suaje

Noticias

Febrero 15, 2017

Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO)

El pasado 26 de enero de 2017 fue publicada en el Diario Oficial la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) cuyos aspectos más relevantes son los siguientes:

  • Son sujetos obligados, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, así como sindicatos y cualquier persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal.
  • Su objeto, entre otros, establecer las bases mínimas que regirán el tratamiento de datos personales y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición “ARCO”.
  • Incorpora conceptos tales como evaluación de impacto en la protección de datos personales, esto es, un documento a través del cual los sujetos obligados que pretendan poner en operación o modificar políticas públicas, programas, sistemas o plataformas informáticas que impliquen el tratamiento intensivo o relevante de datos personales, deberán valorar los impactos reales respecto del tratamiento de datos personales.
  • Se entiende que está en presencia de un tratamiento intensivo o relevante cuando existan riesgos inherentes a los datos personales a tratar, se traten datos personales sensibles y se efectúen o pretendan efectuar transferencias de datos personales.
  • Se aplican de forma supletoria el Código Federal de Procedimientos Civiles y la Ley Federal de Procedimiento Administrativo.
  • Incorpora varios aspectos contenidos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, tales como: (i) principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad en el tratamiento de datos personales; (ii) consentimiento expreso y por escrito de datos personales sensibles; (iii) contar con un aviso de privacidad en su modalidad de simplificado e integral; (iv) implementar medidas administrativas, físicas y técnicas para la protección de datos personales; (v) contar con políticas internas para la gestión y tratamiento de los datos personales; contar con un inventario de datos personales y sistemas de tratamiento; (vi) realizar un análisis de riesgo y de brecha; (vi) contar con un sistema de gestión; (vii) contar con acciones correctivas y preventivas ante una vulneración de seguridad; (viii) establecer procedimientos sencillos para el ejercicio de derechos ARCO; (ix) la relación entre responsable y encargado deberá formalizarse a través de un contrato; (x) toda transferencia de datos estará sujeta al consentimiento del titular, salvo las excepciones que marca la ley.
  • Las comunicaciones privadas son inviolables. Exclusivamente la autoridad judicial federal, a petición de autoridad federal que faculte la ley o del titular del Ministerio Público de la entidad federativa correspondiente, podrá autorizar la intervención de cualquier comunicación privada.
  • Las bases de datos en posesión de instancias de seguridad, procuración y administración de justicia deberán establecer medidas de seguridad de nivel alto para garantizar la integridad, disponibilidad y confidencialidad de la información.
  • El titular de datos personales o su representante, podrá interponer un recurso de revisión o recurso de inconformidad ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos (INAI), o los Órganos garantes, según corresponda, o bien, ante la Unidad de Transparencia.
  • Se admiten como pruebas, las imágenes fotográficas, páginas electrónicas, escritos y demás elementos aportados por la ciencia y tecnología, entre otras.
  • Se contempla un procedimiento de conciliación, una vez admitido el recurso de revisión y si las partes llegan a un acuerdo, éste tendrá efectos vinculantes, dejando sin materia el recurso de revisión.
  • En caso de una probable responsabilidad por incumplimiento a las obligaciones de la ley, deberán hacerlo del conocimiento del órgano interno de control o de la instancia competente para que ésta inicie, en su caso, el procedimiento de responsabilidad respectivo.
  • El INAI podrá ejercer la facultad de atracción para conocer aquellos recursos de revisión pendientes de resolución en materia de protección de datos personales, que por su interés y trascendencia así lo ameriten.
  • La resolución del INAI será definitiva e inatacable para el organismo garante y para el sujeto obligado de que se trate.
  • Los particulares podrán impugnar las resoluciones del INAI ante el Poder Judicial de la Federación.
  • Únicamente el Consejero Jurídico del Gobierno podrá interponer recurso de revisión en materia de seguridad nacional ante la Suprema Corte de Justicia de la Nación, en el caso que las resoluciones del INAI puedan poner en peligro la seguridad nacional.
  • El INAI o los Organismos garantes podrán imponer las siguientes medidas de apremio para asegurar el cumplimiento de sus determinaciones: (i) amonestación pública, o (ii) multa equivalente a la cantidad de ciento cincuenta hasta mil quinientas veces el valor diario de la Unidad de Medida de Actualización (la día de hoy es de $75.49).
  • El incumplimiento de los sujetos obligados será difundido en los portales de obligaciones de trasparencia del INAI y los Organismos garantes y considerados en las evaluaciones que realicen éstos.
  • Para calificar las medidas de apremio se deberá considerar: (i) la gravedad de la falta del responsable; (ii) la condición económica del infractor y, (iii) la reincidencia.
  • Entre las causas de sanción se encuentran: (i) actuar con negligencia, dolo o mala fe durante la sustanciación de las solicitudes de derechos ARCO; (ii) dar tratamiento de manera intencional a los datos personales  en contravención a los principios de la ley; (iii) no contar con el aviso de privacidad, o bien omitir los elementos a que se refiere la ley; (iv) clasificar como confidencial, con dolo o negligencia, datos personales sin que cumplan las características señaladas en las leyes que resulten aplicables; (v) incumplir el deber de confidencialidad; (vi) llevar a cabo transferencias de datos personales en contravención a lo previsto en la ley; (vii) en caso de la presunta infracción sea cometida por algún integrante de un partido político, la investigación, y en su caso, la sanción, corresponderán a la autoridad electoral competente; (viii) las sanciones de carácter económico no podrán ser cubiertas con recursos públicos.
  • En los casos en que el presunto infractor tenga la calidad de funcionario público, el INAI o el Órgano garante, deberá remitir a la autoridad competente, junto con la denuncia, un expediente en que se contengan los elementos que sustenten la presunta responsabilidad.
  • Ante el incumplimiento de los partidos políticos el INAI u Organismo garante dará vista al Instituto Nacional Electoral.
  • La Ley Federal de Transparencia y Acceso a la Información Pública, las demás leyes federales y las leyes vigentes en las Entidades Federativas en materia de protección de datos personales, deberán ajustarse a las disposiciones previstas en la LGPDPPSO en un plazo de seis meses, es decir el 27 de julio de 2017.
  • El INAI y los Organismos garantes deberán emitir los Lineamientos a que se refiere la LGPDPPSO a más tardar en un año, a partir de la entrada en vigor de la ley, es decir, el 26 de enero de 2018.
  • Se deberá emitir el Programa Nacional de Protección de Personales a más tardar en un año, a partir de la entrada en vigor de la ley, es decir, el 26 de enero de 2018.
  • Los sujetos obligados deberán tramitar, expedir o modificar su normatividad interna a más tardar dentro de los dieciocho meses siguientes a la entrada en vigor a la ley, esto es, el 26 de junio de 2018.

Esta Ley, busca que proveer a los ciudadanos de herramientas jurídicas que les permitan imponer un límite a las actuaciones de las autoridades que pudieran conculcar la esfera de derechos de los particulares. En este caso específico, un límite para ejercer de manera plena el derecho a la autodeterminación informativa de manera que cada persona en este país decida libremente sobre el uso y destino de sus datos personales, teniendo en todo momento el derecho a acceder, rectificar, cancelar y oponerse legítimamente a determinados tratamientos de datos, como lo señala la propia exposición de motivos.

 

Si requiere mayor información sobre el tema, por favor no dude en contactarnos.

 

suaje