Ley Federal de Protección

de Datos Personales en
Posesión de Particulares
Ley Federal de Protección de Datos
Personales en Posesión de Particulares

Antecedentes Las sanciones por faltas a la LFPDP van desde sanciones

En un mundo con gran despliegue tecnológico y donde económicas (altas) hasta la privación de la libertad.
la economía gira en torno a la información, es de extrema
importancia contar con una legislación que proteja los El Instituto Federal de Acceso a la Información y Protección
datos personales. En México es una necesidad clara de Datos Personales (IFAI PDP) es el encargado de promover
y como prueba, desde 2001 se han presentado siete y difundir el ejercicio del derecho a la información, resolver
iniciativas que van desde las muy conservadoras hasta sobre la negativa a las solicitudes de acceso a la información
las muy liberales. y proteger los datos personales en poder de dependencias
y entidades.
Las noticias recientes han presentado incidentes sobre
el robo y tráfico de datos en México que nos ponen a Lo anterior nos lleva a cuestionarnos: ¿qué tanta capacidad
pensar en la vulnerabilidad de los sistemas y el riesgo tienen las compañías para hacerle frente a estos riesgos?,
que representan para cualquier individuo u organización. ¿existen controles robustos dentro de estas instituciones
para la protección de datos en su confidencialidad,
Los riesgos tecnológicos son un asunto de todos los días integridad y disponibilidad? Actualmente, ¿los procesos
para los ejecutivos de las organizaciones. No es exagerado para el tratamiento de los datos de las empresas mexicanas
decir que las amenazas a la confidencialidad son un tema cumplen con la LFPDP?
que cada día preocupa más, pues los riesgos se multiplican
conforme avanza la tecnología.

Por esta razón, el 5 de julio de 2010 se publicó en el Diario

Oficial de la Federación (DOF) la Ley Federal de Protección
de Datos Personales en Posesión de Particulares (LFPDP),
la cual tiene como objetivo proteger los datos personales
en posesión de los particulares y regular su tratamiento
legítimo, controlado e informado, a efecto de garantizar la
privacidad y el derecho a la autodeterminación informativa
de los individuos.

Bajo este contexto, la Ley mencionada anteriormente

entró en vigor al día siguiente de su publicación en el
DOF y las empresas contarán con un plazo de 18 meses
para implementar políticas y procedimientos, así como
los mecanismos necesarios en recursos humanos, legal,
tecnología, procesos e infraestructura para cumplir con
dicha Ley. El Ejecutivo Federal expedirá el reglamento
respectivo en el año siguiente a su entrada en vigor.
En ese mismo periodo los responsables designarán a la
persona o el departamento de datos personales a que
se refiere el Artículo 30 de la Ley y expedirán sus avisos
de privacidad a los titulares de esa información.

Ley Federal de Protección de Datos Personales en Posesión de Particulares 3

 I. Disposiciones Generales

¿Qué es la LFPDP?
La Ley cuenta con 69 artículos agrupados en once
capítulos y transitorios.

I. Disposiciones Generales II. Los Principios de Protección de Datos Personales

IV. Ejercicio de los Derechos de Acceso, Rectificación,

III. Los Derechos de los Titulares de Datos Personales
Cancelación y Oposición - ARCO

VI. Las Autoridades

V. De la Transferencia de Datos Sección I. Del Instituto
Sección II. De las Autoridades Reguladoras

VII. Del Procedimiento de Protección de Derechos VIII. Del Procedimiento de Verificación

IX. Del Procedimiento de Imposición de Sanciones X. De las Infracciones y Sanciones

XI. De los Delitos en Materia del Tratamiento Indebido de Datos Personales

Transitorios

Ahora bien, es necesario partir en términos del artículo 1 sea con fines de divulgación ni de utilización comercial),
de la LFPDP, donde se explica que el objeto de esta Ley siendo los sujetos de la Ley los particulares (personas
es: “la protección de los datos personales en posesión de físicas o morales de carácter privado). Por lo anterior,
los particulares”, a excepción de lo descrito en el artículo todos aquellos que no estén en los supuestos de
2 (sociedades de información crediticia cuando se esté en excepción que tengan en posesión datos personales
los supuestos de la Ley de la materia y personas que de particulares, serán los sujetos a cumplir con esta Ley.
recolectan y almacenan datos, siempre y cuando no

Cualquier información concerniente a una persona física identificada

o identificable.
Dato Personal
Consentimiento: expreso verbalmente, escrito, medio electrónico, óptico
u otra tecnología. Consentimiento tácito si el Titular no manifiesta oposición.

Datos personales que afectan la esfera más íntima de su Titular o cuya utilización
indebida pueda dar origen a discriminación o conlleve un riesgo grave (por
ejemplo: origen racial o étnico, estado de salud presente y futuro, información
Dato Personal genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones
Sensible políticas, preferencia sexual).

Consentimiento: expreso y por escrito, firma autógrafa, electrónica o cualquier

mecanismo de autenticación.

