Definición. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) es el marco legal mexicano que regula el tratamiento de datos personales por parte de organizaciones privadas. Los resultados de evaluaciones psicométricas son datos personales — y frecuentemente datos personales sensibles — sujetos plenamente a esta ley desde su recopilación hasta su eliminación.
Desarrollo. La LFPDPPP, vigente desde 2010, define los datos personales como cualquier información concerniente a una persona física identificada o identificable. Distingue además los datos personales sensibles como aquellos que afectan la esfera más íntima del titular o cuyo uso indebido puede dar origen a discriminación o conllevar riesgo grave. Considera los resultados psicométricos como datos sensibles en muchos casos, dada su capacidad de revelar características íntimas del evaluado.
Las obligaciones operativas más relevantes para procesos de evaluación psicométrica incluyen:
● Aviso de privacidad. Documento que se presenta al evaluado antes de la recopilación de datos, informando qué información se recopila, para qué fines, con quién se compartirá, cuánto tiempo se conservará y cómo puede ejercer sus derechos. Su entrega es obligatoria, no opcional.
● Consentimiento expreso. Para datos sensibles, la ley exige consentimiento expreso del titular, no solo tácito. En evaluaciones psicométricas significa firma o aceptación explícita documentable, no asumida.
● Principio de finalidad. Los datos recopilados solo pueden usarse para los fines declarados en el aviso de privacidad. Usar resultados psicométricos recopilados para selección en otros procesos posteriores no declarados originalmente violenta este principio.
● Principio de proporcionalidad. Solo deben recopilarse los datos estrictamente necesarios para el fin declarado. Evaluaciones que recolectan información sensible no requerida para la decisión de contratación pueden ser cuestionadas.
● Derechos ARCO. El titular tiene derecho a Acceder a sus datos, Rectificarlos si son inexactos, Cancelarlos cuando proceda, y Oponerse a su tratamiento en supuestos específicos. Las organizaciones deben tener procesos operativos para atender estas solicitudes.
● Medidas de seguridad. Obligación de implementar medidas administrativas, técnicas y físicas para proteger los datos contra acceso no autorizado, alteración, pérdida o divulgación.
La Secretaría Anticorrupción y Buen Gobierno es la autoridad responsable de vigilar el cumplimiento de la LFPDPPP y tiene facultades sancionadoras significativas. Las multas por incumplimiento pueden alcanzar cifras sustantivas y, en casos graves, implicar responsabilidad penal.
Ejemplo aplicado. Una empresa mexicana del sector financiero realiza auditoría interna de cumplimiento LFPDPPP en su proceso de selección. Identifica cuatro brechas: el aviso de privacidad usado no menciona específicamente los datos psicométricos sensibles; el consentimiento se asume tácito en lugar de expreso; los resultados se conservan indefinidamente sin política de eliminación; y no existe procedimiento formal para atender solicitudes de derechos ARCO. La empresa actualiza su aviso de privacidad con apoyo legal externo, implementa firma electrónica de consentimiento expreso, define política de retención de tres años desde la última evaluación con eliminación posterior documentada, y formaliza canal para solicitudes ARCO. La actualización completa toma cuatro meses y reduce significativamente el riesgo regulatorio.
Por qué importa al decisor. La pregunta concreta que conviene hacer al proveedor de evaluaciones psicométricas y al asesor legal interno es: "¿Nuestro proceso actual de evaluación psicométrica cumple con cada uno de los principios y obligaciones específicas que la LFPDPPP exige para datos personales sensibles, y dónde está documentado ese cumplimiento?". Si la respuesta es general — "sí, cumplimos en general" — el cumplimiento probablemente tenga gaps específicos no identificados. La pregunta granular protege frente a la confianza general no verificada.
Referencias.
