+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Мексика
    16 сентября 2022

    Мексика

     

    ЗАКОНОДАТЕЛЬСТВО МЕКСИКИ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства 

    Законодательство Мексиканских Соединенных Штатов (далее – Мексика) в области персональных данных включает:

    Помимо указанных законов изданы нормативные правовые акты:

    • рекомендации по мерам безопасности;
    • параметры для разработки соответствующих схем саморегулирования;
    • обязательные рекомендации по созданию уведомлений о конфиденциальности;
    • обязательные инструкции по видеонаблюдению;
    • руководство по разработке и внедрению службы конфиденциальности;
    • руководство по обработке запросов на доступ, исправление, аннулирование и возражение, поданных субъектами данных;
    • руководящие принципы для несудебных частных коллекторских услуг;
    • рекомендации по предотвращению кражи личных данных;
    • руководство по надлежащему удалению персональных данных;
    • руководство по внедрению системы управления безопасностью персональных данных;
    • руководство по обработке биометрических данных.

    Отдельно для частного сектора приняты:

    • руководство по уведомлению о конфиденциальности;
    • общие критерии применения компенсационных мер без специального разрешения Национального института прозрачности, доступа к информации и защиты персональных данных (INAI);
    • руководство по использованию гиперссылок на Интернет-странице INAI для публикации уведомлений о конфиденциальности посредством компенсационных мер;
    • параметры саморегулирования в вопросах защиты персональных данных;
    • правила работы Реестра обязательных схем саморегулирования и другие;

    Таким образом, в Мексике действуют два закона, регулирующих обработку персональных данных. Также имеются различные руководящие принципы и документы, изданные INAI. Данные правовые инструменты используются для защиты частной жизни физических лиц, что подразумевает предотвращение ненадлежащего использования их персональных данных, уважение прав владельцев данных и гарантии конфиденциальности.

    Материальная и территориальная сфера действия

    LFPDPPP применяется к любому физическому или юридическому лицу, имеющему юридический адрес, местный офис или филиал в Мексике или управляемые базы данных, расположенные в Мексике. А также к контролерам данных, которые находятся за пределами страны, если такие лица используют для обработки персональных данных средства, расположенные на территории Мексики.

    То есть LFPDPPP применяется:

    • если лицо, ответственное за обработку, находится в Мексике;
    • когда информация обрабатывается программным обеспечением процессора данных, расположенного в Мексике;
    • когда лицо, ответственное за обработку данных, использует средства обработки, расположенные в Мексике.

    Закон применяется к обработке данных любыми способами.

    LGPDPPSO поддерживает Национальную систему прозрачности, которая является неотъемлемой частью Национальной системы противодействия коррупции Мексики.

    Целью LGPDPPSO является установление принципов и процедур, гарантирующих право каждого человека на защиту его персональных данных.

    Закон регулирует передачу персональных данных, устанавливает превентивные действия в процессе, средства для оспаривания незаконной обработки данных и санкций, а также регламентирует процедуру проверки.

    Закон применяется к обработке данных, осуществляемой с помощью ручных или автоматизированных процедур.

    Основные понятия

    Персональные данные

    Любая информация, относящаяся к физическому лицу, которая идентифицирует или делает его идентифицируемым. Это информация, которая описывает человека, придает ему идентичность, характеризует и отличает.

    Чувствительные данные

    В Мексике к таким персональным данным (конфиденциальным) относятся любые данные, которые могут вызвать дискриминацию.

    Некоторые данные сами по себе считаются конфиденциальными: расовое или этническое происхождение, текущее или будущее состояние здоровья, генетическая информация, религиозные, философские или моральные убеждения, принадлежность к профсоюзу или сексуальные предпочтения.

    Обработка конфиденциальных данных регулируется более строгими правилами. Штрафы, налагаемые в случае несоблюдения организацией применимых к названной категории информации правил, умножаются в два раза.

    Биометрические данные

    Это физические, физиологические, поведенческие свойства или черты личности, присущие одному человеку и поддающиеся измерению (к ним относятся отпечаток пальца, лицо (распознавание лиц), сетчатка, радужная оболочка, геометрия руки или пальцев, структура вен руки, форма ушей, текстура кожи, ДНК, химический состав запаха тела и сосудистый рисунок, частота сердечных сокращений и другие). В частности, в Мексике к биометрическим данным среди прочего относят автограф, почерк, голос, манеру нажатия на клавиатуру и походку.

