Ley Federal de Protección de Datos Personales y Derecho de Acceso a la

Información.

Dr. Alfonso Páez Álvarez

Culiacán, Sinaloa, 2012

Plan de exposición I. ¿Cómo surge el derecho?

II. ¿En qué consiste el derecho?

III. Protección de datos personales en México

I. ¿Cómo surge el derecho?

Informática versus protección datos personalesO Primera aproximación: reconocimiento del

derecho a la vida privada y familiar (no injerencia).

O Derecho a la autodeterminación.

O Tensión entre el uso cada vez más generalizado de la informática y el riesgo que implica para la vida privada.

O Incorpora a los principios esenciales del derecho a la privacidad el del consentimiento.

II. ¿En qué consiste el derecho?

Protección de datos personales ≠ privacidad e

intimidadO Derecho a la privacidad e intimidad: protege a la esfera privada e íntima de cualquier injerencia (derecho a estar solo).

O Derecho a la protección de datos personales: poder de disposición y control de la información personal, faculta a la persona para decidir cuáles datos proporcionar a un tercero; saber quién y para qué posee esos datos, y oponerse a esa posesión o uso (derecho a la autodeterminación informativa).

Entonces, la protección de datos personales…

Es el derecho que tiene toda persona a conocer y decidir quién, cómo y de qué manera recaba, utiliza y comparte sus datos personales.

Conceptos básicos

¿Qué son los datos personales?

Toda información concerniente o relativa a una persona física identificada o identificable.

EjemplosO Identificación

O Nombre, edad, domicilio, sexo, RFC, CURP...O Patrimoniales

O Cuentas bancarias, saldos, propiedades...O Salud

O Estados de salud físicos y mentales...O Biométricos

O Huellas dactilares, iris, voz, firma autógrafa...O Íntimos

O Ideología, afiliación política, religión, preferencia sexual...

Datos personales sensibles

O Revelan aspectos íntimos o particulares de las personas:

• El origen racial o étnico.• El estado de salud presente y futuro.• La información genética.• Las creencias religiosas, filosóficas y morales.• La afiliación sindical.• Las opiniones políticas.• La preferencia sexual.

O Los datos personales sensibles o especialmente protegidos al revelar aspectos muy íntimos y particulares de la vida privada de las personas, merecen de medidas de protección más exigentes y robustas.

Otros conceptos importantes…OTitular: persona física a quien corresponden los datos personales.

OBases de datos: conjunto ordenado de datos personales referentes a una persona identificada o identificable.

OTratamiento: obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

OResponsable: persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.

OEncargado: persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.

O Transferencia: toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.

Principios

Licitud y LealtadEl tratamiento de los datos personales deberá llevarse con pleno cumplimiento de:

O Legalidad; O Respeto a la buena fe y O Los derechos del individuo cuya

información es sometida a tratamiento.

FinalidadOTratamiento en el ámbito de

finalidades determinadas, explícitas y legítimas.

OEl tratamiento para fines distintos a los establecidos en el aviso de privacidad requiere consentimiento.

ProporcionalidadO Sólo se deberán recabar los datos adecuados

o necesarios para la finalidad que justifica el tratamiento.

O El tratamiento obedecerá a tratar la mínima cantidad de información necesaria para conseguir la finalidad perseguida.

CalidadO Datos pertinentes, correctos y actualizados.

O Datos que reflejen la realidad.

Información

ODar a conocer a los titulares la existencia del tratamiento y sus características.

O En términos fácilmente comprensibles y previo a la recolecta de los datos.

O A través del aviso de privacidad por diversos medios.

Información…

El principio de información se materializa en el aviso de privacidad, que informa al titular sobre:

O Identidad y domicilio del responsable que recaba sus datos;

O Finalidades del tratamiento de datos; O Medios para ejercer los derechos de

acceso, rectificación, cancelación u oposición;

O Transferencias de datos, y O Cambios al aviso.

ConsentimientoO La voluntad del titular es la causa principal

legitimadora del tratamiento de los datos personales.

