Diversos instrumentos de carácter internacional protegen los derechos de las personas, entre los que se encuentran la Carta de Derechos Fundamentales de la Unión Europea, la cual previene que la protección de los datos de carácter personal se configura como un derecho fundamental y como un derecho autónomo del derecho a la intimidad y a la privacidad de las personas, y las recomendaciones que sobre la materia ha realizado la Organización para la Cooperación y el Desarrollo Económico (OCDE). Asimismo, la Cumbre Mundial de la Sociedad de la Información hizo un llamamiento para pedir normas mundiales para la privacidad: ?? para garantizar el respeto a la privacidad y a la protección de información y datos personales, ya sea mediante la adopción de legislación, la aplicación de marcos de colaboración, mejores prácticas y medidas tecnológicas y de autorregulación por parte de empresas y usuarios?.
Como consecuencia de lo anterior, la Constitución Política de los Estados Unidos Mexicanos consagra como derecho fundamental, en el segundo párrafo de su artículo 16, la protección a los datos personales: ?Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros?.
Por ello, fue aprobado por las Cámaras de Senadores y Diputados el Decreto por el que se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), que al cierre de esta edición está pendiente de publicación en el Diario Oficial de la Federación.
Tal Decreto dispone que en el derecho a la protección de datos personales va implícito el de la seguridad de su persona, que está protegido en el artículo 12 de la Declaración Universal de los Derechos Humanos, al señalar: la persona tiene el derecho a no ser objeto de injerencias en su vida privada y familiar su domicilio o su correspondencia, ni de ataques a su honra o a su reputación, gozando del derecho a la protección de la ley contra tales injerencias o ataques. De lo anterior, surge el derecho a la protección de datos personales.
El objetivo es garantizar, conforme a los estándares internacionales, un nivel de protección de datos personales adecuado al preveer principios y derechos de protección, a través de la LFPDPPP, y una autoridad independiente que los garantice: el Instituto Federal de Acceso a la Información y Protección de Datos Personales ?IFAIPDP? (antes sólo IFAI).
Para qué y a quién
La LFPDPPP protege los DPPP y regula su tratamiento legítimo, controlado e informado, para garantizar la privacidad y el derecho a la autodeterminación informativa de las personas (artículo ?Art.?1o).
Esta ley se aplicará a los particulares, personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, pero se exceptúan las:
-
sociedades de información crediticia (SIC)
-
personas que lleven a cabo la recolección y almacenamiento de datos personales, para uso exclusivamente personal, y sin fines de divulgación o utilización comercial
Respecto de las SIC, también se exceptúan sus usuarios, es decir, las entidades financieras, empresas comerciales o sociedades financieras de objeto múltiple, quienes recaban información sobre el comportamiento y desempeño de los acreditados, y tienen que proveer de dicha información sólo para efectos de lo dispuesto en la Ley para Regular las SIC. Por ende, las transferencias de información que el usuario da a las SIC no debe verse afectada por la entrada en vigor de la LPDPPP, pues su finalidad es garantizar el buen funcionamiento del sistema financiero mexicano.
En cuanto al segundo supuesto, no es claro a quién va dirigido, aunque en la iniciativa se menciona como sujeto a quien cuenta con agendas u otro tipo de listados de información personal, sin aclarar realmente su alcance.
Definiciones relevantes
| Concepto | Descripción |
| Aviso de privacidad | Documento físico, electrónico o en cualquier otro formato, generado por el responsable y que se entrega al titular de los datos personales, antes de su tratamiento |
| Bases de datos | Conjunto ordenado de datos personales referentes a una persona identificada o identificable |
| Bloqueo | Identificación y conservación de datos personales, cumplida la finalidad para la cual fueron recabados, para determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual. En este período, los datos no podrán ser objeto de tratamiento, y posteriormente se procederá a su cancelación |
| Consentimiento | Manifestación de la voluntad del titular de los datos mediante la cual se efectúa su tratamiento |
| Datos personales | Cualquier información concerniente a una persona física identificada o identificable |
| Datos personales sensibles | Los datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida puedan dar origen a discriminación o conlleve un riesgo grave para éste. Son sensibles los que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futura, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.En este tenor debe entenderse como íntimo o intimidad, según el Diccionario de la Real Academia Española, la zona espiritual íntima y reservada de una persona o de un grupo, especialmente de una familia |
| Encargado | Persona física o jurídica que, sola o conjuntamente con otras, trate datos personales por cuenta del responsable |
