de que el trabajador será capacitado o adiestrado en los 
 términos de los planes y programas establecidos o que se establezcan en la 
 empresa, conforme a lo dispuesto en esta Ley; 
 IX. Otras condicionesde trabajo, tales como días de descanso, vacaciones y 
 demás que convengan el trabajador y el patrón.” 
 
 
 “Art. 391. El contrato colectivo contendrá: 
 I. Los nombres y domicilios de los contratantes; 
 II. Las empresas y establecimientos que abarque; 
 III. Su duración o la expresión de ser por tiempo indeterminado o para obra 
 determinada; 
 IV. Las jornadas de trabajo; 
 V. Los días de descanso y vacaciones; 
 VI. El monto de los salarios: 
 VII. Las cláusulas relativas a la capacitación o adiestramiento de los 
 trabajadores en la empresa o establecimientos que comprenda 
 IX. Las bases sobre la integración y funcionamiento de las Comisiones que 
 deban integrarse de acuerdo con esta Ley; 
 X. Las demás estipulaciones que convengan las partes.” 
 
DOCUMENTOS A CONSERVAR. 
 Art. 784 de la LFT: La Junta eximirá de la carga de la prueba al trabajador, cuando 
por otros medios esté en posibilidad de llegar al conocimiento de los hechos, y para tal 
efecto requerirá al patrón para que los documentos que, de acuerdo con las leyes, tiene la 
obligación legal de conservar en la empresa, bajo el apercibimiento de que de no 
presentarlos, se presumirán ciertos los hechos alegados por el trabajador. En todo caso, 
corresponderá al patrón probar su dicho cuando exista controversia sobre: 
 I. Fecha de ingreso del trabajador; 
 II. Antigüedad del trabajador; 
 III. Faltas de asistencia del trabajador; 
 IV. Causa de rescisión de la relación de trabajo; 
 V. Terminación de la relación o contrato de trabajo para obra o tiempo determinado. 
 VI. Constancia de haber dado aviso por escrito al trabajador de la fecha y causa de 
 su despido; 
 VII. El contrato de trabajo; 
 VIII. Duración de la jornada de trabajo; 
 IX. Pagos de días de descanso y obligatorios; 
 X. Disfrute y pago de las vacaciones; 
 XI. Pago de las primas dominical, vacaciona y de antigüedad; 
 XII. Monto y pago del salario; 
 XIII. Pago de la participación de los trabajadores en las utilidades de las empresas; 
 XIV. Incorporación y aportación al Fondo Nacional de la Vivienda. 
IFAI. 
 El IFAI es la autoridad responsable para: 
 -Vigilar y verificar el cumplimiento interpretar en el ámbito administrativo. 
 -Emitir los criterios y recomendaciones. 
 -Conocer y resolver los procedimientos de protección de derechos y de verificación. 
 -Elaboración de estudios de impacto sobre la privacidad. 
 
INFRACCIONES. 63 
Art. 63.- Infracciones: 
 I. No cumplir con la solicitud del titular para ejercer los derechos ARCO al 
 tratamiento de sus datos personales, sin razón fundada. 
 II. Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes ARCO. 
 III. Declarar dolosamente la inexistencia de datos personales, cuando exista total o 
 parcialmente en las bases de datos del responsable 
 IV. Dar tratamiento a los datos en contravención a los principios de la ley. 
 V. Omitir en el aviso de privacidad, algunos o todos los elementos a que se refiere el 
 artículo 15. 
 VI. Mantener datos inexactos, o no efectuar las rectificaciones o cancelaciones de los 
 mismos que legalmente procedan. 
 VII. No cumplir con el apercibimiento 
 VIII. Incumplir el deber de confidencialidad establecido en el art. 21 
 IX. Cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin 
 observar lo dispuesto por el art. 12 
 X. Transferir datos a terceros sin comunicarles el aviso de privacidad. 
 XI. Vulnerar la seguridad de bases de datos locales, programas o equipos 
 XII. Llevar a cabo la transferencia o cesión de los datos, fuera de los casos en que 
 esté permitida por la Ley 
 XIII. Recabar o transferir datos personales sin el consentimiento expreso del titular 
 XIV. Obstruir los actos de verificación de la autoridad 
 XV. Recabar datos en forma engañosa y fraudulenta 
 XVI. Continuar con el uso ilegitimo de los datos cuando se solicitó el cese. 
 XVII. Tratar los datos afectando o impidiendo el ejercicio de los derechos ARCO. 
 XVIII. Crear bases de datos en contravención a lo dispuesto por el art. 9 
 XIX. Cualquier incumplimiento del responsable a las obligaciones establecidas a su 
 cargo. 
 
SANCIONES. 
 Apercibimiento (frac.I) 
 Multa de 100 a 160,000 días de SMGV en el D.F (frac.II a VII) 
 Multa de 200 a 320,000 días de SMG en el D.F (frac VIII a XVIII) 
 En caso de que persistan las infracciones de manera reiterada podrá imponerse una 
 multa adicional que irá de 100 a 320,000 días de SMGV en el D.F 
 
DELITOS. 
 De 3 meses a 3 años de prisión al autorizado para tratar datos que, con ánimo de 
 lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia. 
 De 6 meses a 5 años al que, con el fin de lucro, trate datos personales mediante el 
 engaño, aprovechándose del error del titular o persona autorizada para 
 transmitirlos 
 Tratándose de datos personales sensibles las penas a que se refiere este capítulo se 
 duplican. 
PLAZOS DE IMPLEMENTACIÓN. 
 A un año de entrada en vigor de la Ley, expedir Avisos de Privacidad y designar a la 
 persona o departamento para atender las solicitudes. (6 de julio de 2011) 
 Titulares podrán ejercer derechos ARCO 18 meses después de la entrada en vigor 
 de la Ley ( Enero 2012). 
 En caso de que no haya una respuesta satisfactoria, el titular de los datos podrá 
 recurrir al IFAI.