O Excepciones: la ley, celebración de un contrato…

O Aunque en la mayoría de los casos el consentimiento es tácito, la manifestación deberá ser libre, específica, inequívoca e informada.

ResponsabilidadODeber de la persona

responsable del tratamiento de los datos de velar por el cumplimiento de los principios y rendir cuentas al titular en caso de incumplimiento.

Deberes

Deber de seguridadOObligación de adoptar las medidas

necesarias para garantizar la integridad, confidencialidad y disponibilidad de los datos personales mediante acciones que eviten su alteración, pérdida, transmisión y acceso no autorizado.

Obligaciones en materia de seguridad de las bases de

datos…O Todo responsable deberá establecer y mantener medidas

de seguridad de carácter administrativo, técnico y físico que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso, o tratamiento no autorizado.

O Los responsables no deberán adoptar medidas de seguridad menores a aquellas que mantengan para el manejo de su información.

O Para la implementación de dichas medidas éstos deberán tomar en cuenta factores como riesgo existente y posibles consecuencias para los titulares, la sensibilidad de los datos personales y el desarrollo tecnológico.

Las medidas de seguridad deberán atender…

OLa sensibilidad de la información personal (nivel básico, medio y alto).

OEl tipo de soporte de las bases de datos (físico, automatizado o mixto).

Vulneraciones de seguridad de las bases de datos…

OLas vulneraciones de seguridad deberán ser informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.

Deber de confidencialidad

OSecreto, discreción, confidencialidad y custodia al que está obligada toda persona que maneja, usa, recaba o transfiere datos personales en cualquier fase del tratamiento.

Derechos

Derechos (ARCO)

OAccesoORectificaciónOCancelaciónOOposición

Acceso

Derecho del titular a obtener información sobre sí, así como si la misma está siendo objeto de tratamiento y el alcance del mismo.

Rectificación

Derecho del titular a que se modifiquen los datos que resulten ser inexactos o incompletos.

Cancelación

Derecho del titular que da lugar a que se supriman los datos que resulten ser inadecuados o excesivos.

BloqueoO Identificación y conservación de datos

personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades por su tratamiento, hasta el plazo de prescripción legal o contractual.

O Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación.

Oposición

Prerrogativa que consiste en oponerse al uso de datos personales para una determinada finalidad.

III. Protección de datos personales en

México

Garantía fundamental

Constitución Política de los Estados Unidos Mexicanos

El artículo 6 constitucional reconoce el derecho de acceso a la información como una garantía fundamental y se constituye como limitante al ejercicio del derecho de acceso a la información, señala que:

• La información a que se refiere la vida privada será protegida en términos de ley respectiva, y

• Toda persona tiene derecho a acceder y rectificar sus datos personales.

Constitución Política de los Estados Unidos Mexicanos

El artículo 16 constitucional incorpora a la lista de garantías fundamentales consagradas en nuestra Carta Magna, el derecho a la protección de datos personales: “Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición…”

El artículo 73 constitucional dota de facultades al Congreso de la Unión para legislar en materia de protección de datos personales en posesión de particulares.

En el sector público federal y estatal…

LFTAIPGO Reconoce por primera vez en México la protección

de los datos personales.

O Se limita a las bases de datos del sector público a nivel federal.

O Es a la vez, una ley de acceso a la información y una ley de protección de datos personales (limitada en su ámbito de aplicación).

O Su capítulo IV establece un marco muy general que regula la obtención, almacenamiento, transmisión, uso y manejo de los datos personales en posesión de dependencias y entidades federales.

A nivel estatalO Los estados de Colima, Jalisco y Tlaxcala

cuentan con leyes de protección de datos para el sector público y privado.

O Los estados de Guanajuato, Coahuila, Oaxaca, Distrito Federal y Morelos sólo regulan la protección de datos personales en posesión del sector público.

O La mayoría de las legislaciones estatales contienen un capítulo de protección de datos personales en sus leyes de transparencia.

