Multas de hasta 320.000 días de salario mínimo para quien vulnere la ley de protección de datos en México

El 6 de julio entró en vigor en México la Ley de Protección de Datos Personales en Posesión de Particulares. Esta Ley contempla multas de hasta 320.000 días de salario mínimo para aquellos particulares que la vulneren. Esta nueva regulación ha estado fuertemente influenciada por la norma española, pero sin embargo se ha adelantado a la zona europea en un aspecto: la obligación de notificar al afectado de los fallos de seguridad informática que hubieran podido afectar a sus datos personales.

México dispone finalmente de una normativa propia sobre la protección de datos de carácter personal, eso sí, ya desde el propio título de la norma se aprecia una importante limitación en su ámbito en relación a nuestra LOPD: “Ley Federal de Protección de Datos Personales en Posesión de los Particulares“; sí, en efecto, la Administración Pública queda completamente al margen de esta normativa y sus principios protectores.

Este artículo pretende ser un brevísimo comentario a esta nueva Ley que entró en vigor el pasado 6 de julio; voy a centrarme en aquellos elementos que me han llamado más la atención y en algunas diferencias esenciales respecto a nuestra normativa española.

En primer lugar, y con carácter general, se aprecia una influencia muy fuerte de nuestra Ley española (y Directiva Europea), seguramente gracias a (o por culpa de) la actividad desarrollada por la Agencia Española de Protección de Datos a través de la Red Iberoamericana de Protección de Datos, entre otras circunstancias.

¿Dónde se aprecia esta influencia? Pues en la redacción de muchos de sus artículos y definiciones. Veamos unos simples ejemplos:

Definición de “dato de carácter personal”:

  • Ley Española: “Cualquier información concerniente a personas físicas identificadas o identificables.
  • Ley Mexicana: “Cualquier información concerniente a una persona física identificada o identificable.”

Definición de “encargado del tratamiento”:

  • Ley Española: “La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento“.
  • Ley Mexicana: “La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable“.

Definición de “fuente accesible al público”:

  • Ley Española: “Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación
  • Ley Mexicana: “Aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado por el Reglamento de esta Ley“.

Respecto al “bloqueo de datos”:

  • Ley Española: “La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. “
  • Ley Mexicana: “Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas.”

Y así podríamos seguir.

Pero vayamos a las diferencias o novedades que es lo más relevante.

La primera gran diferencia es que en torno a la Ley mexicana planea un concepto, el denominado “Aviso de Privacidad” que su ley lo define como: “Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley“.

Este Aviso de Privacidad viene a ser como nuestras cláusulas informativas del artículo 5.1 pero con más información y otorgándole un carácter formal importante. Nuestras cláusulas informativas se convierten en la normativa mexicana en un documento con vida propia que contiene mucho más que una breve mención a las finalidades para las cuales se recaban los datos y el responsable. Para que nos hagamos una idea, aquí indico algunas de las características de ese Aviso de Privacidad y su contenido:

  1. Para revocar el consentimiento, el responsable deberá, en el aviso de privacidad, establecer los mecanismos y procedimientos para ello.
  2. El responsable deberá tomar las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guarde alguna relación jurídica.
  3. El Aviso de Privacidad debe contener las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos.
  4. El Aviso de Privacidad debe contener el procedimiento y medio por el cual el responsable comunicará a los titulares de cambios en el aviso de privacidad.
  5. El Aviso de Privacidad puede contener la forma en la que se atenderá el derecho de acceso.
  6. En las cesiones de datos, el cedente deberá comunicar al cesionario su Aviso de Privacidad.
  7. Otras…

Este Aviso de Privacidad es por tanto un elemento nuclear en la protección de datos en México.

