mecanismos sancionadores en caso del - viii encuentro...
TRANSCRIPT
Mecanismos sancionadores en caso delMecanismos sancionadores en caso del tratamiento indebido de datos
personales
Dra. Isabel Davara Fdez. de MarcosVIII EncuentroIberoamericano de Protección de Datos
29 de Septiembre de 2010México, D.F.
[email protected]@davara.com.mx
¿Qué es la protección de datos?
Un derechofundamental yUn derecho
fundamental yUna obligación del responsableUna obligación del responsablefundamental y
un derechodel titular de
fundamental y un derechodel titular de
del responsable del tratamiento y un compromiso con el titular de
del responsable del tratamiento y un compromiso con el titular de
los datoslos datoscon el titular de
los datoscon el titular de
los datos
Derecho a la autodeterminación informativa
•Conocer y decidir quién, cómo y
Derecho a la autodeterminación informativa
•Conocer y decidir quién, cómo y
Se protege:
• Objeto: datos personales referidos al titular de los
Se protege:
• Objeto: datos personales referidos al titular de losde qué manera recaba y utiliza
sus datos personales•Libertad para elegir qué desea comunicar, cuándo y a quién, manteniendo el control
h ó
de qué manera recaba y utiliza sus datos personales•Libertad para elegir qué desea comunicar, cuándo y a quién, manteniendo el control
h ó
referidos al titular de los datos (persona física)
• Garantizando • su privacidad y• el derecho a la
referidos al titular de los datos (persona física)
• Garantizando • su privacidad y• el derecho a la•Derecho autónomo y
fundamental, directamente conectado con la dignidad y la libertad de la persona
•Derecho autónomo y fundamental, directamente conectado con la dignidad y la libertad de la persona
• el derecho a la autodeterminación informativa de las personas
• el derecho a la autodeterminación informativa de las personas
¿Cómo se protege?¿Cómo se protege?
Mediante un Basado en:tratamiento: Basado en:
• Legítimo• Controlado
• Principios• DerechosControlado
• InformadoDerechos
• Procedimientos
¿Por qué cumplir la normativa?¿Por qué cumplir la normativa?
Cumplimiento de una obligación
legal
Derecho f d t l
Cumplimiento de una obligación contractual
(cláusulas/polític
Establecer controles
internos que permitan una fundamental
a la protección
(cláusulas/políticas de privacidad, contratos, etc.)
permitan una gestión adecuada
protección de datos
Cumpimiento de una obligación con la sociedad (cultura de
protección de datos)
Minimizar riesgos legales (sanciones y demandas)
Tratamiento lícito y lealTratamiento lícito y leal
Fuentes de la obligaciónFuentes de la obligación
LegalLegalContractual (cláusulasContractual (cláusulas
Extra‐contractual (autorregulaciónExtra‐contractual (autorregulaciónLegalLegal (cláusulas
contractuales)(cláusulas
contractuales)(autorregulación,
etc.)(autorregulación,
etc.)
Tratamiento ilícitoTratamiento ilícito
InfracciónInfracción Potestad sancionadoraPotestad
sancionadora SanciónSanción
Tratamiento ilícitoTratamiento ilícito
N l lN l lNo cumple con los principiosNo cumple con los principios
Por acción u omisiónPor acción u omisión
P i á jP i á jPor quienes están sujetos al régimen sancionadorPor quienes están sujetos al régimen sancionador
Mecanismos sancionadoresMecanismos sancionadores
LeyLey
ContratoContrato
Otro instrumento jurídico/sancionadorOtro instrumento
jurídico/sancionador
SanciónSanción
Previsiones sobre sancionesPrevisiones sobre sanciones
• Art 14APECAPEC • Art. 14APECAPEC
• Art. 24Directiva 95/46/CEDirectiva 95/46/CE Art. 24Directiva 95/46/CEDirectiva 95/46/CE
• Art. 19.d) OCDEOCDE )
• (5) Aplicación (Enforcement/Redress)FIPSFIPS
• Art. 10CONVENIO 108 CECONVENIO 108 CE
• Art. 25 Resolución de MadridResolución de Madrid
Finalidad las sancionesFinalidad las sanciones
SanciónSanciónHacer efectivos los principios de la
Hacer efectivos los principios de laSanciónSanción principios de la
protección de datosprincipios de la
protección de datos
Objetivos de las sancionesObjetivos de las sanciones
Sancionar la infracciónSancionar la infracción
SanciónSanciónSanciónSanción
Incentivo para el
cumplimiento
Incentivo para el
cumplimiento
Necesidad de distinguirNecesidad de distinguir
Sanción por el incumplimientoSanción por el incumplimiento
Indemnización del daño causado
Indemnización del daño causado
PrevenciónPrevención
Potestad sancionadoraPotestad sancionadora
•Administrativa• JudicialAutoridad Autoridad
competentecompetente
• Privados• Privados (autorregulación)
• Sociedad (prensa etc )Otros
sujetos/institucionesOtros
sujetos/instituciones • Sociedad (prensa, etc.)sujetos/institucionessujetos/instituciones
Naturaleza de las sancionesNaturaleza de las sanciones
CivilCivil
PenalPenalAdministrativaAdministrativa
Otra
(inter partes, prensa, etc.)