En el sector privado

LFPDPPP

2010, un año clave…O El 13 de abril de 2010 la Cámara de Diputados

aprobó el proyecto de decreto por el que se expide la Ley Federal de Protección de Datos Personales en posesión de los particulares.

O Por su parte, la Cámara de Senadores aprobó por unanimidad dicho dictamen, el 27 de abril de 2010.

O Finalmente, el 5 de julio de 2010 el Poder Ejecutivo Federal publicó en el Diario Oficial de la Federación la Ley.

Ejes rectores de la ley

1. Ámbito de aplicación2. Principios y derechos3. Ejercicio de los derechos ARCO4. Transferencias de datos5. Autoridades:

• Garante y• Reguladoras

6. Procedimientos:• Protección de datos• Verificación• imposición de sanciones

7. Infracciones y sanciones.8. Delitos en materia de tratamiento indebido.

Objeto y ámbito de aplicación

La ley es de observancia obligatoria en todo el territorio nacional y tiene por objeto regular el tratamiento legítimo, controlado e informado de los datos personales en posesión de los particulares.

Sujetos regulados Personas físicas o morales que para sus actividades cotidianas recaben, manejen y utilicen información personal, con excepción de:

• Las Sociedades de Información Crediticia.• Las personas que recolectan y almacenan

datos personales para uso exclusivamente personal o doméstico.

Principios y derechosO Principios: Licitud, consentimiento,

información, calidad; finalidad, lealtad, proporcionalidad y responsabilidad

O Derechos ARCO

O Deber de seguridad

O Deber de confidencialidad

IFAI como autoridad garante

Facultades del IFAI como autoridad garante

O InformativasO NormativasO De verificaciónO Preventivas O ResolutoriasO De cooperación nacional e internacionalO Sancionadoras

IFAI como autoridad garante

Sus facultades informativas:

O Proporcionar apoyo técnico a los responsables que los soliciten para el cumplimiento de las obligaciones establecidas en la Ley.

O Rendir al Congreso de la Unión un informe anual de sus actividades.

O Desarrollar, fomentar y difundir análisis, estudios e investigaciones en materia de protección de datos personales en posesión de los particulares.

IFAI como autoridad garante

Sus facultades normativas:

O Interpretar en el ámbito administrativo la ley.

O Emitir criterios y recomendaciones para garantizar el pleno derecho a la protección de datos personales.

O Divulgar estándares y mejores prácticas internacionales en materia de seguridad de la información.

IFAI como autoridad garante

Sus facultades en materia de verificación:O Vigilar y verificar el cumplimiento de la ley.

Sus facultades resolutorias:O Conocer y resolver los procedimientos de

protección de derechos, verificación e imposición de sanciones.

Sus facultades preventivas:O Elaborar estudios de impacto sobre la

privacidad previos a la puesta en práctica de una nueva modalidad de tratamiento de datos personales o a la realización de modificaciones sustanciales en tratamientos ya existentes.

IFAI como autoridad garante

Sus facultades en materia de cooperación nacional e internacional:

O Acudir a foros internacionales en la materia.

O Cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en materia de protección de datos personales.

Sus facultades sancionadoras:O Llevar a cabo el procedimiento de

imposición de sanciones

Procedimientos

Ejercicio de los derechos ARCO

Procedimiento

Titular o Representante

Solicitud

Responsable

Requisitos de la solicitud

o Nombre del titular y domicilio u otro medio para recibir comunicaciones;

o Copia de su identificación o documento que acrediten la personalidad del representante;

o La descripción clara y precisa de los datos personales;

o En el caso de solicitudes de rectificación se deberá señalar las modificaciones a realizar y aportar la documentación que sustente la petición;

o En el caso de solicitudes de cancelación y oposición, especificar las razones por las que quiere que cancelen o se opone al tratamiento de sus datos, y

o Cualquier otro elemento o documento que facilite su localización.