Continuemos con las diferencias. Para el tratamiento de datos personales relativos a la salud en nuestra normativa se exige un consentimiento expreso. En México han querido ir un paso más allá y exigen que el interesado firme un documento (ya sea mediante firma autógrafa o firma digital) de forma expresa y por escrito. También valdría cualquier mecanismo de autentificación. Lo que se pretende es establecer una garantía adicional en el tratamiento de datos relativos a la salud verificando la identidad del interesado.

Otra diferencia importante es la que menciona el artículo 20, que dice así: “Las vulneraciones de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.”

Esto es algo similar a lo que comentaba aquí: Las operadoras de telecomunicaciones deberán notificar las violaciones de seguridad en sus sistemas sólo que extendido a todos los entes privados y no sólo a las operadoras de telecomunicaciones. Esto es sin duda un gran avance y un reto para los responsables y la sociedad mexicana.

Más diferencias: en México, cuando cancelen un dato personal deberán notificarlo a su titular; eso en España no existe. Además, es obligatorio designar una persona dentro de la organización que se encargue de atender los ejercicios de derechos y difundir la cultura de la protección de datos, algo así como nuestro Responsable de Seguridad pero con sólo esa función.

El ejercicio de los derechos ARCO es, igual que aquí, gratuito, pero mientras que en España sólo es posible ejercerlos a intervalos inferiores a un año (a no ser que medie un interés legítimo en concreto), en México sin embargo han querido dar la posibilidad de ejercer los derechos sin límites temporales, eso sí, si una misma persona reitera el derecho en menos de un año se le podrá “cobrar“, pero no más de 3 días de Salario Mínimo General Vigente en el Distrito Federal, a menos que existan modificaciones sustanciales al Aviso de Privacidad que motiven nuevas consultas (de nuevo vemos la importancia de ese Aviso de Privacidad).

En materia de infracciones encontramos algunos tipos novedosos, como por ejemplo este:

  • Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable.

Pero lo que sin embargo revoluciona el mercado es el tema de las sanciones; allí sólo hay dos clases de sanciones, que no van en función de nuestra clásica tipología de “leves, graves y muy graves” sino en función del precepto infringido.

  • Tenemos por un lado las que se sancionan con multa de entre 100 a 160.000 días de salario mínimo vigente en el Distrito Federal.
  • Por otro lado están las que se sancionan con multa de entre 200 a 320.000 días de salario mínimo vigente en el Distrito Federal.

Un ejemplo de las primeras serían la de declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable. Un ejemplo de la segunda: recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible.

Esta forma de cuantificar las sanciones es muy común en México, donde no se establecen cuantías fijas sino que se remiten a “días de salario mínimo” en este caso el día de salario mínimo vigente en el Distrito Federal, que en concreto, para el año 2010 asciende a $57.46 pesos mexicanos (la zona geográfica “A” es la que corresponde a Distrito Federal).

Actualmente, $57.46 pesos mexicanos equivalen a 3,55 euros , por tanto, estamos hablando de que la multa máxima en México y en euros asciende a 1.136.000 euros, lo cual casi duplica la cuantía máxima en nuestra norma española, que puede alcanzar los 600.000 euros.

Para ir terminando, una curiosidad:

El artículo 11 se expresa así: “El responsable procurará que los datos personales contenidos en las bases de datos sean pertinentes, correctos y actualizados para los fines para los cuales fueron recabados“. ¿Procurará? ¿El responsable procurará que los datos personales sean pertinentes? En fin, sin comentarios.

Yo he echado de menos un apartado dedicado a las transferencias internacionales, pues se asimilan con las simples -nuestras- cesiones, es decir, no diferencian si la cesión (allí transferencia) es nacional o internacional; también observo pocas definiciones de términos que utiliza la Ley y que pueden dar lugar a confusión… y bueno habrá que esperar también a que se desarrollen varios aspectos de esta ley, en teoría, antes de 1 año.

Descargar Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México.

