La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) contiene en su artículo 30 que el responsable (quien es la persona física o moral de carácter privado que decide sobre el tratamiento de datos personales) designará a más tardar el 6 de julio de 2011 a una persona, o departamento de datos personales, quien se encargará de atender las solicitudes de los titulares de los datos para estar en posibilidades de ejercer sus derechos. Lo anterior implica que los titulares de datos, para ejercer los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO) tendrán que dirigirse a esta persona o a ese departamento, y éstos fomentarán la protección de los datos al interior de la organización. La LFPDPPP no menciona que tal persona o departamento sea el único facultado para detentar o hacer uso de los datos, sin embargo, es probable que para un mayor control sobre aquéllos, se confine el tratamiento de los datos a los encargados únicamente, pues así se podría tener mejor delimitado el uso que se haga de los mismos. Los datos personales, para estos efectos, pueden quedar a cargo de un nuevo departamento que se cree exclusivamente para cumplir con el requisito especificado por la LFPDPPP, o se faculte a una persona o departamento preexistente para la recepción y atención de los titulares. El encargado, al estar facultado para manejar los datos personales que conozca, acatará las medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado que el responsable le fije, tomando en cuenta los posibles riesgos, así como las consecuencias de un mal uso de los datos, la sensibilidad de éstos, amén de evaluar el uso tecnológico en los procesos de su manejo, siendo que si la seguridad es afectada, se tiene que informar tal circunstancia a los titulares por parte del responsable, para que aquéllos estén en condiciones de tomar las medidas que juzguen convenientes. Al ser el encargado quien tendrá un contacto y responsabilidad directa con los datos, podrá detectar de manera inmediata estos riesgos (artículos 19, 20 y 21 de la LFPDPPP). La confidencialidad de los datos será respetada por el encargado incluso al término de su relación, aun así termine su relación con el responsable y los titulares, quienes, de ver dañados sus bienes o derechos por un mal uso, podrían buscar verse indemnizados (artículo 58 de la LFPDPPP), lo cual remarca la importancia de capacitar adecuadamente a los encargados de los datos, así como hacerles ver las consecuencias en caso de que no quede resguardada su confidencialidad y se contravenga lo previsto en la Ley.

Fuente: IDCONLINE


La confidencialidad sobre los datos de carácter personal se encuentra regulada a través del artículo 18, fracción II de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental.

Este mismo artículo establece algunos casos de excepción a dicha regla al señalar que los datos personales no serán considerados confidenciales cuando los mismos aparezcan en registros públicos o en fuentes de acceso público. Ejemplo de ello serían cuando dichos datos se publiquen en medios masivos de comunicación como en Internet.

En el caso de Registro Públicos, los datos contenidos en los mismos estarán protegidos cuando sean de acceso restringido como es el caso de Registro Federal de Electores o Registro Federal de Contribuyentes, ya que estas instituciones tiene un marco normativo que establece las condiciones o parámetros que deberán cumplirse para autorizar su acceso, uso y conocimiento.

La confidencialidad de los datos personales no existe cuando se encuentran en fuentes de acceso público, como es el Registro Civil, razón por la cual la fecha de nacimiento, la edad de una persona, su sexo o lugar nacimiento son datos personales no reservados, ya que obran en constancias que emite el Registro Civil y que cualquier persona tiene el derecho a solicitar mediante un testimonio de los mismos sin restricción alguna.

Ejemplo claro de la no confidencialidad de esos datos es la CURP, la cual aparece y se solicita en casi todo documento oficial y cuya conformación permite tener acceso a los datos personales.

Fuente: Los datos personales de carácter personal ante la Clave Única de Registro de Población de Javier Nájera Montiel. Instituto de Investigaciones Jurídicas de la UNAM


Los hechos fortuitos o accidentales y la actuación del personal de las empresas están detrás de un importante porcentaje de violaciones a la protección de datos. Ya no es suficiente que la empresa cumpla con la Ley, sino que debe valorar los riesgos a los que su organización está sometida y adoptar las medidas necesarias para minimizarlos.

En el caso de los trabajadores, evitar una conducta maliciosa puede ser muy complicado, aunque sí se puede  tener los registros necesarios para poder demostrar su mala fe y limitar así la responsabilidad, pero cuando se trata de prevenir errores o conductas accidentales es importante ofrecer toda la información y la formación necesaria de manera que cada trabajador conozca cuáles son sus obligaciones y responsabilidades.

Este tema ha cobrado importancia, porque recientemente se ha comentado sobre el uso indebido de datos personales en razón de la aprobación por la Cámara de Diputados de la Ley Federal de Protección de Datos Personales.
Se ha hablado también de la venta de datos personales, pero qué pasa si de manera accidental se publican  en Internet archivos accesibles que contengan datos de filiación. ¿La empresa puede alegar que la infracción fue cometida por el personal que tenía acceso a éstas, ya que no observó del deber de secreto?

Es lógico pensar que efectivamente alguno de los trabajadores puede divulgar de manera accidental esos datos, sin embargo, esto no deja sin efecto que la titular de esos datos es la empresa y como responsable de los mismos es a quien corresponde el cumplimiento de las medidas de seguridad, no sólo su implementación sino su aplicación real y efectiva.

No se trata de un ejemplo aislado e hipotético el hecho que accidentalmente un trabajador divulgue información de la empresa.

El cumplimiento de las medidas de seguridad es importante, pero de nada sirven si las mismas no son conocidas por el personal o si no se elaboran protocolos internos por los que los trabajadores conozcan sus obligaciones y responsabilidades. De este modo se reducirán los riesgos de actuaciones accidentales por parte de éstos.

Para las actuaciones malintencionadas, así como para aquéllas realizadas por error o accidente a pesar de los medios puestos por la empresa, sólo nos queda tener un buen seguro ante la posibilidad que se aprueban leyes más severas sobre el tema.



Nota: Las opiniones que se presentan en la sección de blogs de CNNExpansión.com, son responsabilidad única de sus autores y no reflejan necesariamente la opinión periodística de CNNExpansión.
Términos y condiciones