Plazos

Solicitud de Derechos

ARCO

Ante el Responsab

le

15 días hábiles efectivo el derecho

20 días hábiles determinación

adoptada

Comunicación al Titular

Prorrogables x un plazo igual

Costoso El ejercicio de los derechos ARCO es

gratuito.o Únicamente se debe cubrir el costo

por reproducción y envío.o Excepciones al principio de gratuidad:

en caso de que el derecho se ejerciera sobre un mismo dato en un plazo menor a 12 meses, el costo no excederá del equivalente a 3 SMVDF.

Cuándo se puede negar el ejercicio de derechos…

o El solicitante no sea el Titular o representante legal;

o No se encuentren los datos en el sistema o sistemas del responsable;

o Se lesionen datos personales de un tercero;o Por impedimento legal o resolución de

autoridad competente que restringa el ejercicios de los derechos ARCO, y

o Se haya solicitado con anterioridad la rectificación, cancelación u oposición.

Procedimientos ante el IFAI

Procedimiento de Protección de Derechos

Titular

Instituto Federal de Acceso a la

información y Protección de Datos

Solicitud de

Protección de

Datos

Procedimiento de protección de derechos

O En caso de que el titular considere que en el ejercicio de sus derechos ARCO sus pretensiones no fueron satisfechas

O Este procedimiento tiene por objeto:O Sobreseer o confirmar la solicitud de

protección de datos por improcedente, oO Confirmar, revocar o modificar la respuesta

del responsable.

O El plazo máximo para dictar la resolución es de 50 días hábiles.

Requisitos de la Solicitud de Protección

o Nombre del titular o representante legal y domicilio para oír y recibir notificaciones;

o Nombre del responsable;o Fecha de la respuesta o bien la fecha en la

que se presentó la solicitud en caso de no tener respuesta;

o La solicitud y de ser el caso, la respuesta que se recurre, y

o Se deberá expresar con claridad el contenido de su reclamación y los preceptos de la Ley que se consideren violados.

Plazos

Inconformidad Ante el IFAI *

Resolución

50 días hábiles

15 días hábiles

Prorrogables x 50 días hábiles

Procedimiento conciliador

o Un elemento innovador de esta Ley es el procedimiento conciliatorio que las partes -responsable y titular- podrán llevar a cabo para solucionar el conflicto, en cualquier etapa del procedimiento de protección de derechos.

o De existir un acuerdo de conciliación entre las partes, éste se hará constar por escrito y tendrá efectos vinculantes. En este caso la solicitud de protección de datos quedará sin materia y el IFAI verificará el cumplimiento del acuerdo respectivo.

Procedimiento de verificación

O Las actuaciones de verificación del IFAI iniciarán: • De oficio: Derivada del incumplimiento a

resoluciones dictadas con motivo de procedimiento de protección de derechos

• A petición de parte: Cuando se presuma fundada y motivadamente, la existencia de violaciones a la ley.

O El IFAI tendrá acceso a la información y documentación que considere necesaria y los servidores públicos estarán obligados a guardar la confidencialidad sobre la información que conozcan.

Procedimiento de sanción

O Este procedimiento se detona cuando el IFAI tenga conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones de la ley como consecuencia del desahogo del procedimiento de protección de derechos o del procedimiento de verificación.

O Se prevé un periodo para la presentación y desahogo de pruebas, al término del cual el Instituto deberá resolver en definitiva.

Medio de impugnación de las resoluciones del IFAI

Los particulares podrán impugnar las resoluciones del IFAI, promoviendo el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa.

Infracciones y Sanciones

Infracciones y sanciones

La ley prevé una serie de conductas consideradas como infracciones, las cuales serán castigadas con las siguientes sanciones:

O No atender la solicitud del titular apercibimiento

O Tratar datos en contra de los principios; omitir el aviso de privacidad, mantener datos personales inexactos, declarar dolosamente la inexistencia de datos, etc. Multa de $5,746 a $9,193,600

O Incumplir deber de confidencialidad, cambiar sustancialmente de finalidad sin avisar al titular, vulnerar la seguridad de las bases; transferir datos sin consentimiento del titular, etc. Multa de $11,492 a $18,387,200

O Los montos pueden duplicarse por: O Reincidencia, oO Por tratarse de datos sensibles

Infracciones y sancionesO El Instituto para imponer las sanciones

correspondientes deberá tomar en cuenta:

O La naturaleza del dato.O La notoria improcedencia de la negativa del

responsable para realizar los actos solicitados por el titular.