4
La Ley prevé sanciones que van desde el apercibimiento Nuestra visión de la LFPDP
(equivalente a una llamada de atención), hasta la imposición La entrada en vigor de la Ley supone para las compañías
de multas desde 100 hasta 320 mil días de Salario Mínimo la imposición de nuevas obligaciones tanto jurídicas
General Vigente, lo cual equivale a cerca de 18 millones como técnicas, físicas y organizacionales en materia
de pesos. Además, en función de la gravedad del delito, de protección de datos personales.
podrían existir responsabilidades civiles y penales.
Si bien hasta ahora se tenía una idea clara de lo que
Los delitos en materia del tratamiento indebido están era necesario proteger desde el punto de vista técnico,
descritos en los siguientes artículos: los sistemas de información y la custodia de los datos
en cualquiera de sus formatos implican la necesidad de
Artículo 67.- Se impondrán de tres meses a tres años analizar a profundidad el “ciclo de vida del dato”, es decir,
de prisión al que estando autorizado para tratar datos resulta primordial controlar cómo viaja la información
personales, con ánimo de lucro, provoque una vulneración entre los distintos departamentos de la organización,
de seguridad a las bases de datos bajo su custodia. dónde y cuándo se duplica, dónde y cómo se almacena,
a quién y cómo se envía, cuándo y cómo se destruye, etc.
Artículo 68.- Se sancionará con prisión de seis meses
a cinco años al que, con el fin de alcanzar un lucro Esto implica la necesidad de llevar a cabo una revisión
indebido, trate datos personales mediante el engaño, completa del tratamiento que se realiza de los datos
aprovechándose del error en que se encuentre el titular personales en la organización prestando especial interés
o la persona autorizada para transmitirlos. a temas tradicionalmente no tan trabajados como: la
seguridad en el puesto de trabajo, la tipología y seguridad
Artículo 69.- Tratándose de datos personales sensibles, en archivos físicos, la utilización de fax, el escáner, las
las penas a que se refiere este Capítulo se duplicarán. fotocopiadoras, las memorias USB, entre otros.

Finalmente, la Ley destaca algunas fechas importantes Por todo esto, consideramos que los factores claves
que deberán tener presentes cada una de las compañías de éxito para la adecuada implantación y gestión de
para su cumplimiento en los tiempos determinados y las medidas jurídicas, técnicas, físicas y organizacionales
evitar sanciones. Partiendo de la fecha de la publicación exigidas por la Ley serían:
de la Ley en el DOF y su entrada en vigor (5 de julio de
2010), las compañías cuentan con un periodo de gracia
para su preparación.

Preparación

27 de abril de 2010 5 de julio de 2010 5 de julio de 2011 5 de enero de 2012

Proyecto de decreto Publicación de la LFPDP Designación de Persona Ejercicio de derechos
en el DOF o Depto. de Datos ARCO. Inicia el
Personales. Avisos de procedimiento de
privacidad a los titulares protección de derechos

Ley Federal de Protección de Datos Personales en Posesión de Particulares 5

 • Respaldo y participación de la Dirección. destrucción de la información con el fin de poder
El proyecto debe ser de ámbito global y abarcar a adoptar las medidas jurídicas, técnicas, físicas y
toda la organización, lo que sólo puede lograrse organizativas exigidas por la normativa vigente
con un fuerte respaldo de la Dirección. en materia de protección de datos.
• Coordinación global. • Concientización del personal.
Si bien en los planes de acción aparecerán medidas El cumplimiento de gran parte de los nuevos
de índole jurídica, técnica, física y organizacional, procedimientos estará basado fundamentalmente
son necesarias una coordinación y una visión únicas en la concientización y la participación de los
y globales que garanticen la adecuada empleados.
complementariedad de las mismas.
• “No empezar la casa por el tejado”. Basados en los principios que la LFPDP indica y partiendo
Es necesario analizar el flujo de la información dentro del análisis de la presente Ley, podemos observar que
de la organización para poder identificar los distintos existen tres macroprocesos inmersos para que una
tratamientos que se hacen de los mismos, y los posibles compañía pueda alinearse a dicha Ley, así como los
puntos de archivo, duplicado, envío, recepción y actores principales para su implementación.

Solicitud Aviso de Clasificación de

Consentimiento
de información privacidad información **

Obtener los datos

Administración Administración
de solicitudes (ARCO) de cambios*
Procesos

Legal
Concientización Administración Administración de
Políticas y estructuras
en seguridad de seguridad física control de acceso

Administración de Administración Administración Administración

vulnerabilidades de Riesgos de Incidentes de disponibilidad

Mantener los datos

Administración Administración
Bloqueo de datos Cancelación
de solicitudes de transferencias

Cancelar los datos

Tecnología

** La clasificación de la información se refiere a identificar datos sensibles según la Ley.

* Administración de cambios se refiere a transferencia y cambios en finalidad.
Procesos que se podrían basar en estándares como ISO27001, ISO20000, DRP (BS25999), COBIT.

