TÍTULOS Y SUBTÍTULOS

Ley Federal de Protección de Datos Personales en Posesión de los Particulares

Julio 2010Julio 2010Julio 2010Julio 2010

Derechos Reservados. Dr. Alfredo A. Reyes Krafft

•En México la discusión de las primeras iniciativas de la LFPDP datan del año 2001, las cuales se dieron de manera concomitante con la de la LFTAIPG (incluyendo esta última disposiciones en materia de datos personales en poder de instituciones públicas).

• Entre 2001 y 2008 se han presentado en el Congreso de la Unión, diversas iniciativas de Ley, que buscan regular, a nivel federal, la recolección, el tratamiento y la transmisión de información personal entre particulares.

•En el año 2007, el presidente Felipe Calderón Hinojosa, en su Plan Nacional de Desarrollo 2007-2012, estableció la necesidad de desarrollar una Ley Federal de protección de datos personales, que regule la información en poder de los particulares.

Antecedentes

•Reforma al Art. 16 Constitucional publicada en el DOF el 1 de junio del 2009 :

�� PRIVACIDAD COMO UNA GARANTPRIVACIDAD COMO UNA GARANTÍÍA CONSTITUCIONAL.A CONSTITUCIONAL.

•Reforma al Art. 73 Constitucional en Materia de Datos Personalespublicada en el DOF el 30 de abril del 2009:

�� FACULTAD FEDERALFACULTAD FEDERALFACULTAD FEDERALFACULTAD FEDERALFACULTAD FEDERALFACULTAD FEDERALFACULTAD FEDERALFACULTAD FEDERAL PARA LEGISLAR EN MATERIA DE PARA LEGISLAR EN MATERIA DE DATOS PERSONALES EN POSESIDATOS PERSONALES EN POSESIÓÓN DE PARTICULARES.N DE PARTICULARES.

�� Plazo de 12 meses para expedir la ley respectiva.Plazo de 12 meses para expedir la ley respectiva.

Reforma Constitucional

Iniciativa de adición al artículo 16 de la Constitución que presentaron los Senadores Santiago Creel Miranda y Alejandro González Alcocer del Partido Acción Nacional; Pablo Gómez Álvarez integrante del Partido de la Revolución Democrática y Pedro Joaquín Coldwell integrante del Partido Revolucionario Institucional.

••La reforma consistiLa reforma consistióó en aen aññadir un segundo padir un segundo páárrafo al Art. 16 rrafo al Art. 16 Const.:Const.:

“Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros”.

•El proyecto fue aprobado por el pleno del Senado en sesión del 4 de diciembre de 2008 y por el de la Cámara de Diputados el 11 de diciembre. Aprobada por legislaturas estatales y publicada en el DOF el 1 de junio del 2009.

Iniciativa que reforma el artículo 73 de la Constitución Política de los Estados Unidos Mexicanos, suscrita por Diputados del grupo parlamentario del PAN (27/03/2007).

Publicado en el Diario Oficial el 30 de abril del 2009Publicado en el Diario Oficial el 30 de abril del 2009Publicado en el Diario Oficial el 30 de abril del 2009Publicado en el Diario Oficial el 30 de abril del 2009

Artículo Único. Se adiciona el inciso N) a la fracción XXIX del artículo 73 de la Constitución Política de los Estados Unidos Mexicanos, para quedar como sigue:Artículo 73. El Congreso tiene facultadEl Congreso tiene facultadEl Congreso tiene facultadEl Congreso tiene facultadEl Congreso tiene facultadEl Congreso tiene facultadEl Congreso tiene facultadEl Congreso tiene facultad::I. a XXVIII. ...XXIX. a XXIX-M. ...XXIX-N. Para legislar en materia de protecciPara legislar en materia de protecciPara legislar en materia de protecciPara legislar en materia de protecciPara legislar en materia de protecciPara legislar en materia de protecciPara legislar en materia de protecciPara legislar en materia de proteccióóóóóóóón datos personales en posesin datos personales en posesin datos personales en posesin datos personales en posesin datos personales en posesin datos personales en posesin datos personales en posesin datos personales en posesióóóóóóóón n n n n n n n de particulares.de particulares.de particulares.de particulares.de particulares.de particulares.de particulares.de particulares.XXX ...

