Skip to main content

Cual es el Tratamiento de los Datos Personales: Ley Federal de Proteccion de Datos Personales

 

Autor: Lic. Javier Jacob Evangelista Segoviano

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la Ley) se publicó en el Diario Oficial de la Federación el 5 de julio de 2010.
A casi tres años de su publicación y entrada en vigor aún existe un desconocimiento por parte de los sujetos obligados, y en algunos casos se cree que el cumplimiento sólo consiste en tener un aviso de privacidad, lo cual es erróneo.

Si bien es cierto que el aviso de privacidad es el documento que se pone disposición del titular de los datos personales, también lo es que dicho aviso de privacidad contiene toda la información respecto al tratamiento que se le dará a los datos personales. Es por ello que el aviso de privacidad es de suma importancia, porque de ello dependerá que el titular de los datos esté debidamente informado de lo que se hará con sus datos personales, a quién se le podrán transmitir o compartir sus datos y para qué finalidad serán utilizados.

Para todo ello se debe tomar en cuenta lo que se establece el artículo 1 de la Ley:

“Artículo 1.- La presente Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.”

El precepto transcrito establece que la Ley tiene por objeto la protección de los datos personales, y tiene como finalidad regular su tratamiento. La palabra “tratamiento”se define en el artículo 3, fracción XVIII de la Ley de la siguiente forma:

“Artículo 3.- Para los efectos de esta Ley, se entenderá por:

XVIII. Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.”

La Ley establece que el tratamiento incluye cuatro verbos, es decir, obtener, usar, divulgar o almacenar datos personales.

Asimismo señala que el uso constituye cinco verbos, los cuales son acceder, manejar, aprovechar, transferir o disponer de datos personales.

Podemos apreciar que el tratamiento es muy amplio, y en las actividades normales de cualquier sujeto obligado se está en presencia de un tratamiento de datos personales, desde una persona que llega a una empresa y se registra como visitante, hasta aquella persona que proporciona sus datos en su calidad de candidato para una vacante, trabajador o cliente.

Calculadora ISR 2024 de Regalo: Descárgala y calcula fácilmente el ISR, IMSS e Infonavit de 2024 desde una sencilla Hoja en Excel, es completamente GRATIS!

Algunas complicaciones a las que se enfrentan las empresas que recaban datos personales, puede ser un acta de nacimiento, la cual se solicita para integrar el expediente de un trabajador, pero tal acta no sólo contiene los datos personales del titular de los datos personales (trabajador), sino también puede incluir datos de padre, madre y abuelos. Si de acuerdo a la fracción XVIII del artículo 3 Ley, el tratamiento incluye el uso, y el uso abarca cualquier acción de acceso, entonces ¿deberíamos considerar que se está teniendo acceso a los datos personales de padres y abuelos?. ¿Deberíamos incluir dichos datos personales en el aviso de privacidad?.

Similar situación se observa cuando en una bitácora de registro de acceso a una empresa, se solicitan datos personales, pero además se solicita una identificación oficial. Debemos considerar que una identificación puede contener diversos datos personales, como fotografía, dirección y cualquier otro dato personal, dependiendo del tipo de identificación, y por el hecho que la empresa tiene el uso o una acción de acceso, ¿deberíamos mencionar tal situación en un aviso de privacidad?

Si de acuerdo al artículo 3, fracción XVIII de la ley, el tratamiento es el almacenamiento por cualquier medio, entonces deberíamos cuestionarnos si ¿los datos personales de las identificaciones deben incluirse en el aviso de privacidad cuando nuestra empresa las digitaliza? o bien cuando algún sujeto obligado realiza ventas al público en general es una práctica común que cuando el cliente paga con tarjeta de débito o crédito se le solicite una identificación y en algunas ocasiones se toman datos personales de dichas identificaciones, entonces ¿también se debe mencionar en un aviso de privacidad que se le está dando tratamiento a ese tipo de datos personales?.

Hasta este punto, consideramos entonces que un aviso de privacidad pudiera traer serias complicaciones si no se incluyen la totalidad de los datos a los que se les da un tratamiento.

