Tan solo en 2022 se presentaron 1.068 denuncias en el sector privado y 101 en el público por violaciones a las leyes de protección de datos, es decir, la Ley General de Protección de Datos Personales y la Ley Federal de Protección de Datos Personales.
Ambas son las principales leyes mexicanas que regulan las obligaciones y los protocolos que se deben cumplir para proteger la información personal de los individuos en el país.
Para las empresas es importante conocer su alcance e implicancias, dado que el departamento de Recursos Humanos gestiona una gran cantidad de datos vinculados a cada empleado.
Por ello, en este artículo aprenderás en qué consiste la normativa para la protección de datos personales en México, cuáles son los principios que la rigen, en qué casos se aplica y cómo puedes apoyarte en la tecnología para darle cumplimiento a esta legislación.
Tabla de contenidos
¿A qué llamamos datos personales?
Para poder entender qué tipo de información de los empleados se debe resguardar en las empresas, primero hay que definir qué son los datos personales. De acuerdo con la legislación mexicana se trata de “cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona es identificable cuando su identidad puede determinarse directa o indirectamente a través de cualquier información”.
En esta normativa también se hace referencia a los datos personales sensibles como aquellos que se refieren a “la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste”.
En esta categoría se consideran los siguientes datos personales:
- Aquellos que puedan revelar aspectos como el origen racial o étnico.
- Estado de salud presente o futuro.
- Información genética.
- Creencias religiosas, filosóficas y morales.
- Opiniones políticas.
- Preferencia sexual.
En las empresas estos últimos datos personales deben tratarse con especial cuidado. De hecho, cabe preguntarse si obtener esta información de parte de los empleados es realmente necesaria.
En términos generales y atendiendo a lo que dicta la Ley Federal del Trabajo (LFT), los datos sensibles no deberían ser tenidos en cuenta en los procesos de selección, ni tampoco a lo largo de la relación laboral, ya que podría considerarse discriminatorio.
El artículo 3 de la LFT así lo determina:
No podrán establecerse condiciones que impliquen discriminación entre los trabajadores por motivo de origen étnico o nacional, género, edad, discapacidad, condición social, condiciones de salud, religión, condición migratoria, opiniones, preferencias sexuales, estado civil o cualquier otro que atente contra la dignidad humana
💡 Para profundizar: aprende cómo evitar la discriminación laboral en tu centro de trabajo.
¿Qué es el tratamiento de datos personales?
Según el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) el tratamiento de los datos se refiere a:
Cualquier operación efectuada sobre datos personales relacionada con la obtención, uso, registro, organización, estructuración, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión (…) cotejo, interconexión, manejo, aprovechamiento, divulgación, transferencia, supresión, destrucción o disposición de datos personales
Básicamente, es todo procedimiento que se emplea para administrar la información personal de los individuos. Dentro de esta definición que comparte el INAI se contempla que el tratamiento de los datos puede realizarse de forma manual o mediante la automatización con recursos tecnológicos.
En cualquier caso, las leyes de protección de datos personales son aplicables a este tratamiento sin importar el sistema que se utilice para llevarlo a cabo.
¿Cuál es la ley de protección de datos en México?
En principio, la protección de datos personales es un derecho garantizado por la Constitución Política de los Estados Unidos Mexicanos. El artículo 16 de esta norma establece: “Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición”.
Asimismo, en el país el derecho a la protección de datos personales está regulado en diversas normativas, según el ámbito del que se trate:
- En el sector privado se aplica la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
- Mientras que en el sector público rige la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO).
Adicional a esto, cada entidad federativa mexicana debe contar con su propia legislación para regular el tratamiento de datos personales en el sector público, de acuerdo con su ámbito territorial y alineada con la Ley General de Protección de Datos Personales.
👉 Esto también te puede interesar: Derechos laborales, una guía para saber si cumples con la Ley Federal del Trabajo
¿Qué establece la ley de protección de datos personales?
Para poder conocer qué establece la ley de protección de datos personales en México es importante analizar cada norma y sus principales características.
Características de la Ley Federal de Protección de Datos Personales
La Ley Federal de Protección de Datos Personales fue promulgada en julio de 2010. La norma nació con el objeto de garantizar la protección de los datos personales que estén en manos de los particulares.
La finalidad de esta ley es regular el tratamiento legítimo, controlado e informado de los datos personales y asegurar así la privacidad y el derecho a la autodeterminación informativa de las personas.
- ¿Qué es la autodeterminación informativa? Es el derecho que tiene todo individuo de decidir, de manera libre e informada, sobre el uso de la información que le pertenece.
Esta ley es la más relevante para las empresas, dado que los sujetos alcanzados por la norma son los particulares, personas físicas o personas morales de carácter privado que lleven a cabo el tratamiento de datos personales. En otras palabras, la norma es aplicable a todas las compañías privadas que hagan uso de la información de las personas, ya sea clientes o trabajadores.
Características de la Ley General de Protección de Datos Personales
En cuanto a la Ley General de Protección de Datos Personales, sancionada el 26 de enero de 2017, debemos decir que su creación persigue el objetivo de establecer las bases, principios y procedimientos que sirvan para garantizar el derecho que tiene toda persona a la protección de sus datos personales en posesión de sujetos obligados.
- ¿Cuáles son esos sujetos obligados? En el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.
