El manejo de datos personales ha existido desde siempre, pero, debido al perfeccionamiento y avance de la tecnología, así como a las ventajas que trae consigo para la sociedad, diversos sectores (público y privado) han implementado herramientas informáticas para agilizar y mejorar el servicio prestado, dándose lugar a un tratamiento desmedido en la circulación de la información de la persona en diversos medios fuera de su control, por eso, actualmente el valor de esos datos es indudable.
México reconoció la importancia de ese tipo de información sistematizando su resguardo en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) publicada en el Diario Oficial de la Federación (DOF) el 5 de julio de 2011, cuya finalidad es regular su tratamiento legítimo, controlado e informado, para garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.
La LFPDPPP es de orden público y de observancia general, con el objetivo de proteger una prerrogativa colectiva, es decir, el derecho a conocer quién, cuándo y para qué un tercero trata los datos personales de los que el interesado es titular.
En el ámbito de aplicación de la LFPDPPP concurren diversas materias, dentro de las cuales se encuentra la tributaria, pues con la entrada en vigor de la factura electrónica, en la modalidad de comprobantes fiscales digitales a través de Internet (CFDI), la autoridad hacendaria prevé que los proveedores autorizados de certificación de esos documentos están obligados a guardar absoluta reserva de la información contenida en los CFDI’s certificados, en términos del ordenamiento legal apuntado, por ello, es menester tener en cuenta las generalidades de esa legislación, así como algunos conceptos técnicos para detectar su alcance fiscal, como se precisa a continuación.
GENERALIDADES
| Término | Comentario |
| Sujetos obligados | Las personas físicas y morales que para sus actividades cotidianas recaben, manejen y utilicen información personal (artículo 2o de la LFPDPPP). No son sujetos a observar la LFPDPPP, las:
Asimismo, en opinión del despacho Davara Abogados, S.C. , tampoco será aplicable a (artículo 4o del Proyecto del Reglamento de la LFPDPPP pendiente de publicación en el DOF):
|
| Autoridades en la materia | Instituto Federal de Acceso a la Información Pública y Protección de Datos (IFAI), principal autoridad en esta materia.
|
| Dato personal | Es cualquier información concerniente a una persona física identificada o identificable (artículo 3o, fracción V de la LFPDPPP) |
| Aviso de privacidad | Es un documento físico, electrónico o en cualquier otro formato, generado por el responsable del manejo de los datos y que es puesto a disposición del titular, previo tratamiento de sus datos personales (artículo 3o, fracción I de la LFPDPPP) |
| Consentimiento | Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos (artículo 3o, fracción IV de la LFPDPPP) |
| Responsable | Es la persona física o moral de carácter privado que decide sobre el tratamiento de datos personales (artículo 3o, fracción XIV de la LFPDPPP) |
| Datos sensibles | Son aquéllos que afectan la esfera más íntima del titular como: origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y preferencia sexual (artículo 3o, fracción VI de la LFPDPPP). El aviso de privacidad señalará expresamente que se trata de este tipo de datos |
| Prerrogativas al titular de los datos | Derechos del titular (artículos 17, 23, 25 y 27 de la LFPDPPP):
|
EFECTO FISCAL
Con la entrada en vigor de la factura electrónica a partir de 2011, todos los contribuyentes están obligados a emitir CFDI’s, sujetos a un proceso de certificación, sin embargo, existen disposiciones que permiten la expedición de diversos tipos: comprobantes digitales, o en papel con dispositivos de seguridad (código de barras bidimensional).
El proceso para emitir un CFDI, consta de cinco fases, como se esquematiza enseguida:
Ante este panorama, surgen dos interrogantes: si los PAC’s de CFDI’s, quienes por las facultades conferidas por la legislación fiscal tendrán a su alcance toda la información de los contribuyentes tales como: conocer sus datos de identificación (RFC, nombre o denominación social, y domicilio fiscal), monto de sus operaciones, así como de sus clientes, o sea, una serie de datos valiosos y confidenciales, ¿les aplica lo previsto en la LFPDPPP? En su caso, ¿es necesario que proporcionen un aviso de confidencialidad al titular de los datos previo a su tratamiento?
SALVAGUARDIA DE DATOS, ¿EN CFDI’S?