Otra
(inter partes, prensa, etc.)
Tipos de sancionesTipos de sanciones
Económica Administrativa Judicial Otra
Aplicación y efectos de las sancionesAplicación y efectos de las sanciones
Efectividad de las sancionesEfectividad de las sancionesPreviene una
infracción posterior
Detiene la infracción
Depende de la autoridad d i l
Es indepen‐diente de la i d i de quien la
imponeindemniza‐
ción
Sanciona el incumpli‐miento
Modelos en los que se puede basar MéxicoModelos en los que se puede basar México
Estados Unidos
++
y
Unión Europea
Federal Trade Commission (FTC)Federal Trade Commission (FTC)La FTC tiene competencia para aplicar diferentes leyes relacionadas con
La FTC tiene competencia para aplicar diferentes leyes relacionadas con
La FTC no es una APD, es una agencia de protección de los consumidores
La FTC no es una APD, es una agencia de protección de los consumidores
diferentes leyes relacionadas con protección de datos (Gramm‐Leach‐BlileyAct –GLB Act‐; Fair Credit Reporting Act –FCRA‐, y Federal Trade Commission Act –
diferentes leyes relacionadas con protección de datos (Gramm‐Leach‐BlileyAct –GLB Act‐; Fair Credit Reporting Act –FCRA‐, y Federal Trade Commission Act –FTCA‐, esta última en casos de prácticas
injustas o deceptivas).FTCA‐, esta última en casos de prácticas
injustas o deceptivas).
FTCFTCFTC
(potestad sancionadora)
FTC
(potestad sancionadora)
Desde 2001, la FTC ha empleado su autoridad en un total de 29 casos
http://www ftc gov/os/testimony/1009
Desde 2001, la FTC ha empleado su autoridad en un total de 29 casos
http://www ftc gov/os/testimony/1009
La FTC puede iniciar procedimientos, administrativos o judiciales, en casos de incumplimiento, tales como ChoicePoint
que dio lugar a una resolución que
La FTC puede iniciar procedimientos, administrativos o judiciales, en casos de incumplimiento, tales como ChoicePoint
que dio lugar a una resolución quehttp://www.ftc.gov/os/testimony/100922datasecuritytestimony.pdf y
http://www.ftc.gov/privacy/privacyinitiatives/promises_enf.html).
http://www.ftc.gov/os/testimony/100922datasecuritytestimony.pdf y
http://www.ftc.gov/privacy/privacyinitiatives/promises_enf.html).
que dio lugar a una resolución que ordenaba pagar US$ 10 millones como indemnización civil por violar la FCRA y
otros US$ 5 millones como indemnización
que dio lugar a una resolución que ordenaba pagar US$ 10 millones como indemnización civil por violar la FCRA y
otros US$ 5 millones como indemnización a las víctimas por robo de identidad.a las víctimas por robo de identidad.