    Персональные данные могут быть выражены любым способом, они могут быть числовыми, алфавитными, графическими, фотографическими, акустическими и т.д.

    В LFPDPPP и LGPDPPSO указано, что лицо может быть идентифицировано, когда существует возможность идентифицировать его личность прямо или косвенно с помощью любой информации.

    Существуют биометрические данные, которые сами по себе идентифицируют человека (например, лицо известного человека), но большинству из них требуется дополнительная обработка или информация, чтобы распознать владельца (например, отпечаток пальца сам по себе и изолированно не идентифицирует своего владельца, но когда он входит в систему, в которой он связан с конкретным человеком, а затем новые образцы могут быть сопоставлены с ранее зарегистрированным шаблоном, он становится персональными данными, сделав их владельца идентифицируемым).

    К биометрическим конфиденциальным данным могут быть отнесены сведения:

    • которые относятся к интимной сфере своего обладателя;
    • ненадлежащее их использование может привести к дискриминации;
    • неправомерное их использование влечет за собой серьезный риск для его владельца.

    Например, биометрические данные радужной оболочки могут считаться конфиденциальными в тех случаях, когда они позволяют получить информацию о состоянии здоровья ее владельца. Точно так же цифровой след может считаться конфиденциальным, если в результате его ненадлежащего использования может быть получен доступ к конфиденциальной информации, которая может поставить под угрозу безопасность или стабильность активов (финансов) человека или его правовой статус.

    Трансграничная передача персональных данных

    Организации могут передавать персональные данные за пределы Мексики при условии:

    • субъекты данных проинформированы и дали согласие;
    • предприняты разумные шаги для защиты персональных данных, подлежащих передаче;
    • имеются соответствующие соглашения о передаче данных (например, типовые договорные положения) или другие предписанные меры;
    • применяются обязательные корпоративные правила для обеспечения безопасности международной передачи данных.

    О несовершеннолетних

    Согласие несовершеннолетних специально не рассматривается в названных законах, однако общее правило заключается в том, что они считаются неспособными дать согласие на обработку персональных данных. От их имени вправе действовать родители или законные опекуны.

    Оператор и обработчик

    В законодательстве Мексики оператор именуется контролером данных. Это физическое или юридическое лицо, которое принимает решения относительно обработки персональных данных. Контролер несет ответственность за соблюдение обязательств и принципов защиты данных, даже если такие данные передаются обработчику данных, связанному с ним лицу или третьей стороне, которые находятся в Мексике или за границей.

    Обработчик данных – это физическое или юридическое лицо, которое единолично или совместно с другими обрабатывает персональные данные от имени контролера данных. Обработчик данных не должен быть юридическим лицом, связанным с контролером данных или из той же корпоративной группы, и обязан оформлять отношения с обработчиком соглашением.

    Все контролеры обязаны:

    • уведомить субъекта персональных данных об обработке до того, как данные будут собраны;
    • обеспечить внутри своей организации защиту данных либо путем назначения отдельного сотрудника, ответственного за конфиденциальность, либо создать отдел/департамент, который получая и обрабатывая запросы, должен принимать решения по обращениям субъектов данных;
    • разрабатывать программы соответствия и выделять ресурсы для усиления функции конфиденциальности.

    Права субъекта данных

    Право на защиту персональных данных гарантируется принципами
    и возложенными обязанностями на лиц, ответственных за обработку.

    Принципы:

    1. Законность (необходимо соблюдать все положения, установленные законом);
    2. Согласие (при обработке персональных данных компании должны получить прямо выраженное и осознанное согласие в отношении определенных целей обработки);
    3. Информация (владелец должен быть всегда уведомлен о том, как будут использоваться его данные (уведомление о конфиденциальности);
    4. Качество (данные должны быть точными, полными, актуальными, правильными и обновленными в соответствии с целями их управления);
    5. Цель (управление данными должно иметь цель, которая будет указана в уведомлении о конфиденциальности);
    6. Лояльность (приоритет должен отдаваться интересам владельца данных, а также гарантии того, что данные не собираются и не обрабатываются мошенническими средствами);
    7. Соразмерность (собираемые и обрабатываемые данные должны быть только такими, которые считаются необходимыми, адекватными и подходящими для достижения целей. Не собираются данные, которые могут привести к дискриминации или расизму);
    8. Ответственность (компании несут 100% ответственность за персональные данные, которые они собирают, и должны нести ответственность за то, как они обращаются с этой информацией).