| Instituto | Instituto Federal de Acceso a la Información y Protección de Datos, antes denominado Instituto Federal de Acceso a la Información Pública.Al concebir la LFDPPP, se hizo referencia a dicho Instituto de la forma señalada, modificación que motivó la reforma la Ley Federal de Acceso a la Información Pública Gubernamental |
| Responsable | Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales. Se considera que tal tratamiento debe efectuarse de acuerdo con el aviso de privacidad, por lo que el responsable no puede decidir libremente sobre ello |
| Titular | La persona física a quien corresponden los datos personales |
| Tratamiento | La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales |
| Transferencia | Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento(Art. 3o) |
Derechos que otorga la nueva Ley
En el tratamiento de los datos personales se deben observar los principios de (Art. 6o):
-
licitud; realizarse con legalidad y respeto de la buena fe y derechos del individuo. Por ende, se prohíbe cualquier tratamiento que implique recabar o conservar los datos mediante engaño o fraude (Art. 7)
-
consentimiento; debe ser previo, libre, inequívoco, e informado, que pueda ser revocado en cualquier momento, sin exigir mayores requisitos que los necesarios para su otorgamiento. Podrá ser tácito, concedido por los hechos o actos que lo presupongan, excepto en los casos que por ley o convenio deba ser expreso, y será de esta forma cuando se manifieste por escrito, medios electrónicos, ópticos, cualquier otra tecnología o signos inequívocos (Arts. 8 a 10)
-
información; permite a la persona conocer el tratamiento de sus datos personales y ejercer los derechos reconocidos relacionados. Este derecho se materializa a través del aviso de privacidad, el cual se dará a conocer al recolectar los datos personales (Arts. 14 al 17)
-
calidad; los datos personales serán veraces, exactos y actualizados, que reflejen la realidad de la información (Art. 11)
-
finalidad; el tratamiento de los datos personales se limita al cumplimiento de las finalidades previstos en el aviso de privacidad; si se utilizan para un fin distinto, se debe recabar nuevamente el consentimiento (Art. 12)
-
lealtad; no se crearán bases de datos con datos personales sensibles, sin justificar su creación para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que se persigan (Art. 9)
-
proporcionalidad; los datos sólo deben ser los adecuados y necesarios para la finalidad que justifica su tratamiento, y quien lo haga considerará la mínima cantidad de información necesaria para conseguir su objeto (Art. 13)
-
responsabilidad, corresponde a la entidad o persona responsable velar por el cumplimiento de los principios y rendir cuentas al titular en caso de incumplimiento. El responsable tomará todas las previsiones para que los datos sean tratados de acuerdo con la voluntad del dueño de la información y bajo las medidas de seguridad previstas contractualmente (Art. 14)
Exclusión del consentimiento
El artículo 10 indica los supuestos por los cuales no será necesario el consentimiento para el tratamiento de los datos personales, cuando:
-
esté previsto en una Ley
-
figuren los datos en fuentes de acceso público
-
se sometan a un procedimiento previo de disociación
-
tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable
-
exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes
-
sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud (LGS), y demás disposiciones jurídicas aplicables y que el tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente
-
se dicte resolución de autoridad competente
ALCANCES EN MATERIA DE SALUD
Conforme al artículo 17 del Reglamento de la LGS en Materia de Prestación de Servicios de Atención Médica, adicionalmente, respecto de los datos personales que recabe el médico en ejercicio de su profesión, está obligado a guardar el secreto sobre los asuntos que sus pacientes le confían, así como de aquella información médica que se encuentren en sus expedientes clínicos, salvo que alguna autoridad judicial requiera de dicha información respetando el derecho a la privacidad. Por lo que en caso de revelar secretos íntimos de su paciente sin su consentimiento, o proporcionar información de su expediente clínico a una tercera persona sin interés legítimo, pudiera resultar una responsabilidad civil del médico.
Toda la información contenida en el expediente clínico debe manejarse con discreción y confidencialidad, atendiendo a los principios científicos y éticos que orientan la práctica médica, y sólo podrá darse a conocer a terceros mediante orden de autoridad competente o de la Comisión Nacional de Arbitraje Médico, en caso de arbitraje.
Transmisión de datos
El responsable podrá transferir los datos personales, a personas físicas o morales, ya sean nacionales o extranjeras, siempre que así lo hubiese aceptado su titular en el aviso de privacidad; en tal virtud, el manejo de los datos se hará conforme a lo convenido en dicho aviso. Asimismo, el receptor de los datos asumirá las mismas obligaciones que tenía el responsable quien transfirió los datos.
