Con fecha 5 de julio de 2010 se publicó en el Diario Oficial de la Federación el Decreto por el que se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, la cual tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.
En su artículo segundo la Ley nos indica que son sujetos regulados por esta Ley las personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales con excepción de: (i) las sociedades de información crediticia reguladas por la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables; y (ii) las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.
Importante considerar que los datos protegidos por la Ley son los datos personales y los datos personales sensibles. Entendiendo por los primeros, cualquier información concerniente a una persona física identificada o identificable. Por datos personales sensibles, se entiende, aquellos datos personales que afecten a la esfera más intima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste, por ejemplo, aquellos datos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y preferencia sexual.
Avisos y Derechos
La Ley establece que, a fin de recolectar y tratar los datos personales, será necesario proporcionar un documento físico, electrónico o en cualquier otro formato (el "Aviso de Privacidad") generado por las empresas y puesto a disposición de los titulares previo al tratamiento de sus datos personales, el cual deberá contener cuando menos la siguiente información: la identidad y domicilio de la empresa que recolecta y trata los datos personales:
En otras palabras, las empresas obligadas deberán elaborar el Aviso de Privacidad y ponerlo a disposición del titular, a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología, a efecto de que este manifieste su voluntad de que sus datos personales sean o continúen siendo utilizados, divulgados y, en su caso, transferidos.
Medidas de seguridad
La Ley señala que todo responsable que lleve a cabo el tratamiento de datos personales, deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales, las cuales deberán ser congruentes al grado de confidencialidad de los datos personales de que se trate. De igual manera, la empresa deberá designar a una persona o departamento de datos personales quien dará trámite a las solicitudes de los titulares y fomentará la protección de datos personales al interior de la organización.
Por lo que se refiere a la transferencia de datos a terceros, la Ley establece que cualquier responsable que pretenda transferir datos personales a terceros nacionales o extranjeros deberá notificar a estos el Aviso de Privacidad y las finalidades a las que el titular sujetó su tratamiento. De igual manera, establece que el Aviso de Privacidad contendrá una cláusula que en la que se indique si el titular acepta o no la transferencia de sus datos quedando todo tercero receptor sujeto a las mismas obligaciones que corresponden al responsable que los divulgó.
Sanciones
Finalmente, el capítulo X de la Ley señala las infracciones y sus sanciones correspondientes estableciendo como pena máxima la multa hasta por el equivalente de 200 a 320,000 días de salario mínimo general vigente en el Distrito Federal.
Pudiendo estar sujetos, en caso de que persistan las infracciones de manera reiterada, a una multa adicional de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal y en ciertos casos a pena corporal.
Aplicabilidad en Grupo CP
Grupo CP buscando el mejor servicio hacia nuestros clientes realizó en conjunto con nuestros asesores un diagnóstico para el desarrollo del Programa de Privacidad de Datos. En el diagnóstico se llevó a cabo la evaluación del nivel de cumplimiento de las diferentes unidades estratégicas de negocio, a través del análisis de los riesgos referentes a la privacidad de datos personales para el cumplimiento con la LFPDPPP y los Principios Internacionales de Privacidad Generalmente Aceptados. Se identificaron los puntos de mejora, así como también se definieron las alternativas para su cierre, dimensionando los esfuerzos y recursos requeridos para complementar el Programa de Privacidad de Datos y priorizando las acciones de acuerdo con las fechas establecidas en la Ley.
De acuerdo con lo que exige la Ley, se diseñó un programa que se cumplirá por fases, tomando en cuenta las fechas compromiso publicadas y que incluyen las siguientes actividades:
Grupo CP mediante su Consejo de Administración nombró a la Lic. Cecilia Hernández Romo, como su Oficial de Privacidad, encargado del manejo de datos cumpliendo con la reglamentación establecida.
Les agradeceremos para cualquier tema relacionado esta nueva Ley se pongan en contacto con nuestro Oficial de Privacidad en leyproteccion@grupocp.mx o en nuestras oficinas ubicadas en Av. Miguel de Cervantes Saavedra No. 301, Torre Sur Piso 18, Colonia Granada, Del. Miguel Hidalgo, C.P. 11520. México, D.F.
Avisos de Privacidad en Grupo CP
Estamos enviando a nuestros clientes los documentos necesarios para asumir ante ellos las obligaciones que nos derivan de esta nueva ley para la protección y cuidado de los datos personales cuya custodia nos confían, y muy especialmente para acatar los términos y condiciones de los avisos de privacidad que les entreguen a sus funcionarios y empleados.
Almacenamiento de Datos Personales en Grupo CP
Grupo CP conserva sus datos personales en base de datos localizadas en un centro de datos que cuenta con los últimos estándares de seguridad, soportado con certificaciones globales que respaldan el correcto manejo de la información, para garantizar la confidencialidad de su información.
Comunicado de prensa
Grupo CP realizó un comunicado de Prensa en un periódico de circulación nacional
Grupo CP realizó un comunicado de Prensa en un periódico de circulación nacional el 7 de julio de 2011, comunicando la adopción de un Programa de Privacidad de Datos alineado a la Nueva Ley Federal de Protección de Datos Personales manteniendo políticas y procedimientos de seguridad y privacidad que garantizan la seguridad de la información.
Se realizó un segundo comunicado de Prensa en un periódico de circulación nacional el 10 de octubre de 2011 como medida compensatoria para regularizar sus bases de datos en uso antes de la entrada en vigor de la Ley.
Instituto Federal de Acceso a la Información y Protección de Datos
El organismo facultado para vigilar la aplicación de la ley es el Instituto Federal de Acceso a la Información Pública y Protección de Datos ("IFAI").
El 21 de diciembre de 2011 se publicó en el Diario Oficial de la Federación el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, el cual detalla los derechos y obligaciones previstos en la LFPDPPP, estableciendo asimismo procedimientos de verificación y sanción.
A la fecha este organismo ha emitido una guía práctica para generar el aviso de privacidad dentro de su página de internet: www.ifai.gob.mx.