La normatividad que prevé la regulación, emisión, certificación, recepción y el uso de CFDI’s es la siguiente:
- Código Fiscal de la Federación (CFF)
- Resolución Miscelánea Fiscal (RMISC) 2011
- Anexo 20 de la RMISC 2010 (artículo cuarto transitorio vigente)
- Norma Oficial Mexicana número 151 vigente (NOM 151)
- LFPDPPP
La regla II.2.5.2.3., fracción I de la RMISC 2011 prevé que los PAC’s de CFDI’s están obligados a guardar absoluta reserva de la información contenida en los CFDI’s certificados, para ello, observarán lo dispuesto en la LFPDPPP.
La LFPDPPP contempla un resguardo de datos limitado, o sea, sólo protege los datos de las personas físicas (artículo 3o, fracción VI), excluyendo de su protección la información inherente a las morales.
Los PAC’s únicamente guardarán reserva respecto de la información de las personas físicas, estando obligados a proporcionar avisos de privacidad, pero no se requerirá del consentimiento del interesado porque la potestad de conocer y transferir los datos personales deviene de un mandato de ley en términos del artículo 29, fracción IV, párrafos segundo y tercero del CFF, en relación con el numeral 10, fracción IV de la LFPDPPP.
A los PAC’s tampoco les resulta aplicable la normatividad del secreto fiscal, al tener esa figura el objeto de salvaguardar la confidencialidad de los datos proporcionados por los contribuyentes al fisco federal, y aquéllos no tienen el carácter de autoridad, pues son particulares, aunque si bien dentro de sus obligaciones se encuentra el ofrecimiento de una garantía a favor de la Tesorería de la Federación, y el proteger la información a ellos proporcionada, no les pueden aplicar la figura en comento.
Por ello, se recomienda que los futuros usuarios de los CFDI’s se protejan exigiendo la celebración de un convenio de confidencialidad, donde se delimite perfectamente la información que se considera confidencial y la que no, incluso se puede pactar una cláusula de confidencialidad dentro de los contratos de prestación de servicios respectivos, donde se estipule alguna penalidad en caso de revelarse los datos inherentes a su identificación, monto de operaciones, clientes, así como en general cualquier dato confidencial, para así no quedar en un completo estado de indefensión.
De lo expresado anteriormente surge otro cuestionamiento, si se hace mal uso de los datos proporcionados al Servicio de Administración Tributaria (SAT), ¿se podrá demandar al Estado por el daño patrimonial causado al contribuyente? Para resolver la duda planteada se hacen las precisiones conducentes.
DAÑO PATRIMONIAL ¿IMPUTABLE AL ESTADO?
El poder de decisión consciente relativo al cuidado y límites del tratamiento de la información personal, implica un control que compone el núcleo esencial del derecho a la protección de datos, y en México nuestros legisladores han estado sumamente conscientes de ello. Así, han efectuado las inclusiones legislativas pertinentes en la Carta Magna, creando las bases para el resguardo de ese tipo de información, culminando en la creación de la LFPDPPP, como se observa enseguida, en:
- 2007 se publicó la reforma al artículo 6o, fracción I, donde se estableció que la información relativa a la vida privada y los datos personales será protegida en los términos y con las excepciones fijadas por las leyes
- junio de 2009 se dio a conocer la modificación al numeral 16, segundo párrafo incorporándose un párrafo destinado a la protección de datos personales
- abril de 2009 se incluyó la fracción XXIX-O al artículo 73, atribuyendo al Congreso de la Unión la facultad para legislar en materia de datos personales en posesión de particulares
Del marco constitucional apuntado se desprende que la protección a la vida privada y los datos personales tienen el carácter de una garantía individual inherente a los gobernados.
La responsabilidad patrimonial del Estado consiste en restaurar la integridad del patrimonio afectado mediante una compensación económica por el daño producido, se trata de un derecho sustantivo establecido en favor de los particulares, de forma directa y objetiva con motivo de la actividad administrativa irregular de ese ente (artículo 113, segundo párrafo Constitucional).
La diferencia entre la responsabilidad objetiva y la subjetiva radica en que, la última implica negligencia, dolo o intencionalidad en la realización del daño, además de estar regulada por las disposiciones del derecho civil, mientras la primera se apoya en la teoría del riesgo, donde hay ausencia de intencionalidad dolosa en la actuación del servidor público, centrándose en los actos propios de la administración realizados de manera anormal o ilegal, o sea, sin atender a las condiciones normativas o a los parámetros creados por la propia administración.
