{"id":4790,"date":"2021-06-30T14:17:40","date_gmt":"2021-06-30T20:17:40","guid":{"rendered":"https:\/\/www.nhg.mx\/?p=4790"},"modified":"2021-06-30T14:19:36","modified_gmt":"2021-06-30T20:19:36","slug":"el-reglamento-general-de-proteccion-de-datos-gdpr-de-la-union-europea-y-sus-implicaciones-en-mexico","status":"publish","type":"post","link":"https:\/\/www.nhg.mx\/en_gb\/el-reglamento-general-de-proteccion-de-datos-gdpr-de-la-union-europea-y-sus-implicaciones-en-mexico\/","title":{"rendered":"El Reglamento General de Protecci\u00f3n de Datos (GDPR) de la Uni\u00f3n Europea y sus implicaciones en M\u00e9xico"},"content":{"rendered":"

Los avances tecnol\u00f3gicos exponenciales vistos en las \u00faltimas d\u00e9cadas, en particular el uso de big data y servicios digitales, potencializado por la nueva din\u00e1mica impuesta por la emergencia sanitaria derivada de la pandemia, han puesto mucha presi\u00f3n en la regulaci\u00f3n de protecci\u00f3n de datos personales, lo que ha hecho que las autoridades a nivel global se cuestionen si se requiere un r\u00e9gimen de protecci\u00f3n m\u00e1s estricto.<\/p>\n

En esta tendencia, el 25 de mayo de 2016, la Uni\u00f3n Europea emiti\u00f3 el Reglamento General de Protecci\u00f3n de Datos (“GDPR” por sus siglas en ingl\u00e9s). El GDPR abrog\u00f3 la Directiva de protecci\u00f3n de datos (Directiva 95\/46 \/CE) de 1995 de la Uni\u00f3n Europea (la “UE”) (la “Directiva de la UE”), con el objetivo de reforzar la regulaci\u00f3n en materia de protecci\u00f3n de datos personales.<\/p>\n

El GDPR es obligatorio para: (i) entidades establecidas en la UE, y (ii) entidades que encontr\u00e1ndose fuera de la UE, ofrezcan y dirijan sus productos o servicios a ciudadanos de la UE.<\/p>\n

M\u00e9xico, bas\u00e1ndose en los principios de la Directiva de la UE, public\u00f3 el 5 de julio de 2010, la Ley Federal de Protecci\u00f3n de Datos Personales en Posesi\u00f3n de los Particulares, y posteriormente, su regulaci\u00f3n secundaria (la “Ley de Datos”).<\/p>\n

La Ley de Datos no ha sido homologada al GDPR; sin embargo, las personas y sociedades mexicanas podr\u00edan estar obligadas a cumplir con el GDPR en caso de que (i) ofrezcan y entreguen productos o servicios de manera habitual a habitantes de la UE, o (ii) utilicen herramientas que les permitan rastrear cookies o direcciones IP de personas que visiten su sitio web desde pa\u00edses de la UE.<\/p>\n

En caso de incumplimiento, las personas o entidades mexicanas, o sus filiales en la UE, podr\u00edan estar sujetas a sanciones bajo el GDPR. Las multas pueden ser de hasta \u20ac20 millones o 4% del volumen de facturaci\u00f3n anual. Durante los tres a\u00f1os de vigencia del GDPR, la Comisi\u00f3n Europea ha impuesto 680 multas, que suponen m\u00e1s de 287 millones de euros.(1)<\/p>\n

La Ley de Datos y el GDPR comparten principios sustancialmente iguales:<\/p>\n

    \n
  1. La obligaci\u00f3n de obtener el previo consentimiento del titular para el tratamiento de sus datos personales;<\/li>\n
  2. La obligaci\u00f3n de contar con un aviso de privacidad, y ponerlo a disposici\u00f3n del titular previo al tratamiento de sus datos;<\/li>\n
  3. La facultad del titular para ejercer sus derechos de Acceso, Rectificaci\u00f3n, Cancelaci\u00f3n y Oposici\u00f3n (los “Derechos ARCO”);<\/li>\n
  4. Los conceptos de (i) responsable, quien es la persona que decide sobre el tratamiento de los datos personales del titular, y (ii) el encargado, quien es la persona que trata los datos personales del titular por cuenta del responsable; y<\/li>\n
  5. La obligaci\u00f3n de designar a un delegado de protecci\u00f3n de datos (DPO), quien ser\u00e1 el encargado de supervisar el cumplimiento de la regulaci\u00f3n.<\/li>\n<\/ol>\n

    Algunas de las obligaciones que incorpor\u00f3 el GDPR, que no est\u00e1n previstas a\u00fan en la regulaci\u00f3n mexicana, son:<\/p>\n

      \n
    1. El derecho a la portabilidad, el cual faculta al titular a obtener una copia de sus datos personales tratados por el responsable;<\/li>\n
    2. Introduce el principio de protecci\u00f3n de datos desde el dise\u00f1o (Privacy by Design);<\/li>\n
    3. Establece obligaciones expresas respecto del consentimiento de un ni\u00f1o menor a 16 a\u00f1os; y<\/li>\n
    4. Obligaciones y requisitos nuevos en caso de que el responsable utilice tecnolog\u00edas novedosas en el tratamiento de datos.<\/li>\n<\/ol>\n

      Como sugerencia, las Entidades mexicanas que puedan obtener y tratar datos de residentes de la UE o las subsidiarias mexicanas de empresas internacionales, deben analizar el impacto del GDPR en sus operaciones en M\u00e9xico, y considerar fortalecer su r\u00e9gimen de protecci\u00f3n de datos personales, para cumplir con los est\u00e1ndares internacionales, incluyendo el GDPR, para evitar contingencias y multas.<\/p>\n

