El 5 de julio de 2010 se publicó en el Diario Oficial de la Federación la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “Ley”). La publicación de la Ley tuvo lugar, después de que la Constitución Política de los Estados Unidos Mexicanos fuera reformada en sus artículos 16, segundo párrafo, y 73, fracción XXIX-O, reformas en las cuales se reconoció el derecho a la protección de datos como derecho fundamental y facultó al H. Congreso de la Unión para legislar.
La finalidad de la Ley es regular el tratamiento legítimo, controlado e informado de los datos personales a fin de garantizar la privacidad de los individuos y el derecho a la autodeterminación informativa, es decir, la facultad del individuo de decidir quién, por qué y para qué trata sus datos personales. Asimismo, la Ley reconoce los principios internacionalmente aceptados para el tratamiento de datos personales, como son: el de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.
Dicha ley es de carácter obligatorio para todas las personas físicas y morales de carácter privado que obtienen, utilizan, divulgan o simplemente almacenan información concerniente a una persona física identificada o identificable (con excepción de sociedades de información crediticia y personas que recaban y almacenan datos personales para uso personal, y sin fines de divulgación o utilización comercial).
La Ley establece que todo tratamiento de datos personales está sujeto al consentimiento, ya expreso, por parte de su titular, salvo que dicho tratamiento encuadre en alguno de los supuestos de excepción previstos en la propia Ley.
En caso de darse un tratamiento ilegítimo de datos personales, la Ley prevé infracciones e incluso delitos cuyas sanciones podrían duplicarse cuando se trate de datos personales sensibles (tales como datos del estado de salud, información sobre origen racial o étnico, afiliación sindical, preferencias sexuales, creencias religiosas, opiniones políticas, etc.).
El pasado 6 de julio venció el plazo otorgado a las personas físicas y morales de carácter privado, que tratan datos personales, para cumplir con las siguientes obligaciones:
Poner a disposición de los titulares de datos personales (por ejemplo: empleados, consumidores, proveedores, etc.) los correspondientes Avisos de Privacidad, que cumplan con los requisitos establecidos en la Ley, mediante los cuales se informe entre otras cosas, sobre la identidad del responsable del tratamiento de dichos datos; el tipo de datos personales con que se cuenta respecto de dicho titular; las finalidades del tratamiento de los mismos; los medios para ejercer los derechos de acceso, rectificación, cancelación y oposición (“derechos ARCO”); y
Nombrar a la Persona o Departamento que estará a cargo, dentro de la empresa, de promover el derecho a la privacidad y la protección a los datos personales, así como de dar trámite a las solicitudes de derechos ARCO.
Asimismo, la Ley establece que el consentimiento del titular para el tratamiento de datos personales no es necesario si el mismo está previsto en una ley u ordenamiento jurídico, tal como lo es la obligación del patrón de celebrar un contrato individual de trabajo con sus empleados y de inscribirlos en el Instituto Mexicano del Seguro Social.
Sin embargo, cuando exista una transferencia de información personal a terceros con el propósito de administrar la nómina y cumplir con el otorgamiento de prestaciones de previsión social (por ej. un seguro de vida, etc.), el consentimiento del empleado no sería necesario, siempre y cuando dicha transferencia tenga como propósito cumplir obligaciones derivadas de una relación jurídica entre el patrón y el empleado. No obstante, el patrón debe dar a conocer al tercero sus obligaciones en torno a dicha información, a fin de garantizar que la misma sea tratada conforme a las obligaciones asumidas por el patrón.
Más aún, esta Ley también sería aplicable al caso de los candidatos a ocupar una vacante en la empresa, ya que desde el proceso de reclutamiento y selección de personal, el patrón recaba datos personales sensibles del candidato, y en consecuencia, debe otorgar al mismo un aviso de privacidad de acuerdo con los lineamientos que hemos venido estableciendo.
Por todo lo anterior, consideramos que es crítico para las empresas revisar sus procesos y desarrollar e implementar las medidas necesarias a fin de cumplir con las disposiciones de la Ley a la brevedad posible.
ERIAC Capital Humano y Basham Ringe y Correa presentarán la información en la Asamblea Mensual de Asociados el 16 de Agosto.