O El carácter intencional de la acción u omisión.O La capacidad económica del responsable.O La reincidencia.

Delitos en materia de tratamiento de datos

personalesFue voluntad del legislador establecer tipos penales para sancionar a los responsables, que bajo ciertas circunstancias hagan uso ilícito de datos personales, con prisión de:

- 3 meses a 3 años (al que provoque, con ánimo de lucro, una vulneración de seguridad a las bases de datos)- 6 meses a 5 años (al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño)

Autoridades reguladoras

Autoridades reguladoras

La ley constituye el marco normativo para que las dependencias emitan regulación especializada que involucre el tratamiento de datos personales, con la coadyuvancia del IFAI.

Tratamiento en sectores específicos

Sectores específicoso Marketing y publicidad: tratamiento para

campañas publicitarias o envío de publicidad.o Telecomunicaciones: retención de datos personales

o registro de datos de identificación y localización.o Financiero: establecimiento de medidas de

seguridad en transacciones electrónicas.o Salud: reglas específicas para la realización de

ensayos clínicos o tratamiento del expediente clínico.o Sector educativo: bases de datos de alumnos.o Laboral: contenido y manejo del expediente de

personal.

Además, la Ley prevé…

Transferencias de datos

O La ley facilita las transferencias de datos personales dentro y fuera del país, siempre y cuando el responsable informe en el aviso de privacidad la realización, la finalidad de las transferencias y el titular acepte o consienta éstas.

O La Ley señala excepciones para solicitar el consentimiento del titular, a fin de llevar a cabo transferencias nacionales o internacionales.

Mecanismos de autorregulacióno La Ley faculta a los particulares a convenir entre ellos o con

organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante en la materia, que tengan por objeto: • Complementar y adaptar a tratamiento específicos o

concretos las disposiciones de la Ley.• Desarrollar reglas o estándares específicos que permitan

armonizar los tratamientos de datos efectuados por los adheridos y facilitar el ejercicio de los derechos ARCO.

• Incluir mecanismos para medir su eficacia en la protección de los datos, consecuencias y medidas correctivas eficaces en caso de incumplimiento.

o Dichos esquemas serán notificados de manera simultánea a las autoridades sectoriales correspondientes y al IFAI.

Plazos de implementación de la

Ley

Plazos…6 de julio de 2010

O La Ley entra en vigor.

Julio de 2011O El Ejecutivo Federal deberá expedir su Reglamento.O Las empresas designarán a una persona o

departamento de datos personales para atender las solicitudes de derechos ARCO.

O Las empresas deberán expedir los avisos de privacidad.

Plazos…Enero de 2012

O Toda persona podrá ejerce sus derechos ARCO ante los responsables designados por las empresas.

Febrero de 2012O Toda persona podrá interponer su queja ante

el IFAI, en caso de que considere que cualquiera de sus derechos ARCO ejercido ha sido vulnerado por el responsable de que se trate.

Retos

RetosO Emitir el reglamento dentro del año siguiente a la

entrada en vigor de la ley.O Emitir criterios que coadyuven a un mejor

cumplimiento de la ley.O Diseñar mecanismos eficaces para la recepción y

atención de solicitudes de protección de datos.O Difusión y capacitación al interior y exterior.O Solicitar a la Unión Europea el nivel de adecuación

como un país seguro en materia de protección de datos personales.

O Diseñar la estructura organizacional más adecuada para asumir y ejecutar con eficiencia las nuevas tareas y responsabilidades del IFAI.