La Ley Federal de Responsabilidad Patrimonial del Estado (LFRPE) es reglamentaria del numeral 113 Constitucional, segundo párrafo, cuya finalidad es fijar las bases y procedimientos para reconocer el derecho a la indemnización a quienes sin obligación jurídica de soportarlo, sufran daños en su bienes y derechos.
Esa responsabilidad es extracontractual al surgir por ministerio de ley, sin ser indispensable acreditar la conducta dolosa o culposa del servidor público, además, el Estado no cuenta con los beneficios de orden y excusión.
Para estar en posibilidades de reclamar la responsabilidad patrimonial del Estado es indispensable considerar algunos elementos esenciales para conseguir la pretensión de obtener el resarcimiento, mismos que se abordan a continuación.
PRESENTACIÓN DE LA DEMANDA
El órgano del Poder Judicial competente para dirimir las controversias en materia de responsabilidad patrimonial del Estado es el Tribunal Federal de Justicia Fiscal y Administrativa, ello se afirma de la interpretación conjunta de los artículos 14, fracción XV de la Ley Orgánica de ese Tribunal, 1o, 17, 18, 19, 20, 21, 22 y 23 de la LFRPE.
La naturaleza jurídica de la responsabilidad patrimonial consiste en analizar la reclamación de una supuesta actividad administrativa irregular del Estado la cual cause daño en los bienes y derechos de los particulares que no tengan obligación jurídica de soportar, en virtud de no existir fundamento legal o causa jurídica de justificación para legitimar el menoscabo, por ello, no es exigible una resolución definitiva, ni mayores requisitos para su procedencia.
REQUISITOS DE PROCEDENCIA
Es necesario el cumplimiento de las exigencias legales para su operatividad, a saber, acreditar1:
- la existencia real del daño imputable al Estado
- el incumplimiento de un deber por acción o por omisión (la falta de servicio)
- el nexo causa-efecto entre la actividad estatal y los daños y perjuicios efectivamente producidos por ella
El derecho a reclamar la indemnización prescribe en un año contado a partir del día siguiente a aquél en el cual se hubiera producido la lesión patrimonial, o cuando hubiesen cesado los efectos lesivos (artículo 25 de la LFRPE).
CARACTERÍSTICAS DEL DAÑO Y PERJUICIO
Para que proceda la indemnización, los daños y perjuicios tendrán las siguientes características (artículo 4o de la LFRPE), ser:
- de aquéllos que el particular no tenga la obligación jurídica de soportar
- reales y susceptibles de valuarse en dinero
- directamente relacionados con una o varias personas
- desiguales a los que pudieran afectar al común de la población
SOLUCIÓN A LA PROBLEMÁTICA
Con este marco conceptual, y retomando el cuestionamiento planteado en párrafos precedentes relativo a si el PAC hace mal uso de los datos proporcionados por el contribuyente, es posible reclamar del Estado responsabilidad patrimonial por el daño causado al particular.
Los PAC’s no tienen la calidad de servidores públicos, pues se trata de particulares que obtienen permiso del fisco federal para llevar a cabo la validación de los datos contenidos en los CFDI’s y, en caso de ser correctos, la incorporación de los siguientes datos:
- el folio asignado por el SAT
- fecha y hora de certificación
- número de serie del certificado digital del SAT
- sello digital del CFDI
- número de serie del certificado digital del SAT con el cual se realizó la certificación
Entonces, si el PAC divulga o hace mal uso de la información proporcionada por el contribuyente no es jurídicamente válido sostener que el Estado deba responder en términos de la LFRPE, por el daño causado al particular, toda vez que a pesar de materializarse una conducta inadecuada respecto del manejo de los datos personales del afectado, quien efectivamente acciona esa conducta, es un particular no un servidor público con motivo de la actividad administrativa irregular de la nación.
Además, para ejercitar alguna acción en contra del PAC se observarán las disposiciones de derecho común, pues se trata de una prestación de servicios desligada de la autoridad fiscal, tan es así que el propio afectado tuvo la libertad de elegir a quien contratar para efectuar el procedimiento de timbrado del CFDI (validación e inclusión de datos en ese documento).
No obstante, si la conducta consistente en divulgar o hacer mal uso de la información del contribuyente es imputable a un servidor público, el Estado sí responderá por la afectación causada en los bienes o derechos del particular con motivo de su actividad irregular, independientemente del procedimiento de responsabilidad administrativo que se inicie en contra del empleado del SAT, ya que el propósito de la responsabilidad patrimonial no es regular un acto de la autoridad emitido en ejercicio de sus atribuciones e investida de imperio frente al sujeto con derecho a la indemnización, sino determinar si procede condenar al pago de ésta por el perjuicio causado (artículos 1o, segundo párrafo, 2o y 31 de la LFRPE).