Artículos Transitorios:Primero. El presente decreto entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación.Segundo. El Congreso de la Unión cuenta con un plazo de 12 meses12 meses12 meses12 meses contado a partir de la entrada en vigor de esta reforma, para expedir la ley respectiva.Tercero. En tanto el Congreso de la Unión expide la ley relativa a la facultad que se otorga en este decreto, continuarcontinuarcontinuarcontinuaráááán vigentes las disposiciones que sobre la materia n vigentes las disposiciones que sobre la materia n vigentes las disposiciones que sobre la materia n vigentes las disposiciones que sobre la materia hayan dictado las legislaturas de las entidades federativashayan dictado las legislaturas de las entidades federativashayan dictado las legislaturas de las entidades federativashayan dictado las legislaturas de las entidades federativas, en tratándose de datos personales en posesión de particulares.

Propuestas de LFDP•Cámara de Diputados:

• Modelo General• Dip. Luis Miguel Gerónimo Barbosa Huerta (PRD). Presentada en

Septiembre 06, 2001.• Dip. Jesús Emilio Martínez Álvarez (Convergencia). Presentada en

Diciembre 1, 2005.• Dip. Norma Leticia Orozco Torres (PVEM). Presentada el 02 de febrero del

2010.• Modelo Sectorial

• Dip. Sheila Aragón (PAN). Presentada el 22 de Marzo de 2006.• Dip. David Hernández Pérez (PRI). Presentada en Febrero 23, 2006.

• Modelo Híbrido• Dip. Luis Gustavo Parra Noriega del PAN. Presentada el 7 de octubre del

2008.• Dip. Adolfo Mota Hernandez del PRI. Presentada el 11 de diciembre del

2008.

•Y una iniciativa de Ley en la Cámara de Senadores presentada por el Senador JoséGuillermo Anaya Llamas del PAN presentada el 1° de diciembre del 2009 (Modelo General para Datos Públicos y Privados).

•Contiene principios en materia de protección de datos: licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad;

•Desarrolla los derechos de los titulares de los datos de acceso,rectificación, cancelación y oposición (conocidos como derechos ARCO);

•Establece mecanismos para ejercer los derechos ARCO frente a losResponsables del tratamiento;

•El procedimiento de tutela de dichos derechos en caso de la negativa de los Responsables, ante el IFAI, quien puede imponer sanciones.

Dictamen aprobado en ambas Cámaras:

¿Qué son los Datos Personales?Toda informaciinformaciinformaciinformaciinformaciinformaciinformaciinformacióóóóóóóónnnnnnnn concerniente o relativa a una persona fpersona fpersona fpersona fpersona fpersona fpersona fpersona fíííííííísica identificada o sica identificada o sica identificada o sica identificada o sica identificada o sica identificada o sica identificada o sica identificada o identificable:identificable:identificable:identificable:identificable:identificable:identificable:identificable:

••IdentificaciIdentificaciIdentificaciIdentificaciIdentificaciIdentificaciIdentificaciIdentificacióóóóóóóónnnnnnnn (Nombre, edad, domicilio, sexo, RFC, CURP...).••PatrimonialesPatrimonialesPatrimonialesPatrimonialesPatrimonialesPatrimonialesPatrimonialesPatrimoniales (Cuentas bancarias, saldos, propiedades...).••SaludSaludSaludSaludSaludSaludSaludSalud (Estados de salud físicos y mentales...).••BiomBiomBiomBiomBiomBiomBiomBioméééééééétricostricostricostricostricostricostricostricos (Huellas dactilares, iris, voz, firma autógrafa...).••OtrosOtrosOtrosOtrosOtrosOtrosOtrosOtros (Ideología, afiliación política, religión, origen étnico, preferencia sexual...).

Datos personales sensibles:Datos personales sensibles:Datos personales sensibles:Datos personales sensibles:Datos personales sensibles:Datos personales sensibles:Datos personales sensibles:Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual; (3-VI).