     

    Обязанности:

    1. Обеспечение безопасности (владельцы персональных данных имеют право на то, чтобы личная информация, которую они предоставляют ответственным лицам, была защищена надлежащими мерами безопасности, предотвращающими ее потерю, изменение, уничтожение, повреждение или несанкционированное использование).
    2. Обеспечение конфиденциальности (каждый человек имеет право на то, чтобы данные не разглашались и не передавались третьим лицам, за исключением случаев, когда на это имеется согласие).

    Кроме того, LFPDPPP и LGPDPPSO признают права владельцев в отношении обработки их персональных данных (именуются как права ARCO):

    Кроме указанных прав LFPDPPP признает право владельцев отозвать согласие, ранее предоставленное на обработку их личной информации, на любом этапе обработки без применения к такому отзыву согласия обратной силы.

    LGPDPPSO прямо не предусматривает отзыв согласия, но в этом законе есть другие права, в том числе требовать, чтобы данные не обрабатывались ответственным лицом.

    Реализовать права ARCO согласно LFPDPPP и LGPDPPSO нельзя, если (общие положения):

    • личность владельца данных или его представителя не подтверждена (к запросу на реализацию прав требуется приложить простую копию официального документа, удостоверяющего личность, доверенность представителя или явиться лично и быть готовым предоставить оригиналы документов);
    • личные данные не находятся во владении ответственного лица;
    • есть юридическое препятствие;
    • нарушаются права третьих лиц;
    • имеется решение компетентного органа, ограничивающее доступ к персональным данным или запрещающее их исправление, аннулирование или возражение;
    • отмена или возражение были сделаны ранее.

    Кроме того, согласно LGPDPPSO права невозможно реализовать, если:

    • реализация прав препятствует судебному или административному разбирательству;
    • данные необходимы для защиты охраняемых законом интересов собственника;
    • данные необходимы для выполнения законно приобретенных собственником обязательств;
    • у ответственного лица есть законные полномочия на повседневное использование, защиту и управление необходимыми данными пропорционально целям поддержания целостности, стабильности и постоянства мексиканского государства;
    • персональные данные являются частью информации, которую субъекты финансового регулирования и надзора за регулируемым субъектом предоставили ему в соответствии с требованиями указанной информации о его деятельности, организации и деятельности.

    Согласно LFPDPPP (ответственное лицо не обязано аннулировать личные данные до запроса), если:

    • данные относятся к сторонам частного, общественного или административного договора и необходимы для его разработки и выполнения;
    • данные должны рассматриваться в соответствии с правовыми нормами;
    • отмена препятствует судебным или административным действиям, связанным с налоговыми обязательствами, расследованием и преследованием преступлений или обновлением административных санкций;
    • данные необходимы для защиты охраняемых законом интересов собственника;
    • данные необходимы для совершения действия, основанного на общественных интересах;
    • данные необходимы для выполнения обязательства, приобретенного владельцем на законных основаниях;
    • данные подлежат обработке в целях профилактики или для медицинской диагностики или управления услугами здравоохранения, при условии, что указанное лечение проводится медицинским работником, обязанным хранить тайну.

    Согласие на обработку персональных данных. Законный интерес

    Согласие субъекта на обработку персональных данных обычно требуется до сбора, обработки и раскрытия данных. Оно всегда должно быть добровольным, осознанным, явным и недвусмысленным. Когда лицо дает согласие, обычно понимается, что оно охватывает только указанные в согласии цели. Новое согласие требуется для целей, которые ранее не были идентифицированы и на которые не было получено согласие. Также в Мексике допустимо электронное согласие или согласие–онлайн, оно считается действительным, если правильно оформлено.

