El Congreso mexicano ha aprobado la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, la “Ley”), que establece un marco normativo actualizado para el procesamiento de datos en el sector privado. Esta reforma implica cambios significativos para las empresas, con nuevas obligaciones y mayores sanciones por incumplimiento. A continuación, destacamos los principales aspectos de la nueva Ley:
- Objetivos y principios de la Ley: La Ley tiene como principal objetivo la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. Establece principios fundamentales como la licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad en el tratamiento de datos personales.
- Obligaciones de los responsables: Las personas físicas o morales de carácter privado que llevan a cabo el tratamiento de datos personales son responsables del cumplimiento de la Ley. Deben cumplir con la obligación de garantizar la transparencia en el procesamiento de estos datos y la implementación de medidas de seguridad para protegerlos de posibles riesgos, como el acceso no autorizado o su uso indebido.
- Derechos de los titulares de datos: La Ley garantiza que toda persona pueda ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) sobre sus datos personales. Los responsables deben proporcionar mecanismos sencillos y accesibles para que los titulares puedan ejercer estos derechos, asegurando que la información sea tratada conforme a la normativa y protegiendo la privacidad de los individuos.
- Modificación en la definición de Datos Personales: La nueva Ley elimina la referencia expresa a la persona física en la definición y define datos personales como cualquier información concerniente a una persona identificada o identificable. A su vez, la Ley establece que una persona es identificable cuando su identidad pueda determinarse, directa o indirectamente, a través de cualquier tipo de información.
- Modificaciones en los Avisos de Privacidad: La Ley introduce modificaciones importantes en los requisitos para los Avisos de Privacidad. Entre los principales cambios, se establece la obligación de indicar cuáles serán los datos personales tratados. Además, se impone la obligación de poner a disposición de los titulares de datos un aviso de privacidad simplificado cuando los datos personales sean recabados por cualquier medio electrónico, óptico, sonoro, visual o mediante otras tecnologías utilizadas por el responsable o sujetos regulados.
- Modificaciones en el consentimiento: La Ley reafirma que el consentimiento de los titulares de datos debe ser libre, específico e informado e indica como regla general que el consentimiento tácito será válido. Además, la nueva Ley modifica las excepciones para no requerir el consentimiento. Anteriormente, podía prescindirse del consentimiento si una ley así lo establecía. Con la nueva normativa, será suficiente con que la excepción al consentimiento esté contemplada en cualquier norma jurídica, como un reglamento, decreto u otra disposición legal.
- Derogación del INAI y Nueva Autoridad de Supervisión: Uno de los cambios más relevantes es la derogación del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). La supervisión del cumplimiento de la normativa y la imposición de sanciones quedará ahora en manos de la Secretaría de Anticorrupción y Buen Gobierno, dependiente de Poder Ejecutivo, convirtiéndose en la nueva autoridad en materia de protección de datos personales para particulares.