Poderes de la FTCPoderes de la FTC
FTCFTC
Poder de investigación/inspección
Poder de investigación/inspección
Procesos administrativosProcesos administrativos
Poder de aplicación/sanción (enforcement)
Poder de aplicación/sanción (enforcement)
Procesos judicialesProcesos judiciales
Procedimiento civilProcedimiento civil
Comisión Nacional de Informática y Libertades (CNIL)
Contra sus resoluciones cabe recursoContra sus resoluciones cabe recursoLa CNIL es una APD (una de las más antiguas en Europa puesto que fue
creada por la ley de 6 de enero de 1978)
La CNIL es una APD (una de las más antiguas en Europa puesto que fue
creada por la ley de 6 de enero de 1978)
Contra sus resoluciones cabe recurso jurisdiccional en vía contencioso‐
administrativa ante el Conseil d´Etat(Tribunal Supremo en el orden
Contra sus resoluciones cabe recurso jurisdiccional en vía contencioso‐
administrativa ante el Conseil d´Etat(Tribunal Supremo en el orden
administrativo)administrativo)
CNILCNILCNIL
(potestad sancionadora)
CNIL
(potestad sancionadora)
Puede imponer multas de hastaPuede imponer multas de hasta
Tiene postestades de inspección y sancionadora (puede: a) imponer
sanciones conforme a la Ley de 6 de
Tiene postestades de inspección y sancionadora (puede: a) imponer
sanciones conforme a la Ley de 6 dePuede imponer multas de hasta 300.000 euros en casos de reincidencia
Puede imponer multas de hasta 300.000 euros en casos de reincidencia
sanciones, conforme a la Ley de 6 de agosto de 2004, b) puede ordenar el cese de un tratamiento, y c) puede revocar
autorizaciones)
sanciones, conforme a la Ley de 6 de agosto de 2004, b) puede ordenar el cese de un tratamiento, y c) puede revocar
autorizaciones)
Admisibilidad de ADRAdmisibilidad de ADR
APEC
•Se recomienda a las economías miembros a que compartan experiencias sobre diferentes procedimientos en la investigación de infracciones en materia de privacidad y estrategias de regulación para resolver disputas que impliquen tales infracciones, i l d j l tió d j i d l ió t j di i l d fli tAPEC incluyendo, por ejemplo, gestión de quejas y mecanismos de resolución extrajudicial de conflictos.
DirectivaDirectiva95/46/CE
• No
95/46/CE
OCDEOCDE
•19. Al implantar nacionalmente los principios expuestos en las Partes II y III, los países miembro deberían establecer procedimientos o instituciones jurídicas, administrativas u otras para la protección de la intimidad y de las libertades individuales respecto a los datos personales. Los países miembro deberían, en particular, procurar:
•[…]•d) prever las sanciones y recursos suficientes en caso de incumplimiento de las medidas con las cuales se implanten los principios expuestos en las Partes II y III,•[ ]•[…]
FIPS
• Cumplimiento/Compensación del daño• Es aceptado ampliamente que el núcleo de los principios de la protección de datos sólo puede ser efectivo si existen mecanismos para garantizar su cumplimiento. En ausencia de un mecanismo de cumplimiento y compensación del daño, un código de práctica es meramente sugestivo más que prescriptivo, y no garantiza el cumplimiento con los principios de la protección de datos. Entre los mecanismos alternativos de cumplimiento están la autorregulación; la legislación que establece remedios privados para los consumidores; y/o las regulaciones que garantizan el cumplimiento a través de sanciones civiles o penales.
• 5. Enforcement/Redress• It is generally agreed that the core principles of privacy protection can only be effective if there is a mechanism in place to enforce them. Absent an enforcement and redress mechanism, a fair information practice code is merely suggestive rather than prescriptive, and does notensure compliance with core fair information practice principles. Among the alternative enforcement approaches are industry self‐regulation; legislation that would create private remedies for consumers; and/or regulatory schemes enforceable through civil and criminal sanctions.
CONVENIO CONVENIO 108 CE
•Artículo 10. Sanciones y recursos•Cada Parte se compromete a establecer sanciones y recursos convenientes contra las infracciones de las disposiciones de derecho interno que hagan efectivos los principios básicos para la protección de datos enunciados en el presente capítulo.
RESOLUCIÓN RESOLUCIÓN DE MADRID
•No, sólo procesos judiciales o administrativos.
Potestades de la autoridad de control/supervisión
InvestigaciónInvestigación
Intervención
Iniciar procedimientos
Iniciar procedimientos Intervenciónlegales o
judicialeslegales o judiciales
Aplicación de las sancionesAplicación de las sancionesCriterios para
lla determinación
de las sanciones
Sanción Prescripción de las
sanciones
Posibilidad de revisión judicial
Otras medidas (inmovializa‐ción, medidas cautelares,
t )etc.)
