El documento resume tres casos de sanciones impuestas por el IFAI a entidades privadas por violaciones a la Ley Federal de Protección de Datos Personales en México. Un banco fue multado con $16.2 millones por impedir el ejercicio de derechos de los titulares y tratar datos de forma ilegítima. Un club deportivo recibió una multa de $1.2 millones por omitir opciones para limitar el uso de datos. Finalmente, una caja de ahorros fue sancionada con $2.2 millones por carecer de una política de privacidad

1. México, junio de 2013
Sanciones recientes impuestas por el Instituto Federal de Acceso a la
Información y Protección de Datos (“IFAI”) en materia de protección de datos
personales
Recent fines imposed by the Federal Institute of Access to Public
Information and Data Protection (“IFAI”) in connection with data protection
violations
Versión en Español:
El 29 de mayo de 2013, fueron publicados en el sitio
web www.ifai.org.mx correspondiente al IFAI, tres
resoluciones a los procedimientos administrativos de
imposición de sanciones, en contra de tres particulares
que imponen en su conjunto sanciones por un total
de más de 19.5 millones de pesos.
A través de la presente, hacemos un breve resumen de
las infracciones que, a juicio de la autoridad, dichos
particulares incurrieron, contraviniendo diversas
disposiciones de la Ley Federal de Protección de Datos
Personales en Posesión a los Particulares (“Ley de
Protección de Datos”).
English Version:
On May 29, 2013, three resolutions of administrative
proceedings dealing with sanction imposition were
published on IFAI’s web site www.ifai.org.mx, against three
companies in an aggregate amount in excess of 19.5
millions of MXP.
Through this note, we will provide a brief summary of the
breaches for which the private parties have been fined for
infringing different provisions of the Federal Law on the
Protection of Personal Data held by Private Parties (“Data
Protection Law”).
Caso 1. Banco
Con origen en una solicitud de protección de derechos
presentada por un titular de datos personales ante el
IFAI, los Comisionados de dicho Instituto resolvieron, en
sesión celebrada el 6 de marzo de 2013 que el banco
incurrió en las infracciones establecidas las fracciones I,
II, IV, VI, XVI y XVII del artículo 63 de la Ley de
Protección de Datos, debido a las siguientes conductas:
1. Falta de respuesta al ejercicio de derechos.
Infracción
Falta de respuesta por parte del banco al escrito de
ejercicio de derechos de oposición y cancelación al
tratamiento de datos personales presentado por el
titular.
Sanción
Apercibimiento, consistente en llevar a cabo los actos
solicitados por el titular.
2. Negligencia
Infracción
Negligencia en la tramitación y respuesta de la solicitud
de derechos hecha al banco por el titular.
Sanción
$2,493,200 (dos millones cuatrocientos noventa y tres
mil doscientos pesos M.N.).
Case 1. Bank
Originated from a request for the protection of rights
submitted by a data owner before the IFAI,
Commissionaires of such Institute resolved during the
session dated March 6, 2013, that the bank had violated
provisions provided in Article 63 sections I, II, IV, VI, XVI y
XVII of the Data Protection Law, due to the following
conduct:
1. Lack of response to the request for the protection of
rights.
Infringement
Lack of response by the bank to the request of the
opposition and cancelation of exercised rights, for the
processing of personal data submitted by the data owner.
Sanction
Warnings to the bank in order to accomplish the acts
requested by the data owner.
2. Negligence
Infringement
Negligence of the bank o the proceeding and its response
to the rights request submitted by the data owner.
Sanction
$2,493,200 (two million four hundred and ninety-three
thousand two hundred pesos MXP).

2. 3. Violación al principio de finalidad
Infracción
Continuar con el tratamiento de los datos personales
cuando la finalidad para la cual fueron recabados dejó
de existir.
Sanción
$1,196,736 (un millón ciento noventa y seis mil,
setecientos treinta y seis pesos M.N.).
4. No realizar la cancelación de los datos personales
Infracción
No realizar la cancelación de los datos personales
cuando era legalmente procedente.
Sanción
$2,493,200 (dos millones cuatrocientos noventa y tres
mil doscientos pesos M.N.).
