在数字时代,数据的收集、处理、传输和存储已经成为各行各业不可或缺的一部分,而数据保护也因此成为了全球范围内的重要议题。墨西哥,作为拉丁美洲的重要国家,其数据保护法的制定与实施,不仅关乎国内公民的个人信息安全,也影响着国际数据流动的秩序与规则。本期小编将带大家了解墨西哥数据保护法相关问题。
文末惊喜彩蛋,欢迎留言关注!
Q1
墨西哥哪个监管机构负责数据保护?
A1
墨西哥负责数据保护的监管机构全称为“国家透明度、信息获取和个人数据保护研究所”(Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, 简称INAI)。不需要向INAI注册,也不需要通知。
Q2
数据主体有哪些关键权利?
A2
(1)随时撤销其对数据控制者处理其个人数据的同意;
(2)访问、更正、取消或反对使用数据控制方拥有的其个人数据,这些数据被称为ARCO权利,分别是:
a.访问(Access):数据主体有权访问数据控制者拥有的个人数据。
b.更正(Rectification):数据主体有权要求数据控制者修改其个人数据。
c.取消(Cancelation):数据主体有权要求数据控制者部分停止或完全停止处理其个人数据的行为。
d.反对(Opposition):数据主体有权反对数据控制者出于特定目的处理其个人数据。
Q3
是否必须任命一名数据保护官(或同等人员)?
A3
是的。所有数据控制者必须任命一名数据保护官(data protection officer)或一个数据保护部门(data protection department),负责有关个人数据的程序,并负责根据墨西哥数据保护法规保护数据。
Q4
墨西哥是否有数据泄露通知要求?
A4
是的,根据墨西哥数据保护法,当发生数据泄露时,控制方有义务通知所有数据主体此类违约。
1.数据泄露通知的要求如下:
(1)尽快通知;
(2)一旦控制者获得该事件的实质信息时通知;
(3)当涉及的个人数据不再暴露时通知。
2.控制者至少需要通知以下内容:
(1)事件描述;
(2)涉及的个人数据;
(3)对数据主体的建议;
(4)控制者采取的纠正措施;
(5)如何获取更多信息。
墨西哥数据保护法目前并未包括在发生数据泄露时通知国家数据保护与信息自由局(INAI)的义务,不过相关法案已经被提出并等待进一步讨论,这些法案将会将这一义务纳入墨西哥数据保护法中。
Q5
有哪些具体规定涉及营销?
A5
1.作为墨西哥数据保护法下的控制者(Controller):
(1)必须向数据主体告知获取和处理其个人数据目的的信息,包括直接营销,在提供符合墨西哥数据保护法具体要求的隐私通知时进行。
(2)如果控制者将数据主体的个人数据用于营销目的,控制者必须实施一种机制,允许数据主体拒绝使用其信息,该机制应在适用的隐私通知中描述,并在控制者提供数据主体隐私通知时向数据主体提供“选择退出机制”。该机制可以是向数据主体提供发送邮件给控制者以拒绝将个人数据用于营销目的的选项,或者通过一个复选框,允许数据主体选择不接收营销通信。
2.作为墨西哥联邦消费者保护法(Ley Federal de Protección al Consumidor,简称“LFPC”)下的供应商(supplier),存在以下义务:
(1)如果消费者需要,向他们提供供应商在其数据库中拥有的这些消费者的信息。
(2)供应商发送给消费者的宣传材料必须包括供应商的名称、地址、电话号码或选择性的电子邮件,以及墨西哥联邦消费者保护局(Procuraduría Federal de Protección al Consumidor,“PROFECO”)的联系数据。
(3)PROFECO管理公共消费者注册(Registro Público de Consumidores,“REPEP”),在那里不希望接收宣传材料的消费者可以注册其电话号码,根据最近一项尚未由PROFECO实施的LFPC法规的法律改革,还可以注册其电子邮件。PROFECO为供应商提供访问此列表的权限。根据LFPC,供应商和营销公司不得向表达不希望接收宣传材料的人发送广告,并且不得向注册REPEP的人发送广告。
(4)供应商必须在宣传材料中避免误导性广告或与其服务、产品和/或商品相关的任何其他误导性信息。
Q6
不遵守数据保护法(包括营销法)的后果是什么?
A6
对墨西哥数据保护法违规行为的处罚范围从简单的履行要求到罚款,罚款金额从约470美元至1,502,000美元不等,并且可能会在多次违规的情况下增加。这些处罚不限于因违规而导致的任何民事或刑事责任。
此外,如果控制者出于谋利目的导致其个人资料数据库出现安全漏洞,或者有人通过欺骗手段获取或处理个人数据用于此目的,可能会被判处三个月至五年的监禁。这些处罚在累犯的情况下将会增加,并且对于敏感个人数据的处罚将翻倍。
Q7
如果跨国组织处理该墨西哥内个人的个人数据/信息,应注意哪些关键因素?
A7
如果要在墨西哥收集、处理和存储个人数据,数据控制者可能会受墨西哥数据保护法的约束。在这方面,控制者需要拥有符合墨西哥数据保护法要求的隐私通知。
根据墨西哥数据保护法,在收集和处理个人数据之前,必须征得数据主体的同意。
在墨西哥,同意是处理个人数据的唯一合法依据,但法律规定了某些例外情况。数据主体可以以明示、口头、书面、电子方式或通过其他可用的技术手段明示同意,或者在数据主体获取隐私通知且未表示反对的情况下默示同意。处理财务信息或与个人财产有关的任何其他信息的控制者需要获得明示同意;与此同时,处理敏感个人数据的控制者应当通过手写、数字签名或其他识别程序获得明确的书面同意。所有其他个人数据均可在数据主体默示同意的情况下进行处理。
本文提供的法律解读仅供参考,是我司工作人员通过法律检索、整理并翻译的墨西哥律师专家的建议。然而,这些解读不应被视为正式的法律意见或建议。对于本文所提供的信息或读者对其理解的差异,我司不承担任何责任。鉴于墨西哥法律的动态变化,本文涉及的法律问题的准确性和适用性可能因特定情况的变化而发生改变。最后,未经我们律师事务所明确授权,任何对本文内容的复制、修改、再发表或其他形式的使用均不被允许。
关于我们
律意是一家创新型综合性跨境法律服务平台。基于创始团队在法律大数据及法律服务行业近20年的经验,拥有覆盖全球151个国家和地区的资深律师网络及各行业法律专家资源,已经为数十家跨境制造与消费类企业节约了50%的时间与经济成本。致力于为企业出海提供专业、完善、便捷的一站式法律服务。
联系电话:+86 21 31200806
邮箱:inquiry@lawpurpose.com
地址:上海市静安区愚园路108号7层728
编辑/排版:Elina