Efectividad del mecanismo sancionadorEfectividad del mecanismo sancionador
Modelo Modelo Modelo APD
Modelo APD
No atiende casos particulares
FTCFTCAtienden casos particulares
APD EuropeaAPD
Europea
Actúa para proteger a los
Protegen al denunciante y al mismo tiempo alp g
consumidores en general
mismo tiempo al resto de titulares del derecho
En la prácticaEn la práctica
Modelo Modelo Modelo APD
Modelo APD
Sanción en determinados casos
FTCFTCSanción a quien trató ilícitamente datos personales
APD EuropeaAPD
Europea
Tutela indirecta puesto que no
Tutela del interesado cuyos datos fueronp q
atiende al caso particular
datos fueron tratados ilícitamente
Órganos de control y competentes (tratamientos por el sector privado)
Secretaría de Economía
f d l d l bl
Secretaría de Economía
f d l d l blDifundir el conocimiento de las obligaciones en torno a la protección de datos personales
entre la iniciativa privada nacional e internacional con actividad comercial en
territorio mexicano y promover las mejores
Difundir el conocimiento de las obligaciones en torno a la protección de datos personales
entre la iniciativa privada nacional e internacional con actividad comercial en
territorio mexicano y promover las mejores
Procuraduría Federal del Consumidor(Profeco)
P l id
Procuraduría Federal del Consumidor(Profeco)
P l idterritorio mexicano y promover las mejores prácticas comerciales en torno a la protección
de datos
territorio mexicano y promover las mejores prácticas comerciales en torno a la protección
de datos
Proteger a los consumidoresProteger a los consumidores
IFAI
Autoridad garante de la LFPDPPP
IFAI
Autoridad garante de la LFPDPPP
Comisión Federal de TelecomunicacionesComisión Federal de Telecomunicaciones
Otras
C i ió N i l i d
Otras
C i ió N i l i dRegistro Nacional de Usuarios de
Telefonía Móvil (RENAUT)Registro Nacional de Usuarios de
Telefonía Móvil (RENAUT)
Comisión Nacional Bancaria y de Valores, Comisión Nacional para la Protección y Defensa de los Usuarios
de Servicios Financieros, etc.
Comisión Nacional Bancaria y de Valores, Comisión Nacional para la Protección y Defensa de los Usuarios
de Servicios Financieros, etc.,,
Infracciones en la LFPDPPP (1)Infracciones en la LFPDPPP (1)
I. No cumplir con la solicitud del titular para el
acceso,
I. No cumplir con la solicitud del titular para el
acceso,
II. Actuar con negligencia o dolo en la
II. Actuar con negligencia o dolo en la
III. Declarar dolosamente la III. Declarar
dolosamente la IV DarIV Dar V. Omitir en el V. Omitir en el
VI. Mantener datos personales inexactos cuando
resulte imputable al
VI. Mantener datos personales inexactos cuando
resulte imputable al IX. Cambiar
sustancialmenteIX. Cambiar
sustancialmenterectificación, cancelación u oposición al
tratamiento de sus datos
personales, sin razón fundada, en los términos
rectificación, cancelación u oposición al
tratamiento de sus datos
personales, sin razón fundada, en los términos
dolo en la tramitación y respuesta de solicitudes de
acceso, rectificación, cancelación u oposición de
dolo en la tramitación y respuesta de solicitudes de
acceso, rectificación, cancelación u oposición de
inexistencia de datos personales, cuando exista
total o parcialmente en las bases de datos del
responsable;
inexistencia de datos personales, cuando exista
total o parcialmente en las bases de datos del
responsable;
IV. Dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley;
IV. Dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley;
aviso de privacidad,
alguno o todos los elementos a que se refiere el artículo 16 de
esta Ley;
aviso de privacidad,
alguno o todos los elementos a que se refiere el artículo 16 de
esta Ley;
responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente
procedan cuando resulten
responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente
procedan cuando resulten
VII. No cumplir con el
apercibimiento a que se refiere la fracción I del artículo 64;
VII. No cumplir con el
apercibimiento a que se refiere la fracción I del artículo 64;
VIII. Incumplir el deber de
confidencialidad establecido en el artículo 21 de
esta Ley;
VIII. Incumplir el deber de
confidencialidad establecido en el artículo 21 de