5. Tratamiento ilegítimo
Infracción
El banco continuó con el tratamiento ilegítimo de los
datos personales, no obstante el particular ejerció su
derecho de cancelación ante dicha institución.
Sanción
$4,986,400 (cuatro millones novecientos ochenta y seis
mil cuatrocientos pesos M.N.).
6. Impedir ejercicio de derechos
Infracción
Impedir el ejercicio de los derechos de cancelación y
oposición que le conciernen al titular.
Sanción
$4,986,400 (cuatro millones novecientos ochenta y seis
mil cuatrocientos pesos 00/100 m.n.).
Suma total de las sanciones impuestas al banco:
$16,155,936 (diez y seis millones ciento cincuenta y
cinco mil novecientos treinta y seis pesos M.N.).
3. Violation to the principle of purpose
Infringement
Continuance of personal data treatment after the purpose
for which the data was collected had ended.
Sanction
$1,196,736 (one million one hundred and ninety-six
thousand seven hundred and thirty-six pesos MXP).
4. Not cancelling the personal data as requested
Infringement
Not cancelling the personal data as requested by the data
owner when it was legally appropriate to do so.
Sanction
$2,493,200 (two million four hundred and ninety-three
thousand two hundred pesos MXP).
5. Illegitimate treatment
Infringement
The bank continued with an illegitimate treatment of the
personal data even though the data owner had exercised
their right to cancellation before the company.
Sanction
$4,986,400 (four million nine hundred and eighty-six
thousand four hundred pesos MXP).
6. Blocking the ability of the data owner to exercise
their rights
Infringement
Blocking the exercise of cancellation and opposition rights
of the data owner.
Sanction
$4,986,400 (four million nine hundred and eighty-six
thousand four hundred pesos MXP).
Total amount of the sanctions imposed on the bank:
$16,155,936 (sixteen million one hundred and fifty-five
thousand nine hundred and thirty-six pesos MXP).
Caso 2. Club Deportivo
Con origen en una denuncia por presuntas violaciones a
la Ley de Protección de Datos presentada por un
particular ante el IFAI, los Comisionados de dicho
Instituto resolvieron, en sesión celebrada el 6 de marzo
de 2013 que el club deportivo incurrió en la infracción
debido la siguiente conducta:
1. Omisión del señalamiento de las opciones y
medios para la limitar el uso o divulgación de datos
personales.
Infracción
El club deportivo omitía señalar en su aviso de
privacidad las opciones y medios con los que cuenta el
particular para limitar el uso o divulgación de sus datos
personales.
Sanción
$1,246,600 (un millón, doscientos cuarenta y seis mil
Case 2. Sports Club
Originated from a complaint of alleged violations made by a
data owner before the IFAI, Commissionaires of such
Institute resolved during the session dated on March 6,
2013, that the sports club had breached provisions provided
in the Data Protection Law, due to the following conduct:
1. Failure to mention the options and means to limit the
use or disclosure of the personal data.
Infringement
The sports club failed to include in its privacy notice the
options and means by which the data owner could limit the
use or disclosure of their personal data.
Sanction
$1,246,600.00 (one million two hundred and forty-six

3. seiscientos pesos M.N.). thousand six hundred pesos MXP).
Caso 3. Caja de Ahorro
Con origen en una denuncia por presuntas violaciones a
la Ley de Protección de Datos presentada por un
particular ante el IFAI, los Comisionados de dicho
Instituto resolvieron, en sesión celebrada el 2 de mayo
de 2013 que la caja de ahorro incurrió en varias
infracciones, debido las siguientes conductas:
1. Incumplir los principios de licitud, información y
finalidad.
Infracción
La caja de ahorro no contaba con un aviso de
privacidad.
Sanción
$545,387.50 (quinientos cuarenta y cinco mil trescientos
ochenta y siete pesos 50/100 m.n.).
2. Recabar datos financieros y patrimoniales sin
consentimiento.
Infracción
La caja de ahorro recababa datos de carácter financiero
y patrimonial sin contar con el consentimiento expreso
otorgado por los titulares de los datos.