Por lo anterior, la transferencia nacional o internacional no se realizará sin el consentimiento de su titular, excepto cuando ésta:
-
esté prevista en una Ley o Tratado en los que México sea parte
-
sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios
-
se efectúe a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas
-
sea necesaria: por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero, o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia
-
sea precisa para el: reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, o mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular
Sanciones
En caso del incumplimiento de los principios mencionados, e incurrir en alguna infracción, se impondrán las sanciones indicadas (Arts. 63 al 65):
| Infracción | Sanción |
| Incumplir con la solicitud del titular para el acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales | Apercibimiento, para que el responsable lleve a cabo los actos solicitados por el titular |
|
Multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal (SMVDF), es decir, de $5,746.00 a $9´193,600.00 |
|
Multa de 200 a 320,000 días de SMVDF, de $11,492.00 a $18´387,200.00 |
|
No se establece sanción, lo cual denota una deficiencia en la técnica legislativa |
Si de manera reiterada persisten las infracciones citadas, se impondrá una multa adicional que irá de 100 a 320,000 días de SMVDF (de $5,746.00 a $18´387,200.00). Tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones se incrementarán hasta por dos veces, independientemente de la responsabilidad civil o penal.
Delitos por tratamiento indebido de DP
| Conducta | Pena |
| Quien, estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo custodia (Art. 67) |
De tres meses a tres años de prisión. Si se tratare de datos sensibles, esta pena se duplicará (Art. 69) |
| Quien, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos (Art. 68) |
Prisión de seis meses a cinco años. Si se tratare de datos sensibles, esta pena se duplicará (Art. 69) |
Independientemente de las penas contenidas en la LPDPPP, el Código Penal Federal prevé, en el artículo 211 bis 5, algunas penas para las conductas aplicables a las personas que vulneren los datos contenidos en los sistemas de equipos de informática de las instituciones integrantes del sistema financiero (usuarios de las SIC como instituciones bancarias, sociedades financieras de objeto múltiple, instituciones de crédito, de seguros y fianzas, almacenes generales de depósito, arrendadoras financieras, sociedades de ahorro y préstamo, sociedades financieras de objeto limitado, uniones de crédito, empresas de factoraje financiero, casas de bolsa y otros intermediarios bursátiles, casas de cambio, administradoras de fondos de retiro y cualquier otro intermediario financiero o cambiario, y en general cualquier otra entidad financiera otorgante de crédito), y que autorizadas accedan a tales sistemas y los equipos, e indebidamente:
-
modifiquen, destruyan o provoquen la pérdida de la información que contengan, se le impondrán una pena de seis meses a cuatro años de prisión y de 100 a 600 días multa (de $5,746.00, hasta $34,476.00)
-
copien la información que contengan, se le impondrán de tres meses a dos años de prisión y de 50 a 300 días multa (de $2,873 a $17,238)
Las referidas penas se incrementarán en una mitad cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero.
Si bien es cierto que la entrada en vigor, en su caso, no afectará la transmisión de datos entre las entidades financieras y las SIC, también lo es que deben tener el debido cuidado por resguardar los datos de sus clientes.
Cobertura de daños por responsabilidad
En el artículo 66 se dispone que las sanciones señaladas, se impondrán sin perjuicio de la responsabilidad civil o penal que resulte. Si bien es cierto que lo anterior posibilita al titular de los datos promover ante un tribunal civil o penal el pago de los daños y perjuicios por haberse afectado su persona y/o intimidad, también lo es que las autoridades tendrán que especificar si la demanda podrá interponerse paralelamente al procedimiento de imposición de sanciones, o tendrán que ?esperar? la resolución del IFAIPDP. Se considera que debieran hacerlo al mismo tiempo, pues la sanción impuesta por el Instituto se destina al erario público, pero el daño causado al particular no queda cubierto con ello.
Ante una interrogante de la naturaleza comentada, ya se han pronunciado los tribunales federales, aunque en materia de propiedad industrial, resolviendo que primeramente deberá pronunciarse la autoridad administrativa, para que posteriormente sean las autoridades judiciales quienes conozcan del juicio por la acción de reclamación de indemnización de daños y perjuicios (criterio visible en la jurisprudencia intitulada ?PROPIEDAD INDUSTRIAL. ES NECESARIA UNA PREVIA DECLARACIÓN POR PARTE DEL INSTITUTO MEXICANO DE LA PROPIEDAD INDUSTRIAL, SOBRE LA EXISTENCIA DE INFRACCIONES EN LA MATERIA PARA LA PROCEDENCIA DE LA ACCIÓN DE INDEMNIZACIÓN POR DAÑOS Y PERJUICIOS?, a consultar en el Semanario Judicial de la Federación y su Gaceta, Novena Época, Tomo XIX, Tesis 1a./J.13/2004, mayo de 2004, página 365).
Real protección y confidencialidad de datos
Los responsables deben designar a la persona o departamento de datos personales que expedirán los avisos de privacidad a los titulares de datos personales a más tardar un año después de la entrada en vigor de la presente Ley.