16 comentarios en “Multas de hasta 320.000 días de salario mínimo para quien vulnere la ley de protección de datos en México”

  1. Pingback: BlogESfera.com
  2. Estimado Samuel:

    En relación con tu comentario de apertura: “[E]so sí, ya desde el propio título de la norma se aprecia una importante limitación en su ámbito en relación a nuestra LOPD: “Ley Federal de Protección de Datos Personales en Posesión de los Particulares“; sí, en efecto, la Administración Pública queda completamente al margen de esta normativa y sus principios protectores.”

    Donde aparece clara la intención de “informar” que en México las AAPP están “completamente” al margen de la normativa de protección de datos; te recomiendo que busques la Ley Federal de Trasnparencia y Acceso a la Información Pública Gubernamental (DOF de11/06/02 y reformas posteriores) y los Lineamientos de Protección de Datos Personales del Instituto Federal de Acceso a la Información Pública (DOF 30/09/2005) [www.ifai.gob.mx].

    Las AAPP mexicanas no están al margen de la normativa de protección de datos, Por extraño que parezca. esta protección comenzó primero en el ámbito público y se extendió posteriormente al ámbito privado. Un desarrollo dispar, en todos los sentidos.

    Espero que la aclaración y la información proporcionadas sean útiles para ti y tus lectores.

    Atentamente,
    Héctor Guzmán

    Responder
  3. Hola Héctor. Muchas gracias por la información. Sí, me constaban esas normativas así como otras de 2008 para Distrito Federal enfocadas únicamente a las AAPP, pero yo decía “la Administración Pública queda completamente al margen de ESTA normativa y sus principios”, es decir, que quería dejar claro que lo que iba a contar en este artículo no iba a ser de aplicación a las AAPP pues la Ley que comento no se le aplica 🙂

    Responder
  4. ¿¿Miles de días?? ¿¿Multas de entre 500 y 1000 años sin salario?? ¿No es algo absurdo? Aún así es claro que la normativa sólo se está acatando en países cuyas autoridades en la materia son estrictas en la imposición de sanciones.

    Responder
  5. A mi lo que me sorprende es que el artículo 19 de la citada Ley haga referencia a que el Responsable aplicará las medidas de seguridad pertinentes para “proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado, y prohibiéndoles adoptar medidas de seguridad inferiores a aquellas que mantengan para el manejo de su información, tomado en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico”, pero no se que medidas de seguridad se han de aplicar (haciendo un paralelismo con nuestro RDLOPD) sobre cada uno de esos tratamientos concretos.

    No solo me ha ocurrido esto con la norma mexicana, si no también con muchas de las leyes de países sudamericanos.

    Un saludo y buen verano!

    Responder
  6. Samuel Parra dijo:

    Hola Sergio. Es que todavía falta que aprueben el reglamento de desarrollo de esta ley

    Ya decía yo :p.

    Gracias por el comentario, Samuel. A disfrutar del verano.

    Responder
  7. Hola Samuel . De hecho, la ley apenas acaba de publicarse ( estoy preparando el post para nuestro blog) aunque ya se habia difundido el texto, tardo mucho en publicarse en el DOF ( el equivalente a nuestro BOE).
    Solo una aclaracion. El termino “procurar” se usa de otra manera en Mexico ( recuerda que vivo alli), si siendo un termino generador de obligaciones juridicas exigibles; de hecho, al Fiscal General del Estado, se le llama Procurador General de la Republica 🙂 

    Responder
  8. Gracias David por ese apunte :). Yo no soy de allí como es evidente (aunque he intentado documentarme antes de escribir nada) y desconocía que el verbo “procurar” en México tiene otras connotaciones 🙂 gracias de nuevo.

    Responder
  9. Ã?udea dijo:

    ¿¿Miles de días?? ¿¿Multas de entre 500 y 1000 años sin salario?? ¿No es algo absurdo? Aún así es claro que la normativa sólo se está acatando en países cuyas autoridades en la materia son estrictas en la imposición de sanciones.

