Las compañías que hacen negocios en México deben revisar las políticas y prácticas pertinentes para asegurarse de que se alinean al marco integral de privacidad de datos del país. Específicamente, querrá evaluar sus avisos de privacidad, políticas de procesamiento de datos y medidas de seguridad dirigidas a proteger los datos personales. Al tomar medidas efectivas ahora, puede ayudar a garantizar el cumplimiento legal, fomentar la confianza entre las partes interesadas, mitigar los riesgos asociados con las violaciones de datos y evitar sanciones. Aquí hay seis consejos clave para los negocios estadounidenses y de otros países mientras navega por las leyes de privacidad de datos en México que impactan a sus operaciones – incluido un plan de acción para impulsar su estrategia de cumplimiento.

1. Comprenda el entorno regulatorio

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos (INAI) desempeña un papel fundamental, sirviendo como principal órgano normativo para proteger los datos personales, supervisar el cumplimiento y publicar directrices relativas a las normas de privacidad. El INAI tiene las siguientes atribuciones:

• Vigilancia y Supervisión: Garantizar el cumplimiento de la legislación sobre protección de datos personales y vigilancia de la aplicación, al tiempo que se establecen criterios, recomendaciones y directrices específicos.
• Información y educación: Proporcionar información a las personas sobre sus derechos de datos personales y presentar un informe anual al Congreso de la Unión.
• Verificación y Sanciones: Iniciar procedimientos de verificación por cuenta propia o por solicitud y ejercer facultades sancionadoras.

También hay que tener en cuenta los Institutos Locales de Acceso a la Información y Protección de Datos a nivel estatal, que son similares al INAI pero se centran en cuestiones específicas de cada estado en materia de transparencia y rendición de cuentas.

2. Revise las leyes clave de privacidad de datos

Los estándares de protección de datos de México están alineados con las prácticas internacionales que promueven la transparencia y la rendición de cuentas de las organizaciones que manejan información personal. La legislación y los acuerdos clave incluyen:

La Ley de Privacidad de México (formalmente llamada Ley Federal de Protección de Datos Personales en Posesión de los Particulares) es la legislación primaria que protege los datos personales mantenidos por particulares. También existe la Ley General de Protección de Datos Personales en la Posesión de los Sujetos Obligados, que se aplica a los datos en posesión de entidades del sector público, incluidos las agencias gubernamentales.

Notablemente, según la legislación mexicana, los propietarios de datos tienen los siguientes cuatro derechos (conocidos como derechos ARCO):

• Acceso: Derecho a acceso a sus datos, así como al aviso de privacidad aplicable.
• Rectificación: Derecho a corregir sus datos cuando sean incorrectos o incompletos.
• Cancelación: Derecho a borrar sus datos personales después de un período de bloqueo.
• Oposición: Derecho a oponerse, en cualquier momento y por razones legítimas, al procesamiento de sus datos personales.

Leyes de protección de datos específicas de cada estado: Cada estado puede tener regulaciones adicionales aplicadas por los institutos locales.

Tratado entre México, Estados Unidos y Canadá (T-MEC) – Además de las reglas federales, estatales y locales, varios tratados internacionales impactan la privacidad de datos, incluyendo el USMCA (conocido como T-MEC en México).

Las regulaciones clave incluyen lo siguiente:

• Reglamentación de a la Ley Federal de Protección de Datos Personales mantenidos por particulares
• Reglas de Aviso de Privacidad
• Parámetros de autorregulación vinculantes
• Directrices Generales de Protección de Datos Personales del sector público (autoridades federales, estatales o locales)

3. Cumpla con las Reglas Generales de Transferencia de Datos

La Ley de Privacidad mexicana impacta a los controladores de datos que toman decisiones sobre el procesamiento de datos personales y a los procesadores de datos que manejan datos personales en nombre del controlador de datos. El cumplimiento de las reglas generales de transferencia de datos incluye:

• Condiciones de Transferencia: Los controladores de datos pueden transferir libremente datos personales a terceros nacionales o extranjeros si el aviso de privacidad lo permite y el titular de los datos no ha optado por no participar.
• Limitación del propósito: Los datos personales solo pueden ser transferidos para los propósitos autorizados por la exclusión o el consentimiento de inclusión del titular de los datos, tal como se indica en el aviso de privacidad.
• Obligaciones de terceros: El destinatario de los datos personales asume las mismas obligaciones que el responsable del tratamiento que transfirió los datos.
• Acuerdos internacionales: También es importante entender las reglas para la transferencia de datos en virtud de los tratados internacionales, por ejemplo, el T-MEC generalmente prohíbe los requisitos para la localización de datos, lo que significa que los países miembros no pueden exigir que los datos se almacenen o procesen exclusivamente dentro de sus fronteras como condición para realizar negocios.