esta Ley;
sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo
dispuesto por el artículo 12;
sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo
dispuesto por el artículo 12;en los términos
previstos en esta Ley;
en los términos previstos en esta
Ley;
datos personales;datos personales; responsable;responsable; resulten afectados los
derechos de los titulares;
resulten afectados los
derechos de los titulares;
Infracciones en la LFPDPPP (2)Infracciones en la LFPDPPP (2)
X. Transferir datos a terceros sin comunicar a
X. Transferir datos a terceros sin comunicar a XI. Vulnerar la
id d dXI. Vulnerar la
id d dXII. Llevar a cabo l t f iXII. Llevar a cabo l t f i
XIII. Recabar o t f i d tXIII. Recabar o t f i d t
XVI. Continuar con el uso
XVI. Continuar con el uso
XVII. Tratar los datos personales de manera que se afecte o impida el ejercicio de los d h d
XVII. Tratar los datos personales de manera que se afecte o impida el ejercicio de los d h d XVIII. Crear bases XVIII. Crear bases
XIX. Cualquier incumplimiento XIX. Cualquier incumplimiento
éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la
divulgación de los mismos;
éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la
divulgación de los mismos;
seguridad de bases de datos,
locales, programas o
equipos, cuando resulte imputable al responsable;
seguridad de bases de datos,
locales, programas o
equipos, cuando resulte imputable al responsable;
la transferencia o cesión de los
datos personales, fuera de los casos
en que esté permitida por la
Ley;
la transferencia o cesión de los
datos personales, fuera de los casos
en que esté permitida por la
Ley;
transferir datos personales sin el consentimiento expreso del titular, en los
casos en que éste sea exigible;
transferir datos personales sin el consentimiento expreso del titular, en los
casos en que éste sea exigible;
XIV. Obstruir los actos de
verificación de la autoridad;
XIV. Obstruir los actos de
verificación de la autoridad;
XV. Recabar datos en forma engañosa y fraudulenta;
XV. Recabar datos en forma engañosa y fraudulenta;
ilegítimo de los datos personales cuando se ha
solicitado el cese del mismo por el Instituto o los titulares;
ilegítimo de los datos personales cuando se ha
solicitado el cese del mismo por el Instituto o los titulares;
derechos de acceso,
rectificación, cancelación y oposición
establecidos en el artículo 16 de la Constitución Política de los
derechos de acceso,
rectificación, cancelación y oposición
establecidos en el artículo 16 de la Constitución Política de los
de datos en contravención a lo dispuesto por el artículo 9,
segundo párrafo de esta Ley, y
de datos en contravención a lo dispuesto por el artículo 9,
segundo párrafo de esta Ley, y
pdel responsable a las obligaciones establecidas a su
cargo en términos de lo previsto en la presente Ley.
pdel responsable a las obligaciones establecidas a su
cargo en términos de lo previsto en la presente Ley.
Estados Unidos Mexicanos;
Estados Unidos Mexicanos;
Aplicación de la sanciónAplicación de la sanción
AutoridadAutoridad
Previsión d l
Previsión d l
Efectivdad de la Efectivdad de la
de la sanciónde la
sanción
sanciónsanción
Algunas cuestiones a considerarAlgunas cuestiones a considerar
mo
mo Público o privadoPúblico o privado ón
ón
Detener la Detener la dodo Sanción por la Sanción por la
mecanism
mecanism
Administrativo o judicial
A priori o a posteriori
Administrativo o judicial
A priori o a posteriori e
la sanció
e la sanció infracción
Prevenir la comisión de infracciones
Sancionar la
infracción
Prevenir la comisión de infracciones
Sancionar la l ind
ividud
l ind
ividud infracción cometida
Acceso a la autoridad o institución que aplica la sanción
infracción cometida
Acceso a la autoridad o institución que aplica la sanción
rácter del
rácter del posteriori
Legislativo o contractual
Otros mecanismos ( bli id d d l
posteriori
Legislativo o contractual
Otros mecanismos ( bli id d d l
Efectos d
Efectos d Sancionar la
infracción cometidaSancionar la
infracción cometida
tecciónde
tecciónde Posibilidad de
recursoPosibilidad de
recurso
CaCa
(publicidad de la sanción, etc.)(publicidad de la sanción, etc.) Pr
otProt