De manera que la Ley General de Protección de Datos Personales es aplicable solo a los organismos, entidades y autoridades del ámbito público. El objetivo es garantizar la transparencia de estos organismos y salvaguardar la privacidad de los ciudadanos y el uso que estas instituciones hacen de su información personal.
¿Qué obligaciones deben cumplir las empresas según las leyes de protección de datos personales?
Como ya vimos, las empresas mexicanas están alcanzadas por la ley de protección de datos personales y, debido a ello, tienen la obligación de realizar un tratamiento adecuado de la información personal de sus clientes, proveedores y, por supuesto, de sus empleados, preservando así el derecho a la privacidad.
En la legislación se incluyen distintas responsabilidades que deben asumir las organizaciones para garantizar este fin, pero todo se resume a respetar 8 principios básicos:
1- Licitud
Este principio implica que las compañías deben tratar los datos personales de clientes y colaboradores de manera lícita, según lo dispuesto por la legislación mexicana y el derecho internacional.
Lo que quiere decir que ni los empleadores, ni sus representantes pueden tratar los datos personales para actividades ilícitas o de forma tal que contradiga lo dispuesto por la Ley Federal de Protección de Datos Personales y el resto de normas.
2- Consentimiento
Las organizaciones deben obtener el consentimiento de la persona a quien pertenecen los datos personales antes de utilizarlos. El consentimiento puede ser tácito o expreso, dependiendo de cada caso. Por ejemplo, si se trata de datos personales sensibles, el consentimiento debe ser expreso y por escrito.
Esto es clave en todo el recorrido del trabajador en la empresa, pero es aún más fundamental en el proceso de contratación y onboarding. Por ello, es importante dejar en claro qué datos personales vas a necesitar de los nuevos colaboradores y para qué finalidad se utilizará esa información.
3- Información
Otra obligación de los empleadores es notificar a los colaboradores o titulares de los datos la existencia y características del tratamiento al que será sometida su información personal.
En este caso, Recursos Humanos puede crear una política específica para detallar cómo se gestionan los datos personales del talento en la empresa y compartirla con el equipo para que esté al tanto. Asimismo, se puede solicitar que cada empleado firme este documento para dar su consentimiento.
👉 Conoce más sobre esto a través del ABC de documentos que se manejan en RR.HH.
4- Calidad
Los datos personales que gestiona la compañía deben ser exactos, completos, pertinentes, correctos y actualizados. En este punto, lo ideal es que al menos una vez al año el departamento de capital humano le solicite a los trabajadores actualizar su información personal para poder cargarla en la base de datos de la organización y mantener siempre un registro actualizado.
5- Finalidad
Otro punto que establece la ley es que solo se le podrá dar tratamiento a los datos personales para el cumplimiento de la finalidad para los que fueron solicitados.
Por ejemplo, si le solicitas al personal información sobre su situación familiar, es decir, si son solteros o están casados y si tienen o no hijos, debe especificarse con claridad para qué se requiere esa información y utilizarse solo para ese fin.
6- Lealtad
Otra de las obligaciones que tienen que cumplir las empresas en el marco de la Ley de Protección de Datos Personales es priorizar el interés del titular de la información, así como garantizar que sus datos serán tratados conforme a lo acordado.
7- Proporcionalidad
Asimismo, también es el deber de las organizaciones tratar únicamente los datos personales que sean adecuados, relevantes y estrictamente necesarios, en relación con el propósito para el que son solicitados, como vimos en el punto 5.
8- Responsabilidad
Finalmente, debemos hablar del principio de responsabilidad. Aquí se establece que las empresas son totalmente responsables de los datos personales que recolectan de sus empleados. Por ello, deben brindarle a estos el tratamiento acorde para garantizar su seguridad y para cumplir con lo dicta la ley en torno a esto.
En este punto, la legislación establece que el responsable de la información debe velar por el cumplimiento de los principios de protección de datos personales y, para ello, debe adoptar las medidas necesarias para su aplicación.
La seguridad de los datos personales de los empleados es una obligación
En el artículo 19 de la Ley Federal de Protección de Datos Personales se establece que toda persona moral o física que lleve a cabo el tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Las medidas de seguridad que se adopten no deben ser menores a aquellas que se implementen para el manejo de su información. Asimismo se debe tomar en cuenta el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de los datos y el desarrollo tecnológico.
En este punto, la adopción de soluciones digitales deja de ser una opción para convertirse en un requisito esencial si el objetivo es proteger la información de la empresa y de los colaboradores.
Sin embargo, antes de elegir una herramienta que te ayude a garantizar la seguridad de los datos que gestiona tu compañía, es clave que el proveedor seleccionado cumpla con ciertos estándares de calidad.
¿Cómo puede ayudarte Factorial a proteger los datos personales de tus empleados?
En Factorial hemos establecido un Sistema de Gestión para la Seguridad de la Información de acuerdo con los requisitos de la norma ISO/IEC 27001. Sumado a ello, cumplimos con los reglamentos General Data Protection Regulation (GDPR), California Consumer Privacy Act (CCPA) y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, entre otras normas y certificaciones.
Asimismo, nuestra plataforma cumple con estándares de seguridad de la información reconocidos a nivel mundial. Por ejemplo, los datos de quienes eligen nuestro software de RR.HH. siempre están protegidos y asegurados con un sistema de encriptación y acceso único para cada usuario.
Como solemos decir, en Factorial nos tomamos muy en serio tu seguridad y la de tu empresa, por ello, te ayudamos a proteger los datos personales de tus colaboradores y a cumplir con la legislación mexicana.
