Este año, la Ley Federal de Protección de Datos Personales en Posesión de Particulares (la “Ley de Protección de Datos”) cumplió una década de vigencia en nuestro país. El objetivo principal de dicha Ley es
proteger los datos personales1 de las personas físicas (los “Titulares”) y regular su tratamiento , con el fin de garantizar el derecho a la privacidad y autodeterminación informativa de los Titulares —es decir, el derecho a tener control y decidir sobre sus datos personales—, así como los derechos de acceso, rectificación, cancelación y oposición (conocidos en México como “Derechos ARCO”), reconocidos en el Artículo 16 de la Constitución Política de los Estados Unidos Mexicanos.

Como consecuencia de la entrada en vigor de la Ley de Protección de Datos, las empresas de carácter privado que tratan datos personales con fines de utilización comercial paulatinamente se han concientizado no únicamente de las responsabilidades y obligaciones que deben cumplir conforme a dicha Ley y las multas en caso de incumplimiento (que podrían llegar a ser cuantiosas), sino también de la relevancia e impacto positivo que su observancia puede generar en la reputación de la empresa, traduciéndose en una ventaja competitiva al contar con la confianza de los clientes para poseer y tratar sus datos personales.

Es importante mencionar que, aunque consideramos que la Ley de Protección de Datos establece los principios, derechos y obligaciones suficientes para regular adecuadamente el tratamiento y protección de los datos personales de los Titulares, es necesario que, a diez años de su entrada en vigor, la misma se actualice y adecue a los nuevos modelos de negocio y las nuevas herramientas de tecnologías de la información, con el fin de regular de manera más precisa y brindar mayor seguridad jurídica en relación con, por ejemplo, el tratamiento biométricos, el tratamiento automatizado de datos personales mediante el uso de mecanismos de inteligencia artificial y sus algoritmos, el tratamiento de datos al hacer uso de tecnologías como blockchain (sea ésta privada o no), DAG (Directed Acyclic Graph) y similares, el reconocimiento del derecho a la portabilidad de datos personales⁵, el tratamiento de datos personales de menores de edad (especialmente respecto del tratamiento para efectos de publicidad y mercadotecnia); así como clarificación sobre el ámbito de aplicación territorial de la Ley respecto de plataformas digitales que operan en México desde el extranjero y tratan datos personales de Titulares ubicados en México⁶.

---

1 Datos personales significa cualquier información concerniente a una persona física identificada o identificable (Art. 3, fracción V, de la Ley de Datos personales).
2 Tratamiento significa la obtención, uso (que incluye cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales), divulgación o almacenamiento de datos personales, por cualquier medio (Art. 3, fracción XVIII, de la Ley de Datos Personales).
3 Personal data means any information concerning an identified or identifiable individual (Art. 3, paragraph V, of the Data Protection Law).
4 Treatment means the collection, usage (including any action of accessing, handling, exploiting, transferring or disposing personal data), disclosure or storage of personal data, through any means (Art. 3, paragraph XVIII, of the Data Protection Law).
5 Actualmente el derecho a la portabilidad de datos personales únicamente está previsto en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (entes públicos).
6 Aunque en el Reglamento de la Ley de Protección de Datos se regula ciertos aspectos relativos al ámbito de aplicación de territorial del mismo, somos de la opinión de que es necesario precisar en qué medida o no les será aplicable a este tipo de plataformas digitales, y es necesario que dicho ámbito se establezca a nivel legal y no reglamentario.
7 Currently the right to portability of personal data is only set forth in the General Law on the Protection of Personal Data in Possession of Governmental Entities (Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados).
8 Although the Regulations of the Data Protection Law regulate certain aspects related to the territorial scope of application of the same, we are of the opinion that the extent to which it will be applicable to this type of digital platforms must be specified, and that said scope is set forth at a legal, not regulatory level.