A continuación, sírvanse encontrar nuestros comentarios en relación a las “Modificaciones y Adiciones a las Disposiciones de carácter general en Materia de Operaciones de los Sistemas de Ahorro para el Retiro”. Lo anterior con base en las obligaciones que, a cargo de las Administradoras de Fondos para el Retiro (en adelante “AFORES”), establece la legislación aplicable en materia de protección de datos personales, específicamente, por lo que refiere a la prohibición de condicionar o limitar a los trabajadores, la entrega, descarga o acceso a la Constancia sobre Implicaciones de Traspaso. I. De las Modificaciones y Adiciones a las Disposiciones de carácter general en Materia de Operaciones de los Sistemas de Ahorro para el Retiro (en adelante las “Disposiciones”). Con fecha 28 de febrero de 2019, la CONSAR publicó a través de su página de internet las Disposiciones en comento, mismas que en su artículo 180 especifican, entre otros, que “las Administradoras Transferentes tendrán estrictamente prohibido incorporar contraseñas, claves, factores de autenticación o mecanismos de cualquier naturaleza adicionales a los contemplados en este artículo que condiciones o limiten al trabajador la entrega, descarga o acceso a la constancia sobre implicaciones del Traspaso.”. La anterior prohibición podría resultar en responsabilidad administrativa de las AFORES por incumplimiento a la legislación en materia de protección de datos personales. II. Naturaleza de los datos tratados por las AFORES. El artículo 16° Constitucional reconoce los derechos humanos a la privacidad y a la autodeterminación informativa de las personas. En desarrollo y protección de dichos derechos el legislador expidió la Ley Federal de Protección de Datos Personales en Posesión de los Particulares “LFPDPPP”), misma que resulta aplicable a todas aquellas personas morales que, en razón de sus actividades, manejen datos personales de terceros. De conformidad con el artículo 3° de la LFPDPP, constituyen datos personales cualquier información concerniente a una persona física identificada o identificable. Adicionalmente, se califican como datos personales sensibles, aquellos que refieren a la esfera más íntima de su titular, tales como los que una AFORE maneja al administrar la cuenta única del trabajador al referirse a su esfera patrimonial. El tratamiento de datos personales para efectos de la multicitada Ley, se entiende cualquier uso o divulgación por cualquier medio. Lo que incluye cualquier acción de acceso, manejo, aprovechamiento, trasferencia o disposición de datos personales. Así, la expedición de una constancia sobre implicaciones de Traspaso a los Trabajadores la que refiere el artículo 180 de las Disposiciones califica como tratamiento de datos personales. III. De las Obligaciones en Materia de Protección de Datos Personales a cargo de las AFORES. Las AFORES revisten el carácter de “Responsables” del tratamiento de los datos personales que con motivo de sus actividades obtienen de los trabajadores. Como tal, deben conducirse de conformidad con los principios de consentimiento y responsabilidad aplicables a la materia. De lo contrario resultan responsables administrativamente. El principio de consentimiento, constriñe a la Responsable a obtener el consentimiento expreso y por escrito del titular de los datos sensibles previo al tratamiento. Tratándose de medios electrónicos, el consentimiento se obtendrá a través de la firma electrónica o cualquier mecanismo de autenticación que al efecto se establezca –Art. 9 LFPDPPP-. Adicionalmente el artículo 89 del Reglamento LPDPPP dispone que el titular deberá acreditar de manera fehaciente su identidad a través de medios electrónicos y otros mecanismos de autenticación, para acceder a los mismo. Por otro lado, el principio de responsabilidad establece la obligación de la Responsable de adoptar y mantener las medidas de seguridad –administrativas, técnicas y físicas- que permitan proteger los datos personales contra su uso o tratamiento no autorizado. Además, la Responsable no podrá adoptar medidas de seguridad menores a aquellas que mantengan para el manejo de su propia información –Art. 19 LFPDPPP-. IV. Sanciones en Caso de Incumplimiento a las Obligaciones legales en Materia de Protección de Datos Personales. El incumplimiento de las disposiciones en materia de protección de datos personales, específicamente por el tratamiento de datos personales sin el consentimiento expreso y fehaciente del titular, resulta en la imposición de sanciones de índole administrativa. Aunado a lo anterior, tratándose de datos sensibles las sanciones se duplicarán –Art. 63, fracción XII LFPDPPP-. V. Finalmente corresponde exclusivamente al Instituto Nacional de Transparencia y Acceso a la información diseñar e instrumentar las políticas para la modernización y operación eficiente del comercio electrónico, así como para promover el desarrollo de la economía digital y las tecnologías de la información en materia de protección de datos personales –Art. 43, fracción VIII LFPDPPP-.