    Согласие субъекта на обработку его данных не требуется при следующих обстоятельствах:

    • обработка персональных данных предусмотрена законодательством;
    • данные находятся в общедоступных источниках;
    • обработка персональных данных имеет целью выполнение обязательств, вытекающих из правовых отношений между владельцем и ответственным лицом (например, для трудовых отношений, предоставления услуги или процедуры, или администрирования и предоставления кредита);
    • возникла чрезвычайная ситуация, которая потенциально может причинить вред человеку или имуществу;
    • персональные данные необходимы для медицинского обслуживания, профилактики, диагностики, оказания медицинской помощи, лечения или управления медицинскими услугами;
    • имеется судебный приказ, постановление или распоряжение компетентного органа.

    Отраслевое регулирование

    Трудовое право

    В соответствии с Законом о персональных данных не существует специального режима, применимого к работникам как субъектам данных.

    Локализация

    Требований о локализации не содержится.

    Особенности регулирования

    Требования к уведомлению

    Организация, осуществляющая сбор персональных данных, должна предоставить субъектам данных информацию:

    • об организации;
    • о собираемых персональных данных;
    • о целях сбора персональных данных;
    • о методах обеспечения конфиденциальности (которые должны быть представлены в ясной и прозрачной форме);
    • о третьих лицах, которым организация будет раскрывать персональные данные;
    • о правах субъекта данных;
    • о способах связи с сотрудником по вопросам конфиденциальности или другим лицом, ответственным за политику и практику организации;
    • о формах запроса или жалобы;
    • о способах получения доступа и/или исправления персональных данных.

    Правила обработки

    Организация, обрабатывающая данные, обязана:

    • ограничивать их использование только теми действиями, которые необходимы для достижения целей, для которых данные собраны;
    • анонимизировать данные, когда это возможно;
    • предоставить субъекту данных возможность использовать псевдоним или оставаться анонимным, когда это возможно;
    • удалять/анонимизировать данные после достижения заявленных целей и выполнения юридических обязательств.

    Урегулирование споров. Ответственность за нарушения, штрафы

    Процедура защиты прав подробно регламентирована в Руководстве Национального института прозрачности (INAI) (pdf).

    Урегулировать споры в области персональных данных уполномочены следующие органы:

    • Dirección General de Investigación y Verificación (DGIV) – Главное управление исследований и проверок;
    • Dirección General de Protección de Derechos y Sanción (DGPDS) – Главное управление по защите прав и наказанию;
    • Organismo garante – органы, обладающие конституционной автономией, специализирующиеся на вопросах доступа к информации и защиты персональных данных в соответствии со ст.ст. 6 и 116 раздела VIII Политической конституции Мексиканских Соединенных Штатов;
    • Responsables del sector privado, Responsables del sector público – менеджеры по защите прав частного и государственного секторов.

    Процедура наложения штрафа именуется PISAN, а процедура защиты прав (подачи жалобы) – PPD.  Для запуска PPD субъекту персональных данных или его представителю необходимо, предварительно подтвердив свою личность, подать запрос о защите прав в INAI. Существуют отдельные процедуры PPD для частного и государственного секторов.

    Все решения INAI могут быть обжалованы в установленном порядке. Согласно законодательству, если совершенное лицом нарушение в области персональных данных подпадает под признаки преступления, то INAI самостоятельно не дает оценку таким фактам, а сообщает о них в компетентный орган.

    По LFPDPPP

    Организация может быть подвергнута административному штрафу, а также ответственности по гражданским и/или коллективным искам.

    PISAN – это административная процедура наложения санкций, в которой участвует только предполагаемый правонарушитель. За ее проведение отвечает Главное управление по защите прав и наказанию (DGPDS).

    Санкции, применяемые INAI, могут быть следующими:

    По LGPDPPSO

    В случае с государственным сектором INAI не должен проводить процедуру для наложения санкций. К лицам, ответственным за государственный сектор, применяются следующие меры:

    Надзорный орган

    Национальный институт прозрачности, доступа к информации и защиты персональных данных (INAI) в 2014 году заменил Федеральный институт доступа к информации и защите данных (IFAI).

    INAI является автономным конституционным органом в Мексике, отвечающим за реализацию доступа к публичной информации и защиту персональных данных. INAI наделен правом нормотворческой инициативы. На официальном сайте опубликованы Руководства и Рекомендации по обеспечению безопасности персональных данных.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению А.В. Сидоровой на законодательство Мексиканских Соединённых Штатов

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.