¿Qué establece la ley general de protección de datos personales?

La privacidad de los datos y el resguardo de la información personal es tan importante, que en procesos como el due diligence (en el que las compañías evalúan la posibilidad de involucrarse con otra), asegurarse de que exista un cumplimiento adecuado al respecto, es fundamental. Para ello, es necesario anclarse a las regulaciones de cada país, y es en ese contexto en el que la Ley General de Protección de Datos Personales toma el protagonismo.

Aunque lo anterior pueda sonar como una razón de peso para conocer la Ley General de Protección de Datos, la realidad es que los motivos pueden ir mucho más allá. Pues, la omisión de estas regulaciones puede acarrear inconvenientes de todo tipo en las organizaciones: desde el cierre temporal o definitivo de las actividades hasta infracciones penales y económicas.

No obstante, es necesario recalcar que el entorno regulatorio varía de acuerdo con cada país. Por lo que encontraremos leyes con nombres y conformidades diferentes, pero que, en esencia, tienen el mismo objetivo: garantizar la seguridad de los datos.

Por eso, a lo largo de este artículo le mostraremos qué dicen estas leyes en España, México y Colombia, cómo se vulneran y diversos aspectos que debe conocer sobre las mismas.

Ley de Protección de Datos en España

En España, la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), también conocido como Ley Orgánica 3/2018, fue publicada por el Boletín Oficial del Estado (BOE) en diciembre de 2018. Con ello, se sustituyó a la antigua Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

El propósito de esta actualización proviene de la necesidad de adaptar las regulaciones de España a las normativas definidas por el Reglamento General de Protección de Datos (RGPD): aquel que determina el tratamiento de datos en los estados miembros de la Unión Europea.

¿Qué nos dice esta ley?

Además de lo anterior, el artículo nro. 1 establece que uno de sus objetivos principales es

“Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución”.

A su vez, el mencionado artículo de la Constitución, nos habla de

“garantizar el honor y la intimidad personal y familiar de los ciudadanos”.

Principios de la protección de datos

Este real decreto establece 7 principios de la protección de datos. A continuación, le mostramos una breve descripción de cada uno.

1. Exactitud de los datos: Los datos obtenidos deben ser exactos y estar actualizados si corresponde.
2. Deber de confidencialidad: Todas las personas que intervengan en el tratamiento de datos están sujetas a un deber de confidencialidad que prioriza la privacidad de los datos en España. Este se mantendrá incluso si finaliza la relación con el responsable del tratamiento y termina el ejercicio de sus funciones.
3. Tratamiento basado en el consentimiento del afectado: El afectado debe conocer la finalidad del tratamiento y debe haber manifestado inequívocamente que es consciente del mismo.
4. Consentimiento de los menores de edad: El consentimiento solo se considerará válido si el menor de edad tiene más de 14 años. 
5. Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos: Este tipo de tratamiento solo tendrá validez si está previsto en una norma de Derecho de la Unión Europea o una norma con rango de ley.
6. Categorías especiales de datos: El consentimiento del afectado no autoriza el tratamiento de sus datos personales si la finalidad del mismo es “identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico”.
7. Tratamiento de datos de naturaleza penal: Los datos de naturaleza penal solo podrán tratarse bajo una norma del Derecho de la Unión, de esta misma ley, o de cualquier otra de rango legal.

¿Cuándo se vulnera la ley de protección de datos en España?

En primer lugar, antes de hablar de las infracciones que vulneran esta nueva ley, es necesario definir quiénes están sujetos a ellas. En ese sentido, el artículo 70 se refiere a:

• Los responsables y encargados de los tratamientos establecidos o no en territorio de la Unión Europea.
• Las entidades de certificación.
• Los organismos con acreditación para la supervisión de los códigos de conducta.

Las infracciones, por su parte, pueden ser investigadas por la Agencia Española de Protección de Datos (AEPD) y se dividen en tres tipos.

