Datos Personales, su protección

         El pasado 5 de julio de 2010, fue publicada en el Diario Oficial de la Federación, la nueva Ley Federal de Protección de Datos Personales en Posesión de Particulares, respondiendo a una creciente necesidad de la protección de los mismos por parte de empresas comercializadoras de bienes y servicios y que en muchas ocasiones terminaban en manos de otras personas quienes hacían uso indebido de los mismos, comercializando dichos datos con otras empresas para que a su vez ofrecieran sus productos y en algunas ocasiones hasta para un “marketing” de los mismos poco ético o claro, enviando el producto y luego procediendo a su cobro indebido, sin que la persona que lo recibió lo haya solicitado, en el mejor de los casos, pues en otros se ha dado hasta el delito de robo de identidad o “phishing” como le llaman en otros países.
         Atendiendo a dicha necesidad y a la creciente comercialización de datos, incluso de aquéllos señalados como delicados, como son domicilios o documentos de identificación tales como IFE o números de tarjetas de crédito, es que se emitió dicha Ley, que obliga a particulares (personas físicas y morales) que recaben o cuenten con base de datos, a establecer todo un sistema para su debido resguardo, así como a emitir “avisos de privacidad” sobre los mismos, es decir, a informar a los titulares de dichos datos, el uso y tratamiento que se dará a sus datos, estableciendo métodos de acceso y modificación de los mismos, así como diversas sanciones en caso de incumplimiento.
         En primer término, es pertinente señalar que la Ley establece como sujetos obligados al cumplimiento de la misma a las personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, es decir, que recaben o mantengan una base de datos de personas con las que realicen operaciones comerciales, excluyendo de la misma a las entidades crediticias, quienes están reguladas por distinto ordenamiento y por lo comúnmente conocido como “secreto bancario” y a las personas que lleven a cabo la recolección y almacenamiento de datos para uso estrictamente personal y sin fines de divulgación o para uso comercial, es decir para envío de promociones o información comercial.
         En este sentido, aquéllas personas que recaben y almacenen datos de personas para fines de envío de información comercial o de promociones o divulguen a terceros dichos datos, deberán acatarse a dicha Ley y cumplir con la misma respecto al manejo de dicha información, so pena de hacerse acreedores a las sanciones señaladas en la misma.
         En éste sentido, la Ley obliga a dichas personas a establecer una base de datos de los recabados, y designe un responsable que maneje la misma, así como elaborar un Aviso de Privacidad a entregar a los titulares de dichos datos personales que recaben, debiendo contar con el consentimiento expreso o tácito del mismo, sobre la recopilación de sus datos personales.
         Asimismo, las personas que racaben dichos datos personales, lo deberán hacer a través de medios lícitos y no a través de medios engañosos o fraudulentos, es decir, con el supuesto fin de ofrecer beneficios en productos o servicios, con la sóla intención de recabar dichos datos, así como evitar conformar una base de datos, con datos sensibles tales como origen étnico, preferencia sexual, creencias religiosas, estado de salud o información genética, entre otros de carácter íntimo o cuya utilización pudiera generar discriminación o conlleve un riesgo para su titular, salvo que sean estrictamente necesarios para la finalidad del tratamiento de los mismos y que se cuente con el consentimiento expreso y por escrito de su titular.
         El tratamiento de los datos personales que recabe el particular, deberá limitarse única y exclusivamente para los fines señalados en el Aviso de Privacidad que ponga a disposición del titular de dichos datos, el Aviso de Privacidad en comento, deberá contener, cuando menos, lo siguiente:

Identidad y domicilio del responsable que los recaba;

La finalidad del tratamiento de los datos;

Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos;

Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición;

En su caso, las transferencias de datos que se efectúen, y

El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad.

En este sentido y derivado de dicho Aviso de Privacidad, el titular de los datos personales podrá en cualquier momento limitar el uso de sus datos, rectificarlos, oponerse al tratamiento de los mismos o cancelarlos de la base de datos del particular que los haya recabado.
En caso de negativa por parte del particular, el titular de los datos podrá presentar procedimiento administrativo ante el Instituto de Acceso a la Información Pública Gubernamental y Protección de Datos para llevar a cabo el procedimiento de protección de datos, sin perjuicio de las infracciones a que haya lugar aplicar por el incumplimiento del particular.
No obstante, la Ley prevé ciertos casos en los que precisa que el responsable no estará obligado a realizar la cancelación de datos personales, como cuando los mismos formen parte de un contrato privado, social o administrativo y sean necesarios para el cumplimiento del mismo o cuando su cancelación obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, investigación y persecución de delitos o de sanciones administrativas, entre otros.
 Las infracciones a cualquier disposición de dicha Ley varía desde un simple apercibimiento administrativo hasta una multa de entre 100 hasta 320,000 días de salario mínimo vigente en el Distrito Federal, dependiendo del tipo y gravedad de la infracción, razón por la cual se hace necesario tener en cuenta el cumplimiento de la misma, sobre todo cuando se manejan datos personales de terceros con fines comerciales y quienes tenemos, en todo caso, el derecho de exigir su correcto uso o tratamiento, evitando una invasión innecesaria o inesperada a nuestra intimidad.
En este sentido, el primer paso, para quienes recaban este tipo de información y cuentan con una base de datos de personas con fines comerciales, el primer paso para evitar una posible sanción, es contar con un responsable de dicha base de datos y un Aviso de Privacidad, cuya aceptación o conocimiento sea otorgada por el titular de los datos personales recabados y evitar dar, a dichos datos, un tratamiento distinto al señalado en el Aviso correspondiente, como su transferencia a terceros sin autorización expresa del titular de los datos.
El cumplimiento de dicha Ley no sólo se garantiza a través de las sanciones administrativas señaladas, sino incluso estableciendo tres tipos penales de conductas que violen o pongan en riesgo la privacidad del titular de los datos personales y que se obtenga un lucro indebido con el tratamiento de los mismos o de la obtención de dichos datos a través de medios engañosos o fraudulentos y alcance un lucro indebido por ello, las penas van de 3 meses a 3 años de prisión.
En éste sentido, se considera importante para quienes cuentan on negocios que manejan datos personales o sensibles, derivado de sus actividades profesionales o comerciales, tener cabal conocimiento de ésta Ley y cumplir con la misma, evitando riesgos innecesarios que no sólo pongan en peligro su patrimonio, sino hasta su libertad.
Para cualquier duda o asesoría, me reitero a sus órdenes.

Lic. Dylan J. Oliver