Algunas definiciones

•El "tratamiento" de los datos personales"tratamiento" de los datos personales"tratamiento" de los datos personales"tratamiento" de los datos personales"tratamiento" de los datos personales"tratamiento" de los datos personales"tratamiento" de los datos personales"tratamiento" de los datos personales es uno de los temas mas importantes de la regulación y forma parte del objeto de la ley, el cual lo califica, ya que éste debe de ser legítimo, controlado e informado.

• La presente Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

•La ley define "tratamiento" como el hecho de obtener, divulgar, almacenar o simplemente usar (entendiendo por esto el solo acceso, manejo,aprovechamiento, transferencia o disposición) de datos personales.

• XVIII. Tratamiento: La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

••Aviso de PrivacidadAviso de PrivacidadAviso de PrivacidadAviso de PrivacidadAviso de PrivacidadAviso de PrivacidadAviso de PrivacidadAviso de Privacidad: : Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular previo al tratamiento de sus datos personales. (3-I).

•Los datos financieros o patrimonialesdatos financieros o patrimonialesdatos financieros o patrimonialesdatos financieros o patrimonialesdatos financieros o patrimonialesdatos financieros o patrimonialesdatos financieros o patrimonialesdatos financieros o patrimoniales al igual que los sensibles requerirán el consentimiento expreso de su titular (8),pero admiten excepcionespero admiten excepcionespero admiten excepcionespero admiten excepcionespero admiten excepcionespero admiten excepcionespero admiten excepcionespero admiten excepciones, es decir no se requerirá, por ejemplo, cuando tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable … (10 y 37).

Algunas definiciones

Principios••Licitud:Licitud:Licitud:Licitud:Licitud:Licitud:Licitud:Licitud:

• En la obtención (no engaño ni fraude) y el tratamiento (acuerdo entre las partes).

••Consentimiento:Consentimiento:Consentimiento:Consentimiento:Consentimiento:Consentimiento:Consentimiento:Consentimiento:•• ExpresoExpresoExpresoExpresoExpresoExpresoExpresoExpreso para Datos Sensibles (que afecten a la esfera más íntima de su titular,

puedan dar origen a discriminación o conlleve un riesgo grave para éste (Patrimoniales y Financieros).

•• TTTTTTTTáááááááácitocitocitocitocitocitocitocito (Aviso de Privacidad) para los demás• En el aviso de privacidad se deberán establecer los mecanismos y procedimientos

para la revocación del Consentimiento.• Requerimiento de justificación para la creación de Bases de Datos Sensibles.• No se requiere de Consentimiento cuando:

• Esté previsto en una Ley; • Los datos figuren en fuentes de acceso público;• Los datos se encuentren disociados;• Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre

el titular y el responsable;• Exista una situación de emergencia que potencialmente pueda dañar a un individuo

en su persona o en sus bienes;• Sean indispensables para asistencia sanitaria o tratamientos médicos, mientras el

titular no esté en condiciones de otorgar el consentimiento;• Se dicte resolución de autoridad competente.

Principios••InformaciInformaciInformaciInformaciInformaciInformaciInformaciInformacióóóóóóóón: n: n: n: n: n: n: n:

• Obligación de informar que datos se recaban, como (vía directa , a través de terceros o derivado del servicio) y con que fines (Aviso dePrivacidad).

• El Aviso de Privacidad debe contener:• Datos del Responsable;• Las finalidades del tratamiento de datos (y si se recaban o no datos sensibles);

• Las opciones y medios para limitar el uso o divulgación de los datos;

• Los medios para ejercer los derechos ARCO;• En su caso, las transferencias de datos que se efectúen;• El procedimiento y medio por el cual el responsable comunicará a los titulares los cambios al aviso de privacidad.

••Calidad: Calidad: Calidad: Calidad: Calidad: Calidad: Calidad: Calidad: • Los datos deben ser pertinentes, correctos y actualizados para los

fines para los cuales fueron recabados.

Principios••Finalidad: Finalidad: Finalidad: Finalidad: Finalidad: Finalidad: Finalidad: Finalidad:

• Limitarse al cumplimiento de finalidad establecida en Aviso de Privacidad.

••Lealtad: Lealtad: Lealtad: Lealtad: Lealtad: Lealtad: Lealtad: Lealtad: • Si dejan de ser necesarios para los fines recabados deben ser cancelados.• Eliminación de información relativa a incumplimiento de obligaciones (72

meses -Derecho al Olvido).