Aunque todas contienen una gran cantidad de elementos, a continuación le mostramos lo más destacable de cada una:

1. Infracciones consideradas muy graves

Estas infracciones son las más graves y pueden dar como resultado consecuencias significativas. Prescriben a los tres años y están relacionadas con la violación sustancial de los principios. Algunas de ellas son:

• Tratamiento de datos personales que viola los principios y garantías, o se ejecuta sin consentimiento válido.
• Uso de datos para fines incompatibles, sin consentimiento o base legal.
• Omisión del deber de informar al afectado sobre el tratamiento de datos.
• Violación del deber de confidencialidad.
• Requerir pago para facilitar información o ejercer derechos de los afectados.
• Resistencia u obstrucción a la función inspectora de la autoridad de protección de datos.

2. Infracciones consideradas graves

Las infracciones graves prescriben a los dos años y pueden incluir:

• Tratamiento de datos personales de menores sin consentimiento adecuado o con consentimiento tácito.
• Incumplimiento de las obligaciones de designación de representantes o delegados de protección de datos.
• Obstaculización de derechos de acceso, derecho de rectificación, derecho de oposición, entre otros.
• Incumplimiento de consultas obligatorias a la autoridad de protección de datos.

3. Infracciones consideradas leves

Son de menor gravedad y prescriben en un año. Suelen ser de naturaleza más formal o administrativa, como:

• No atender solicitudes de derechos de los afectados.
• No publicar los datos de contacto del delegado de protección de datos cuando sea exigible.
• Incumplimiento de las obligaciones de informar a las autoridades pertinentes.

Ley de Protección de Datos Personales en México

En materia de protección de datos en México, existen dos leyes esenciales: la Ley General de Datos Personales en Posesión de Sujetos Obligados y la Ley Federal de Datos Personales en Posesión de Particulares.

¿Qué dicen estas leyes?

Aunque en principio pueden sonar como dos legislaciones prácticamente iguales, la realidad es que se desarrollan en contextos completamente distintos.

La Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados

La Ley de Datos Personales en Posesión de Sujetos Obligados se refiere a las medidas necesarias y demás aspectos que se deben considerar en el tratamiento de datos cuando este es realizado por sujetos obligados.

Entendiéndose (gracias al artículo nro. 1), a los sujetos obligados como aquellos que pertenecen al sector público, más específicamente a

“cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos”.

Esta ley aplica, por ejemplo, cuando el Instituto Nacional Electoral recolecta sus datos en periodos de votaciones.

El artículo 2 de la misma determina 9 objetivos principales que giran en torno a esta normativa de protección de datos en México. Algunos de ellos son:

“Distribuir competencias entre los Organismos garantes de la Federación y las Entidades Federativas, en materia de protección de datos personales en posesión de sujetos obligados”;

“Establecer las bases mínimas y condiciones homogéneas que regirán el tratamiento de los datos personales y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, mediante procedimientos sencillos y expeditos”;

“Garantizar que toda persona pueda ejercer el derecho a la protección de los datos personales”;

“Proteger los datos personales en posesión de cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, de la Federación, las Entidades Federativas y los municipios, con la finalidad de regular su debido tratamiento”;

Ley Federal de Datos Personales en Posesión de Particulares

También llamada erroneamene como la Ley General de Protección de Datos Personales en Posesión de Particulares, se refiere al marco legislativo que regula el tratamiento de todo tipo de datos obtenidos por personas físicas o morales pertenecientes al sector privado.

Es decir, que a diferencia de la anterior, esta ley establece disposiciones generales para todas las personas y empresas privadas que tienen un interés legítimo en su información. En este contexto encajan las tiendas, las empresas virtuales y físicas, las plataformas de películas y cualquier otro tipo de negocio.

El artículo nro. 1 de este ordenamiento jurídico, establece que tiene por objeto “la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas”.