      The General Data Protection Regulation (GDPR) of the European Union and its implications in Mexico<\/h3>\n

      The exponential technological advances in recent decades, in particular the use of big data and digital services, enhanced by the new dynamics imposed by the health emergency derived from the pandemic, have stressed the current regulation on personal data protection, which has led authorities worldwide to question whether a stricter protection regime is required.<\/p>\n

      At the head of the trend, the European Union adopted on May 25, 2016, the General Data Protection Regulation (“GDPR”). The GDPR repealed the 1995 European Union (the “EU”) Data Protection Directive (Directive 95\/46 \/EC) (the “EU Directive”), with the purpose to provide more strict regulation regarding the protection of personal data.<\/p>\n

      The GDPR is mandatory for: (i) entities established within the EU, and (ii) entities resident outside the EU, which offer their products or services to EU citizens.<\/p>\n

      Mexico, following the principles of the EU Directive, published on July 5, 2010, the Federal Law for the Protection of Personal Data in Possession of Individuals, and subsequently, the secondary regulation (the “Data Law”).<\/p>\n

      The Data Law has not been homologated to the GDPR; however, Mexican individuals and companies may be required to comply with the GDPR if (i) they offer and deliver products or services on a regular basis to EU residents, or (ii) they use tools that allow them to track cookies or IP addresses of people visiting their website from EU countries.<\/p>\n

      In case of breach, Mexicans individuals or entities, or their affiliates located in the EU, may be subject to penalties under the GDPR. Fines can be up to \u20ac20 million or 4% of the annual revenue. During the three years in which the GDPR has been in force, the European Commission has imposed 680 fines, amounting to more than \u20ac287 million.<\/p>\n

      The Data Law and the GDPR share substantially the same principles:<\/p>\n

        \n
      1. The obligation to obtain the prior consent of the owner for the processing of his\/her personal data;<\/li>\n
      2. The obligation to have a privacy notice and to deliver it to the owner prior to the processing of his\/her data;<\/li>\n
      3. The terms in which the owner may exercise his\/her rights of Access, Rectification, Cancellation and Opposition (the “ARCO Rights”);<\/li>\n
      4. The incorporation of the concepts of (i) the data controller (Responsable), who is the person that decides on the processing of the personal data of the owner, and (ii) the data processor, who is the person that process the data on behalf of the data controller; and<\/li>\n
      5. The obligation to appoint a Data Protection Officer who will be in charge of supervising compliance with the regulation.<\/li>\n<\/ol>\n

        Some of the new obligations incorporated by the GDPR, which are not included yet in the Mexican regulation, are:<\/p>\n

          \n
        1. The portability right, which entitles the owner to obtain a copy of his\/her personal data processed by the Controller;<\/li>\n
        2. Introduces the principle of data protection by design (Privacy by Design);<\/li>\n
        3. Incorporates express obligations regarding the consent of minors under 16 years of age; and<\/li>\n
        4. New obligations and requirements if the data controller implements new technologies in the processing of the data.<\/li>\n<\/ol>\n

          As a suggestion, Mexican companies that might obtain and treat data from EU residents or Mexican subsidiaries of international companies, must evaluate the impact of the GDPR in their operations, and consider strengthening their personal data protection regime to comply with international standards, including the GDPR, to avoid any contingencies or fines.<\/p>\n

          (1) GDPR Enforcement Tracker al 2021; https:\/\/www.enforcementtracker.com\/?insights<\/a><\/p>\n

          Para mayor informaci\u00f3n sobre el GDPR y el r\u00e9gimen de protecci\u00f3n de datos personales en M\u00e9xico, nos ponemos a sus \u00f3rdenes con sus contactos habituales en Nader, Hayaux & Goebel.<\/p>\n

          Luciano P\u00e9rez G\u00f3mez<\/a><\/p>\n

          +52 (55) 4170 3027<\/p>\n

          lperez@nhg.com.mx<\/a><\/p>\n

           <\/p>\n

          \"image_pdf\"<\/a>\"image_print\"<\/a><\/div>","protected":false},"excerpt":{"rendered":"

          Los avances tecnol\u00f3gicos exponenciales vistos en las \u00faltimas d\u00e9cadas, en particular el uso de big data y servicios digitales, potencializado por la nueva din\u00e1mica impuesta por la emergencia sanitaria derivada de la pandemia, han puesto mucha presi\u00f3n en la regulaci\u00f3n de protecci\u00f3n de datos personales, lo que ha hecho que las autoridades a nivel global…<\/p>\n

          Read More<\/a><\/div>\n","protected":false},"author":9,"featured_media":4791,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[469,55],"tags":[470,444,100],"class_list":["post-4790","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-data-protection","category-firm-news","tag-dataprotection","tag-datospersonales","tag-mexico"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.nhg.mx\/en_gb\/wp-json\/wp\/v2\/posts\/4790","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.nhg.mx\/en_gb\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.nhg.mx\/en_gb\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.nhg.mx\/en_gb\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.nhg.mx\/en_gb\/wp-json\/wp\/v2\/comments?post=4790"}],"version-history":[{"count":0,"href":"https:\/\/www.nhg.mx\/en_gb\/wp-json\/wp\/v2\/posts\/4790\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.nhg.mx\/en_gb\/wp-json\/wp\/v2\/media\/4791"}],"wp:attachment":[{"href":"https:\/\/www.nhg.mx\/en_gb\/wp-json\/wp\/v2\/media?parent=4790"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.nhg.mx\/en_gb\/wp-json\/wp\/v2\/categories?post=4790"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.nhg.mx\/en_gb\/wp-json\/wp\/v2\/tags?post=4790"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}