Ley de Protección de Datos Personales ¿Cómo asegurar que su empresa cumpla? American Chamber México Jacqueline Peschard Mariscal IFAI Ciudad de México Junio 2011 Ejes rectores de la Ley 1. Desarrollo de los principios de protección de datos personales internacionalmente reconocidos. 2. Reconocimiento de los derechos ARCO. 3. Establecimiento de mecanismos sencillos, expeditos y gratuitos para el ejercicio y tutela de los derechos ARCO. 4. Incorporación de un régimen de infracciones y sanciones que desaliente conductas inadecuadas. Principio de información y el aviso de privacidad El aviso de privacidad es un declaración escrita o verbal que informa al titular el cómo, por qué y para qué se tratarán sus datos personales, así como los derechos que le otorga la Ley. En julio de 2011 las empresas deberán expedir los avisos de privacidad correspondientes. Si los datos personales se recaban en formatos físicos se recomienda al responsable dar a conocer el aviso de privacidad simplificado en los siguiente medios: • De forma visible dentro del formato físico, o • Como anexo de éste, o • A través de carteles ubicados en el lugar donde se recaban los datos personales. Principio de información y aviso de privacidad Cuando los datos personales son obtenidos directamente del titular por medios electrónicos o en línea, se sugiere al responsable poner a disposición el aviso de privacidad: • En la misma pantalla utilizada para recabar los datos personales del titular en un formato visible, o • A través de una ventana emergente. Si los datos personales se recaban del titular a través de medios verbales, se propone que la puesta a disposición del aviso de privacidad se materialice a través de una grabación. Mecanismos de autorregulación o La Ley faculta a los particulares a convenir entre ellos o con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que tengan por objeto: • Complementar y adaptar a tratamiento específicos o concretos las disposiciones de la Ley. • Desarrollar reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos ARCO. • Incluir mecanismos para medir su eficacia en la protección de los datos, consecuencias y medidas correctivas eficaces en caso de incumplimiento. Algunos instrumentos internacionales que contienen mejores prácticas en la materia Estándares internacionales (2009) Marco de Privacidad de APEC (1999) Directrices de la OCDE (1980) Procedimiento para la defensa de los derechos ARCO Sector público Sector privado Reconoce la tutela de los derechos de acceso y rectificación Reconoce la tutela de los derechos de acceso, rectificación, cancelación y oposición La tutela de los derechos ARCO será efectiva hasta enero de 2012 Plazo máximo de 50 días hábiles prorrogables por una sola vez Plazo máximo de 50 días hábiles prorrogables por una sola vez La resolución es definitiva e inatacable para los sujetos obligados Los sujetos regulados podrán impugnar las resoluciones del IFAI, promoviendo el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa. No prevé conciliación Un elemento innovador de la Ley es el procedimiento conciliatorio que las partes responsable y titular- podrán llevar a cabo para solucionar el conflicto, en cualquier etapa del procedimiento de protección de derechos un mecanismo de En materia de sanciones El procedimiento de sanción se detona cuando el IFAI tenga conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones de la ley como consecuencia del desahogo del procedimiento de protección de derechos o del procedimiento de verificación. Modulación de la pena La ley prevé una serie de conductas consideradas como infracciones con su sanción correspondiente, misma que puede ir desde el apercibimiento hasta la imposición de multas máximas, bajo un sistema de modulación de la penalidad, de acuerdo con la gravedad de las conductas, tomando en cuenta: La naturaleza del dato. La notoria improcedencia de la negativa del responsable para realizar los actos solicitados por el titular. El carácter intencional de la acción u omisión. La capacidad económica del responsable. La reincidencia. Retos sobre el uso y abuso de datos personales Los menores en las redes sociales. La publicidad hipercontextualizada. El uso de datos biométricos.