••Proporcionalidad:Proporcionalidad:Proporcionalidad:Proporcionalidad:Proporcionalidad:Proporcionalidad:Proporcionalidad:Proporcionalidad:• El tratamiento será el estrictamente necesario, adecuado y relevante en

relación con las finalidades previstas en el aviso de privacidad.• El periodo de tratamiento deberá ser el mínimo indispensable.

••Responsabilidad:Responsabilidad:Responsabilidad:Responsabilidad:Responsabilidad:Responsabilidad:Responsabilidad:Responsabilidad:• El responsable garantizará que el aviso de privacidad sea respetado en todo

momento por él o por terceros con los que guarde alguna relación jurídica.• Mantener medidas de seguridad administrativas, técnicas y físicas (no

menores a las que utilizan para datos propios).• Cualquier vulneración a la seguridad deberá ser informada inmediatamente.

Derechos••Acceso:Acceso:Acceso:Acceso:Acceso:Acceso:Acceso:Acceso:

• Titular o su Representante Legal puede acceder a sus datos y conocer el Aviso de Privacidad.••RectificaciRectificaciRectificaciRectificaciRectificaciRectificaciRectificaciRectificacióóóóóóóón:n:n:n:n:n:n:n:

• Cuando los datos sean inexactos o incompletos.••CancelaciCancelaciCancelaciCancelaciCancelaciCancelaciCancelaciCancelacióóóóóóóón:n:n:n:n:n:n:n:

• El titular podrá solicitarla en cualquier momento al responsable (quien en su caso deberánotificarla a los terceros, en caso de transferencia).

•• No procede la cancelaciNo procede la cancelacióón:n:• Datos necesarios para desarrollo y cumplimiento de un contrato; • Deban ser tratados por disposición legal; • Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la

investigación y persecución de delitos o la actualización de sanciones administrativas; • Sean necesarios para proteger los intereses jurídicamente tutelados del titular; • Sean necesarios para realizar una acción en función del interés público;• Sean necesarios para cumplir con una obligación legalmente adquirida por el titular;• Sean objeto de tratamiento para la gestión de servicios de salud, siempre que dicho

tratamiento se realice por un profesional sujeto a un deber de secreto.• Periodo de bloqueo (prescripción) antes de suprimir el dato.• Aviso al titular cuando quede cancelado el dato.

••OposiciOposiciOposiciOposiciOposiciOposiciOposiciOposicióóóóóóóón:n:n:n:n:n:n:n:• Solo por causa legítima.

•Obtener el consentimiento del Titular de los datos, salvo cuandoaplique alguna excepción.

•Proporcionar información sobre el tratamiento al Titular de los Datos a través del Aviso de Privacidad.

•Adoptar y mantener medidas de organización y seguridad respecto de los datos evitando su modificación, pérdida y tratamiento o acceso no autorizado.

•Establecer procedimientos para que el titular de los datos puedaejercer sus derechos.

Obligaciones del Responsable

Procedimiento frente al Responsable•Designación del ChiefChiefChiefChiefChiefChiefChiefChief PrivacyPrivacyPrivacyPrivacyPrivacyPrivacyPrivacyPrivacy OfficerOfficerOfficerOfficerOfficerOfficerOfficerOfficer (responsable de atender solicitudes y fomentar la protección de los datos).•El Titular o su Representante Legal pueden solicitar ejercicio Derechos ARCO. •La solicitud deberá contener:

• Datos del Titular.• Documentos que acrediten su identidad o representación.• Descripción de los datos respecto a los que se buscar ejercer el derecho o modificaciones

a realizar (con pruebas).• Elemento o documento que facilite la localización.

•20 días naturales máximo para responder si resulta procedente y 15 días máximo para hacerla efectiva (plazos pueden ser ampliados por una sola vez con justificación).•La solicitud no procede si:

• Solicitante no es titular de los datos o representante no está acreditado.• El responsable no tiene los datos en su base.• Se lesionan derechos de tercero.• Exista impedimento legal o resolución de autoridad que restrinja el acceso, rectificación,

cancelación u oposición.• Si la rectificación, cancelación u oposición fue previamente realizada.

