LFPDPPP: Lo que tu empresa necesita saber sobre proteccion de datos

La Ley Federal de Proteccion de Datos Personales en Posesion de los Particulares (LFPDPPP), vigente desde 2010, establece el marco legal para el tratamiento de datos personales por parte de empresas privadas en Mexico. Su cumplimiento no es opcional: las sanciones por incumplimiento pueden alcanzar los 320,000 dias de salario minimo, equivalentes a aproximadamente 17 millones de pesos mexicanos.

La LFPDPPP aplica a todas las personas fisicas o morales que traten datos personales en el sector privado. Esto incluye desde una tienda en linea que recopila nombres y correos electronicos hasta un hospital que maneja expedientes medicos. Si tu empresa recopila, almacena, utiliza o comparte datos de personas, esta obligada a cumplir con la ley.

Los principios fundamentales de la LFPDPPP son licitud (tratar datos conforme a la ley), consentimiento (obtener autorizacion del titular), informacion (proporcionar aviso de privacidad), calidad (mantener datos exactos y actualizados), finalidad (usar datos solo para los propositos declarados), lealtad (tratar datos de manera leal), proporcionalidad (solicitar solo datos necesarios) y responsabilidad (implementar medidas de proteccion).

Toda empresa debe tener un Aviso de Privacidad que informe al titular sobre la identidad del responsable, los datos recopilados, las finalidades del tratamiento, los mecanismos para ejercer derechos ARCO (Acceso, Rectificacion, Cancelacion y Oposicion), y las transferencias a terceros si las hubiera.

Las medidas de seguridad que exige la ley se dividen en tres categorias: administrativas (politicas internas, capacitacion del personal, nombramiento de un responsable de proteccion de datos), fisicas (controles de acceso a instalaciones, almacenamiento seguro de documentos) y tecnicas (cifrado de datos, control de acceso logico, monitoreo de sistemas, firewalls y sistemas de deteccion de intrusos).

Un paso critico que muchas empresas omiten es la realizacion de una evaluacion de impacto en la proteccion de datos personales, especialmente cuando se implementan nuevos sistemas o procesos que involucran datos sensibles. Esta evaluacion identifica riesgos y define controles para mitigarlos antes de que ocurra un incidente.

En caso de una vulneracion de seguridad que afecte datos personales, la empresa esta obligada a informar al titular de los datos sobre la naturaleza del incidente, los datos comprometidos y las acciones correctivas implementadas. La falta de notificacion puede agravar las sanciones.

En Oberyx ayudamos a las empresas a implementar las medidas tecnicas de seguridad requeridas por la LFPDPPP, desde evaluaciones de vulnerabilidades hasta monitoreo continuo. Nuestro diagnostico de seguridad incluye una revision de cumplimiento normativo que identifica brechas especificas en tu postura de proteccion de datos.