Resumen: La Ley Federal de Protección de Datos Personales en Posesión de los Particulares en México es aplicable a cualquier persona moral o entidad de carácter privado—sociedad mercantil, sociedad civil, sindicato, asociación profesional y de cualquier otro tipo (incluidas las religiosas)—que obtenga, use , divulgue o almacene datos personales (comúnmente de clientes reales o potenciales de la empresa, empleados, colaboradores, usuarios o visitantes de un sitio web, app o plataforma). Si la entidad tiene poder de decisión sobre el tratamiento de datos, deberá cumplir con las obligaciones a cargo de un Responsable de datos; si no tiene dicho poder de decisión y trata datos por cuenta de otra empresa (generalmente es el caso de proveedores de servicios), deberá cumplir con las obligaciones de un Encargado de datos.
En México, la ley que regula el tratamiento de datos personales en el sector privado es la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “Ley de Protección de Datos”).[1] Según dicha Ley, todas las personas físicas o morales de carácter privado que traten datos personales son sujetos regulados por dicha Ley, con excepción únicamente de los burós de crédito[2] y personas que obtengan y almacenen datos para uso exclusivamente personal y sin fines de divulgación o utilización comercial.[3]
En otras palabras, cualquier persona moral de carácter privado—sociedad mercantil, sociedad civil, sindicato, asociación profesional y de cualquier otro tipo (incluidas las religiosas)—[4]que realice algún tratamiento de datos personales—es decir, que obtenga, use[5], divulgue o almacene datos personales[6]—y a quien no le aplique la citada excepción, será un sujeto obligado de y deberá cumplir con la Ley de Protección de Datos.
Así, para determinar si la Ley de Protección de Datos es aplicable según lo anterior, primero deberá analizarse si la empresa o entidad privada trata datos personales. Los datos personales son definidos como cualquier información concerniente a una persona física identificada o identificable.[7] Esta definición es amplia y, consecuentemente, puede abarcar desde los datos generales, de contacto y fotografías de una persona, hasta cualquier otra información que corresponda, se relacione o afecte a ésta, como por ejemplo, información biométrica, financiera o patrimonial, información sobre patrones o preferencias de consumo, o información que es considerada como sensible, tal como el estado de salud, origen racial o étnico, preferencia sexual, pensamientos, opiniones y creencias.
Conforme a lo antes dicho, si la Ley de Protección de Datos fuese aplicable a la empresa o entidad privada por tratar datos personales, el siguiente paso será determinar cuál será el grado de responsabilidad de la empresa al respecto y las obligaciones que deberá cumplir, dependiendo de si se considerará ésta como un Responsable o un Encargado de datos personales.
Un Responsable de datos es la empresa o entidad que decide sobre el tratamiento de los datos personales[8]—es decir, aquella entidad que tiene poder de decisión respecto a los medios, la forma y las finalidades del tratamiento de datos personales—.
Un Encargado de datos es la empresa o entidad que, a diferencia del Responsable, no tiene dicho poder de decisión y trata los datos personales por cuenta del Responsable yconforme a las instrucciones de éste.[9]
El Responsable de datos es quien deberá cumplir con la mayoría de las obligaciones y principios establecidos en la Ley de Protección de Datos—asegurar que trata los datos personales conforme las leyes aplicables, ser transparente frente a los titulares de datos sobre las finalidades para las que serán utilizados los datos a través de un aviso de privacidad, contar con políticas internas y medidas de seguridad, integridad y confidencialidad de los datos, atender debidamente las solicitudes de ejercicio de Derechos ARCO[10] de los titulares, entre muchas otras obligaciones—.
Generalmente, las empresas que prestan servicios a otras—p. ej., proveedores que ofrecen software como servicio (software-as-a-service o SaaS) o alguna plataforma como servicio (platform-as-a-service o PaaS), servicios de almacenamiento de datos en la nube, servicios de call center, entre otros—son consideradas como un Encargado, ya que los datos personales a los que tienen acceso son utilizados únicamente para la prestación del servicio que la empresa Responsable de los datos contrató, sujeto en todo momento a las instrucciones y finalidades del tratamiento establecidas por el Responsable. Sin embargo, el simple hecho de que una empresa sea proveedora de servicios de cualquier tipo a otra empresa no necesariamente significa que aquélla será un Encargado de datos, pues tal determinación debe realizarse en función del grado de decisión respecto al tratamiento de datos que la proveedora de servicios tendrá y la imagen proyectada hacia los titulares de los datos, entre otras consideraciones, razón por la cual es necesario realizar un análisis al respecto caso por caso y, preferentemente, documentar tal determinación.
En conclusión, la Ley de Protección de Datos será aplicable siempre que la empresa o entidad privada, distinta a los burós de crédito, trate datos personales. En tal supuesto, debe analizarse si tal tratamiento de datos será realizado por la empresa o entidad en calidad de un Responsable o de un Encargado de datos, con el fin de determinar el grado de responsabilidad y las obligaciones que deberán cumplirse al respecto.
[1] La ley que regula el tratamiento de datos personales en el sector público es la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados.
[2] Conocidos formalmente como sociedades de información crediticia.
[3] Artículo 2 de la Ley de Protección de Datos.
[4] Véase el artículo 25 del Código Civil Federal.
[5] El uso de datos personales abarca el acceso, manejo, aprovechamiento, transferencia o disposición de datos personales (artículo 3, fracción XVIII, de la Ley de Protección de Datos).
[6] Véase definición de “tratamiento” en la fracción XVIII del artículo 3 de la Ley de Protección de Datos.
[7] Véase el artículo 3, fracción V, de la Ley de Protección de Datos. Para un mejor entendimiento, véase el artículo “Datos Personales: Concepto y definición legales” publicado por esta organización, disponible en: [*].
[8] Artículo 3, fracciones XIV y XVIII, de la Ley de Protección de Datos.
[9] Artículo 3, fracción IX, de la Ley de Protección de Datos.
[10] Este es el nombre con el que comúnmente se hace referencia a los derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales, que pueden ser ejercidos por los titulares sujeto a lo establecido en la Ley de Protección de Datos.