Para ejemplificar otra complicación de la Ley, debemos mencionar lo que establecen los artículos 1 y 3, fracción V, de la Ley:

“Artículo 1.- La presente Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.”
(Énfasis añadido)
“Artículo 3.- Para los efectos de esta Ley, se entenderá por:

V. Datos personales: Cualquier información concerniente a una persona física identificada o identificable.

Ambos artículos nos llevan a concluir que los datos personales a que se refiere la ley sólo son respecto de personas físicas, pero ¿qué sucede con los datos personales de personas físicas que prestan sus servicios para una persona moral?

Dicha cuestión se pretendió resolver en el artículo 5, fracción III del Reglamento de la Ley, en la cual se señaló lo siguiente:

“Artículo 5. Las disposiciones del presente Reglamento no serán aplicables a la información siguiente:
I. La relativa a personas morales;
II. Aquélla que refiera a personas físicas en su calidad de comerciantes y profesionistas, y
III. La de personas físicas que presten sus servicios para alguna persona moral o persona física con actividades empresariales y/o prestación de servicios, consistente únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como algunos de los siguientes datos laborales: domicilio físico, dirección electrónica, teléfono y número de fax; siempre que esta información sea tratada para fines de representación del empleador o contratista.”

El artículo 5 señala que las disposiciones del Reglamento no serán aplicables respecto de la información de una persona física que presta sus servicios para una persona moral, cuando los mismos consistan en nombre, apellidos, funciones, puestos, y datos laborales como domicilio físico, correo electrónico, teléfono y número de fax.

Una de las complicaciones comunes es la que se presenta cuando se solicitan datos personales adicionales de una persona física que presta sus servicios para una persona moral, como pueden ser la firma en un contrato, nacionalidad, edad, o cualquier otro dato personal.

Creemos que el legislador limitó demasiado los datos personales que se pueden obtener de una persona física que presta sus servicios para una persona moral, sin considerar que dicha persona física puede proporcionar otro tipo de datos personales con fines de representación de esa persona moral.

Ante tal situación, si la ley sólo es aplicable para personas físicas, entonces ¿deberíamos considerar para el cumplimiento de la Ley y del aviso de privacidad aquellos datos personales que van más allá de lo que establece el artículo 5, fracción III del Reglamento?

Conclusión
Los cuestionamientos que se realizan en este artículo sólo son un ejemplo de la problemática a la que se enfrentan los sujetos obligados que deben realizar un aviso de privacidad, y mientras no exista un pronunciamiento por parte de nuestros Tribunales o de las autoridades, deberíamos incluir esos datos para evitar ser sujetos a cualquier tipo de sanción.

No obstante lo anterior, el cumplimiento de la Ley no sólo consiste en tener un aviso de privacidad, sino que también incluye otro tipo de obligaciones, como es tener una persona o departamento de datos personales, contar con medidas de seguridad administrativas, físicas y técnicas.

Aún con ello, las personas que obtienen datos personales deben considerar que dentro de sus actividades pueden tener diversos tipos de datos personales, y cada uno de ellos debe cumplir con las medidas de seguridad adecuadas para su protección, y considerar además las áreas donde se obtienen, como pueden ser el área de reclutamiento y selección de personal, recursos humanos, atención a clientes, servicio médico, vigilancia, entre otros, y al tener multas que pueden ir hasta 320,000 días de salario mínimo general vigente en el Distrito Federal (más de 20 millones de pesos), provoca que el cumplimiento de la Ley deba tomarse con toda la responsabilidad necesaria.

Dejanos tu comentario

Accede gratis a la aplicación web para la Descarga Masiva de XML del SAT

No te enviaremos SPAM, a nosotros tampoco nos gusta.

Descarga gratis la calculadora 2024 de ISR, IMSS e Infonavit en Excel.

No te enviaremos SPAM, a nosotros tampoco nos gusta.

Descarga la Tablas de ISR para 2024 en Excel de regalo de la RMF (Anexo 8).

No te enviaremos SPAM, a nosotros tampoco nos gusta.

Escanea el código