Notablemente, la ley de protección de datos de México no se limita a los controladores de datos establecidos u operativos en territorios mexicanos. Más bien, según las regulaciones aplicables, las reglas también se aplican a las empresas sujetas a la legislación mexicana en virtud de los términos de un contrato o del derecho internacional, y el incumplimiento puede resultar en fuertes sanciones.

4. Nota Exenciones a las reglas de transferencia de datos

Las transferencias nacionales o internacionales de datos personales podrán realizarse sin el consentimiento explícito del titular de los datos en casos específicos, entre ellos:

• Requisitos legales o de tratados: La transferencia es necesaria de conformidad con una ley o tratado del cual México es parte.
• Necesidad médica: La transferencia es esencial para el diagnóstico médico, la prevención, la prestación de atención médica, el tratamiento médico o la gestión de servicios de salud.
• Corporativas Afiliadas: La transferencia se realiza a sociedades controladoras, subsidiarias o afiliadas bajo control común con el responsable del tratamiento, o a una empresa matriz o cualquier empresa del mismo grupo, que operan bajo los mismos procesos y políticas internos.
• Necesidad Contractual: La transferencia se requiere en virtud de un contrato celebrado o por ejecutarse entre el responsable del tratamiento y un tercero en interés del titular de los datos.

5. Crea su plan de acción

De acuerdo con la Ley de Privacidad mexicana, las empresas deben tener ciertos elementos y documentos en su lugar, como:

• Aviso de privacidad: Informar a los individuos sobre cómo se tratarán sus datos personales, incluyendo propósitos, uso y derechos. Asegúrese de que el aviso cumpla las directrices aplicables.
• Políticas y procedimientos de procesamiento de datos: Desarrollar políticas internas que describan cómo se recopilan, utilizan, almacenan y protegen los datos personales.
• Medidas de protección de datos: Implementar medidas de seguridad para salvaguardar los datos personales contra el acceso no autorizado, la pérdida o el daño.
• Mecanismos de consentimiento: Desarrollar procedimientos para obtener el consentimiento de las personas antes de recopilar o procesar sus datos personales.
• Acceso y Gestión de Derechos: Crear procesos para que los titulares de los datos ejerzan sus derechos ARCO mencionados anteriormente (acceso, rectificación, cancelación y oposición).
• Plan de respuesta a la filtración de datos: implemente protocolos para detectar, responder y mitigar el impacto de las violaciones de datos.
• Acuerdos de transferencia de datos: Asegúrese de que sus contratos o acuerdos con terceros que reciben datos personales cubran el cumplimiento de los principios de protección de datos.

También puede desear implementar las siguientes prácticas recomendadas que van más allá del cumplimiento legal:

• Inventario de datos: Cree una lista completa de los tipos de datos personales recopilados, procesados y almacenados por la empresa.
• Evaluaciones de impacto en la privacidad (PIA, por sus sinónimos en inglés): Realizar evaluaciones para evaluar los riesgos e impactos potenciales de las actividades de procesamiento de datos en la privacidad de las personas.
• Registros de consentimiento: Mantener documentación que demuestre que las personas han dado su consentimiento para procesar sus datos personales.
• Programas de formación y conciencia: Educar a los empleados sobre los principios de protección de datos y los requisitos de cumplimiento.
• Revisión anual del cumplimiento: asegurar el cumplimiento continuo de las leyes y regulaciones de privacidad y actualice las políticas y procedimientos según sea necesario.

6. Sigue los posibles cambios en el horizonte

Las reformas propuestas a la Constitución de México, incluyendo posibles cambios en el papel del INAI, podrían tener un impacto significativo en las regulaciones de protección de datos y los esfuerzos de transparencia en el futuro. Aunque estas propuestas no se han finalizado, incluyen planes para eliminar organismos independientes como el INAI, que podrían afectar las cargas administrativas, los costos y las políticas de transparencia.

El Congreso Mexicano debatirá estas reformas constitucionales una vez que comience la nueva sesión en septiembre de 2024. Así que esté atento a las actualizaciones.