•Entrega de los datos será gratuita (titular solo cubre gastos de envío o reproducción). En caso de que el titular lo solicite mas de una vez en periodos de un año (costo no mayor a 3 días de SMGDVDF).

Procedimientos de tutela ante IFAI•Substanciación de los procedimientos, conforme Ley Federal de Procedimiento Administrativo. Hay suplencia de la queja deficiente.•La solicitud de protección de datos deberá presentarse dentro de los quince días siguientes a la fecha en que se comunique la respuesta al titular por parte del responsable o no la entregue.•Se dará traslado de la misma al responsable para que, en el plazo de quince días, emita respuesta.•Las partes ofrecen pruebas.•Concluido el desahogo de la pruebas, cinco días para alegatos.•El Instituto resuelve (plazo máximo 50 días que podrá ampliarse por un periodo igual en una ocasión) y podrá:

• Sobreseer o desechar la solicitud de protección de datos por improcedente.

• Confirmar, revocar o modificar la respuesta del responsable.•Contra la resolución procede Juicio de Nulidad ante TFJFA.•En cualquier momento el IFAI puede buscar Conciliación.

Transferencia de Datos• Cuando el responsable pretenda transferir los datos personales a terceros

nacionales o extranjeros, deberá comunicar a éstos en el aviso de privacidad.

• El aviso de privacidad debe contener una cláusula en la que se indique si el titular acepta o no la transferencia de sus datos.

• El tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos.

• Las transferencias nacionales o internacionales de datos podrán llevarse a cabo sin consentimiento del titular:

I. Cuando esté prevista en una Ley o Tratado en los que México sea parte; II. Cuando sea necesaria para la prevención o el diagnóstico médico, la prestación de

asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios; III. Cuando sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el

control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas;

IV. Cuando sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero;

V. Cuando sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;

VI. Cuando sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;

VII. Cuando sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.

Autoridades••RESPONSABLERESPONSABLERESPONSABLERESPONSABLERESPONSABLERESPONSABLERESPONSABLERESPONSABLE

•• EL INSTITUTO FEDERAL DE ACCESO A LA INFORMACIEL INSTITUTO FEDERAL DE ACCESO A LA INFORMACIÓÓN Y N Y PROTECCIPROTECCIÓÓN DE DATOS N DE DATOS • Vigilar y verificar el cumplimiento.• Interpretar en el ámbito administrativo.• Emitir los criterios y recomendaciones.• Conocer y resolver los procedimientos de protección de derechos y de

verificación.• Elaborar estudios de impacto sobre la privacidad..

••REGULADORAREGULADORAREGULADORAREGULADORAREGULADORAREGULADORAREGULADORAREGULADORA•• SECRETARIA DE ECONOMSECRETARIA DE ECONOMÍÍA, A, ““con la con la coadyuvanciacoadyuvancia del del

InstitutoInstituto””: : • Emisión de la regulación que corresponda.• Bases de datos de comercio automatizadas o que formen parte de un

proceso de automatización. • Lineamientos correspondientes para el contenido y alcances de los avisos

de privacidad.• Desarrollo de los mecanismos y medidas de autorregulación.• Registros de consumidores en materia de datos personales y verificar su

funcionamiento.

Procedimiento de verificación••La verificaciLa verificacióón podrn podráá iniciarse:iniciarse:

• De oficio o • A petición de parte.

••La verificaciLa verificacióón de oficio procedern de oficio procederáá: : • En caso de incumplimiento a resoluciones dictadas con motivo de procedimientos de protección de derechos o

• Se presuma fundada y motivadamente la existencia de violaciones a la Ley.

••Acceso a la informaciAcceso a la informacióón y documentacin y documentacióón que considere n que considere necesarias, de acuerdo a la resolucinecesarias, de acuerdo a la resolucióón que lo motive.n que lo motive.

••Los servidores pLos servidores púúblicos federales estarblicos federales estaráán obligados a guardar n obligados a guardar confidencialidad sobre la informaciconfidencialidad sobre la informacióón que conozcan derivada de la n que conozcan derivada de la verificaciverificacióón correspondiente. n correspondiente.

