Legal Alert

New European Regulations for Personal Data Protection / Nuevas reglas europeas de protección de datos personales

New European Regulations for Personal Data Protection

Dear clients and friends,

As of May 25, 2018, the EU General Data Protection Regulation (GDPR) is effective, applicable in Europe and impacting companies and users worldwide.

The scope of the new EU rules for data privacy is extended to non- EU companies processing EU residents personal data.

Although Mexican companies are already required to comply with data privacy policies under the Mexican Law on the Protection of Personal Data held by Private Individuals, new obligations may arise from the GDPR, considering EU residents are granted with upgraded rights under the GDPR, which must be respected when their personal data is collected or processed by a non- EU country.

Some innovations are:

1. Consent for data processing must be affirmative (by a positive action), clear and must cover all the purposes of the data treatment.

2. Regarding the data, it must comply with the following principles:
• Transparency
• Purpose limitation
• Data minimization
• Accuracy
• Storage limitation (Right to be forgotten)
• Integrity and confidentiality
• Accountability (Demonstrate compliance)

3. Broader information duties.
4. Implementation of technical and organizational measures towards data security.

5. Administrative fines are up to 4% of total worldwide annual turnover of the preceding year or 20,000,000 EUR, whichever is higher.

Given that it is difficult to identify EU residents´ data and proceed with the appropriate data segmentation, as a practical solution, we recommend adapting your company´s data privacy policies to reflect the GDPR standards, for all your data.

Should you have any questions or comments regarding the foregoing, please do not hesitate to call your usual contact in the Firm.

Nuevas reglas europeas de protección de datos personales

El alcance de las nuevas reglas de la UE para privacidad de datos se extiende a compañías fuera de la UE que procesan datos de residentes de la UE.

Aunque las sociedades mexicanas ya tienen la obligación de cumplir con las disposiciones de privacidad de datos establecidas en la Ley Federal de Protección de Datos Personales en Posesión de Particulares, nuevas obligaciones podrían surgir del GDPR, considerando que a los residentes de la UE les han sido otorgados derechos de mayor categoría bajo el GDPR, que deben ser respetados cuando sus datos personales son recogidos o procesados por un país fuera de la UE.

Algunas de las innovaciones son:

1. El consentimiento para procesar datos debe ser afirmativo (por una acción positiva), claro y debe cubrir todos los fines del tratamiento de datos.
2. En relación con los datos, deben cumplir con los siguientes principios:
• Transparencia
• Delimitación de finalidad u objetivo
• Minimización de datos
• Exactitud
• Limitación del plazo de conservación
• Integridad y confidencialidad
• Responsabilidad (Demostrar cumplimiento)
3. Obligaciones de informar más amplias.
4. Implementación de medidas técnicas y organizacionales tendientes a la seguridad de los datos.
5. Las multas administrativas pueden ser de hasta un 4% del volumen de negocio total anual global del ejercicio anterior o 20,000,000 EUR, lo que resulte mayor.

Dada la dificultad de identificar datos de residentes de la UE y hacer una segmentación adecuada de los mismos, como una solución práctica recomendamos adaptar las políticas de privacidad de datos de su empresa para que reflejen los estándares del GDPR, para todos los datos sin distinción.

En caso de tener alguna pregunta o comentario en relación con lo anterior, por favor no dude en comunicarse con su contacto habitual de la Firma.

Socios del área de Privacidad de Datos Personales:

Ivonne Aguilera

iaguilera@ecrubio.com

Roberto Álvarez Malo

roberto.alvarezmalo@ecrubio.com

Renato Martínez

rmartinez@ecrubio.com

Juan Carlos Partida

juan.partida@ecrubio.com

Javier Ogarrio

jogarrio@ecrubio.com