    Esta es mi segunda aportación.
    En consideración de mis siguientes comentarios, conviene aclarar que soy mexicano y abogado, licenciado en México y en España.
    Trabajo como consultor legal en TI en Madrid.

    Dicho lo anterior, me refiero al comentario de Ã?udea:

    En cuanto a la enomre duda que suscitan las “multas de entre 500 y 1000 años SIN salario”, recomiendo una segunda lectura de la ley mexicana y aporto una explicación.

    Como ya explicó Samuel, en México el monto de las sanciones (multas) se establecen en días de salario mínimo general vigente (SMGV) con el objeto (no realmente conseguido) de mantener actualizado este monto conforme aumenta el IPC.

    El salario mínimo mexicano (diario) es el equivalente al salario mínimo interprofesional español (SMI-Día).

    Así pues, cuando se impone una multa equivalente por ejemplo a 100,000 días de SMGV, deberás multiplicar esa cantidad por el monto actualizado , que a día de hoy equivale a $57.46 pesos (otro dato aportado por Samuel).

    Al igual que en España, ese salario mínimo se actualiza cada año.

    Así pues, que nadie se haga a la idea que en México te multan con “500 años sin salario”, cuestión tan absurda como suena.

    Responder
  10. David Fernandez Mena dijo:

    Hola Samuel . De hecho, la ley apenas acaba de publicarse ( estoy preparando el post para nuestro blog) aunque ya se habia difundido el texto, tardo mucho en publicarse en el DOF ( el equivalente a nuestro BOE).
    Solo una aclaracion. El termino “procurarâ€? se usa de otra manera en Mexico ( recuerda que vivo alli), si siendo un termino generador de obligaciones juridicas exigibles; de hecho, al Fiscal General del Estado, se le llama Procurador General de la Republica :) 

    Estimado David:

    Siento diferir en tu aclaración.

    Como abogado mexicano (ex-UIA del DF) con ejercicio en Madrid (también ICAM al haber homologado mi título), me permito indicar que no considero que la expresión “procurará” del art. 11 LFPD revista un sentido distinto de aquel que tanto el lector español como el mexicano pueden darle desde la primera lectura.

    Si bien es cierto que en México existen Procuradores (tanto el General de la República como los Procuradores Estatatales), su cargo está relacionado con la denominada “procuración de justicia” en el ámbito penal. Representan al pueblo en la persecución de los delitos.
    Recomiendo acercarse a este libro para contextualizar el uso del término “procurador”: http://www.bibliojuridica.org/libros/libro.htm?l=1404.

    Fuera de este contexto (y en mi estricta opinión personal) procurar mantiene el signficado a que se refiere la primera acepción recogida por la RAE: “Hacer diligencias o esfuerzos para que suceda lo que se expresa”.

    Los mexicanos, que somos muy dados a los formalismos (como ya tendrás muy bien aprendido desde tu puesto), somos tres veces peores cuando queremos interpretar la ley. Siendo así, si el legislador mexicano hubiese querido imponer una obligación directa y correlacionada a una infracción por incumplimiento, habría utilizado el término “deberá” o habría indicado que “el responsable está obligado a…”.

    Si se ha elegido el vocablo “procurará”, ello obecede a razones concretas, no a un mero accidente del lenguaje; lo cual puede corroborarse si tomamos en cuenta que la LFPD no establece obligación de inscribir ficheros y además establece que los responsables “no adoptarán medidas de seguridad MENORES a aquellas que mantenga para el manejo DE SU INFORMACIÓN” (art. 19).

    Vamos, que las medidas de seguridad para el tratamiento de datos personales se adoptarán conforme cada responsable vaya percibiendo que debe manejarse su propia información (¿?¿?).

    Y no sigo, que también debo trabajar en mi propio texto comparativo.
    Está claro que esta ley dará para muchos y futuros comentarios.

    Saludos,

    Responder

Deja un comentario