Conforme al tercer artículo transitorio referido, los avisos de privacidad que señalan el uso, divulgación o almacenamiento de datos personales, así como el acceso, manejo, aprovechamiento, transferencia o disposición de los mismos, se encomendará a un departamento después de un año; sin embargo, no señala si la protección de los datos personales será retroactiva a la fecha en que tal responsable los obtuvo; en caso de ser negativo, los particulares se verían afectados en su derecho a la privacidad y protección de los mismos, vulnerándose la garantía tutelada en el artículo 16 de la Constitución.
En este sentido, la duda se amplía, pues el artículo cuarto transitorio previene que ?los titulares de los derechos ejercerán ante los responsables sus derechos de acceso, rectificación, cancelación y oposición; así como dar inicio, en su caso, al procedimiento de protección de derechos, 18 meses después de la entrada en vigor de la Ley?; mientras tanto ¿qué protección se ofrece al titular?
Adicionalmente, es de comentar que el contrato del trabajador o trabajadores del área responsable de los datos personales, debe contener una cláusula especial que prevea los cuidados, tratamiento, guarda y custodia de los datos que manejen, así como las sanciones en las que podrían incurrir por manejarlos indebidamente; es decir, una cláusula de confidencialidad de la información.
Estados que protegen datos personales
El artículo quinto transitorio abroga las disposiciones locales en materia de protección de datos personales en posesión de los particulares, y deroga las disposiciones que se opongan a la LPDPPP. Al respecto, sólo los estados de Colima, Guanajuato, Oaxaca, Tlaxcala y el Distrito Federal cuentan con una Ley de Protección de Datos Personales, y sólo en Colima aplica a la protección de los datos en manos de particulares, por lo que las disposiciones respectivas deben derogarse; en los estados restantes se aplican a los datos de carácter personal que sean registrados en cualquier soporte por parte del sector público en el Estado, y éstas sí permanecerán vigentes.
Carga de la prueba en la protección de datos
Los artículos 45 al 58 de la LPDPPP prevén el procedimiento que seguirá el titular de los datos personales en caso de que el responsable no emita respuesta o no proceda conforme a la solicitud de acceso, rectificación, cancelación u oposición de los datos, pero quedan dudas. Por ejemplo, en caso de que el titular hubiere negado su acceso en el aviso de privacidad, y el responsable hubiera transmitido los datos a un tercero. Si el responsable niega la versión del titular, ¿de qué manera podría éste probar su dicho si no cuenta con el aviso respectivo, y/o nunca fue puesto a su disposición por ningún medio? En este tenor, el titular nuevamente podría quedar en estado de indefensión. En este supuesto se considera que es a cargo del responsable probar que sí envió el aviso de privacidad o lo puso a disposición del titular.
Profeco Vs. IFAIPDP
Como ya se indicó, la transmisión de los datos personales sin el consentimiento expreso del titular, tiene como consecuencia la imposición de una multa, que podrá ir de $11,492.00 a $18´387,200.00, de acuerdo con la LFPDPPP. Por otro lado, la Ley Federal de Protección al Consumidor (LFPC) dispone en el artículo 76 Bis, fracción I, que en las transacciones efectuadas a través del uso de medios electrónicos, ópticos o de cualquier otra tecnología, el proveedor utilizará la información proporcionada por el consumidor en forma confidencial, por lo que no podrá difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de la autoridad competente; de incumplir esta obligación podría imponerse una multa que podría ir de $571.94.68 a $2?236,925.40, (Art. 128 de la LFPC).
Como se puede apreciar, existen dos procedimientos que el titular de los datos personales pudiera seguir en contra del responsable, previstos en la LPDPPP y LFPC, ambas legislaciones de índole federal. Ante ello, surge el cuestionamiento de si ¿deben seguirse los procedimientos que tales leyes prevén para sancionar la misma conducta, y por tanto aplicar dos multas? Dicha situación podría dar lugar a que el responsable interponga los medios de defensa correspondientes para impugnar tales procedimientos, por considerarse incluso que es ?juzgado dos veces por la misma conducta?. Por lo tanto cabe la duda de ¿qué ley prevalece entonces?
Corolario
Si bien pareciera que los datos que manejan nuestros proveedores, sean comercializadoras e incluso bancos, estarán más seguros con esta nueva Ley, hay muchas interrogantes respecto de su aplicación, ya sean para nuestra propia protección e inclusive hasta para sancionar a quienes hagan mal uso de la información. Hay que esperar la publicación de la Ley en el Diario Oficiual de la Federación, si es que el titular del Ejecutivo no hace ejercicio del derecho de veto; las autoridades encargadas de su aplicación se enfrentarán a los contratiempos mencionados.