6
Cada uno de los macroprocesos (obtener los datos, Revisión o diagnósticos
mantener los datos y cancelar los datos) cuenta con • Revisión del grado de cumplimiento de los procesos
varios procesos para la gestión y tratamiento de los de la compañía hacia la LFPDP, en el cual se realiza
datos, los cuales están interrelacionados unos con otros un diagnóstico de los procesos actuales de la compañía
en función de las necesidades de los Titulares, así como respecto a su alineación con la LFPDP (previo a su
los requerimientos determinados por el IFAI PDP y la implementación). Con esto ayudamos a las empresas
Secretaría de Economía mencionadas en la presente Ley. a identificar la brecha para la elaboración del plan
de acción correspondiente para su implementación.
Nuestra visión final para evaluar el cumplimiento de la • Evaluación de los procesos implementados
LFPDP consiste en realizar un análisis de brechas de cada (post-implementación) por la compañía para determinar
uno de los procesos involucrados de la compañía contra el grado de cumplimiento de la LFPDP.
la Ley, apoyados en la aplicación de mejores prácticas y • Revisiones periódicas para evaluar los procesos para
marcos de referencia reconocidos internacionalmente, el cumplimiento con la LFPDP.
tales como ISO27001, ISO20000, BS25999, COBIT, COSO,
etc., y definir los procesos legales requeridos para su Asesoramiento
cumplimiento integral. • Implementación de los planes para la adaptación
a la LFPDP vigente.
Como se mencionó anteriormente, esto no puede llevarse • Concientización del personal respecto a la LFPDP.
a cabo sin el compromiso y participación del recurso
humano de la compañía, es decir, los diferentes actores Evaluación a terceros
involucrados para su implementación y gestión. El rol • Diagnóstico del grado de cumplimiento de los
de cada uno de los actores es el siguiente: procesos del tercero hacia la LFPDP, en caso de
que el cliente requiera transferir algún proceso
Legal.- Es el punto de contacto con las autoridades y para el tratamiento de los datos.
las áreas internas. Es importante su participación en el
diseño, implementación y gestión de las actividades para El enfoque de solución que proponemos para asesorar a
el cumplimiento de los requerimientos. las compañías a su alineación con la LFPDP es el siguiente:

Procesos de negocio.- Punto de contacto de los titulares

para dar respuesta, entre otras, a las solicitudes ARCO Análisis del Flujo Revisión de la
Plan de Acción
(acceso, rectificación, cancelación y oposición). Participan de la Información Situación Actual

en la obtención de la información (aviso de privacidad,

Conocimiento
consentimiento).
Obtener los Datos
Definición del Plan de Acción
Medidas Organizacionales

Tecnología.- Es necesaria para la implementación de

Análisis de gaps
Medidas Jurídicas

Medidas Técnicas

Medidas Físicas

medidas administrativas, técnicas y físicas para proteger la

seguridad de los datos, basadas en un análisis de riesgos. Mantener
Es relevante para la administración de disponibilidad, los datos
vulnerabilidades e incidentes.

Servicios para la alineación con la LFPDP

Cancelar los
Deloitte en materia de protección de datos para el datos (destrucción)
cumplimiento con la LFPDP ofrece una gran variedad de Plan de Concientización
servicios profesionales adaptados a las necesidades del
cliente, entre los que se encuentran:

Ley Federal de Protección de Datos Personales en Posesión de Particulares 7

Contactos:

Región Centro
José González Saravia
Socio
Tel. +52 (55) 5080 6722
[email protected]

Eduardo Cocina
Socio
Tel. +52 (55) 5080 6936
[email protected]

Rocío Gutiérrez
Gerente
Tel. +52 (55) 5080 6686
[email protected]

Oscar Moreno
Gerente
Tel. +52 (55) 5080 6569
[email protected]

Región Norte
Salomón Rico
Socio
Tel. +52 (81) 8133 7351
[email protected]

Región Bajío
Victor Salcedo
Socio
Tel. +52 (33) 3819 0555
[email protected]

Región Frontera
Mario García
Socio
Tel. +52 (664) 622 7810
[email protected]

www.deloitte.com/mx

Deloitte presta servicios profesionales de auditoría, impuestos, consultoría y asesoría financiera, a organizaciones públicas y privadas de diversas
industrias. Con una red global de firmas miembro en más de 140 países, Deloitte brinda su experiencia y profesionalismo de clase mundial para
ayudar a que sus clientes alcancen el éxito desde cualquier lugar del mundo en donde operen. Los aproximadamente 169,000 profesionales de
la firma están comprometidos con la visión de ser el modelo de excelencia.

Los profesionales de Deloitte están unidos por una cultura de cooperación basada en la integridad, el valor excepcional a clientes y mercados, el
compromiso mutuo y la fortaleza de la diversidad. Disfrutan de un ambiente de aprendizaje continuo, experiencias desafiantes y oportunidades
de lograr una carrera en Deloitte. Están dedicados al fortalecimiento de la responsabilidad empresarial, a la construcción de la confianza y al
logro de un impacto positivo en sus comunidades.

Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino Unido, y a su red de firmas
miembro, cada una de ellas como una entidad legal única e independiente. Conozca en www.deloitte.com/mx/conozcanos la descripción
detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro.

© 2010 Galaz, Yamazaki, Ruiz Urquiza, S.C. Member of Deloitte Touche Tohmatsu Limited