Principios de la protección de datos

Los principios que determinan ambas leyes son bastante similares entre así. Algunos de ellos son:

• Los datos deben tratarse bajo el conocimiento de su titular.
• Debe existir un objeto de tratamiento que justifique su finalidad.
• El responsable deberá establecer medidas técnicas, de seguridad y administrativas que protejan la información contenida en las bases de datos.
• Ningún dato debe ser recolectado a través de métodos fraudulentos o engañosos. Siempre debe hacerse de manera lícita.
• Cuando se trata de datos confidenciales (como información asociada con las creencias religiosas, las opiniones políticas o preferencias sexuales de una persona), el titular debe dar su consentimiento por escrito a través de cualquier mecanismo de autenticación.
• El encargado del tratamiento de datos deberá hacer todo lo posible para evitar datos inexactos y priorizar la actualización y veracidad de los mismos.

Ley de Protección de Datos Personales en Colombia

También llamada Ley 1581 de 2012, se trata de un conjunto de normativas que definen los derechos de las personas en cuanto la información que está almacenada en bases de datos. Se considera de carácter general, pues aplica para todos los sectores: desde administraciones públicas hasta comercios privados.

¿Qué dice esta ley?

El artículo nro. 1 de esta regulación, indica que “tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales”.

Principios de la protección de datos

Igual a las anteriores, esta ley posee sus propios principios rectores para el tratamiento de datos personales. Estos son:

• Legalidad: El tratamiento de datos debe sujetarse a lo establecido en esta ley.
• Finalidad: La finalidad del tratamiento debe tener licitud de acuerdo con la Constitución.
• Libertad: Los datos no podrán recolectarse ni divulgarse sin la autorización del titular.
• Veracidad o calidad: La información almacenada debe ser comprensible, comprobable, verás, exacta y completa.
• Transparencia: El titular debe tener el derecho de obtener información respecto a los datos que le conciernen.
• Acceso y circulación restringida: A excepción de la información pública, los datos personales no pueden estar presentes en medios de comunicación masiva.
• Seguridad: Las actividades de tratamiento deben contar con las medidas necesarias que otorguen seguridad a los registros.
• Confidencialidad de datos: Todas las personas implicadas en este proceso tienen la obligación de reservarse la información y evitar la comunicación de datos (salvo que sea para actividades autorizadas en esta ley).

¿Qué hace vulnerar esta ley?

La Superintendencia de Industria y Comercio será la autoridad de control encargada de imponer las medidas o sanciones correspondientes al incumplimiento de esta ley.

Algunos de los factores que pueden generarlo son:

• Tratar los datos críticos (entendiéndose como aquellos que pueden generar discriminación o exponer la intimidad del titular) sin estar bajo ninguna de las situaciones expresadas en el artículo nro. 6.
• Realizar transferencias de datos a países con escasos niveles de protección de los mismos, a excepción de datos de carácter médico, transferencias bancarias, transferencias legalmente exigidas, entre otros.
• Implementar medidas técnicas y de seguridad de bajo nivel que expongan en mayor o menor medida los datos almacenados.
• Divulgar datos personales privados sin que se deba a una actividad necesaria para el tratamiento o bajo el ejercicio de las funciones de la persona encargada.

Ley General de Protección de Datos Personales: una aliada en el cumplimiento

Sin importar a qué país pertenezca o cuál sea Ley General de Protección de Datos Personales que le corresponda, todas tienen algo en común: establecen estas prácticas como uno de los derechos fundamentales de la población.

Gracias a ellas, las empresas adoptan las medidas de seguridad necesarias para ejecutar, recolectar, almacenar y utilizar los datos, sin dejar de lado la privacidad y confidencialidad de los mismos. 

Desde luego, el uso de las tecnologías adecuadas juega un papel crucial en este sentido, pues, a través de ellas es posible minimizar los riesgos asociados con un mal tratamiento de datos. En ese sentido, las soluciones de Ciberseguridad de ne Digital, representan una de las mejores herramientas, al ayudar a proteger sus datos y garantizar el cumplimiento respectivo.