Mexiko hat vor kurzem ein Gesetz zur Regelung des Schutzes von personenbezogener Daten (LFPDPPP auf Spanisch) übergeben. Der Prozess begann im Jahr 2002 und benötigte das Mischen der Ministerien sowie Änderungen der 6., 16. und 73. Artikel der mexikanischen Verfassung. Das Ergebnis wird von Beobachtern als mehr in Richtung des streng kontrollierten bürokratischen europäischen Modell zu horchen, als auf die als  relativ Laissez -faire Struktur angesehene entsprechende Gesetze in den Vereinigten Staaten.
Die mexikanischen Regelungen umfassen im Wesentlichen die folgenden Themen:

ARCO Recht – Verfahrensgarantien und Garantien, damit jeder Bürger Zugang auf die Online-Aufzeichnungen hat, sowie die Bestätigung, Berichtigung oder die vollständige Löschung der Daten, unabhängig davon, ob sie sensible persönliche Daten enthalten oder nicht.

Datenschutzhinweise – Alle Informationen die als sensibel anerkannt sind dürfen online nur erhoben werden durch den Erwerb einer physischer, handschriftlich unterschriebenen Erlaubnis. Nur Daten, die als nicht empfindlich angesehen werden, können durch konventionelle Formen der Online-Genehmigung zugelassen werden. Vor der Sammlung von persönlichen Daten jeglicher Art, muss das Online-Unternehmen die Gründe angeben, warum Sie gesammelt werden, den Namen und die Anschrift der Stelle, und das mögliche Ziel eines jeden Elements der Daten, einschließlich der Tochtergesellschaften des gleichen Unternehmen überall in der Welt oder Outsourcing-Partner.

Behandlung von Daten – das online Unternehmen ist verantwortlich für die Behandlung der Daten und garantiert, dass jedes Element auf unbestimmte Zeit vor dem Zugriff durch Unbefugte geschützt wird, und wird weiter haftbar für diesen Zugang auch wenn er durch die Geschäftspartner oder Mitarbeiter erlaubt wird an die die Daten übergeben hat.

Strafen – Verletzung der LFPDPPP Gesetzgebung fordert Geldstrafen von 5.700 bis 18,4 Millionen Pesos ($ 500 bis $ 1.600.000) für jede Instanz sowie Haftstrafen von drei Monaten bis zu fünf Jahren. Sollte irgend eine der Daten in dieser Verletzung als empfindlich angesehen werden dann werden alle Geldbußen und Haftstrafen automatisch verdoppelt.

Um diese neue Mexikanische Gesetzgebung in seiner strengsten Anwendung zu begreifen, nehmen wir das Beispiel eine E-Mail Vermarkter mit einem Abonnenten in der Stadt Netzahualcoyotl. Dieser Abonnent hat eine ganz normale Rundschreiben Anmeldeform ausgefüllt, und hat dann später ein Produkt mit seine Kreditkarte gekauft. Ihre Firma teilt die Kundendatenbank mit Ihrer Tochtergesellschaft in Deutschland, und ein Hacker in Berlin schafft es die Information des Mexikanischen Kunden zu erhalten. Die Verletzungen der LFPDPPP in diesem Fall sind schwindelerregend.Alls erstes, Sie haben nie Ihrem Kunden Bescheid gesagt das Ihre Datenbank mit Ihrer Tochtergesellschaft in Deutschalnd (und Japan, Australien, England, etc) geteilt wird. Wenn sie dieses Problem überwinden können, müssen Sie nun anerkennen das die Kreditkarteninformation empfindlich ist, deshalb hatten Sie kein Recht diese Information zu erhalten, ohne eine schriftliche, mit der Unterschrift aus Tinte auf Papier (nicht gefaxt oder gescannt) in Ihren Händen haben.

Selbst wenn der Hacker keinen Erfolg hat, und der Kunde keine empfindliche Kreditkarten oder andere Informationen bereitstellt, kann der Mexikanische immer noch um eine komplette Löschung der Online Aufzeichnungen die Sie haben bitten. Ein einfacher Druck auf Löschen in Ihrer SQL Datei wird nicht sehr viel schaffen, da mit komplettes Löschen eine Löschung in Ihren ganzen Systemen angesehen wird. Dieses beinhaltet die Information in Ihren Sicherheitskopien, (und viele Server machen Sicherheitskopien mehrmals am Tag) und alle Ihre Systeme und Sicherheitskopien in Ihren Tochtergesellschaften in Berlin, Tokio, usw. Wenn Ihre Server alle Sicherheitskopien einmal am Tag sammeln, sind das 365 Löschungen in jedem Ihrer Korporativen Server und den Tochtergesellschaften für jedes Jahr der Kunde in Ihren Systemen war.

Da diese Gesetzgebung noch so neu ist, ist es sicher dass sie in Mexikanischen Gerichten in Frage gestellt werden und noch geändert werden wird. So wie sie jetzt steht könnte es Strafen in der Höhe von $3.2 Millionen und zehn Jahre Haft für jede einzelne Kreditkartennummer und/oder Bit von sensiblen Daten die aus Ihrer Firma über diesen Mexikanischen Kunden herauskommt, geben. Angesichts der Tatsache, dass die jüngste Sony Playstation Verletzung möglicherweise mehr als 77 Millionen dieser sensiblen Datensätze exponiert hat, wären die Auswirkungen in Mexiko allein monumental.

Nächstes mal analysieren wir die mexikanische Robinson ausschließende Liste und wie sie eine andere Ebene von Hindernisse für das E-Mail Marketing südlich der Grenze darstellt.