En México, nueva Ley de Datos Personales y nuevos Sujetos Obligados

Por Héctor E. Guzmán Rodríguez

La publicación en México de la nueva “Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados” (LGPD), el pasado 26 de enero de 2017, nos invita no sólo a comentar sobre los aspectos relevantes de la misma, sino también a efectuar ciertas aclaraciones y notas previas, que consideramos necesarias para comprender el contexto en que esta última entra en vigor.

En primer lugar, aclaremos que esta nueva ley no sustituye a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD), publicada en 2010. Esta última mantiene su vigencia y alcance, en todos sus aspectos.

En segundo lugar, téngase en cuenta que antes de la entrada en vigor de la LGPD, los denominados “sujetos obligados” que ahora son regulados por este ordenamiento, carecían esencialmente de obligaciones legales relacionadas con el tratamiento de datos personales, similares a las que desde 2010 deben cumplir las personas físicas y jurídicas “de carácter privado”. En pocas palabras, existía un régimen asimétrico de obligaciones para uno y otro tipo de responsables, a pesar de que cualquiera de ellos estuviese tratando datos personales.

Finalmente, indiquemos de forma perfectamente clara que los regímenes sancionadores previstos en la LGPD y la LFPD difieren de manera significativa. Simple y sencillamente, existe un régimen sancionador más severo para “los particulares” que para “los sujetos obligados”.

Al respecto, podemos comprobar, con ambas leyes en la mano, que la multa máxima ordinaria prevista para un “sujeto obligado” que viole alguna disposición de la LGPD sería de $113,235.00 pesos (es decir, 1,500 veces el valor diario de la Unidad de Medida y Actualización [valor 2017]), mientras que la multa máxima ordinaria prevista para un “particular” que cometa una infracción muy grave prevista en la LFPD es de $24,156,800.00 pesos (es decir, 320,000 veces el valor diario de la Unidad de Medida y Actualización [valor 2017]).

Como corolario a esta diferencia específica entre multas máximas, cabe también indicar que a diferencia de lo dispuesto por la LFPD, en la LGPD no se prevé que en tratándose de infracciones cometidas que conlleven el tratamiento de datos sensibles, las sanciones puedan incrementarse hasta por dos veces, conforme a los montos establecidos.

Los sujetos obligados

Dicho lo cual, veamos quiénes son los “sujetos obligados” que dan su nombre a este nuevo ordenamiento:

Artículo 1. […]

Son sujetos obligados por esta Ley, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.

Los sindicatos y cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal serán responsables de los datos personales, de conformidad con la normatividad aplicable para la protección de datos personales en posesión de los particulares.

En todos los demás supuestos diferentes a los mencionados en el párrafo anterior, las personas físicas y morales se sujetarán a lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Más allá de resultar claro que la LGPD es aplicable a cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial del ámbito federal, con la entrada en vigor de esta ley se despejan incógnitas generadas cuando entró en vigor de la LFPD, ya que durante mucho tiempo se puso en duda que esta última resultase aplicable a los partidos políticos o a los sindicatos (por citar un par de ejemplos).

Ahora, bastará atender a los supuestos expresamente indicados y, en el último de los casos, realizar un ejercicio de eliminación para definir cuál es la normativa aplicable a cualquier tipo de persona o entidad que por razón de sus funciones o actividades lleve a cabo el tratamiento de datos personales.

Con lo anterior, México deberá alcanzar el nivel de cobertura global en cuanto a los sujetos (obligados o regulados) que deben respetar principios y cumplir con obligaciones dirigidos a la protección de los datos personales de los titulares (las personas físicas a quienes corresponden los datos personales).

Principios y deberes

Sin ir más lejos (y como creemos no podía ser de otra forma), los sujetos obligados deberán cumplir con los mismos principios que cumplen los “particulares”, relativos al tratamiento de datos personales (art. 16):

  • Licitud,
  • Finalidad,
  • Lealtad,
  • Consentimiento,
  • Calidad,
  • Proporcionalidad,
  • Información, y
  • Responsabilidad

En consonancia con su hermana privada, la LGPD no establece obligación alguna para que las bases de datos de las que son responsables los sujetos obligados deban inscribirse en ningún tipo de registro; en su lugar los sujetos obligados también deberán contar con “un” aviso de privacidad, a través del cual deberán informar sobre la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas a respecto (art. 26).

De manera un tanto diferenciada a lo que ocurre para los “particulares”, la LGPD prevé expresamente que el responsable deberá implementar mecanismos para acreditar el cumplimiento de los principios, deberes y obligaciones establecidos en esta normativa, y rendir cuentas sobre el tratamiento de datos personales en su posesión tanto al titular de los datos como al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) (art. 29).

En el artículo 30 de la LGPD, podemos encontrar algunos mecanismos que el responsable de los datos deberá adoptar para cumplir con el principio de responsabilidad (accountability), de los que resaltamos los siguientes:

  • Destinar de recursos autorizados para la elaboración e instrumentación de programas y políticas de protección de datos personales, obligatorios y exigibles al interior de la organización del responsable;
  • Poner en práctica de programas de capacitación y actualización del personal en la materia;
  • Revisare periódicamente las políticas y programas de seguridad de datos personales;
  • Establecer un sistema de supervisión y vigilancia interna y/o externa, que incluya auditorías;
  • Establecer procedimientos para recibir y responder dudas y quejas de los titulares
  • Diseñar, desarrollar e implementar sus políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, de conformidad con las disposiciones previstas en la LGPD.