Sanción
$779,125 (setecientos setenta y nuevo mil ciento
veinticinco pesos M.N.).
Case 3. Savings Bank
Originated from a complaint of alleged violations to the Data
Protection Law made by a data owner before the IFAI,
Commissionaires of such Institute resolved during the
session dated May 2, 2013, that the savings bank had
breached provisions due to the following conduct:
1. Violation of the principles of legality, information and
purpose.
Infringement
The savings bank did not have a privacy policy.
Sanction
$545,387.50 (five hundred forty five thousand and three
hundred and eighty-seven pesos 50/100 MXP).
2. Collection of financial and economic data without
consent.
Infringement
The savings bank collected personal financial and economic
data without the express consent of the data owner.
Sanction
$779,125 (seven hundred seventy nine thousand and one
hundred and twenty-five pesos MXP).
3. No contar con una persona o departamento de
datos personales.
Infracción
La caja de ahorro no contaba con un procedimiento ni
con una persona o departamento de datos personales
que diera trámite a las solicitudes de los titulares, para el
ejercicio de los derechos de acceso, rectificación,
cancelación y oposición de datos personales.
Sanción
$857,037.50 (ochocientos cincuenta y siete mil treinta y
siete pesos 50/100 m.n.).
Suma total de las sanciones impuestas a la caja de
ahorro: $2,181,550 (dos millones, ciento ochenta y un
mil quinientos cincuenta pesos M.N.)
3. Failure to have a person or department in charge of
personal data
Infringement
The savings bank had not designated a person or
department in charge of personal data for the processing of
requests from data owner’s to exercise their rights of
access, rectification, cancelation and opposition of personal
data.
Sanction
$857,037.50 (eight hundred fifty-seven thousand and thirty-
seven pesos 50/100 MXP).
Total amount of the sanctions imposed on savings bank:
$2,181,550.00 (two million one hundred and eighty-one
thousand and five hundred and fifty pesos MXP).
Juicio de Nulidad
De conformidad con el artículo 56 de la Ley de
Protección de Datos y 144 de su Reglamento, el banco,
el club deportivo y la caja de ahorro podrán promover
juicio de nulidad ante el Tribunal Federal de Justicia
Fiscal y Administrativa.
Annulment Procedure
According to Article 56 of the Data Protection Law and
Article 144 of its Regulations, the bank, the sports club and
savings bank could seek an annulment procedure before
the Federal Tax and Administrative Justice Court.
Conclusiones
Tras la lectura de la presente nota informativa,
sugerimos a nuestros clientes y amigos la revisión de las
políticas de privacidad establecidas en las empresas así
Conclusions
After reading this legal alert, we suggest our clients and
friends to review their privacy policies, and to correct and
clarify the wording in privacy policies in order to fulfill the

4. como la correcta redacción de avisos de privacidad a
efecto de encontrarse en cumplimiento con la normativa
en materia de privacidad y protección de datos
personales y así evitar actualizar los supuestos
normativos sancionables por el IFAI. También sugerimos
poner la debida atención a toda queja de clientes o
consumidores o cualquier solicitud de ejercicio de
derechos relacionadas con datos personales.
* * *
privacy and data protection regulations and to avoid
conduct punishable by the IFAI. We also suggest our clients
and friends to pay due attention to customer complaints or
customer requests regarding data privacy notices.
* * *
Contactos:
M. Jorge Yáñez V. Bernardo Herrerías F.
mjyanez@bstl.mx bherrerias@bstl.mx
Gabriela Campos de Pablo Federico de Noriega O.
gcampos@bstl.mx fnoriega@bstl.mx
Rodrigo Méndez S.
rmendez@bstl.mx
Teléfono +52 (55) 5091-0000.
www.bstl.mx
La información proporcionada en la presente no sustituye una opinión legal específica. Esta publicación tiene fines
informativos. BSTL no asume ninguna responsabilidad jurídica de una decisión tomada sobre la base de esta
publicación.
The information provided cannot substitute a specific legal advice. This publication serves only for informational
purposes. BSTL takes no legal responsibility for a decision taken on basis of this publication.