En el ejemplo descrito procedería la reclamación por la responsabilidad patrimonial del Estado, pues únicamente está supeditada a la demostración de la existencia de un acto administrativo irregular causando un menoscabo al contribuyente, quien no tiene la obligación de soportarlo.
Al no ser indispensable acreditar la conducta dolosa o culposa del servidor público en el supuesto indicado, se comprobaría el actuar irregular del Estado, por el hecho de haber salido de la esfera de control de la Secretaría de Hacienda y Crédito Público a través del SAT la información personal del contribuyente solicitada para llevar a cabo su función fiscalizadora, pues la Carta Magna categóricamente contempla como garantía de los gobernados la protección de datos contraviniendo lo previsto en los artículos 6o y 16 Constitucionales, sin importar que exista o no una responsabilidad imputable al servidor público quien divulgó o hizo mal uso de la información puesta a su disposición.
De una interpretación controvertible podríamos afirmar que en cuanto a las personas morales, al no estar protegidas en términos de la LFPDPPP, se encuentran en un estado de inseguridad jurídica frente a las físicas, y en ese tenor le es imputable al Estado el menoscabo que llegase a presentarse si un PAC hace uso indebido de la información de ese tipo de contribuyentes, pues a él le es atribuible la falta de normatividad relativa al resguardo de esos datos al consagrarse como una garantía individual de su titular prevista en nuestra Constitución.
Para que pueda hablarse propiamente de un Estado de Derecho, de acuerdo con el autor Payne J. Mark Alonso, en su obra “Evaluación de la gobernabilidad democrática”, es necesario el cumplimiento de los siguientes requisitos:
- la existencia de un orden jurídico estructurado al que se encuentren sometidos las actuaciones del Estado
- el reconocimiento de los derechos públicos subjetivos de los gobernados (garantías individuales –protección de datos personales–)
- el establecimiento de los medios idóneos para la defensa de esas prerrogativas
- un sistema de responsabilidad patrimonial del Estado
Entonces, considerando esos elementos, se concluye que las personas morales sí podrán reclamar del Estado su responsabilidad patrimonial cuando se vean afectadas por el uso indebido de su información personal, pues como se indicó, se contarían con los dispositivos idóneos para su defensa, además no tendrían la obligación jurídica de soportar esa actividad irregular del Estado.
Ello es así, pues dentro de las funciones del Estado se encuentra la de garantizar la seguridad jurídica de sus gobernados (protección de datos personales), a través del Congreso de la Unión que es el encargado de regular lo concerniente a esa garantía individual, así como a la Secretaría de Hacienda y Crédito Público mediante el SAT, órgano encargado de aplicar la legislación fiscal y aduanera, quien al crear el esquema de factura digital en la modalidad de los CFDI’s e incluir en ese proceso a un tercero con carácter de particular (PAC) quien manejará datos personales, omitiendo crear las disposiciones necesarias para salvaguardar esa información de las empresas, a pesar de existir un mandato constitucional para su resguardo, es justamente cuando se materializa la actividad irregular de la administración pública, al crear un caso de riesgo injustificado para el particular.
Sin embargo, el gobierno mexicano podría argumentar que el mal uso que se haga de los datos, si no interviene directamente un servidor público, no es su responsabilidad, por ende, resultaría improcedente el exigir cualquier indemnización. Los tribunales deberán definir en su momento esta grave falla normativa del Estado mexicano.
COROLARIO
La protección de datos es un derecho fundamental inherente al titular de ellos consagrado en nuestra Carta Magna, así como una obligación para el responsable de su tratamiento, otorgando la prerrogativa de la autodeterminación informativa, o sea, el conocer y decidir quién, cómo y de qué manera recaba y utiliza la información personal, y en ese tenor, la autoridad hacendaria debiera incluir en la normatividad fiscal expresamente candados para no divulgar o hacer mal uso de los datos de las personas morales por parte de los PAC’s para no dejarlas en estado de inseguridad jurídica y desigualdad frente a las físicas.
1 Castro Estrada, Álvaro. Responsabilidad Patrimonial del Estado, Segunda Edición, Ed. Porrúa, México 2000, p. 67.
