^[1]El 6 de julio entró en vigor en México la Ley de Protección de Datos Personales en Posesión de Particulares. Esta Ley contempla multas de hasta 320.000 días de salario mínimo para aquellos particulares que la vulneren. Esta nueva regulación ha estado fuertemente influenciada por la norma española, pero sin embargo se ha adelantado a la zona europea en un aspecto: la obligación de notificar al afectado de los fallos de seguridad informática que hubieran podido afectar a sus datos personales.

México dispone finalmente de una normativa propia sobre la protección de datos de carácter personal, eso sí, ya desde el propio título de la norma se aprecia una importante limitación en su ámbito en relación a nuestra LOPD: “Ley Federal de Protección de Datos Personales en Posesión de los Particulares“; sí, en efecto, la Administración Pública queda completamente al margen de esta normativa y sus principios protectores.

Este artículo pretende ser un brevísimo comentario a esta nueva Ley que entró en vigor el pasado 6 de julio; voy a centrarme en aquellos elementos que me han llamado más la atención y en algunas diferencias esenciales respecto a nuestra normativa española.

En primer lugar, y con carácter general, se aprecia una influencia muy fuerte de nuestra Ley española (y Directiva Europea), seguramente gracias a (o por culpa de) la actividad desarrollada por la Agencia Española de Protección de Datos a través de la Red Iberoamericana de Protección de Datos ^[2], entre otras circunstancias.

¿Dónde se aprecia esta influencia? Pues en la redacción de muchos de sus artículos y definiciones. Veamos unos simples ejemplos:

Definición de “dato de carácter personal”:

• Ley Española: “Cualquier información concerniente a personas físicas identificadas o identificables.“
• Ley Mexicana: “Cualquier información concerniente a una persona física identificada o identificable.”

Definición de “encargado del tratamiento”:

• Ley Española: “La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento“.
• Ley Mexicana: “La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable“.

Definición de “fuente accesible al público”:

• Ley Española: “Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación“
• Ley Mexicana: “Aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado por el Reglamento de esta Ley“.

Respecto al “bloqueo de datos”:

• Ley Española: “La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. “
• Ley Mexicana: “Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas.”

Y así podríamos seguir.

Pero vayamos a las diferencias o novedades que es lo más relevante.

La primera gran diferencia es que en torno a la Ley mexicana planea un concepto, el denominado “Aviso de Privacidad” que su ley lo define como: “Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley“.

Este Aviso de Privacidad viene a ser como nuestras cláusulas informativas del artículo 5.1 pero con más información y otorgándole un carácter formal importante. Nuestras cláusulas informativas se convierten en la normativa mexicana en un documento con vida propia que contiene mucho más que una breve mención a las finalidades para las cuales se recaban los datos y el responsable. Para que nos hagamos una idea, aquí indico algunas de las características de ese Aviso de Privacidad y su contenido:

1. Para revocar el consentimiento, el responsable deberá, en el aviso de privacidad, establecer los mecanismos y procedimientos para ello.
2. El responsable deberá tomar las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guarde alguna relación jurídica.
3. El Aviso de Privacidad debe contener las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos.
4. El Aviso de Privacidad debe contener el procedimiento y medio por el cual el responsable comunicará a los titulares de cambios en el aviso de privacidad.
5. El Aviso de Privacidad puede contener la forma en la que se atenderá el derecho de acceso.
6. En las cesiones de datos, el cedente deberá comunicar al cesionario su Aviso de Privacidad.
7. Otras…

Este Aviso de Privacidad es por tanto un elemento nuclear en la protección de datos en México.


Continuemos con las diferencias. Para el tratamiento de datos personales relativos a la salud en nuestra normativa se exige un consentimiento expreso. En México han querido ir un paso más allá y exigen que el interesado firme un documento (ya sea mediante firma autógrafa o firma digital) de forma expresa y por escrito. También valdría cualquier mecanismo de autentificación. Lo que se pretende es establecer una garantía adicional en el tratamiento de datos relativos a la salud verificando la identidad del interesado.

Otra diferencia importante es la que menciona el artículo 20, que dice así: “Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.”

Esto es algo similar a lo que comentaba aquí: Las operadoras de telecomunicaciones deberán notificar las violaciones de seguridad en sus sistemas ^[3] sólo que extendido a todos los entes privados y no sólo a las operadoras de telecomunicaciones. Esto es sin duda un gran avance y un reto para los responsables y la sociedad mexicana.

Más diferencias: en México, cuando cancelen un dato personal deberán notificarlo a su titular; eso en España no existe. Además, es obligatorio designar una persona dentro de la organización que se encargue de atender los ejercicios de derechos y difundir la cultura de la protección de datos, algo así como nuestro Responsable de Seguridad pero con sólo esa función.

El ejercicio de los derechos ARCO es, igual que aquí, gratuito, pero mientras que en España sólo es posible ejercerlos a intervalos inferiores a un año (a no ser que medie un interés legítimo en concreto), en México sin embargo han querido dar la posibilidad de ejercer los derechos sin límites temporales, eso sí, si una misma persona reitera el derecho en menos de un año se le podrá “cobrar“, pero no más de 3 días de Salario Mínimo General Vigente en el Distrito Federal, a menos que existan modificaciones sustanciales al Aviso de Privacidad que motiven nuevas consultas (de nuevo vemos la importancia de ese Aviso de Privacidad).

En materia de infracciones encontramos algunos tipos novedosos, como por ejemplo este:

• Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable.

Pero lo que sin embargo revoluciona el mercado es el tema de las sanciones; allí sólo hay dos clases de sanciones, que no van en función de nuestra clásica tipología de “leves, graves y muy graves” sino en función del precepto infringido.

• Tenemos por un lado las que se sancionan con multa de entre 100 a 160.000 días de salario mínimo vigente en el Distrito Federal.
• Por otro lado están las que se sancionan con multa de entre 200 a 320.000 días de salario mínimo vigente en el Distrito Federal.

Un ejemplo de las primeras serían la de declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable. Un ejemplo de la segunda: recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible.

Esta forma de cuantificar las sanciones es muy común en México, donde no se establecen cuantías fijas sino que se remiten a “días de salario mínimo” en este caso el día de salario mínimo vigente en el Distrito Federal, que en concreto, para el año 2010 ^[4] asciende a $57.46 pesos mexicanos (la zona geográfica “A” es la que corresponde a Distrito Federal).

Actualmente, $57.46 pesos mexicanos equivalen a 3,55 euros ^[5] , por tanto, estamos hablando de que la multa máxima en México y en euros asciende a 1.136.000 euros, lo cual casi duplica la cuantía máxima en nuestra norma española, que puede alcanzar los 600.000 euros.


Para ir terminando una curiosidad:

El artículo 11 se expresa así: “El responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados“. ¿Procurará? ¿El responsable procurará que los datos personales sean pertinentes? En fin, sin comentarios.


Yo he echado de menos un apartado dedicado a las transferencias internacionales, pues se asimilan con las simples -nuestras- cesiones, es decir, no diferencian si la cesión (allí transferencia) es nacional o internacional; también observo pocas definiciones de términos que utiliza la Ley y que pueden dar lugar a confusión… y bueno habrá que esperar también a que se desarrollen varios aspectos de esta ley, en teoría, antes de 1 año.


Descargar Ley Federal de Protección de Datos Personales en Posesión de los ^[6]Particulares de México ^[6].