KPMG en México Implicaciones de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares En julio del año en curso entró en vigor la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, la cual permite, por una parte, la transferencia legítima, controlada e informada de los datos personales y la protección a la privacidad y, por la otra, regula el tratamiento de datos personales, pretendiendo con esto evitar abusos con el manejo de referencias por parte de empresas de información de clientes, bancos de datos y padrones. Esta ley aplica a los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con las siguientes excepciones: las sociedades de información crediticia a las que se refiere la Ley para Regular las Sociedades de Información Crediticia, y las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal. De este modo, todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas por la propia ley. Por su parte, las empresas tendrán la obligación de informar a través del aviso de privacidad a los titulares de los datos la información que se recaba de ellos y con qué fines. En el apartado de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito de la persona para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca. Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento. Para efectos de esta ley, se entiende por datos personales cualquier información concerniente a una persona física identificada o identificable. A través de esta ley se reconocen nuevos derechos de los ciudadanos para proteger su privacidad, y se faculta a las personas para que puedan solicitar acceso a los datos para su rectificación, supresión, confidencialidad o actualización. kpmg.com.mx Datos Personales Sensibles Afectación en la esfera más íntima • Raza o etnia • Estado de salud presente o futuro • Información genética • Creencias religiosas • Afiliación sindical, etc. • Opiniones políticas • Preferencias sexuales El Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), tendrá por objeto difundir el conocimiento del derecho a la protección de datos personales, promover su ejercicio y vigilar la observancia de las disposiciones. Obligaciones, sanciones y violaciones a la ley La disposición establece como violatorio que no se cumpla con la solicitud del ciudadano de cancelación u oposición al tratamiento de sus datos personales, así como actuar con negligencia o dolo en la tramitación. También sanciona a quien recabe o transfiera datos personales sin el consentimiento expreso del titular, a través del engaño y/o fraude, y prohíbe la creación de bases de datos en contravención de dicha ley. Dentro de las obligaciones establecidas en esta ley, se señala que a más tardar el próximo 5 de julio de 2011, las empresas deberán contar con el aviso de privacidad relacionado con los datos que se han obtenido de terceros. Este aviso debe contener, entre otros, la siguiente información: 1. 2. 3. 4. La identidad y domicilio del responsable que recaba los datos Las finalidades del tratamiento de los mismos Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición sobre los datos 5. En su caso, las transferencias de datos que se efectúen 6. El procedimiento y medio por el cual el responsable de la información comunicará a los titulares de cambios en el aviso de privacidad En adición, se deben establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración o el uso no autorizado. Como infracciones administrativas se establecen, entre otras, las siguientes: 1. 2. 3. 4. 5. Tratamiento de datos personales en contravención de la ley Omitir aviso de privacidad Uso de datos personales sin consentimiento de titular Uso o divulgación de datos sensibles para fines secundarios Recabar datos de forma engañosa y fraudulenta Adicionalmente, la ley faculta al IFAI a regular su aplicación y a establecer sanciones que van desde 100 a 320 mil días de salario mínimo vigente en el Distrito Federal, es decir más de 18 millones de pesos, a las empresas particulares que hagan mal uso de la información. En caso de reincidir, se impondrá un castigo adicional similar al anterior, además de que podrán incrementarse hasta por dos veces los montos establecidos cuando se trate de datos sensibles. Asimismo, se impondrán penas corpóreas de tres meses a tres años de prisión al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo custodia. Se sancionará con prisión de seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o persona autorizada para transmitirlos. Conforme al Artículo Segundo Transitorio de la Ley, el reglamento se expediría por el Ejecutivo Federal dentro el año siguiente a la entrada en vigor de la ley, no obstante hasta el momento no ha sido publicado y éste sin duda permitirá una mejor comprensión de las obligaciones establecidas en esta ley, así como aclarar algunos términos, plazos, requisitos, etc. que la ley refiere al mismo. Conclusiones La Ley Federal de Protección de Datos Personales en Posesión de los Particulares evitará que personas y organizaciones lucren con la información personal. Con esta nueva norma los ciudadanos tendrán el poder de decidir quién, cómo y para qué podrá ser utilizada su información personal, y deberán autorizar por escrito el uso de sus datos personales. Las empresas deberán estar conscientes de las implicaciones que esta ley tendrá en sus procesos, así como de las sanciones a las que pueden ser acreedoras si llegaran a incumplir con ésta. Rubén Dávalos es Socio a Cargo de la Práctica de Impuestos Corporativos de KPMG en México. Tiene más de 24 años de experiencia en los que ha brindado asesoría fiscal a empresas del sector financiero, manufacturero y de productos de consumo. Rubén ha participado en auditorías de compra, fusiones y adquisiciones de empresas de diversos ramos y regularización de la situación fiscal y de seguridad social de diferentes patrones. También ha brindado asesoría en temas relacionados con nómina (remuneraciones) y protección de datos personales desde el punto de vista legal corporativo. Rubén es ex presidente de la Comisión Representativa ante organismos de Seguridad Social del Colegio de Contadores Públicos de México (CCPM), es catedrático de diversas asignaturas y colaborador en diversas revistas y periódicos especializados. Nota: Las ideas y opiniones expresadas en este escrito son del autor y no necesariamente representan las ideas y opiniones de KPMG en México. Si deseas mayor información o concertar una entrevista con el asesor sobre el tema, favor de contactar a: Jessica Alarcón Coordinadora de Comunicación Corporativa KPMG en México 52 46 84 91 [email protected] Jessica Sánchez Supervisora de Comunicación Corporativa KPMG en México 52 46 83 28 [email protected] Sobre KPMG International KPMG es una red global de firmas profesionales que proveen servicios de auditoría, impuestos y asesoría. Operamos en 156 países y tenemos 140,000 profesionales que trabajan en las firmas miembro alrededor del mundo. Las firmas miembro independientes de la red de KPMG están afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Cada firma miembro de KPMG es una entidad legal separada e independiente y cada una se describe a sí misma como tal. Sobre KPMG en México: KPMG en México cuenta con 129 Socios y más de de 2,200 profesionales en 17 oficinas ubicadas estratégicamente en las ciudades más importantes, para ofrecer servicios de asesoría a clientes locales, nacionales y multinacionales. Para más información visite: www.kpmg.com.mx y www.delineandoestrategias.com