Descubre la Ley Federal de Protección de Datos Personales en Posesión de Particulares
México pasó de cero a siete unicornios en 2021, lo que demuestra su potencial como startup-hub en Latinoamérica. Si México se encuentra en tus planes de expansión o estás pensando en abrir una empresa aquí, hay ciertas regulaciones con las que tendrás que cumplir.
Entre ellas la famosa Ley Fintech, y la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), un nombre demasiado largo, ¿no? Sabemos que la LFPDPPP puede sonar como algo muy complejo, pero tranquilo, nosotros estamos aquí para ayudarte.
Antes que nada queremos hablarte un poco de qué es la protección de datos y por qué es tan importante en la ciberseguridad.
Entendamos: ¿qué es la protección de datos?
Los datos personales son cualquier cosa que nos identifique y nos haga identificables. Por eso, cuando hablamos de privacidad de datos, nos referimos a los derechos de las personas cuyos datos se obtienen, resguardan y/o procesan, a saber cómo son tratados y protegidos.
Hay leyes, como la LFPDPPP, que buscan evitar que dicha información sea mal usada, robada o explotada de una manera poco ética o ilícita. Después de todo, tus clientes necesitan sentirse seguros para confiar en ti.
Puede que decidas aplicar medidas de protección de datos por responsabilidad propia o porque te lo exige un cliente. También, puede que te lo exija una regulación operativa en el país en donde te encuentras, o al que te quieres expandir. A final de cuentas, esta es una buena práctica que te recomendamos implementar.
¿Qué es la LFPDPPP?
Para no leas una explicación igual de larga que el nombre de esta ley, tenemos que entender lo siguiente:
La LFPDPPP, se encarga de regular lo que las empresas hacen con los datos personales de sus clientes. O sea que garantiza la privacidad y el derecho a elegir qué información dar, a quién y para qué.
Hackmetrix Insight: esta ley define a los datos personales como cualquier información que concierne, identifique, o que haga identificable, a una persona física.
Datos, datos, datos y más datos ..
De acuerdo con esta ley, los datos personales se dividen en: datos personales y datos personales sensibles. Los datos personales, se refieren a información de identificación, ubicación, patrimonial, etc.
Mientras que, los datos personales sensibles son aquellos que afectan a la esfera más íntima de su titular. Si se usan de manera indebida pueden llegar a causar disrciminación o poner en riesgo la integridad de la persona.
Se consideran datos sensibles si revelan aspectos como el origen racial o étnico; estado de salud pasado, presente y futuro; información genética; creencias religiosas, filosóficas y morales; afiliación sindical, opiniones políticas y preferencia sexual.
Principios y deberes
Ahora hablemos de lo que te pide esta ley. Esta se divide en 8 principios y 2 deberes que se deben cumplir a nivel federal.
Principios
Licitud | Los datos personales deberán tratarse de forma leal y lícita con pleno conocimiento de la ley, siempre respetando la buena fe y los derechos del individuo. |
Consentimiento | El titular de los datos deberá dar su consentimiento antes de que estos sean tratados. El consentimiento puede ser expreso o tácito. Hackmetrix insight: el consentimiento es expreso cuando la voluntad del titular se manifiesta verbalmente, por escrito, por medio electrónicos, ópticos o por signos inequívocos. Por otro lado, el consentimiento tácito se da a través de un aviso de privacidad. |
Información | Siempre que pidas datos personales a una persona tendrás que informarle a través de un aviso de privacidad sobre el uso que les vas a dar. |
Calidad | Podemos decir que cumplimos con la calidad en los datos personales cuando el titular nos los da directamente y hasta que él no manifieste lo contrario. |
Finalidad | Los datos sólo pueden ser tratados para la finalidad expresada en el aviso de privacidad. |
Lealtad | No se podrán utilizar medios engañosos o fraudulentos para recabar y tratar datos personales. |
Proporcionalidad | Solo puedes recabar y tratar los datos que sean realmente necesarios y relevantes para la finalidad indicada. |
Responsabilidad | Como responsable tienes que valerte de estándares, mejores prácticas internacionales, políticas corporativas, esquemas de autorregulación o cualquier mecanismo que garantice la seguridad de los datos. |
Deberes
Medidas de seguridad | Hay que establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. |
Confidencialidad | Tendrás que establecer controles para que las personas dentro de tu organización que tengan acceso a datos personales de terceros mantengan la confidencialidad. Por ejemplo, una matriz de control de accesos; acompañado de un aviso de confidencialidad o carta responsiva de empleados. |
Más estándares y normativas
Aunque la LFPDPPP es una ley exclusivamente para el mercado mexicano, existen otras leyes en otros países sobre la protección de datos. La HIPAA y la GDPR son claros ejemplos de esto.
Si te interesa saber más sobre el tema te recomendamos leer ISO27001: tu primer paso hacia la protección de datos. Por otro lado, si estás pensando en certificarte en materia de ciberseguridad o simplemente tienes dudas al respecto, estamos aquí para ayudarte.