Los sujetos obligados de esta ley son todos los particulares (independientemente de que sean personas físicas o morales), que obtengan, usen, o almacenen datos de otras personas (por cualquier medio); a excepción de las sociedades de información crediticia (que tienen su propia normatividad), así como las personas que lleven a cabo la recolección y almacenamiento de datos para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

            Evidentemente, los principales destinatarios de esta ley son aquellas personas que mediante páginas de internet soliciten datos personales. La ley define el concepto “datos personales” como “cualquier información concerniente a una persona física identificada o identificable”, es decir, prácticamente cualquier dato.

            La normatividad en comento impone diversas obligaciones para las personas que utilicen datos personales en los términos antes referidos, entre las que principalmente destacan: designar a una persona o departamento para que atienda las solicitudes de los titulares de la información obtenida,  dar a conocer un aviso de privacidad (con los requisitos que marca la ley) al momento de solicitar información, garantizar el respeto a este aviso de privacidad, así como el mecanismo para que el usuario (o quien brinda información) pueda revocar el consentimiento otorgado para la utilización de su información.

            Para quien incumpla con las obligaciones antes referidas, se contemplan diversas multas que ascienden desde 100 hasta 320,000 días de salario mínimo. Si la infracción a la ley es en relación a “datos sensibles”, se podrían duplicar los montos antes referidos para la multa.

            Por “datos sensibles” se entiende aquella información que afecte a la esfera más íntima de la persona, o cuya utilización indebida pueda dar origen a discriminación (cuestiones raciales, étnicas, estado de salud, información genética, creencias religiosas, filosóficas, morales, afiliación sindical, opiniones políticas, preferencias sexuales, etc…).

            Es importante destacar, que cuando se solicitan “datos sensibles”, el titular debe de dar su consentimiento expreso mediante firma autógrafa, electrónica, o algún otro método de autentificación. Es decir, en estos casos no bastaría una muestra tácita de consentimiento, o simplemente “hacer click en aceptar”.

            Quien impone estas sanciones pecuniarias, es el Instituto Federal de Acceso a la Información y Protección de Datos, quien puede actuar de oficio o petición de parte. De ahí que cabe la posibilidad, de que este Instituto inicie una investigación para corroborar si se cumple con la ley, a petición de algún competidor o cliente insatisfecho.

            La ley de la materia también contempla delitos en relación al tratamiento de datos personales, que acarrean como pena la privación de la libertad (si con ánimo de lucro se vulnera una base de datos, se traten datos personales con engaños, o se aproveche de un error del titular para transmitirlos).      

            El pasado julio de este año, venció el plazo que se dio a los sujetos de esta ley para acatar las obligaciones que la misma les impone; es decir, para entre otras cosas dar a conocer sus avisos de privacidad con los requisitos de la norma, y designar al encargado que atienda a los titulares de la información.

            Derivado de lo anterior, si usted o su empresa piden información a terceras personas en los términos que marca la ley (ya sea de forma electrónica, documental, o cualquier otro método), le aconsejamos asesorarse para que tenga la certeza de que está cumpliendo con la normatividad aquí referida, y así evitar la imposiciones de sanciones que pueden llegar a ser muy significativas.