Asimismo, y de igual forma a lo que ocurre en el ámbito privado, podemos apreciar que la LGPD prevé que para el cumplimiento de sus principios, deberes y obligaciones, los responsables podrán valerse de estándares o mejores prácticas nacionales o internacionales.

En la nueva LGPD se prevé el deber de los sujetos obligados para establecer y mantener medidas de seguridad para la protección de los datos personales (art 31), y se especifica y define que estas medidas deberán ser de carácter administrativo, físico y técnico, orientadas a protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamientos no autorizados, así como a garantizar su confidencialidad, integridad y disponibilidad.

De manera particular, se indica que las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales deberán estar documentadas y contenidas en un sistema de gestión (art. 34); y se ordena que los responsables deberán elaborar un documento de seguridad (art. 35), que contenga al menos:

  • El inventario de datos personales y de los sistemas de tratamiento;
  • Las funciones y obligaciones de las personas que traten datos personales;
  • El análisis de riesgos;
  • El análisis de brecha;
  • El plan de trabajo;
  • Los mecanismos de monitoreo y revisión de las medidas de seguridad, y
  • El programa general de capacitación.

Derechos ARCO

Tal y como ya ocurriera con la LFPD, la nueva LGPD importa de Europa el concepto de los derechos ARCO, para establecer que cualquier titular, en todo momento, podrá solicitar al responsable el acceso, rectificación, cancelación u oposición al tratamiento de los datos personales que le conciernen (art. 43).

En la LGPD, el equivalente al Departamento de Datos Personales (art. 30 LFPD) lo constituye la Unidad de Transparencia de cada responsable, en la que deberá darse trámite a las solicitudes para el ejercicio de los derechos ARCO.

Evaluaciones de Impacto en la Protección de Datos Personales

Las evaluaciones de impacto previstas en el artículo 74 de la LGPD constituyen una diferencia específica entre el régimen “publico” y el “privado” relativo a la protección de datos personales. En el primero, serán por regla general obligatorias, mientras que en el segundo son completamente voluntarias y optativas (aún).

La LGPD establece (art. 3, fracción XVI) que una Evaluación de Impacto en la Protección de Datos Personales es el “documento mediante el cual los sujetos obligados que pretendan poner en operación o modificar políticas públicas, programas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales, valoran los impactos reales respecto de determinado tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con los principios, deberes y derechos de los titulares, así como los deberes de los responsables y encargados, previstos en la normativa aplicable”.

Y conforme a su artículo 74, se prevé que cada evaluación de impacto deberá presentarse ante el INAI, para que este emita recomendaciones no vinculantes especializadas en la materia de protección de datos personales.

Como es previsible al respecto, el artículo 75 de la LGPD aclara qué debe considerarse como “tratamiento intensivo o relevante de datos personales”, indicando que existe tal cuando:

  • Existan riesgos inherentes a los datos personales a tratar;
  • Se traten datos personales sensibles, y
  • Se efectúen o pretendan efectuar transferencias de datos personales.

Como muchos de ustedes podrán advertir, será una prueba de fuego para todos los sujetos obligados en México, cumplir con esta disposición; o quizá no, puesto que toda esperanza puesta en la futura realización de numerosas evaluaciones de impacto, podría verse disminuida ante lo dispuesto por el artículo 79 de la LGPD (una verdadera bala en el pie, desde nuestro particular punto de vista):

Artículo 79. Cuando a juicio del sujeto obligado se puedan comprometer los efectos que se pretenden lograr con la posible puesta en operación o modificación de políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales o se trate de situaciones de emergencia o urgencia, no será necesario realizar la Evaluación de impacto en la protección de datos personales.

Veremos si en el futuro inmediato los sujetos obligados gastan más tiempo en justificar que no es necesario realizar una evaluación de impacto en protección de datos personales, que en realizarla para cumplir de manera efectiva con el objeto y espíritu de la LGPD.

Otras consideraciones

El espacio (y la paciencia del lector) recomiendan detener nuestra presentación de la LGPD en este momento, para desarrollar otros aspectos de la misma en futuras oportunidades.

Sin embargo, y como cierre a estas líneas, dejemos dicho que la LGPD entró en vigor al día siguiente de su publicación en el Diario Oficial de la Federación de México; asimismo, que se ha dado al Congreso mexicano y a las legislaturas de cada una de las entidades federativas del país, un plazo de seis meses para que todas ellas realicen las adecuaciones necesarias para ajustar las leyes federales y locales a las disposiciones previstas en la LGPD (el art. 2, II de la LGPD establece que serán objetivos de ésta, entre otros, establecer las bases mínimas y condiciones homogéneas que regirán el tratamiento de los datos personales y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición).

Finalmente, decir que será el tiempo el que nos dirá la efectividad y el grado de cumplimiento de esta nueva LGPD, y que somos optimistas al respecto, dado que la experiencia acumulada en cuanto al cumplimiento de la LFPD, nos permite prever que los sujetos obligados dirigirán su atención y recursos hacia el cumplimiento.