Infracciones

I. No cumplir con la solicitud del titular sin razón fundada, en los términos previstos en esta Ley;

II. Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes;III. Declarar dolosamente la inexistencia de datos personales, cuando exista

total o parcialmente en las bases de datos del responsable; IV. Dar tratamiento a los datos personales en contravención a los principios

establecidos en la presente Ley; V. Omitir en el aviso de privacidad, alguno o todos los datos requeridos; VI. Mantener datos personales inexactos cuando resulte imputable al

responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares;

VII. No cumplir con el apercibimiento del Instituto; VIII. Incumplir el deber de confidencialidad; IX. Cambiar sustancialmente la finalidad del tratamiento de los datos; X. Transferir datos a terceros sin comunicar a éstos en el aviso de privacidad;

Infracciones• Vulnerar la seguridad de bases de datos, locales, programas o equipos,

cuando resulte imputable al responsable; • Llevar a cabo la transferencia o cesión de los datos personales, fuera de los

casos en que esté permitida por esta Ley; • Recabar o transferir datos personales sin el consentimiento expreso del

titular, en los casos en que éste sea exigible; • Obstruir los actos de verificación de la autoridad; • Recabar datos en forma engañosa y fraudulenta; • Continuar con el uso ilegítimo de los datos personales cuando se ha

solicitado el cese del mismo por el Instituto o los titulares; • Tratar los datos personales de manera que se afecte o impida el ejercicio de

los derechos de acceso, rectificación, cancelación y oposición establecidos en el artículo 16 de la Constitución;

• Crear bases de datos sensibles sin justificación;• Cualquier incumplimiento del responsable a las obligaciones establecidas a

su cargo en términos de lo previsto en la Ley.

Sanciones•Apercibimiento.•Multa de 100 a 320,000 DSMGDVDF.•Multa adicional de 100 a 320,000 DSMGDVDF (si persisten infracciones de manera reiterada).•Las sanciones podrán incrementarse hasta por dos veces en el caso de datos sensibles:

••$52.00 X 320,000 + 52 X 320,000 x 2$52.00 X 320,000 + 52 X 320,000 x 2••$66,560,000.00$66,560,000.00

•De tres meses a tres atres meses a tres atres meses a tres atres meses a tres atres meses a tres atres meses a tres atres meses a tres atres meses a tres añññññññños de prisios de prisios de prisios de prisios de prisios de prisios de prisios de prisióóóóóóóónnnnnnnn al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo custodia.•Prisión de seis meses a cinco aseis meses a cinco aseis meses a cinco aseis meses a cinco aseis meses a cinco aseis meses a cinco aseis meses a cinco aseis meses a cinco aññññññññosososososososos al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos. •Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán.

Impactos concretos1. Obligación de nombrar un ChiefChiefChiefChiefChiefChiefChiefChief PrivacyPrivacyPrivacyPrivacyPrivacyPrivacyPrivacyPrivacy OfficerOfficerOfficerOfficerOfficerOfficerOfficerOfficer y desarrollar los procesos, sistemas y contar

con RH para mantener una ventanilla al clienteventanilla al clienteventanilla al clienteventanilla al clienteventanilla al clienteventanilla al clienteventanilla al clienteventanilla al cliente para consulta o corrección de su información.2. Obligación de contar con un aviso de privacidadcontar con un aviso de privacidadcontar con un aviso de privacidadcontar con un aviso de privacidadcontar con un aviso de privacidadcontar con un aviso de privacidadcontar con un aviso de privacidadcontar con un aviso de privacidad (en papel y en el sitio web), verificar su

cumplimiento, y para datos sensibles firma (autógrafa o electrónica) del cliente.3. Obligación de incorporar en el Aviso de Privacidad el consentimientoconsentimientoconsentimientoconsentimientoconsentimientoconsentimientoconsentimientoconsentimiento para transferencias de

datos (detallando en lo posible receptores y considerando que no se puede discriminar en el servicio si el cliente se niega a dar su autorización).

4. Requerimos verificar si recabamos de alguna forma datos sensibles, pues contamos con un año para recabar la autorizacirecabar la autorizacirecabar la autorizacirecabar la autorizacirecabar la autorizacirecabar la autorizacirecabar la autorizacirecabar la autorizacióóóóóóóón del clienten del clienten del clienten del clienten del clienten del clienten del clienten del cliente para el manejo de esos datos, a partir de que entre en vigor la ley (para el manejo de los datos financieros verificar que ya contemos con esa autorización ya que es exigible por LIC, Ley de Transparencia y CUB y su equivalente en materia de seguros).

5. Un regulador con la capacidad de hacer visitas de inspección y verificación; con facultad para imponer multasmultasmultasmultasmultasmultasmultasmultas millonarias por hasta 640 mil días de salario y delitos de prisión de hasta por 10 años (en su caso).

6.6.6.6.6.6.6.6. Doble ReporteDoble ReporteDoble ReporteDoble ReporteDoble ReporteDoble ReporteDoble ReporteDoble Reporte; obligación de cumplir las disposiciones de la Ley de Sociedades de Información Crediticia y la Ley Federal de Protección de Datos personales (Verificación de Buró de Crédito y del IFAI).

7.7.7.7.7.7.7.7. Nueva AutoridadNueva AutoridadNueva AutoridadNueva AutoridadNueva AutoridadNueva AutoridadNueva AutoridadNueva Autoridad. La Secretaría de Economía como responsable de los Registros de Registros de Registros de Registros de Registros de Registros de Registros de Registros de ConsumidoresConsumidoresConsumidoresConsumidoresConsumidoresConsumidoresConsumidoresConsumidores en materia de datos personales (PROFECO y CONDUSEF).

•Entrará en vigor al ddddddddíííííííía siguiente al de su publicacia siguiente al de su publicacia siguiente al de su publicacia siguiente al de su publicacia siguiente al de su publicacia siguiente al de su publicacia siguiente al de su publicacia siguiente al de su publicacióóóóóóóónnnnnnnn en el Diario Oficial de la Federación.•El Ejecutivo Federal expedirá el ReglamentoReglamentoReglamentoReglamentoReglamentoReglamentoReglamentoReglamento de la Ley dentro del dentro del dentro del dentro del dentro del dentro del dentro del dentro del aaaaaaaañññññññño siguienteo siguienteo siguienteo siguienteo siguienteo siguienteo siguienteo siguiente a su entrada en vigor.•Los responsables designarán a la persona o departamento de datos personales (ChiefChiefChiefChiefChiefChiefChiefChief PrivacyPrivacyPrivacyPrivacyPrivacyPrivacyPrivacyPrivacy OfficerOfficerOfficerOfficerOfficerOfficerOfficerOfficer) y expedirán sus avisos de avisos de avisos de avisos de avisos de avisos de avisos de avisos de privacidadprivacidadprivacidadprivacidadprivacidadprivacidadprivacidadprivacidad a los titulares de datos personales, a ma ma ma ma ma ma ma máááááááás tardar un as tardar un as tardar un as tardar un as tardar un as tardar un as tardar un as tardar un añññññññño o o o o o o o despudespudespudespudespudespudespudespuééééééééssssssss de la entrada en vigor de la Ley. •Los titulares podrtitulares podrtitulares podrtitulares podrtitulares podrtitulares podrtitulares podrtitulares podráááááááán ejercer ante los responsables sus derechosn ejercer ante los responsables sus derechosn ejercer ante los responsables sus derechosn ejercer ante los responsables sus derechosn ejercer ante los responsables sus derechosn ejercer ante los responsables sus derechosn ejercer ante los responsables sus derechosn ejercer ante los responsables sus derechos de acceso, rectificación, cancelación y oposición, así como dar inicio, en su caso, al procedimiento de protecciprocedimiento de protecciprocedimiento de protecciprocedimiento de protecciprocedimiento de protecciprocedimiento de protecciprocedimiento de protecciprocedimiento de proteccióóóóóóóón de derechos, dieciocho n de derechos, dieciocho n de derechos, dieciocho n de derechos, dieciocho n de derechos, dieciocho n de derechos, dieciocho n de derechos, dieciocho n de derechos, dieciocho meses despumeses despumeses despumeses despumeses despumeses despumeses despumeses despuééééééééssssssss de la entrada en vigor de la Ley.•Las disposiciones locales en materia de protección de datos personales en posesión de los particulares se abrogan, y se derogan todas las demás disposiciones que se opongan a la Ley.

Entrada en vigor